주요정보통신기반시설 “기술적 취약점 분석/평가 방법 상세가이드”
https://www.kisa.or.kr/public/laws/laws3.jsp
| 항목코드 | 점검항목 | 중요도 | |
| 계정관리 | N-01 | 패스워드 설정 | 상 |
| N-02 | 패스워드 복잡성 설정 | 상 | |
| N-03 | 암호화된 패스워드 사용 | 상 | |
| N-15 | 사용자·명령어별 권한 수준 설정 | 중 |
N-01(상) 패스워드 설정
점검내용
관리 터미널(콘솔, SSH, https 등)을 통해 네트워크 장비 접근 시 기본 패스워드를 사용하는지 점검
* 변경 가능하다면 기본 관리자 계정도 함께 변경하도록 권고(ex. admin, manager 등)
보안위협
네트워크 장비의 초기 패스워드를 변경하지 않고 사용할 경우 비인가자의 불법적인 접근이 가능하며, 네트워크 장비를 통해 전송되는 데이터들이 비인가자에게 유출되거나 네트워크 장비를 통해 통신하는 정보시스템 간의 통신에 영향을 미칠 수 있음
* 기본 관리자 계정: 장비 출고 시 설정되어 나오는 네트워크 장비에 대한 관리자 계정(ex. admin, manager 등)
* 기본 패스워드: 장비 출고 시 설정되어 나오는 기본 관리자 계정에 대한 패스워드
판단기준
양호: 기본 패스워드를 변경한 경우
취약: 기본 패스워드를 변경하지 않거나 패스워드를 설정하지 않은 경우
점검방법/조치방법
* 장비별 점검방법이 다름
1) Cisco
1-1) enable 패스워드 설정
Router> enable
Router# show running-config
- 명령어를 통해서 enable 패스워드 설정을 확인
- enable 패스워드 변경
Router# config t
Router# (config)# enble password <패스워드>
1-2) 가상 터미널(VTY) 패스워드 설정
Router# config t
Router# (config)# line vty 0 4
Router# (config)# login
Router# (config)# password <패스워드>
1-3) VTY, 콘솔 포트의 로그인 인증 방식 및 패스워드 설정 확인
- login: 라인 패스워드 인증
- login local: 로컬 사용자 인증
- login authentication: AAA 인증
- no login: 인증 없이 사용자 모드(User EXEC mode) 접근
2) Radware Alteon
>>Main# /cfg/sys/access/user/admpw (administrator 패스워드 변경 시)
>>Main# apply
>>Main# save
3) Juniper
user@host> configure
[edit]
user@host# set system root-authentication plain-text-passwd
New password : <패스워드>
retype new password: : <패스워드>
N-02(상) 패스워드 복잡도 설정
점검내용
네트워크 장비에 기관 정책에 맞는 계정 패스워드 복잡성 정책이 적용되어 있는지 점검
* 패스워드 복잡도 설정: 계정 패스워드 서정 시 영문(대문자, 소문자), 숫자, 특수문자가 혼합된 패스워드 설정
보안위협
패스워드 복잡도 설정이 적용되어 있지 않아 추측하기 쉬운 패스워드를 사용할 경우 비인가자의 공격(무작위 대입 공격, 사전 대입 공격 등)에 취약함
유출된 패스워드를 사용하여 비인가자가 네트워크 장비 터미널에 접근할 수 있는 위험이 존재함
* 무작위 대입 공격(Brute Force Attack): 컴퓨터로 암호를 해독하기 위해 가능한 모든 키를 하나하나 추론해 보는 시도를 말함
* 사전 대입 공격(Dictionary Attack): 사전에 있는 단어를 입력하여 패스워드를 알아내거 나 암호를 해독하는 데 사용되는 컴퓨터 공격 방법
판단기준
양호 : 기관 정책에 맞는 패스워드 복잡성 정책을 설정하거나 패스워드 복잡성 설정 기능이 없는 장비는 기관 정책에 맞게 패스워드를 사용하는 경우
취약 : 패스워드 복잡성 정책이 존재하지 않거나 기관 정책에 맞지 않는 패스워드를 사용하는 경우
점검방법/조치방법
* 장비별 공통
- 패스워드 설정을 참고하여 패스워드 설정 시 아래와 같은 규칙을 적용하여 변경
1. 암호는 적어도 8자 이상이어야 함
2. 사용자 계정 이름이나 표시 이름의 문자를 3개 이상 연속하여 포함하지 않아야 함
3. 암호에는 다음 네 가지 중 세 가지 범주의 문자가 포함되어야 함
- 대문자(A, B, C, ...)
- 소문자(a, b, c, ...)
- 숫자(0, 1, 2, 3, 4, 5, 6, 7, 8, 9)
- 영숫자 이외의 문자와 유니코드 문자(= 특수문자)
※ 패스워드가 대•소문자, 숫자, 특수문자가 포함된 8자리 이상 또는 2가지 조합 10자리 이상 설정
'취약점 분석 > 네트워크' 카테고리의 다른 글
| [네트워크장비] 접근관리 - 불필요한 보조 입·출력 포트 사용 금지 (N-17) (1739) | 2023.04.24 |
|---|---|
| [네트워크장비] 접근관리 - Session Timeout 설정 (N-05) (1706) | 2023.04.22 |
| [네트워크장비] 접근관리 - VTY 접근(ACL) 설정 (N-03) (1724) | 2023.04.21 |
| [네트워크장비] 계정관리 - 사용자·명령어별 권한 수준 설정 취약점 점검 (N-15) (1365) | 2023.04.21 |
| [네트워크장비] 계정관리 - 암호화된 패스워드 사용 취약점 점검 (N-03) (1349) | 2023.04.18 |