[네트워크 장비] 패스워드 설정
- 정보보안/네트워크
- 2022. 8. 31.
N-01 패스워드 설정
■ 점검영역 : 계정관리
■ 항목 중요도 : 상
■ 점검내용
관리 터미널(콘솔, SSH, https 등)을 통해 네트워크 장비 접근 시 기본 패스워드(기본 관리자 계정도 함께 변경하도록 권고)를 사용하는지 점검
■ 점검목적
기본 패스워드를 변경 후 사용하는지 점검하여 기본 패스워드를 변경하지 않고 사용함으로써 발생할 수 있는 비인가자의 네트워크 장비 접근에 대한 통제가 이루어지는지 확인하기 위함
■ 보안위협
장비 출고 시 설정된 기본 패스워드를 변경하지 않고 그대로 사용할 경우 비인가자가 인터넷을 통해 벤더사 별 네트워크 장비 기본 패스워드를 쉽게 획득할 수 있음
획득한 패스워드를 사용하여 기본 패스워드를 변경하지 않고 관리 운용 중인 네트워크 장비에 접근하여 장비의 내부 설정(ACL)을 변경함으로써 해당 네트워크 장비를 통해 전송되는 데이터들이 비인가자에게 유출되거나 네트워크 장비를 통해 통신하는 정보시스템(서버, 보안장비, 네트워크장비) 간의 통신에 영향(데이터 전송 불가)을 미칠 수 있음
■ 참고
※ 기본(Default) 패스워드: 장비 제조업체에서 출고 시 설정되어 나오는 기본 관리자 계정의 패스워드 정보
※ 기본(Default) 관리자 계정: 장비 제조업체에서 출고 시 설정되어 나오는 네트워크 장비의 관리용 계정(예 admin, manager 등)
점검대상 및 판단기준(네트워크 취약점 진단)
■ 대상 : Cisco, Alteon, Passport, Juniper, Piolink 등
양호
기본 패스워드를 변경한 경우
취약
기본 패스워드를 변경하지 않거나 패스워드를 설정하지 않은 경우
■ 조치방법
기본 패스워드를 관리기관의 패스워드 작성규칙을 준용하여 변경
점검 및 조치 방법(파이오링크, 시스코, 주니퍼)
■ 장비별 점검방법 예시
Cisco IOS
Router> enable
Router# show running-config
1. enable 패스워드 설정 확인
2. VTY, 콘솔, 보조(AUX) 포트의 로그인 인증 방식 및 패스워드 설정 확인
login: 라인 패스워드 인증
login local: 로컬 사용자 인증
login authentication: AAA 인증
no login: 인증 없이 사용자 모드(User EXEC mode) 접근
Radware Alteon
>> Main# /cfg/dump
admpw 설정 확인
Passport
# show config
패스워드 설정 확인
Juniper Junos
user@host> configure
[edit]
user@host# show
root authentication 설정 확인
Piolink PLOS
switch# show running-config
패스워드 설정 확인
■ 장비별 조치방법 예시
Cisco IOS
Step 1) enable 패스워드 설정
Router# config terminal (단축 명령 conf t)
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# enable secret <패스워드>
또는
Router(config)# enable password <패스워드>
Router(config)# end
Router#
Step 2) 가상 터미널(VTY) 패스워드 설정
Router# config terminal
Router(config)# line vty ?
<0X4> First Line number
Router(config)# line vty 0 4
Router(config-line)# login
Router(config-line)# password <패스워드>
Step 3) 콘솔 패스워드 설정
Router# config terminal
Router(config)# line console ?
<0X0> First Line number
Router(config)# line console 0
Router(config-line)# login
Router(config-line)# password <패스워드>
Step 4) 보조(AUX) 포트 패스워드 설정
Router# config terminal
Router(config)# line aux ?
<0X0> First Line number
Router(config)# line aux 0
Router(config-line)# login
Router(config-line)# password <패스워드>
※ AUX 포트는 일반적으로 무단 접근을 방지하기 위해 (불필요한 보조 입·출력 포트 사용 금지)과 같이 비활성화 설정
Radware Alteon
>>Main# /cfg/sys/access/user/admpw (administrator 패스워드 변경 시)
>>Main# apply
>>Main# save
Passport
[CLI]
Step 1) switch로 접속
Step 2) 다음 중 해당하는 계정에 따라 명령어 실행
# config cli password ro <username>
# config cli password l1 <username>
# config cli password l2 <username>
# config cli password l3 <username>
# config cli password rw <username>
# config cli password rwa <username>
# config cli password slboper <username>
# config cli password l4oper <username>
# config cli password oper <username>
# config cli password slbadmin <username>
# config cli password l4admin <username>
# config cli password ssladmin <username>
Juniper Junos
user@host> configure
[edit]
user@host# set system root-authentication plain-text-passwd
New password : <패스워드>
retype new password: : <패스워드>
Piolink PLOS
# configure terminal
(config)# password
Changing password for root
Enter the new password (minimum of 5, maximum of 8 characters)
Enter new password: <패스워드>
Re-enter new password: <패스워드>
■ 조치 시 영향 : 일반적인 경우 영향 없음