※ 이 글에서는 LINUX 기준으로만 작성하였습니다.
| 평가항목 ID |
구분 | 평가항목 | 상세설명 | 주요 정보통신기반시설 취약점 분석 평가기준 (과학기술정보통신부고시) |
| SRV-027 | 기술적 보안 | 서비스 접근 IP 및 포트 제한 미비 | 서비스로의 접근이 통제되지 않을 경우 악의적인 사용자의 공격 목표가 될 수 있기 때문에 보안상 접근통제가 필요함. 방화벽, 3rd-party 제품 또는 tcpwrapper를 활용하여 서비스에 대한 IP 및 포트 접근제어를 수행하고 있는지 점검 | (상) [파일 및 디렉터리 관리] U-18 접속 IP 및 포트 제한 |
| 평가대상 (AIX) |
평가대상 (HP-UX) |
평가대상 (LINUX) |
평가대상 (SOLARIS) |
평가대상 (WIN) |
| O | O | O | O | O |
● 점검목적
- 허용한 호스트에 대한 접속 IP 주소 제한 및 포트 제한 설정 여부 점검
● 보안위협
- 허용할 호스트에 대한 IP 및 포트제한이 적용되지 않은 경우, Telnet, FTP와 같은 보안에 취약한 네트워크 서비스를 통하여 불법적인 접근 및 시스템 침해사고가 발생할 수 있음
● 판단기준
* 양호 - 시스템 서비스로의 접근통제가 적절하게 수행되고 있을 경우 (방화벽, tcp-wrapper, 3rd-party 제품 등을 활용)
* 취약 - 시스템 서비스로의 접근통제가 적절하게 수행되고 있지 않을 경우
● 확인방법
- 방화벽 현황 확인(iptables)
# iptables -L
- tcp-wrapper 설정 확인(/etc/hosts.allow, /etc/hosts.deny)
● 조치방법
[iptables 사용하는 경우]
step 1) iptables 명령어를 통해 접속할 ip 및 포트 정책 추가
ex) SSH 서비스 제한
# iptables -A INPUT -p tcp -s 192.168.1.01/24 --dport 22 -j ACCEPT
# iptables -A INPUT -p tcp --dport 22 -j DROP
step 2) iptables 설정 저장
# /etc/rc.d/init.d/iptables save
[TCP Wrapper 사용하는 경우]
step 1) vi /etc/hosts.deny
step 2) 아래 내용 수정 또는 신규 삽입
ALL:ALL
step 3) vi /etc/hosts.allow
step 4) 허용할 IP 및 포트 작성
sshd : 192.168.0.1
'보안담당자로 살아가기 > 전자금융기반시설 취약점 분석ㆍ평가' 카테고리의 다른 글
| 서버 보안 취약점 평가_SRV-034 (0) | 2023.08.09 |
|---|---|
| 서버 보안 취약점 평가_SRV-028 (0) | 2023.08.08 |
| 서버 보안 취약점 평가_SRV-026 (0) | 2023.08.02 |
| 서버 보안 취약점 평가_SRV-025 (0) | 2023.08.02 |
| 서버 보안 취약점 평가_SRV-022 (0) | 2023.08.01 |