English

◀◁ 뒤로 취약점ID 28017 위험도 20 포트 139,445 프로토콜 TCP 분류 RAS 상세설명 원격 액세스 서비스(Remote Access Service, RAS)가 발견된다. RAS는 원격지의 사용자들이 모뎀 포트를 통해 윈도우즈 NT/2000의 RAS 서버로 전화접속하여 마치 직접적으로 연결된 것처럼 RAS 서버의 네트워크 자원들을 사용할 수 있도록 해 준다. 네트워크상의 어떤 사용자는 RAS를 이용하여 원격지로부터 네트워크을 액세스하고 있을 수 있다. 이것은 공격자들에게 필요한 보안설비들을 우회할 수 있는 진입점을 제공할 수 있다. * 참고 사이트: http://www.iss.net/security_center/static/16.php http://www.att.com/isc/docs/war_dial_detection.pdf * 알림: 이 점검항목은 점검하기 위한 원격지 호스트에 로그인할 수 있는 Guest 혹은 그 이상의 권한을 가진 계정을 필요로 한다. 이러한 조건이 안되면 점검을 수행할 수 없으며 모든 취약한 호스트들에 대해서 거짓 음성반응(False Negative)을 보일 수 있다. * 영향을 받는 플랫폼: Microsoft Windows Any version 해결책 필요하지 않다면 원격 액세스 서비스(Remote Access Service, RAS)를 작동중지시키거나, 혹은 내부로의 전화접속을 허용하지 않게 RAS를 설정한다. 허용된 RAS 호스트가 있다면 시스템을 보다더 안전하게 운영할 수 있는 방법을 사용해야 한다. 예를들어, RAS를 잘 설정하여 사용자들이 자동적으로 "되걸기(calling-back)"에 의해서만 접속되도록 할 수 있다. 이것은 해당 RAS 호스트를 경유하여 액세스를 얻는 사용자의 전화번호를 확실하게 알아둘 수 있는 방법이다. * 원격 액세스 서비스(Remote Access Service)를 '중지'하거나 '사용안함'으로 설정 윈도우즈 NT에서 서비스를 '중지'하거나 '사용안함'으로 설정하기: 1. 윈도우즈 NT '시작' 메뉴에 있는 '설정'에서 '제어판', '서비스'를 오픈한다. 2. 리스트로부터 해당 서비스를 선택한다. 3. '중지'를 클릭한다. 4. 서비스가 중지되고 나면, '시작유형'을 클릭하고 다음 옵션들 중 하나를 선택한다. o 영구적으로 서비스를 작동중지시키기 위해서는 '사용안함'을 클릭한다. o 사용자나 프로그램에 의해 수동으로 작동되지 않을 때 서비스를 끄놓기 위해서는 '수동'을 클릭한다. 5. '확인'을 클릭한 후, '닫기'를 클릭한다. 윈도우즈 2000에서 'Routing and Remote Access' 서비스를 중지하기: 1, '시작' 메뉴에서 '프로그램', '관리도구', '서비스', 'Routing and Remote Access'를 선택한다. 2. 리스트로부터 해당 서비스를 선택한다. 3. '중지'를 클릭한다. 4. 서비스가 중지되고 나면, '시작유형'을 클릭하고 다음 옵션들 중 하나를 선택한다. o 영구적으로 서비스를 작동중지시키기 위해서는 '사용안함'을 클릭한다. o 사용자나 프로그램에 의해 수동으로 작동되지 않을 때 서비스를 꺼놓기 위해서는 '수동'을 클릭한다. 5. '확인'을 클릭한 후, '닫기'를 클릭한다. 윈도우즈 XP, 2003, VISTA, 7, 2008, 8, 2012, 10, 2016, 2019에서 'Routing and Remote Access' 서비스를 중지하기: 1. 시작 -> 실행에서 'services.msc'를 실행 후 'Routing and Remote Access'를 선택한다. 2. '중지'를 클릭한다. 3. 서비스가 중지되고 나면, '시작유형'을 클릭하고 다음 옵션들 중 하나를 선택한다. O 영구적으로 서비스를 작동중지시키기 위해서는 '사용안함'을 클릭한다. O 사용자나 프로그램에 의해 수동으로 작동되지 않을 때 서비스를 꺼놓기 위해서는 '수동'을 클릭한다. 4. '확인'을 클릭한 후, '닫기'를 클릭한다. -- 그리고 -- '네트웍 제어판'에서 시스템의 'Remote Access Services' 제거하기: 윈도우 NT에서의 네트웍 서비스 제거: 1. 윈도우 NT '시작' 메뉴에서 '설정', '제어판', '네트웍'을 오픈한다. 2. '서비스' 탭을 클릭한다. 3. 제거하고자 하는 서비스를 선택한다. 4. '제거'를 클릭하여 제거를 확인한다. 5. '확인'을 클릭하여 '네트웍 제어판'을 닫는다. 또는 cmd 창에서 sc delete '삭제할 서비스명' -- 혹은 -- 만약 RAS가 필요하다면 'Dial-in' 옵션을 허용하지 말아야 한다. 이 행위는 취약점을 제거하지는 않지만 내부로의 전화접속에 대해 RAS를 좀더 안전하게 해 준다. 윈도우 NT에서 RAS에 대한 'Dial-in'을 작동중지하기: 1. 네트웍 제어판을 오픈한다. 윈도우즈 NT '시작' 메뉴에서 '설정', '제어판', '네트웍'을 선택한다. 2. '서비스' 탭에서 'Remote Access Services'를 선택한다. 3. '등록정보'를 클릭한다. 4. 설정하고자 하는 통신장치를 선택한다. 5. '설정'을 클릭한다. 6. '포트 사용하기'를 'Dial Out'으로만 설정하고 '확인'을 클릭한다. 7. 다른 통신장치들에 대해서도 4에서 6까지의 단계를 거친다. 윈도우즈 2000 서버에서 RAS에 대한 'Dial-in'을 작동중지하기: 1. 명령행 프롬프트에서 rrasmgmt.msc (Routing and Remote Access 관리 콘솔)를 실행시킨다. 2. 작동중지시키고자 하는 RAS 서버를 클릭한다. 3. 하위 설정 옵션인 '포트(Ports)'상에서 오른쪽 마우스 버튼을 클릭하고 '등록정보'를 선택한다. 4. '장치' 탭을 클릭하고 난 뒤, 설정을 원하는 '통신장치'를 선택한다. 5. '설정'을 클릭한다. 6. 원격 액세스 접속 체크박스(inbound only)에서 체크를 없앤다. 7. 다른 통신장치들에 대해서도 4에서 6까지의 단계를 거친다. 관련 URL (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)