스위치, 허브 보안 강화 취약점 개요 ■ 위험도 - 하 ■ 점검 목적 - 보안설정을 통해 네트워크 트래픽이 비인가자에게 노출 또는 변조되지 않도록 함 ■ 보안 위협 - 포트 보안을 설정하지 않을 경우, 동일 네트워크 내에서 mac flooding, arp spoofing 공격으로 비인가자에게 패킷 정보가 제공될 수 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : 스위치나 허브에 포트 보안, SPAN 설정이 적용되어 있는 경우 - 취약 : 스위치나 허브에 포트 보안, SPAN 설정이 적용되어 있지 않는 경우 ■ 조치 방법 - 장비별 보안 위협에 관한 대책 설정 적용(포트 보안, SPAN 설정) ■ 장비별 점검 방법 예시 ㆍ스위치 / 허브 1. 포트 보안 설정 확인 Switch> enable Switch..
mask-reply 차단 취약점 개요 ■ 위험도 - 중 ■ 점검 목적 - 내부 네트워크의 서브넷 마스크 정보를 요청하는 ICMP 메시지에 네트워크 장비가 응답하지 않도록 mask-reply를 차단 설정 ■ 보안 위협 - mask-reply를 차단하지 않는 경우 비인가자에게 내부 서브네트워크의 서브 넷 마스크 정보가 노출될 수 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : mask-reply를 차단하는 경우 - 취약 : mask-reply를 차단하지 않은 경우 ■ 조치 방법 - 각 인터페이스에서 mask-reply 비활성화 ■ 장비별 점검 방법 예시 ㆍCisco IOS Router# show running-config 기본적으로 ip mask-reply 명령은 비활성화 상태이기 때문에 구성 내용에서 ..
PAD 차단 취약점 개요 ■ 위험도 - 중 ■ 점검 목적 - X.25 프로토콜을 사용하지 않는 경우 PAD 서비스를 중지 ■ 보안 위협 - PAD와 같이 불필요한 서비스를 차단하지 않을 경우 잠재적인 취약점 및 공 격에 노출될 수 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : PAD 서비스를 차단하는 경우 - 취약 : PAD 서비스를 차단하지 않은 경우 ■ 조치 방법 - PAD 서비스 비활성화 ■ 장비별 점검 방법 예시 ㆍCisco IOS Router> enable Router# show running-config no service pad 설정을 확인 ■ 장비별 조치 방법 예시 ㆍCisco IOS Router> enable Router# show running-config no service pa..
Domain lookup 차단 취약점 개요 ■ 위험도 - 중 ■ 점검 목적 - 명령어를 잘못 입력할 때 발생하는 불필요한 Domain Lookup를 차단 ■ 보안 위협 - 불필요한 DNS 브로드캐스트 트래픽과 사용자 대기시간 발생 점검 및 조치 방법 ■ 판단 기준 - 양호 : Domain Lookup를 차단하는 경우 - 취약 : Domain Lookup를 차단하지 않은 경우 ■ 조치 방법 - Domain Lookup 비활성화 ■ 장비별 점검 방법 예시 ㆍCisco IOS Router> enable Router# show running-config no ip domain-lookup 설정을 확인 ■ 장비별 조치 방법 예시 ㆍCisco IOS Global Configuration 모드에서 no ip doma..
identd 서비스 차단 취약점 개요 ■ 위험도 - 중 ■ 점검 목적 - 불필요한 identd 서비스를 차단하여 잠재적인 취약점 및 공격에 노출 방지 ■ 보안 위협 - identd 서비스는 TCP 세션의 사용자 식별이 가능하여 비인가자에게 사용자 정보가 노출될 수 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : identd 서비스를 차단하는 경우 - 취약 : identd 서비스를 차단하지 않는 경우 ■ 조치 방법 - idnetd 서비스 비활성화 ■ 장비별 점검 방법 예시 ㆍCisco IOS Router> enable Router# show running-config 기본적으로 ip identd 설정을 별도로 설정하지 않으면 비활성화 상태이며, 구성에서 no ip identd 명령어가 표시되지 않음 ■..
ICMP unreachable, Redirect 차단 취약점 개요 ■ 위험도 - 중 ■ 점검 목적 - ICMP unreachable 차단으로 DoS 공격을 차단하고 공격자가 네트워크 스캔 시 소요되는 시간을 길어지게 하여 스캔 공격을 지연 및 차단함 - ICMP redirect 차단으로 라우팅 테이블이 변경되는 것을 차단하기 위함 ■ 보안 위협 - ICMP unreachable을 차단하지 않을 경우, 공격자의 스캔 공격을 통해 시스템의 현재 운영되고 있는 상태 정보가 노출될 수 있음 - ICMP redirect을 차단하지 않을 경우, 호스트 패킷 경로를 다시 지정하는 과정에서 특정 목적지로 가기 위해 고의적으로 패킷 경로를 변경하여 가로챌 수 있음 - 연속적으로 ICMP의 port-unreachable ..
Proxy ARP 차단 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - Proxy ARP 차단으로 IP와 MAC이 관련된 호스트에 대해 정상적인 통신을 유지함 ■ 보안 위협 - Proxy ARP를 차단하지 않을 경우, 악의적인 사용자가 보낸 거짓 IP와 MAC 정보를 보관하게 되며 이로 인해 호스트와 호스트 사이에서 정상적인 통신 이 이루어지지 않을 수 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : Proxy ARP를 차단하는 경우 - 취약 : Proxy ARP를 차단하지 않는 경우 ■ 조치 방법 - 각 인터페이스에서 Proxy ARP 비활성화 설정 ■ 장비별 점검 방법 예시 ㆍCisco IOS Router# show running-config 각 인터페이스에서 no ip proxy-arp 설정을 ..
