N-14: 정책에 따른 로깅 설정

분류: Network Equipment

중요도: 중

개요

정책에 따른 로깅 설정이 이루어지고 있는지 점검

로그 정보를 통해 장비 상태, 서비스 정상 여부 파악 및 보안사고 발생 시 원인 파악 및 각종 침해 사실에 관한 확인을 하기 위함

로깅 설정이 되어있지 않을 경우, 원인 규명이 어려우며, 법적 대응을 위한 충분한 증거로 사용할 수 없음

컴퓨터 관리 > 로컬 사용자 및 그룹 > Remote Desktop Users 그룹에서 추가 가능 (해당 내용은 Windows 시스템과 관련된 참고사항일 수 있음)

Cisco, Juniper 등

✅ 양호: 로그 기록 정책에 따라 로깅 설정이 되어 있는 경우

❌ 취약: 로그 기록 정책 미수립 또는 로깅 설정이 미흡한 경우

로그 기록 정책을 수립하고 정책에 따른 로깅 설정

일반적인 경우 영향 없음

로그에 대한 정보 확인

user@host> configure
[edit]
user@host# show log messages

콘솔 로깅
- 콘솔 로그 메시지는 오직 콘솔 포트에서만 보이므로 이 로그를 보기 위해서는 반드시 콘솔 포트에 연결해 야 함
Buffered 로깅
- Buffered 로깅은 로그를 라우터의 RAM에 저장하는데 이 버퍼가 가득 차게 되면 오래된 로그는 자동으로 새로운 로그에 의해 대체됨
Terminal 로깅
- Terminal monitor 명령을 사용하여 로깅을 설정하면 라우터에서 발생하는 로그 메시지를 VTY terminal에 보냄
Syslog
- 시스코 라우터는 라우터의 로그 메시지가 외부의 syslog 서버에 저장되도록 설정할 수 있음
SNMP traps
- SNMP trap이 설정되면 SNMP는 특별한 상황을 외부의 SNMP 서버에 전송하도록 설정할 수 있음
ACL 침입 로깅
- 표준 또는, 확장된 액세스 리스트를 설정할 때 특정한 룰에 매칭하였을 경우 해당 패킷 정보를 로그에 남기도록 설정할 수 있는데, 이는 액세스 리스트 룰의 끝에 log나 log-input을 추가하면 됨.
- log-input은 log와는 달리 인터페이스 정보도 함께 남기게 되므로 어떤 인터페이스를 통해 로그가 남았는지를 알 수 있음
참고

라우터에 기본적으로 설정된 로그 파일 설정을 변경하지 않으면 로깅을 효율적으로 사용할 수 없으므로 크게 6가지로 이루어진 위의 방법을 활용해야 함