W-29 DNS Zone Transfer 설정 ■ 점검영역 : 서비스 관리 ■ 항목 중요도 : 상 ■ 점검내용 DNS Zone Transfer 차단 설정 여부 점검 ■ 점검목적 DNS Zone Transfer 차단 설정을 적용하여 도메인 정보의 불법 외부 유출을 막고자 함 ■ 보안위협 DNS Zone Transfer 차단 설정이 적용되지 않은 경우 DNS 서버에 저장되어 있는 도메인 정보를 승인된 DNS 서버가 아닌 외부로 유출 위험 존재 ■ 참고 ※ zone-transfer: zone(영역) 전송이라고 하며 master와 slave간에 또는 primary와 secondary DNS간에 zone 파일을 동기화하기 위한 용도로 사용되는 기술 점검대상 및 판단기준(윈도우 서버, window) ■ 대상 : ..
W-14 IIS 불필요한 파일 제거 ■ 점검영역 : 서비스 관리 ■ 항목 중요도 : 상 ■ 점검내용 IIS 설치 시 기본적으로 제공되는 불필요한 파일 제거 여부 점검 ■ 점검목적 IIS 서비스 설치 시 기본으로 설치되는 예제 스크립트, 설명서, 샘플 애플리케이션, 디렉토리 등 서비스에 불필요한 IIS 모듈을 제거하여 불필요한 공격대상으로 이용되는 것을 방지하기 위함 ■ 보안위협 IIS 서비스 설치 시 기본적으로 제공 되는 파일 및 디렉토리를 제거하지 않을 경우, 해당 파일들로 인해 공격 대상으로 이용되거나 백도어가 심어질 위험이 존재함 점검대상 및 판단기준(윈도우 서버, window) ■ 대상 : Windows NT, 2000, 2003, 2008, 2012, 2016, 2019 양호해당 웹 사이트에 ..
W-28 FTP 접근 제어 설정 ■ 점검영역 : 서비스 관리 ■ 항목 중요도 : 상 ■ 점검내용 FTP 접속 가능한 IP 주소 지정 여부 점검 ■ 점검목적 FTP 접근 시 특정 IP 주소에 대해 콘텐츠 액세스를 허용하여 서비스 보안성을 강화하고자 함 ■ 보안위협 FTP 프로토콜은 로그온에 지정된 자격 증명이나 데이터 자체가 암호화 되지 않고 모든 자격 증명을 일반 텍스트로 네트워크를 통해 전송되는 특성상 서버 클라이언트간 트래픽 스니핑을 통해 인증정보가 쉽게 노출되므로 접속 허용된 사용자 IP를 지정하여 접속자를 제한할 것을 권고 ■ 참고 ※ 기반시설 시스템은 FTP 서비스를 사용하지 않는 것이 원칙이나, 조직 내에서 해당 서비스를 부득이 사용해야 하는 경우 관련 보호 대책을 수립 및 적용하여 활용하여야..
U-10 /etc/(x)inetd.conf 파일 소유자 및 권한 설정 ■ 항목 중요도 : 상 ■ 점검내용 /etc/(x)inetd.conf 파일 권한 적절성 점검 ■ 점검목적 /etc/(x)inetd.conf 파일을 관리자만 제어할 수 있게 하여 비인가자들의 임의적인 파일 변조를 방지하기 위함 ■ 보안위협 (x)inetd.conf 파일에 소유자외 쓰기 권한이 부여된 경우,일반사용자 권한으로 (x)inetd.conf 파일에 등록된 서비스를 변조하거나 악의적인 프로그램(서비스)를 등록할 수 있음 ■ 참고 ※ (x)inetd (슈퍼데몬)자주 사용하지 않는 서비스가 상시 실행되어 메모리를 점유하는 것을 방지하기 위해 (x)inetd(슈퍼대몬)에 자주 사용하지 않는 서비스를 등록하여 요청이 있을시에만 해당 서비스..
U-39 웹서비스 링크 사용금지 ■ 점검영역 : 서비스 관리 ■ 항목 중요도 : 상 ■ 점검내용 심볼릭 링크, aliases 사용 제한 여부 점검 ■ 점검목적 무분별한 심볼릭 링크, aliases 사용제한으로 시스템 권한의 탈취 방지를 목적으로 함 ■ 보안위협 웹 루트 폴더(DocumentRoot)에 root 디렉터리(/)를 링크하는 파일이 있으며 디렉터리 인덱싱 기능이 차단되어 있어도 root 디렉터리 열람이 가능함 ■ 참고 ※ 심볼릭 링크(Symbolic link, 소프트 링크)윈도우 운영체제의 바로가기 아이콘과 비슷함링크 생성 시 파일 내용은 존재하지 않으나 사용자가 파일을 요청하면링크가 가리키고 있는 원본 데이터에서 데이터를 가져와서 전달함직접 원본을 가리키지 않고 원본 데이터를 가리키는 포인터를..
W-81 시작프로그램 목록 분석 ■ 점검영역 : 보안 관리 ■ 항목 중요도 : 중 ■ 점검내용 시작프로그램 목록 내 불필요한 항목 존재 여부 점검 ■ 점검목적 불필요한 시작 프로그램을 삭제하거나 비활성화 하여 악의적인 공격을 차단하기 위함 ■ 보안위협 윈도우 부팅 시 너무 많은 시작프로그램이 동시에 실행되면 속도가 저하되는 문제가 발생하며, 공격자가 심어놓은 악성 프로그램이나 해킹 툴이 실행되어 시스템에 피해를 줄 수 있음 ■ 참고 - 점검대상 및 판단기준(윈도우 서버, window) ■ 대상 : Windows NT, 2000, 2003, 2008, 2012, 2016, 2019 양호시작프로그램 목록을 정기적으로 검사하고 불필요한 서비스 체크해제를 한 경우 취약시작프로그램 목록을 정기적으로 검사하지 않..
U-24 NFS 서비스 비활성화 ■ 항목 중요도 : 상 ■ 점검내용 불필요한 NFS 서비스 사용여부 점검 ■ 점검목적 NFS(Network File System) 서비스는 한 서버의 파일을 많은 서비스 서버들이 공유하여 사용할 때 많이 이용되는 서비스이지만 이를 이용한 침해사고 위험성이 높으므로 사용하지 않는 경우 중지함 ■ 보안위협 NFS 서비스는 서버의 디스크를 클라이언트와 공유하는 서비스로 적정한 보안설정이 적용되어 있지 않다면 불필요한 파일 공유로 인한 유출위험이 있음 ■ 참고 ※ NFS(Network File System)원격 컴퓨터의 파일시스템을 로컬 시스템에 마운트하여 마치 로컬 파일시스템처럼 사용할 수 있는 프로그램임※ NFS 서비스 사용은 원칙적으로 금지되어 있지만 불가피하게 필요한 경우..
PT - 경로 추적 ■ 점검내용 웹 서버와 웹 애플리케이션의 파일 또는 디렉터리의 접근 통제 여부 점검 ■ 점검목적 웹 서버 또는 웹 애플리케이션의 중요한 파일과 데이터의 접근 및 실행을 방지하고자 함 ■ 보안위협 웹 서버와 웹 애플리케이션의 파일 또는 디렉터리 접근이 통제되지 않아 웹 서버 또는 웹 애플리케이션의 중요한 파일과 데이터에 접근을 허용하는 취약점으로 웹 루트 디렉터리에서 외부의 파일까지 접근하여 이를 실행할 수 있음 ■ 참고 ※ 소스코드 및 취약점 점검 필요 점검대상 및 판단기준 ■ 대상 : 웹 애플리케이션 소스코드, 웹 서버, 웹 방화벽 양호웹 루트 디렉터리보다 상위 디렉터리(예. /root)에 접근이 불가능한 경우 취약웹 루트 디렉터리보다 상위 디렉터리에 접근이 가능한 경우 ■ 조치방..
D-07 리스너의 패스워드를 설정하여 사용 ■ 점검영역 : 접근관리 ■ 항목 중요도 : 상 ■ 점검내용 오라클 데이터베이스 Listener의 패스워드 설정 여부 점검 ■ 점검목적 Listener의 Owner는 DBA가 아니더라도 Listener를 shutdown 시키거나 DB 서버에 임의의 파일을 생성할 수 있으며, 원격에서 LSNRCTL 유틸리티를 사용하여 listener.ora 파일에 대한 변경이 가능하므로 Listener에 패스워드를 설정하여 비인가자가 이를 수정하지 못하도록 하기 위함 ■ 보안위협 Listener에 패스워드가 설정되지 않은 경우 DoS, 정보 획득, Listener 프로세스를 중지시킬 수 있는 위험이 있으므로 반드시 Listener 패스워드 설정 필요 ■ 참고 ※ 오라클 Liste..
N-28 Bootp 서비스 차단 ■ 점검영역 : 기능관리 ■ 항목 중요도 : 중 ■ 점검내용 Bootp 서비스의 차단 여부 점검 ■ 점검목적 서비스 제거를 통해 비인가자에게 OS 정보가 노출되는 것을 차단함 ■ 보안위협 Bootp 서비스를 차단하지 않을 경우, 다른 라우터 상의 OS 사본에 접속하여 OS 소프트웨어 복사본을 다운로드 할 수 있음 ■ 참고 ※ Bootp 서비스: 네트워크를 이용하여 사용자가 OS를 로드할 수 있게 하고 자동으로 IP 주소를 받게 하는 프로토콜임 점검대상 및 판단기준(네트워크 취약점 진단) ■ 대상 : Cisco, Alteon, Passport, Juniper, Piolink 등 양호Bootp 서비스가 제한되어 있는 경우 취약Bootp 서비스가 제한되어 있지 않는 경우 ■ ..
D-12 패스워드 재사용에 대한 제약 설정 ■ 점검영역 : 계정관리 ■ 항목 중요도 : 중 ■ 점검내용 패스워드 변경 시 이전 패스워드를 재사용할 수 없도록 패스워드 제약 설정이 되어 있는지 점검 ■ 점검목적 패스워드 재사용 제약 설정 적용 여부를 점검하여 패스워드 변경 시 이전 패스워드 재사용을 제약하여 형식적인 패스워드 변경을 원천적으로 차단하기 위함 ■ 보안위협 패스워드 재사용 제약 설정이 적용되어 있지 않을 경우 패스워드 변경 전 사용했던 패스워드를 재사용함으로써 비인가자의 계정 패스워드 추측 공격에 대한 시간을 더 많이 허용하여 패스워드 유출 위험이 증가함 ■ 참고 ※ 패스워드 제약 설정: 패스워드 변경 시 이전에 사용했던 패스워드를 재사용할 수 없게 하는 설정으로써 이전 암호 재사용 가능 기간..
N-34 identd 서비스 차단 ■ 점검영역 : 기능관리 ■ 항목 중요도 : 중 ■ 점검내용 identd 서비스를 차단하는지 점검 ■ 점검목적 불필요한 identd 서비스를 차단하여 잠재적인 취약점 및 공격에 노출 방지 ■ 보안위협 identd 서비스는 TCP 세션의 사용자 식별이 가능하여 비인가자에게 사용자 정보가 노출될 수 있음 ■ 참고 ※ identd 서비스: 특정 TCP 연결을 시작한 사용자의 신원을 확인하는 서비스(113/TCP) ※ 사용자가 서버로 TCP 연결을 시작한 경우 서버는 클라이언트의 identd 서비스에 TCP 세션의 포트번호를 보내 클라이언트 운영체제와 사용자 ID를 조회 가능 ※ 클라이언트의 정보에 의존하기 때문에 인증 또는 접근제어 용도로 사용할 수 없음 점검대상 및 판단기..
N-03 암호화 된 패스워드 사용 ■ 점검영역 : 계정관리 ■ 항목 중요도 : 상 ■ 점검내용 계정 패스워드 암호화 설정이 적용되어 있는지 점검 ■ 점검목적 계정 패스워드 암호화 설정 유무를 점검하여 비인가자의 네트워크 장비 터미널 접근으로 인해 발생할 수 있는 장비 내 계정 패스워드 유출에 대비가 되어 있는지 확인하기 위함 ■ 보안위협 계정 패스워드 암호화 기능이 설정되어 있지 않을 경우, 비인가자가 네트워크 터미널에 접근하여 장비 내에 존재하는 모든 계정의 패스워드를 획득할 수 있는 위험이 존재함 ■ 참고 - 점검대상 및 판단기준(네트워크 취약점 진단) ■ 대상 : Cisco, Alteon, Passport, Juniper, Piolink 등 양호패스워드 암호화 설정을 적용한 경우 취약패스워드 암호..
W-62 SNMP Access control 설정 ■ 점검영역 : 서비스 관리 ■ 항목 중요도 : 중 ■ 점검내용 SNMP 패킷 접근 제어 설정 여부 점검 ■ 점검목적 SNMP 트래픽에 대한 접근 제어 설정을 하여 내부 네트워크로부터의 악의적인 공격을 차단하기 위함 ■ 보안위협 SNMP Access control 설정을 적용하지 않아 인증되지 않은 내부 서버로부터의 SNMP 트래픽을 차단하지 않을 경우, 장치 구성 변경, 라우팅 테이블 조작, 악의적인 TFTP 서버 구동 등의 SNMP 공격에 노출될 수 있음 ■ 참고 ※ SNMP(v1, v2c)에서 클라이언트와 데몬간의 get_request(요청)와 get_response(응답) 과정은 암호화가 아닌 평문으로 전송되므로 스니핑(sniffing)이 가능함※..
