[네트워크 장비 취약점 진단] SNMP community string 복잡성 설정

 

 

N-08 SNMP community string 복잡성 설정

 

■ 점검영역 : 기능 관리

 

■ 항목 중요도 : 상

 

■ 점검내용

 

SNMP 서비스 사용 시 Community String을 기본 설정(public, private)으로 사용하고 있는지 점검

 

■ 점검목적

 

SNMP Community String을 공격자가 쉽게 유추하지 못하도록 설정하여 Community String 탈취에 대한 위험을 줄이기 위함

 

■ 보안위협

 

SNMP Community String을 기본 설정(public, private) 또는 유추하기 쉽게 설정하여 사용하는 경우, 공격자가 자동화된 방법을 통하여 community string을 탈취하여 서비스거부공격(DoS), 비인가 접속, MIB 값 수정 등 다양한 공격을 할 수 있음

 

■ 참고

 

※ Community String은 영숫자, 문자, 하이픈, 밑줄 및 마침표를 사용할 수 있지만, 기타 모든 특수 문자를 사용할 수 없음

 

 

점검대상 및 판단기준(네트워크 취약점 진단)

 

■ 대상 : Cisco, Alteon, Passport, Juniper, Piolink 등

 

양호

SNMP 서비스를 비활성화하거나 SNMP 커뮤니티 스트링을 유추하기 어렵게 설정한 경우

 

취약

SNMP 커뮤니티 스트링을 디폴트 또는 유추하기 쉽게 설정한 경우

 

■ 조치방법

 

Public, Private 외 유추하기 어려운 Community String을 설정

 

 

점검 및 조치 방법(파이오링크, 시스코, 주니퍼)

 

■ 장비별 점검방법 예시

 

Cisco IOS

Router# show running-config
SNMP 설정 확인

Radware Alteon / Passport

 

#snmp 설정에서 Community String 설정 확인

Juniper Junos

 

[edit]
user@host# show
snmp community 설정에서 community string 확인

Piolink PLOS

 

switch# show running-config
snmp community 설정에서 community string 확인

 

 

■ 장비별 조치방법 예시

 

Cisco IOS

 

Step 1) Community String 문자열 변경
Router# config terminal
Router(config)# snmp-server Community <커뮤니티>

Radware Alteon

 

# cfg/sys/ssnmp
# rcomm - SNMP read community string 을 설정
(최대 32 자, Default String – public)
# wcomm - SNMP write community string 을 설정
(최대 32 자, Default String – private)
# apply
# save

Passport
# config snmp-v3 community commname <Comm Idx> new-commname <value>

Juniper Junos

 

[edit]
user@host# set snmp community <커뮤니티> authorization read-only

Piolink PLOS

 

switch# configure
switch(config)# snmp
switch(config-snmp)# community <커뮤니티>
switch(config-snmp)# status enable
switch(config-snmp)# apply

 

 

■ 조치 시 영향 : 일반적인 경우 영향 없음