본문 바로가기

보안가이드라인48

U-61) unix 서버취약점 > 서비스 관리 > ftp 서비스 확인 U-61 (하) 3. 서비스관리 > ftp 서비스 확인 취약점 개요 점검내용 Ÿ FTP 서비스가 활성화 되어있는지 점검 점검목적 Ÿ 취약한 서비스인 FTP서비스를 가급적 제한함을 목적으로 함 보안위협 Ÿ FTP 서비스는 통신구간이 평문으로 전송되어 계정정보(아이디, 패스워드) 및 전송 데이터의 스니핑이 가능함 참고 ※ 기반시설 시스템에서 ftp 서비스의 이용은 원칙적으로 금지하나, 부득이 해당 기능을 활용해야 하는 경우 SFTP 사용을 권고함 점검대상 및 판단기준 대상 Ÿ SOLARIS, LINUX, AIX, HP-UX 등 판단기준 양호 : FTP 서비스가 비활성화 되어 있는 경우 취약 : FTP 서비스가 활성화 되어 있는 경우 조치방법 FTP 서비스 중지 점검 및 조치 사례 U-61 (하) 3. 서비스.. 2023. 2. 20.
U-60) unix 서버취약점 > 서비스 관리 > ssh 원격접속 허용 U-60 (중) 3. 서비스관리 > ssh 원격접속 허용 취약점 개요 점검내용 Ÿ 원격 접속 시 SSH 프로토콜을 사용하는지 점검 점검목적 Ÿ 비교적 안전한 SSH 프로토콜을 사용함으로써 스니핑 등 아이디/패스워드의 누출의 방지를 목적으로 함 보안위협 Ÿ 원격 접속 시 Telnet, FTP 등은 암호화되지 않은 상태로 데이터를 전송하기 때문에 아이디/패스워드 및 중요 정보가 외부로 유출될 위험성이 있음 참고 ※ SSH 사용 시 TCP/22번 포트를 기본 포트로 사용하기 때문에 공격자가 기본 포트를 통하여 공격을 시도할 수 있으므로 기본 포트를 변경하여 사용하는 것을 권고함 점검대상 및 판단기준 대상 Ÿ SOLARIS, LINUX, AIX, HP-UX 등 판단기준 양호 : 원격 접속 시 SSH 프로토콜을 .. 2023. 2. 20.
U-41) unix 서버취약점 > 서비스 관리 > 웹 서비스 영역의 분리 U-41 (상) 3. 서비스관리 > 웹 서비스 영역의 분리 취약점 개요 점검내용 Ÿ 웹 서버의 루트 디렉토리와 OS의 루트 디렉토리를 다르게 지정하였는지 점검 점검목적 Ÿ 웹 서비스 영역과 시스템 영역을 분리시켜서 웹 서비스의 침해가 시스템 영 역으로 확장될 가능성을 최소화하기 위함 보안위협 Ÿ 웹 서버의 루트 디렉토리와 OS의 루트 디렉토리를 다르게 지정하지 않았을 경우, 비인가자가 웹 서비스를 통해 해킹이 성공할 경우 시스템 영역까지 접근이 가능하여 피해가 확장될 수 있음 참고 - 점검대상 및 판단기준 대상 Ÿ SOLARIS, LINUX, AIX, HP-UX 등 판단기준 양호 : DocumentRoot를 별도의 디렉토리로 지정한 경우 취약 : DocumentRoot를 기본 디렉토리로 지정한 경우 조치.. 2023. 2. 17.
U-40) unix 서버취약점 > 서비스 관리 > 웹서비스 파일 업로드 및 다운로드 제한 U-40 (상) 3. 서비스관리 > 웹서비스 파일 업로드 및 다운로드 제한 취약점 개요 점검내용 Ÿ 파일 업로드 및 다운로드의 사이즈 제한 여부 점검 점검목적 Ÿ 기반시설 특성상 원칙적으로 파일 업로드 및 다운로드를 금지하고 있지만 불가 피하게 필요시 용량 사이즈를 제한함으로써 불필요한 업로드와 다운로드를 방 지해 서버의 과부하 예방 및 자원을 효율적으로 관리하기 위함 보안위협 Ÿ 악의적 목적을 가진 사용자가 반복 업로드 및 웹 쉘 공격 등으로 시스템 권한을 탈취 하거나 대용량 파일의 반복 업로드로 서버자원을 고갈시키는 공격의 위험이 있음 참고 ※ 불필요한 업로드와 다운로드: 내부 정책에 맞지 않는 업로드와 다운로드를 말함. 예를 들 어 5Mb 이상의 대용량 파일이나 확장자를 화이트 리스트 방식으로 제한.. 2023. 2. 17.