주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다.
주요정보통신기반시설 취약점 Unix 점검 항목
■ 취약점 개요
○ 점검개요 : 허용할 호스트에 대한 접속 IP 주소 제한 및 포트 제한 설정 여부 점검
○ 점검목적 : 허용한 호스트만 서비스를 사용하게 하여 서비스 취약점을 이용한 외부자 공격을 방지
○ 보안위협 : 허용할 호스트에 대한 IP 및 포트제한이 적용되지 않은 경우, Telnet, FTP같은 보안에 취약한 네트워크 서비스를 통하여 불법적인 접근 및 시스템 침해사고가 발생
○ 점검대상 : SOLARIS, LINUX, AIX, HP-UX 등
○ 판단기준
- 양호 : 접속을 허용할 특정 호스트에 대한 IP 주소 및 포트 제한을 설정한 경우
- 취약 : 접속을 허용할 특정 호스트에 대한 IP 주소 및 포트 제한을 설정하지 않은 경우
** 해당 항목은 컨설팅 수행 시 의견이 다양한 항목입니다.... 보수적으로 확인할때는 서버에 해당 설정이 완료되어있어야 양호로 판단하지만 실질적으로 대량에 서버가 구성되어있을때 설정이 어려운 경우가 많습니다.
그래서 보안장비를 통한 접속제어를 수행 시 양호로 판별하는 경우도 종종있습니다. 해당 내용은 보안팀과 함께 협의하여서 판단하시는게 좋습니다.
■ 점검방법
○ SOLARIS, LINUX, AIX
TCP Wrapper 사용할 경우(All deny 적용 확인 및 접근 허용 IP 적절성 확인)
#cat /etc/hosts.deny
#cat /etc/hosts.allow
IPtables 사용할 경우(Linux)
#iptables -L
IPfilter 사용할 경우(SOLARIS)
#cat /etc/ipf/ipf.conf
TCP Warrper(SOLARIS 10 이상)
# inetadm –p
tcp wrappers=true(현재 실행되어 있는 상태)
tcp wrappers=false(현재 정지된 상태)
○ HP-UX
All deny 적용 확인 및 서비스 접근 가능 IP 확인
#cat /var/adm/inetd.sec
※ 위에 제시한 파일이 존재하지 않거나 All deny 설정이 적용되지 않은 경우 또는, 시스템 접근 제한 IP 설정 필요 시 조치방안에 따라 설정을 변경한다.
■ 조치방안
○ IPtables 사용하는 경우
1. iptables 명령어를 통해 접속할 IP 및 포트 정책 추가
(예)SSH 서비스 제한
#iptables —A INPUT -p tcp —s 192.168.1.0/24 —dport 22 -j ACCEPT
#iptables -A INPUT -p tcp --dport 22 - j DROP
2. iptables 설정 저장
#/etc/rc.d/init.d/iptables save
○ IPtables 사용하는 경우
1. vi 편집기를 이용하여 “/etc/ipf/ipf.conf” 파일 열기
2. 접속할 IP 및 포트 정책 추가
(예)SSH 서비스 제한
pass in quick proto tcp from 192.168.1.0/24 to any port = 22 keep state
block in quick proto tcp from any to any port = 22 keep state
3. IPfilter 서비스 재시작
○ TCP Wrapper 사용하는 경우
1. vi 편집기를 이용하여 “/etc/hosts.deny” 파일 열기(해당 파일이 없을 경우 새로 생성)
2. 아래와 같이 수정 또는, 신규 삽입(ALL Deny 설정)
(수정 전)설정 없음
(수정 후)ALLALL
3. vi 편집기를 이용하여 “/etc/hosts.allow” 파일 열기(해당 파일이 없을 경우 생성)
(수정 전)설정 없음
(수정 후)sshd : 192.168.0.148, 192.168.0.6
※ 다른 서비스들도 위와 동일한 방식으로 설정
○ HP-UX
HP-UX 서버의 경우 "/var/adm/inetd.sec" 파일을 이용하여 서버 자체적으로 접근제어를 할 수 있으며, 해당 파일이 존재하지 않을 경우 “/usr/newconfig/var/adm/inetd.sec” 샘플 파일을 복사하여 사용
1. vi 편집기를 이용하여 "/var/adm/inetd.sec" 파일 열기(해당 파일이 없을 경우 새로 생성)
2. 아래와 같이 수정 또는, 신규 삽입(ALL Deny 설정)
telnet deny *.*.*.*(telnet 으로의 모든 접속 차단)
telnet allow [telnet 접속 허용 IP 등록](telnet 접속을 허용할 IP 등록)
※ 다른 서비스들도 위와 동일한 방식으로 설정
■ 조치 시 영향
일반적인 경우 무관
■ 접속 IP 및 포트제한 애플리케이션 종류 예시
○ TCP Wrapper
- 네트워크 서비스에 관련한 트래픽을 제어하고 모니터링 할 수 있는 UNIX 기반의 방화벽 툴
○ IPFilter
- 유닉스 계열에서 사용하는 공개형 방화벽 프로그램으로써 Packet Filter로 시스템 및 네트워크 보안에 아주 강력한 기능을 보유한 프로그램
○ IPtables
- 리눅스 커널 방화벽이 제공하는 테이블들과 그것을 저장하는 체인, 규칙들을 구할 수 있게 해주는 응용프로그램
'취약점 진단 가이드 > UNIX 서버 진단 가이드' 카테고리의 다른 글
U-31(중) NIS 서비스 비활성화 (0) | 2021.01.15 |
---|---|
U-30(하) hosts.lpd 파일 소유자 및 권한 설정 (0) | 2021.01.15 |
U-28(상) $HOME/.rhosts, hosts.equiv 사용 금지 (0) | 2021.01.14 |
U-27(상) /dev에 존재하지 않는 device 파일 점검 (0) | 2021.01.13 |
U-26(상) world writable 파일 점검 (0) | 2021.01.13 |