개발/한국인터넷진흥원 취약점 분석 평가27 W-27(상) 2. 서비스 관리 > 2.21 Anonymous FTP 금지 취약점 개요 점검내용 - FTP 서비스의 Anonymous(익명) 접속 허용 여부 점검 점검목적 - FTP 익명 접속을 제한하여 중요 정보의 불법 유출을 차단 하고자 함 보안위협 - FTP 익명 접속이 허용된 경우 핵심 기밀 자료나 내부 정보의 불법 유출 가능성이 존재함 참고 - 만약 익명 접속이 허용된 FTP 서버에 익명 사용자에 대해 쓰기 권한이 부여된경우, 정상적으로 업로드한 파일들의 변조가 가능하므로 공개한 디렉토리 내 중요 데이터가 보관되어 있는지 여부를 추가적으로 확인하여야 함 점검대상 및 판단기준 대상 - Windows NT, 2000, 2003, 2008, 2012 판단기준 - 양호 : FTP 서비스를 사용하지 않거나, "익명 연결 허용"이 체크되지 않은 경우 - 취약 : FTP 서비스를 .. 2020. 3. 18. W-26(상) 2. 서비스 관리 > 2.20 FTP 디렉토리 접근권한 설정 취약점 개요 점검내용 - FTP 홈 디렉토리의 접근 권한 적절성 점검 점검목적 - FTP 서비스 디렉토리의 접근 권한을 적절하게 설정하여 의도치 않은 정보유출 등의 보안 사고를 방지하고자 함 보안위협 - FTP 홈 디렉토리에 과도한 권한(예. Everyone Full Control)이 부여된 경우 임의의 사용자가 쓰기, 수정이 가능하여 정보유출, 파일 위, 변조 등의 위험 존재 참고 - 기반시설 시스템은 FTP 서비스를 사용하지 않는 것이 원칙이나 조직 내에서 해당 서비스를 부득이 사용해야 하는 경우 관련 보호 대책을 수립 및 적용하여 활용하여야 함 - 관련 점검 항목 : W-27(상), W-28(상) 점검대상 및 판단기준 대상 - Windows NT, 2000, 2003, 2008, 2012 판단기준 .. 2020. 3. 5. W-25(상) 2. 서비스 관리 > 2.19 FTP 서비스 구동 점검 취약점 개요 점검내용 - 시스템 내 FTP 서비스 구동 여부 점검 점검목적 - 인증 정보가 기본적으로 평문전송 되는 취약한 프로토콜인 FTP의 사용을 제한하여 네트워크 보안성을 높이고자 함 보안위협 - OS에서 제공하는 기본적인 FTP 서비스를 사용할 경우 계정과 패스워드가 암호화 되지 않은 채로 전송 되어 Sniffer에 의한 계정 정보의 노출 위험 존재 참고 - Sniffer : 네트워크 트래픽을 감시하고 분석하는 프로그램 점검대상 및 판단기준 대상 - Windows NT, 2000, 2003, 2008, 2012 판단기준 - 양호 : FTP 서비스를 사용하지 않는 경우 또는 secure FTP 서비스를 사용하는 경우 - 취약 : FTP 서비스를 사용하는 경우 조치방법 - FTP 서비스가 필요하지 않.. 2020. 3. 4. W-24(상) 2. 서비스 관리 > 2.18 NetBIOS 바인딩 서비스 구동 점검 취약점 개요 점검내용 - NetBIOS 바인딩 서비스 구동 여부 점검 점검목적 - NetBIOS와 TCP/IP 바인딩을 제거하여 TCP/IP를 거치게 되는 파일 공유서비스를 제공하지 못하도록 하고 인터넷에서의 공유자원에 대한 접근 시도를 방지하고자 함 보안위협 - 인터넷에 직접 연결되어 있는 윈도우 시스템에서 NetBIOS TCP/IP 바인딩이 활성화 되어 있을 경우 공격자가 네트워크 공유자원을 사용할 우려 존재 참고 - NetBIOS(Network Basic Input/Output System)는 별개의 컴퓨터상에 있는 애플리케이션들이 근거리통신망 내에서 서로 통신 할 수 있게 해주는 프로그램. IBM pc를 위한 네트워크 인터페이스 체계로 네임, 세션, 데이터그램의 세가지 서비스를 제공하며 NetBI.. 2020. 3. 3. 이전 1 2 3 4 ··· 7 다음
