[네트워크 장비 취약점 진단] SNMP 서비스 확인
- 정보보안/네트워크
- 2022. 8. 31.
N-07 SNMP 서비스 확인
■ 점검영역 : 기능 관리
■ 항목 중요도 : 상
■ 점검내용
네트워크 장비의 SNMP 서비스를 사용하지 않는 경우 비활성화 상태인지 점검
■ 점검목적
불필요한 SNMP 서비스 차단하여 SNMP 서비스의 취약점(조작된 MIB 정보를 통한 네트워크 설정 변경, 전송데이터 평문전송 등)을 이용한 공격을 차단하기 위함
■ 보안위협
불필요한 SNMP 서비스를 비활성화 하지 않은 경우 비인가자가 SNMP에 무단 접근하여 설정 파일 열람 및 수정이나 정보 수집 및 관리자 권한 획득, DoS 등 다양한 형태의 공격이 가능해 짐
■ 참고
※ SNMP(Simple Network Management Protocol): TCP/IP 기반 네트워크상의 각 호스트에서 정기적으로 여러 정보를 자동으로 수집하여 네트워크 관리를 하기 위한 프로토콜을 의미하며 v1, v2, v3 세 가지 버전이 존재하는데 v2까지도 요청, 응답 패킷이 평문으로 전송되기 때문에 스니핑이 가능하지만 v3 이상부터는 HMAC-MD5 또는 HMAC-SHA 알고리즘 기반의 인증을 제공함
※ UDP: 사용자 데이터그램 프로토콜(User Datagram Protocol)의 줄임말로 인터넷상에서 서로 정보를 주고받을 때 정보를 보낸다는 신호나 받는다는 신호 절차를 거치지 않고, 보내는 쪽에서 일방적으로 데이터를 전달하는 통신 프로토콜을 말함
※ Community String: SNMP는 MIB라는 정보를 주고받기 위해 인증 과정에서 일종의 비밀번호인 'Community String'을 사용함
※ DoS(Denial of Service): 시스템을 악의적으로 공격해 해당 시스템의 자원을 부족하게하여 원래 의도된 용도로 사용하지 못하게 하는 공격을 말하며 특정 서버에게 수많은 접속 시도를 만들어 다른 이용자가 정상적으로 서비스 이용을 하지 못하게 하거나, 서버의 TCP 연결을 바닥내는 등의 공격이 이 범위에 포함됨
점검대상 및 판단기준(네트워크 취약점 진단)
■ 대상 : Cisco, Alteon, Passport, Juniper, Piolink 등
양호
사용하지 않는 SNMP 서비스를 비활성화한 경우
취약
사용하지 않는 SNMP 서비스를 비활성화하지 않은 경우
■ 조치방법
SNMP 서비스를 사용하지 않는 경우 비활성화하고, SNMP 서비스를 사용하는 경우 이전 버전보다 보안 수준이 높은 SNMPv3 사용을 권고
점검 및 조치 방법(파이오링크, 시스코, 주니퍼)
■ 장비별 점검방법 예시
Cisco IOS
Router# show running-config
Router# show snmp
1. SNMP 설정 확인
2. SNMP 서비스 동작 확인
※ SNMP 서비스 비활성화 시 아래 문구 출력
!
%SNMP agent not enabled
!
Radware Alteon
>> Main# /cfg/dump
/c/sys
snmp r (SNMP 서비스 확인)
Juniper Junos
user@host# show snmp
snmp 서비스 설정 확인
Piolink PLOS
switch# show running-config
SNMP 설정 확인
■ 장비별 조치방법 예시
Cisco IOS
Router# config terminal
Router(config)# no snmp-server
Radware Alteon
>> Main# /cfg/sys/access/snmp
Current SNMP access: disabled
Enter new SNMP access (disabled/read-only/read-write) [d/r/w]:
Passport
SNMP 서비스가 불필요하다면 서비스 중지
Juniper Junos
user@host> configure
user@host# no set snmp community public
Piolink PLOS
switch# configure
switch(config)# snmp
switch(config-snmp)# status disable
switch(config-snmp)# apply
■ 조치 시 영향 : 일반적인 경우 영향 없음