Juniper장비 취약점 조치 가이드

가이드 다운로드

• 한국인터넷진흥원

취약점 설정 방법

N-01. 패스워드 설정

• 설정방법
  
  

N-02. 패스워드 복잡성

• 고객사 확인 후 설정

  

  • 최소 문자열 8자 이상으로 명시적 설정 가능

N-03. 암호화된 패스워드 사용

• password 입력 시 config상에는 암호화 되어 들어가므로 추가 설정 불필요
• config 내용

  

N-04. VTY접근(ACL) 설정

1. 관리대역 Alias 설정
   

   

   ▶ 10.10.10.0/24란 대역을 TEST-DENY로 사용 가능
   ▶ 10.10.10.1/32와 같이 host ip로도 사용 가능
2. Alias 설정한 관리자 IP 외 접속 차단 필터 생성

   
   ▶ MGMT-FILTER라는 방화벽 필터 룰 이름 생성
   

   ▶ DENY-NONADMIN이라는 term 생성
        -> term이란? filter 내에서 실제 조건을 구분하는 각각의 작은 단위, 각 term마다 별도 조건, 동작 지정해서 사용
        -> 각 term에는 동작은 하나만 지정할 수 있고(discard, accept) 그 동작을 할 개체를 각각의 term에 넣는 걸로 보임
3. discard 할 내용 외 나머지 항목 허용 룰 설정
   

   

   ▶ 동일한 filter 이름 아래에 accept 동작을 할 term을 생성
   ▶ 저 term 항목이 없다면 juniper ACL은 기본 discard이므로 서비스 장애 발생
   
4. 루프백 인터페이스에 필터 적용

   
   ▶ 루프백 인터페이스가 관리ip를 가지고있다면 특정 포트가 아닌 루프백에 적용
   ▶ 만약 단일 vlan을 사용하고 vlan 인터페이스에 관리 ip가 들어가 있다면 lo0가 아닌 해당 인터페이스에 적용해야함
   

N-05. Session Timeout 설정

• 사용자 클래스에 대한 원격 접속 시간 제한 설정
  • 기본 내장 사용자 클래스 정보
    • operator             permissions [ clear network reset trace view ]
    • read-only            permissions [ view ]
    • super-user          permissions [ all ]
      
  • 기본 내장 사용자 클래스는 idle-timeout은 변경 불가능
• 새로운 클래스 생성방법

  

• 클래스 별 session timeout 설정방법

  

• 시스템 전체 session timeout 설정방법

  
  

• 동작
  • 클래스 별 제한시간 체크 후 시스템 전체 체크해서 timeout됨
  • 숫자는 분 단위로 동작함

N-06. 최신 보안 패치 및 벤더 권고사항

• OS 업그레이드 필요 여부 인성디지털에 확인
• OS 업그레이드 참고자료 : https://note.inukcha.com/books/network/page/ex3400-os-upgrade-via-usb

N-07. SNMP 서비스 확인

• 미사용 시 삭제

  

N-08. SNMP community string 복잡성 설정

• SNMP 버전 몇 쓰는지 확인 필요
• config 안들어가있어서 의미 없을거같긴함
• SNMPv3 참고 자료 : https://note.inukcha.com/books/network/page/juniper-snmpv3

N-09. SNMP ACL 설정

• config 안들어가있어서 의미 X
• 설정방법
  • SNMP client list 설정

    

    • ACCEPT는 client의 이름
  • community에 적용

    

N-10. SNMP 커뮤니티 권한 설정

• 무조건 RO 설정으로 해야함
• RW권한이면 삭제
• SNMPv3 참고 자료 : https://note.inukcha.com/books/network/page/juniper-snmpv3

N-11. TFTP 서비스 차단

• 기본적으로 꺼져있음
  

N-12. Spoofing 방지 필터링 적용 <확인필요>

• 정책 적용하면 서비스 영향 발생
  • 적힌 IP대역이 대부분의 사설 IP대역을 포함해버림
    

    

• 설정 방법(적용은 X)

  

  • 설정하면서 then 뒤에 동작 적고나선 up 해줘야함
    • 적용 X 부분 참고

      

      - 이렇게 들어가면 인터페이스에 대해 해당 룰이 적용됨(예시는 루프백 인터페이스(lo0))

N-13. DDoS 공격 방어 설정

• 가이드에 자세한 항목 없음
• KERIS 들어가서 확인 후 있다면 작성(하는 법은 Spoofing이랑 동일)

N-14. 사용하지 않는 인터페이스 shutdown 설정

• 일단 납품 시엔 확인하고 닫을지 안닫을지 결정

  

N-15. 사용자 · 명령어 별 권한 수준 설정

• juniper 장비의 기본 사용자 클래스

  

  • 해당 클래스들은 idle-timeout같은 설정이 불가해서 동일한 권한의 새로운 커스텀 클래스 생성 권장
    • 예를 들어 super-user는 su-user, Operator는 OP로 재생성 후 동일 권한 생성
• 클래스 생성 및 권한 할당 방법
  • 사용자 클래스 생성

    

    

  • user에게 클래스 할당

    

N-16. VTY 접속 시 안전한 프로토콜 사용

• SSH enable, TELNET disable 설정

  

  

N-17. 불필요한 보조 입·출력 포트 사용 금지

• AUX 포트 차단

  

N-18. 로그온 시 경고 메시지 설정

• \n 으로 줄바꿈 가능, "" 안에 문자열 넣으면 됨

  

• 적용된 내용