행씨네

 알카텔은 해당 없음

 개요 대상 Alcatel-Lucent 위험도 중 code N-16 취약점 개요 VTY 접속 시 Telnet 프로토콜을 많이 사용하지만 , Telnet 은 패킷을 암호화하지 않은 텍스트 형태로 전송하므로 스니핑 공격에 의해 패스워드가 쉽게 노출되는 취약점이 존재함 . 따라서 패킷 자체를 암호화하여 전송하는 SSH 프로토콜 사용을 권장함 . 보안대책 판단기준 양호 : 장비 정책에 VTY 접근 시 암호화 프로토콜 (ssh) 이용한 접근만 허용하고  있는 경우 취약 : 장비 정책에 VTY 접근 시 평문 프로토콜 (telnet) 이용한 접근을 허용하고  있는 경우 조치방법 암호화 프로토콜만 VTY 에 접근 할 수 있도록 설정 조치 show ip service 명령어로 서비스 명령어 확인 위 화면은 AOS6에서 보여지는 화면입니다 Telnet 서비스 비활성화 AOS6 no ip service telnet AOS8 ip service telnet admin-state disable aaa에서 ssh 인증 활성화 aaa authentication ssh local //ssh서비스의 인증을 스위치에 저장된 user table을 참조하겠다. 쉽게 말해서 스위치에서 생성한 계정으로 인증하겠다 기타 보안 관점에서 스위치가 서비스하지 않는 포트는 모두 비활성화 하는것이 좋다

 개요 대상 Alcatel-Lucent 위험도 상 code N-05 취약점 개요 관리자가 네트워크 장비에 로그인 후 세션을 종료하지 않고 자리를 비우는 동안 악의적인 사용자가 접속된 터미널을 이용하여 불법적인 행위를 시도할 수 있음 . 원격 접속 시 일정 시간 동안 키 입력이 없는 경우 연결된 접속을 자동 종료시키는 설정이 필요함 . 보안대책 판단기준 양호 : Session Timeout 시간을 기관 정책에 맞게 설정한 경우 취약 : Session Timeout 시간을 기관 정책에 맞게 설정하지 않은 경우 조치방법 Session Timeout 설정 (5 분 이하 권고 ) 조치 CLI session timeout을 5분으로 설정 session timeout cli 5 기타 그외 session timeout http, session timeout ftp 옵션이 있지만 해당 서비스 모두 비활성화 해야하므로 추가 설정을 하지 않는다 매뉴얼을 보면 session timeout default는 4분으로 되어있다

 개요 대상 Alcatel-Lucent 위험도 상 code N-04 취약점 개요 VTY(Virtual Teletype Terminal) 사용 시 Telnet 이나 SSH 로 원격 접속이 가능함 . 원격 접속 시 평문으로 정보가 전송되는 Telnet 은 패스워드 추측 공격 (Password Guessing) 및 * 스니핑 공격에 취약하므로 보안상 SSH 사용을 권고함 . 인가된 사용자만의 안전한 접근 관리를 위해 접속할 수 있는 IP 를 제한하여 비인가자의 접근을 차단하여야 함 .   * 스니핑 (sniffing): 네트워크상의 데이터를 도청하는 행위 보안대책 판단기준 양호 : 가상터미널 ( VTY) 접근을 제한하는 ACL 설정이 되어있는 경우 취약 : 가상터미널 ( VTY) 접근을 제한하는 ACL 설정이 되어있지 않는 경우 조치방법 가상 터미널 (VTY) 에 특정 IP 주소만 접근 가능하도록 설정 조치 ACL설정 알카텔에선 qos configuration으로 ACL을 설정한다 Source IP : 192.168.0.10 SSH port : TCP 22 의 조건으로 다음의 configuration을 설정 policy service SSH destination tcp port 22 //ACL에서 설정할 TCP 22번의 서비스를 정의 policy network group PERMIT-SSH 192.168.0.10 //ACL에서 허용할 source IP주소를 정의 policy condition PERMIT-SSH source network group PERMIT-SSH destination network group Switch service

 개요 대상 Alcatel-Lucent 위험도 중 code N-15 취약점 개요 사용자•명령어별 권한 수준이 설정되어 있지 않은 경우 허가되지 않은 사용자가 중요한 프로그램을 실행하거나 모니터링 권한 설정을 변경하는 등의 위험이 발생할 수 있음 . 사용자의 업무 및 권한에 따라 수행할 수 있는 권한과 기능을 제한해야 함 . 보안대책 판단기준 양호 : 업무에 맞게 계정의 권한이 차등 부여 되어있을 경우 취약 : 업무에 맞게 계정의 권한이 차등 부여 되어있지 않을 경우 조치방법 업무에 맞게 계정 별 권한 차등 ( 관리자 권한 최소화 ) 부여 조치 user "username" read-write all 계정 : username read-write all 모든 명령어 권한 획득 user username read-write ? : 뒤에 올수 있는 옵션(명령어별 권한 설정 가능) WEBMGT VLAN UDLD TFTP-CLIENT TELNET SYSTEM STP SSH SNMP SLB SESSION SCP-SFTP RMON RIP RDP QOS POLICY PMM NTP NONE MODULE LINKAGG IPX IPV6 IPMS IPMR IP-ROUTING IP-HELPER IP INTERFACE HEALTH FILE ETHERNET-OAM DSHELL DOMAIN-SYSTEM DOMAIN-SERVICE DOMAIN-SECURITY DOMAIN-POLICY DOMAIN-PHYSICAL DOMAIN-NETWORK DOMAIN-LAYER2 DOMAIN-ADMIN DNS DEBUG CONFIG CHASSIS BRIDGE AVLAN ALL AIP AAA 802.1Q

 개요 대상 Alcatel-Lucent 위험도 상 code N-01 취약점 개요 네트워크 장비의 초기 설정 패스워드를 변경하지 않고 사용하는 경우 비인가자의 불법적인 접근이 가능하며 , 기본 패스워드는 인터넷상에서 검색을 통해 노출되어 있어 비인가자의 관리자 권한획득이 가능함 . 네트워크 장비의 초기 설정 패스워드는 반드시 변경 설정하여야 함 . 보안대책 판단기준 양호 : 기본 패스워드를 변경한 경우 취약 : 기본 패스워드를 변경하지 않거나 패스워드를 설정하지 않은 경우 조치방법 초기 설정 패스워드 변경 및 패스워드 설정 조치 user "username" password "string" read-write all username : 계정 string : 패스워드 read-write all 모든 명령어 권한 획득 user "username" password "string" read-only all username : 계정 string : 패스워드 read-only all 모든 명령어 확인은 가능하지만 수정은 불가능

개요 대상 Alcatel-Lucent 위험도 상 code N-02 취약점 개요 단순하거나 추측하기 쉬운 패스워드를 사용할 경우 악의적인 사용자가 쉽게 장비에 접속할 수 있으므로 암호 복잡성을 적용하여야 함 . 패스워드 복잡성을 적용하지 않은 경우 공격자는 * 무작위 대입 공격 (Brute Force Attack) 을 통하여 패스워드를 쉽게 획득할 수 있음 . 보안대책 판단기준 양호 : 기관 정책에 맞는 패스워드 복잡성 정책을 설정하거나 패스워드 복잡성 설정 기능이 없는 장비는 기관 정책에 맞게 패스워드를 사용하는 경우 취약 : 기관 정책에 맞지 않은 패스워드를 설정하여 사용하는 경우 조치방법 초기 설정 패스워드 변경 및 패스워드 설정 조치  1. admin 패스워드 변경 admin계정 로그인 상태에서 "password" 명령어 입력으로 변경 2. admin 계정 콘솔모드 전용으로 설정 user admin console-only enable 3. 패스워드 정책 변경 user password-policy min-uppercase 숫자 : 최소 대문자 user password-policy min-lowercase 숫자 : 최소 소문자 user password-policy min-digit 숫자 : 최소 숫자 user password-policy min-nonalpha 숫자 : 최소 특수문자 user password-size min 숫자 : 패스워드 최소 길이 user password-expiration 숫자 : 패스워드 변경 일자 user password-expiration 180 -> 180일 이후에 변경해야 함 user password-expirat