GN-SA-2023-001 임시 조치 방법 가이드
GN-SA-2023-001 취약점 관련하여 제조사에서는 취약점 조치가 완료된 버전으로 패치를 권고 하고 있습니다.
본 임시 조치 방법 가이드는 네가지 취약점 중 비인가 설정(네트워크센서 비밀번호) 변경 취약점 에 한한 임시 조치 가이드입니다.
준비 사항
- 정책서버 SSH 접속을 위한 준비(접속계정, 패스워드)
- 정책서버 설정 변경은 CLI를 통해서 진행합니다.정책서버 설정 변경 시 주요 서비스가 재구동 됩니다.
- 네트워크센서 재부팅을 위한 SSH 접속 준비(접속계정, 패스워드)
- 정책서버 포트 변경 후 네트워크센서에 변경사항 적용을 위해서는 장비 재부팅이 필요합니다.
- 에이전트 미동작 정책 OFF
- 정책서버 설정 변경 후 에이전트 정상통신을 위해서는 PC재부팅이 필요하며 PC재부팅이 되지 않은 PC는 에이전트 미동작 차단 정책으로 차단 될 수 있습니다.
- 방화벽 허용 정책 추가
- 변경된 이벤트 포트에 대한 방화벽 허용 정책의 추가가 사전에 필요합니다.변경된 이벤트포트에 대해 정책서버 <> 네트워크센서IP, 정책서버 <> PC 허용 정책 추가가 필요합니다.
주의 사항
DB서버 LOG서버가 분리 구성된 환경에서는, 정책서버 이벤트 포트 변경 작업 후, DB서버와 Log서버 재부팅이 필요합니다.
정책서버 이벤트 포트 변경 작업 후, 네트워크센서, Agent 재부팅 전까지는 정책서버와 이벤트 전송이 불가합니다. 따라서 네트워크센서, Agent 동작 상태가 다운 상태로 표시됩니다.
설정 및 확인 사항
설정 방법은 범용OS 버전과 GNOS 버전의 접속 방법을 제외한 모든사항은 동일합니다.
정책서버 접속
범용OS인 경우 아래와 같이 진행합니다.
터미널 프로그램을 이용하여 SSH에 연결합니다. (접속 포트 번호: 3910)
ID/PASSWORD 입력하여 SSH 접속
genian@ubuntu:~$
genian@ubuntu:~$ sudo su <-- root 권한 획득
[sudo] password for genian: <-- 패스워드 한번 더 입력
root@ubuntu:/home/genian#
root@ubuntu:/home/genian# gnlogin <-- genian shell 진입
genian>
genian> enable <-- enable 모드 진입
Password: <-- enable password 입력
genian#
프롬프트가 genian# 으로 변경되면 이벤트포트 변경 항목으로 이동합니다.
GNOS인 경우 아래와 같이 진행합니다.
터미널 프로그램을 이용하여 SSH에 연결합니다. (접속 포트 번호: 3910)
Username: <-- CLI 접속 계정 입력
Password: <-- 패스워드 입력
genian> enable <-- enable 모드 진입
Password: <-- enable 패스워드 입력
genian#
프롬프트가 genian# 으로 변경되면 이벤트포트 변경 섹션으로 이동합니다.
이벤트 포트 변경 설정
상단 준비 사항 에 작성된 내용에 대해 확인하고 조치합니다.
정책서버 SSH 접속했다면 설정 모드로 진입합니다.
genian# config terminal genian(config)#
정책서버와 Client(네트워크센서, 에이전트)에서 이벤트 송수신에 사용하는 포트를 변경합니다.
genian(config)# node-server event-port {변경할 포트번호 default 3870} Stopping Service...done Starting Service...done genian(config)# sensor event-port {변경할 포트번호 default 3871} Stopping Service...done Starting Service...done
정책서버 이벤트 포트 변경 사항 체크
genian(config)# exit genian# @shell genians$ netstat -an | grep -E "3870|3871" <-- 기존 사용하던 포트가 명령 결과에 표시되지 않아야합니다. genians$ netstat -an | grep -E "변경한포트|변경한포트" <-- 새로 변경한 포트가 명령 결과에 표시되야합니다.
네트워크센서 SSH에 접속해서 장비를 재구동합니다.
genian# reboot Are you sure to reboot system (y/N): y
정책서버에 센서에서 발송하는 Keepalive 패킷이 변경한 포트로 인입되는지 확인합니다.
genians$ tcpdump -ni {interface명} host {네트워크센서 IP} and port {변경한 포트} e.g. genians$ tcpdump -ni eth0 host 1.1.1.1 and port 5870 ※ 네트워크센서 Keepalive는 네트워크센서에서 출발하며 10초 간격으로 양방향 UDP 통신이 발생합니다.
Web콘솔에 접속하여 네트워크센서 상태가 정상적으로 표시되는지 확인합니다.
에이전트가 설치된 PC를 재부팅합니다.
정책서버에 에이전트에서 발송하는 Keepalive 패킷이 변경한 포트로 인입되는지 확인합니다.
genians$ tcpdump -ni {인터페이스명} host {재부팅한 PC IP} and port {변경한 포트} e.g. genians$ tcpdump -ni eth0 host 2.2.2.2 and port 5870
Web콘솔에 접속하여 재부팅한 PC 노드의 에이전트 동작 상태를 확인합니다.