[보안 장비] 로그관리 - NTP 서버 연동 ■ 대 상 : 방화벽, IPS, VPN ■ 취약점 개요 - 보안장비들의 시간을 동기화시키는 것은 매우 중요하며 NTP는 RFC958을 통하여 처음 등장하여 장비의 시간 동기화 프로토콜의 표준이 되었음. - 만약 보안장비에 NTP와 같은 프로토콜이 적용되어 있지 않다면 로그파일 관리를 시간별로 일관되게 하지 못할 것이며 이는 네트워크 관리, accounting, 사고 분석 등을 수행하는 데 큰 단점으로 작용할 것임. - 따라서 정확한 시간 관리는 안전한 보안을 유지하는 필수적인 조건이라 할 수 있음. ■ 보안대책 - 양호 : NTP 서버 연동이 되어 있는 경우 - 취약 : NTP 서버 연동이 되어 있지 않은 경우 ■ 조치방법 - 보안장비 시간 설정에서 NTP 프..

[보안 장비] 로그관리 - 로그 서버 설정 관리 ■ 대 상 : 방화벽, IPS, VPN ■ 취약점 개요 - Syslog 서버는 모든 IP로부터 로그 메시지를 받아들이며 공격자를 syslog 서버에 저장된 로그 메시지를 변경하지는 못하지만 조작된 로그 메시지를 전송함으로써 관리자에게 혼란을 일으킬 수 있음. - 또한, syslog 서버의 디스크를 모두 조작된 로그로 채움으로써 정상적으로 발생한 로그가 저장될 수 없도록 할 수 있음. - 따라서 외부의 IP 주소를 가진 시스템으로부터 로그를 받아들이지 않도록 syslog 서버를 설정하여야 함. - 이를 위해서는 보더 라우터의 외부로부터 syslog 패킷(UDP 포트 514)이 유입될 수 없도록 ACL을 적용함. ※ syslog : Syslog란 로깅 메시지 ..

[보안 장비] 로그관리 - 원격 로그 서버 사용 ■ 대 상 : 방화벽, IPS, VPN ■ 취약점 개요 - 로그에는 장비의 이상이나 침입흔적이 남아 있을 수 있기 때문에 별도의 로그 분석 시스템에서 장비의 로그를 모으고 분석해야 함. - 장비와 네트워크 관리에 있어 로그(Log)는 아주 중요한 위치를 차지하는 것으로, 일반적으로 각 장비의 로그를 개별적으로 저장하지 않고 별도의 로그 서버로 한곳에서 통합 관리할 것을 권함. ■ 보안대책 - 양호 : 별도의 로그 서버를 구축하여 통합 관리하는 경우 - 취약 : 별도의 로그 서버가 없는 경우 ■ 보안설정방법 ◆ 점검방법 - 보안장비 로그 설정 메뉴에서 syslog 설정 확인 ■ 조치방법 - 원격 syslog 로그 수집 서버 설정 ■ 조치 시 영향 - 일반적인..

[보안 장비] 로그관리 - 보안장비 정책 백업 설정 ■ 대 상 : 방화벽, IPS, VPN ■ 취약점 개요 - 보안장비의 정책은 조직의 요구에 맞게 작성되어 운영되어야 하며 이러한 정책들도 중요한 자산이 됨. - 분실 시 조직의 서비스 운영에 큰 차질이 생길 수 있고 정책이 복잡하면 할수록, 새로운 정책을 수립 하는데 시간과 경제적인 손실이 늘어나게 됨. ■ 보안대책 - 양호 : 보안장비에 적용된 정책을 별도의 파일로 보관하고 있는 경우 - 취약 : 보안장비에 적용된 정책을 별도의 파일로 보관하고 있지 않은 경우 ■ 조치방법 - 보안장비에 적용된 정책을 별도의 파일로 보관 ■ 보안설정방법 ◆ 점검방법 - 보안장비에 적용된 정책을 별도의 파일로 보관하는지 확인 ■ 조치방법 - 보안장비 설정 메뉴에서 정책 ..

[보안 장비] 로그관리 - 보안장비 로그 보관 ■ 대 상 : 방화벽, IPS, VPN ■ 취약점 개요 - 보안장비 로그를 법규 기준에 따라 보관하고, 효율적이고 경제적으로 저장 관리하는 정책을 수립하지 않으면, 추후 필요한 용도에 따라 제출 할 수 없게 됨. ■ 보안대책 - 양호 : 정책에 따라 로그 보관 설정이 되어 있는 경우 - 취약 : 로그 보관 정책이 없고, 관리되고 있지 않는 경우 ■ 조치방법 - 로그 기록 정책을 수립하고 정책에 따라 로깅 설정 ■ 보안설정방법 ◆ 점검방법 - 보관된 로그 날짜 확인 ■ 조치방법 - 보안장비 로그 보관 설정에서 로그 저장기간 확인 및 변경 (별도의 장비에 보관하고 있다면 로그 보관 정책에 맞춰 보관 설정) ■ 조치 시 영향 - 일반적인 경우 영향 없음 ※ 문의 ..

[보안 장비] 로그관리 - 보안장비 로그 정기적 검토 ■ 대 상 : 방화벽, IPS, VPN ■ 취약점 개요 - 로그를 정기적으로 조사해야 하는 것이 중요하며 로그를 정기적으로 검사함으로써, 해당 장비와 네트워크 상태의 동향을 파악할 수 있음. - 정상적 운영상태 및 그 상태가 로그에 반영되어 있음을 확인함으로써 비정상적인 상태 또는 공격 상태를 식별할 수 있음. ■ 보안대책 - 양호 : 로그 수집이 설정되어 있고, 분석이 정기적으로 되고 있는 경우 - 취약 : 로그 수집이 설정되어 있지 않고, 분석이 되고 있지 않는 경우 ■ 조치방법 - 보안장비 로그를 정기적으로 분석하여 보관 ■ 보안설정방법 ◆ 점검 방법 - 보안장비 로그를 정기적으로 분석하여 보관하는지 확인 ■ 조치방법 - 로그 수집 설정 - 로그..