SNMP 서비스 관리 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 불필요한 SNMP 서비스 차단 및 보안에 취약한 SNMP 버전의 사용을 방지함으로써 SNMP 서비스의 취약점(조작된 MIB 정보를 통한 네트워크 설정 변경, 전송 데이터 평문전송 등)을 이용한 공격을 차단하기 위함 ■ 보안 위협 - SNMP v3 아래 버전을 사용할 경우, 요청 및 응답 패킷이 평문으로 전송되어 공격자가 스니핑을 할 경우 Community String을 획득할 수 있으며 획득한 Community String을 이용하여 환경 설정 파일 열람 및 수정이나 정보 수집 및 관리자 권한 획득, DoS 등 다양한 형태의 공격이 가능해 짐 점검 및 조치 방법분 ■ 판단 기준 - 양호 : SNMP v3이상 버전을 사용하거나 서비스를 ..
복구 콘솔에서 자동 로그온을 금지하도록 설정하여 사용하고 있는가? 취약점 개요 ■ 위험도 - 중 ■ 점검 목적 - 복구 콘솔 자동 로그온 허용을 "사용 안 함" 으로 설정함으로써 비인가자의 복구 콘솔을 통한 관리자 권한 탈취 등의 위험을 방지하기 위함 ■ 보안 위협 - 윈도우 복구 콘솔(Recovery Console) 자동 로그온 설정은 시스템 액세스 허가 전 Administrator 계정의 암호 제공 여부를 결정하는 것으로 이 옵션을 사용하면 비인가자의 경우에도 복구 콘솔을 이용해 관리자 권한으로 시스템에 자동으로 로그온 할 수 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : 복구 콘솔 자동 로그온 허용이 "사용 안 함" 으로 설정되어 있는 경우 - 취약 : 복구 콘솔 자동 로그온 허용이 "사용"으..
IIS 링크 사용금지 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 웹 컨텐츠 디렉토리에서 다른 디렉토리나 파일들에 접근할 수 있는 심볼릭 링크, 별칭(aliases), 바로가기 등을 제거하여 허용하지 않은 경로의 접근을 차단하기 위함 ■ 보안 위협 접근을 허용한 웹 콘텐츠 디렉토리 내에 서버의 다른 디렉토리나 파일들에 접근할 수 있는 심볼릭 링크, aliases, 바로가기 등이 존재하는 경우 해당 링크를 통해 허용하지 않은 다른 디렉토리에 엑세스 할 수 있는 위험성 존재 점검 및 조치 방법 ■ 판단 기준 - 양호 : 심볼릭 링크, aliases, 바로가기 등의 사용을 허용하지 않는 경우 - 취약 : 심볼릭 링크, aliases, 바로가기 등의 사용을 허용하는 경우 ■ 조치 방법 - 등록된 웹 사이트의..
NFS 접근 통제 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 접근권한이 없는 비인가자의 접근을 통제함 ■ 보안 위협 - 접근제한 설정이 적절하지 않을 경우 인증절차 없이 비인가자의 디렉터리나 파일의 접근이 가능하며, 해당 공유 시스템에 원격으로 마운트하여 중요 파일을 변조하거나 유출할 위험이 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : 불필요한 NFS 서비스를 사용하지 않거나, 불가피하게 사용 시 everyone 공유를 제한한 경우 - 취약 : 불필요한 NFS 서비스를 사용하고 있고, everyone 공유를 제한하지 않은 경우 ■ 조치 방법 - 사용하지 않는다면 NFS 서비스 중지, 사용할 경우 NFS 설정파일에 everyone 공유 설정 제거 ■ 점검 및 조치 사례 ▶ /etc/dfs/df..
최신 보안 패치 및 벤더 권고사항 적용 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 네트워크 장비의 보안 수준을 높이고 성능 및 기능 향상을 위해서 버전 업그레이드 및 보안 패치 작업을 수행해야 함 ■ 보안 위협 - 알려진 네트워크 장비의 버그나 취약점을 통하여 관리자 권한 획득이나 서비스 거부 공격 등을 발생시킬 수 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : 패치 적용 정책을 수립하여 주기적으로 패치를 관리하고 있을 경우 - 취약 : 패치 적용 정책을 수립하여 주기적으로 패치를 관리하고 있지 않을 경우 ■ 조치 방법 장비 별 제공하는 최신 취약점 정보를 파악 후 최신 패치 및 업그레이드를 수행 ㆍCISCO ㆍJuniper ■ 장비별 조치 방법 예시 ㆍ공통 1. 네트워크 장비는 지속해서 취약..
grant option 이 role 에 의해 부여되도록 설정 취약점 개요 ■ 위험도 - 중 ■ 점검 목적 - 일반사용자에게 Grant Option이 Role에 의한 부여가 아닐 경우 권한을 취소함 ■ 보안 위협 - 일반 사용자에게 Grant Option이 설정되어 있는 경우, 일반 사용자가 객체 소유자인 것과 같이 다른 일반 사용자에게 권한을 부여할 수 있어 WITH_GRANT_OPTION은 role에 의하여 설정되어야 함 점검 및 조치 방법 ■ 판단 기준 - 양호 : WITH_GRANT_OPTION이 ROLE에 의하여 설정되어 있는 경우 - 취약 : WITH_GRANT_OPTION이 ROLE에 의하여 설정되어있지 않은 경우 ■ 조치 방법 - WITH_GRANT_OPTION이 ROLE에 의하여 설정되도록..
NFS 서비스 비활성화 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - NFS(Network File System) 서비스는 한 서버의 파일을 많은 서비스 서버들이 공유하여 사용할 때 많이 이용되는 서비스이지만 이를 이용한 침해사고 위험성이 높으므로 사용하지 않는 경우 중지함 ■ 보안 위협 - 비인가자가 NFS 서비스로 인가되지 않은 시스템이 NFS 시스템 마운트 하여 비인가된 시스템 접근 및 파일변조 등의 침해 행위 가능성이 존재함 점검 및 조치 방법 ■ 판단 기준 - 양호 : 불필요한 NFS 서비스 관련 데몬이 비활성화 되어 있는 경우 - 취약 : 불필요한 NFS 서비스 관련 데몬이 활성화 되어 있는 경우 ■ 조치 방법 사용하지 않는다면 NFS 서비스 중지 아래의 방법으로 NFS 서비스를 제거한 후 ..
