네트워크 보안취약점, 계정관리 개요 및 조치 방법 시스코(Cisco) 컨피그 가이드 방법에 대해 공부해봅시다.
1. 패스워드 미설정 취약점 개요:
네트워크 장비의 초기 설정 패스워드를 변경하지 않고 사용하는 경우
비인가자의 불법적인 접근이 가능하며, 기본 패스워드는 인터넷상에서 검색을 통해 노출되어 있어
비인가자의 관리자 권한획득이 가능함. 네트워크 장비의 초기 설정 패스워드는 반드시 변경 설정하여야 함.
조치 방법 | 초기 설정 패스워드 변경 및 패스워드 설정 |
* Enable Password 설정
Switch# config terminal
Switch(config)# enable password <패스워드>
* VTP Password 설정
Switch# config terminal
Switch(config)# line vty 0 4
Switch(config-line)# login
Switch(config-line)# password <패스워드>
* Console Password 설정
Switch# config terminal
Switch(config)# line console 0
Switch(config-line)# login
Switch(config-line)# password <패스워드>
* AUX Password 설정
Switch# config terminal
Switch(config)# line aux 0
Switch(config-line)# login
Switch(config-line)# password <패스워드>
2. 패스워드 복잡성 설정:
단순하거나 추측하기 쉬운 패스워드를 사용할 경우 악의적인 사용자가 쉽게 장비에 접속할 수 있으므로 암호 복잡성을 적용하여야 함. 패스워드 복잡성을 적용하지 않은 경우 공격자는 *무작위 대입 공격(Brute Force Attack)을 통하여 패스워드를 쉽게 획득할 수 있음.
* 무작위 대입 공격(Brute Force Attack): 컴퓨터로 암호를 해독하기 위해 가능한 모든 키를 하나 하나 추론해 보는 시도를 말함.
조치 방법 | 보안 정책에 적합하게 설정 |
* 패스워드 설정 시 아래와 같은 패스워드 정책을 적용해야 합니다.
1. 암호는 최소 8 자 이상이어야 함 (Passport 9 자 이상)
2. 사용자 계정 이름이나 이름의 문자를 3 개 이상 연속하여 포함하지 않아야 함
3. 암호에는 다음 네 가지 중 세 가지 범주의 문자가 포함되어야 함
가. 대문자(26 개))
나. 소문자(26 개)
다. 숫자(10 개)
가. 특수문자(32개)
3. 암호화된 패스워드 사용:
네트워크 장비의 패스워드는 디폴트로 평문 텍스트 형태로 저장되기 때문에
설정파일 유출 시 패스워드도 함께 노출됨. 평문으로 저장 되어있을 시 해독될 가능성이 쉬워
정보에 대한 유출 위험이 있으므로 모든 패스워드를 암호화하여 저장하도록 설정을 변경해야 함.
조치 방법 | 패스워드 암호화 설정 적용 |
Switch# config terminal
Switch(config)# enable secret <패스워드>
Switch(config)# service password-encryption
댓글