RAT 설치 및 운영 가이드

Cisco Systems Korea
Copyright © 2002 Cisco Systems, Inc. All rights reserved.
Page 1 of 1
RAT 설치 및 운영 가이드
RAT 를 간단하게 정의 한다면 시스코 라우터의 보안 관련 설정에 대한 부분을 점검하고, 손쉽게 수정할 수
있도록 도와 주는 Utility 이다 . 각 국의 여러 보안 전문가 및 그룹들이 Member Ship 을 형성하여 만든
도구로, 현재 다른 이름으로 WINDOSW ,LINUX ,HP- UX , Solaris 등의 OS 보안점검 도구도 CIS 에 올라와
있습니다.
v RAT 를 설치하기 위한 사전 준비 도구
v Test 환경
o RAT 설치 시스템 : Windows 2000 Professional
o 라우터 기종 : 7206 VXR
v 설치 방법
1. Perl Install
①. www.activestate.com 사이트에서 무료로 Perl 5.6.1 이상의 Version 을
Download 하여 설치
②. Windows 용 설치시 약간의 시간이 소요
③. 설치 후 시스템 환경설정을 통해 perl 에 대한 환경변수 설정을 미리 해 두는 것이
운영시 편리하다.
④. MRTG 를 운영해 보신 분이라면, 아주 쉽게 설치가능합니다.
2. RAT DownLoad
①. http://www.cisecurity.org 에서 간단한 정보를 입력한 후 RAT 를 Download
②. C:RAT 에 압축을 푼다. (기타 편한 Directory 에 압축을 풀어도 무방.)
설치 도구 Download URL 비고
RAT http://www.cisecurity.org Windows 용 Download 할 것
PERL 5.6.1 이상 http://www.activestate.com Windows 용으로 Download 할 것
PERL CPAN Archives
Net::telnet
Net::telnet::Cisco
http://ftp.kreonet.re.kr/pub/l
anguages/CPAN/modules/by
-module/Net/
Net::telnet Download
Net::telnet::Cisco Download
라우터 보안관련 점검 도구 RAT v1.1 User Guide
(Windows Version)
본 문서는 CIS(http://www.cisecurity.org) 의 CIS Benchmark & Security Tool 가운데 CIS Level 1/Lever
2 Benchmark and Audit Tool for Cisco IOS Router 관련 설치 내용을 한글화 시켜, Cisco Router 를
사용하는 고객 여러분들이 손쉽게 Router 의 보안설정을 할 수 있도록 구성하였습니다.
Cisco Internal Use Only
Copyright © 2001 Cisco Systems, Inc. All rights reserved.
Page 2 of 2
3. Perl CPAN Archive 설치
①. http://ftp.kreonet.re.kr/pub/languages/CPAN/modules/by-module/Net/ 에서
Net::telnet , Net::telnet::Cisco CPAN Module 을 Download 받는다.
②. Download 받은 CPAN Module 을 RAT가 있는 Directory 또는 편한 Directory 에
압축해제 시킨다.
③. Activestata Perl Pakage Manager (PPM) 을 이용하여 CPAN Module 을 Install 한다.
<예> Dos Prompt 에서 ppm install Net-telnet , ppm install net-telnet-cisco
④. Winmake 실행 ? perl winmake.pl
4. RAT 실행(ncat_config)
①. Ncat_config 를 실행하게 되는데, 여기서 설정해 주는 값들은 보안규정을 정의해 주는
것들이다. 따라서 뒤에서 설명되겠지만, 점검해 보고 싶은 라우터의 Config 를 여기서
정의해준 보안 정의에 따라 Reporting 이 된다고 할 수 있다. 따라서 해당되는 질문을
꼼꼼히 읽어 보고 답변을 해야 올바른 라우터 보안 점검을 할 수가 있다.
②. Ncat_config à Dos 창에서 perl ncat_config
③. 여기서 다양한 Menu 상자들이 나타나게 되는데, 점검하고저 하는 해당 Router에
설정된 내용데로 답을 하면 된다.
④. 설정 예 <Dos 창에서>
C: at at-1.1in>perl ncat_config
ncat_config: Reading c: atin/etc/ncat.conf.MASTER
Please answer the questions below about your network and
router configuration. Type ? to get a short explanation of
any parameter. If you are unsure about what value to give
for a parameter, hit RETURN to take the default value.
Select types of optional rules to be applied:
ncat_config: Apply rules for class use_multiple_ntp_servers [no] ? y
ncat_config: Apply rules for class exterior_router [no] ? y
ncat_config: Apply rules for class tacacs_aaa [no] ?
ncat_config: Apply rules for class localtime [no] ? y
ncat_config: Skipping class "gmt". It is incompatable with "localtime".
ncat_config: Apply rules for class snmp [no] ? y
ncat_config: Apply rules for class exterior_router_with_2nd_if [no] ? y
Cisco Internal Use Only
Copyright © 2001 Cisco Systems, Inc. All rights reserved.
Page 3 of 3
Change default configuration values:
ncat_config: Enter value for local_acl_num_egress [181] ?
ncat_config: Enter value for local_acl_num_ingress [180] ?
ncat_config: Enter value for local_acl_num_vty [182] ?
ncat_config: Enter value for local_address_internal_netblock_with_mask
[192.168.1.0 0.0.0.255] ? 188.188.100.5 0.0.0.255
ncat_config: Enter value for local_address_loopback [192.168.1.3] ? ?
Help for local value :
?쟕 he IP address of this router's loopback interface (if any)
Default value is: 192.168.1.3
ncat_config: Enter value for local_address_loopback [192.168.1.3] ? n
ncat_config: Enter value for local_address_ntp_host [1.2.3.4] ? n
ncat_config: Enter value for local_address_ntp_host_2 [5.6.7.8] ? n
ncat_config: Enter value for local_address_ntp_host_3 [9.10.11.12] ?
ncat_config: Enter value for local_address_syslog_host [192.168.1.3] ?
ncat_config: Enter value for local_address_telnet_acl_block_with_mask
[192.168.1.0 0.0.0.7] ? ?
Help for local value :
?쟕 he LAN address and netmask for the hosts permitted to telnet to the router.
Default value is: 192.168.1.0 0.0.0.7
ncat_config: Enter value for local_address_telnet_acl_block_with_mask
[192.168.1.0 0.0.0.7] ? 188. 188.200.5 0.0.0.255
ncat_config: Enter value for local_address_telnet_acl_host [192.168.1.254] ? ?
Help for local value :
?쟕 he IP address of the host permitted to telnet to the router.
Default value is: 192.168.1.254
ncat_config: Enter value for local_address_telnet_acl_host [192.168.1.254] ?
ncat_config: Enter value for local_exec_timeout [5 0] ?
ncat_config: Enter value for local_external_interface [Ethernet0] ?
ncat_config: Enter value for local_external_interface_2 [Ethernet1] ?
Cisco Internal Use Only
Copyright © 2001 Cisco Systems, Inc. All rights reserved.
Page 4 of 4
ncat_config: Enter value for local_gmt_offset [0] ?
ncat_config: Enter value for local_loopback_num [0] ?
ncat_config: Enter value for local_timezone [GMT] ?
ncat_config: Writing c: atin/etc/ncat.conf...Done.
ncat_config: Now examine c: atin/etc/ncat.conf.
ncat_config: Edit c: atin/etc/ncat.conf.MASTER and rerun ncat_config if not
satisfactory.
5. Reporting 및 분석
①. Ncat_config 실행 후에는 이제 점검하고저 하는 라우터의 보안관련 Reporting 을 받는
일만 남게된다.
②. 우선 해당 라우터에 접속 sh running-config 를 통해서, 해당 라우터의 config 를 text
파일 형태로 capture 한다. à router.txt
③. RAT 를 실행하여 점검실시 à perl rat router.txt (위에서 실행시킨 router config)
④. 실행 후에는 all.html 이라는 파일이 생성되는 데, all.html 을 열어보게 되면 Reporting
값이 출력이된다.
붉은 색이 보안 설정이 미비한 부분이고, 흰색이 보안 설정이 완벽하게 된 부분이다.
Cisco Internal Use Only
Copyright © 2001 Cisco Systems, Inc. All rights reserved.
Page 5 of 5
해당 Rule Name 을 Click 하게 되면 보안설정이 미비한 부분에 대한 Guide 가 제시
되며, 위의 그림 하단에는 Sample config 까지 표시되어 관리자가 손쉽게
configuration 할 수 있도록 도와준다.
기타 자세한 Rule 에 대한 사항은 RAT utility download 시 포함된 rscg.pdf 문서를
참조하기 바란다.
Cisco Internal Use Only
Copyright © 2001 Cisco Systems, Inc. All rights reserved.
Page 6 of 6
q 기타 참조 사항
①. RAT Rule 보안 Level (Certcc Korea 자료 인용)
Level 1 Level 2
Apply egress filter
Apply ingress filter
Apply telnet ACL
clock timezone
Define telnet ACL
disable aux
egress filter definition
enable logging
enable secret
encrypt passwords
exec-timeout
forbid SNMP community private
forbid SNMP community public
forbid SNMP read-write
forbid SNMP without ACLs
ingress filter definition
logging buffered
logging console critical
logging trap debugging
login
no cdp run
no ip bootp server
no ip http server
no ip proxy-arp
no ip source-route
no service config
no snmp-server
ntp server
ntp source
require external IF to exist
require line passwords
set syslog server
vty transport telnet
no identd service(IOS 11)
no directed broadcast(IOS 11, 12)
no finger service(IOS 11, 12)
no tcp-small-servers(IOS 11, 12)
no udp-small-servers(IOS 11,12)
aaa accounting commands
aaa accounting connection
aaa accounting exec
aaa accounting network
aaa accounting system
aaa authentication enable
aaa authentication login
aaa new-model
aaa source-interface
Apply egress filter to 2nd IF
Apply ingress filter to 2nd IF
forbid clock summer-time - GMT
Loopback0 must be only loopback
Loopback0 must exist
no local logins
no tftp-server
ntp server 2
ntp server 3
require clock summer-time - localtime
require external IF 2 to exist
service timestamps - GMT
service timestamps - localtime
tftp source-interface
Tunnel interfaces must not exist
Cisco Internal Use Only
Copyright © 2001 Cisco Systems, Inc. All rights reserved.
Page 7 of 7
②. RAT 구성
Reference Site
http://nsa2.www.conxion.com/cisco/download.htm
http://www.cisco.com/warp/public/707/21.html
http://www.cymru.com/~robt/Docs/Articles/secure -ios-template.html
http://www.cisco.com/warp/public/707/advisory.html
http://www.cisecurity.org
http://www.kisa.or.kr
http://www.certcc.or.kr (Unix 용 Guide 참조 가능)
Program 기능
Snarf 환경설정 파일
Ncat Rule 과 환경설정파일을 읽고 CSV 형태로 출력
Ncat_report CSV 파일을 읽고,HTML 형태로 출력
rat 정의된 보안 레벨과 capture 된 라우터 환경설정을 비교해주는 역할
Ncat_ config 보안 Rule 을 정의해주는 핵심적 역할