cisco, alteon, juniper,piolink 사용자 권한 설정 명령어별 수준

출처: http://fedoragame.tistory.com/62

시스코,알테온,주니퍼,파이오링크 사용자 권한 설정 입니다.

 

사용자·명령어별 권한 수준이 설정되어 있지 않은 경우 허가되지 않은 사용자가 중
요한 프로그램을 실행하거나 모니터링 권한 설정을 변경하는 등의 위험이 발생할 수
있음. 사용자의 업무 및 권한에 따라 수행할 수 있는 권한과 기능을 제한해야 함.

 

판단기준
양호: 사용자·명령어별 레벨 설정이 되어있는 경우
취약: 사용자·명령어별 레벨 설정이 되어있지 않는 경우

조치방법
계정별 권한 설정과 중요 명령어에 대한 레벨 설정
※ 계정이 하나존재하여관리자만접속하는 경우(예: *NMS와연동되지않는경우)는 적용하지않음
*NMS(Network Management System): 네트워크 관리 시스템

 

 

 

 

대상 장비별 점검 방법 

CISCO	Router# show privilege 사용자·명령어별 레벨 설정 확인
Alteon	사용자의 접근 레벨이 7단계로 나누어져 있는지 확인
Juniper	[edit system login]에서 superuser, read-only 클래스를 분리, 운영하는지 확인
Piolink	슈퍼유저(root)와 일반유저로 권한을 부여하여 관리하는지 확인

 

위에 제시한 설정이 적용되지 않은 경우 아래의 보안설정방법에 따라 설정을 변경함

 

■ CISCO
시스코 IOS에서는 0에서 15까지 16개의 서로 다른 권한 수준을 규정하고 있으며, 레벨 1과 레벨 15
는 기본적으로 정의되어 있음
사용자 EXEC 모드는 레벨 1에서 실행되며 privileged EXEC 모드는 레벨 15에서 실행되고, IOS 각 명
령어는 레벨 1이나 레벨 15 중 어느 하나의 레벨이 사전에 기본적으로 지정되어 있음
레벨 1에서는 라우터의 설정 조회만 가능하고 레벨 15에서는 라우터의 전체 설정을 조회하고 변경할
수 있으므로 중요한 명령어의 권한 수준을 높여서 제한하는 것이 보안상 안전함
1. 사용자별 권한 수준 지정
Router# config terminal
Router(config)# username [ID] privilege [1-15] password [PASS]
2. 명령어별 권한 수준 지정
Router(config)# privilege exec level [1-15] [서비스명]

※ 아래의 중요한 명령어에는 반드시 레벨 15를 적용해야 함
connect, telnet, rlogin, show ip access-list, show logging
Router# config terminal
Router(config)# privilege exec level 15 connect
Router(config)# privilege exec level 15 telnet
Router(config)# privilege exec level 15 rlogin
Router(config)# privilege exec level 15 show ip access-list
Router(config)# privilege exec level 15 show logging

 

 

■ Alteon
사용자의 접근 및 권한 레벨은 7단계로 나누어져 있음

 

사용자 계정 / 기본 패스워드	설명
User / User	User는 스위치 관리에 대한 직접적인 책임이 없지만 모든 스위치 상태 정보와 통계 자료를 볼 수 있음 그러나 스위치의 어떤 설정도 바꿀 수 없음
SLB Operator / slboper	SLB Operator는 Web 서버들과 다른 인터넷 서비스의 로드를 관리함 부가적으로 모든 스위치 정보와 통계를 볼 수 있으며, Server Load Balancing 운영 메뉴를 사용하는 서버의 사용 가능/사용 불가능을 설정할 수 있음
Layer4 Operator / l4oper	Layer4 Operator는 공유된 인터넷 서비스들에 따른 라인의 트래픽을 관리함 SLB Operator와 같은 접근 레벨을 가지고 있고, 공유된 인터넷 서 비스들에 따른 라인의 트래픽을 관리하는 운영자를 위한 운영적인 명령어에 접근할 수 있도록 제공하는 위해서 접근 레벨은 향후에 사용하기 위해 예약되어 있음
Operator / oper	Operator는 모든 스위치의 기능을 관리함 부가적으로 SLB Operator 기능과 포트나 전반적인 스위치를 재설 정할 수 있음
SLB Administrator / slbadmin	SLB Administrator는 웹서버들과 다른 인터넷 서비스들과 그것에 대한 로드를 설정 및 관리를 할 수 있음 부가적으로 SLB Operator 기능들과 설정 필터들이나 대역폭 관리 를 하는 것을 제외한 Server Load Balancing 메뉴에 매개변수를 설 정할 수 있음
Layer4 Administrator / l4admin	Layer4 Administrator는 공유된 인터넷 서비스들에 따른 라인에 대 한 트래픽을 설정 및 관리를 함 부가적으로 SLB Administrator 기능들, 설정 필터들이나 대역폭 관 리를 하는 것을 포함한 Server Load Balancing 메뉴에 모든 매개변 수를 설정할 수 있음
Administrator / admin	superuser Administrator는 user와 administrator 패스워드를 둘 다 변경할 수 있으며, Web 스위치에 모든 메뉴, 정보 그리고 설정 명 령어들에 사용할 수 있음

 

1. switch로 접속
2. # cfg
3. # sys
4. 다음 중에 해당하는 경우를 선택
# /user/명령어
usrpw - user 암호 설정 및 변경
sopw - SLB operator 암호 설정 및 변경
l4opw - L4 operator 암호 설정 및 변경
opw - operator 암호 설정 및 변경
sapw - SLB administrator 암호 설정 및 변경
l4apw - L4 administrator 암호 설정 및 변경
admpw - administrator 암호 설정 및 변경
5. 암호 및 설정 변경
6. # apply
7. # save

 

■ Juniper
장비 구성 변경 시 사용하는 superuser 클래스와 monitoring 용으로 사용하는 read-only 클래스를 분
리하여 사용할 것을 권장함. 장비 내 기본적으로 다음과 같은 클래스별 사용 권한 설정 및 세부 옵션
추가로 기능 제한을 할 수 있고, 특정 명령어 사용 제한을 계정마다 따로 설정할 수 있으므로 특정한
사용자 계정의 생성이 필요한 경우 사용 권한을 부여하여야 함

 

 

Class-name	Ability
Operator	clear, network, reset, trace, view
read-only	view
Superuser	all
unauthorized	None

 

1. [edit system login] hierarchy level:
2. [edit system]
login {

class class-name {
allow-commands “regular-expression”;
deny-commands “regular-expression”;
idle-timeout minutes;
permissions [ permissions ];
}
}

 

■ Piolink
디폴트 계정인 슈퍼유저(root)와 관리목적에 따라 신규로 등록할 수 있는 일반유저, 2단계로 나누어져
있음. 슈퍼유저는 모든 권한이 부여되어 있으나 일반유저의 경우 장비의 설정을 변경할 수 있는 권한
이 없음. 따라서 사용자의 업무 및 권한에 따라 계정을 부여하여 관리하는 것이 보안상 중요함.