내부통제모형인 COSO모형입니다. 내부통제 (Internal control)란 기업자체에서 구현한 모든 통제를 포괄적으로 표현한 것입니다. COSO는 Committee of sponsoring Organizations of the Treadway Commission의 약자로... AICPA산하 트레드웨이 과제후원추진위원회의 약자를 따서 명명한 것입니다. COSO는 포괄적이고 경영지향적으로 개발된 모델이라고 할수있습니다.
인터넷에서 적절한 이미지를 찾지못해 아예 만들어보았습니다. 워드로...ㅋㅋ (PDF로 내보내기한후 화면캡춰해서 만들었습니다.)
보안이란 단어는 '철통같은 경계'를 연상하게 합니다. 물샐틈 없이 철저하게 지켜야할것 같은 생각이 듭니다.
그런면에서 코코넛이 연상되게 됩니다. 풍부한 수분을 가지고 있지만 겉 표면은 매우 단단한 껍질로 보호되죠.. 열매의 가장 바깥쪽에서 내부의 모든것을 보호해줍니다. 기업에서 코코넛처럼 보안을 한다면... 전부 보호하려한다면... 비용은 엄청나게 증대할것입니다. 한곳만 뚫려도 모든것이 새어나가죠.. 들어간 막대한 비용도 무의미해지죠..
그래서 보안은 복숭아처럼 하라고 하더군요.,.. 복숭아는 모든것을 보호하지않습니다. 핵심을 보호하죠.. 보호할 가치가 있는것을 선별하여 제대로 보호하는것... 그것이 기업 보안의 핵심이 아닌가 합니다. 실제로 지나친 보안은 기업의 효율성은 떨어뜨리기도 합니다. 보안은 기업의 기밀을 유지하는것이라기 보다는 기업의 가치를 보호하는것이라고 할수있습니다.. 비용대비 효과적인 보안을 하는것이 과제가 되는거죠...
보안은 코코넛보다는 복숭아처럼 하라고 한말은 제 말은 아니구요... 송태호님이 자주 하시던 말씀입니다. 보안에 대해 공부하고 자료를 모으고 시스템을 준비해가면서 그말이 더욱 새로와져서... 정리하는 마음으로 이글을 적어봤습니다. ^^
요절 한말씀
선한 사람은 마음의 쌓은 선에서 선을 내고 악한자는 그 쌓은 악에서 악을 내나니 이는 마음의 가득한 것을 입으로 말함이니라
코코넛이란 과일에 대해 이야기한것인데... ^^
안랩 코코넛과는 상관이 없음을 밝혀드립니다. (본의아니게 죄송)
보안의 일반사항에 대해 공감이 가는바라서 적었거든요.
엔지니어 출신은 일단 철저한 보안을 하고싶어하는 경향이 있죠
엔지니어의 입장에서 벗어나려는 노력이 필요한 상황입니다.
보안이라는 업무가 ..... 그렇게 만드는것 같습니다.
중요한것은 사용자가 필요로하는 비용대비효과적인 보호니까요..
관리자들은 AD의 도메인정책을 이용하여 윈도우즈 도메인에 참여된 PC들은 잘 컨트롤할수있죠 WSUS등을 이용하여 보안패치를 배포하거나 백신을 설치 ,또는 여러가지 보안정책을 펼수있습니다....
하지만 Workgroup상태로 쓰이는 PC들은 사실상 중앙에서 관리하는것이 불가능합니다.
기업환경에서 관리되지않는 PC라는것은 바로 보안의 큰위협요소가 될수있다라고 볼수있습니다.
Workgroup상태의 PC들을 통제하는것이 기업IT관리자들의 숙제라고 할수있죠...
네트웍단에서 윈도우즈도메인에 참여하지않는 PC들을 컨트롤하는 장비들이 여럿나와있는데요..
여기서는 TrendMicro의 NVW(Network VirusWall)을 소개해봅니다.
TrendMicro의 NVW는 해당장비를 경유해서 인터넷을 나가는 모든 PC의 레지스트리값을 조회하여
어떤 레지스트리값을 갖고있는지를 체크하여 block하는것이 가능합니다.
문제는 도메인에 참여한 컴퓨터들이 어떤 레지스트리 키값을 가지고있느냐 하는것입니다.
컴퓨터의 레지스트리파일을 검색해본 결과 도메인 참여여부를 확인할수있는 키값을 찾아보았습니다. 여기선 DOMAIN1란 도메인에 가입된 pc가 있다고 가정하고 그 레지스트리값을 소개합니다.
netscreen에서 튼튼하면서 성능을 보장하는 정책을 펼치려면 어떻게 해야할까요..
아래의 3단계의 순서로 보안을 하시면 됩니다.
라우팅 -> Screening -> 필터링
1. 라우팅 (Routing) 적절한 라우팅이 먼저 우선해야합니다.
특히 직접연결된 네트웍대역에 대해 Null라우팅을 사용해야합니다. 웜이 창궐할때 또는 내부 네트웍 일부에 문제가 생겼을때 Null라우팅은 위력을 발휘하게 됩니다.
직접연결된 네트웍은 가장 우선시되기때문에 실제로 연결된 네트웍에 Null라우팅을 넣어도
평시엔 작동하지않습니다. 내부네트웍에 문제가 생겼을때만 직접연결된 네트웍에 대한 Null라우팅이
작동하게 됩니다. 이렇게 준비하지않으면 문제발생시 엄청난 루핑이 발생하게 됩니다. 이로 인해
네트웍장비의 CPU가 올라가고 네트웍대역을 더욱 많이 소모하게 되는 것이죠..
또한 내부에서 사용하지않는 사설대역에 대한 Null routing도 만들어주세요...
외부 사이트들에 민폐를 끼치지않는 적절한 습관이라 할수있답니다.
아래 그림을 참조하세요
2. 스크리닝 (Screening)
적절한 스크리닝을 사용해야합니다. 일반적인 항목들을 표시한 상태를 캡춰해서 올렸습니다.
내부에 서비스하는 서버가 있을 경우 세션제한을 적절히 조정해야합니다. 기본값으로 할 경우
이유없이 트래픽들이 끊기는 일들이 있을수있습니다.
3. 정책 (filtering Policy) 정책수립시 꼭 지켜야할 원칙 (Principle of Making Ruleset)
1) 출발지주소로 any사용금지 (permit일 경우)
2) 서버에서 인터넷사용금지, outbound 제어 (dmz->untrust로 나가는것 금지)
3) 공인서버망 -> 사설내부망 접속금지
4) positive rule 의 적용성 검토
5) rule순위 조정 (log count가 많은것을 위로 올려라) ->장비성능의 30%올릴수있음
요절 한말씀
우리 중에 누구든지 자기를 위하여 사는 자가 없고 자기를 위하여 죽는 자도 없도다 우리가 살아도 주를 위하여 살고 죽어도 주를 위하여 죽나니 그러므로 사나 죽으나 우리가 주의 것이로라
http://hanafos.org/technote/read.cgi?board=board02&y_number=600
비밀번호관리에 대해 경종을 울려주는 좋은 글이어서 올려봅니다.
원래의 출처는 주간조선의 백강녕기자의 글로 되어있습니다. ^^
중간 중간의 빨간색 밑줄등은 제가 이해를 돕기위해 첨가했답니다.^^
컴퓨터 비밀번호의 함정 내가 쓰기쉬운 패스워드는 해커들에게도 쉽다... 가장 많이쓰는 패스워드: ‘0000’아니면 ‘1111’…30~40%는 ‘1234’나 ‘asdf’
한 증권사 직원이 PC방에서 회사가 관리하는 기관투자가의 계좌를 도용해 작전세력이 매집한 증권 258억원 어치를 사들이고 해외로 도주했다가 붙잡힌 사건이 발생했다.
사고를 낸 대우증권 안 모 대리가 이용한 현대투신운용 계좌의 비밀번호는 ‘0000’이었다. 수사기관 조사에 따르면 그는 여러 기관의 계좌번호와 사업자등록번호를 확보했다. 증권사 직원에게 그다지 어려운 일은 아니었다. 그리고 PC방에서 증권사 사이트에 접속해 비밀번호 ‘0000’과 ‘1111’을 차례로 두드렸다고 한다.
상식적으로 생각하면 그는 바보짓을 한 것이다. 비밀번호를 여러 차례 입력했다는 것은 그가 계좌의 비밀번호를 모르고 있었을 가능성이 크다는 것을 말해준다. 수백억원을 순식간에 결제할 수 있는 계좌의 비밀번호가 0000 아니면 1111일 가능성을 믿고 범행을 저질렀다는 이야기다.
그러나 그 와중에 현대투신운용 계좌가 열렸다. 그리고 안씨는 불과 90초 만에 작전세력이 사두었던 주식 258억원 어치를 매수했다. 더 놀라운 것은 경찰 조사 결과 현대투신운용뿐 아니라 다른 기관투자가 계좌의 비밀번호도 0000이 많은 것으로 나타났다는 점이다.
개인들의 허술한 보안의식이 문제의 시작 보안? 나 몰라...:모니터위에 아이디와 패스워드를 적어놓는 친절함(?)
보안 전문가들은 국내 비밀번호 관리체계가 엉망이기 때문에 일어난 사고라고 입을 모아 말한다. 정보보안 컨설팅을 하고 있는 보안 전문 기업 코코넛의 이정훈 기술기획팀장은 “암호에 대해 아무 생각도 하지 않는 경우가 많다”고 지적했다.
우선 개인들의 보안 의식이 문제다. 보안 전문가들은 현장에서 어처구니없는 패스워드를 자주 접한다. 지란지교 소프트 윤두식 보안기술팀장은 “컨설팅을 할 때 보면 패스워드가 ‘1234’나 ‘asdf’처럼 키보드를 차례로 누르면 되는 엉성한 비밀번호를 사용하는 사람이 30~40%”에 달한다고 말했다.
시큐컴 김종후 사장은 “모니터 위에 서비스 이름과 아이디, 비밀번호를 써넣은 포스트잇을 붙여 놓은 사람들을 자주 본다”며 “이런 경우 뭐라고 할 말이 없다”고 했다. 코코넛 이정훈 팀장은 “아이디와 비밀번호가 같은 경우를 너무 많이 봐서 이젠 황당하다는 생각도 들지 않는다”고 말했다. 회사가 보안 원칙을 아무리 강조해도 직원들 가운데는 지키지 않는 사람이 반드시 있다는 것이다.
초기암호를 그대로 쓰는 네트웍장비들 관리자의 무관심:기본암호는 그대로 사용해주는 센스?
더 큰 문제는 개인용 컴퓨터보다는 인터넷 장비들이다. 인터넷용 장비 제조업체들은 제품을 출시할 때 같은 초기 암호를 사용한다. 물론 제품을 구입한 업체나 기관은 그 암호를 다시 설정해야 한다. 이정훈 팀장은 “국내에 깔린 장비 가운데 절반 이상이 이 초기 암호를 그대로 사용하고 있다”고 지적했다.
예를 들어 세계 최대 인터넷 장비 업체인 시스코사가 만든 장비의 기본 암호는 주로 ‘cisco’다. 또 쓰리콤의 경우는 ‘synnet’이 많다. 모토롤라가 만든 케이블라우터 암호는 말그대로 라우터(router)다.
장비에 따라 약간씩 차이가 있지만 해당 분야 지식이 있는 사람들은 이 암호를 쉽게 알 수 있다. 인터넷 장비들의 초기 암호를 모아 놓은 인터넷 사이트도 있다.
인터넷 장비 암호를 관리하지 않는 관행은 대형 사고를 초래할 수 있는 불씨다. 한국정보보호진흥원 해킹바이러스상담 지원센터 정현철 선임연구원은 “예를 들어 라우터의 비밀번호를 치고 들어가면 그 라우터를 사용하는 컴퓨터들이 인터넷을 사용하지 못하도록 만들 수 있다”고 말했다.
라우터는 인터넷상에서 데이터가 어디로 흘러갈지를 결정하는 장비다. 라우터 없이는 인터넷을 사용할 수 없다. 정 선임연구원은 또 “라우터를 조작하면 데이터가 항상 원하는 곳을 통과해 나가도록 할 수도 있다”고 지적했다. 이 경우 특정 네트워크에서 흘러 나오는 정보를 볼 수 있다는 것이 문제다. 즉 해커들은 이를 이용해 각종 비밀번호를 쉽게 볼 수 있다는 것이다. 게다가 이 작업을 위해 반드시 라우터에 물리적으로 접근해야 할 필요도 없다. 라우터도 일종의 컴퓨터이기 때문에 인터넷을 통해 원격으로 접속해 조종할 수 있다.
장비뿐 아니라 프로그램에서도 비밀번호 문제가 발생한다. 예를 들어 마이크로소프트사의 데이터베이스 서버용 프로그램 MS SQL은 처음 설치할 때 암호를 설정하지 않도록 설계돼 있다. 사용자들은 프로그램 설치 후 암호를 설정해야 한다. 그러나 실제로 이런 작업을 하지 않는 경우가 많다. MS SQL 프로그램은 기업이 고객과 가입자의 개인 정보를 관리하는 대표적 프로그램 가운데 하나다.
코코넛 이정훈 팀장은 “실제로 한 대기업의 보안 취약 상태를 점검하기 위해 가상 해킹을 실시하다가 수만개의 고객 리스트를 볼 수 있었다”고 말했다. MS SQL 패스워드를 설정하지 않았기 때문이었다. 이런 업체가 많아 올해 5월에는 아예 패스워드를 설정하지 않은 서버를 찾아내 해킹할 수 있는 프로그램인 스피다 윔(Spida worm)이 유행하기도 했다.
컴퓨터 보안업체인 지텍 인터내셔널 노정호 이사는 “네트워크 장비의 암호를 초기화 상태로 사용하는 경우가 전체의 절반 이상일 것”이라고 말했다. 가장 중요한 이유는 암호의 관리가 어렵기 때문이다. 예를 들어 라우터를 관리하는 직원이 계속 바뀔 경우 황당한 일들이 일어나기도 한다. 전임 직원이 설정한 암호를 알지 못하기 때문이다.
요즘 사람들은 워낙 많은 암호를 사용한다. 특히 인터넷의 발전으로 사용하는 암호 숫자가 크게 늘었다. 전자결제를 할 때, 이메일을 볼 때 암호가 필요하다. 접속할 때 암호를 요구하는 사이트와 서비스도 크게 늘었다.
요절 한말씀
나의 계명을 가지고 지키는 자라야 나를 사랑하는 자니 나를 사랑하는 자는 내 아버지께 사랑을 받을 것이요나도 그를 사랑하여 그에게 나를 나타내리라
최근 일부바이러스는 ftp를 이용하여 소스를 다운받습니다.
이때문에 요즘 기업들이 ftp를 이용못하도록 막고있는 형편이죠
제가 다니는 회사에서도 ftp포트를 막았답니다. ㅠㅠ
제 블로그사이트에는 대부분 ftp기반으로 파일을 공유하고있었는데..
회사내에서 제 블로그 자료를 다운받지못하고 있습니다. ㅠㅠ
다른 많은 회사에서도 ftp를 점차 막을 것으로 보여지구요..
특히 회사에서 사용할수있는 Freeware와 tool,tip들을 정리하고있는 저로서는
더이상 FTP를 이용한 파일공유는 피해야하는 상황이 되었습니다.
하여.. 오늘자로 웹포트(80)기반으로 파일공유를 바꾸기 시작했습니다.
자료들이 많이 쌓인 덕분에 바로 바꾸진못하고 점차적으로
바꿔나갈 예정이지요.. ^^
반대로 회사에서 보안수준을 높이려면 FTP를 막아야한다는 것이지요
FTP를 막으면.. 골치아픈 바이러스 소스다운로드도 막을수있는 장점이 있습니다.
단점도 생기겠지만.. 그로인해 얻을수있는 보안상잇점이 클것이라 생각합니다.
방화벽에서 꼭 FTP가 필요한 일부 host에만 허용하는 정책을 펴면 될것 같습니다.
아예 방화벽바깥의 인터넷라우터에서 차단하는것도 좋은 방법입니다.
요절 한말씀
너희 몸은 너희가 하나님께로부터 받은바 너희 가운데 계신 성령의 전인 줄을 알지 못하느냐 너희는 너희의 것이 아니라 값으로 산 것이 되었으니 그런즉 너희 몸으로 하나님께 영광을 돌리라
http://www.ahnlab.com에서 발표한 것이랍니다.
제가 약간의 설명을 아래쪽에 붙였답니다.
◆ 인터넷 금융거래 이용자 위한 보안수칙 10가지
1. 출처가 불분명한 e메일이나 첨부파일은 열지 말고 삭제하기
이메일 확인 시 발신인이 불분명하거나 수상한 첨부 파일은 열지 말고 모두 삭제한다. 무심코 확인하는 과정에서 바이러스, 웜, 트로이목마 등에 감염될 수 있다.
2. 보안 프로그램의 설치와 활용하기
인터넷 금융 거래에 이용하는 PC에 백신 프로그램과 PC 방화벽을 설치하고 실시간 감시 기능을 활용해 해킹과 바이러스 등 보안 위협에 대비해야 하며, 자동 업데이트 기능을 이용해 최신 엔진으로 항상 업데이트해 놓아야 한다.
3. 안전하지 않은 PC에서 인터넷 금융 거래 이용하지 않기
PC방 등 누구에게나 개방된 컴퓨터에서는 가급적 인터넷 금융 거래를 하지 않아야 하지만, 불가피하게 사용할 경우 백신과 PC 방화벽이 설치돼 실행되는 곳에서만 이용한다.
4. 비밀번호는 영문, 숫자 등 조합으로 6자리 이상 설정하기
로그인 계정의 비밀번호는 영문·숫자 ·특수문자 조합으로 6자리 이상으로 설정해야 하며, 주기적으로 변경해 사용하는 습관을 갖는다. 주민등록번호, 전화번호, 생일날짜, 차량번호 등 타인이 쉽게 추정할 수 있거나 영문으로 유추하기 간단한 단어는 사용해서는 안 된다.
-> 6자는 너무 짧죠.. 요즘은 패스"단어"의 시대가 아니고 패스"문장"의 시대입니다. 적어도 20자이상은 써야 조금 안전에 가까워졌다고 말할수있죠 ^^
5. 최신 윈도우 보안 패치 적용하기
윈도우 운영체제 사용자는 최신 윈도유 보안 패치를 모두 설치해야 한다.
-> 물론 보안패치도 불안하긴하지만 그래도 하지않으면 더 불안하기때문에 할수밖에 없답니다.
6. 피싱 사기 이메일 조심하기
개인정보, 계좌정보 등을 요구하는 수상한 이메일의 경우 신종 금융 사기 수법인
피싱을 먼저 의심해 각별히 주의해야 한다. 금융기관으로부터 개인정보, 계좌정보 등의 업데이트나 정보 변경을 요구하는 이메일을 받으면 클릭하지 말고 해당 금융기관 사이트에 가서 직접 확인해야 한다.
->메일내용만 보고 믿어서는 안됩니다. 특히 이런 금융기관에서 메일링크를 통해 이런 정보변경을 유도하는 경우는 전혀 없습니다. 속지마시길...
7. 수상한 사이트는 방문하지 않고 안티스파이웨어 사용하기
믿을 수 없는 사이트는 방문하지 않으며, 수상한 프로그램을 다운로드하지 말아야 하며, 자신의 PC는 주기적으로 스파이웨어 검사를 실시해 깨끗이 사용해야 한다.
-> 아 .. 안티스파이웨어를 더 믿을수없는 현실입니다. ㅠㅠ 어쨋든 정말 신뢰할만한 사이트가 아니라면 절대로 다운로드는 금하는것이 좋습니다. 안티스파이웨어는 잘 선택해서 사용하셔야할듯...^^
8. 인터넷 금융 거래와 계좌 비밀번호 별도 적용하기
인터넷 금융 거래 비밀번호와 계좌 비밀번호는 반드시 다르게 사용해야 한다.
비번은 기록해두지말고, 등급별로 (?) 다르게 가져가서 하나가 노출되었을때 연쇄적으로 뚫리는 일이 없도록 해야합니다.
9. 불법복제 프로그램 사용하지 않기
바이러스나 해킹 위험에 노출되기 쉬운 불법복제 프로그램은 사용해서는 안 된다.
-> 특히 바이러스의 침해가 큰 피해로 확산될수있는 회사에선 절대 불법복제품을 사용하지않아야합니다. 법적으로도 그렇지만 바이러스 침투의 주된 경로가 되어서 회사에 엄청난 피해를 줄수도 있습니다.
10. 메신저로 자료 교환 시 백신으로 검사하기
메신저나 P2P 프로그램을 통한 자료 교환 시 바이러스 등 악성코드 감염 파일이 전달될 수 있으니 백신 프로그램으로 감염 여부를 반드시 검사한 후 이용해야 한다.
-> 메신저로 파일받지마시길.. 아는 사람이라고 해서 그냥 클릭하다 비키니닭을 보신 분들이 있습니다. ^^ 아는 사람이 정말 그 파일을 보내는지 확인후 받으세요
요절 한말씀
우리가 유대인이나 헬라인이나 종이나 자유자나 다 한 성령으로 세례를 받아 한 몸이 되었고, 또 다 한 성령을 마시게 하셨느니라
아래글은 zdnet에서 보았던글로 기억합니다...
정확한 출처는 기억이 잘....
여기저기 돌고있는 그런 글이죠..
네트웍에 관심있는 사람이라면.. [펌]질을 하는 그런....
현대인들에게 인터넷이란 이제 빠질 수 없는 존재가 되었다. 업무를 함에 있어서나 개인생활을 하는데 있어서 인터넷이란 존재가 많은 비중을 차지한다는 말에 이의를 달 사람은 많지 않을 것이다.
이러한 인터넷을 사용할 수 있게 된 주요한 부분 중에 하나가 바로 '라우터' 장비의 등장이라고 할 수 있다. 라우터가 빠진 인터넷이란 생각할 수도 없을 것이다.
보안을 고려한 관점에서 바라 본다면 라우터에 대한 보안이 그 어느 네트워크 보안보다 중요하다고 말할 수 있다. 그런 중요성을 가지고 있는 라우터를 운영함에 있어 고려해야 할 필수적인 보안 요소를 살펴 보도록 하겠다.
1. Router 자체 보안
(1) Default password 보안
원격에서 라우터를 관리할 때 사용하는 패스워드를 장비의 초기 설정 그대로 사용할 경우, 누구라도 라우터에 접근을 할 수 있을 것이다.
이러한 기본 패스워드는 인터넷상에서 검색을 통해서 손쉽게 접할 수 있다. 이러한 점을 감안해서 패스워드는 반드시 변경하신 후에 사용해야 한다.
그리고 Cisco IOS의 enable secret과 같은 MD5 해싱 기능을 사용해서 보다 강력한 암호화 알고리즘을 사용하는 것이 바람직하다. 또한 service password-encryption과 같은 기능을 사용함으로써 암호 자체도 판독이 불가능하게 할 수 있다.
(2) SNMP community string 보안
관리자는 네트워크의 트래픽 분석이나 장비의 상태를 파악하기 위해서 MRTG, RRD 또는 ESM과 같은 도구를 사용할 수 있다. 이러한 기능은 일반적으로 snmp protocol을 사용한다.
기본 설정으로 되어 있는 snmp community을 이용할 시에 해당 장비(라우터, 스위치, 방화벽 등)의 중요한 정보(routing table, MAC address 등)를 외부로 노출시킬 가능성이 많다. 그러므로, SNMP를 사용할 경우에는 반드시 community strings을 변경한 후에 사용해야 한다.
또한 쓰기 권한 설정 시에 라우터 정보의 변경까지 가능하므로 매우 주의를 해야한다.
(3) AAA서버(TACACS/RADIUS)를 통한 사용자기반의 인증
인증을 위해서 사용되는 AAA(Authentication Authorization Account)서버를 활용함으로써 사용자기반의 인증을 좀 더 강화할 수 있다.
로컬인증이 아닌 별도의 인증 서버를 사용함으로써 사용자 기반의 인증을 좀 더 체계적으로 할 수 있다. OS에서 사용하는 인증제도와 유사하게 인증 및 권한 설정까지 가능하다.
물론, 인증서버 자체에 관한 보안을 다시 고려해야 한다는 점은 관리자에게 또 다른 이슈가 될 수도 있다.
(4) SSH를 통한 보안
라우터 및 기타 네트워크 장비를 접속할 때 SSH를 사용함으로써 sniffing으로 인한 정보 누출을 방지할 수 있다.
사용의 단순함 때문에 많이 사용되었던 telnet은 접근 ID와 password 및 실행한 내용까지 모두 sniffing될 수 있다. SSH의 암호화 기법을 사용함으로써 공격자에게 sniffing이 되더라도 해독하는데 어려움을 줄 수 있다.
또한 banner 문구를 사용해서 접속자에게 경각심을 일깨우는 것도 좋은 방법이다.
(5) SNMP, TELNET, SSH, HTTP의 접근 제어
SNMP 및 telnet, SSH, HTTP의 접근 설정 시 해당 장비에 접근을 허용할 호스트 IP를 지정함으로써 다른 IP에서의 접근 시도를 사전에 방지할 수 있다. 이렇게 함으로써 계정 정보가 누출되더라도 부당한 접근을 사전에 막을 수 있다.
(6) Logging 설정을 통한 보안
로그는 라우터 뿐만 아니라 모든 네트워크 장비 및 서버에서 장애 및 침입을 분석할 수 있는 기본적인 방법이다. 로그서버를 유지함으로써 해당 라우터로의 접근시도 및 이벤트 발생 등에 대해서 분석할 때 유용하게 사용될 수 있다.
또한, NTP 서버를 사용함으로써 해당 장비와 로그서버 사이의 시간을 동기화 시키는 부분도 중요하다. 이것은 장비들의 상이한 시간설정이 정확한 분석을 어렵게 만들 수 있기 때문이다.
(7) 사용하지 않는 서비스 off
기본적으로 설정되어 있는 finger, bootp, proxy-ary, http-server와 같은 서비스는 굳이 사용할 필요가 없으면 서비스를 내리는 것이 바람직하다. 이러한 서비스들의 취약점을 이용한 공격이 존재할 수 있으므로 불필요한 서비스는 반드시 내리는 것이 바람직하다.
(8) OOB(Out Of Band Management)
Out of Band 경로를 구성함으로써 DoS공격으로 인해서 원격에서 라우터로의 접근이 안될 경우를 대비하는 것도 좋은 방법일 것이다.
2. Router 보안 기능
(1) IP spoofing 방지
URPF(Unicast Reverse Path Forwarding) 기능을 사용함으로써 변조된 source IP를 가지고 접근하는 것을 차단할 수 있다.
이 기능을 설정 시 Cisco의 경우 CEF(Cisco Express Forwarding)의 FIB table(Forwarding Information Base)을 이용해서 Table에 없는 source IP가 유입 시 차단된다. 또한 ACL(Access Control List)을 사용해서도 IP spoofing을 방지할 수 있다.
(2) IP Address 필터링
ACL을 사용함으로써 사설 대역이나 Broadcast Address을 필터링 할 수 있다. 또한 BGP를 구성시 Prefix List 구성을 통해서 외부로부터의 불필요한 IP가 유입되는 것을 억제할 수 있다.
(3) Secure Routing
암호화를 지원하는 라우팅 프로토콜(BGP, IS-IS, OSPF, RIPv2, and EIGRP)을 사용함으로써 인증된 라우터간에만 라이팅 테이블의 업데이트가 가능하게 할 수 있다. 이 기능을 사용함으로써 라우팅 테이블이 유출되거나 조작되는 것을 막을 수 있다.
(4) IP Source Routing
공격자는 source route 기능이 활성화되어 있을 경우에, 이를 이용해서 routing 경로를 조작할 수 있다. 이를 방지하기 위해서는 라우터에서 필요성이 없을 경우에 반드시 source route 기능을 비활성화 시켜야 한다.
(5) Ping 공격 방어
Ping Fragmentation 공격 및 외부로부터의 Ping을 필터링할 수 있다. 또한 ICMP broadcast를 막음으로써 smurf공격과 같은 DoS공격을 방어할 수 있다.
(6) TCP/UDP flooding 공격 방어
ACL 확장 기능과 QoS - WFQ(Weighted Fair Queueing), CAR(Committed Access Rate), GTS(Generalized Traffic Shaping)를 통한 TCP Syn, UDP Flooding을 방어할 수 있다.
(7) QoS(CAR, CBWFQ, LLQ, WRED)
QoS 기능을 통해서 Traffic 유형별로 대역폭을 강제로 할당할 수 있다. 이러한 QoS를 설정함으로써 인터넷 정보 이용자의 품질 보장할 수 있을 뿐 아니라, 특정 포트를 통한 대량의 트래픽이 유입될 시에 강제로 억제할 수도 있다.
(8) Worm 필터링(NBAR, ACL, PBR)
ACL이나 PBR(Policy Base Routing) 기능을 통해서 CodeRed나 Nimda같은 웜을 차단할 수 있다.
3. 트래픽 모니터링
(1) Router resource 점검(네트워크 공격 당하기 전)
Router 내부의 CPU를 주기적으로 점검함으로써, 장비의 현재 상태를 파악하는 것은 장애 대처에 앞서 매우 중요하다. 또한, Router와 외부구간 또는 내부구간의 사용률을 점검함으로써 DoS공격이나 spoofing공격을 예측할 수도 있다.
→사용 Tool : Cisco IOS command, NMS , MRTG ,RDD
(2) Netflow를 통한 flow 점검(네트워크 공격이 의심이 갈 때)
네트워크 공격이 의심이 갈 경우, Router 또는 Switch의 Netflow 기능을 이용해서 트래픽의 흐름을 모니터링 할 수 있다. 또는 Netflow 관련 3rd-party tool을 이용한 분석도 가능하다. Netflow을 이용해서 다음의 7가지의 형태로 트래픽을 분석할 수 있다.
- Source Address
- Destination Address
- Source Port
- Destination Port
- Layer 3 Protocol
- TOS Byte(DSCP)
- Input Interface
이러한 기능을 이용함으로써 내부에서 트래픽이 많이 발생되는 대역, 가장 많이 사용되는 프로토콜, 패킷의 주 목적지 등을 분석할 수 있다.
DoS나 Flooding과 같은 공격이 있은 후에 공격자 또는 타켓의 IP나 Port를 필터링함으로써 네트워크의 단절 현상을 막을 수 있다. 또한 내부구간의 IP일 경우 L2tarce를 통해서 추적이 가능하다. 이러한 추적을 통해서 라우터 하단에 위치하고 있는 해당 Switch에서 필터링을 할 수도 있다.
→사용 Tool : Cisco IOS command
3. 트래픽 제어 : Qos function
QoS 기능을 사용함으로써 잠재적으로 발생할 수 있는 네트워크의 위험요소를 감소할 수 있다. MQC(Modular QoS CLI)를 통해서 Worm을 차단할 수 있고, CAR(Commit Access Rate)룰을 통한 DoS공격 차단, NBAR을 통한 virus 필터링 등이 가능하다.
4. 맺음말
지금까지 살펴 본 바와 같이 기본적인 라우터의 설정만 가지고도 보안에 관련된 많은 기능을 할 수 있다. 특정 기능을 가진 3rd tools을 이용해서 효과적으로 대응할 수도 있겠지만, 무엇보다도 중요한 것은 관리자의 지속적인 모니터링일 것이다.
인터넷의 관문이라고 할 수 있는 라우터를 관리하는데 있어서 보안을 좀 더 고려한다면 네트워크의 전반적인 위험 요소를 감소시킬 수 있을 것이다.
참고(라우터 보안과 관련된 Cisco IOS Command List)
명령어 설명 more.. " less="참고(라우터 보안과 관련된 Cisco IOS Command List)
명령어 설명 less.. "> Access-list number action criteria log 해당 정책에 로그 설정
Access-list number action criteria log-input
Banner login 라우터 접근시 사용자에게 보여주는 메시지 설정
Enable secret 라우터 접근시 사용되는 암호 및 권한 설정
Distribute-list list in 잘못된 경로를 처리할 수 없게 라우팅 정보를 필터링하는 설정
Exec-timeout 원격에서의 접근시 사용되는 timeout을 설정
Ip access-class 원격에서의 접근 또는 로컬에서의 콘설 접속을 제한할 수 있는 설정
Ip access-group list in ACL 적용
Ip http access-class list HTTP 기능 설정시 특정 대역만 접근이 가능하도록 설정
Ip http authentication method HTTP 기능을 사용할 경우 HTTP connection request를 인증하는 설정
Ip route 0.0.0.0 0.0.0.0 null 0 255 해당되는 목적지가 없을 경우에 해당 패킷을 신속하게 차단시키는 설정
Ip verify unicast rpf IP spoofing 방지
Logging buffered buffer-size 로그에 사용되는 라우터 메모리 설정
No cdp enable 악의적으로 Cisco Router를 이용한 라우터 정보 누출 방지
No cdp running
No ip directed-broadcast Smurf 공격 방지
No ip mroute-cache Multicasting 트래픽 방지
No ip proxy-arp Proxy-arp 기능 방지
No ip redirects IP redirect 기능 방지
No ip source-route Spoofing된 패킷에서 사용되는 source routing 방지
No service finger Finger service off(사용자 정보의 누출 방지)
No service tcp-small-servers 사용하지 않는 tcp/udp service off(DoS나 취약점을 이용한 공격 방지)
No service udp-small-servers Ntp disable
NTP service의 취약점을 이용한 공격 방지 Scheduler-interval
Scheduler-interval 중요한 서비스를 다운시키는 Flooding 공격 방지
Scheduler allocate
Service password-encryption 설정된 암호를 판독할 수 없게 하는 설정
Service tcp-keepalives-in 사용되지 않는 터미널 삭제, 원격에서의 동일한 터미널 접속 방지
Snmp-server community something-inobvious ro list 해당되는 대역(list)에 대한 SNMP 설정
Snmp-server community something-inobvious ro list
Snmp-server party… authentication md5 secret … SNMP ver.2의 MD5 설정
Transport input 원격에서의 접근 또는 로컬에서의 콘설 접속을 제어할 수 있는 설정
이 글은 zdnet기사중에서 발췌한것입니다.
요즘 보안,보안하는데... 정말 기본적인데서 출발하는것 같습니다.
좋은 글이라서.. 여기에 올렸답니다. 뭐든지.. 기본에 충실해야한다는거... 잊지않았으면 하네요... 프라이버시 침해가 점점 심각해지고 있다.
초이스포인트는 보안 결함으로 인해 회사의 최대 재산인 개인회원 정보 14만 5000개가 유출됐다. 또 2주 전에는 120만개의 계정 자료가 들어있는 뱅크오브아메리카의 백업 테이프가 사라졌다.
최근에는 렉시스넥시스 계열사인 세이신트가 3만 2000개의 기록이 보관된 기밀 데이터베이스를 해킹당했다.
사이버 범죄자들은 기업 데이터베이스를 표적으로 한다. 데이터베이스는 돈과 다름없기 때문이다. 하지만 이보다 더 큰 문제는 아직도 대부분의 기업들이 내부 데이터베이스나 중요한 시스템을 무방비 상태로 노출시키고 있다는 사실이다.
ESG(Enterprise Strategy Group)는 최근 미국에 있는 종업원 1000명 이상의 기업에 근무하는 229명의 보안 전문가들을 대상으로 설문 조사를 실시했다. 응답자의 52%는 연간 매출 10억 달러 이상의 기업에서 근무하고 있다. 이번 설문 조사는 기업 내부 보안에 대한 위협이 실제 어느 정도인지를 객관적으로 측정하는 데 목표를 두고 진행됐다.
결과는 가히 놀랄만한 수준이었다. 응답자 중 27%가 사내에서 보안 관련 문제가 발생했는지조차 전혀 모르고 있었고, 23%는 지난 12개월 동안 내부 보안 결함으로 인한 침입이 있었다고 응답했다.
내부 보안 침입으로 인한 손실과 관련해서는 응답자의 40%가 중요한 시스템이나 서비스 중단을 경험했고, 38%는 데이터 손상이나 손실을 겪었으며, 17%는 지적 재산이 유출된 적이 있다고 응답했다.
문제는 상황이 갈수록 악화되고 있다는 것이다.
문제의 범위를 이해하기 위해 응답자들에게 지난 몇 년 동안 발견한 네트워크 결함의 형태를 식별해줄 것을 요청했다. 관련 목록이 너무 많아 모두 살펴볼 수는 없지만 공통적인 몇 가지 보안 금지 항목을 살펴보는 것만으로도 충분할 것 같다.
이미 퇴사한 직원의 계정 유지
기본 암호로 구성된 장비
비인가 직원·서버·장비가 중요한 시스템에 루트(혹은 관리자) 권한으로 접근하는 것 등이다.
가장 우려되는 부분은 응답자의 16%가 이 같은 네트워크 결함이 있다는 사실을 알고 있음에도 불구하고 감사(audit)를 실시할 시간이 충분하지 않다고 답했다는 사실이다.
해법 찾기
이러한 어처구니없는 상황은 데이터 보안 문제를 새로운 화두로 만들고 있다.
시민들은 이에 대해 분개하면서 적절한 조치를 요구하고 나섰다. 또 이 같은 쟁점을 그냥 지나칠 리 없는 정치인들도 새로운 규제가 필요하다며 곳곳에서 목소리를 높이고 있다. 보안 기업들은 프라이버시 공포증과 이를 조장하는 소문에 힘입어 자사 제품이 더 잘 팔리기를 기대하고 있다. 모두가 천편일률적인 반응을 보이는 것이다.
모든 문제는 바로 여기에 있다. 현재 논란으로 떠오른 보안의 부정적 측면에 대해 누구나 각각의 의견을 갖고 있고, 이러한 의견이 공개적인 과잉 반응으로 표출된다는 것이다. 조치를 취해야 하는 것은 맞는 얘기다. 그러나 이에 앞서 먼저 기본으로 돌아갈 필요가 있다.
대부분의 침입자들은 기술적인 도전을 추구하는 광기 어린 과학자들이 아니다. 정확히 말하자면 시골 사람이나 외국인 관광객을 대상으로 사기를 치는 일종의 협잡꾼 정도라고 할 수 있을 것이다. 영악한 사이버 범죄자들은 도둑질을 하기 전에 시스템에 빈 틈이 있는지 미리 조사한다.
크래커들은 시스템에 빈 틈이 있는지 찾아내기 위해 온갖 기술을 동원한다. 예를 들어 렉시스넥시스의 경우 해커들은 합법적인 사용자의 패스워드를 훔쳐 시스템에 침투했다. 미성년자 동생이 형의 ID를 빌려 술을 사는 것과 마찬가지다. 뱅크오브아메리카는 테이프 한 상자를 여객기 창고에서 도난당했다. 위 사례에서 어떤 공통점을 찾을 수 있을까? 모든 사람을 공황 상태로 몰아넣기 전에 진지하게 고려해야 할 문제는 어떤 보안 절차도 논리적인 첫 단계는 감사로부터 시작한다는 점이다. 여기에는 화려한 기술이 아니라 시스템의 모든 구성 요소와 프로세스 각 단계의 약점을 찾아내는 똑똑한 보안 전문가들이 있을 뿐이다.
앞서 언급한 네트워크 결함 목록을 다시 한 번 살펴보자. 고객 데이터베이스 서버가 기본 패스워드를 기반으로 구성됐고, 이미 퇴사한 직원의 계정이 아직도 사용된다면 그 시스템은 크래커에게 문을 열어주고 있는 것이나 마찬가지다.
기업들은 이런 종류의 취약성을 발견해 우선순위를 설정하고, 위험도가 가장 높은 부분부터 먼저 검토할 필요가 있다. 정말 간단한 보안 조치들이다.
또 다른 기본적인 보안 예방책은 사용자 교육이다. 직원들이 위협을 인지하고 보고하는 방법을 숙지하고 있어야 한다.
만약 급여 시스템에 들어가고 싶다면 가장 손쉬운 방법은 재정 담당 부서 직원에게 암호를 물어보는 것이다. 약간의 속임수만으로도 얼마나 많은 사람이 중요한 내부 정보를 자발적으로 제공할 수 있는지를 알게 된다면 아마 놀랄 것이다.
이번 설문 조사 대상 기업 중 25%만이 직원에 대한 보안 교육을 실시하고 있는 것으로 조사됐다. 바로 여기에 근본적인 문제가 있다고 생각한다.
규칙과 보안 기술을 잊자는 것이 아니다. 프라이버시를 보호하고, ID 도난에 대응하려면 몇 가지 중요한 단계가 있다. 하지만 현재 상황을 공황 상태라고 치부하기보다는 상식에서 출발할 필요가 있다.
일상 생활에서도 문을 잠근다거나 어두운 뒷골목은 피하는 등의 간단한 보호 수단을 통해 개인의 위험을 예방할 수 있다. 보안 경고에 귀를 기울이기 전에 업무 환경에서도 똑같이 행동할 필요가 있다. @
요절 한말씀
베드로가 가로되 너희가 회개하여 각각 예수 그리스도의 이름으로 세례를 받고 죄 사함을 얻으라 그리하면 성령을 선물로 받으리니
