[정보보안기사(실기)] SECTION 06 라우터 보안

어느 면접 날 편백찜. 귀인들이 사주셨다

1. 라우터 자체 보안

1. 개요
   • 처음 접속하게 되면 사용자는 사용자 모드로 접속하게 되며 라우터 관련 정보의 조회 가능
   • 사용 모드
     • User EXEC 모드(Router>) — 한정된 명령어만 사용할 수 있으며 주로 라우터의 간단한 상태 등 조회 가능
     • Privileged EXEC 모드(Router#) — 재부팅이나 라우팅 등 라우터에서 모든 명령어에 대해 수행이 가능
     • Global Configuration 모드(Router(config)#) — Privileged EXEC 모드에서 라우터 전반적인 설정을 변경하고자 할 때의 모드.
     • Other Configuration 모드(Router(config-mode)#) — 좀 더 복잡하고 세부적인 설정을 하는 메뉴. 설정 후 exit 또는 Ctrl+Z
   • Privileged 모드로 변경할 때 사용하는 enable 패스워드를 설정하기 위해 enable password와 enable secret 두 가지 명령어 사용 가능. enable secret 권장
   • enalbe password 패스워드
     • type 0의 평문으로 저장
     • service password-encryption을 실행하면 type 7 방식으로 암호화 — 역함수가 존재하여 원래의 평문 암호 알 수 있음
   • enable secret 패스워드
     • type 5의 암호문으로 저장되어 원래 평문 알 수 없음
     • enable password와 enable password가 함께 설정되어 있으면 enable secret 적용

2. 라우터와 접근제어(ACL)

1. 개요 — 라우터에서 access_list를 이용하여 특정 패킷에 대한 접근제어 설정 가능
2. standard access_list
   • 패킷의 소스 IP만으로 패킷을 허용하거나 차단
   • acl number로 1~99까지 사용
   • 형식 — access-list acl 번호 [permit 또는 deny] [소스 주소 wildcard 또는 any]
3. extended access-list
   • 패킷의 소스 IP뿐만 아니라 목적지 IP, 포트, 프로토콜 등을 이용하여 차단 가능
   • acl number로 100~199까지 사용
   • 형식 — access-list acl 번호 [permit 또는 deny] 프로토콜 소스 소스-wildcard 목적지 목적지-wildcard
4. Filtering 유형
   • Ingress Filtering
     • acl을 활용하여 라우터 내부로 유입되는 패킷의 소스 ip나 목적지 포트 등을 체크하여 허용하거나 거부하도록 필터링
     • 대부분 공격이 위조된 ip 주소를 소스로 하여 진행되므로 인터넷상에서 사용되지 않는 ip 대역 차단
   • Egress Filtering
     • 나가는 패킷의 소스 ip나 목적지 포트 등 체크
     • 외부로 나가는 패킷의 소스 ip는 내부 네트워크 대역인 것이 정상
   • Blackhole Filtering(Null routing) — 특정 ip 또는 ip 대역에 대해 비정상 시도가 감지된 경우 가상의 Null interface로 보내도록 함으로써 패킷 통신이 되지 않도록 하는 방법
   • Unicast RPF(Reverse-Path Forwarding) Filtering
     • acl이나 blackhole 필터링을 이용하여 ip를 지정하지 않고 비정상 트래픽을 효율적으로 필터링
     • 인터페이스를 통해 들어오는 패킷의 소스 ip에 대해 라우팅 테이블을 확인하여 들어온 인터페이스로 다시 나가는지 확인

3. 라우터를 통한 네트워크 보안

1. 콘솔, AUX, VTY 포트 패스워드 보안
   • 콘솔 포트는 케이블을 이용하여 직접 터미널에 연결하여 라우터를 조작할 수 있도록 하며 장애 처리 시 많이 사용
   • 패스워드를 설정하지 않은 콘솔 포트에 접속하게 되면 인증 없이 라우터 설정 조회 가능
   • VTY 포트는 원격지에서 텔넷을 통하여 접속 시 사용되는 패스워드 설정. AUX 포트는 현재 잘 사용되지 않는 포트이며 VTY 포트 설정과 동일
2. 텔넷 접근 제한
   • 기본적으로 VTY 포트는 외부로부터의 연결 시도를 모두 받아들임. 이를 악용하여 다량의 공격 시도로 라우터 공격
   • 허가된 IP를 가진 사용자에게만 연결 시도 허용
   • SSH 설정 사용 권장
3. SNMP 설정
   • SNMP — TCP/IP 네트워크를 모니터링하고 관리하기에 효율적인 프로토콜
   • 대부분의 네트워크 장비는 기본적으로 SNMP 서비스들을 포함하고 있어 원격의 네트워크에 관련된 정보 수집 가능
   • 많은 시스템에서 SNMP의 읽기 권한은 기본적으로 설정되어 있어 이를 이용하려는 공격자 많음
   • 기본 community string 값은 public으로 SNMP를 지원하는 많은 장비에서 기본값을 변경해야 함
   • SNMP 정보 수신이 필요한 장비를 명시하여 허용
   • SNMP 서비스를 사용하지 않는다면 서비스 제거
   • SNMP version 3는 암호화 지원됨
4. 불필요한 서비스 제거
   • 개요
   • ICMP
     • ICMP MTU Discovery
       • 데이터링크 계층에서 source와 destination 사이를 지나는 패킷 크기를 조절해주는 역할
       • ICMP 패킷을 차단하더라도 MTU discovery를 제공하는 패킷은 허용해야 네트워크 동작
     • ICMP Redirects — ICMP Redirects를 전송하여 네트워크를 지나는 패킷의 방향을 바꿔서 정보 수집이 가능하므로 차단 권장
     • ICMP Directed Broadcasts
     • ICMP Mask Reply — 라우터가 해당하는 네트워크의 서브넷 마스크를 전송하도록 함
     • ICMP Unreachable — 스캐닝에 이용
     • ICMP Timestamp and Information Requests — 관리자가 많이 사용하는 정보는 아니지만, 공격자로 하여금 네트워크 현황을 알 수 있게 하는 취약점
   • Source Route — 패킷이 전송되는 경로를 각각의 시스템이나 네트워크에 설정된 라우팅 경로를 통하지 않고 패킷의 발송자가 설정할 수 있는 기능
   • Small Service — 시스코 라우터에 사용되고 있는 IOS 버전에 따라 TCP, UDP Small Services가 자동으로 설정되어 실행됨. 20번 이하 포트를 사용하며 네트워킹에 중요한 역할을 담당하지 않아 차단 권장
   • Finger — 원격의 사용자로 하여금 어떤 사용자가 라우터에 접속해있는지 알려주는 역할
   • HTTP Server — 라우터에 HTTP 서비스가 설정되어 있으면 웹을 통해 라우터의 설정 조회 및 변경 가능
   • CDP
     • LAN 구간에서 직접 연결된 시스코 장비들 사이에서 서로의 정보를 얻기 위해 사용되는 프로토콜
     • 라우터에 연결된 장비들의 종류와 설정을 보여주기에 전체 네트워크 구성을 파악할 때 사용
   • proxy-arp
     • 디폴트 라우터나 게이트웨이를 가지고 있지 않은 네트워크의 호스트들에게 ARP 서비스를 제공하는 역할
     • 호스트가 목적지 IP 주소에 대한 MAC 주소를 요청하면 Proxy ARP가 설정된 라우터가 이에 응답하여 자신의 MAC 주소를 목적지 MAC 주소인 것처럼 전송
     • 공격자들은 패킷의 주소를 위조하여 Proxy ARP를 요청할 수 있으며 라우터가 이에 응답하는 것을 이용하여 라우터와 네트워크에 관련된 정보를 획득할 수 있으므로 차단 권장
   • 기타
     • BootP
     • DNS
     • Network authloading of configuration files
     • PAD(packet assembly/disassembly)
     • IP Classless
     • 사용하지 않는 interfaces는 반드시 shutdown
5. 입/출력 IP 보안 설정
   • 외부에서 내부로 유입되는 IP 주소가 내부의 IP 주소라면 차단
   • 외부로부터 유입되는 IP 주소 중 예약된 IP 주소가 있다면 차단 권장
   • 내부에서 외부로 유출되는 IP 주소가 위변조되어 출력되는 것 차단
   • ACL을 이용하여 내부 네트워크 IP 주소를 가진 패킷만 라우터로부터 전송되는 것 허용
6. 주소 위변조 방지 — Unicast RPF
   • 인터페이스로 유입되는 출발지 IP 주소를 라우팅 정보를 이용하여 점검하고 내부로 유입되어 reverse path가 존재하면 패킷을 통과시키고, 그렇지 않으면 차단
7. Blackhole 보안 설정 — 특정 목적지로 DDoS 공격으로 네트워크 트래픽이 과도하게 발생할 경우 해당 목적지 IP를 망 내에서 통신할 수 없도록 차단