Juniper장비 취약점 조치 가이드

가이드 다운로드

• 한국인터넷진흥원

취약점 설정 방법

N-01. 패스워드 설정

• 설정방법
  
  

N-02. 패스워드 복잡성

• 고객사 확인 후 설정

  

  • 최소 문자열 8자 이상으로 명시적 설정 가능

N-03. 암호화된 패스워드 사용

• password 입력 시 config상에는 암호화 되어 들어가므로 추가 설정 불필요
• config 내용

  

N-04. VTY접근(ACL) 설정

1. 관리대역 Alias 설정
   

   

   ▶ 10.10.10.0/24란 대역을 TEST-DENY로 사용 가능
   ▶ 10.10.10.1/32와 같이 host ip로도 사용 가능
2. Alias 설정한 관리자 IP 외 접속 차단 필터 생성

   
   ▶ MGMT-FILTER라는 방화벽 필터 룰 이름 생성
   

   ▶ DENY-NONADMIN이라는 term 생성
        -> term이란? filter 내에서 실제 조건을 구분하는 각각의 작은 단위, 각 term마다 별도 조건, 동작 지정해서 사용
        -> 각 term에는 동작은 하나만 지정할 수 있고(discard, accept) 그 동작을 할 개체를 각각의 term에 넣는 걸로 보임
3. discard 할 내용 외 나머지 항목 허용 룰 설정
   

   

   ▶ 동일한 filter 이름 아래에 accept 동작을 할 term을 생성
   ▶ 저 term 항목이 없다면 juniper ACL은 기본 discard이므로 서비스 장애 발생
   
4. 루프백 인터페이스에 필터 적용

   
   ▶ 루프백 인터페이스가 관리ip를 가지고있다면 특정 포트가 아닌 루프백에 적용
   ▶ 만약 단일 vlan을 사용하고 vlan 인터페이스에 관리 ip가 들어가 있다면 lo0가 아닌 해당 인터페이스에 적용해야함
   

N-05. Session Timeout 설정

• 사용자 클래스에 대한 원격 접속 시간 제한 설정
  • 기본 내장 사용자 클래스 정보
    • operator             permissions [ clear network reset trace view ]
    • read-only            permissions [ view ]
    • super-user          permissions [ all ]
      
  • 기본 내장 사용자 클래스는 idle-timeout은 변경 불가능
• 새로운 클래스 생성방법

  

• 클래스 별 session timeout 설정방법

  

• 시스템 전체 session timeout 설정방법

  
  

• 동작
  • 클래스 별 제한시간 체크 후 시스템 전체 체크해서 timeout됨
  • 숫자는 분 단위로 동작함

N-06. 최신 보안 패치 및 벤더 권고사항

• OS 업그레이드 필요 여부 인성디지털에 확인
• OS 업그레이드 참고자료 : https://note.inukcha.com/books/network/page/ex3400-os-upgrade-via-usb

N-07. SNMP 서비스 확인

• 미사용 시 삭제

  

N-08. SNMP community string 복잡성 설정

• SNMP 버전 몇 쓰는지 확인 필요
• config 안들어가있어서 의미 없을거같긴함
• SNMPv3 참고 자료 : https://note.inukcha.com/books/network/page/juniper-snmpv3

N-09. SNMP ACL 설정

• config 안들어가있어서 의미 X
• 설정방법
  • SNMP client list 설정

    

    • ACCEPT는 client의 이름
  • community에 적용

    

N-10. SNMP 커뮤니티 권한 설정

• 무조건 RO 설정으로 해야함
• RW권한이면 삭제
• SNMPv3 참고 자료 : https://note.inukcha.com/books/network/page/juniper-snmpv3

N-11. TFTP 서비스 차단

• 기본적으로 꺼져있음
  

N-12. Spoofing 방지 필터링 적용 <확인필요>

• 정책 적용하면 서비스 영향 발생
  • 적힌 IP대역이 대부분의 사설 IP대역을 포함해버림
    

    

• 설정 방법(적용은 X)

  

  • 설정하면서 then 뒤에 동작 적고나선 up 해줘야함
    • 적용 X 부분 참고

      

      - 이렇게 들어가면 인터페이스에 대해 해당 룰이 적용됨(예시는 루프백 인터페이스(lo0))

N-13. DDoS 공격 방어 설정

• 가이드에 자세한 항목 없음
• KERIS 들어가서 확인 후 있다면 작성(하는 법은 Spoofing이랑 동일)

N-14. 사용하지 않는 인터페이스 shutdown 설정

• 일단 납품 시엔 확인하고 닫을지 안닫을지 결정

  

N-15. 사용자 · 명령어 별 권한 수준 설정

• juniper 장비의 기본 사용자 클래스

  

  • 해당 클래스들은 idle-timeout같은 설정이 불가해서 동일한 권한의 새로운 커스텀 클래스 생성 권장
    • 예를 들어 super-user는 su-user, Operator는 OP로 재생성 후 동일 권한 생성
• 클래스 생성 및 권한 할당 방법
  • 사용자 클래스 생성

    

    

  • user에게 클래스 할당

    

N-16. VTY 접속 시 안전한 프로토콜 사용

• SSH enable, TELNET disable 설정

  

  

N-17. 불필요한 보조 입·출력 포트 사용 금지

• AUX 포트 차단

  

N-18. 로그온 시 경고 메시지 설정

• \n 으로 줄바꿈 가능, "" 안에 문자열 넣으면 됨

  

• 적용된 내용

  

N-19. 원격 로그서버 사용

• /var/log에 저장된 messages 파일에 error레벨 이상의 로그를 기록하라는 명령어
• 원격지(10.10.10.10)에 모든 로그를 전송하라는 의미

  

• 설정파일 관련 설정

  

  • 최대 5개만 보관
  • 파일 당 최대 5MB 제한
  • 파일 permission을 모두가 읽기권한이 있도록 지정(644)

N-20. 로깅 버퍼 크기 설정

• N-19의 설정파일 관련 설정과 동일하게 설정 가능

  

  • /var/log의 messages파일은 최대 5개, 1MB사이즈로 제한하여 보관

N-21. 정책에 따른 로깅 설정

1. 콘솔로깅
   ▶ 콘솔 로그 메시지는 오직 콘솔 포트에서만 보이므로 이 로그를 보기 위해서는 반드시 콘솔 포트에 연결하여야 함
2. Buffered 로깅
   ▶ Buffered 로깅은 로그를 라우터의 RAM에 저장하는데 이 버퍼가 가득 차게 되면 오래된 로그는 자동으로 새로운 로그에 의해 대체됨
   ▶ N-20 처럼 설정
   
3. Terminal 로깅
   ▶ Terminal monitor 명령을 사용하여 로깅을 설정하면 라우터에서 발생하는 로그 메시지를 VTY terminal에 보냄

   ▶ CLI모드에서 명령어 입력하여 사용
   

4. Syslog
   ▶ 시스코 라우터는 라우터의 로그 메시지가 외부의 syslog 서버에 저장되도록 설정할 수 있음
   ▶ N-19 처럼 설정
   
5. SNMP traps
   ▶ SNMP trap이 설정되면 SNMP는 특별한 상황을 외부의 SNMP 서버에 전송하도록 설정할 수 있음

   > version(1, 2, 3) 지정 및 NMS서버 IP 지정
   set snmp trap-group <group-name> version (v1|v2|all) targets <NMS_IP>
   
   > trap으로 관리할 이벤트 목록 정의(링크 다운, 장비 Alarm, OSPF/BGP 상태 등)
   set snmp trap-group <group-name> categories [link chassis alarm ...]
   (예시)
   set snmp trap-group mytrap category link
   set snmp trap-group mytrap category chassis
   set snmp trap-group mytrap category alarm
   
   > 설정 예시
   set interfaces lo0 unit 0 family inet address 10.10.10.1/32
   set snmp community MONITOR authorization read-only
   set snmp trap-options source-address 10.10.10.1
   set snmp trap-group NMS-MAIN version v2 targets 192.168.100.50
   set snmp trap-group NMS-MAIN categories link chassis alarm
   
   - 루프백에 10.10.10.1 할당 후, 모든 트랩의 source IP로 지정
   - v2 트랩을 주요 NMS(192.168.100.50)에 전송
   - link/chassis/alarm 범주의 이벤트만 트랩 발송
   - 트랩 그룹 이름은 자유롭게 지정(여러 그룹/서버에 각각 할당 가능)

6. ACL 침입 로깅
   ▶ 표준 또는, 확장된 액세스 리스트를 설정할 때 특정한 룰에 매칭하였을 경우 해당 패킷 정보를 로그에 남기도록 설정할 수 있는데, 이는 액세스 리스트 룰의 끝에 로그나 로그인풋을 추가하면 됨. 로그 인풋은 로그와는 달리 인터페이스 정보도 함께 남기게 되므로 어떤 인터페이스를 통해 로그가 남았는지를 알 수 있음
   ▶ firewall family 설정 시 <필터명>, <term명> 아래 then log를 추가하여 설정
   

N-22. NTP 서버 연동

• 취약점 가이드 파일의 boot-server는 의미없어보임(명령어 X, 있다면 설정)
  

N-23. timestamp 로그 설정

• 기본값으로 시간을 볼 수 있음
  

N-24. TCP Keepalive 서비스 설정

• PPP/HDLC/Frame Relay 등 WAN 인터페이스에만 사용 가능
• CISCO처럼 전역명령어 없음
• 대상 X

N-25. Finger 서비스 차단

N-26. 웹 서비스 차단

N-27. TCP/UDP Small 서비스 차단

• 기본적으로 TCP/UDP Small서비스는 차단되어있음
• 혹시라도 사용중이라면 아래 목록 제거

  delete system services finger
  delete system services ftp
  delete system services telnet
  delete system services rlogin
  delete system services shell
  delete system services echo
  delete system services discard
  delete system services daytime
  delete system services chargen

N-28. Bootp 서비스 차단

• 최근 주니퍼 장비는 bootp 와 dhcp-relay옵션이 하나로 합쳐짐
• 설정에 bootp 관련 옵션 없으면 기본 비활성화 상태
• DHCP-relay 미사용시 아래 입력해서 차단

  

N-29. CDP 서비스 차단

• CDP는 CISCO 전용 프로토콜로 해당사항 없음

N-30. Directed-broadcast 차단

• EX/QFX 등 L2/L3 스위치는 기본적으로 "ip directed-broadcast" 기능이 disable(비활성)인 상태로 출고
• 보안 관점에서 RFC 2644 권고에 따라,L3 인터페이스가 네트워크 directed-broadcast 패킷(예: 192.168.1.255) → subnet 브로드캐스트로 전달(포워딩) 되지 않도록 OS 내부 논리(L2, L3 ASIC/Firmware)에서 기본적으로 차단되며, 설정으로 enable/disable 자체가 필요 없게 설계

N-31. Source 라우팅 차단

• 기본적으로 Junos는 소스라우팅 허용하지 않음

N-32. Proxy ARP 차단

• 기본적으로 Proxy ARP는 미설정 상태(비활성)

N-33. ICMP unreachable, Redirect 차단

• 기본적으로 ICMP Redirect 차단 상태
• RFC 및 보안 권고(RFC 1812 등)에 따라, modern network device는 기본적으로 ICMP Redirect를 전송하지 않으며, OS차원에서 금지된 구조

  

N-34. identd 서비스 차단

• identd(113/tcp) 서비스는 QFX-5110에서 지원되지 않으므로 별도 차단 조치가 불필요

N-35. Domain lookup 차단

• 주니퍼는 Cisco와 달리 잘못된 CLI 명령에 대한 자동 DNS lookup 동작이 없음
  
  

N-36. PAD 차단

• 해당 서비스 존재 자체가 없음
• PAD는 예전 프로토콜

N-37. mask-reply 차단

• CISCO처럼 전역명령어가 없어 필터로 차단하여 각 인터페이스에 적용하는 방식으로 사용

  set firewall family inet filter BLOCK_MASK_REPLY term BLOCK_ICMP from icmp-type mask-reply
  set firewall family inet filter BLOCK_MASK_REPLY term BLOCK_ICMP then discard
  set firewall family inet filter BLOCK_MASK_REPLY term ALLOW_ALL then accept

  set interfaces lo0 unit 0 family inet filter input BLOCK_MASK_REPLY
  
  commit

  - loopback(lo0), 관리 인터페이스, 외부로 노출되는 L3 인터페이스에 입력 필터로 적용

N-38. 스위치, 허브 보안 강화

set forwarding-options analyzer SESSION1 input ingress interface ge-0/0/1
set forwarding-options analyzer SESSION1 output interface ge-0/0/10
set forwarding-options analyzer SESSION1 family inet
set forwarding-options analyzer SESSION1 output disable-packets

ge-0/0/1로 들어오는 패킷에 대해 ge-0/0/10으로 복사

설정후 확인 명령어
show forwarding-options analyzer