[보안 장비] 로그관리 - 로그 서버 설정 관리
■ 대 상 : 방화벽, IPS, VPN
■ 취약점 개요
- Syslog 서버는 모든 IP로부터 로그 메시지를 받아들이며 공격자를 syslog 서버에 저장된 로그 메시지를 변경하지는 못하지만 조작된 로그 메시지를 전송함으로써 관리자에게 혼란을 일으킬 수 있음.
- 또한, syslog 서버의 디스크를 모두 조작된 로그로 채움으로써 정상적으로 발생한 로그가 저장될 수 없도록 할 수 있음.
- 따라서 외부의 IP 주소를 가진 시스템으로부터 로그를 받아들이지 않도록 syslog 서버를 설정하여야 함.
- 이를 위해서는 보더 라우터의 외부로부터 syslog 패킷(UDP 포트 514)이 유입될 수 없도록 ACL을 적용함.
※ syslog : Syslog란 로깅 메시지 프로그램의 표준이며 syslog는 다양한 프로그램들이 생성하는 메세지들을 저장하고, 메세지들을 이용해서 다양한 분석 등이 가능하도록 로그 메세지들을 제공함.
■ 보안대책
- 양호 : syslog 패킷이 유입될 수 없도록 ACL을 적용한 경우
- 취약 : syslog 패킷이 유입될 수 없도록 ACL을 적용하지 않은 경우
■ 조치방법
- syslog 서버에서 로그 수집 제한 기능 설정
■ 보안설정방법
◆ 점검방법
- syslog 서버에서 syslog 수집 제한 설정 가능 확인
■ 조치방법
- 보안장비에서 로그 유입 제한 기능 설정
- 네트워크 장비에서 수집 제한 설정
- 특정 내부 네트워크에서의 syslog 전송만 허용할 경우 ACL을 적용하여 제어할 수 있음
■ 조치 시 영향
- 일반적인 경우 영향 없음
※ 문의 사항은 메일 : jyuhm@sntkor.com 이나 070-8611-4853
'Infra > 방화벽 IPS IDS 웹방화벽' 카테고리의 다른 글
| [보안 장비] 기능 관리 - 정책 관리 (0) | 2020.04.08 |
|---|---|
| [보안 장비] 로그관리 - NTP 서버 연동 (0) | 2020.04.06 |
| [보안 장비] 로그관리 - 원격 로그 서버 사용 (0) | 2020.04.06 |
| [보안 장비] 로그관리 - 보안장비 정책 백업 설정 (0) | 2020.04.06 |
| [보안 장비] 로그관리 - 보안장비 로그 보관 (0) | 2020.04.06 |
