[네트워크 장비 취약점 진단] 사용자·명령어별 권한 수준 설정
- 정보보안/네트워크
- 2022. 9. 2.
N-15 사용자·명령어별 권한 수준 설정
■ 점검영역 : 계정관리
■ 항목 중요도 : 중
■ 점검내용
네트워크 장비 사용자의 업무에 따라 계정 별로 장비 관리 권한을 차등(관리자 권한은 최소한의 계정만 허용) 부여하고 있는지 점검
■ 점검목적
업무에 따라 계정 별 권한이 차등 부여되어 있는지 점검하여 계정 별 권한에 따라 장비의 사용 및 설정 가능한 기능을 제한하는지 확인하기 위함
■ 보안위협
계정 별 권한이 차등 부여되어 있지 않은 경우, 일반 계정으로 장비의 모든 기능을 제어할 수 있어 일반 계정이 비인가자에 노출되었을 때 비인가자가 획득한 계정 정보를 통해 네트워크 장비에 접근하여 장비의 설정(ACL) 변경, 삭제 등의 행위를 하여 장비의 가용성(해당 장비를 통해 통신하는 정보시스템 간 데이터 전송 불가)저하 문제가 발생할 위험이 존재함
■ 참고
※ 관리자 계정: 장비의 모든 기능(계정 생성 및 권한 부여, 장비 정책 설정, 모든 명령어 사용 가능 등)을 제한 없이 사용하거나 설정할 수 있는 계정
※ 일반 계정: 장비의 일부 기능(모니터링, 룰셋적용, 일부 명령어만 사용 등) 만 사용하거나 설정할 수 있는 계정
점검대상 및 판단기준(네트워크 취약점 진단)
■ 대상 : Cisco, Alteon, Passport, Juniper, Piolink 등
양호
업무에 맞게 계정의 권한이 차등 부여 되어있을 경우
취약
업무에 맞게 계정의 권한이 차등 부여 되어있지 않을 경우
■ 조치방법
업무에 맞게 계정 별 권한 차등(관리자 권한 최소화) 부여
※ 한명의 관리자가 네트워크 장비를 관리할 경우는 해당하지 않음
점검 및 조치 방법(파이오링크, 시스코, 주니퍼)
■ 장비별 점검방법 예시
Cisco IOS
Router# show privilege
사용자·명령어별 레벨 설정 확인
Radware Alteon
사용자의 접근 레벨이 7단계로 나누어져 있는지 확인
Juniper Junos
[edit system login]에서 superuser, read-only 클래스를 분리, 운영하는지 확인
Piolink PLOS
슈퍼유저(root)와 일반유저로 권한을 부여하여 관리하는지 확인
■ 장비별 조치방법 예시
Cisco IOS
시스코 IOS에서는 0에서 15까지 16개의 서로 다른 권한 수준을 규정하고 있으며, 레벨 1과 레벨 15는 기본적으로 정의되어 있음
사용자 EXEC 모드는 레벨 1에서 실행되며 privileged EXEC 모드는 레벨 15에서 실행되고, IOS 각 명령어는 레벨 1이나 레벨 15 중 어느 하나의 레벨이 사전에 기본적으로 지정되어 있음
레벨 1에서는 라우터의 설정 조회만 가능하고 레벨 15에서는 라우터의 전체 설정을 조회하고 변경할 수 있으므로 중요한 명령어의 권한 수준을 높여서 제한하는 것이 보안상 안전함
Step 1) 사용자별 권한 수준 지정
Router# config terminal
Router(config)# username [ID] privilege [1-15] secret [PASS]
또는
Router(config)# username [ID] privilege [1-15] password [PASS]
Step 2) 명령어별 권한 수준 지정
Router(config)# privilege exec level [1-15] [서비스명]
※ 아래의 중요한 명령어에는 반드시 레벨 15를 적용해야 함
connect, telnet, rlogin, show ip access-list, show logging
Router# config terminal
Router(config)# privilege exec level 15 connect
Router(config)# privilege exec level 15 telnet
Router(config)# privilege exec level 15 rlogin
Router(config)# privilege exec level 15 show ip access-list
Router(config)# privilege exec level 15 show logging
Radware Alteon
사용자의 접근 및 권한 레벨은 7단계로 나누어져 있음
| 사용자 계정 / 기본 패스워드 | 설명 |
| User / User | User는 스위치 관리에 대한 직접적인 책임이 없지만 모든 스위치 상태 정보와 통계 자료를 볼 수 있음 그러나 스위치의 어떤 설정도 바꿀 수 없음 |
| SLB Operator / slboper | SLB Operator는 Web 서버들과 다른 인터넷 서비스의 로드를 관리함 부가적으로 모든 스위치 정보와 통계를 볼 수 있으며, Server Load Balancing 운영 메뉴를 사용하는 서버의 사용 가능/사용 불가능을 설정할 수 있음 |
| Layer4 Operator / l4oper | Layer4 Operator는 공유된 인터넷 서비스들에 따른 라인의 트래픽을 관리함 SLB Operator와 같은 접근 레벨을 가지고 있고, 공유된 인터넷 서비스들에 따른 라인의 트래픽을 관리하는 운영자를 위한 운영적인 명령어에 접근할 수 있도록 제공하는 위해 서 접근 레벨은 향후에 사용하기 위해 예약되어 있음 |
| Operator / oper | Operator는 모든 스위치의 기능을 관리함 부가적으로 SLB Operator 기능과 포트나 전반적인 스위치를 재설정 할 수 있음 |
| SLB Administrator / slbadmin | SLB Administrator는 웹서버들과 다른 인터넷 서비스들과 그것에 대한 로드를 설정 및 관리 할 수 있음 부가적으로 SLB Operator 기능들과 설정 필터들이나 대역폭 관리를 하는 것을 제외한 Server Load Balancing 메뉴에 매개변수를 설정할 수 있음 |
| Layer4 Administrator / l4admin | Layer4 Administrator는 공유된 인터넷 서비스들에 따른 라인에 대한 트래픽을 설정 및 관리 함 부가적으로 SLB Administrator 기능들, 설정 필터들이나 대역폭 관리 하는 것을 포함한 Server Load Balancing 메뉴에 모든 매개변수를 설정할 수 있음 |
| Administrator / admin | superuser Administrator는 user와 administrator 패스워드를 둘 다 변경할 수 있으며, Web 스위치의 모든 메뉴, 정보 그리고 설정 명령어들에 사용할 수 있음 |
Step 1) switch로 접속
Step 2) # cfg
Step 3) # sys
Step 4) 다음 중에 해당하는 경우를 선택
# /user/명령어
usrpw - user 암호 설정 및 변경
sopw - SLB operator 암호 설정 및 변경
l4opw - L4 operator 암호 설정 및 변경
opw - operator 암호 설정 및 변경
sapw - SLB administrator 암호 설정 및 변경
l4apw - L4 administrator 암호 설정 및 변경
admpw - administrator 암호 설정 및 변경
Step 5) 암호 및 설정 변경
Step 6) # apply
Step 7) # save
Juniper Junos
장비 구성 변경 시 사용하는 superuser 클래스와 monitoring 용으로 사용하는 read-only 클래스를 분리하여 사용할 것을 권장함. 장비 내 기본적으로 다음과 같은 클래스별 사용 권한 설정 및 세부 옵션 추가로 기능 제한을 할 수 있고, 특정 명령어 사용 제한을 계정마다 따로 설정할 수 있으므로 특정한 사용자 계정의 생성이 필요한 경우 사용 권한을 부여하여야 함
| Class-name | Ability |
| Operator | clear, network, reset, trace, view |
| read-only | view |
| Superuser | all |
| unauthorized | None |
Step 1) [edit system login] hierarchy level:
Step 2) [edit system]
login {10
class class-name {
allow-commands “regular-expression”;
deny-commands “regular-expression”;
idle-timeout minutes;
permissions [ permissions ];
}
}
Piolink PLOS
디폴트 계정인 슈퍼유저(root)와 관리목적에 따라 신규로 등록할 수 있는 일반유저, 2단계로 나누어져 있음. 슈퍼유저는 모든 권한이 부여되어 있으나 일반유저의 경우 장비의 설정을 변경할 수 있는 권한이 없음. 따라서 사용자의 업무 및 권한에 따라 계정을 부여하여 관리하는 것이 보안상 중요함
■ 조치 시 영향 : 해당 명령어 실행 시 권한 부족으로 실행되지 않을 수 있음