유비쿼티제품의 취약점에 대한 'UBNT 공식입장'(차단방법)_한글ver.

조회수 959

2018.06.14

airOS – 네트워크 보안 최선의 방법


최근 몇 주 VPNFilter 악성 소프트웨어는 여러 네트워크 통신사업자로 하여 자신의 네트워크설계, 장비 세팅 및 안정성에 대해 다시 점검하는 계기가 되었고 앞으로 이런 이슈로 인한 공격을 피할 수 있습니다.

최근 출시한 airOS 소프트웨어는 이러한 공격에 쉽게 영향을 받지 않지만 장비를 최신 버전으로 업데이트하는 것은 단순 네트워크 보안전략의 일부입니다. 수 년간 통신사업자와 대화나 조언을 나눌 때 아래와 같이 보안측면에서 몇 가지 조언을 주고 있습니다.


1. 복잡한 로그인 인증 사용


저희는 알고 있습니다. 누구든 무엇을 하라고 듣는 것을 싫어합니다. 대형 네트워크 환경에서 당신이 수많은 장비를 관리하고 있을 때 보통 디폴트 로그인정보, 혹은 기억하기 쉬운 간단한 유저 네임& 비밀번호 조합을 사용할 수 있는데 그렇게 하지 않는다면 당신의 장비와 네트워크는 외부로부터 공격을 받아 피해를 볼 수 있습니다.

복잡한 유저 네임과 비밀번호를 어떻게 조합해야 하는지에 대한 여러 견해가 있습니다. 최신 버전의 airOS는 사용자로 하여금 합리적이지만 복잡한 로그인정보를 사용하게 하여 디폴트 로그인정보 혹은 간단한 로그인 정보를 사용하는 것을 방지합니다. 몇몇 연구는 특수부호사용에 대해 반대하지만 또다른 연구에서는 특수부호사용에 대해 찬성했습니다.

airOS는 정의된 부호요구사항을 만족하는 복잡한 일련의 인증을 세팅하도록 하기 때문에 통해 당신의 네트워크 장비를 안전하게 보호할 수 있어 이러한 부분을 고려하지 않아도 됩니다.

만일 당신은 그들의 웹 UI를 통해 대량의 장비를 관리하고 있다면, 브라우저에서 비밀번호관리기능을 이용해 각각의 장비에 설정한 복잡한 인증을 자동으로 작성할 수 있도록 할 수 있습니다. 

2. 공용 접근(액세스) 제거

네트워크 설계를 접근하는 방법은 많습니다. 또한 다양하고 복잡한 상황도 있어서 일일이 설명하기 어렵지만 네트워크 보안에 대한 일반적인 조언은 당신 네트워크장비의 관리 인터페이스테 대해 접근 제한입니다. 장치 관리자만이 접근할 수 있도록 하고 공용 인터넷에서 접근할 수 있는 모든 장비는 외부 공격의 주요 대상이 됩니다.

가능하면 당신의 네트워크 장비를 공용 인터넷에 노출되지 않도록 해야 합니다.


만일 공용 접속해야 할 경우에는 사설 통신망내의 사용자만 사용할 수 있도록 제한해야 합니다. 이것은 방화벽을 이용해 통제 가능하며, 저희 또한 추후에 airOS에 관리형 화이트리스트(기능)을 추가할 예정인데 추가 시 외부 방화벽없이 airOS 네트워크 장비자체의 설정을 간소화할 수 있습니다.


만일 당신 인터넷을 통해 원격으로 장비의 관리 인터페이스를 접근해야 할 경우 방화벽사용을 고려하고 VPN 혹은 프록시 서버를 사용하여 외부와 당신의 네트워크 사이에 추가적인 보안망을 제공할 수 있습니다. 가능하면 당신의 네트워크 설계를 최적화해서 외부로부터 접근할 수 있는 곳을 최대한 줄여야 합니다.


3. 사용하지 않은 기능 비활성화 혹은 차단

텔넷을 사용하지 않습니까? HTTP는? 이 두개 프로토콜의 기능은 더욱 최신, 그리고 안전한 프로토콜을 이용하여 수행할 수 있습니다. 당신이 그것을 사용하지 않거나 외부 장치와 통신할 수 있는 부가적인 프로토콜을 사용하지 않는다면, 비활성 시키세요. 두가지 방법이 있습니다.


첫째, 네트워크 장치 자체에서 프로토콜 또는 프로토콜을 사용하는 기능을 비활성화하십시오. 많은 네트워크 장치들은 이러한 방식으로 특정 서비스를 쉽게 활성화 및 비활성화 할 수 있습니다.


둘째, 방화벽을 사용하여 네트워크의 경계에서 이러한 프로토콜을 차단하세요. 텔넷을 사용하지 않고 텔넷 트래픽이 네트워크 입력을 반복하려고 시도하는 경우 (네트워크 인프라의 일부러 처리됨) 누군가가 해당 장치에 액세스하려고 시도하는 명확한 신호입니다. 통신이 네트워크 경계(엣지)에서 차단하면 이러한 위협도 함께 사라집니다.


4. 안전한 프로토콜 사용

지금 네트워크 운영에 사용하고있는 HTTP를 찾으세요. 만약 HTTP가 암호화되지 않았고, 중앙에 있는 사람이 위치를 정확하게 파악한 경우라면, 인증 증명을 가로 채고 네트워크 인프라를 공격하는 데 사용할 수 있습니다. 이것은 당신이 분명히 차단하기를 원하고 있으므로 HTTPS와 같은 안전한 대안을 사용할 수 있는 곳에서는 HTTPS가 사용되는지 확인하십시오.

위에서 언급한 것처럼 보안 프로토콜 사용이 설정되면 안전하지 않은 프로토콜을 사용하지 않도록 설정하여 네트워크를 보호해야합니다. 보안 프로토콜과 불안정한 프로토콜 제거의 결합으로 공격 대상 및 위협 요소가 크게 줄어 듭니다.


5. 최신 소프트웨어로 업데이트

모든 네트워크 장치에서 작동하는 소프트웨어가 최신 버전인지를 정기적으로 확인하시고 출시한 버전은 보안측면에서 수정사항이 포함되어 있기 때문에 최신 버전을 사용하십시오. 우리는 이 블로그에서 새로운 airOS에 대한 정보를 지속적으로 발표할 것이며, 제품에 대한 업데이트정보는 각각 ubnt.com/downloads 섹션과 커뮤니티 포럼 섹션에서 찾을 수 있습니다.


6. 디폴트 차단


특정한 설정이나 특징인 것도 마치 일종의 사고방식 인 거 같습니다; 하지만 현재나 앞으로의 당신의 네트워크 보안을 위해 ‘무엇을 차단해야 한다’ 보다 대신 ‘무엇을 허용할 것 인지’ 가 더욱 효과적입니다. 만일 당신은 필요한 프로토콜, 연결 및 유저들만 허용 시 당신이 차단해야 할 것들이 줄어듭니다.


위 내용들은 단순히 네트워크 보안에 관한 조언의 전체 목록은 아니라고 생각합니다.

하지만 개인적으로 네트워크설계 및 자신의 네트워크관리에 유용한 사항이라고 생각하며 세계 각지의 통신사업자와 그들의 네트워크를 논의할 때 매우 유용한 정보라고 생각하고 있으며 만일 오늘내에 모든 작업을 끝나지 않은 경우 어떻게 빠르고 쉽게 당신의 네트워크 안정성을 개선할 수 있도록 고민을 해야 합니다.

community.ubnt.com의 airMAX섹션은 네트워크 보안 및 AirOS에 관한 궁금사항이 있을 시 질문할 수 있는 이상적인 공간입니다. 저희는 이슈사항에 대해 지속적으로 업데이트 및 게시할 예정입니다.

저희 장비를 안전하게 사용하길 바라겠습니다.







출처 : https://blog.ui.com/2018/06/14/airos-network-security-best-practices/?fbclid=IwAR1YkbO7FkVMRDzyLgzsQMnNaywSvmZ-0YalLk6BLsEhWmZZ-7gbOLk4Wdw 


(주)엠씨에스솔루션

사업자등록번호 : 106-86-25768

본사 : 08510 서울시 금천구 벚꽃로 298 대륭포스트타워 6차 402호

402, Daeryung Post-Tower 6th, 298, Beotkkot-ro, Geumcheon-gu, Seoul, Korea

고객지원 : 1566-9968 ( 운영시간: 09:00~18:00 , 주말/공휴일 제외 )

파트너문의 : 02 - 3275 - 1190

E-MAIL : 영업문의 sales@mcss.co.kr  기술문의 tech@mcss.co.kr

FAX : 02 -3275 - 1191