[보안 장비] 기능관리 - 유해 트래픽 차단 정책 설정 ■ 대상 : 방화벽, IPS ■ 취약점 개요 - 유해 트래픽은 정상적인 네트워크 운용 및 서비스에 지장을 주는 악의적인 공격서 패킷과 바이러스 패킷으로, 망 운영에 치명적인 장애를 유발하며 동시 다발적이고 급속한 확산이 특징임. - 유해 트래픽의 위험성은 지속적인 증가 추세이며 트래픽 관리는 망운용에 필수적인 요소로 부각됨. ■ 보안대책 - 양호 : 유해 트래픽 차단 정책이 설정 되어 있는 경우 - 취약 : 유해 트래픽 차단 정책이 설정 되어 있지 않은 경우 ■ 조치방법 - 유해 트래픽 차단 정책 설정 ■ 보안설정방법 ◆ 점검방법 - 침입차단시스템의 유해 트래픽 차단 기능 확인 ◆ 조치방법 - 침입차단시스템의 signature detection(알려..

[보안 장비] 기능관리 - 부가 기능 설정 ■ 대상 : 방화벽 ■ 취약점 개요 - 방화벽에서 제공하고 있는 기본 기능 이외의 부가기능으로는 네트워크 주소변환(Network Address Translation), 가상 사설망(VPN), 패킷 내용 검사, 감사 로그 기능 등이 있음. - 부가기능을 사용하지 않는다고 운영에 큰 영향을 미치지는 않지만, 사용함으로써 도움을 줄 수 있음. ■ 보앤대책 - 양호 : 방화벽에서 제공하고 있는 부가기능을 사용하는 경우 - 취약 : 방화벽에서 제공하고 있는 부가기능을 사용하지 않은 경우 ■ 조치방법 - 방화벽에서 제공하고 있는 부가기능 사용 ■ 보안설정방법 ◆ 점검방법 - 보안장비에서 제공하는 부가기능 설정 확인 ◆ 조치방법 - 벤더사에 문의하여 부가 기능 설정 시 발생..

[보안 장비] 기능관리 - SNMP Community String 복작성 설정 ■ 대 상 : 방화벽, IPS, VPN ■ 취약점 개요 - SNMP의 Public, Private과 같은 디폴트 Community String이 변경되지 않고 그대로 사용될 경우, 악의적인 사용자가 장비 설정을 쉽게 변경하여 중요 시스템 정보가 노출될 수 있는 위험이 존재함. - 그러므로 추측하기 어려운 Community String으로 변경하는 작업이 필요함. ■ 보안대책 - 양호 : SNMP 서비스를 사용하지 않거나, 유추하기 어려운 community string을 설정한 경우 - 취약 : 디폴트 community string을 변경하지 않거나, 유추하기 쉬운 community string을 설정한 경우 ■ 조치방법 - 유..

[보안 장비] 기능관리 - SNMP 서비스 확인 ■ 대 상 : 방화벽, IPS, VPN ■ 취약점 개요 - SNMP는 UDP 프로토콜을 사용하기 때문에 SNMP 서비스를 활성화하면 각종 공격, 예를 들어 DoS 공격에 취약해질 뿐만 아니라 보안장비의 성능저하, 크래쉬, 리로드 등의 위험이 존재함. - 불필요하다면 SNMP 서비스를 중지하고, 관리를 위해 NMS 솔루션과의 연동이 필요하다면 Community String을 유추가 불가능하게 설정함. ■ 보안대책 - 양호 : SNMP 서비스를 불필요하게 사용하지 않는 경우 - 취약 : SNMP 서비스를 불필요하게 사용할 경우 ■ 조치방법 - 불필요한 경우 SNMP 서비스 중지 ■ 보안설정방법 ◆ 점검방법 - 보안장비의 SNMP 설정 메뉴에서 확인 ■ 조치방법..

[보안 장비] 기능관리 - 장비 사용량 검토 ■ 대 상 : 방화벽, IPS, VPN ■ 취약점 개요 - 장비 사용량에 대한 검토로 인해 네트워크 트래픽의 수준을 파악하게 되고, 그에 따른 가용성 향상을 고려해 볼 수 있음. - 보안장비의 Web Dash Board를 모니터링함. ■ 보안대책 - 양호 : 장비 사용량을 정기적으로 모니터링 및 검토할 경우 - 취약 : 장비 사용량을 정기적으로 모니터링 및 검토하지 않을 경우 ■ 조치방법 - 장비 사용량을 정기적으로 모니터링 ■ 보안설정방법 ◆ 점검방법 - 보안장비의 실시간 알람, 이메일, SMS 경고 기능 설정 확인 ■ 조치방법 - 보안장비의 Web Dash Board 모니터링 ■ 조치 시 영향 - 일반적인 경우 영향 없음 ※ 문의 사항은 메일 : jyuhm..

[보안 장비] 기능관리 - 이상징후 탐지 경고 기능 설정 ■ 대 상 : 방화벽, IPS ■ 취약점 개요 - 유해 트래픽은 정상적인 네트워크 운용 및 서비스에 지장을 주는 악의적인 공격성 패킷과 바이러스 패킷으로, 망 운영에 치명적인 장애를 유발하며 동시 다발적인 급속한 확산이 특징임. - 유해 트래픽의 위험성은 지속적인 증가 추세이며 트래픽 관리는 망운용에 필수적인 요소로 부각되고 있음. - 24시간 모니터링을 통한 감시가 여건상 어려울 경우 이메일이나 SMS를 통한 경고 기능 설정으로 대체함. ■ 보안대책 - 양호 : 이상징후 탐지 시 관리자에게 이메일이나 SMS로 통보되는 경우 - 취약 : 이상징후 탐지 시 관리자에게 이메일이나 SMS로 통보되지 않는 경우 ■ 조치방법 - 이상징후 탐지 시 관리자에게..

[보안 장비] 기능관리 - 최소한의 서비스만 제공 ■ 대 상 : 방화벽 ■ 취약점 개요 - 방화벽은 기본적으로 All deny 설정임 - 이와 더불어 허용할 포트와 IP만 추가함으로써, 관리 포인트도 적어지게 됨. - 필요없는 포트는 차단되어 침입자의 침입 가능성을 낮출 수 있음. ■ 보안대책 - 양호 : all deny 설정을 하고, 방화벽에 최소 서비스만 허용할 경우 - 취약 : all deny 설정이 되어 있지 않거나, 방화벽에 불필요한 서비스를 허용할 경우 ■ 보안설정방법 ◆ 점검방법 - 방화벽에서 허용되지 않은 포트 접속 확인 ■ 조치방법 - 방화벽 기본 정책인 all deny에 최소 서비스만 허용 확인 (허용된 IP와 서비스 포트만 오픈, IP 및 서비스 ANY 적용 금지) ■ 조치 시 영향 ..

[보안 장비] 기능관리 - DMZ 설정 ■ 대 상 : 방화벽 ■ 취약점 개요 - 컴퓨터 보안에서의 비무장지대(Demilitarized zone, DMZ)는 조직의 내부 네트워크와 외부 네트워크 사이에 위치한 부분망임. - 내부 네트워크와 외부 네트워크가 DMZ로 연결할 수 있도록 허용하면서도, DMZ 내의 컴퓨터는 오직 외부 네트워크에만 연결할 수 있도록 함. - 즉 DMZ 안에 있는 호스트들은 내부 네트워크로 연결할 수 없는데, 이것은 DMZ에 있는 호스트들이 외부 네트워크로 서비스를 제공하면서 DMZ 호스트의 침입으로부터 내부 네트워크를 보호하기 위함임. ■ 보안대책 - 양호 : DMZ를 구성하여 내부 네트워크를 보호하는 경우 - 취약 : DMZ를 구성하지 않은 경우 ■ 조치방법 - DMZ를 구성하여..

[보안 장비] 기능 관리 - 정책 관리 ■ 대 상 : 방화벽, IPS ■ 취약점 개요 - 관리자마다 각기 다른 관리 방법을 적용한다면 보안장비의 정책은 다양한 버전이 존재하게 되고 관리자가 퇴사하거나 팀을 옮기게 될 경우, 이는 보안장비 정책 보안성에 심각한 문제를 발생할 수 있으므로 표준 절차와 지침이 필요함. - 관리자에 따라서 개별적인 정책 관리 방법이 존재하지 않도록 표준적인 정책 관리와 지침이 필요함. ■ 보안대책 - 양호 : 정책에 대한 주기적인 검사로 미사용 및 중복된 정책을 확인하여 제거하는 경우 - 취약 : 정책에 대한 주기적인 검사를 하지 않고 미사용 및 중복된 정책을 확인하여 제거하지 않은 경우 ■ 조치방법 - 정책에 대한 주기적인 검사로 미사용 및 중복된 정책을 확인하여 제거 ■ 보..

[보안 장비] 로그관리 - NTP 서버 연동 ■ 대 상 : 방화벽, IPS, VPN ■ 취약점 개요 - 보안장비들의 시간을 동기화시키는 것은 매우 중요하며 NTP는 RFC958을 통하여 처음 등장하여 장비의 시간 동기화 프로토콜의 표준이 되었음. - 만약 보안장비에 NTP와 같은 프로토콜이 적용되어 있지 않다면 로그파일 관리를 시간별로 일관되게 하지 못할 것이며 이는 네트워크 관리, accounting, 사고 분석 등을 수행하는 데 큰 단점으로 작용할 것임. - 따라서 정확한 시간 관리는 안전한 보안을 유지하는 필수적인 조건이라 할 수 있음. ■ 보안대책 - 양호 : NTP 서버 연동이 되어 있는 경우 - 취약 : NTP 서버 연동이 되어 있지 않은 경우 ■ 조치방법 - 보안장비 시간 설정에서 NTP 프..

[보안 장비] 로그관리 - 로그 서버 설정 관리 ■ 대 상 : 방화벽, IPS, VPN ■ 취약점 개요 - Syslog 서버는 모든 IP로부터 로그 메시지를 받아들이며 공격자를 syslog 서버에 저장된 로그 메시지를 변경하지는 못하지만 조작된 로그 메시지를 전송함으로써 관리자에게 혼란을 일으킬 수 있음. - 또한, syslog 서버의 디스크를 모두 조작된 로그로 채움으로써 정상적으로 발생한 로그가 저장될 수 없도록 할 수 있음. - 따라서 외부의 IP 주소를 가진 시스템으로부터 로그를 받아들이지 않도록 syslog 서버를 설정하여야 함. - 이를 위해서는 보더 라우터의 외부로부터 syslog 패킷(UDP 포트 514)이 유입될 수 없도록 ACL을 적용함. ※ syslog : Syslog란 로깅 메시지 ..

[보안 장비] 로그관리 - 원격 로그 서버 사용 ■ 대 상 : 방화벽, IPS, VPN ■ 취약점 개요 - 로그에는 장비의 이상이나 침입흔적이 남아 있을 수 있기 때문에 별도의 로그 분석 시스템에서 장비의 로그를 모으고 분석해야 함. - 장비와 네트워크 관리에 있어 로그(Log)는 아주 중요한 위치를 차지하는 것으로, 일반적으로 각 장비의 로그를 개별적으로 저장하지 않고 별도의 로그 서버로 한곳에서 통합 관리할 것을 권함. ■ 보안대책 - 양호 : 별도의 로그 서버를 구축하여 통합 관리하는 경우 - 취약 : 별도의 로그 서버가 없는 경우 ■ 보안설정방법 ◆ 점검방법 - 보안장비 로그 설정 메뉴에서 syslog 설정 확인 ■ 조치방법 - 원격 syslog 로그 수집 서버 설정 ■ 조치 시 영향 - 일반적인..

[보안 장비] 로그관리 - 보안장비 정책 백업 설정 ■ 대 상 : 방화벽, IPS, VPN ■ 취약점 개요 - 보안장비의 정책은 조직의 요구에 맞게 작성되어 운영되어야 하며 이러한 정책들도 중요한 자산이 됨. - 분실 시 조직의 서비스 운영에 큰 차질이 생길 수 있고 정책이 복잡하면 할수록, 새로운 정책을 수립 하는데 시간과 경제적인 손실이 늘어나게 됨. ■ 보안대책 - 양호 : 보안장비에 적용된 정책을 별도의 파일로 보관하고 있는 경우 - 취약 : 보안장비에 적용된 정책을 별도의 파일로 보관하고 있지 않은 경우 ■ 조치방법 - 보안장비에 적용된 정책을 별도의 파일로 보관 ■ 보안설정방법 ◆ 점검방법 - 보안장비에 적용된 정책을 별도의 파일로 보관하는지 확인 ■ 조치방법 - 보안장비 설정 메뉴에서 정책 ..

[보안 장비] 로그관리 - 보안장비 로그 보관 ■ 대 상 : 방화벽, IPS, VPN ■ 취약점 개요 - 보안장비 로그를 법규 기준에 따라 보관하고, 효율적이고 경제적으로 저장 관리하는 정책을 수립하지 않으면, 추후 필요한 용도에 따라 제출 할 수 없게 됨. ■ 보안대책 - 양호 : 정책에 따라 로그 보관 설정이 되어 있는 경우 - 취약 : 로그 보관 정책이 없고, 관리되고 있지 않는 경우 ■ 조치방법 - 로그 기록 정책을 수립하고 정책에 따라 로깅 설정 ■ 보안설정방법 ◆ 점검방법 - 보관된 로그 날짜 확인 ■ 조치방법 - 보안장비 로그 보관 설정에서 로그 저장기간 확인 및 변경 (별도의 장비에 보관하고 있다면 로그 보관 정책에 맞춰 보관 설정) ■ 조치 시 영향 - 일반적인 경우 영향 없음 ※ 문의 ..

[보안 장비] 로그관리 - 보안장비 로그 정기적 검토 ■ 대 상 : 방화벽, IPS, VPN ■ 취약점 개요 - 로그를 정기적으로 조사해야 하는 것이 중요하며 로그를 정기적으로 검사함으로써, 해당 장비와 네트워크 상태의 동향을 파악할 수 있음. - 정상적 운영상태 및 그 상태가 로그에 반영되어 있음을 확인함으로써 비정상적인 상태 또는 공격 상태를 식별할 수 있음. ■ 보안대책 - 양호 : 로그 수집이 설정되어 있고, 분석이 정기적으로 되고 있는 경우 - 취약 : 로그 수집이 설정되어 있지 않고, 분석이 되고 있지 않는 경우 ■ 조치방법 - 보안장비 로그를 정기적으로 분석하여 보관 ■ 보안설정방법 ◆ 점검 방법 - 보안장비 로그를 정기적으로 분석하여 보관하는지 확인 ■ 조치방법 - 로그 수집 설정 - 로그..

[보안 장비] 로그관리 - 보안장비 로그 정기적 검토 ■ 대 상 : 방화벽, IPS, VPN ■ 취약점 개요 - 로그를 정기적으로 조사해야 하는 것이 중요하며 로그를 정기적으로 검사함으로써, 해당 장비와 네트워크 상태의 동향을 파악할 수 있음. - 정상적 운영상태 및 그 상태가 로그에 반영되어 있음을 확인함으로써 비정상적인 상태 또는 공격 상태를 식별할 수 있음. ■ 보안대책 - 양호 : 로그 수집이 설정되어 있고, 분석이 정기적으로 되고 있는 경우 - 취약 : 로그 수집이 설정되어 있지 않고, 분석이 되고 있지 않는 경우 ■ 조치방법 - 보안장비 로그를 정기적으로 분석하여 보관 ■ 보안설정방법 ◆ 점검방법 - 보안장비 로그를 정기적으로 분석하여 보관하는지 확인 - 위에 제시한 정책이 수립되지 않은 경우..

[보안 장비] 로그 관리 - 보안장비 로그 설정 ■ 대 상 : 방화벽, IPS, VPN ■ 취약점 개요 - 로그 정보를 사용함으로써 관리자는 보안장비의 작동과 손상 여부를 파악할 수 있으며 어떤 종류의 침입이나 공격이 진행되고 있는지 알 수 있음. ■ 보안대책 - 양호 : 정책에 따른 로그 설정이 되어 있는 경우 - 취약 : 정책에 따른 로그 설정이 되어 있지 않은 경우 ■ 조치방법 - 정책에 따른 로깅 설정 ■ 보안설정방법 ◆ 점검방법 - 보안장비의 로그 설정 메뉴 확인 - 위에 제시한 설정이 적용되지 않은 경우 아래의 보안설정방법에 따라 설정을 변경함 ■ 조치방법 ◆ 정책에 따른 로깅 설정 (각 벤더마다 설정방법이 상이) ■ 조치 시 영향 - 세부적인 로깅 설정은 보안장비 성능에 영향을 미칠 수 있음..

[보안 장비] 패치 관리 - 벤더에서 제공하는 최신 업데이트 적용 ■ 대 상 : 방화벽, IPS, VPN ■ 취약점 개요 - 보안장비는 지속적으로 취약점이 알려지고 있으며 이에 대한 패치도 지속해서 제공되고 있으므로 보안장비의 보안수준을 높이고 성능 및 기능 향상을 위해서는 버전 업그레이드 및 보안 패치 작업을 수행하여 최신 취약점을 보완하는 작업이 필요함. ■ 보안대책 - 양호 : 패치 적용 정책을 수립하여 주기적으로 패치를 관리하고 있을 경우 - 취약 : 패치 적용 정책을 수립하여 주기적으로 패치를 관리하고 있지 않을 경우 ■ 조치방법 - 장비 별 제공하는 최신 취약점 정보를 파악 후 최신 패치 및 업그레이드를 수행 ■ 보안설정방법 ◆ 점검방법 - 자동 업데이트 기능 설정 또는 벤더사에 문의하여 업데..

[보안 장비] 접근 관리 - Session timeout 설정 ■ 대상 : 방화벽, IPS, VPN ■ 취약점 개요 - 외부에서의 서비스 사용자가 일정 시간 동안 통신이 없을 시 해당 세션을 종료시키는 것으로 각 TCP/UDP 등에 대하여 time out을 설정해야 함. - 그로 인해 불필요한 session을 정리하고 보안을 강화할 수 있음. ■ 보안대책 - 양호 : Session Timeout 시간을 설정한 경우 - 취약 : Session Timeout 시간을 설정하지 않은 경우 ■ 조치방법 - Session Timeout 시간을 설정 ■ 보안설정방법 ◆ 점검방법 - 벤더별 설정 값 확인 - 대부분의 보안장비는 Default로 되어 있음 ■ 조치방법 - 보안장비가 제공하는 Timeout 기능 활성화 설..

[보안 장비] 접근 관리 - 보안장비 보안 접속 ■ 대상 : 방화벽, IPS, VPN ■ 취약점 개요 - 암호화도지 않은 데이터 전송 시 *스니핑 등을 통한 정보유출 위험이 존재함. - SSL 인증 등의 암호화 접속을 통해 장비에 접속하도록 설정해야함. ** 스니핑(Sniffing) : 스니퍼(Sniffer)는 "컴퓨터 네트워크상에 흘러다니는 트래픽을 엿듣는 도청장치"라고 말할 수 있으며 "스니핑"이란 이러한 스니퍼를 이용하여 네트워크상의 데이터를 도청하는 행위를 말함. ■ 보안대책 - 양호 : 보안장비 접속 시 암호화 통신을 하는 경우 - 취약 : 보안장비 접속 시 암호화 통신을 하지 않는 경우 ■ 조치방법 - 보안장비 접속 시, 가능하다면 SSL 등의 암호화 접속 활용 ■ 보안설정방법 ◆ 점검방법 1..