[정보보안] 주요 프로토콜의 취약점 대응 방안 총정리(환경 설정 중심)
DNS(Domain Name Service)는 53/udp,tcp 포트를 사용하여 URL과 IP주소를 매칭하여 알려주는 서비스입니다.
- master 단독으로 운영할 경우에는 zone transfer를 허용하지 않도록 설정한다(
allow-tranfer {none;};) - master/slave로 구성할 경우에는 master에는 해당 slave로만 zone trasfer를 허용하도록 설정하고(
allow-transfer {slave_ip주소;};), slave에서는 해당 master로부터만 zone transfer를 받고(masters {master_ip주소;};) zone transfer를 하지 않도록 설정한다(allow-tranfer {none;};) - ICMP directed broadcast에 응답을 차단함으로써 Smurf 공격에 악용되지 않도록 설정합니다.
$ sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1
FTP(File Transfer Protocol)는 20/tcp 포트(Data Channel)와 21/tcp 포트(Control Channel)를 사용하여 FTP서버와 FTP클라이언트 간 파일을 전송하기 위한 프로토콜입니다.
- 익명 로그인 기능을 비활성화(
anonymous_enable=NO)하거나, 업로드 기능을 제한(anon_upload_enable=NO)하여 FTP 서버의 보안성을 향상시킵니다 - /etc/vsftpd/ftpusers 파일에 root 계정을 등록하여 root 계정으로 FTP 서버에 로그인할 수 없도록 설정합니다.
userlist_enable=YES와userlist_deny=NO로 설정하면, /etc/vsftpd/user_list 파일에 나열된 사용자만 FTP 서버에 접근할 수 있습니다.- PORT 명령 차단하고(
port_enable=NO), 수동 모드만 사용(pasv_enable=YES)하도록 FTP 서버를 설정하여 FTP bounce 공격에 대응합니다 - TFTP를 사용할 경우, 보안 모드(
-s 옵션)를 사용하여 특정 디렉토리로의 접근만 허용하고, 다른 디렉토리로의 접근을 차단하면 보안을 강화시킵니다.$ vi /etc/xinetd.d/tftp service tftp { socket_type = dgram protocol = udp wait = yes user = root server = /usr/sbin/in.tftpd server_args = -s /var/lib/tftpboot disable = yes per_source = 11 cps = 100 2 flags = IPv4 }
NTP(Network Time Protocol)는 123/udp 포트를 사용하여 서버 간에 시간을 동기화시켜주는 프로토콜입니다.
- monlist 기능을 사용하는 NTP 증폭 DRDoS 공격에 악용되지 않도록 해당 기능을 비활성화시킵니다.
$ vi /etc/ntpd.conf disable monlist
SNMP(Simple Network Management Protocol)는 161/udp 포트(Polling방식)와 162/udp 포트(Event Reporting 방식)를 사용하여 네트워크 장비의 관리 및 감시 기능 수행하기 위한 프로토콜입니다.
- SNMP 서비스를 사용하지 않는 경우 비활성화 상태인지 점검합니다.
- SNMP 서비스를 사용하는 경우 이전 버전보다 보안 수준이 높은 SNMPv3 사용하여 인증 및 데이터 암호화로 보안을 강화합니다.
- SNMP community string은 Manager와 Agent 연결 시 비밀번호 역할을 하므로 기본 설정(public, private)을 사용하지 않고 공격자가 유추하지 못하도록 복잡성 설정을 합니다.
- SNMP community의 쓰기 권한을 제거함으로써 공격자의 SNMP를 통한 중요 정보의 수정을 방지합니다.
- SNMP ACL 설정을 함으로써 접근이 가능한 IP주소를 제한하고 임의의 호스트에서 SNMP 요청을 할 수 없도록 합니다.
“네트워크 공격 대응 방안 총정리” 글을 함께 참고하시면 좋습니다.
