※ 해당 가이드는 2017년 기준입니다.
주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다.
주요정보통신기반시설 취약점 네트워크 장비 점검 항목
■ 취약점 개요
○ 점검개요 : ICMP unreachable, redirect 서비스 차단 여부 점검
○ 점검목적 : ICMP unreachable 차단으로 DoS 공격을 차단하고 공격자가 네트워크 스캔 시 소요되는 시간을 길어지게 하여 스캔 공격을 지연 및 차단하며 ICMP redirect 차단으로 라우팅 테이블이 변경되는 것을 차단
○ 보안위협 : ICMP unreachable을 차단하지 않을 경우, 공격자의 스캔 공격을 통해 시스템의 현재 운영되고 있는 상태 정보가 노출될 수 있으며, ICMP redirect을 차단하지 않을 경우, 호스트 패킷 경로를 다시 지정하는 과정에서 특정 목적지로 가기 위해 고의적으로 패킷 경로를 변경하여 가로챌 가능성이 존재하고 연속적으로 ICMP으| port-unreachable frame을 보내서 시스템의 성능을 저하시키거나 마비시킬 수 있는 위험이 존재
○ 점검대상 : CISCO, Juniper 등
○ 판단기준
- 양호 : ICMP unreachable, ICMP Redirect가 차단되어 있는 경우
- 취약 : ICMP unreachable, ICMP Redirect가 차단되어 있지 않는 경우
■ 점검방법
○ 장비별 점검방법 예시
| CISCO | Router> enable Router# show running 각 인터페이스별 정보에 적용된 것을 확인 |
| Juniper | user@juniper# show ICMP Unreachables, ICMP redirects 적용 확인 |
■ 조치방안
○ CISCO
| Step 1 | 인터페이스에 no ip unreachables를 실행하여 차단하면 스캔 시 소요되는 시간도 길어져 스캔 공격을 지연ㆍ차단 가능 Router# config terminal Router(config)# interface FastEthernet 0/1(인터페이스 선택) Router(config-if)# no ip unreachables RIP, OSPF 등의 프로토콜을 사용함으로써 ICMP Redirect 제거 가능 Router# config terminal Router(config)# interface FastEthernet 0/1(인터페이스 선택) Router(config-if)# no ip redirects |
○ Juniper
| Step 1 | ICMP 트래픽을 추적하여 옵션 지정 가능 [edit protocols router-options]를 통하여 특정 ICMP 옵션 값 변환 가능 <> 표시 한곳에는 해당 옵션 값 입력 [edit protocols router-discovery] traceoptions { file name <replace> <size size> <files number> <no-stamp> <(world-readable | no-world-readable)>; flag flag <flag-modifier> <disable>; } ICMP 프로토콜의 트래픽을 추적하기 위한 명령어 [edit] routing-options { traceoptions { file routing-log; } } protocols { router-discovery { traceoptions { file icmp-log; flag state; } } } |
■ 조치 시 영향
특정 경로를 찾아갈 때 많은 시간이 경과 될 가능성 존재
■ ICMP unreachable
○ ICMP unreachable 메시지에는 특정 호스트 및 게이트웨이에 패킷을 보냈을 때 어떠한 이유로 전달될 수 없는지 나타내는 코드들을 포함
■ ICMP redirect
○ ICMP redirect는 라우터가 송신 측 호스트에 적합하지 않은 경로로 설정되어 있으면 해당 호스트에 대한 최적 경로를 다시 지정해주는 용도로 사용
'취약점 진단 가이드 > 네트워크 진단 가이드' 카테고리의 다른 글
| N-35(중) Domain lookup 차단 (0) | 2021.06.26 |
|---|---|
| N-34(중) identd 서비스 차단 (0) | 2021.06.25 |
| N-32(중) Proxy ARP 차단 (0) | 2021.06.17 |
| N-31(중) Source 라우팅 차단 (0) | 2021.06.17 |
| N-30(중) Directed-broadcast 차단 (0) | 2021.06.16 |