[네트워크 장비 취약점 진단] SNMP community string 복잡성 설정
- 정보보안/네트워크
- 2022. 8. 31.
N-08 SNMP community string 복잡성 설정
■ 점검영역 : 기능 관리
■ 항목 중요도 : 상
■ 점검내용
SNMP 서비스 사용 시 Community String을 기본 설정(public, private)으로 사용하고 있는지 점검
■ 점검목적
SNMP Community String을 공격자가 쉽게 유추하지 못하도록 설정하여 Community String 탈취에 대한 위험을 줄이기 위함
■ 보안위협
SNMP Community String을 기본 설정(public, private) 또는 유추하기 쉽게 설정하여 사용하는 경우, 공격자가 자동화된 방법을 통하여 community string을 탈취하여 서비스거부공격(DoS), 비인가 접속, MIB 값 수정 등 다양한 공격을 할 수 있음
■ 참고
※ Community String은 영숫자, 문자, 하이픈, 밑줄 및 마침표를 사용할 수 있지만, 기타 모든 특수 문자를 사용할 수 없음
점검대상 및 판단기준(네트워크 취약점 진단)
■ 대상 : Cisco, Alteon, Passport, Juniper, Piolink 등
양호
SNMP 서비스를 비활성화하거나 SNMP 커뮤니티 스트링을 유추하기 어렵게 설정한 경우
취약
SNMP 커뮤니티 스트링을 디폴트 또는 유추하기 쉽게 설정한 경우
■ 조치방법
Public, Private 외 유추하기 어려운 Community String을 설정
점검 및 조치 방법(파이오링크, 시스코, 주니퍼)
■ 장비별 점검방법 예시
Cisco IOS
Router# show running-config
SNMP 설정 확인
Radware Alteon / Passport
#snmp 설정에서 Community String 설정 확인
Juniper Junos
[edit]
user@host# show
snmp community 설정에서 community string 확인
Piolink PLOS
switch# show running-config
snmp community 설정에서 community string 확인
■ 장비별 조치방법 예시
Cisco IOS
Step 1) Community String 문자열 변경
Router# config terminal
Router(config)# snmp-server Community <커뮤니티>
Radware Alteon
# cfg/sys/ssnmp
# rcomm - SNMP read community string 을 설정
(최대 32 자, Default String – public)
# wcomm - SNMP write community string 을 설정
(최대 32 자, Default String – private)
# apply
# save
Passport
# config snmp-v3 community commname <Comm Idx> new-commname <value>
Juniper Junos
[edit]
user@host# set snmp community <커뮤니티> authorization read-only
Piolink PLOS
switch# configure
switch(config)# snmp
switch(config-snmp)# community <커뮤니티>
switch(config-snmp)# status enable
switch(config-snmp)# apply
■ 조치 시 영향 : 일반적인 경우 영향 없음