[네트워크장비] 접근관리 - VTY 접근(ACL) 설정 (N-03)

주요정보통신기반시설 “기술적 취약점 분석/평가 방법 상세가이드”

https://www.kisa.or.kr/public/laws/laws3.jsp

 

	항목코드	점검항목	중요도
접근관리	N-04	VTY 접근(ACL) 설정	상
	N-05	Session Timeout 설정	상
	N-16	VTY 접속 시 안전한프로토콜 사용	중
	N-17	불필요한 보조 입·출력 포트 사용 금지	중
	N-18	로그온 시 경고 메시지 설정	중

 

N-04(상) VTY 접근(ACL) 설정

점검내용

원격 터미널(VTY) 통해 네트워크 장비에 접근 시 지정된 IP에서만 접근이 가능하도록 설정되어 있는지 점검

* VTY(Virtual Type Terminal): 라우터에서 생성된 CLI(명령 줄 인터페이스)로 네트워크 장비를 원격 프로토콜(ssh)에서 관리하기 위한 터미널 서비스

 

보안위협

지정된 IP 만 네트워크 장비에 접근하도록 설정되어 있지 않을 경우, 비인가 자가 터미널 접근 시도 공격(무작위 대입 공격, 사전 대입 공격 등)을 시도하여 관리자 계정 패스워드 획득할 수 있음

패스워드 획득 후 네트워크 장비를 경유하는 데이터의 유출 및 가용성 저하 등을 발생시킬 수 있음

 

판단기준

양호 : 가상터미널(VTY) 접근 시 지정된 IP만 접근가능하도록 설정되어 있는 경우

취약 : 가상터미널(VTY) 접근 시 지정된 IP만 접근가능하도록 설정되어 있지 않은 경우

 

점검방법/조치방법

* 장비별 점검방법이 다름

1) CISCO

* Access-List 설정 확인

Router# show running-config

 

1-1) VTY 접근 허용 IP 설정

Router# config terminal

Router(config)# access-list [1-99] {permit|deny} [Source Network] [WildcardMask]

Router(config)# access-list [1-99] permit any ⇒ 기본 deny 방지

Router(config)# line vty 0 4

Router(config)# access-class [1-99] in

ex) 192.168.2.1 에서만 vty 접근 가능

Router(config)# access-list 1 permit 192.168.2.1

 

1-2) SSH 사용할 경우

Global configuration mode로 접속

(config)# access-list <access_list_num> permit <source_ip mask>

(config)# ssh access-group <num>

(config)# write memory

또는,

Global configuration mode 로 접속

(config)# ip ssh client <IP_address>

또는,

Global configuration mode 로 접속

(config)# ip ssh client <IP_address><mac_address>

 

 

2) Juniper

Access-List를 생성하면 기본 Deny 설정이므로 네트워크 담당자를 통해 접근 가능한 IP 설정

user@juniper>configure

[edit]

user@juniper# source-address <IP_address>;

 

 

3) Alteon

3-1) switch로 접속

# cfg

# sys

# access

# mgmt

# add <mgmt network address> <mgmt network mask> <management access protocol>

# apply

# save