주요정보통신기반시설 “기술적 취약점 분석/평가 방법 상세가이드”
https://www.kisa.or.kr/public/laws/laws3.jsp
| 항목코드 | 점검항목 | 중요도 | |
| 계정관리 | N-01 | 패스워드 설정 | 상 |
| N-02 | 패스워드 복잡성 설정 | 상 | |
| N-03 | 암호화된 패스워드 사용 | 상 | |
| N-15 | 사용자·명령어별 권한 수준 설정 | 중 |
N-15(중) 사용자 · 명령어별 권한 수준 설정
점검내용
네트워크 장비 사용자의 업무에 따라 계정 별로 장비 관리 권한을 차등(관리자 권한은 최소한의 계정만 허용) 부여하고 있는지 점검
보안위협
계정별 권한이 차등 부여되어 있지 않은 경우, 일반 계정으로 장비의 모든 기능을 제어할 수 있음
일반 계정이 비인가자에게 노출되었을 때 비인가자가 획득한 계정 정보를 통해서 장비의 설정을 변경하거나 삭제 등 장비의 가용성 저하 문제가 발생할 수 있어 취약함
* 관리자 계정: 장비의 모든 기능을 제한 없이 사용 및 설정 가능한 계정
* 일반 계정: 장비의 일부 기능만 사용하거나 설정할 수 있는 계정
판단기준
양호 : 업무에 맞게 계정 권한이 차등 부여되어 있는 경우
취약 : 업무에 맞게 계정 권한이 차등 부여되어 있지 않은 경우
점검방법/조치방법
* 장비별 점검방법이 다름
1) CISCO
Router# show privilege
⇒ 사용자·명령어별 레벨 설정 확인
⇒ 시스코 IOS에서는 0에서 15까지 16개의 서로 다른 권한 수준을 규정하고 있으며, 레벨 1과 레벨 15는 기본적으로 정의되어 있음
| Privilege Level | 특징 |
| Level 0 | logout, enable, disable, help, exit 기능만 허용 |
| Level 1 | 라우터의 설정 조회만 가능 |
| Level 2 | 읽기 전용, "Ping"을 사용하여 연결을 테스트하고 "Reload"를 사용하여 라우터를 다시 시작할 수 있음 |
| Level 15 | 라우터의 전체 설정을 조회하고 변경할 수 있으므로 중요한 명령어의 권한 수준을 높여서 제한하는 것이 보안 상 안전함 |
1-1) 사용자별 권한 수준 지정
Router# config terminal
Router(config)# username [ID] privilege [1-15] secret [PASS] 또는
Router(config)# username [ID] privilege [1-15] password [PASS]
1-2) 명령어별 권한 수준 지정
Router(config)# privilege exec level [1-15] [서비스명]
username testadmin privilege 7 secret 8 $8$KKK$HDM~
※ 아래의 중요한 명령어에는 반드시 레벨 15를 적용해야 함
connect, telnet, rlogin, show ip access-list, show logging
Router# config terminal
Router(config)# privilege exec level 15 connect
Router(config)# privilege exec level 15 telnet
Router(config)# privilege exec level 15 rlogin
Router(config)# privilege exec level 15 show ip access-list
Router(config)# privilege exec level 15 show logging
2) Juniper
- 장비 구성 변경 시 사용하는 superuser 클래스와 monitoring 용으로 사용하는 read-only 클래스를 분리하여 사용할 것을 권장
- 장비 내 클래스별 사용 권한 설정 및 세부 옵션 추가로 기능을 제한할 수 있음
- 특정 명령어 사용 제한을 계정마다 따로 설정할 수 있으므로 특정한 사용자 계정의 생성이 필요한 경우 사용 권한을 부여함
3) Alteon
* 사용자의 접근 레벨이 7단계로 구성
| 사용자 계정 / 기본 패스워드 | 설명 | 접근 제한 명령어 |
| User / User | User는 스위치 관리에 대한 직접적인 책임이 없지만 모든 스위치 상태 정보와 통계 자료를 볼 수 있음 그러나 스위치의 어떤 설정도 바꿀 수 없음 |
usrpw: user 암호 설정 및 변경 |
| SLB Operator / slboper | SLB Operator는 Web 서버들과 다른 인터넷 서비스의 로드를 관리함 부가적으로 모든 스위치 정보와 통계를 볼 수 있으며, Server Load Balancing 운영 메뉴를 사용하는 서버의 사용 가능/사용 불가능을 설정할 수 있음 |
sopw: SLB Operator 암호 설정 및 변경 |
| Layer4 Operator / l4oper | Layer4 Operator는 공유된 인터넷 서비스들에 따른 라인의 트래픽을 관리함 SLB Operator와 같은 접근 레벨을 가지고 있고, 공유된 인터넷 서비스들에 따른 라인의 트래픽을 관리하는 운영자를 위한 운영적인 명령어에 접근할 수 있도록 제공하는 위해서 접근 레벨은 향후에 사용하기 위해 예약되어 있음 |
l4opw: L4 Operator 암호 설정 및 변경 |
| Administrator / admin | superuser Administrator는 user와 administrator 패스워드 를 둘 다 변경할 수 있음 Web 스위치의 모든 메뉴, 정보 그리고 설정 명령어를 사용할 수 있음 |
admpw: administrator 암호 설정 및 변경 |
3-1) Switch 접속
# cfg
# sys
# /user/접근 제한 명령어
⇒ 접근 레벨에 맞게 설정
# apply
참고
https://study-ccna.com/cisco-privilege-levels/
Cisco Privilege Levels - Explanation and Configuration - Study CCNA
Cisco IOS Devices uses privilege levels for more granular security and role-based access control in addition to usernames and passwords.
study-ccna.com
⇒ Cisco Privilege Level List
'취약점 분석 > 네트워크' 카테고리의 다른 글
| [네트워크장비] 접근관리 - 불필요한 보조 입·출력 포트 사용 금지 (N-17) (1739) | 2023.04.24 |
|---|---|
| [네트워크장비] 접근관리 - Session Timeout 설정 (N-05) (1706) | 2023.04.22 |
| [네트워크장비] 접근관리 - VTY 접근(ACL) 설정 (N-03) (1724) | 2023.04.21 |
| [네트워크장비] 계정관리 - 암호화된 패스워드 사용 취약점 점검 (N-03) (1349) | 2023.04.18 |
| [네트워크장비] 계정관리 - 패스워드 설정 취약점 점검 (N-01, N-02) (1705) | 2023.03.17 |