N-04(중) 사용자ㆍ명령어별 권한 수준 설정

※ 해당 가이드는 2017년 기준입니다.

주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다.

주요정보통신기반시설 취약점 네트워크 장비 점검 항목

■ 취약점 개요

○ 점검개요 : 네트워크 장비 사용자의 업무에 따라 계정 별로 장비 관리 권한을 차등(관리자 권한은 최소한의 계정만 허용) 부여하고 있는지 점검

○ 점검목적 : 업무에 따라 계정 별 권한이 차등 부여되어 있는지 점검하여 계정 별 권한에 따라 장비의 사용 및 설정 가능한 기능을 제한하는지 확인

○ 보안위협 : 계정 별 권한이 차등 부여되어 있지 않은 경우, 일반 계정으로 장비의 모든 기능을 제어할 수 있어 일반 계정이 비인가자에 노출되었을 때 비인가자가 획득한 계정 정보를 통해 네트워크 장비에 접근하여 장비의 설정(ACL) 변경, 삭제 등의 행위를 하여 장비의 가용성(해당 장비를 통해 통신하는 정보시스템 간 데이터 전송 불가)저하 문제가 발생할 위험이 존재

○ 점검대상 : CISCO, Alteon, Juniper, Piolink등

○ 판단기준

- 양호 : 업무에 맞게 계정의 권한이 차등 부여 되어있을 경우

- 취약 : 업무에 맞게 계정의 권한이 차등 부여 되어있지 않을 경우

 

■ 점검방법

○ 비별 점검방법 예시

CISCO	Router# show privilege 사용자ㆍ명령어별 레벨 설정 확인
Alteon	사용자의 접근 레벨이 7단계로 나누어져 있는지 확인
Juniper	[edit system login]에서 superuser, read-only 클래스를 분리, 운영하는지 확인
Piolink	슈퍼유저(root)와 일반유저로 권한을 부여하여 관리하는지 확인

 

■ 조치방안

○ CISCO

- 시스코 IOS에서는 0에서 15까지 16개의 서로 다른 권한 수준을 규정하고 있으며, 레벨 1과 레벨 15는 기본적으로 정의

- 사용자 EXEC 모드는 레벨 1에서 실행되며 privileged EXEC 모드는 레벨 15에서 실행되고, IOS 각 명령어는 레벨 1이나 레벨 15 중 어느 하나의 레벨이 사전에 기본적으로 지정

- 레벨 1에서는 라우터의 설정 조회만 가능하고 레벨 15에서는 라우터의 전체 설정을 조회하고 변경할 수 있으므로 중요한 명령어의 권한 수준을 높여서 제한하는 것이 보안상 안전

Step 1

사용자별 권한 수준 지정   Router# config terminal Router(config)# username [ID] privilege [1-15] password [PASS]

Step 2

명령어별 권한 수준 지정   Router(config)# privilege exec level [1-15] [서비스명]   ※ 아래의 중요한 명령어에는 반드시 레벨 15를 적용해야 한다. connect, telnet, rlogin, show ip access-list, show logging   Router# config terminal Router(config)# privilege exec level 15 connect Router(config)# privilege exec level 15 telnet Router(config)# privilege exec level 15 rlogin Router(config)# privilege exec level 15 show ip access-list Router(config)# privilege exec level 15 show logging

○ Alteon

- 사용자의 접근 및 권한 레벨(7단계)

사용자 계정/기본 패스워드	설명
User/User	User는 스위치 관리에 대한 직접적인 책임이 없지만 모든 스위치 상태 정보와 통계 자료를 볼 수 있지만 스위치의 어떤 설정도 변경 불가
SLB Operator/slboper	SLB Operator는 Web 서버들과 다른 인터넷 서비스의 로드를 관리하며 부가적으로 모든 스위치 정보와 통계를 볼 수 있으며, Server Load Balancing 운영 메뉴를 사용하는 서버의 사용 가능/사용 불가능을 설정 가능
Layer4 Operator/l4oper	Layer4 Operator는 공유된 인터넷 서비스들에 따른 라인의 트래픽을 관리하며 SLB Operator와 같은 접근 레벨을 가지고 있고, 공유된 인터넷 서비스들에 따른 라인의 트래픽을 관리하는 운영자를 위한 운영적인 명령어에 접근할 수 있도록 향후에 사용하기 위한 접근 레벨은 예약
Operator/oper	Operator는 모든 스위치의 기능을 관리하며 부가적으로 SLB Operator 기능과 포트나 전반적인 스위치를 재설정 가능
SLB Administrator/slbadmin	SLB Administrator는 웹서버들과 다른 인터넷 서비스들과 그것에 대한 로드를 설정 및 관리 가능하며 부가적으로 SLB Operator 기능들과 설정 필터들이나 대역 폭 관리를 하는 것을 제외한 Server Load Balancing 메뉴에 매개변수를 설정가능
Layer4 Administrator/l4admin	Layer4 Administrator는 공유된 인터넷 서비스들에 따른 라 인에 대한 트래픽을 설정 및 관리하며 부가적으로 SLB Administrator 기능들, 설정 필터들이나 대역폭 관리 하는 것을 포함한 Server Load Balancing 메뉴에 모든 매개변수를 설정 가능
Administrator/admin	superuser Administrator는 user와 administrator 패스워드를 둘 다 변경할 수 있으며, Web 스위치의 모든 메뉴, 정보 그 리고 설정 명령어들에 사용 가능

- 조치 방안

Step 1	switch로 접속
Step 2	# cfg
Step 3	# sys
Step 4	다음 중에 해당하는 경우를 선택   # /user/명령어 usrpw - user 암호 설정 및 변경 sopw - SLB operator 암호 설정 및 변경 l4opw - L4 operator 암호 설정 및 변경 opw - operator 암호 설정 및 변경 sapw - SLB administrator 암호 설정 및 변경 l4apw - L4 administrator 암호 설정 및 변경 admpw - administrator 암호 설정 및 변경
Step 5	암호 및 설정 변경
Step 6	# apply
Step 7	# save

○ Juniper

- 장비 구성 변경 시 사용하는 superuser 클래스와 monitoring 용으로 사용하는 read-only 클래스를 분리하여 사용할 것을 권장하며 장비 내 기본적으로 다음과 같은 클래스별 사용 권한 설정 및 세부 옵션 추가로 기능 제한을 할 수 있고, 특정 명령어 사용 제한을 계정마다 따로 설정할 수 있으므로 특정한 사용자 계정의 생성이 필요한 경우 사용 권한을 부여

Class-name	Ability
Operator	clear, network, reset, trace, view
read-only	view
Superuser	all
unauthorized	None

- 조치 방안

Step 1	[edit system login] hierarchy level:
Step 2	[edit system] login {10 class class-name { allow-commands ''regular-expression"; deny-commands ''regular-expression"; idle-timeout minutes; permissions [ permissions ] ; } }

○ Piolink

- 디폴트 계정인 슈퍼유저(root)와 관리목적에 따라 신규로 등록할 수 있는 일반유저, 2단계로 나누어져 있으며 슈퍼유저는 모든 권한이 부여되어 있으나 일반유저의 경우 장비의 설정을 변경할 수 있는 권한이 없어 사용자의 업무 및 권한에 따라 계정을 부여하여 관리하는 것이 보안상 중요

 

■ 조치 시 영향

해당 명령어 실행 시 권한 부족으로 실행불가

 

■ 관리자 계정

○ 장비의 모든 기능(계정 생성 및 권한 부여, 장비 정책 설정, 모든 명령어 사용

가능 등)을 제한 없이 사용하거나 설정할 수 있는 계정

 

■ 일반 계정

○ 장비의 일부 기능(모니터링, 룰셋적용, 일부 명령어만 사용 등) 만 사용하거나

설정할 수 있는 계정