‘중소기업 네트워크 장비 보안 점검 안내서’ 따라잡기
우리 회사 네트워크 장비의 보안·로그·기능 관리, 어떻게 하면 좋을까
[보안뉴스 박은주 기자] 네트워크 장비는 서비스 말단에서 가용성을 보장하는 기업의 필수 인프라다. 초기 구축 이후, 관리가 상대적으로 소홀해 사이버 공격의 표적이 되고 있다. 공격이나 장애가 발생할 시 연결된 모든 서비스에 영향을 끼치게 된다. 상대적으로 정보보호 투자 및 보안성이 부족한 중소규모 기업에 치명적일 수 있다. 이에 한국인터넷진흥원(KISA)은 중소기업의 보안수준을 높이고 네트워크 장비의 보안 점검 방안을 제시하기 위해 ‘중소기업 네트워크 장비 보안 점검 안내서(이하 안내서)’를 발간했다.
[이미지=gettyimagesbank]
앞서 <보안뉴스>에서는 ‘네트워크 장비 보안 점검 방법 계정·접근·패치 관리편’을 통해 네트워크 장비 계정과 접근 제어 및 보안 업데이트 관리 방법을 알아봤다. 이번에는 안내서에 따라 네트워크 장비의 보안·로그·기능 관리 방법을 짚어봤다.
보안관리: 위험 방지 필터링 설정
IP 스푸핑(Spoofing) 기반 서비스 거부 공격(DoS) 시 네트워크 장비의 한계를 넘어선 트래픽이 발생하고, 정상적인 서비스 제공이 어려워진다. 스푸핑이란 네트워크 흐름을 임의로 변경해 승인된 사용자처럼 신분을 위장하는 해킹 수법이다. 이러한 도스 공격을 예방하기 위해 ‘스푸핑 방지 필터링(Anti-Spoofing Filtering)’ 설정이 제시된다. 필터링을 통해 패킷 전송 경로 지정(라우팅)이 불가한 특수용도 IP를 차단할 수 있기 때문이다. 특수용도 IP에는 사설 네트워크, 루프백 등이 포함된다. 만일 사설 IP 통신이 필요한 경우, 해당 IP 대역은 제외하고 필터링을 설정하는 방법이 있다.
좀비 PC를 동원해 비정상적으로 많은 트래픽을 유발하는 분산 서비스 거부(DDoS) 공격을 당하면 네트워크 및 시스템 리소스가 고갈돼 서비스 제공 속도가 느려지거나 장애가 발생할 수 있다. 디도스 공격을 예방하기 위해 ‘서비스 거부 공격 차단 필터 설정’이 필요하다. 해당 필터는 공격 유형과 상황에 따라 다르게 적용된다. 예를 들어 ACL(Access Control List) 필터는 스푸핑을 사전에 걸러내고, 공격 대상의 IP 주소·프로토콜·포트를 임시 차단한다. Rate limiting 필터는 UDP, ICMP, TCP SYN 패킷과 같은 특정 유형의 트래픽에 대한 대역폭을 제한한다. 필터 설정과 더불어 디도스 대응 장비를 도입해 공격을 방어할 수 있다.
또한, ICMP Unreachable과 ICMP Redirect를 차단해야 한다. ICMP(Internet Control Message Protocol) Unreachable 메시지는 네트워크 통신이 불가능한 경우 발송하는데, 통신이 불가능한 이유를 설명하는 코드가 포함돼 있다. 이를 차단하지 않으면 공격자가 시스템 운영 상태를 스캔할 수 있는 위협이 존재한다. ICMP Redirect는 라우터가 더 효율적인 경로를 사용할 수 있도록 한다. 다만 ICMP Redirect를 차단하지 않으면 고의로 패킷 경로를 변경해 가로챌 수 있는 위험이 존재한다. 이에 ICMP 필터링 설정이 요구된다.
로그관리: 충분한 로깅 버퍼 설정
네트워크 장비에 이상이 있거나 침해사고가 발생했을 때, 로그가 충분치 않으면 사고 원인 분석에 어려움이 생긴다. 즉, 로그는 사건 기록이자 증거인 셈이다. 따라서 로그 활성화 및 가능한 많은 로그를 남길 수 있도록 로깅 버퍼를 충분한 크기로 설정해야 한다. 네트워크 장비나 성능에 따라 용량과 성능·보안 요구 사항·분석의 용이성 등을 고려해야 하며, 되도록 충분한 크기로 설정하는 것이 권장된다.
기능관리: 불필요하고 위험한 서비스 중단
네트워크 장비에서 미사용 인터페이스·불필요한 서비스·취약한 서비스를 비활성화해 장비의 기능 관리할 수 있다. 사용하지 않는 외부 접속 포트 및 인터페이스가 활성화되면, 비인가자가 무단으로 접속할 수 있는 위험이 존재한다. 사용하는 포트와 인터페이스를 확인하고, 미사용 부분은 비활성화하는 것이 안전하다.
불필요한 서비스를 비활성화해 잠재적인 위협으로부터 보호할 수 있다. 사용하지 않는 서비스는 유지 보수 및 취약점 관리를 하지 않는 경우가 많다. 관리되지 않는 서비스를 방치했다가, 취약점 공격에 속수무책으로 피해를 볼 수 있다. 실제로 서비스가 종료됐거나 종료 시점을 앞두고 보안 업데이트를 지원하지 않는 각종 시스템 및 솔루션이 공격당하는 일이 빈번하게 발생한다. 따라서 불필요한 서비스는 비활성화해 공격자가 침임할 틈을 제거하는 것이 안전하다.
또한, 보안이 취약한 서비스는 비활성화하는 것이 권고된다. 예를 들어 Finger 서비스는 네트워크를 통해 등록된 장치 정보를 다른 사용자에게 제공한다. 타인의 로그인 계정, 접속 IP 등 장비 접속 상태가 노출될 수 있다. 이 밖에도 △TCP/UDP small △CDP △Bootp △Source routing △identd △domain lookup 등 장비 진단 및 관리 목적으로 개발됐지만, 보안이 취약한 기능이 존재한다. 이는 장비 장애를 발생시키거나 추가 공격에 악용될 수 있어 비활성화하는 것이 안전하다.
[박은주 기자(boan5@boannews.com)]
우리 회사 네트워크 장비의 보안·로그·기능 관리, 어떻게 하면 좋을까
[보안뉴스 박은주 기자] 네트워크 장비는 서비스 말단에서 가용성을 보장하는 기업의 필수 인프라다. 초기 구축 이후, 관리가 상대적으로 소홀해 사이버 공격의 표적이 되고 있다. 공격이나 장애가 발생할 시 연결된 모든 서비스에 영향을 끼치게 된다. 상대적으로 정보보호 투자 및 보안성이 부족한 중소규모 기업에 치명적일 수 있다. 이에 한국인터넷진흥원(KISA)은 중소기업의 보안수준을 높이고 네트워크 장비의 보안 점검 방안을 제시하기 위해 ‘중소기업 네트워크 장비 보안 점검 안내서(이하 안내서)’를 발간했다.
[이미지=gettyimagesbank]
앞서 <보안뉴스>에서는 ‘네트워크 장비 보안 점검 방법 계정·접근·패치 관리편’을 통해 네트워크 장비 계정과 접근 제어 및 보안 업데이트 관리 방법을 알아봤다. 이번에는 안내서에 따라 네트워크 장비의 보안·로그·기능 관리 방법을 짚어봤다.
보안관리: 위험 방지 필터링 설정
IP 스푸핑(Spoofing) 기반 서비스 거부 공격(DoS) 시 네트워크 장비의 한계를 넘어선 트래픽이 발생하고, 정상적인 서비스 제공이 어려워진다. 스푸핑이란 네트워크 흐름을 임의로 변경해 승인된 사용자처럼 신분을 위장하는 해킹 수법이다. 이러한 도스 공격을 예방하기 위해 ‘스푸핑 방지 필터링(Anti-Spoofing Filtering)’ 설정이 제시된다. 필터링을 통해 패킷 전송 경로 지정(라우팅)이 불가한 특수용도 IP를 차단할 수 있기 때문이다. 특수용도 IP에는 사설 네트워크, 루프백 등이 포함된다. 만일 사설 IP 통신이 필요한 경우, 해당 IP 대역은 제외하고 필터링을 설정하는 방법이 있다.
좀비 PC를 동원해 비정상적으로 많은 트래픽을 유발하는 분산 서비스 거부(DDoS) 공격을 당하면 네트워크 및 시스템 리소스가 고갈돼 서비스 제공 속도가 느려지거나 장애가 발생할 수 있다. 디도스 공격을 예방하기 위해 ‘서비스 거부 공격 차단 필터 설정’이 필요하다. 해당 필터는 공격 유형과 상황에 따라 다르게 적용된다. 예를 들어 ACL(Access Control List) 필터는 스푸핑을 사전에 걸러내고, 공격 대상의 IP 주소·프로토콜·포트를 임시 차단한다. Rate limiting 필터는 UDP, ICMP, TCP SYN 패킷과 같은 특정 유형의 트래픽에 대한 대역폭을 제한한다. 필터 설정과 더불어 디도스 대응 장비를 도입해 공격을 방어할 수 있다.
또한, ICMP Unreachable과 ICMP Redirect를 차단해야 한다. ICMP(Internet Control Message Protocol) Unreachable 메시지는 네트워크 통신이 불가능한 경우 발송하는데, 통신이 불가능한 이유를 설명하는 코드가 포함돼 있다. 이를 차단하지 않으면 공격자가 시스템 운영 상태를 스캔할 수 있는 위협이 존재한다. ICMP Redirect는 라우터가 더 효율적인 경로를 사용할 수 있도록 한다. 다만 ICMP Redirect를 차단하지 않으면 고의로 패킷 경로를 변경해 가로챌 수 있는 위험이 존재한다. 이에 ICMP 필터링 설정이 요구된다.
로그관리: 충분한 로깅 버퍼 설정
네트워크 장비에 이상이 있거나 침해사고가 발생했을 때, 로그가 충분치 않으면 사고 원인 분석에 어려움이 생긴다. 즉, 로그는 사건 기록이자 증거인 셈이다. 따라서 로그 활성화 및 가능한 많은 로그를 남길 수 있도록 로깅 버퍼를 충분한 크기로 설정해야 한다. 네트워크 장비나 성능에 따라 용량과 성능·보안 요구 사항·분석의 용이성 등을 고려해야 하며, 되도록 충분한 크기로 설정하는 것이 권장된다.
기능관리: 불필요하고 위험한 서비스 중단
네트워크 장비에서 미사용 인터페이스·불필요한 서비스·취약한 서비스를 비활성화해 장비의 기능 관리할 수 있다. 사용하지 않는 외부 접속 포트 및 인터페이스가 활성화되면, 비인가자가 무단으로 접속할 수 있는 위험이 존재한다. 사용하는 포트와 인터페이스를 확인하고, 미사용 부분은 비활성화하는 것이 안전하다.
불필요한 서비스를 비활성화해 잠재적인 위협으로부터 보호할 수 있다. 사용하지 않는 서비스는 유지 보수 및 취약점 관리를 하지 않는 경우가 많다. 관리되지 않는 서비스를 방치했다가, 취약점 공격에 속수무책으로 피해를 볼 수 있다. 실제로 서비스가 종료됐거나 종료 시점을 앞두고 보안 업데이트를 지원하지 않는 각종 시스템 및 솔루션이 공격당하는 일이 빈번하게 발생한다. 따라서 불필요한 서비스는 비활성화해 공격자가 침임할 틈을 제거하는 것이 안전하다.
또한, 보안이 취약한 서비스는 비활성화하는 것이 권고된다. 예를 들어 Finger 서비스는 네트워크를 통해 등록된 장치 정보를 다른 사용자에게 제공한다. 타인의 로그인 계정, 접속 IP 등 장비 접속 상태가 노출될 수 있다. 이 밖에도 △TCP/UDP small △CDP △Bootp △Source routing △identd △domain lookup 등 장비 진단 및 관리 목적으로 개발됐지만, 보안이 취약한 기능이 존재한다. 이는 장비 장애를 발생시키거나 추가 공격에 악용될 수 있어 비활성화하는 것이 안전하다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
