반응형
개요
VTY(Virtual Teletype) 사용 시 네트워크 장비에 Telnet이나 SSH로 원격 접속이 가능하다.
원격 접속 시 평문으로 정보가 전송되는 Telnet은 패스워드 추측 공격(Password Guessing) 및 스니핑 공격에 취약하므로
보안상 SSH 사용을 권고한다.
이 경우, 인가된 사용자만의 안전한 접근 관리를 위해 접속할 수 있는 IP를 제한하여 비인가자의 접근을 차단하여야 한다.
위험도 : 상
판단기준
양호 : 원격 접속에 대한 ACL이 적용되어 있음
취약 : 원격 접속에 대한 ACL이 적용되어 있지 않음
점검 방법
| 점검 방법 | 예시 | |
| cisco | Router# show running-config · ACL 설정 확인 · 각 line에 ACL 적용 확인 |
Router# show running-config ... ip access-list 99 permit ip host 192.168.1.1 any ip access-list extended 100 permit ip host 192.168.1.2 any line vty 0 4 access-class 100 in line vty 5 15 access-class 99 in |
| alteon | ADC# /cfg/dump · /cfg/system/access/mgmt/add 항목 확인 |
ADC# /cfg/dump ... /c/sys/access/mgmt/add 192.168.1.1 255.255.255.255 ssh|telnet|http|https|snmp ... |
조치 방법
| 조치 config 예시 | 비고 | |
| cisco | Router# config terminal Router(config)# ip access-list 99 permit ip host 192.168.1.1 any Router(config)# line vty 0 4 Router(config-line)# access-class 99 in |
설정 즉시, 해당 ip 외 장비 접근 차단 |
| alteon | ADC# /cfg/sys/access/mgmt/add 192.168.1.1 255.255.255.255 ssh ADC# apply ADC# save |
설정 후 apply시, 해당 ip 외 장비 접근 차단 |
조치 시 영향
ACL 설정으로, 관리자의 접속이 차단될 수 있으므로 설정 전 검토 및 장비 접근 수단 확보가 필요하다
반응형
'IT 보안 > 네트워크 취약점 점검' 카테고리의 다른 글
| [NW-07] (중) VTY 접속 시 안전한 프로토콜 사용 (0) | 2021.11.07 |
|---|---|
| [NW-06] (상) Session Timeout 설정 (0) | 2021.11.06 |
| [NW-04] (중) 사용자별·명령어별 권한 수준 설정 (0) | 2021.11.04 |
| [NW-03] (상) 암호화된 패스워드 사용 (0) | 2021.11.03 |
| [NW-02] (상) 패스워드 복잡성 설정 (0) | 2021.11.02 |