[Network 보안] 계정관리 - 암호화된 패스워드 사용
■ 대상 : Cisco, Passport, Juniper
■ 취약점 개요
- 네트워크 장비의 패스워드는 디폴트로 평문 텍스트 형태로 저장되기 때문에 설정파일 유출 시 패스워드도 함께 노출
- 평문으로 저장되어 있을시 해독될 가능성이 쉬워 정보에 대한 유출 위험이 있으므로 모든 패스워드를 암호화하여 저장하도록 설정을 변경해야 함
■ 보안대책
- 양호 : 패스워드 암호화 설정이 적용된 경우
- 취약 : 패스워드 암호화 설정이 적용되어 있지 않은 경우
■ 조치방법
- 패스워드 암호화 설정 적용
■ 보안설정 방법
◆ 대상 장비별 점검 방법
- Cisco
Router@ show running-config
1. Enable Secret 사용 확인
2. Password-Encryption 서비스 동작 확인
- Passport
Configuration file 에서 Enable Secret 패스워드를 제외한 모든 패스워드 암호화 설정 확인
- Juniper
user@juniper> configure
[edit]
user@juniper# show
root authentication 설정을 이용하여 [edit system] 레벨에서 패스워드 암호화 설정 확인
◆ 위에 제시한 설정이 적용되지 않은 경우 아래의 보안설정 방법에 따라 설정을 변경
■ Cisco
- Enable secret 패스워드는 암호화 되어 표시됨
- Enable secret 패스워드는 Enable password 보다 강력하고 우선적으로 사용
※ Enable 패스워드와 Enable secret 패스워드는 서로 다르게 입력
Router# config terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# enable secret <패스워드>
Router(config)# service password-encryption
Router(config)# end
Router# show running
enable secret 5 $1$mERf%sjdi$9WCswBwUv6WeC6M8kNSs8
enable password 7 0822455D0A1648121C0A0E039F
■ Passport
- 설정파일(Configuration file)에서 패스워드를 암호화함으로써 인증되지 않은 사용자가 설정파일의 패스워드를 획득할 수 있는 가능성을 방지함
■ Juniper
user@juniper> configure
[edit]
user@juniper# set system root-authentication encrypted-password "#1$14c5.%4Bopasddftd0"
user@juniper# ^Z
※ 문의 사항은 메일 : jyuhm@sntkor.com 이나 070-8611-4853
'Security > Network Security' 카테고리의 다른 글
| [Network 보안] 계정관리 - 패스워드 설정 (0) | 2016.11.09 |
|---|---|
| [Network 보안] 계정관리 - 보안장비 Default 계정 변경 (0) | 2016.11.09 |