Monble_정보보안

점검내용 : 관리 터미널(콘솔, SSH, https 등)을 통해 네트워크 장비 접근 시 기본 패스워드(기본 관리자 계정도 함께 변경하도록 권고)를 사용하는지 점검

점검목적 : 기본 패스워드를 변경 후, 사용하는지 점검하며 기본 패스워드를 변경하지 않고 사용하는 경우, 비인가자의 네트워크 장비 접근에 대한 통제가 이루어지는지 확인을 하기 위함

참고 : 기본(Default) 패스워드 : 장비 제조업체에서 출고 시 설정되어 나오는 기본 관리자 계정의 패스워드 정보

기본(Default) 관리자 계정 : 장비 제조업체에서 출고 시 설정되어 나오는 네트워크 장비의 관리용 계정

장비별 점검방법

Cisco

Router > enable

Router# show running-config

* 명령줄(exec)는 여러가지 방법으로 라우터에 액세스 할 수 있지만, 인바운드 연결이 TTY라인에서 이루어짐

CTY 라인 유형은 콘솔 포트임

어떤 라우터에서든 라우터 컨피그레이션에 line con 0을 표시되고, show line 명령의 출력에는 cty로 표기

aux는 라인 보조포트(라인 보조 o)으로 표시

VTY 라인은 인바운드 텔넷 연결만 제어하는데 사용되는 라우터의 가상 터미널 회선

나는 IT 직무중 취약점 점검에 입문한지 이제 대학원생활까지 포함하여 5년차에 들어서는중...

첫회사를 약 3년다니고, 현직장으로 이직하였는데 역시 직급이 상승할수록 업무량은 많아지는....

늘 느끼는 거지만 좋은 사수와 임원을 만나는게 앞으로 생활하는데 있어, 얼마나 중요한지 깨닫고 있음....

언제까지 IT 취약점 직무를 수행할지 모르겠지만, 아마 관리자로 올라가게되어도, 기술쪽은 지속적으로 공부를 할 생각이고, 지금 자격증을 취득하고 싶은게 너무 많아서 하나씩 공부할 예정임

※ 따면 이직시 도움이 되는 자격증

1 소스코드진단원

https://academy.kisa.or.kr/edu/apply_detail.kisa?SQ=8691 

2. 개인정보영향평가

https://www.privacy.go.kr/per/iass/edu/AnnualEvent.do

3. CPPG

https://cpptest.or.kr/html/index.php

4. 보안기사

https://www.cq.or.kr/main.do

Unix 서버(Total 72개 항목-KISA 2021년 주요정보통신기반시설 가이드라인 기준)
1. 계정관리
1.1 root 계정 원격 접속 제한/중요도 상/항목코드 U-01
점검내용 : ■ root 계정에 대해 원격접속 정책 유무 확인

점검목적 : ■ root 계정 즉, 관리자 계정이 탈취되면, 당연히 시스템 장악이되고, 외부 비인가자 즉 제3자에 대해 root 계정 접근 시도를 무조건 막기위함(사내정보가 털리면, 당연히 내부감사, 외부감사가 이뤄짐, 시스템 털릴시 KISA 118번 신고, 경찰사이버수사대 신고, 아마 회사는 벌금을...., 담당자는 시말서를...나는 아직 안당해봐서 모름)

보안위협 : ■ root 계정은 당연히 최고 관리자 계정이라, 털리면 당연히 문제가 생기니, 이러한 위협에 대응하기 위해 관리자 계정이 아닌 별도의 계정을 만들어서 각 담당자의 업무에 따라 권한 부여. 다만 입사자 또는 퇴사자 발생시, 매년 인사이동이 발생되기에 현황조사를 하여, 시스템에 반영해야함. 하지만 현업에서는 귀찮아서 잘 안하다가 ISMS, ISMS-P, 국정원 실태점검 등에서 취약점으로 판단되는 경우가 많음. 취약점이 나오지만 대부분 유지보수업체에 맡기기 때문에 제대로 관리 및 감독되는 곳이 별로 없고 잘되는곳은 딱 1곳을 봄)

대상 : ■ SOLARIS, Linux, AIX, HP-UX 등

판단기준 : 양호 : root 원격접속 차단된 경우
취약 : root 원격접속 미차단된 경우

점검방법 : Solaris 너무 오래전꺼라 사용하는 곳이 거의 없고, 아마 교체시 서비스장애 및 비용발생 등 문제가 될 소지가 있어서 부득이하게 사용하는곳이 있는듯함 Linux는 Solaris와 비슷함
다른거는 모르겠지만, PermitRootLogin Yes-->No로 반드시 변경해야 함(No로 변경하는 의미는 Root의 원격접속을 차단하겠다라는 의미. 간혹 아에 PermitRootLogin 설정이 없을 경우 바로 취약으로 판단할수도 있으나, 아마 장비운영자들은 보안솔루션 즉 방화벽에서 통제하고 있어서 안전하다고 할수도 있을텐데 가이드라인 기준에서는 보안솔루션이 아닌 장비내 설정값을 의미하는부분이기에 취약으로 판단) 상세한 조치방법은 KISA 주요정보통신기반시설 가이드라인에 나와있음
[PAM 설정에 대해서는 타 블로그 참조]
https://sysops.tistory.com/125

▶ 주요정보통신기반시설 가이드(2021년 기준)

현재 한국에서의 가이드라인 기준은 한국인터넷진흥원(KISA) 가이드라인을 기준으로 한다. 인프라 각 항목에 대해 서술되어 있으며 해당항목의 양호기준에 따라 회사의 취약점 점검을 수행하고, 취약점이 도출될시 이행조치 기준에 따라 이행을 수행한다. 다만, 이행조치를 수행하는것이 서비스에 장애를 초래할 경우 예외사항으로 판단하며, 이는 현업과의 의견조율이 필요한 부분이다. 필자의 경우 취약으로 도출되었으나, 이행조치가 오히려 서비스장애를 초래하는 경우 해당 항목에 대해서는 양호로 판단하며, 별도의 표기를 통해 서비스장애가 발생될 가능성이 있기에 이행조치한것으로 간주한다라고 명시를 하는편이다.(※ 회사별 또는 진단자별 성향에 따라 다를수 있음. 취약으로 하고 위험수용으로 갈수도 있음. 다만 위험수용을 하는경우 위험평가보고서에 해당항목에 대해 명시를 해야함)

특히, 대부분의 진단자들이 각 항목에 취약, 양호만 판단할줄 알지 해당 항목에 대한 점수배점이 어떻게 측정이 되는지 모르는거 같아. 정확한 팩트를 알려드리고자 한다. 주요정보통신기반시설의 경우, 법제처의 정보통신기반보호법 내 주요정보통신기반시설의 별첨에 배점이 명시되어 있다.

[링크참조]

https://www.krcert.or.kr/data/guideView.do?bulletin_writing_sequence=35988 

https://www.law.go.kr/%EB%B2%95%EB%A0%B9/%EC%A0%95%EB%B3%B4%ED%86%B5%EC%8B%A0%EA%B8%B0%EB%B0%98%20%EB%B3%B4%ED%98%B8%EB%B2%95

https://www.law.go.kr/LSW//conAdmrulByLsPop.do?&lsiSeq=219583&joNo=0009&joBrNo=00&datClsCd=010102&dguBun=DEG&lnkText=%25EA%25B8%25B0%25EC%25A4%2580%25EC%259D%2584%2520%25EC%25A0%2595%25ED%2595%2598%25EA%25B3%25A0&admRulPttninfSeq=1705#AJAX