[네트워크 장비 취약점 진단] 패스워드 복잡성 설정

 

 

N-02 패스워드 복잡성 설정

 

■ 점검영역 : 계정관리

 

■ 항목 중요도 : 상

 

■ 점검내용

 

네트워크 장비에 기관 정책에 맞는 계정 패스워드 복잡성 정책이 적용되어 있는지 점검

패스워드 복잡성 정책 설정 기능이 장비에 존재하지 않을 경우 기관 정책에 맞게 계정 패스워드를 설정하여 사용하는지 점검

 

■ 점검목적

 

패스워드 복잡성 정책이 장비 정책에 적용되어 있는지 점검하여 비인가자의 네트워크 장비 터미널(콘솔, SSH, https 등) 접근 시도 공격(무작위 대입 공격, 사전 대입 공격 등)에 대한 대비 여부를 확인하기 위함

 

■ 보안위협

 

패스워드 복잡성 정책이 적용되어 있지 않을 경우 계정 생성 후 초기 패스워드 설정 및 기존 패스워드 변경 시 패스워드 복잡성 제약 규칙을 적용받지 않아 취약한 패스워드(예 qwerty, 12345, pass1234 등)를 설정할 수 있도록 허용함

해당 취약점으로 인해 비인가자의 공격(무작위 대입 공격, 사전 대입 공격 등)에 계정 패스워드가 유출되는 원인을 제공하여 유출된 패스워드를 사용하여 비인가자가 네트워크 장비 터미널에 접근할 수 있는 위험이 존재함

 

■ 참고

 

※ 패스워드 복잡성: 계정 패스워드 설정 시 영문(대문자, 소문자), 숫자, 특수문자가 혼합된 패스워드로 설정하는 것
※ 무작위 대입 공격(Brute Force Attack): 컴퓨터로 암호를 해독하기 위해 가능한 모든키를 하나하나 추론해 보는 시도를 말함.
※ 사전 대입 공격(Dictionary Attack): 사전에 있는 단어를 입력하여 패스워드를 알아내거나 암호를 해독하는 데 사용되는 컴퓨터 공격 방법

 

 

점검대상 및 판단기준(네트워크 취약점 진단)

 

■ 대상 : Cisco, Alteon, Passport, Juniper, Piolink 등

 

양호

기관 정책에 맞는 패스워드 복잡성 정책을 설정하거나 패스워드 복잡성 설정 기능이 없는 장비는 기관 정책에 맞게 패스워드를 사용하는 경우

 

취약

기관 정책에 맞지 않는 패스워드를 설정하여 사용하는 경우

 

■ 조치방법

 

관리기관의 패스워드 작성규칙에 맞게 패스워드 복잡성 정책 및 패스워드 설정

 

 

점검 및 조치 방법(파이오링크, 시스코, 주니퍼)

 

■ 장비별 점검방법 예시

 

공통

장비에 패스워드 복잡성 정책을 설정하거나 패스워드 복잡성 설정 기능이 없는 장비는
기관 정책에 따라 패스워드를 설정하여 사용하는지 확인

 

■ 장비별 조치방법 예시

공통
주요정보통신기반시설 관리기관의 패스워드 작성규칙과 관련 법규을 준수하여 패스워드 복잡성 정책을 설정하고 안전한 패스워드를 사용

- 패스워드 작성규칙 예시
비밀번호는 다음 각 호 사항을 반영하고 숫자·문자·특수문자 등을 혼합하여 안전하게 설정하고 정기적으로 변경·사용하여야 함
1. 사용자 계정(아이디)과 동일하지 않은 것
2. 개인 신상 및 부서 명칭 등과 관계가 없는 것
3. 일반 사전에 등록된 단어의 사용을 피할 것
4. 동일한 단어 또는 숫자를 반복하여 사용하지 말 것
5. 사용된 비밀번호는 재사용하지 말 것
6. 동일한 비밀번호를 여러 사람이 공유하여 사용하지 말 것
7. 응용프로그램 등을 이용한 자동 비밀번호 입력기능을 사용하지 말 것

Cisco IOS

패스워드의 최소 길이 설정을 설정(기존 패스워드는 영향을 받지 않음)
Router# config terminal
Router(config)#security passwords min-length ?
<0-16> Minimum length of all user/enable passwords
Router(config)# security passwords min-length <길이>

 

 

■ 조치 시 영향 : 일반적인 경우 영향 없음