콘텐츠로 이동

N-06: VTY 접근(ACL) 설정

분류: Network Equipment

중요도: 상

개요

점검 내용

원격 터미널(VTY)을 통해 네트워크 장비 접근 시 지정된 IP에서만 접근할 수 있도록 설정되어 있는지 점검

점검 목적

지정된 IP만 네트워크 장비에 접근하여 비인가자의 터미널 접근을 원천적으로 차단하기 위함

보안 위협

지정된 IP만 네트워크 장비에 접근하도록 설정되어 있지 않을 경우, 비인가자가 터미널 접근 시도 공격(무차별 대입 공격, 사전 대입 공격 등)을 시도하여 관리자 계정 비밀번호 획득 후 네트워크 장비에 접근하여 장비 설정(기능, ACL정책) 변경 및 삭제 등의 행위를 통해 네트워크 장비를 경유하는 데이터의 유출 및 가용성 저하 등을 발생시킬 수 있는 위험이 존재함

참고

VTY(Virtual Type Terminal)

가상 유형 터미널의 약어. 가상 터미널 라인(virtual terminal line)이라는 용어가 더 흔하게 사용되며 네트워크 장비를 원격 프로토콜(ssh)에서 관리하기 위한 터미널 서비스

참고

기반시설 시스템은 VTY를 통한 접근을 원칙적으로 금지하나, 부득이 VTY를 사용하여 접근해야 하는 경우 허용한 시스템만 접근할 수 있게 하여 사용해야 함

점검 대상 및 판단 기준

대상

Cisco, Alteon, Passport, Juniper, Piolink 등

판단 기준

✅ 양호: 가상 터미널(VTY) 접근을 제한하는 ACL을 설정한 경우

❌ 취약: 가상 터미널(VTY) 접근을 제한하는 ACL을 설정하지 않은 경우

조치 방법

가상 터미널(VTY)에 특정 IP주소만 접근할 수 있도록 설정

조치 시 영향

access-List를 생성하면 기본 Deny가 되므로 네트워크 담당자를 통해 설정함

점검 및 조치 사례

Cisco IOS

  1. Access List 설정하고 VTY 라인에 적용 여부 확인 
    Router# show running-config
  2. VTY 접근 허용 IP 설정 
    Router# config terminal
Router(config)# access-list <ACL 번호> permit <IP주소>
Router(config)# access-list <ACL 번호> deny any log
Router(config)# line vty ?
<0X4> First Line number
Router(config)# line vty 0 4
Router(config)# access-class <ACL 번호> in

Radware Alteon

  1. 장비로 접속하여 Telnet 또는 SSH 사용자의 접속 IP 설정 확인(Access Policies)
  2. # cfg 
    # sys
# access
# mgmt
# add
Enter Management Network Address: <IP주소>
Enter Management Network Mask: <서브넷마스크>
# apply
# save

Passport

  1. 장비로 접속하여 Telnet 또는 SSH 사용자의 접속 IP 설정 확인(Access Policies)
  2. # config sys access-policy 
    config/sys/access-policy# enable true
config/sys/access-policy# policy <pid> create
config/sys/access-policy# policy <pid>
config/sys/access-policy/policy/<pid># enable true
config/sys/access-policy/policy/<pid># accesslevel rwa
config/sys/access-policy/policy/<pid># host <ip-addr>
config/sys/access-policy/policy/<pid># service snmp enable
config/sys/access-policy/policy/<pid># service telnet enable

Juniper Junos

  1. firewall filter 설정하고 루프백 인터페이스에 적용 여부 확인 
    [edit]
user@host# show
  2. 관리자 IP 지정 
    user@host> configure

[edit]
user@host# edit policy-options

[edit policy-options]
user@host# set prefix-list <prefix-name> <IP주소>
  3. SSH 서비스에 관리자 IP 외에 접근을 차단하도록 방화벽 필터를 설정 
    [edit]
user@host# edit firewall family inet filter <filter-name>

[edit firewall family inet filter <filter-name>]
user@host# edit term <term-name-1>

[edit firewall family inet filter <filter-name> term <term-name-1>]
user@host# set from source-address 0.0.0.0/0
user@host# set from source-prefix-list <prefix-name> except
user@host# set term from protocol tcp
user@host# set from destination-port ssh
user@host# set then log
user@host# set then discard

  4. SNMP, ICMP, BGP, OSPF 등 다른 서비스와 프로토콜에 필요한 접근허용 필터를 설정하지 않은 경우

    • 방화벽 필터의 영향을 받지 않도록 기본 허용으로 구성을 종료 
      user@host# edit firewall family inet filter <filter-name>

[edit firewall family inet filter <filter-name>]
user@host# set term <term-name-2> then accept

    참고

    기본 허용으로 인한 보안 위협이 존재하므로 필요한 서비스와 프로토콜을 허용하고 기본 차단으로 더 강력한 보안 필터를 구성할 수 있음

  5. 루프백 인터페이스에 방화벽 필터를 적용 

    [edit]
user@host# set interfaces lo0 unit 0 family inet filter input <filter-name>

  1. Security system access policy configuration 설정 확인 
    (config)# show running-config
  2. 시스템 접근 설정 모드에서 SSH 서비스에 ACL 설정 
    # configure terminal
(config)# security
(config-security)# system
(config-security-system)# access
(config-security-system-access)# rule <rule-id>
(config-security-system-access-rule[id])# protocol tcp
(config-security-system-access-rule[id])# source-ip <IP주소>
(config-security-system-access-rule[id])# dest-port 22
(config-security-system-access-rule[id])# interface any
(config-security-system-access-rule[id])# policy accept
(config-security-system-access-rule[id])# apply

  3. 시스템 접근 제어 기능의 기본 접근 정책을 차단으로 설정 

    (config-security-system-access) # default-policy deny

    참고

    기본 접근 정책을 차단으로 변경하기 전에 관리용 포트(mgmt)와 네트워크 장비에 SNMP, ICMP 등 다른 서비스와 프로토콜에 필요한 접근 허용 규칙을 모두 설정