※ 해당 가이드는 2021년 기준입니다.
주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다.
주요정보통신기반시설 취약점 네트워크 장비 점검 항목
■ 취약점 개요
○ 점검개요 : 패스워드 변경 시 이전 패스워드를 재사용 할 수 없도록 패스워드 제약 설정이 되어 있는지 점검
○ 점검목적 : 패스워드 재사용 제약 설정 적용 여부를 점검하여 패스워드 변경 시 이전 패스워드 재사용을 제약하여 형식적인 패스워드 변경을 원천적으로 차단
○ 보안위협 : 패스워드 재사용 제약 설정이 적용되어 있지 않을 경우 패스워드 변경 전 사용했던 패스워드를 재사용함으로써 비인가자의 계정 패스워드 추측 공격에 대한 시간을 더 많이 허용하여 패스워드 유출 위험이 증가
○ 점검대상 : Oracle, ALTIBASE, TIBERO 등
○ 판단기준
- 양호 : PASSWORD_REUSE_TIME, PASSWORD_REUSE_MAX 파라미터 설정이 적용된 경우
- 취약 : PASSWORD_REUSE_TIME, PASSWORD_REUSE_MAX 파라미터 설정이 적용되지 않은 경우
■ 점검방법 및 조치방안
○ ORACLE
Step 1 | (SQL*Plus) 설정확인 -- Check for both reuse max and reuse time not set: select profile from DBA_PROFILES where (resource_name=1 PASSWORD_REUSE_MAX1 and limit in (‘UNLIMITED', ’NULL’)) or profile in (select profile from DBA_PROFILES where resource_name='PASSWORD_REUSE_TIME’) and limit in (‘UNLIMITED’, ‘NULL’) ; -- Check for reuse max with value that is less than allowed minimum select profile from DBA_PROFILES where resource_name=' PASSWORD_REUSE_MAX’ and limit not in ('UNLIMITED', 'NULL’) and limit < ‘10’; -- Check for reuse time that is less than allowed minimum select profile from DBA_PROFILES where resource_name=' PASSWORD_REUSE_TIME’ and limit not in ('UNLIMITED' , 'NULL’) and limit < '365’; |
Step 2 | PASSWORD_REUSE_TIME 및 프로파일 파라미터 수정 SQL> alter profile default limit password_reuse_time 365 password_reuse_max 10; SQL> alter profile [profile name] limit password_reuse_time default password_reuse_max default; |
○ Altibase
조치방법 1. 사용자별 패스워드 정책 변경
Step 1 | 다음 명령어를 통해 패스워드 정책 설정 여부 확인 select * from system_.sys_users_; |
Step 2 | 아래 프로퍼티에 대해 패스워드 정책 설정 CASE_SENSITIVE_PASSWORD FAILED_LOGIN_ATTEMPTS PASSWORD_LOCK_TIME PASSWORD_LIFE_TIME PASSWORD_GRACE_TIME PASSWORD_REUSE_TIME PASSWORD_REUSE_MAX PASSWORD_VERIFY_FUNCTION |
※ 정책 적용 시 다음 명령어를 사용
ALTER USER 유저명 LIMIT (프로퍼티 숫자);
적용 예) ALTER USER TESTUSER LIMIT (FAILED_LOGIN_ATTEMPTS 7, PASSWORD_LOCK_TIME 7);
조치방법 2. ALTIBASE HDB 프로퍼티 파일
Step 1 | $ALTIBASE_HOME/conf/altibase.propertie를 변경 |
※ ALTIBASE HDB 서버가 실행되지 않은 상태에서 할 수 있는 정적인 환경 설정 방법
※ 프로퍼티 파일에서 해당 구성 요소를 특정 값으로 설정한 후 ALTIBASE HDB 서버를 재구동해야 수정된 값이 ALTIBASE HDB 서버에 반영
○ Tibero
Step 1 | 사용자별 패스워드 프로파일 적용 여부 확인 select * from dba_users; |
Step 2 | 설정되어 있을 경우 프로파일 설정 내용 확인 select * from dba_profiles; |
Step 3 | 설정되어 있지 않을 경우 프로파일 생성 시(또는 수정 시 alter profile) 패스워드 정책 설정 정책 적용 시 다음 명령어를 사용 CREATE PROFILE prof LIMIT 적용 예) CREATE PROFILE prof LIMIT failed_login_attempts 3 password_lock_time 1/1440 password_life_time 90 password_reuse_time unlimited password_reuse_max 10 password_grace_time 10 password_verify_function verify_function; |
■ 조치 시 영향
일반적으로 무관
■ 패스워드 제약 설정
○ 패스워드 변경 시 이전에 사용했던 패스워드를 재사용 할 수 없게 하는 설정으로써 이전 암호 재사용 가능 기간(PASSWORD_REUSE_TIME), 이전 암호 재사용 가능 횟수(PASSWORD_REUSE_MAX) 등이 존재
'취약점 진단 가이드 > DBMS 취약점 진단 가이드' 카테고리의 다른 글
D-07(상) 원격에서 DB 서버로의 접속 제한 (0) | 2021.07.21 |
---|---|
D-06(중) DB 사용자 계정의 개별적 부여 및 사용 (0) | 2021.07.20 |
D-04(상) 데이터베이스 관리자 권한을 꼭 필요한 계정 및 그룹에 허용 (0) | 2021.07.19 |
D-03(상) 패스워드의 사용기간 및 복잡도를 기관 정책에 맞도록 설정 (0) | 2021.07.19 |
D-02(상) scott 등의 Demonstration 및 불필요 계정을 제거하거나 잠금 설정 후 사용 (0) | 2021.07.18 |