ICMP unreachable, Redirect 차단 취약점 개요 ■ 위험도 - 중 ■ 점검 목적 - ICMP unreachable 차단으로 DoS 공격을 차단하고 공격자가 네트워크 스캔 시 소요되는 시간을 길어지게 하여 스캔 공격을 지연 및 차단함 - ICMP redirect 차단으로 라우팅 테이블이 변경되는 것을 차단하기 위함 ■ 보안 위협 - ICMP unreachable을 차단하지 않을 경우, 공격자의 스캔 공격을 통해 시스템의 현재 운영되고 있는 상태 정보가 노출될 수 있음 - ICMP redirect을 차단하지 않을 경우, 호스트 패킷 경로를 다시 지정하는 과정에서 특정 목적지로 가기 위해 고의적으로 패킷 경로를 변경하여 가로챌 수 있음 - 연속적으로 ICMP의 port-unreachable ..
Proxy ARP 차단 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - Proxy ARP 차단으로 IP와 MAC이 관련된 호스트에 대해 정상적인 통신을 유지함 ■ 보안 위협 - Proxy ARP를 차단하지 않을 경우, 악의적인 사용자가 보낸 거짓 IP와 MAC 정보를 보관하게 되며 이로 인해 호스트와 호스트 사이에서 정상적인 통신 이 이루어지지 않을 수 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : Proxy ARP를 차단하는 경우 - 취약 : Proxy ARP를 차단하지 않는 경우 ■ 조치 방법 - 각 인터페이스에서 Proxy ARP 비활성화 설정 ■ 장비별 점검 방법 예시 ㆍCisco IOS Router# show running-config 각 인터페이스에서 no ip proxy-arp 설정을 ..
Source 라우팅 차단 취약점 개요 ■ 위험도 - 중 ■ 점검 목적 - 인터페이스마다 no ip source-route를 적용하여 ip spoofing을 차단함 ■ 보안 위협 - 공격자가 source routing된 패킷을 네트워크 내부에 발송할 수 있을 경우, 수신된 패킷에 반응하는 메시지를 가로채어 사용자 호스트를 마치 신뢰 관 계에 있는 호스트와 통신하는 것처럼 만들 수 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : ip source route를 차단하는 경우 - 취약 : ip source route를 차단하지 않는 경우 ■ 조치 방법 - 각 인터페이스에서 ip source route 차단 설정 ■ 장비별 점검 방법 예시 ㆍCisco IOS Router# show running-config ..
이동식 미디어 포맷 및 꺼내기 허용 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 이동식 미디어의 NTFS 포맷 및 꺼내기가 허용되는 사용자를 관리 권한자로 제한함으로써 관리 권한이 없는 사용자 및 비인가자에 의한 불법적인 이동식 미디어의 포맷 및 이동을 차단하기 위함 ■ 보안 위협 - 관리자 이외 사용자에게 해당 정책이 설정된 경우 비인가자에 의한 불법적인 매체 처리를 허용할 수 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : “이동식 미디어 포맷 및 꺼내기 허용” 정책이 “Administrator”로 되어 있는 경우 - 취약 : “이동식 미디어 포맷 및 꺼내기 허용” 정책이 “Administrator”로 되어 있지 않은 경우 ■ 조치 방법 - 이동식 미디어 포맷 및 꺼내기 허용 → Adminis..
Autologon 기능 제어 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - Autologon 기능을 사용하지 않도록 설정하여 시스템 계정 정보 노출을 차 단하기 위함 ■ 보안 위협 - Autologon 기능을 사용하면 침입자가 해킹 도구를 이용하여 레지스트리에 저장된 로그인 계정 및 패스워드 정보 유출 가능 점검 및 조치 방법 ■ 판단 기준 - 양호 : AutoAdminLogon 값이 없거나 0으로 설정되어 있는 경우 - 취약 : AutoAdminLogon 값이 1로 설정되어 있는 경우 ■ 조치 방법 - 해당 레지스트리 값이 존재하는 경우 0으로 설정 ■ 점검 및 조치 사례 Windows NT, 2000, 2003, 2008, 2012, 2016, 2019 Step 1) 시작> 실행> REGEDIT> ..
Directed-broadcast 차단 취약점 개요 ■ 위험도 - 중 ■ 점검 목적 - Directed-broadcast 서비스 차단을 통해 DoS 공격을 방지하기 위함 ■ 보안 위협 - IP Directed-Broadcast는 유니캐스트 IP 패킷이 특정 서브넷에 도착 했을 때 링크-레이어 브로드캐스트로 전환되는 것을 허용함. 이것은 보통 악의적으로 이용되며, 특히 smurf 공격에 이용됨 점검 및 조치 방법 ■ 판단 기준 - 양호 : Directed Broadcasts를 차단하는 경우 - 취약 : Directed Broadcasts를 차단하지 않는 경우 ■ 조치 방법 - 각 장치별로 Directed Broadcasts 제한 설정 ■ 장비별 점검 방법 예시 ㆍCisco IOS Router# show r..
CDP 서비스 차단 취약점 개요 ■ 위험도 - 중 ■ 점검 목적 - 동일 네트워크에 있는 다른 Cisco 장비들의 정보 유출 방지 및 DoS 공격을 차단하기 위함 ■ 보안 위협 - 보안이 검증 되지 않은 서비스로, 비인가자가 다른 cisco 장비의 정보를 획 득할 수 있으며, Routing Protocol Attack 을 통해 네트워크 장비의 서비스 거부 공격을 할 수 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : CDP 서비스를 차단하는 경우 - 취약 : CDP 서비스를 차단하지 않는 경우 ■ 조치 방법 각 장비별 CDP 서비스 제한 설정 ※ CDP는 Cisco 전용 프로토콜이지만 일부 다른 벤더도 지원하며, CDP와 유사한 IEEE 표준인 LLDP(Link Layer Discovery Proto..
SAM 계정과 공유의 익명 열거 허용 안 함 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 익명 사용자에 의한 악의적인 계정 정보 탈취를 방지하기 위함 ■ 보안 위협 - Windows에서는 익명의 사용자가 도메인 계정(사용자, 컴퓨터 및 그룹)과 네 트워크 공유 이름의 열거 작업을 수행할 수 있으므로 SAM(보안계정관리자) 계정과 공유의 익명 열거가 허용될 경우 악의적인 사용자가 계정 이름 목록 을 확인하고 이 정보를 사용하여 암호를 추측하거나 사회 공학적 공격기법 을 수행할 수 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : 해당 보안 옵션 값이 설정 되어 있는 경우 - 취약 : 해당 보안 옵션 값이 설정 되어 있지 않는 경우 ■ 조치 방법 - 레지스트리 값 또는, 로컬 보안 정책 설정 ■ 점검 ..
보안 감사를 로그할 수 없는 경우 즉시 시스템 종료 해제 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 해당 정책을 비활성화 함으로써 로그 용량 초과 등의 이유로 이벤트를 기록 할 수 없는 경우, 해당 정책으로 인해 시스템이 비정상적으로 종료되는 것을 방지하기 위함 ■ 보안 위협 - 해당 정책이 활성화 되어 있는 경우 악의적인 목적으로 시스템 종료를 유발 하여 서비스 거부 공격에 악용될 수 있으며, 비정상적인 시스템 종료로 인하 여 시스템 및 데이터에 손상을 입힐 수 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : “보안 감사를 로그할 수 없는 경우 즉시 시스템 종료” 정책이 “사용 안 함”으로 되어 있는 경우 - 취약 : “보안 감사를 로그할 수 없는 경우 즉시 시스템 종료” 정책이 “사용”으로 ..
원격 시스템에서 강제로 시스템 종료 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 원격에서 네트워크를 통하여 운영 체제를 종료할 수 있는 사용자나 그룹을 설정하여 특정 사용자만 시스템 종료를 허용하기 위함 ■ 보안 위협 - 원격 시스템 강제 종료 설정이 부적절한 경우 서비스 거부 공격 등에 악용 될 수 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : “원격 시스템에서 강제로 시스템 종료” 정책에 “Administrators”만 존재 하는 경우 - 취약 : “원격 시스템에서 강제로 시스템 종료” 정책에 “Administrators” 외 다른 계정 및 그룹이 존재하는 경우 ■ 조치 방법 - 원격 시스템에서 강제로 시스템 종료 → Administrators ■ 점검 및 조치 사례 Windows NT, 2..
숨겨진 파일 및 디렉토리 검색 및 제거 취약점 개요 ■ 위험도 - 하 ■ 점검 목적 - 숨겨진 파일 및 디렉터리 중 의심스러운 내용은 정상 사용자가 아닌 공격자 에 의해 생성되었을 가능성이 높음으로 이를 발견하여 제거함 ■ 보안 위협 - 공격자는 숨겨진 파일 및 디렉터리를 통해 시스템 정보 습득, 파일 임의 변 경 등을 할 수 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : 불필요하거나 의심스러운 숨겨진 파일 및 디렉터리를 삭제한 경우 - 취약 : 불필요하거나 의심스러운 숨겨진 파일 및 디렉터리를 방치한 경우 ■ 조치 방법 - ls –al 명령어로 숨겨진 파일 존재 파악 후 불법적이거나 의심스러운 파일을 삭 제함 ■ 점검 및 조치 사례 ■ SOLARIS, LINUX, AIX, HP-UX Step 1)..
홈디렉토리로 지정한 디렉토리의 존재 관리 취약점 개요 ■ 위험도 - 중 ■ 점검 목적 - /home 이외 사용자의 홈 디렉터리 존재 여부를 점검하여 비인가자가 시스 템 명령어의 무단 사용을 방지하기 위함 ■ 보안 위협 - passwd 파일에 설정된 홈디렉터리가 존재하지 않는 경우, 해당 계정으로 로 그인시 홈디렉터리가 루트 디렉터리(“/“)로 할당되어 접근이 가능함 점검 및 조치 방법 ■ 판단 기준 - 양호 : 홈 디렉터리가 존재하지 않는 계정이 발견되지 않는 경우 - 취약 : 홈 디렉터리가 존재하지 않는 계정이 발견된 경우 ■ 조치 방법 - 홈 디렉터리가 존재하지 않는 계정에 홈 디렉터리 설정 또는, 계정 삭제 ■ 점검 및 조치 사례 ■ SOLARIS, LINUX, AIX, HP-UX Step 1) 홈..
