[보안 장비] 로그관리 - 로그 서버 설정 관리 ■ 대 상 : 방화벽, IPS, VPN ■ 취약점 개요 - Syslog 서버는 모든 IP로부터 로그 메시지를 받아들이며 공격자를 syslog 서버에 저장된 로그 메시지를 변경하지는 못하지만 조작된 로그 메시지를 전송함으로써 관리자에게 혼란을 일으킬 수 있음. - 또한, syslog 서버의 디스크를 모두 조작된 로그로 채움으로써 정상적으로 발생한 로그가 저장될 수 없도록 할 수 있음. - 따라서 외부의 IP 주소를 가진 시스템으로부터 로그를 받아들이지 않도록 syslog 서버를 설정하여야 함. - 이를 위해서는 보더 라우터의 외부로부터 syslog 패킷(UDP 포트 514)이 유입될 수 없도록 ACL을 적용함. ※ syslog : Syslog란 로깅 메시지 ..

[보안 장비] 로그관리 - 원격 로그 서버 사용 ■ 대 상 : 방화벽, IPS, VPN ■ 취약점 개요 - 로그에는 장비의 이상이나 침입흔적이 남아 있을 수 있기 때문에 별도의 로그 분석 시스템에서 장비의 로그를 모으고 분석해야 함. - 장비와 네트워크 관리에 있어 로그(Log)는 아주 중요한 위치를 차지하는 것으로, 일반적으로 각 장비의 로그를 개별적으로 저장하지 않고 별도의 로그 서버로 한곳에서 통합 관리할 것을 권함. ■ 보안대책 - 양호 : 별도의 로그 서버를 구축하여 통합 관리하는 경우 - 취약 : 별도의 로그 서버가 없는 경우 ■ 보안설정방법 ◆ 점검방법 - 보안장비 로그 설정 메뉴에서 syslog 설정 확인 ■ 조치방법 - 원격 syslog 로그 수집 서버 설정 ■ 조치 시 영향 - 일반적인..

[리눅스 보안] 서버 관리 - 정책에 따른 시스템 로깅 설정 ■ 대상 OS : SunOS, Linux, AIX, HP-UX ■ 취약점 개요 - 감사 설정이 구성되어 있지 않거나 보안 정책에 비하여 감사 설정 수준이 낮아 보안 사고가 발생한 경우 원인 파악 및 각종 침해 사실에 대한 확인이 어려우며, 법적 대응을 위한 충분한 증거로 사용할 수 없음 ■ 보안대책 - 양호 : 로그 기록 정책이 정책에 따라 설정되어 수립되어 있는 경우 - 취약 : 로그 기록 정책 미수립, 또는, 정책에 따라 설정되어 있지 않은 경우 ■ 보안설정 방법 ◆ SunOS 1. vi 편집기를 이용하여 "/etc/syslog.conf" 파일을 연 후 #vi /etc/syslog.conf 2. 아래와 같이 수정 또는, 신규 삽입mail.d..