N-05(상) VTY 접근(ACL) 설정

※ 해당 가이드는 2017년 기준입니다.

주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다.

주요정보통신기반시설 취약점 네트워크 장비 점검 항목

■ 취약점 개요

○ 점검개요 : 원격 터미널(VTY) 통해 네트워크 장비 접근 시 지정된 IP에서만 접근이 가능 하도록 설정되어 있는지 점검

○ 점검목적 : 지정된 IP 만 네트워크 장비에 접근하도록 설정되어 있는지 점검하여 비인가자의 터미널 접근을 원천적으로 차단하는지 확인

○ 보안위협 : 지정된 IP 만 네트워크 장비에 접근하도록 설정되어 있지 않을 경우, 비인가자가 터미널 접근 시도 공격(무작위 대입 공격, 사전 대입 공격 등)을 시도 하여 관리자 계정 패스워드 획득 후 네트워크 장비에 접근하여 장비 설정(기능, 요여정책) 변경 및 삭제 등의 행위를 통해 네트워크 장비를 경유하는 데이터의 유출 및 가용성 저하 등을 발생 시킬 수 있는 위험이 존재

○ 점검대상 : CISCO, Alteon, Passport, Juniper 등

○ 판단기준

- 양호 : 원격 터미널(VTY) 접근 시 지정된 IP만 접근 하도록 설정이 되어있는 경우

- 취약 : 원격 터미널(VTY) 접근 시 지정된 IP만 접근하도록 설정이 되어있지 않는 경우

 

■ 점검방법

○ 장비별 점검방법 예시

CISCO	Router# show running-config Access-List 설정 확인 각 Line Vty에 access-class 설정 확인
Alteon, Passport	장비로 접속하여 Telnet 또는 SSH 사용자의 접속 IP 설정 확인(Access Policies)
Juniper	user@juniper# configure [edit] user@juniper# show root authentication 설정을 이용하여 [edit system] 레벨에서 ACL 설정 확인

 

■ 조치방안

○ CISCO

- VTY 접근 허용 IP 설정

Step 1

Router# config terminal Router(config)# access-list [1-99] {permit|deny} [Source Network] [WildcardMask] Router(config)# access-list [1-99] permit any -> 기본 deny 방지 Router(config)# line vty 0 4 Router(config)# access-class [1-99] in (예)192.168.2.1 에서만 vty 접근 가능 Router(config)# access-list 1 permit 192.168.2.1

- SSH 사용할 경우

Step 1	Global configuration mode로 접속 (config)# access-list <access_list_num> permit <source_ip mask> (config)# ssh access-group <num> (config)# write memory
	Global configuration mode로 접속 (config)# ip ssh client <IP_address>
	Global configuration mode로 접속 (config)# ip ssh client <IP_address> <mac_address>

○ Alteon

Step 1	switch로 접속
Step 2	# cfg
Step 3	# sys
Step 4	# access
Step 5	# mgmt
Step 6	# add <mgmt network address> <mgmt network mask> <management access protocol>
Step 7	# apply
Step 8	# save

○ Passport

Step 1	switch로 접속
Step 2	# config sys access-policy
Step 3	config/sys/access-policy# enable true
Step 4	config/sys/access-policy# policy <pid> create
Step 5	config/sys/access-policy# policy <pid>
Step 6	config/sys/access-policy/policy/<pid># enable true
Step 7	config/sys/access-policy/policy/<pid># accesslevel rwa
Step 8	config/sys/access-policy/policy/<pid># host <ip-addr>
Step 9	config/sys/access-policy/policy/<pid># service snmp enable
Step 10	config/sys/access-policy/policy/<pid># service telnet enable

○ Juniper

Step 1

ㆍACL 로깅 설정 ㆍAccess-list를 생성하면 기본 Deny가 되므로 네트워크 담당자를 통해 설정   user@juniper> configure [edit] user@juniper# source-address 127.0.0.0/24; user@juniper# source-address 224.0.0.0/4; user@juniper# source-address 0.0.0.0/0;

 

■ 조치 시 영향

Access-list를 생성하면 기본 Deny가 되므로 네트워크 담당자를 통해 설정

 

■ VTY(Virtual Type Terminal)

○ 가상 유형 터미널의 약어. 가상 터미널 라인(virtual terminal line)이라는 용어가 더 흔하게 사용되며 네트워크 장비를 원격 프로토콜(ssh)에서 관리하기 위한 터미널 서비스

 

■ 기반시설 시스템은 VTY을 통한 접근을 원칙적으로 금지

○ 기반시설 시스템은 VTY을 통한 접근을 원칙적으로 금지하나, 부득이 VTY을 사용하여 접근을 해야 하는 경우 허용한 시스템만 접근할 수 있게 하여 사용