라우터 보안 정책

라우터는 종종 네트워크 가장자리에서 인터넷 접속이나 다른 사이트와의 연결에 사용됩니다. 인터넷은 위험한 곳이라 라우터는 여러 공격에 취약합니다.

이러한 공격을 완화하려면 이를 어떻게 다루고 라우터를 어떻게 보호할지 설명하는 (공식) 문서가 있어야 합니다. 이 문서를 라우터 보안 정책(router security policy) 이라고 합니다. 보안 정책을 사용하는 장점은 모든 라우터가 동일한 일관된 구성을 가질 수 있다는 점입니다.

라우터 보안 정책에 어떤 내용이 있을지는 조직과 라우터의 사용 목적에 따라 달라집니다. 자체 라우터 보안 정책을 만들고 싶다면 고려해야 할 몇 가지 사항을 알려드리겠습니다.

고려 사항

비밀번호 (Passwords)

구성에서 평문 비밀번호를 허용하나요, 아니면 암호화된 비밀번호만 허용하나요?
비밀번호는 얼마나 복잡해야 하나요?
비밀번호는 얼마나 자주 변경해야 하나요?

인증 (Authentication)

라우터에서 로컬 인증을 허용하나요, 아니면 원격 RADIUS나 TACACS+ 서버를 통해 인증해야 하나요?
원격 인증을 사용한다면, 모든 로그인 및 로그아웃 이벤트를 로그해야 하나요?
라우터에 로그인하려는 사용자에게 어떤 배너를 표시하나요?

원격 접속 (Remote Access)

원격 접속에 어떤 프로토콜을 허용하나요? Telnet?
CCP(Cisco Configuration Protocol) 같은 GUI를 허용하나요?

서비스 (Services)

라우터에서 실행 중이지만 필요하지 않은 서비스가 있나요? 비활성화해야 하나요? CDP, HTTP, IP redirect 같은 것들 말입니다.

필터링 (Filtering)

“외부” 인터페이스의 access-list는 어떻게 보여야 하나요? 사설 IP 주소를 차단하나요?
스푸핑을 방지하기 위해 uRPF 같은 다른 필터링 메커니즘을 사용하나요?

라우팅 프로토콜 (Routing Protocols)

라우팅 프로토콜에 인증을 사용하나요? 비밀번호를 변경하나요?

백업 (Backups)

running-configuration의 백업이 있나요?
이러한 백업을 라우터의 플래시 메모리에 저장하나요, (TFTP) 서버에 저장하나요?
오프사이트 위치에 백업을 저장하나요?
구성의 리비전을 가지고 있나요?

이중화 (Redundancy)

라우터가 실패할 경우 백업 계획이 있나요?
HSRP, VRRP, GLBP 같은 이중화 프로토콜을 사용하나요?
교체 하드웨어가 있나요?

문서화 (Documentation)

문서가 최신 상태로 유지되도록 보장하는 절차가 있나요?

물리적 보안 (Physical)

누가 라우터에 물리적으로 접근할 수 있나요?
콘솔 포트에 대한 접근을 방지하기 위해 무엇이 구현되었나요?

모니터링 (Monitoring)

SNMP 같은 모니터링 프로토콜을 사용하나요?
무엇을 모니터링하나요? CPU 부하? 메모리 사용량? 인터페이스 통계?
SNMP 커뮤니티에 access-list를 사용하나요?

업데이트 (Updates)

새 IOS 버전을 확인하나요?

이 목록이 라우터 보안 정책에서 다뤄야 할 사항에 대한 아이디어를 드리길 바랍니다. 위 목록에 추가해야 할 항목이 있다고 생각한다면 알려주세요.

포럼 답글

aujla3

안녕 Rene, 목록에 취약점 스캔에 대한 내용을 추가해야 할 것 같습니다.

ReneMolenaar

안녕 Kam,

취약점 스캔은 좋은 아이디어입니다. 모든 것을 100% 구성한 후에는 외부 회사에 네트워크 침투 테스트를 맡기는 것이 가장 좋습니다. 이는 R&S(Routing & Switching)를 조금 넘어서는 영역입니다.

Rene

커뮤니티 포럼을 방문해 질문하거나 토론에 참여하세요.

출처: networklessons.com - Router Security Policy

태그: Network Management