[네트워크 장비 취약점 진단] mask-reply 차단

 

 

N-37 mask-reply 차단

 

■ 점검영역 : 기능관리

 

■ 항목 중요도 : 중

 

■ 점검내용

 

mask-reply를 차단하는지 점검

 

■ 점검목적

 

내부 네트워크의 서브넷 마스크 정보를 요청하는 ICMP 메시지에 네트워크 장비가 응답하지 않도록 mask-reply를 차단 설정

 

■ 보안위협

 

mask-reply를 차단하지 않는 경우 비인가자에게 내부 서브네트워크의 서브넷 마스크 정보가 노출될 수 있음

 

■ 참고

 

※ mask-reply: 네트워크 장비는 ICMP Address Mask Request 메시지에 대한 응답으로 인터페이스의 서브넷 마스크 정보를 제공

 

 

점검대상 및 판단기준(네트워크 취약점 진단)

 

■ 대상 : Cisco, Alteon, Passport, Juniper, Piolink 등

 

양호

mask-reply를 차단하는 경우

 

취약

mask-reply를 차단하지 않은 경우

 

■ 조치방법

 

각 인터페이스에서 mask-reply 비활성화

 

 

점검 및 조치 방법(파이오링크, 시스코, 주니퍼)

 

■ 장비별 점검방법 예시

 

Cisco IOS

 

Router# show running-config
기본적으로 ip mask-reply 명령은 비활성화 상태이기 때문에 구성 내용에서 no ip mask-reply 명령이 표시되지 않음
Router# show ip interface
Serial1/0 is up, line protocol is up (connected)
!
ICMP mask replies are never sent
!
show ip interface 실행 결과에서 ICMP Address Mask Reply 차단 여부를 표시

 

 

■ 장비별 조치방법 예시

 

Cisco IOS

 

Interface Configuration 모드에서 no ip mask-reply 명령어를 사용하여 비활성화
Router# config terminal
Router(config)# interface <인터페이스>
Router(config-if)# no ip mask-reply

 

 

■ 조치 시 영향 : 일반적인 경우 영향 없음