IT 보안/네트워크 취약점 점검 썸네일형 리스트형 [NW-33] (중) ICMP Unreachable, Redirect 차단 개요 ICMP unreachable 메시지에는 특정 호스트 및 게이트웨이에 패킷을 보냈을 때 어떠한 이유로 전달될 수 없는지 나타내는 코드들을 포함하고 있으므로 스캔을 통해 해당 정보가 공격자에게 유출될 수 있다. ICMP Redirect는 라우터가 송신 측 호스트에 적합하지 않은 경로로 설정되어 있으면 해당 호스트에 대한 최적 경로를 다시 지정해주는 용도로 사용되지만 불필요하게 설정되어 있다면 특정 목적지로 가기 위해 고의적으로 변경하여 패킷을 가로채는 방법으로 악용될 수 있으므로 서비스를 중지하여야 한다 위험도 : 중 판단기준 양호 : unreachable, redirect 서비스가 제한되어 있음 취약 : unreachable, redirect 서비스가 제한되어 있지 않음 점검 방법 점검 방법 예시 .. 더보기 [NW-32] (중) Proxy ARP 차단 개요 SNMP ACL을 설정할 경우 접속 대상 호스트를 지정하여 접근이 가능한 IP를 제한할 수 있다. 이 기능을 사용하여 정보의 노출을 기본적으로 제한하는 것이 필요하다. 임의의 호스트에서 SNMP 접근을 차단하여 호스트로부터의 Community String 추측공격을 차단할 수 있다. 위험도 : 중 판단기준 양호 : ARP Proxy 서비스가 제한되어 있음 취약 : ARP Proxy 서비스가 제한되어 있지 않음 점검 방법 점검 방법 예시 cisco Router# show running-config · ARP Proxy 서비스 설정 확인 Router# show running-config ... interface fastethernet 0/1 no ip proxy-arp ... alteon 없음 없음 조.. 더보기 [NW-31] (중) Source 라우팅 차단 개요 라우터에서 패킷의 목적지에 따라 패킷을 라우팅하는 것이 기본이지만, 때에 따라 송신 측에서 라우팅 경로 정보를 송신 데이터에 포함해 라우팅시키는 방법을 사용하는 경우가 있다. 이 공격은 거의 사용하지 않는 방법이지만 내부의 라우팅 경로를 파악하여 라우팅이 되지 않는 중요 서버로 접근할 수 있으므로 소스 라우팅을 기본적으로 차단하여야 한다. 위험도 : 중 판단기준 양호 : IP Source Routing 제한되어 있음 취약 : IP Source Routing 제한되어 있지 않음 점검 방법 점검 방법 예시 cisco Router# show running-config · IP Source Routing 서비스 설정 확인 Router# show running-config ... no ip source-ro.. 더보기 [NW-30] (중) Directed-Broadcast 차단 개요 Directed Broadcast는 Dos(Denial Of Service)의 일종인 Smurf 공격에 주로 쓰이는 방식이다. 이 공격은, 목표지점에 도달하기 전까지 Unicast 방식으로 전송되다가 최종 라우터를 통과할 때 비로소 Directed Broadcast를 알아볼 수 있다. 그러므로 장치별로 이러한 패킷을 제한할 수 있도록 설정하여야 한다 Smurf Attack 공격 다량의 ICMP 패킷(Echo Request Packe)을 특정 네트워크나 Broadcast 주소로 보낼 때 응답 받을 패킷의 Source 주소를 공격 대상 IP로 속여 대상 호스트를 공격하는 방법 위험도 : 중 판단기준 양호 : Directed Broadcasts가 제한되어 있음 취약 : Directed Broadcasts.. 더보기 [NW-29] (중) CDP 서비스 차단 개요 CDP(Cisco Discovery Protocol)는 Cisco 제품의 관리를 목적으로 만든 프로토콜이다. CDP는 같은 네트워크에 있는 cisco장비들과 정보를 공유하고, 같은 세그먼트에 있는 다른 라우터에 IOS version, Model, device 등의 정보를 제공한다. 이 프로토콜은 관리적인 목적으로는 많은 이점이 있지만, 보안에 대한 검증이 되지 않으므로 서비스 사용을 제한하여야 한다. 위험도 : 중 판단기준 양호 : cdp 서비스가 제한되어 있음 취약 : cdp 서비스가 제한되어 있지 않음 점검 방법 점검 방법 예시 cisco Router# show running-config · cdp 설정 확인 Router# show running-config ... no cdp run ... a.. 더보기 [NW-28] (중) Bootp 서비스 차단 개요 Bootp는 네트워크를 이용하여 사용자가 OS를 로드할 수 있게 하고 자동으로 IP 주소를 받게 구성하는 프로토콜이다. Bootp 서비스를 통해 Bootp 서비스를 제공하는 또 다른 라우터 상의 OS 사본에 접속할 수 있으며, OS 소프트웨어의 복사본을 다운로드 할 수 있는 취약점이 존재하므로 사용하지 않는다면 비활성화 해야한다 위험도 : 중 판단기준 양호 : Bootp 서비스가 제한되어 있음 취약 : Bootp 서비스가 제한되어 있지 않음 점검 방법 점검 방법 예시 cisco Router# show running-config · bootp 설정 확인 Router# show running-config ... no ip bootp server ... alteon ADC# /cfg/dump · boot.. 더보기 [NW-27] (중)TCP/UDP Small 서비스 차단 개요 Cisco 제품의 경우 DoS 공격의 대상이 될 수 있는 서비스(echo, discard, daytime, chargen)를 기본적으로 제공하므로 보안상 위험이 존재한다. 이러한 서비스는 일반적으로 거의 사용하지 않으므로 서비스가 불필요하게 열려있다면 제거하여 DoS 공격을 예방할 수 있다 위험도 : 중 판단기준 양호 : TCP/UDP Small 서비스가 제한되어 있음 취약 :TCP/UDP Small 서비스가 제한되어 있지 않음 점검 방법 점검 방법 예시 cisco Router# show running-config · tcp-small-servers 및 udp-small-servers 설정 확인 Router# show running-config ... no service tcp-small-serve.. 더보기 [NW-26] (중) 웹 서비스 차단 개요 네트워크 장비에서 제공하는 관리용 웹(HTTP) 사이트는 기존에 알려진 웹 취약점이나 패스워드 추측 공격 등에 취약할 수 있다. 그러므로 불필요한 경우에는 HTTP 사용을 제한하여야 한다. HTTP 서버를 사용해야 한다면 HTTP 서버에 접속할 수 있는 관리자 IP를 제한해야 한다 위험도 : 중 판단기준 양호 : 웹 서비스 차단 설정 되어 있음 차단 설정이 되어 있지 않은 경우, ACL 적용 취약 : 웹 서비스 차단 설정 되어 있지 않음 점검 방법 점검 방법 예시 cisco Router# show running-config · http, https 설정 확인 Router# show running-config ... no ip http server no ip http secure-server ... .. 더보기 이전 1 2 3 4 5 다음