[네트워크 장비 취약점 진단] 암호화 된 패스워드 사용

 

 

N-03 암호화 된 패스워드 사용

 

■ 점검영역 : 계정관리

 

■ 항목 중요도 : 상

 

■ 점검내용

 

계정 패스워드 암호화 설정이 적용되어 있는지 점검

 

■ 점검목적

 

계정 패스워드 암호화 설정 유무를 점검하여 비인가자의 네트워크 장비 터미널 접근으로 인해 발생할 수 있는 장비 내 계정 패스워드 유출에 대비가 되어 있는지 확인하기 위함

 

■ 보안위협

 

계정 패스워드 암호화 기능이 설정되어 있지 않을 경우, 비인가자가 네트워크 터미널에 접근하여 장비 내에 존재하는 모든 계정의 패스워드를 획득할 수 있는 위험이 존재함

 

■ 참고

 

-

 

 

점검대상 및 판단기준(네트워크 취약점 진단)

 

■ 대상 : Cisco, Alteon, Passport, Juniper, Piolink 등

 

양호

패스워드 암호화 설정을 적용한 경우

 

취약

패스워드 암호화 설정을 적용하지 않은 경우

 

■ 조치방법

 

패스워드 암호화 설정 적용

 

 

점검 및 조치 방법(파이오링크, 시스코, 주니퍼)

 

■ 장비별 점검방법 예시

 

Cisco IOS

 

Router# show running-config
1. enable secret 사용 확인
2. username secret 사용 확인
3. Password-Encryption 서비스 동작 확인

Juniper Junos

 

[edit]
user@host#show
root authentication 설정을 이용하여 [edit system] 레벨에서 패스워드 암호화 설정

 

■ 장비별 조치방법 예시

 

Cisco IOS

 

Step 1) enable secret 설정
enable secret 명령어를 사용하여 enable 패스워드를 일방향 암호화 저장
enable secret 와 enable password 명령어로 각각 패스워드를 사용하는 경우 enable secret 명령어의 우선순위가 높으며 보안상 패스워드를 서로 다르게 입력해야 함

Router# config terminal
Router(config)# enable secret <패스워드>

Step 2) username secret 설정
username secret 명령어를 사용하여 로컬 사용자 패스워드를 일방향 암호화 저장
enable secret과 enable password 명령어로 패스워드를 설정하여 같이 사용하는 경우
enable secret 명령어로 설정한 패스워드의 우선순위가 높으며 보안상 패스워드 서로 다르게 입력해야 함
Router# config terminal
Router(config)# username <사용자이름> secret <패스워드>

Step 3) Password-Encryption 서비스 설정
구성파일(running-config/startup-config)에 평문 패스워드를 양방향 암호화로 저장하여 노출을 방지, 해독 가능한 알고리즘(비즈네르 암호)를 사용하기 때문에 구성정보에서 패스워드를 제거하고 출력해야 하는 경우 show tech-support 명령어를 사용
Router# config terminal
Router(config)# service password-encryption
Router(config)# end
Router# show running-config
!
enable secret 5 $1$mERr$9WCswBwUv6WeC6M8kNSs8
enable password 7 0822455D0A1648121C0A0E082F

Juniper Junos
기본적으로 패스워드를 암호화 저장하며, encrypted-password 옵션은 이미 암호화 된 패스워드 해시를 직접 입력할 때 사용
[edit]
user@host# set system root-authentication encrypted-password <암호화 된 패스워드>

 

 

■ 조치 시 영향 : 일반적인 경우 영향 없음