반응형
개요
네트워크 장비의 패스워드가 평문 텍스트 형태로 저장되면,
설정파일 유출 시 패스워드도 함께 노출이 된다.
따라서 평문으로 저장되어 있을 시 정보에 대한 유출 위험이 있으므로
모든 패스워드를 암호화하여 저장하도록 설정을 변경해야 한다.
위험도 : 상
판단기준
양호 : 패스워드 암호화되어 저장되어 있음
취약 : 패스워드가 암호화되어 있지 않거나, 취약한 알고리즘으로 암호화 되어 있음
점검 방법
| 점검 방법 | 예시 | |
| cisco | Router# show running-config · enable secret 확인 · enable username secret 확인 · service password-encryption 확인 - enable password, username password 명령 미 사용시 불필요 |
Router# show running-config ... enable secret 5 sDtj2u982Sdnhs username isms secret 5 Dhnfdo3098dhbnl43jS |
| alteon | 없음 |
조치 방법
| 조치 config 예시 | 비고 | |
| cisco | Router# config terminal Router(config)# service password-encryption Router(config)# enable secret <PASSWORD> Router(config)# username <USER> secret <PASSWORD> |
|
| alteon | 없음 | 패스워드 암호화 저장이 기본 |
Cisco의 경우,
enable mode의 패스워드는 일반 패스워드와 secret 패스워드의 두 가지 형태가 있다.
두 개의 패스워드가 모두 설정되었을 경우 secret 패스워드가 우선하여 적용되며,
secret 패스워드는 자동으로 MD5를 통해 hashing값의 형태로 저장되므로 평문 형태로 저장되는 일반 패스워드를 설정하는 것보다 노출 위험이 감소한다
조치 시 영향
조치로 인한 네트워크 장비 영향은 없다
반응형
'IT 보안 > 네트워크 취약점 점검' 카테고리의 다른 글
| [NW-06] (상) Session Timeout 설정 (0) | 2021.11.06 |
|---|---|
| [NW-05] (상) VTY 접근(ACL) 설정 (0) | 2021.11.05 |
| [NW-04] (중) 사용자별·명령어별 권한 수준 설정 (0) | 2021.11.04 |
| [NW-02] (상) 패스워드 복잡성 설정 (0) | 2021.11.02 |
| [NW-01] (상) 패스워드 설정 (0) | 2021.11.01 |