[네트워크장비] 계정관리 - 암호화된 패스워드 사용 취약점 점검 (N-03)

주요정보통신기반시설 “기술적 취약점 분석/평가 방법 상세가이드”

https://www.kisa.or.kr/public/laws/laws3.jsp

 

	항목코드	점검항목	중요도
계정관리	N-01	패스워드 설정	상
	N-02	패스워드 복잡성 설정	상
	N-03	암호화된 패스워드 사용	상
	N-15	사용자·명령어별 권한 수준 설정	중

 

N-03(상) 암호화된 패스워드 사용

점검내용

계정 패스워드 암호화 설정이 적용되어 있는지 점검

 

보안위협

패스워드를 암호화하지 않을 경우, 패스워드가 평문으로 저장되어 패스워드 노출의 위험성이 존재함

비인가자가 네트워크 터미널에 접근하여 장비 내 존재하는 모든 계정에 대한 패스워드를 획득할 수 있음

 

판단기준

양호 : 패스워드 암호화 설정이 존재하는 경우

취약 : 패스워드 암호화 설정이 존재하지 않은 경우

 

점검방법/조치방법

* 장비별 점검방법이 다름

1) CISCO

※ Enable secret 패스워드는 Enable password 보다 강력하고 우선적으로 사용함

(Enable 패스워드와 Enable secret 패스워드는 서로 다르게 입력)

1-1) enable secret 설정

Router# config terminal

Router(config)# enable secret <패스워드>

1-2) username secret 설정

Router# config terminal

Router(config)# username <사용자이름> secret <패스워드>

1-3) Password-Encryption 서비스 설정

Router# config terminal

Router(config)# service password-encryption

Router(config)# ^Z

Router# show running

(예) enable secret 5 00271A53070546D1214A

(예) enable password 7 879DDSD8SD33

 

2) Juniper

명령어를 통해 plain-text-password 설정 시 암호를 sha2으로 암호화

# set system login password format sha2

---

비고

* 리눅스의 패스워드를 암호화하는 알고리즘 구분

- /etc/shadow 파일의 두 번째 필드(password)는 사용자의 패스워드가 기록됨

- Hash 종류 : $salt : $Hash 결과

Hash	Hash Function
$1	MD5
$2	Blowfish
$5	SHA-256
$6	SHA-512

 

* Cisco 장비의 암호 알고리즘 유형

유형	특징	지원 버전	명령어
Type 0	암호화 X	-	enable password ~
Type 4	SHA-256	IOS 15.3(3)부터 종료	enable secret 4 ~
Type 5	MD5	-	enable secret ~ enable secret 5 ~
Type 7	Vigenere 암호	-	enable password 7 ~
Type 8	PBKDF2-SHA-256	IOS 15.3(3)부터 가능	enable algorithm-type sha256 secret cisco
Type 9	scrypt * PBKDF2보다 안전	IOS 15.3(3)부터 가능	enable algorithm-type scrypt secret cisco

 

 

 

참고자료

https://infosecguide.tistory.com/9

⇒ Linux Server '/etc/shadow' 두 번째 필드

https://skstp35.tistory.com/224

⇒ Cisco 패스워드 알고리즘 타입