[네트워크 장비 취약점 진단] SNMP ACL 설정

 

 

N-09 SNMP ACL 설정

 

■ 점검영역 : 기능 관리

 

■ 항목 중요도 :

 

■ 점검내용

 

SNMP 서비스 사용 시 네트워크 장비 ACL(Access list)을 설정하여 SNMP 접속 대상 호스트를 지정하여 접근이 가능한 IP를 제한하였는지 점검

 

■ 점검목적

 

SNMP ACL 설정을 함으로써 임의의 호스트에서 SNMP 접근을 차단하여 네트워크 정보의 노출을 제한하기 위함

 

■ 보안위협

 

비인가자의 SNMP 접근을 차단하지 않을 경우, 공격자가 Community String 추측 공격 후 MIB 정보를 수정하여 라우팅 정보를 변경하거나 터널링 설정을 하여 내부망에 침투할 수 있는 위험이 존재함

 

■ 참고

 

-

 

 

점검대상 및 판단기준(네트워크 취약점 진단)

 

■ 대상 : Cisco, Alteon, Passport, Juniper, Piolink 등

 

양호

SNMP 서비스를 비활성화하거나 SNMP 접근을 제한하는 ACL을 설정한 경우

 

취약

SNMP 접근을 제한하는 ACL을 설정하지 않은 경우

 

■ 조치방법

 

SNMP 접근에 대한 ACL(Access list) 설정

 

 

점검 및 조치 방법(파이오링크, 시스코, 주니퍼)

 

■ 장비별 점검방법 예시

 

Cisco IOS

 

Router# show running-config
1. SNMP 설정 확인
2. Access-List 설정 확인


Passport
config snmp-v3에서 접근목록 설정 확인


Juniper Junos
edit snmp에서 접근목록 설정 확인


Piolink PLOS
configuration 모드에서 snmp 접근목록 설정 확인

 

 

■ 장비별 조치방법 예시

 

Cisco IOS

글로벌 구성 모드에서 snmp-server community 명령어로 ACL 적용
Router# config terminal

Router(config)# access-list <ACL 번호> permit <IP 주소>
Router(config)# access-list <ACL 번호> deny any log
Router(config)# snmp-server community <커뮤니티 스트링> RO <ACL 번호>


Passport
# config snmp-v3 community create <Comm Idx> <name> <security> [tag]
# config snmp-v3 group-member create <user name> <model>
[<group name>]
# config snmp-v3 group-access create <group name> <prefix> <model> <level>
# config snmp-v3 group-access view <group name> <prefix> <model>
<leve> [read <value>][write <value>] [notify <value>]


Juniper Junos
[edit snmp]
user@host# edit client-list <client list name>
[edit snmp client-list <client list name>]
user@host# set default restrict
user@host# set <ip address/range>
user@host# up
[edit snmp]
user@host# edit community <community name>
[edit snmp community <community name>]
user@host#set client-list-name <client list name>

 


Piolink PLOS

 

Step 1) 시스템 접근 설정 모드에서 SNMP 서비스에 ACL 설정
# configure terminal
(config)# security
(config-security)# system
(config-security-system)# access
(config-security-system-access)# rule <rule-id>
(config-security-system-access-rule[id])# protocol udp
(config-security-system-access-rule[id])# source-ip <IP 주소>
(config-security-system-access-rule[id])# dest-port 161
(config-security-system-access-rule[id])# interface any
(config-security-system-access-rule[id])# policy accept
(config-security-system-access-rule[id])# apply

 

Step 2) 시스템 접근 제어 기능의 기본 접근 정책을 차단으로 설정
(config-security-access)# default-policy deny
※ 기본 접근 정책을 차단으로 변경하기 전에 관리용 포트(mgmt)와 네트워크 장비의
SSH, ICMP 등 다른 서비스와 프로토콜에 필요한 접근허용 규칙을 모두 설정

 

 

조치 시 영향 : 일반적인 경우 영향 없음

 

 

반응형

댓글(0)

Designed by JB FACTORY