N-03: 암호화된 비밀번호 사용

분류: Network Equipment

중요도: 상

개요

점검 내용

계정 비밀번호 암호화 설정이 적용되어 있는지 점검

점검 목적

비인가자의 네트워크 장비 터미널 접근으로 인해 발생할 수 있는 장비 내 계정 비밀번호 유출에 대비가 되어있는지 확인하기 위함

보안 위협

계정 비밀번호 암호화 기능이 설정되어 있지 않을 경우, 비인가자가 네트워크 터미널에 접근하여 장비 내에 존재하는 모든 계정의 비밀번호를 획득할 수 있는 위험이 존재함

참고

-

점검 대상 및 판단 기준

대상

Cisco, Juniper 등

판단 기준

✅ 양호: 비밀번호 암호화 설정을 적용한 경우

❌ 취약: 비밀번호 암호화 설정을 적용하지 않은 경우

조치 방법

비밀번호 암호화 설정 적용

조치 시 영향

일반적인 경우 영향 없음

점검 및 조치 사례

Cisco IOS

enable secret 사용 확인
```
Router# show running-config
```
계정명 secret 사용 확인
```
Router# show running-config
```
Password-Encryption 서비스 동작 확인
```
Router# show running-config
```
enable secret 설정
- enable secret 명령어를 사용하여 enable 비밀번호를 일방향 암호화 저장. enable secret 와 enable password 명령어로 각각 비밀번호를 사용하는 경우 enable secret 명령어의 우선순위가 높으며 보안상 비밀번호를 서로 다르게 입력해야 함
```
Router# config terminal
Router(config)# enable secret <비밀번호>
```
username secret 설정
- username secret 명령어를 사용하여 로컬 사용자 비밀번호를 일방향 암호화 저장. enable secret과 enable password 명령어로 비밀번호를 설정하여 같이 사용하는 경우 enable secret 명령어로 설정한 비밀번호의 우선순위가 높으며 보안상 비밀번호 서로 다르게 입력해야 함
```
Router# config terminal
Router(config)# username <사용자 이름> secret <비밀번호>
```
Password-Encryption 서비스 설정
- 구성파일(running-config/startup-config)에 평문 비밀번호를 양방향 암호화로 저장하여 노출을 방지, 해독 가능한 알고리즘(비즈네르 암호)을 사용하기 때문에 구성정보에서 비밀번호를 제거하고 출력해야 하는 경우 show tech-support 명령어를 사용
```
Router# config terminal
Router(config)# service password-encryption
Router(config)# end
Router# show running-config
enable secret 5 $1$mERr$9WCswBwUv6WeC6M8kNSs8
enable password 7 0822455D0A1648121C0A0E082F
```

Juniper Junos

root authentication 설정을 이용하여 [edit system] 레벨에서 비밀번호 암호화 설정
```
[edit]
user@host# show
```
기본적으로 비밀번호를 암호화 저장하며, encrypted-password 옵션은 이미 암호화된 비밀번호 해시를 직접 입력할 때 사용
```
[edit]
user@host# set system root-authentication encrypted-password <암호화된 비밀번호>
```