728x90
안녕하세요. 오송입니다.
오늘은 간단하게 네트워크의 보안취약점 점검 계정관리 조치방법에 대해 알아보겠습니다.
천천히 따라오시면서 모르는 부분이 있으시면, 댓글 달아주시면 됩니다.
1. 계정관리
1.1 패스워드 설정
- 원격에서 라우터를 관리할 때 사용하는 패스워드를 장비의 초기 설정 그대로 사용할 경우, 누구라도 라우터에 접근할 수 있다. 이러한 기본 패스워드는 인터넷상에서 검색을 통해 쉽게 접할 수 있으므로, 패스워드는 반드시 설정 또는 변경한 후에 사용해야 한다.
| 진단 기준 | |
| 양호 | 장비의 패스워드가 초기 패스워드가 아닌 별도의 패스워드로 설정되어 있는 경우 |
| 취약 | 장비의 패스워드가 초기 설정 그대로 설정되어 있는 경우 |
1.1.1 진단방법
# 패스워드 설정 정보 확인
(config)# show running-config
line con 0
password <password>
login
line vty 0 4
password <password>
login1.1.2 조치방법
# Privileged mode 암호 설정
(config)# enable secret <password>
# vty password 설정
(config)# line vty 0 4
(config-line)# login
(config-line)# password <password>
# console password 설정
(config)# line console 0
(config-line)# login
(config-line)# password <password>1.2 패스워드 복잡성 설정
- Console, VTY, AUX로 접속하여 enable 모드 접속 시 추측하기 쉬운 패스워드를 사용할 경우, 비인가자가 패스워드 추측을 통해 장비에 접속할 수 있다. 또한 장비의 설정은 읽기만 하는 권한과 설정을 변경할 수 있는 권한으로 구분되는데, 접속 패스워드와 enable password가 같을 경우 하나의 패스워드 추측만으로 장비의 설정을 변경할 수 있으므로 접속 패스워드, enable password, enable secret를 다르게 설정해야 한다.
| 진단 기준 | |
| 양호 | 패스워드가 대/소문자, 숫자, 특수문자가 포함된 8자리 이상으로 설정되어 있는 경우 |
| 취약 | 패스워드가 대/소문자, 숫자, 특수문자가 포함된 8자리 이상으로 설정되어 있지 않 경우 |
1.2.1 진단방법
# 패스워드 설정 정보 확인
(config)# show running-config
enable password <password>
line con 0
password <password>1.2.2 조치방법
# 패스워드 설정을 참고하여 패스워드 설정 시 아래와 같은 규칙을 적용해 변경
1) 암호는 적어도 8자 이상
2) 사용자 계정 이름이나 표시 이름의 문자를 3개 이상 연속하여 포함하지 않아야함
3) 암호에는 다음 네 가지 중 세 가지 범주의 문자가 포함되어야 함
1. 대문자
2. 소문자
3. 숫자
4. 영숫자 이외의 문자와 유니코드 문자
728x90
1.3 암호화된 패스워드 사용
- 패스워드를 암호화하지 않을 경우, Username password, Authentication key password, Privileged command password, Console access password, VTY access password와 BGP neighbor password 등의 패스워드들이 평문으로 저장된다. Config(설정 값) 유출 시 장비 접근에 대한 패스워드 노출의 위험성이 있으므로 패스워드 생성시 암호화하여 저장해야 한다. 구조가 단순한 Vigenere 알고리즘이 사용되므로 enable 패스워드의 경우 Secret 패스워드를 별도로 지정하는 것이 보다 안전하다. 사용자 계정 권한 및 패스워드 관리 미흡으로 인한 불법적인 공격 또는 기밀정보가 유출될 수 있다.
| 진단 기준 | |
| 양호 | 패스워드 암호화 설정이 되어 있을 경우 |
| 취약 | 패스워드 암호화 설정이 되어 있지 않은 경우 |
1.3.1 진단방법
# 패스워드 설정 정보 확인
(config)# show running-config
no service password-encryption해당 OS 버전에서 지원이 가능한 경우, SHA-256 이상 적용 필요
- Cisco IOS15.3(3)M 부터 지원(Type8)
1.3.2 조치방법
# 명령어를 통해 패스워드 암호화 설정
(config)# service password-encryption
(config)# enable algorithm-type sha256
(config)# secret cisco
※ 참고문서
https://ssv.skill.or.kr/cloud-security/network-security-vulnerability
728x90
'Network > Cisco' 카테고리의 다른 글
| [Cisco] counter error 는 뭘까? (0) | 2024.09.09 |
|---|---|
| [Cisco] 보안 취약점 점검 가이드 -기능관리 (0) | 2024.04.26 |
| [Cisco] 보안 취약점 점검 가이드 - 접근 관리 및 패치관리 (0) | 2024.04.25 |
| [Cisco] vPC - Peer-Switch (0) | 2024.04.15 |
| [Cisco] Nexus vPC 구성 Configration (0) | 2024.04.15 |
