Juniper장비 취약점 조치 가이드

가이드 다운로드

• 한국인터넷진흥원

취약점 설정 방법

N-01. 패스워드 설정

• 설정방법
  
  

N-02. 패스워드 복잡성

• 고객사 확인 후 설정

  

  • 최소 문자열 8자 이상으로 명시적 설정 가능

N-03. 암호화된 패스워드 사용

• password 입력 시 config상에는 암호화 되어 들어가므로 추가 설정 불필요
• config 내용

  

N-04. VTY접근(ACL) 설정

1. 관리대역 Alias 설정
   

   

   ▶ 10.10.10.0/24란 대역을 TEST-DENY로 사용 가능
   ▶ 10.10.10.1/32와 같이 host ip로도 사용 가능
2. Alias 설정한 관리자 IP 외 접속 차단 필터 생성

   
   ▶ MGMT-FILTER라는 방화벽 필터 룰 이름 생성
   

   ▶ DENY-NONADMIN이라는 term 생성
        -> term이란? filter 내에서 실제 조건을 구분하는 각각의 작은 단위, 각 term마다 별도 조건, 동작 지정해서 사용
        -> 각 term에는 동작은 하나만 지정할 수 있고(discard, accept) 그 동작을 할 개체를 각각의 term에 넣는 걸로 보임
3. discard 할 내용 외 나머지 항목 허용 룰 설정
   

   

   ▶ 동일한 filter 이름 아래에 accept 동작을 할 term을 생성
   ▶ 저 term 항목이 없다면 juniper ACL은 기본 discard이므로 서비스 장애 발생
   
4. 루프백 인터페이스에 필터 적용

   
   ▶ 루프백 인터페이스가 관리ip를 가지고있다면 특정 포트가 아닌 루프백에 적용
   ▶ 만약 단일 vlan을 사용하고 vlan 인터페이스에 관리 ip가 들어가 있다면 lo0가 아닌 해당 인터페이스에 적용해야함
   

N-05. Session Timeout 설정

• 사용자 클래스에 대한 원격 접속 시간 제한 설정
  • 기본 내장 사용자 클래스 정보
    • operator             permissions [ clear network reset trace view ]
    • read-only            permissions [ view ]
    • super-user          permissions [ all ]
      
  • 기본 내장 사용자 클래스는 idle-timeout은 변경 불가능
• 새로운 클래스 생성방법

  

• 클래스 별 session timeout 설정방법

  

• 시스템 전체 session timeout 설정방법

  
  

• 동작
  • 클래스 별 제한시간 체크 후 시스템 전체 체크해서 timeout됨
  • 숫자는 분 단위로 동작함

N-06. 최신 보안 패치 및 벤더 권고사항

• OS 업그레이드 필요 여부 인성디지털에 확인
• OS 업그레이드 참고자료 : https://note.inukcha.com/books/network/page/ex3400-os-upgrade-via-usb

N-07. SNMP 서비스 확인

• 미사용 시 삭제

  

N-08. SNMP community string 복잡성 설정

• SNMP 버전 몇 쓰는지 확인 필요
• config 안들어가있어서 의미 없을거같긴함
• SNMPv3 참고 자료 : https://note.inukcha.com/books/network/page/juniper-snmpv3

N-09. SNMP ACL 설정

• config 안들어가있어서 의미 X
• 설정방법
  • SNMP client list 설정

    

    • ACCEPT는 client의 이름
  • community에 적용

    

N-10. SNMP 커뮤니티 권한 설정

• 무조건 RO 설정으로 해야함
• RW권한이면 삭제
• SNMPv3 참고 자료 : https://note.inukcha.com/books/network/page/juniper-snmpv3

N-11. TFTP 서비스 차단