개요
로그를 통해 관리자는 장비 상태와 서비스 정상 여부를 파악할 수 있다
또한 로그를 통해 네트워크에 어떤 종류의 공격이나 침입이 진행되고 있는지 알 수 있다.
그러므로 관리자는 정책에 따른 로깅을 하도록 설정하고
로그를 정기적으로 검사하여
정상적인 운영 상태 및 공격 유형을 식별하여 네트워크 동향을 파악할 수 있도록 해야 한다
위험도 : 중
판단기준
양호 : 로그 기록 정책에 따라 로깅 설정이 되어있는 경우
취약 : 로그 기록 정책 미 수립 또는, 로깅 설정이 미흡한 경우
점검 방법
| 점검 방법 | 예시 | |
| cisco | Router# show logging · 로그 이력 및 로그버퍼 사이즈 확인 |
Router# show logging ... Log Buffer (16384bytes): ... |
| alteon | 없음 |
조치 방법
| 조치 config 예시 | 비고 | |
| cisco | Router# config terminal Router(config)# login on-failure log Router(config)# login on-success log |
|
| alteon | 없음 |
ㆍ콘솔 로깅
콘솔 로그 메시지는 오직 콘솔 포트에서만 보이므로 이 로그를 보기 위해서는 반드시 콘솔 포트에 연결
ㆍBuffered 로깅
Buffered 로깅은 로그를 라우터의 RAM에 저장하는데 이 버퍼가 가득 차게 되면 오래된 로그는 자동으로 새로운 로그에 의해 대체
ㆍTerminal 로깅
Terminal monitor 명령을 사용하여 로깅을 설정하면 라우터에서 발생하는 로그 메시지를 VTY terminal에 전송
ㆍSyslog
시스코 라우터는 라우터의 로그 메시지가 외부의 syslog 서버에 저장되도록 설정 가능
ㆍSNMP traps
SNMP trap이 설정되면 SNMP는 특별한 상황을 외부의 SNMP 서버에 전송하도록 설정 가능
ㆍACL 침입 로깅
표준 또는, 확장된 액세스 리스트를 설정할 때 특정한 룰에 매칭하였을 경우 해당 패킷 정보를 로그에 남기도록 설정할 수 있는데, 이는 액세스 리스트 룰의 끝에 로그나 로그 인풋을 추가(로그 인풋은 로그와는 달리 인터페이스 정보도 함께 남기게 되므로 어떤 인터페이스를 통해 로그가 남았는지 파악 가능)
조치 시 영향
조치로 인한 네트워크 장비 영향은 없다
'IT 보안 > 네트워크 취약점 점검' 카테고리의 다른 글
| [NW-15] (하) Timestamp 로그 설정 (0) | 2021.11.15 |
|---|---|
| [NW-14] (중) NTP 서버 연동 (0) | 2021.11.14 |
| [NW-12] (중) 로깅 버퍼 크기 설정 (0) | 2021.11.12 |
| [NW-11] (하) 원격 로그서버 사용 (0) | 2021.11.11 |
| [NW-10] (상) 최신 보안 패치 및 벤더 권고사항 적용 (0) | 2021.11.10 |