본문 바로가기

전자금융기반시설114

SRV-040 (Apache) 웹 서비스 디렉터리 리스팅 방지 설정 미흡 SRV-040 (Apache) 웹 서비스 디렉터리 리스팅 방지 설정 미흡 【 상세설명 】 디렉터리 리스팅은 디렉터리에 대한 요청 시 그 디렉터리에 기본 문서가 존재하지 않을 경우 디렉터리 내에 존재하는 모든 파일들의 목록을 출력함. 해당 기능이 활성화 되어 있는 경우 백업 파일이나 소스 파일 등 중요 파일이 외부에 노출될 수 있으므로 해당 기능의 활성화 여부를 점검 【 판단기준 】 - 양호 : 디렉터리 리스팅이 허용되지 않은 경우 - 취약 : 디렉터리 리스팅이 허용된 경우 【 판단방법 】 1. 웹 서비스 설정 파일에서 디렉터리 리스팅 허용 설정 확인 ※ 각 절 Options 의 디렉터리 리스팅 허용 설정 확인(“Indexes”, “+Indexes”, “ALL”, “+ALL” 설정 존재 시 "취약") ■ .. 2024. 1. 2.
SRV-037 취약한 FTP 서비스 실행 SRV-037 취약한 FTP 서비스 실행 【 상세설명 】 FTP 는 파일을 전송하기 위한 프로토콜로 계정과 패스워드를 암호화하지 않고 평문 전송을 하여 네트워크 스니핑의 위협이 존재하므로, 해당 서비스가 추가 보안 수단 없이 취약하게 실행되고 있는지 점검 【 판단기준 】 - 양호 : FTP 서비스가 비활성화 되어 있는 경우 - 취약 : FTP 서비스가 활성화 되어 있는 경우 (단, 업무상 필요하여 FTPS 를 활용하는 등 통신 암호화를 위한 별도의 보안수단이 적용된 경우는 양호) 【 판단방법 】 1. 업무상 불필요한 FTP 서비스(ftp, proftp, vsftp 등) 중지 ■ Linux, AIX, HP-UX, SOLARIS 9 이하 # ps -ef | egrep "ftp|proftpd|vsftpd" |.. 2024. 1. 1.
SRV-035 취약한 서비스 활성화 SRV-035 취약한 서비스 활성화 【 상세설명 】 알려진 취약점이 존재하는 서비스를 실행할 경우, 공격자의 침입 경로로 활용될 수 있기 때문에 취약한 서비스나 취약한 버전의 서비스가 실행되고 있는지 점검(tftp, talk, ntalk, finger, 취약한 r 계열 서비스, echo, discard, daytime, chargen, NIS, NIS+ 서비스 등) 【 판단기준 】 - 양호 : 아래의 항목 중 해당 사항이 없는 경우 - 취약 : 아래의 항목 중 해당하는 조건이 있는 경우 1. tftp, talk, ntalk 서비스가 불필요하게 활성화된 경우 2. finger 서비스 활성화 3. rexec, rlogin, rsh 서비스 활성화 4. DoS 공격에 취약한 echo, discard, dayti.. 2024. 1. 1.
SRV-028 원격 터미널 접속 타임아웃 미설정 SRV-028 원격 터미널 접속 타임아웃 미설정 【 상세설명 】 사용자 부재 시, 비인가자에 의한 시스템 무단 사용을 방지하기 위해 일정 시간 사용하지 않는 세션에 대한 자동 종료 시간 설정 여부를 점검하고, 세션 종료 시간이 설정되어 있을 경우 과도하게 설정 되어 있는지 점검 【 판단기준 】 - 양호 : 세션 타임아웃 값이 900초 이하(15분)로 설정 되어 있을 경우 - 취약 : 세션 타임아웃 값이 900초 이하(15분)로 설정 되어 있지 않을 경우 (아래 내용 중 해당사항이 있는 경우) 1) 내부 규정에 세션 종료 시간이 명시되어 있을 경우 - 세션 타임아웃이 내부 규정에 명시된 세션 종료 시간보다 초과 설정 시 "취약"으로 판단 2) 내부 규정에 세션 종료시간이 명시되어 있지 않을 경우 - 세션 .. 2024. 1. 1.
SRV-027 서비스 접근 IP 및 포트 제한 미비 SRV-027 서비스 접근 IP 및 포트 제한 미비 【 상세설명 】 서비스로의 접근이 통제되지 않을 경우 악의적인 사용자의 공격 목표가 될 수 있기 때문에 보안상 접근통제가 필요함. 방화벽, 3rd-party 제품 또는 tcpwrapper를 활용하여 서비스에 대한 IP 및 포트 접근제어를 수행하고 있는지 점검 【 판단기준 】 - 양호 : 시스템 서비스로의 접근통제가 적절하게 수행되고 있을 경우 (방화벽, tcp-wrapper, 3rd-party 제품 등을 활용) - 취약 : 시스템 서비스로의 접근통제가 적절하게 수행되고 있지 않을 경우 【 판단방법 】 1. 서비스 접근 IP 및 포트 제한 설정 확인 ■ TCP Wrapper # cat /etc/hosts.deny # cat /etc/hosts.allow .. 2024. 1. 1.
SRV-026 root 계정 원격 접속 제한 미비 SRV-026 root 계정 원격 접속 제한 미비 【 상세설명 】 시스템 관리를 위한 root 계정의 원격 접속 허용은 악의적인 사용자가 무작위 대입 공격을 통해 시스템의 관리자 권한을 획득할 수 있는 위협을 증가시키므로, root 계정의 직접적인 원격 접속을 차단하고 있는지 여부를 점검 【 판단기준 】 - 양호 : root 계정의 원격 접속이 허용되지 않은 경우 - 취약 [Linux] 1. Telnet 사용 시 : /etc/securetty 파일이 존재하지 않거나 파일 내에 pts/0 ~ pts/x 등 가상 터미널이 허용된 경우 2. SSH 사용 시 : /etc/ssh/sshd_config 파일에 PermitRootLogin yes로 설정되어 있을 경우 [AIX] 1. rlogin 사용 시 : /etc.. 2024. 1. 1.
SRV-025 취약한 hosts.equiv 또는 .rhosts 설정 존재 SRV-025 취약한 hosts.equiv 또는 .rhosts 설정 존재 【 상세설명 】 hosts.equiv, .rhosts 파일 내에 등록된 시스템이나 사용자는 시스템 접근 시 인증 절차 없이 r 계열 명령어(rexec, rlogin등)를 사용이 가능함. 특히 hosts.equiv, .rhosts 파일 내에 `+ +` 구문 존재 시 시스템 root를 제외한 모든 사용자가 인증절차 없이 r 계열 명령어를 실행할 수 있는 등 보안 수준이 낮으므로 이러한 설정이 존재하는지 점검 【 판단기준 】 - 양호 : /etc/hosts.equiv, 각 계정들의 $HOME/.rhosts 파일이 없을 경우 혹은 신뢰된 호스트들의 목록만 가지고 있을 경우 - 취약 : /etc/hosts.equiv 또는 각 계정들의 $HO.. 2024. 1. 1.
SRV-022 계정의 비밀번호 미설정, 빈 암호 사용 관리 미흡 SRV-022 계정의 비밀번호 미설정, 빈 암호 사용 관리 미흡 【 상세설명 】 시스템 접속 계정에 대한 비밀번호가 설정되어 있지 않은 경우 비인가자가 계정을 도용하여 인가되지 않은 파일 및 서비스에 접근할 수 있는 위협이 존재하므로, 계정에 비밀번호가 설정되어 있지 않거나 빈 비밀번호를 설정하였는지를 점검 【 판단기준 】 - 양호 : 계정들의 비밀번호가 모두 설정되어 있을 경우 - 취약 : 비밀번호가 설정되지 않은 계정이 존재할 경우 【 판단방법 】 1. 시스템 접속 계정들의 패스워드 필드가 공란인지 확인(공란인 경우 : 비밀번호 미설정 상태) ■ Linux, HP-UX, SOLARIS # cat /etc/passwd root:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/.. 2024. 1. 1.
SRV-021 FTP 서비스 접근 제어 설정 미비 SRV-021 FTP 서비스 접근 제어 설정 미비 【 상세설명 】 FTP는 파일을 전송하기 위한 프로토콜로 계정과 패스워드를 암호화하지 않고 평문 전송을 하며, 적절한 접근통제 정책 미적용 시 비인가자에게 시스템 파일이 노출될 수 있으므로 FTP 접근 제어 설정의 적절성 여부를 점검 【 판단기준 】 - 양호 : 특정 IP 주소 또는 호스트에서만 FTP 서버에 접속하도록 접근제어 설정을 적용한 경우 - 취약 : 특정 IP 주소 또는 호스트에서만 FTP 서버에 접속하도록 접근제어 설정을 적용하지 않은 경우 【 판단방법 】 1. FTP 접근제어 설정 확인 ■ Linux, SOLARIS [ ftp ] : Limit 절 명령어 및 호스트 설정 확인 # cat /etc/ftpaccess # cat /etc/ftpd.. 2024. 1. 1.

티스토리툴바