콘텐츠로 이동

N-04: 계정 잠금 임계값 설정

분류: Network Equipment

중요도: 상

개요

점검 내용

사용자 계정에 대해 로그인 실패 임계값이 설정되어 있는지 점검

점검 목적

로그인 실패 임계값 초과 시 일정 시간 동안 계정 잠금을 실시하여 공격자의 자유로운 암호 추측 시도 및 리소스 낭비를 차단하고 무차별 대입 공격 등 비밀번호 탈취 공격을 무력화하기 위함

보안 위협

로그인 실패 시 일정 시간 동안 계정 잠금을 하지 않은 경우, 공격자의 자동화된 암호 추측 공격이 가능하고 비밀번호 탈취 공격(무차별 대입 공격, 사전 대입 공격 등)의 인증 요청에 대해 설정된 비밀번호와 일치할 때까지 지속적으로 응답하여 해당 계정의 비밀번호가 유출될 위험이 존재함

참고

로그인 실패 임계값

시스템에 로그인 시 몇 번의 로그인 실패 이후 로그인을 차단할 것인지 결정하는 값

점검 대상 및 판단 기준

대상

Cisco, Alteon, Passport, Juniper, Piolink 등

판단 기준

✅ 양호: 로그인 실패 임계값이 5회 이하의 값으로 설정된 경우

❌ 취약: 로그인 실패 임계값이 설정되어 있지 않거나, 5회 초과의 값으로 설정된 경우

조치 방법

로그인 실패 임계값을 5회 이하로 설정

조치 시 영향

일반적인 경우 영향 없음

점검 및 조치 사례

Cisco IOS

  1. 현재 설정된 보안 정책 확인 
    Router# show running-config
    • login block-for 사용 확인
    • 로그인 실패 임계값 확인
  2. 로그인 실패 임계값 설정 확인 
    Router# show login
  3. 로그인 실패 임계값 초과 후 계정 잠금 설정
    • login block-for 설정 
      Router# config terminal
Router(config)# login block-for <계정 잠금 시간> attempts <로그인 실패 횟수(default: 3)> within <로그인 실패 허용 시간 범위(default: 15)>

Juniper

  1. root authentication 설정을 이용하여 [edit system] 레벨에서 syslog 설정 확인 
    user@host> configure

[edit]
user@host# show version
  2. 로그인 실패 임계값 설정 
    user@host> configure

[edit system login retry-options]
user@host# set tries-before-disconnect <로그인 실패 횟수(default: 3)>
  3. 로그인 실패 임계값 초과 후 계정 잠금 시간 설정 
    user@host> configure

[edit system login retry-options]
user@host# set lockout-period <계정 잠금 시간>