※ 해당 가이드는 2021년 기준입니다.
주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다.
주요정보통신기반시설 취약점 네트워크 장비 점검 항목
■ 취약점 개요
○ 점검개요 : 리스너 관련 설정 파일의 접근 권한을 관리자만 가능하게 하고 리스너 파라미터의 변경 방지에 대한 옵션 설정 여부 점검
○ 점검목적 : 리스너 설정 파일 및 파라미터 변경 방지 옵션을 설정하여 비인가자의 리스너를 이용한 파라미터 변경을 방지하여 trace 파일 및 리스너 로그의 신뢰도를 유지
○ 보안위협 : 비인가자가 Oracle의 LSNRCTL 유틸리티를 이용하여 listener에 직접 접근 시 set 명령어를 이용하여 listener의 모든 파라미터를 변경할 수 있어서 trace 파일이나 listener 로그 파일을 변경 가능
○ 점검대상 : Oracle
○ 판단기준
- 양호 : 리스너 관련 설정 파일에 대한 퍼미션이 관리자로 설정되어 있으며, 리스너로 파라미터를 변경할 수 없게 옵션을 설정했을 경우
- 취약 : 리스너 관련 설정 파일에 대한 퍼미션이 일반 사용자로 설정되어 있고, 리스너로 파라미터를 변경할 수 없게 옵션 설정을 하지 않았을 경우
■ 점검방법 및 조치방안
○ Oracle
| Step 1 | 파일 퍼미션 확인 $ ORACLE HOME/network/admin 디렉토리의 퍼미션을 ls-al (Unix 계열 시스템) 또는 파일 속성(Windows 계열)을 통해 확인 LSNRCTL> status ListenerName LISTENER.ORA 파일 확인 ADMIN_RESTRICTIONS_ListenerName=ON |
| Step 2 | listener.ora 파일에 ADMIN_RESTRICTIONS_LISTENER=ON 라인 추가 (listener를 재실행하거나 Isnrctl reload 명령어를 실행하여 listener를 재로딩) #vi /Oracle_HomeDirectory/network/admin/listener.ora ADMIN_RESTRICTIONS_LISTENER=ON 추가 (ListenerName은 DBA가 제공한 리스너 이름) #cd /Oracle_Homedirectory/bin/어|서 #LSNRCTL> reload |
■ 조치 시 영향
일반적으로 무관
■ trace 파일
○ 데이터베이스에 문제가 발생했을 시 문제를 점검하고 디버깅 할 수 있도록 다양한 정보를 제공하는 파일
'취약점 진단 가이드 > DBMS 취약점 진단 가이드' 카테고리의 다른 글
| D-17(중) 패스워드 확인함수가 설정되어 적용 (0) | 2021.07.28 |
|---|---|
| D-15(상) 응용프로그램 또는 DBA 계정의 Role이 Public으로 설정되지 않도록 설정 (0) | 2021.07.26 |
| D-13(중) 데이터베이스의 주요 설정파일, 패스워드 파일 등과 같은 주요 파일들의 접근 권한이 적절하게 설정 (0) | 2021.07.25 |
| D-12(하) DB의 주요 파일 보호 등을 위해 DB계정의 umask를 022 이상으로 설정하여 사용 (0) | 2021.07.24 |
| D-11(중) 일정 횟수의 로그인 실패 시 이에 대한 잠금정책 적용 (0) | 2021.07.23 |