[NW-04] (중) 사용자별·명령어별 권한 수준 설정

개요

시스템에 접근하는 사용자별로 역할이 다르기 때문에 권한에 구분이 필요하다

· 사용자 계정 : 시스템 상태 모니터링 목적

· 관리자 계정 : 장비의 설정 변경이 가능

사용자별로 권한을 구분하지 않을 경우, 과다한 권한을 가진 사용자에 의한 비 인가된 접근이 발생할 수 있다.

사용자 계정 별로 super 계정 및 admin 권한을 설정할 수 있으므로, 접속자의 권한을 차등적으로 부여할 수 있다

고유한 계정과 패스워드를 각각 사용하므로 운영 효율성과 향후 감사자료의 근거로 활용될 수 있다

양호 : 사용자·명령어별 권한 설정이 되어 있음

취약 : 사용자·명령어별 권한 설정이 되어 있지 않음

	점검 방법	예시
cisco	Router# show running-config · enable username secret 에서 계정 권한 확인 또는 · 각 사용자 계정으로 접속하여 Router# show privilege	Router# show privilege Current privilege level is 15
alteon	ADC# /cfg/sys/access/user/cur · 계정목록 활성화 상태 확인	ADC# /cfg/sys/access/user/cur Usernames: user - enabled slbview - disabled slboper - disabled l4oper - disabled oper - disabled slbadmin - disabled l4admin - disabled admin - Always Enabled

	조치 config 예시	비고
cisco	Router# config terminal Router(config)# privilege exec level 15 connect Router(config)# privilege exec level 15 telnet Router(config)# privilege exec level 15 rlogin Router(config)# privilege exec level 15 show ip access-list Router(config)# privilege exec level 15 show logging · 중요 명령어에 privilege 최고레벨 적용 Router(config)# privilege exec level 2 show startup-config Router(config)# privilege exec level 2 show version · 사용자 권한 별로 명령어 privilege 적용	cisco privilege level : 0~15
alteon	ADC# /cfg/sys/access/user/opw <PASSWORD> 입력으로 활성화 ADC# apply ADC# save	각 계정별로 사전에 명령어 권한이 제한되어 있으며, 이 권한은 수정되지 않음

cisco 사용자 계정 별 명령어 권한 (privilege)

계정 privilege Level	상태 확인 명령어	설정 명령어
1	privilege를 지정하지 않은 모든 show 명령 가능	불가
15	모든 show 명령 가능	모두 가능
그 외	privilege 설정한 명령어에 한해 가능	privilege 설정한 명령어에 한해 가능

alteon 계정별 권한

계정 권한	상태 확인	설정
user	스위치 상태 정보와 통계 자료	불가
slbview	스위치 상태 정보와 통계 자료 SLB 상태 정보와 통계자료	불가
slboper	모두	SLB 등록 서버 활성/비활성
l4oper	모두	SLB 등록 서버 활성/비활성
oper	모두	운영 상태 설정 (port up/down, SLB 등록서버 활성/비활성)
slbadmin	모두	SLB 관련 설정
l4admin	모두	SLB 관련 설정
admin	모두	모두

조치로 인한 네트워크 장비 영향은 없다

조치로 인해, 사용자별로 명령어 사용에 제한이 발생한다