N-11(하) 원격 로그서버 사용

※ 해당 가이드는 2017년 기준입니다.

주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다.

주요정보통신기반시설 취약점 네트워크 장비 점검 항목

■ 취약점 개요

○ 점검개요 : 네트워크 장비의 로그를 별도의 원격 로그 서버에 보관하도록 설정하였는지를 점검

○ 점검목적 : 네트워크 장비의 로그를 별도의 원격 로그 서버에 보관하도록 설정하여 네트워크 장비에 이상이 발생하거나 로그 저장 공간 부족, 공격자의 로그 삭제나 변조 위험에 대비

○ 보안위협 : 별도의 로그 서버를 통해 로그를 관리하지 않을 경우, 네트워크 장비에 이상이 발생하거나 공격자의 로그 삭제 및 변조가 일어났을 시 사고 원인 분석에 어려움이 발생

○ 점검대상 : CISCO, Alteon, Juniper, Piolink 등

○ 판단기준

- 양호 : 별도의 로그 서버를 통해 로그를 관리하는 경우

- 취약 : 별도의 로그 서버가 없는 경우

 

■ 점검방법

○ 장비별 점검방법 예시

CISCO	Router# show running-config Router# show logging Logging 설정 확인 Log 정보 확인
Alteon	/syslog/host에서 syslog host 설정 확인
Juniper	user@juniper> configure [edit] user@juniper# show version root authentication 설정을 이용하여 [edit system] 레벨에서 패치 정보 확인
Piolink	configure에서 logging 서버 설정 확인

 

■ 조치방안

○ CISCO

Step 1

라우터 로깅 설정 Router# config terminal Router(config)# logging on (log 를 console 이외도 전달) Router (config) # logging trap informational (severity level 설정) Router (config) # logging 192.168.3.1 (syslog 서버) Router (config) # logging facility local6 (syslog facility 설정) Router(config)# logging source-interface serial 0 (syslog interface)

○ Alteon

Step 1	switch로 접속
Step 2	# cfg
Step 3	# sys
Step 4	다음과 같이 설정 가능   # /syslog/host: first syslog host의 IP 주소 설정 # /syslog/host2 : second syslog host의 IP 주소 설정
Step 5	# apply
Step 6	# save

○ Juniper

Step 1

user@juniper> configure edit user@juniper# edit system syslog [edit system syslog] user@juniper# set system syslog file message any error user@juniper# set system syslog host 192.168.0.245 any any user@juniper# set archive files 5 sizes 5m world-readable(files 5는 파일 수를 5개까지 표시하여 데이터를 사용하며, 5m은 최대 사이즈를 5m까지 허용하는 것을 의미)

○ Piolink

Step 1	# logging server enable
Step 2	#l ogging server <ip address><event><level>

 

■ 조치 시 영향

상세한 로깅 설정은 라우터 성능에 영향을 미칠 가능성 존재

■ 원격 로그 서버

○ 정보시스템(서버, 네트워크, 보안장비 등)으I 로그를 통합적으로 보관하는 서버