주제

이 문서에서는 BIG-IP 시스템의 보안이 손상되었다고 생각하는 경우 고려해야 할 사항에 대한 기본 지침을 제공하고 기업 보안 정책에 따라 권장 사항을 제공합니다.

설명

BIG-IP 시스템이 손상된 것으로 의심되면 즉시 해당 사건을 처리하는 조직의 그룹(일반적으로 IT)에 알립니다. 기존의 정의된 프로세스 또는 정책에 따라 진행하거나 그룹의 권장 사항을 사용합니다.

내부 프로세스 또는 정책은 환경과 관련된 특정 조치를 지시하며 다음과 같은 즉각적인 조치를 포함할 수 있습니다.

  • 네트워크의 나머지 부분에서 손상된 상자 격리
  • 시스템을 새로 설치하여 맬웨어 제거
  • 감염되지 않고 재감염을 허용하는 구성이 포함되지 않은 백업으로 구성 복구
  • 보안 취약점의 근본 원인 조사

다음 목록은 보안이 손상되고 있는 일반적인 지표를 제공합니다. 목록이 포괄적이지 않습니다.

  • TPM(신뢰할 수 있는 플랫폼 모듈)이 있는 플랫폼에서 한 가지 지표는 플랫폼 구성 레지스터(PCR) 값이 F5에서 게시한 값과 일치하지 않는다는 것입니다. PCR과 공개된 F5 값 비교에 대한 자세한 내용은 다음 문서를 참조하십시오.

  • 일반적으로 BIG-IP 소프트웨어를 업그레이드하면 PCR 값이 변경됩니다. 업그레이드 후 BIOS 버전을 확인한 다음 값을 비교합니다. BIOS 버전 확인에 대한 자세한 내용은 K14212: BIG-IP 시스템(11.x)용 BIOS 버전 정보 표시 를 참조하십시오 .

  • BIG-IP 시스템은 알려지지 않은 프로세스를 실행합니다.
  • 일반적으로 장치가 봇넷의 일부임을 나타내는 장치 생성 트래픽의 급증이 있습니다.
  • /etc/init.d 에 알 수 없는 항목이 있습니다 시스템이 종료되면 악의적인 프로세스가 다시 시작되도록 하는 데 사용될 수 있습니다.
  • 다양한 cron 파일이 추가되었습니다. 예를 들어 루트 사용자 crontab은 업데이트되지 않습니다.
    • /etc 의 cron 파일에 대한 파일 수정 시간을 확인하여 시스템 crontab을 확인할 수 있습니다 예:
      ls -lt /etc/cron*
    • /var/spool/cron/root 의 파일 수정 시간을 보면 root 사용자 crontab을 확인할 수 있습니다 예:
      ls -lt /var/spool/cron/root
  • lsof 명령 을 실행하여 볼 수 있는 승인되지 않은 서버에 대한 아웃바운드 연결이 있습니다 .
  • /boot/ 또는 /tmp/ 디렉토리 에서 실행 중인 파일이나 프로세스가 있습니다 .
  • /usr/local/www 와 같은 예기치 않은 디렉토리에 새 파일이 생성됩니다 .
  • 새로운 숨김 파일은 예상치 못한 임의의 파일 이름으로 생성됩니다. 마침표( . ) 로 시작하는 모든 Unix 파일 이름 은 숨겨진 파일을 나타냅니다.
    • find  명령 을 사용하여 숨김 파일을 검색할 수 있습니다 . 예:
      /usr/local/www -type f -name '.*' 찾기 
  • /var/log/httpd/httpd_errors 의 예기치 않은 로그 항목(예: 파일이 존재하지 않음  오류) 은 정찰 또는 시스템 악용 시도를 나타낼 수 있지만 반드시 성공적인 악용을 나타내지는 않습니다.
    • BIG-IP 14.1.0 이상에서는 journalctl /bin/logger 를 실행하는 이러한 로그 항목을 찾을 수 있습니다 systemd 저널 은 20MB로 제한되어 있으므로 로그 항목을 빠르게 회전할 수 있습니다.

보안 침해의 대부분은 다음 문제 중 하나 또는 둘 모두의 결과입니다.

  • 관리 또는 자체 IP가 공용(및 포트 443이 열려 있음)이거나 트래픽이 NAT(네트워크 주소 변환)를 통해 해당 포트로 다시 라우팅되기 때문에 인터넷에 액세스할 수 있는 관리 또는 자체 IP 관리 포트가 있습니다.
  • 취약하거나 기본 암호를 사용하고 있습니다.

권장 사항

시스템을 복구하려면 다음 권장 사항을 고려하십시오.

중요 : F5는 조직에 특정한 사고 처리 절차에 대한 지침은 기업 보안 정책을 참조할 것을 강력히 권장합니다. 보다 구체적으로, 시스템 복구를 시도하기 전에 정책을 검토하여 보안 사고에 대한 증거 수집 절차를 준수하는지 확인하십시오.

  • 시스템을 새로 설치합니다.

    자세한 내용은 K13117: BIG-IP 11.x - 17.x 새로 설치 수행 을 참조하십시오 .

  • 새로 설치를 수행하고 보안이 손상되기 전에 만든 UCS(사용자 구성 집합) 파일에서 구성을 복원합니다.

    자세한 내용은  K13132: UCS 아카이브로 BIG-IP 구성 파일 백업 및 복원 을 참조하십시오 .

  • 시스템을 보호하고 새로 설치가 손상되지 않도록 조치를 취하십시오.
  • 보안이 손상되기 전에 만든 UCS 파일이 없는 경우 구성을 처음부터 다시 빌드하는 것을 심각하게 고려하십시오.
  • 시스템에 설치된 모든 보안 키, 인증서 및 자격 증명이 손상될 수 있으므로 손상되었다고 가정하는 것이 현명할 수 있습니다. 회사 보안 정책에 따라 다시 생성하십시오.
  • TPM이 있는 플랫폼에서 PCR 값이 F5 게시 값과 일치하지 않고 오탐으로 인한 것이 아님을 확인한 경우 F5 지원을 통해 사례를 엽니다.
    • 자세한 내용은 K2633: F5에 지원 사례 제출 지침을 참조하세요 .
    • PCR 값을 검사하여 공격자의 변조가 확인되면 F5 Consulting Services 또는 F5 Sales 팀에 하드웨어 교체를 의뢰하십시오.

F5는 보안 취약점을 해결하기 위해 최선을 다하고 있습니다. F5는 포렌식 서비스를 제공하지 않지만 F5 지원은 로그 내용을 기반으로 지원하거나 완화 또는 복구 정보를 제공하기 위해 노력합니다.

F5 Support가 할 수 있는 일:

  • F5 서비스 권고 문서 의 손상 지표 섹션 에서 식별된 문제를 지원합니다 .
  • 시스템의 로그 메시지에 대한 질문에 답합니다.
  • 시스템에 대한 액세스 보안을 지원합니다.
  • 예를 들어 사용 가능한 시스템 유틸리티에 대한 확인이 필요하거나 드라이브 파티셔닝 또는 RAID 설정에 대한 정보가 필요한 경우 법의학 회사와의 협력을 지원합니다.

참고문서: https://support.f5.com/csp/article/K11438344