※ 해당 가이드는 2017년 기준입니다.
주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다.
주요정보통신기반시설 취약점 네트워크 장비 점검 항목
■ 취약점 개요
○ 점검개요 : 네트워크 장비에 ACL 적용 시 일반적으로 사용하지 않는 broadcast, multicast, loopback 주소로 오는 패킷에 대한 필터 정책을 적용하였는지 점검
○ 점검목적 : 일반적으로 사용될 필요가 없는 Source IP로 설정된 패킷에 대한 ACL을 적용시켜 패킷을 필터 함으로써 사용되지 않는 주소로 속여 공격하는 변조된 불법 패킷을 차단
○ 보안위협 : 일반적으로 사용되지 않는 Source IP에 대한 ACL 적용을 하지 않은 경우, 공격자가 악의적인 목적으로 패킷을 조작하여 DoS 공격을 시도할 수 있는 위험이 존재
○ 점검대상 : CISCO, Alteon, Juniper 등
○ 판단기준
- 양호 : 악의적인 공격에 대비하여 Source IP에 ACL을 적용한 경우
- 취약 : 악의적인 공격에 대비하여 Source IP에 ACL을 적용하지 않은 경우
■ 점검방법
○ 장비별 점검방법 예시
| CISCO | Router# show running IP spoofing 방지 설정 확인 |
| Alteon | /slb/filt에서 IP spoofing 방지를 위한 ACL 설정 확인 |
| Juniper | Configure Firewall Filters와 Apply Firewall Filters 설정 확인 |
■ 조치방안
○ CISCO
| Step 1 | Global configuration mode 로 접속 |
| Step 2 | access-list number deny ip 127.0.0.0 0.255.255.255 any |
| Step 3 | access-list number deny ip 224.0.0.0 31.255.255.255 any |
| Step 4 | access-list number deny ip host 0.0.0.0 any |
| Step 5 | access-list number permit ip any any |
○ Alteon
| Step 1 | switch로 접속 |
| Step 2 | # cfg |
| Step 3 | # /sib/filt <filter number> |
| Step 4 | # sip 127.0.0.0 |
○ Juniper
| Step 1 | Configure Firewall Filters [edit firewall] firewall { filter filter-name { term term-name { accounting-profile name; from { source-address 127.0.0.0/24; source-address 224.0.0.0/4; source-address 0.0.0.0/0; } then { discard; } } } } |
| Step 2 | Apply Firewall Filters [edit interfaces interface-name unit logical-unit-number family inet] interfaces { interface-name { unit logical-unit-number { family inet { filter { input filter-name; output filter-name; } } } } |
■ 조치 시 영향
필터링 적용 시 사용하는 ACL은 라우터 성능에 많은 영향을 미칠 가능성이 존재
■ IP Spoofing
○ IP Spoofing은 IP를 속여서 공격하는 기법을 의미하며, 다음과 같은 TCP/IP 프로토콜 약점을 이용한 공격이 존재
- 순서 제어 번호 추측 (Sequence number guessing)
- 반 접속 시도 공격 (Syn flooding)
- 접속 가로재기(Connection hijacking)
- RST를 이용한 접속 끊기 (Connection killing by RST)
- FIN을 이용한 접속 끊기 (Connection by FIN)
- 네트워크 데몬 정지(Killing the INETD)
- TCP 윈도우 위장(TCP window spoofing)
○ IP Spoofing 공격은 공격하고자 하는 시스템 서비스 포트나 그에 대한 취약점을 알아내는 것부터 시작되며, 공격자는 스캔용 프로그램과 점검 툴을 사용하여 해당 네트워크를 공격
※ 공격으로 사용되는 툴 중에는 자신의 위치를 감추기 위해 Spoofed IP를 사용
'취약점 진단 가이드 > 네트워크 진단 가이드' 카테고리의 다른 글
| N-23(상) 사용하지 않는 인터페이스의 Shutdown 설정 (0) | 2021.06.12 |
|---|---|
| N-22(상) DDoS 공격 방어 설정 (0) | 2021.06.11 |
| N-20(상) TFTP 서비스 차단 (0) | 2021.06.10 |
| N-19(상) SNMP 커뮤니티 권한 설정 (0) | 2021.06.10 |
| N-18(상) SNMP ACL 설정 (0) | 2021.06.09 |