가. 취약점 개요
■ 내용 : 보안장비 로그 설정(syslog)에 원격 로그 서버로 보안장비 로그를 별도 보관 하도록 설정되어 있는지 점검
■ 목적 : 보안 장비 로그를 원격 로그 서버에 별도 보관하도록 설정되어 있는지 점검하여 보안장비에 문제(장비 이상, 비인가자의 공격 및 침해 등)가 생겨 발생할 수 있는 로그 삭제나 변조 위험에 대비하고 있는지 확인하기 위함
■ 보안 위협 : 원격 로그 서버에 로그를 별도 보관하도록 설정되어 있지 않을 경우 보안 장비 문제 발생 시 로그가 삭제되거나 변조되어 사고 원인 분석에 어려움이 발생함
■ 참고
- 원격 로그 서버 : 정보시스템(서버, 네트워크, 보안장비 등)의 로그를 통합적으로 보관하는 서버
나. 점검방법
■ 대상 : 방화벽, IPS, VPN, IDS, Anti-DDoS, 웹방화벽 등
■ 판단기준
- 양호 : 별도의 로그 서버를 구축하여 통합 로그관리를 하는 경우
- 취약 : 별도의 로그 서버가 없는 경우
■ 점검방법
Step 1) 보안장비 로그 설정 메뉴에서 syslog 설정 확인
다. 조치방법
■ 보안장비 로그 설정 메뉴에서 syslog 설정 또는 주기적으로 별도 저장매체에 백업(syslog 지원하지 않을 경우)
Step 1) 원격 syslog 로그 수집 서버 설정
Step 2) 로컬에서 별도의 저장매체를 통해 수동으로 로그 백업 (syslog를 지원하지 않는 경우)
라. 조치시 영향
■ 일반적인 경우 영향 없음