S-16 SNMP Community String 복잡성 설정
■ 점검영역 : 기능관리
■ 항목 중요도 : 상
■ 점검내용
SNMP Community String 이 유추하기 어렵게 설정되어 있는지 점검
■ 점검목적
SNMP Community String 을 유추하기 어렵도록 설정하여 네트워크상에서 시스템 정보가 비인가자에게 노출되지 않도록 함
■ 보안위협
SNMP의 Public, Private과 같은 디폴트 Community String이 변경되지 않고 그대로 사용될 경우, 악의적인 사용자가 장비 설정을 쉽게 변경(RW)하여 중요 시스템 정보가 노출될 수 있는 위험이 존재함
■ 참고
※ SNMP 버전: v1, v2 ,v3 이 존재하는데 v1, v2 는 community string을 평문 전송하지만 v3 은 암호화가 설정되어 해쉬 값으로 전송함
점검대상 및 판단기준
■ 대상 : 방화벽, IPS, VPN, IDS, Anti-DDoS, 웹방화벽 등
양호
SNMP 서비스를 사용하지 않거나, 유추하기 어려운 community string을 설정한 경우
취약
디폴트 community string을 변경하지 않거나, 유추하기 쉬운 community string을 설정한 경우
■ 조치방법
유추하기 어려운 community string을 설정
점검 및 조치 방법
■ 점검방법
Step 1) 보안장비의 SNMP 설정 메뉴에서 커뮤니티 스트링 확인
■ 조치방법
Step 1) 보안 장비는 SNMP 취약성이 존재하므로 누구나 추측하기 어렵고 의미가 없는 문자열, 영문자 혼합으로 변경 권고
Step 2) 보안장비의 SNMP 설정에서 커뮤니티 이름 변경
■ 조치 시 영향 : 일반적인 경우 영향 없음