[네트워크] AAA 인증 / 패스워드 관련 (F5 BIG-IP)

NET-008. 강화된 인증기능(AAA) 사용 여부 AAA 인증이 설정되어 있거나 별도의 인증서버(TACACS+, RADIUS 등)가 설정되어 있으면 양호 AAA 인증 설정이 안되어있는 경우 Local 사용자 설정이 되어있는지 여부를 점검

 

AAA 라고, Authentication(인증) / Authorization(인가) / Accounting(계정) 에 관한 설정이라고 보면 되고

TACACS+, RADIUS 프로토콜이 주로 사용된다고 한다

 

네트워크 장비의 경우 로컬 계정으로 로긴하는 경우보다

이러한 인증서버로 접근하는 경우가 많은것 같다

 

그래서 인증서버를 사용 안하는 경우에는 아래 항목을 점검하면 될 것 같다

(현재 인증서버 사용하고 있으니 아래 항목은 양호 또는 N/A 로 가야겠다)

NET-007. Local 사용자 생성 및 권한관리 여부 Local 사용자 설정을 하여 원격에서 장비 접속 시 Username과 Password를 함께 입력하도록 하고, 접근 권한이 관리자 권한(Level 15)로 설정되어 있는지 여부를 점검

 

AAA 관련해서 Cisco 컨피그에 보면 요런식으로 되어 있다

aaa authentication login default group radius local aaa authentication login default group tacacs+ local

모든 인증을 radius, tacacs+ 서버에서 하되, 서버와 연결 안되면 local 계정으로 하라는 뜻이라고 함

 

F5 BIG-IP 로드발랜서는

이렇게 3가지 설정해주면 된다고 하는데

실제로 bigip.conf 에 보면 그렇게 설정되어 있다 (양호)

그래서 bigip_user.conf 에 패스워드 관련 설정이 없나보다

 

인증서버를 사용하는 관계로

아래 항목들은 양호 또는 N/A 로 가고자 한다

 

NET-009. 취약한 비밀번호 중복 사용 사용자, 관리자 등이 사용하는 비밀번호의 중복 사용 여부를 점검

인증서버로 인증하니까 양호

 

NET-010. enable secret 설정 여부 비밀번호에 암호화(enable secret) 설정 여부를 점검

enable secret 적용해서 패스워드 평문으로 노출 안되게 하는건데

인증서버 사용하니까 비번 설정 자체가 없다 양호

 

NET-011. 안전한 암호화 알고리즘 설정 여부 사용자 및 관리자의 비밀번호에 암호화 설정이 안 되어 있거나, 보안강도가 낮은 알고리즘을 사용할 경우 "취약"으로 판단

enable secret 적용할때 강도 높은 알고리즘으로 적용하라는건데

얘도 비번 설정 자체가 없으니 양호

 

NET-012. 비밀번호 복잡도 설정 비밀번호 복잡도 정책을 준수하지 않거나 유추 가능한 비밀번호를 사용 할 경우 "취약"으로 판단

인증서버로 인증하니까 양호

 

참고 : https://my.f5.com/manage/s/article/K17403