Juniper장비 취약점 조치 가이드

가이드 다운로드

• 한국인터넷진흥원

취약점 설정 방법

N-01. 패스워드 설정

• 설정방법
  
  

N-02. 패스워드 복잡성

• 고객사 확인 후 설정

  

  • 최소 문자열 8자 이상으로 명시적 설정 가능

N-03. 암호화된 패스워드 사용

• password 입력 시 config상에는 암호화 되어 들어가므로 추가 설정 불필요
• config 내용

  

N-04. VTY접근(ACL) 설정

1. 관리대역 Alias 설정
   

   

   ▶ 10.10.10.0/24란 대역을 TEST-DENY로 사용 가능
   ▶ 10.10.10.1/32와 같이 host ip로도 사용 가능
2. Alias 설정한 관리자 IP 외 접속 차단 필터 생성

   
   ▶ MGMT-FILTER라는 방화벽 필터 룰 이름 생성
   

   ▶ DENY-NONADMIN이라는 term 생성
        -> term이란? filter 내에서 실제 조건을 구분하는 각각의 작은 단위, 각 term마다 별도 조건, 동작 지정해서 사용
        -> 각 term에는 동작은 하나만 지정할 수 있고(discard, accept) 그 동작을 할 개체를 각각의 term에 넣는 걸로 보임
3. discard 할 내용 외 나머지 항목 허용 룰 설정
   

   

   ▶ 동일한 filter 이름 아래에 accept 동작을 할 term을 생성
   ▶ 저 term 항목이 없다면 juniper ACL은 기본 discard이므로 서비스 장애 발생
   
4. 루프백 인터페이스에 필터 적용

   
   ▶ 루프백 인터페이스가 관리ip를 가지고있다면 특정 포트가 아닌 루프백에 적용
   ▶ 만약 단일 vlan을 사용하고 vlan 인터페이스에 관리 ip가 들어가 있다면 lo0가 아닌 해당 인터페이스에 적용해야함
   

N-05. Session Timeout 설정

• 사용자 클래스에 대한 원격 접속 시간 제한 설정
  • 기본 내장 사용자 클래스 정보
    • operator             permissions [ clear network reset trace view ]
    • read-only            permissions [ view ]
    • super-user          permissions [ all ]
    • unauthorized      permissions [ none ]