[네트워크 장비 취약점 진단] SNMP ACL 설정
- 정보보안/네트워크
- 2022. 8. 31.
N-09 SNMP ACL 설정
■ 점검영역 : 기능 관리
■ 항목 중요도 : 상
■ 점검내용
SNMP 서비스 사용 시 네트워크 장비 ACL(Access list)을 설정하여 SNMP 접속 대상 호스트를 지정하여 접근이 가능한 IP를 제한하였는지 점검
■ 점검목적
SNMP ACL 설정을 함으로써 임의의 호스트에서 SNMP 접근을 차단하여 네트워크 정보의 노출을 제한하기 위함
■ 보안위협
비인가자의 SNMP 접근을 차단하지 않을 경우, 공격자가 Community String 추측 공격 후 MIB 정보를 수정하여 라우팅 정보를 변경하거나 터널링 설정을 하여 내부망에 침투할 수 있는 위험이 존재함
■ 참고
-
점검대상 및 판단기준(네트워크 취약점 진단)
■ 대상 : Cisco, Alteon, Passport, Juniper, Piolink 등
양호
SNMP 서비스를 비활성화하거나 SNMP 접근을 제한하는 ACL을 설정한 경우
취약
SNMP 접근을 제한하는 ACL을 설정하지 않은 경우
■ 조치방법
SNMP 접근에 대한 ACL(Access list) 설정
점검 및 조치 방법(파이오링크, 시스코, 주니퍼)
■ 장비별 점검방법 예시
Cisco IOS
Router# show running-config
1. SNMP 설정 확인
2. Access-List 설정 확인
Passport
config snmp-v3에서 접근목록 설정 확인
Juniper Junos
edit snmp에서 접근목록 설정 확인
Piolink PLOS
configuration 모드에서 snmp 접근목록 설정 확인
■ 장비별 조치방법 예시
Cisco IOS
글로벌 구성 모드에서 snmp-server community 명령어로 ACL 적용
Router# config terminal
Router(config)# access-list <ACL 번호> permit <IP 주소>
Router(config)# access-list <ACL 번호> deny any log
Router(config)# snmp-server community <커뮤니티 스트링> RO <ACL 번호>
Passport
# config snmp-v3 community create <Comm Idx> <name> <security> [tag]
# config snmp-v3 group-member create <user name> <model>
[<group name>]
# config snmp-v3 group-access create <group name> <prefix> <model> <level>
# config snmp-v3 group-access view <group name> <prefix> <model>
<leve> [read <value>][write <value>] [notify <value>]
Juniper Junos
[edit snmp]
user@host# edit client-list <client list name>
[edit snmp client-list <client list name>]
user@host# set default restrict
user@host# set <ip address/range>
user@host# up
[edit snmp]
user@host# edit community <community name>
[edit snmp community <community name>]
user@host#set client-list-name <client list name>
Piolink PLOS
Step 1) 시스템 접근 설정 모드에서 SNMP 서비스에 ACL 설정
# configure terminal
(config)# security
(config-security)# system
(config-security-system)# access
(config-security-system-access)# rule <rule-id>
(config-security-system-access-rule[id])# protocol udp
(config-security-system-access-rule[id])# source-ip <IP 주소>
(config-security-system-access-rule[id])# dest-port 161
(config-security-system-access-rule[id])# interface any
(config-security-system-access-rule[id])# policy accept
(config-security-system-access-rule[id])# apply
Step 2) 시스템 접근 제어 기능의 기본 접근 정책을 차단으로 설정
(config-security-access)# default-policy deny
※ 기본 접근 정책을 차단으로 변경하기 전에 관리용 포트(mgmt)와 네트워크 장비의
SSH, ICMP 등 다른 서비스와 프로토콜에 필요한 접근허용 규칙을 모두 설정
■ 조치 시 영향 : 일반적인 경우 영향 없음