N-14: 정책에 따른 로깅 설정

가이드라인 원문

상세 설명

개요

정책에 따른 로깅 설정 항목은 네트워크 장비의 로깅이 기관의 보안 정책에 따라 적절하게 설정되어 있는지 점검하는 항목입니다. 로그는 장비 상태 모니터링, 서비스 정상 여부 파악, 보안 사고 시 원인 파악 등에 필수적입니다.

필요성

보안 위협

로깅 설정이 미흡할 경우 다음과 같은 문제가 발생합니다.

1. 원인 규명 어려움: 보안 사고나 장애 발생 시 원인을 파악할 수 없습니다.

2. 법적 증거 부족: 법적 대응을 위한 충분한 증거로 사용할 수 없습니다.

3. 침해 흔적 소실: 침입 사고 발생 시 침해 경로와 시점을 확인할 수 없습니다.

로깅 방법

Cisco IOS, Juniper Junos 공통

Step 1) 콘솔 로깅

콘솔 로그 메시지는 오직 콘솔 포트에서만 보이므로 이 로그를 보기 위해서는 반드시 콘솔 포트에 연결해야 합니다.

Step 2) Buffered 로깅

Buffered 로깅은 로그를 라우터의 RAM에 저장하는데, 이 버퍼가 가득 차게 되면 오래된 로그는 자동으로 새로운 로그에 의해 대체됩니다.

Step 3) Terminal 로깅

terminal monitor 명령을 사용하여 로깅을 설정하면 라우터에서 발생하는 로그 메시지를 VTY terminal에 보냅니다.

Step 4) Syslog

시스코 라우터는 라우터의 로그 메시지가 외부의 syslog 서버에 저장되도록 설정할 수 있습니다.

Step 5) SNMP traps

SNMP trap이 설정되면 SNMP는 특별한 상황을 외부의 SNMP 서버에 전송하도록 설정할 수 있습니다.

Step 6) ACL 침입 로깅

표준 또는 확장된 액세스 리스트를 설정할 때 특정한 룰에 매칭하였을 경우 해당 패킷 정보를 로그에 남기도록 설정할 수 있습니다. 이는 액세스 리스트 룰의 끝에 log 또는 log-input을 추가하면 됩니다.

• log: ACL 일치 패킷 정보를 로그에 남김
• log-input: 로그와 함께 인터페이스 정보도 함께 남김

점검 방법

Cisco IOS

Step 1) 로그에 대한 정보 확인

1
2

Router> enable
Router# show logging

Juniper Junos

Step 1) 로그에 대한 정보 확인

1
2
3

user@host> configure
[edit]
user@host# show log messages

주의사항

1. 기본 설정 변경: 라우터에 기본적으로 설정된 로그 파일 설정을 변경하지 않으면 로깅을 효율적으로 사용할 수 없으므로, 위 6가지 방법을 활용해야 합니다.

2. 로그 레벨 설정: 기관의 보안 정책에 따라 적절한 로그 레벨(severity level)을 설정해야 합니다.

3. 저장 공간 관리: Buffered 로깅은 RAM에 저장되므로 재부팅 시 삭제됩니다. 중요한 로그는 Syslog 서버로 전송하여 보관해야 합니다.

4. 로그 회전: 로그 파일이 무한정 커지지 않도록 로그 회전(log rotation) 정책을 수립해야 합니다.

5. ACL 로깅 활용: 보안 정책 위반 패킷을 탐지하기 위해 ACL 로깅을 적극 활용해야 합니다.

권장 로깅 설정:

• 콘솔 로깅: 최소 informational 레벨
• Buffered 로깅: 최소 informational 레벨, 16KB 이상 버퍼
• Syslog: 외부 서버로 로그 전송
• SNMP Trap: 중요한 이벤트에 대해 트랩 전송
• ACL 로깅: 보안 정책 위반 패킷 로깅