스위치, 허브 보안 강화 취약점 개요 ■ 위험도 - 하 ■ 점검 목적 - 보안설정을 통해 네트워크 트래픽이 비인가자에게 노출 또는 변조되지 않도록 함 ■ 보안 위협 - 포트 보안을 설정하지 않을 경우, 동일 네트워크 내에서 mac flooding, arp spoofing 공격으로 비인가자에게 패킷 정보가 제공될 수 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : 스위치나 허브에 포트 보안, SPAN 설정이 적용되어 있는 경우 - 취약 : 스위치나 허브에 포트 보안, SPAN 설정이 적용되어 있지 않는 경우 ■ 조치 방법 - 장비별 보안 위협에 관한 대책 설정 적용(포트 보안, SPAN 설정) ■ 장비별 점검 방법 예시 ㆍ스위치 / 허브 1. 포트 보안 설정 확인 Switch> enable Switch..
mask-reply 차단 취약점 개요 ■ 위험도 - 중 ■ 점검 목적 - 내부 네트워크의 서브넷 마스크 정보를 요청하는 ICMP 메시지에 네트워크 장비가 응답하지 않도록 mask-reply를 차단 설정 ■ 보안 위협 - mask-reply를 차단하지 않는 경우 비인가자에게 내부 서브네트워크의 서브 넷 마스크 정보가 노출될 수 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : mask-reply를 차단하는 경우 - 취약 : mask-reply를 차단하지 않은 경우 ■ 조치 방법 - 각 인터페이스에서 mask-reply 비활성화 ■ 장비별 점검 방법 예시 ㆍCisco IOS Router# show running-config 기본적으로 ip mask-reply 명령은 비활성화 상태이기 때문에 구성 내용에서 ..
PAD 차단 취약점 개요 ■ 위험도 - 중 ■ 점검 목적 - X.25 프로토콜을 사용하지 않는 경우 PAD 서비스를 중지 ■ 보안 위협 - PAD와 같이 불필요한 서비스를 차단하지 않을 경우 잠재적인 취약점 및 공 격에 노출될 수 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : PAD 서비스를 차단하는 경우 - 취약 : PAD 서비스를 차단하지 않은 경우 ■ 조치 방법 - PAD 서비스 비활성화 ■ 장비별 점검 방법 예시 ㆍCisco IOS Router> enable Router# show running-config no service pad 설정을 확인 ■ 장비별 조치 방법 예시 ㆍCisco IOS Router> enable Router# show running-config no service pa..
Domain lookup 차단 취약점 개요 ■ 위험도 - 중 ■ 점검 목적 - 명령어를 잘못 입력할 때 발생하는 불필요한 Domain Lookup를 차단 ■ 보안 위협 - 불필요한 DNS 브로드캐스트 트래픽과 사용자 대기시간 발생 점검 및 조치 방법 ■ 판단 기준 - 양호 : Domain Lookup를 차단하는 경우 - 취약 : Domain Lookup를 차단하지 않은 경우 ■ 조치 방법 - Domain Lookup 비활성화 ■ 장비별 점검 방법 예시 ㆍCisco IOS Router> enable Router# show running-config no ip domain-lookup 설정을 확인 ■ 장비별 조치 방법 예시 ㆍCisco IOS Global Configuration 모드에서 no ip doma..
identd 서비스 차단 취약점 개요 ■ 위험도 - 중 ■ 점검 목적 - 불필요한 identd 서비스를 차단하여 잠재적인 취약점 및 공격에 노출 방지 ■ 보안 위협 - identd 서비스는 TCP 세션의 사용자 식별이 가능하여 비인가자에게 사용자 정보가 노출될 수 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : identd 서비스를 차단하는 경우 - 취약 : identd 서비스를 차단하지 않는 경우 ■ 조치 방법 - idnetd 서비스 비활성화 ■ 장비별 점검 방법 예시 ㆍCisco IOS Router> enable Router# show running-config 기본적으로 ip identd 설정을 별도로 설정하지 않으면 비활성화 상태이며, 구성에서 no ip identd 명령어가 표시되지 않음 ■..
ICMP unreachable, Redirect 차단 취약점 개요 ■ 위험도 - 중 ■ 점검 목적 - ICMP unreachable 차단으로 DoS 공격을 차단하고 공격자가 네트워크 스캔 시 소요되는 시간을 길어지게 하여 스캔 공격을 지연 및 차단함 - ICMP redirect 차단으로 라우팅 테이블이 변경되는 것을 차단하기 위함 ■ 보안 위협 - ICMP unreachable을 차단하지 않을 경우, 공격자의 스캔 공격을 통해 시스템의 현재 운영되고 있는 상태 정보가 노출될 수 있음 - ICMP redirect을 차단하지 않을 경우, 호스트 패킷 경로를 다시 지정하는 과정에서 특정 목적지로 가기 위해 고의적으로 패킷 경로를 변경하여 가로챌 수 있음 - 연속적으로 ICMP의 port-unreachable ..
Proxy ARP 차단 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - Proxy ARP 차단으로 IP와 MAC이 관련된 호스트에 대해 정상적인 통신을 유지함 ■ 보안 위협 - Proxy ARP를 차단하지 않을 경우, 악의적인 사용자가 보낸 거짓 IP와 MAC 정보를 보관하게 되며 이로 인해 호스트와 호스트 사이에서 정상적인 통신 이 이루어지지 않을 수 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : Proxy ARP를 차단하는 경우 - 취약 : Proxy ARP를 차단하지 않는 경우 ■ 조치 방법 - 각 인터페이스에서 Proxy ARP 비활성화 설정 ■ 장비별 점검 방법 예시 ㆍCisco IOS Router# show running-config 각 인터페이스에서 no ip proxy-arp 설정을 ..
Source 라우팅 차단 취약점 개요 ■ 위험도 - 중 ■ 점검 목적 - 인터페이스마다 no ip source-route를 적용하여 ip spoofing을 차단함 ■ 보안 위협 - 공격자가 source routing된 패킷을 네트워크 내부에 발송할 수 있을 경우, 수신된 패킷에 반응하는 메시지를 가로채어 사용자 호스트를 마치 신뢰 관 계에 있는 호스트와 통신하는 것처럼 만들 수 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : ip source route를 차단하는 경우 - 취약 : ip source route를 차단하지 않는 경우 ■ 조치 방법 - 각 인터페이스에서 ip source route 차단 설정 ■ 장비별 점검 방법 예시 ㆍCisco IOS Router# show running-config ..
Directed-broadcast 차단 취약점 개요 ■ 위험도 - 중 ■ 점검 목적 - Directed-broadcast 서비스 차단을 통해 DoS 공격을 방지하기 위함 ■ 보안 위협 - IP Directed-Broadcast는 유니캐스트 IP 패킷이 특정 서브넷에 도착 했을 때 링크-레이어 브로드캐스트로 전환되는 것을 허용함. 이것은 보통 악의적으로 이용되며, 특히 smurf 공격에 이용됨 점검 및 조치 방법 ■ 판단 기준 - 양호 : Directed Broadcasts를 차단하는 경우 - 취약 : Directed Broadcasts를 차단하지 않는 경우 ■ 조치 방법 - 각 장치별로 Directed Broadcasts 제한 설정 ■ 장비별 점검 방법 예시 ㆍCisco IOS Router# show r..
CDP 서비스 차단 취약점 개요 ■ 위험도 - 중 ■ 점검 목적 - 동일 네트워크에 있는 다른 Cisco 장비들의 정보 유출 방지 및 DoS 공격을 차단하기 위함 ■ 보안 위협 - 보안이 검증 되지 않은 서비스로, 비인가자가 다른 cisco 장비의 정보를 획 득할 수 있으며, Routing Protocol Attack 을 통해 네트워크 장비의 서비스 거부 공격을 할 수 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : CDP 서비스를 차단하는 경우 - 취약 : CDP 서비스를 차단하지 않는 경우 ■ 조치 방법 각 장비별 CDP 서비스 제한 설정 ※ CDP는 Cisco 전용 프로토콜이지만 일부 다른 벤더도 지원하며, CDP와 유사한 IEEE 표준인 LLDP(Link Layer Discovery Proto..
Bootp 서비스 차단 취약점 개요 ■ 위험도 - 중 ■ 점검 목적 - 서비스 제거를 통해 비인가자에게 OS 정보가 노출되는 것을 차단함 ■ 보안 위협 - Bootp 서비스를 차단하지 않을 경우, 다른 라우터 상의 OS 사본에 접속하여 OS 소프트웨어 복사본을 다운로드 할 수 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : Bootp 서비스가 제한되어 있는 경우 - 취약 : Bootp 서비스가 제한되어 있지 않는 경우 ■ 조치 방법 - 각 장비별 Bootp 서비스 제한 설정 ■ 장비별 점검 방법 예시 ㆍCisco IOS Router# show running-config ip bootp server 설정 확인 ㆍRadware Alteon #bootp disable 설정 확인 ㆍJuniper Junos ..
TCP/UDP Small 서비스 차단 취약점 개요 ■ 위험도 - 중 ■ 점검 목적 - TCP/UDP Small 서비스를 차단하여 보안성을 높이고자 함 ■ 보안 위협 - TCP/UDP Small 서비스를 차단하지 않을 경우, DoS 공격의 대상이 될 수 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : TCP/UDP Small 서비스가 제한되어 있는 경우 - 취약 : TCP/UDP Small 서비스가 제한되어 있지 않는 경우 ■ 조치 방법 - TCP/UDP Small Service 제한 설정 ■ 장비별 점검 방법 예시 ㆍCisco IOS Router# show running-config no service tcp-small-servers 및 no service tcp-small-servers 설정 확인 ..
