[네트워크 장비] 계정 관리 - 사용자/명령어별 권한 수준 설정
■ 대상 : Cisco, Alteon, Juniper, Piolink
■ 취약점 개요
- 사용자/명령어별 권한 수준이 설정되어 있지 않은 경우 허가되지 않은 사용자가 중요한 프로그램을 실행하거나 모니터링 권한 설정을 변경하는 등의 위험이 발생할 수 있음.
- 사용자의 업무 및 권한에 따라 수행할 수 있는 권한과 기능을 제한해야 함.
■ 보안대책
- 양호 : 사용자/명령어별 레벨 설정이 되어 있는 경우
- 취약 : 사용자/명령어별 레벨 설정이 되어 있지 않는 경우
■ 조차방법
- 계정별 권한 설정과 중요 명령어에 대한 레벨 설정
※ 계정이 하나 존재하여 관리자만 접속하는 경우 (예 : *NMS와 연동되지 않는 경우)는 적요아지 않음
*NMS(Network Management System) : 네트워크 관리 시스템
■ 보안설정방법
| 대상 장비별 점검 방법 | |
| Cisco | Router# show privilege 사용자/명령어별 레벨 설정 확인 |
| Alteon | 사용자의 접근 레벨이 7단계로 나누어져 있는지 확인 |
| Juniper | [edit system login]에서 superuser, read-only 클래스를 분리, 운영하는지 확인 |
| Piolink | 슈퍼유저(root)와 일반유저로 권한을 부여하여 관리하는지 확인 |
■ Cisco
- 시스코 IOS에서는 0에서 15까지 16개의 서로 다른 권한 수준을 규정하고 있으며, 레벨 1과 레벨 15는 기본적으로 정의되어 있음
- 사용자 EXEC 모드는 레벨 1에서 실행되며 privileged EXEC 모드는 레벨 15에서 실행되고, IOS 각 명령어는 레벨 1이나 레벨 15중 어느 하나의 레벨이 사전에 기본적으로 지정되어 있음
- 레벨 1에서는 라우터의 설정 조회만 가능하고 레벨 15에서는 라우터의 전체 설정을 조회하고 변경할 수 있으므로 중요한 명령어의 권한 수준을 높여서 제한하는 것이 보안상 안전함
◆ 사용자별 권한 수준 지정
Router# config terminal
Router(config)# username [ID] privilege [1-15] password {PASSWORD]
◆ 명령어별 권한 수준 지정
Router(config)# privilege exec level [1-15] [서비스명]
※ 아래의 중요한 명령어에는 반드시 레벨 15를 적용해야 함
- connect, telnet, rlogin, show ip access-list, show logging
Router# config terminal
Router(config)# privilege exec level 15 connect
Router(config)# privilege exec level 15 telnet
Router(config)# privilege exec level 15 rlogin
Router(config)# privilege exec level 15 show ip access-list
Router(config)# privilege exec level 15 show logging
■ Alteon
- 사용자의 접근 및 권한 레벨은 7단계로 나누어져 있음
| 사용자 계정 / 기본 패스워드 | 설명 |
| user / user | - User는 스위치 관리에 대한 직접적인 책임이 없지만 모든 스위치 상태 정보와 통계 자료를 볼 수 있음 - 그러나 스위치의 어떤 설정도 바꿀 수 없음 |
| SLB Operator / slboper | - SLB Operator는 Web 서버들과 다른 인터넷 서비스의 로드를 관리함 - 부가적으로 모든 스위치 정보와 통계를 볼 수 있으며, Server Load Balancing 운영 메뉴를 사용하는 서버의 사용 가능/사용 불가능을 설정할 수 있음 |
| Layer4 Operator / l4oper | - Layer4 Operator는 공유된 인터넷 서비스들에 따른 라인의 트래픽을 관리함 - SLB Operator와 같은 접근 레벨을 가지고 있고, 공유된 인터넷 서비스들에 따른 라인의 트래픽을 관리하는 운영자를 위한 운영적인 명령어에 접근할 수 있도록 제공하기 위해서 접근 레벨은 향후에 사용하기 위해 예약되어 있음 |
| Operator / oper | - Operator는 모든 스위치의 기능을 관리함 - 부가적으로 SLB Operator 기능과 포트나 전반적인 스위치를 재설정할 수 있음 |
| SLB Administrator / slbadmin | - SLB Administrator는 웹서버들과 다른 인터넷 서비스들과 그것에 대한 로드를 설정 및 관리를 할 수 있음 - 부가적으로 SLB Operator 기능들과 설정 필터들이나 대역폭 관리를 하는 것을 제외한 Server Load Balancing 메뉴에 매개변수를 설정할 수 있음 |
| Layer4 Administrator / l4admin | - Layer4 Administrator는 공유된 인터넷 서비스들에 따른 라인에 대한 트래픽을 설정 및 관리를 함 - 부가적으로 SLB Administrator 기능들, 설정 필터들이나 대역폭 관리를 하는 것을 포함한 Server Load Balancing 메뉴에 모든 매개변수를 설정할 수 있음 |
| Administrator / admin | - Superuser Administrator는 User와 administrator 패스워드를 둘 다 변경할 수 있으며, Web 스위치에 모든 메뉴, 정보 그리고 설정 명령어들에 사용할 수 있음 |
1. Switch에 접속
2. # cfg
3. # sys
4. 다음 중에 해당하는 경우를 선택
# /user/명령어
userpw - user 암호 설정 및 설정
sopw - SLB operator 암호 설정 및 변경
l4opw - L4 operator 암호 설정 및 변경
opw - operator 암호 설정 및 변경
sapw - SLB administrator 암호 설정 및 변경
l4apw - L4 administrator 암호 설정 및 변경
admpw - administrator 암호 설정 및 변경
5. 암호 및 설정 변경
6. # apply
7. # save
■ Juniper
- 장비 구성 변경 시 사용하는 superuser 클래스와 monitoring 용으로 사용하는 read-only 클래스를 분리하여 사용할 할 것을 권장함. 장비 내 기본적으로 다음과 같은 클래스별 사용 권한 설정 및 세부 옵션 추가로 기능 제한을 할 수 있고, 특정 명령어 사용 제한을 계정마다 따로 설정할 수 있으므로 특정한 사용자 계정의 생성이 필요한 경우 사용 권한을 부여하여야 함
| Class-name | Ability |
| Operator | clear, network, reset, trace, view |
| read-only | view |
| Superuser | all |
| unauthorized | None |
1. [edit system login] hierarchy level:
2. [edit system]
login {
class class-name {
allow-commands "regular-expression";
deny-commands "regular-expression";
idle-timeout minutes;
permissions [permissions];
}
}
■ Piolink
- 디폴트 계정인 슈퍼유저(root)와 관리목적에 따라 신규로 등록할 수 있는 일반유저, 2단계로 나누어져 있음. 슈퍼유저는 모든 권한이 부여되어 있으나 일반유저의 경우 장비의 설정을 변경할 수 있는 권한이 없음.
- 따라서 사용자의 업무 및 권한에 따라 계정을 부여하여 관리하는 것이 보안상 중요함.
■ 조치 시 영향
- 해당 명령어 실행 시 권한 부족으로 실행되지 않을 수 있음
※ 문의 사항은 메일 : jyuhm@sntkor.com 이나 070-8611-4853
'Infra > Network 일반' 카테고리의 다른 글
| [네트워크 장비] 계정 관리 - 암호화된 패스워드 사용 (2) | 2020.06.17 |
|---|---|
| [네트워크 장비] 계정 관리 - 패스워드 복잡성 설정 (0) | 2020.06.17 |
| [네트워크 장비] 계정 관리 - 패스워드 설정 (0) | 2020.06.17 |