[네트워크 장비 취약점 진단] SNMP 커뮤니티 권한 설정
- 정보보안/네트워크
- 2022. 9. 2.
N-10 SNMP 커뮤니티 권한 설정
■ 점검영역 : 기능 관리
■ 항목 중요도 : 상
■ 점검내용
SNMP 커뮤니티에 반드시 필요하지 않은 쓰기 권한을 허용하는지 점검
■ 점검목적
불필요한 SNMP 커뮤니티의 쓰기 권한을 제거함으로써 공격자의 SNMP를 통한 라우터 정보 수정을 막기 위함
■ 보안위협
SNMP 커뮤니티 권한이 불필요하게 RW로 설정되어 있으면, 공격자가 Community String 추측 공격을 통해 Community String을 탈취했을 시 SNMP를 이용하여 네트워크 설정 정보를 변경하여 내부망 침투가 가능해
짐
■ 참고
※ SNMP Community String 권한에는 RO(Read Only)와 RW(Read Write) 모드가 있으며 RO 모드의 경우 네트워크 설정 값에 대한 열람만 가능하고 RW 모드는 열람 및 수정을 할 수 있음
점검대상 및 판단기준(네트워크 취약점 진단)
■ 대상 : Cisco, Alteon, Passport, Juniper, Piolink 등
양호
SNMP 커뮤니티 권한이 읽기전용(RO)인 경우
취약
SNMP 커뮤니티 권한이 불필요하게 읽기쓰기(RW)인 경우
■ 조치방법
SNMP Community String 권한 설정 (RW 권한 삭제 권고)
점검 및 조치 방법(파이오링크, 시스코, 주니퍼)
■ 장비별 점검방법 예시
Cisco IOS
Router# show running-config
SNMP 설정 확인
Passport
config snmp 에서 SNMP community 권한 확인
Juniper Junos
[edit]
user@host# show
root authentication 설정을 이용하여 [edit system] 레벨에서 SNMP community 권한 확인
■ 장비별 조치방법 예시
Cisco IOS
Step 1) SNMP Community String 권한 설정 방법 (RW 권한 삭제 권고)
Router# config terminal
Router(config)# snmp-server community <스트링명> RO
Router(config)# snmp-server community <스트링명> RW
Juniper Junos
Step 1) 읽기쓰기 권한을 설정한 SNMP 커뮤니티 삭제
[edit snmp]
user@host# delete community <커뮤니티>
Step 2) 읽기전용 권한으로 SNMP 커뮤니티 설정
[edit snmp]
user@host# set community <커뮤니티> authorization read-only
Step 3) SNMPv3는 SNMP 그룹에 읽기쓰기 권한 제거
[edit snmp v3 vacm access]
user@host# delete group <그룹> default-context-prefix security-model
<보안모델> security-level <보안레벨> write-view
Passport
SNMP Community String 권한 설정 방법 (RW 권한 삭제 권고)
# config snmp-v3 community create <Comm Idx> <name> <security> [tag
<value>]
# config snmp-v3 group-member create <user name> <model> [<group name>]
# config snmp-v3 group-access create <group name> <prefix> <model>
<level>
# config snmp-v3 group-access view <group name> <prefix> <model>
<leve> [read <value>] [write <value>] [notify <value>]
Radware Alteon
>> Main# /cfg/sys/access/snmp
Current SNMP access: read-write
Enter new SNMP access (disabled/read-only/read-write) [d/r/w]: r
>> Main# apply
Piolink PLOS
switch# configure
switch(config)# snmp
switch(config-snmp)# policy read-only
switch(config-snmp)# apply
■ 조치 시 영향 : 일반적인 경우 영향 없음