행씨네

 알카텔은 해당 없음

 개요 대상 Alcatel-Lucent 위험도 중 code N-16 취약점 개요 VTY 접속 시 Telnet 프로토콜을 많이 사용하지만 , Telnet 은 패킷을 암호화하지 않은 텍스트 형태로 전송하므로 스니핑 공격에 의해 패스워드가 쉽게 노출되는 취약점이 존재함 . 따라서 패킷 자체를 암호화하여 전송하는 SSH 프로토콜 사용을 권장함 . 보안대책 판단기준 양호 : 장비 정책에 VTY 접근 시 암호화 프로토콜 (ssh) 이용한 접근만 허용하고  있는 경우 취약 : 장비 정책에 VTY 접근 시 평문 프로토콜 (telnet) 이용한 접근을 허용하고  있는 경우 조치방법 암호화 프로토콜만 VTY 에 접근 할 수 있도록 설정 조치 show ip service 명령어로 서비스 명령어 확인 위 화면은 AOS6에서 보여지는 화면입니다 Telnet 서비스 비활성화 AOS6 no ip service telnet AOS8 ip service telnet admin-state disable aaa에서 ssh 인증 활성화 aaa authentication ssh local //ssh서비스의 인증을 스위치에 저장된 user table을 참조하겠다. 쉽게 말해서 스위치에서 생성한 계정으로 인증하겠다 기타 보안 관점에서 스위치가 서비스하지 않는 포트는 모두 비활성화 하는것이 좋다

 개요 대상 Alcatel-Lucent 위험도 상 code N-05 취약점 개요 관리자가 네트워크 장비에 로그인 후 세션을 종료하지 않고 자리를 비우는 동안 악의적인 사용자가 접속된 터미널을 이용하여 불법적인 행위를 시도할 수 있음 . 원격 접속 시 일정 시간 동안 키 입력이 없는 경우 연결된 접속을 자동 종료시키는 설정이 필요함 . 보안대책 판단기준 양호 : Session Timeout 시간을 기관 정책에 맞게 설정한 경우 취약 : Session Timeout 시간을 기관 정책에 맞게 설정하지 않은 경우 조치방법 Session Timeout 설정 (5 분 이하 권고 ) 조치 CLI session timeout을 5분으로 설정 session timeout cli 5 기타 그외 session timeout http, session timeout ftp 옵션이 있지만 해당 서비스 모두 비활성화 해야하므로 추가 설정을 하지 않는다 매뉴얼을 보면 session timeout default는 4분으로 되어있다

 개요 대상 Alcatel-Lucent 위험도 상 code N-04 취약점 개요 VTY(Virtual Teletype Terminal) 사용 시 Telnet 이나 SSH 로 원격 접속이 가능함 . 원격 접속 시 평문으로 정보가 전송되는 Telnet 은 패스워드 추측 공격 (Password Guessing) 및 * 스니핑 공격에 취약하므로 보안상 SSH 사용을 권고함 . 인가된 사용자만의 안전한 접근 관리를 위해 접속할 수 있는 IP 를 제한하여 비인가자의 접근을 차단하여야 함 .   * 스니핑 (sniffing): 네트워크상의 데이터를 도청하는 행위 보안대책 판단기준 양호 : 가상터미널 ( VTY) 접근을 제한하는 ACL 설정이 되어있는 경우 취약 : 가상터미널 ( VTY) 접근을 제한하는 ACL 설정이 되어있지 않는 경우 조치방법 가상 터미널 (VTY) 에 특정 IP 주소만 접근 가능하도록 설정 조치 ACL설정 알카텔에선 qos configuration으로 ACL을 설정한다 Source IP : 192.168.0.10 SSH port : TCP 22 의 조건으로 다음의 configuration을 설정 policy service SSH destination tcp port 22 //ACL에서 설정할 TCP 22번의 서비스를 정의 policy network group PERMIT-SSH 192.168.0.10 //ACL에서 허용할 source IP주소를 정의 policy condition PERMIT-SSH source network group PERMIT-SSH destination network group Switch service

 개요 대상 Alcatel-Lucent 위험도 중 code N-15 취약점 개요 사용자•명령어별 권한 수준이 설정되어 있지 않은 경우 허가되지 않은 사용자가 중요한 프로그램을 실행하거나 모니터링 권한 설정을 변경하는 등의 위험이 발생할 수 있음 . 사용자의 업무 및 권한에 따라 수행할 수 있는 권한과 기능을 제한해야 함 . 보안대책 판단기준 양호 : 업무에 맞게 계정의 권한이 차등 부여 되어있을 경우 취약 : 업무에 맞게 계정의 권한이 차등 부여 되어있지 않을 경우 조치방법 업무에 맞게 계정 별 권한 차등 ( 관리자 권한 최소화 ) 부여 조치 user "username" read-write all 계정 : username read-write all 모든 명령어 권한 획득 user username read-write ? : 뒤에 올수 있는 옵션(명령어별 권한 설정 가능) WEBMGT VLAN UDLD TFTP-CLIENT TELNET SYSTEM STP SSH SNMP SLB SESSION SCP-SFTP RMON RIP RDP QOS POLICY PMM NTP NONE MODULE LINKAGG IPX IPV6 IPMS IPMR IP-ROUTING IP-HELPER IP INTERFACE HEALTH FILE ETHERNET-OAM DSHELL DOMAIN-SYSTEM DOMAIN-SERVICE DOMAIN-SECURITY DOMAIN-POLICY DOMAIN-PHYSICAL DOMAIN-NETWORK DOMAIN-LAYER2 DOMAIN-ADMIN DNS DEBUG CONFIG CHASSIS BRIDGE AVLAN ALL AIP AAA 802.1Q

 개요 대상 Alcatel-Lucent 위험도 상 code N-01 취약점 개요 네트워크 장비의 초기 설정 패스워드를 변경하지 않고 사용하는 경우 비인가자의 불법적인 접근이 가능하며 , 기본 패스워드는 인터넷상에서 검색을 통해 노출되어 있어 비인가자의 관리자 권한획득이 가능함 . 네트워크 장비의 초기 설정 패스워드는 반드시 변경 설정하여야 함 . 보안대책 판단기준 양호 : 기본 패스워드를 변경한 경우 취약 : 기본 패스워드를 변경하지 않거나 패스워드를 설정하지 않은 경우 조치방법 초기 설정 패스워드 변경 및 패스워드 설정 조치 user "username" password "string" read-write all username : 계정 string : 패스워드 read-write all 모든 명령어 권한 획득 user "username" password "string" read-only all username : 계정 string : 패스워드 read-only all 모든 명령어 확인은 가능하지만 수정은 불가능

개요 대상 Alcatel-Lucent 위험도 상 code N-02 취약점 개요 단순하거나 추측하기 쉬운 패스워드를 사용할 경우 악의적인 사용자가 쉽게 장비에 접속할 수 있으므로 암호 복잡성을 적용하여야 함 . 패스워드 복잡성을 적용하지 않은 경우 공격자는 * 무작위 대입 공격 (Brute Force Attack) 을 통하여 패스워드를 쉽게 획득할 수 있음 . 보안대책 판단기준 양호 : 기관 정책에 맞는 패스워드 복잡성 정책을 설정하거나 패스워드 복잡성 설정 기능이 없는 장비는 기관 정책에 맞게 패스워드를 사용하는 경우 취약 : 기관 정책에 맞지 않은 패스워드를 설정하여 사용하는 경우 조치방법 초기 설정 패스워드 변경 및 패스워드 설정 조치  1. admin 패스워드 변경 admin계정 로그인 상태에서 "password" 명령어 입력으로 변경 2. admin 계정 콘솔모드 전용으로 설정 user admin console-only enable 3. 패스워드 정책 변경 user password-policy min-uppercase 숫자 : 최소 대문자 user password-policy min-lowercase 숫자 : 최소 소문자 user password-policy min-digit 숫자 : 최소 숫자 user password-policy min-nonalpha 숫자 : 최소 특수문자 user password-size min 숫자 : 패스워드 최소 길이 user password-expiration 숫자 : 패스워드 변경 일자 user password-expiration 180 -> 180일 이후에 변경해야 함 user password-expirat

시작 ERS 스위치라는 시리즈가 있다. 연식이 좀 된 엔지니어들을 노텔 스위치라고 알고 있을것이고, 노텔에서 AVAYA라는 회사로 인수되었다가 그 후 현재는 EXTREME사로 인수된 상태이다. 벤더사가 여러번 바뀌는 수난을 겪은 라인업이다 보니 시스코나 주니퍼처럼 제대로된 커뮤니티도 없거니와 기술문서를 찾기도 힘들다 그렇다고 자료가 아주 없는건 아닌데, 아무튼 이용해 먹기 아주 까다로운 환경이다 가능하면 이 벤더는 추천하지 않지만 나도 봐야하기 때문에, 메모차원에서 LACP에 관련된 설정 글을 쓴다 주의. MLT가 아니다. ERS에서 쓰는 MLT와 LACP는 아주 깊은 연관이 있는게 사실이지만, MLT = LACP는 틀린말이다 이번 글을 Avaya Switch 5520에서 LACP를 설정하는거에 관련된 글이다  1. Topology 2. Configuraton ※상단 스위치 기준 vlan ports 23,24 tagging tagAll 포트 23,24의 타입을 tagged상태로 설정 vlan create 100 name "VLAN-100" type port vlan create 200 name "VLAN-200" type port VLAN100, 200생성 vlan members remove 1 all vlan members add 100 23,24 vlan members add 200 23,24 포트23,24에 VLAN100,200을 맵핑 interface vlan 100 ip address 172.16.100.10 255.255.255.0 exit interface vlan 200 ip address 172.16.200.10 255.255.255.0 exit SVI 설정 ip routing interface fastEthernet 23,24 lacp key 1 lacp mode active lacp timeout-time short lacp aggregation enable exit LACP설정. 모드는 active. 마