N-11: 원격로그 서버 사용

분류: Network Equipment

중요도: 중

---

개요

점검 내용

네트워크 장비의 로그를 별도의 원격 로그 서버에 보관하도록 설정하였는지를 점검

점검 목적

네트워크 장비의 로그를 별도의 원격 로그 서버에 보관하도록 설정하여 네트워크 장비에 이상이 발생하거나 로그 저장 공간 부족, 공격자의 로그 삭제나 변조 위험에 대비하기 위함

보안 위협

별도의 로그 서버를 통해 로그를 관리하지 않을 경우, 네트워크 장비에 이상이 발생하거나 공격자의 로그 삭제 및 변조가 일어났을 시 사고 원인 분석에 어려움이 발생함

참고

원격 로그 서버

정보시스템(서버, 네트워크, 보안 장비 등)의 로그를 통합적으로 보관하는 서버

점검 대상 및 판단 기준

대상

Cisco, Alteon, Juniper, Piolink 등

판단 기준

✅ 양호: 별도의 로그 서버를 통해 로그를 관리하는 경우

❌ 취약: 별도의 로그 서버가 없는 경우

조치 방법

Syslog 등을 이용하여 로그 저장 설정

조치 시 영향

상세한 로깅 설정은 라우터의 성능에 영향을 미칠 수 있음

점검 및 조치 사례

Cisco IOS

1. Logging 설정 확인

   Router# show running-config
   

2. Log 정보 확인

   Router# show logging
   

3. 라우터 로깅 설정

   Router# config terminal
   Router(config)# logging on (log를 console 이외도 전달)
   Router(config)# logging trap informational (severity level 설정)
   Router(config)# logging 192.168.3.1 (syslog 서버)
   Router(config)# logging facility local6 (syslog facility 설정)
   Router(config)# logging source-interface serial 0 (syslog interface)
   

Radware Alteon

1. /syslog/host에서 syslog host 설정 확인
2. switch로 접속
3. # cfg
4. # sys
5. 다음과 같이 설정할 수 있음

   # /syslog/host: first syslog host의 IP주소 설정
   # /syslog/host2: second syslog host의 IP주소 설정
   

6. # apply
7. # save

Juniper Junos

1. root authentication 설정을 이용하여 [edit system] 레벨에서 syslog 설정 확인

   user@host> configure
   
   [edit]
   user@host# show version
   

2. user@host> configure

   [edit]
   user@host# edit system syslog
   
   [edit system syslog]
   user@host# set system syslog file message any error
   user@host# set system syslog host 192.168.0.245 any any
   user@host# set archive files 5 sizes 5m world-readable
   

   (files 5 – 파일 수를 5개까지 표시, 5m – 최대 사이즈를 5m까지 허용)

Piolink PLOS

1. configure에서 logging 서버 설정 확인
2. #logging server enable
3. #logging server <ip address> <event> <level>