[네트워크 장비 취약점 진단] SNMP 커뮤니티 권한 설정

 

 

N-10 SNMP 커뮤니티 권한 설정

 

■ 점검영역 : 기능 관리

 

■ 항목 중요도 :

 

■ 점검내용

 

SNMP 커뮤니티에 반드시 필요하지 않은 쓰기 권한을 허용하는지 점검

 

■ 점검목적

 

불필요한 SNMP 커뮤니티의 쓰기 권한을 제거함으로써 공격자의 SNMP를 통한 라우터 정보 수정을 막기 위함

 

■ 보안위협

 

SNMP 커뮤니티 권한이 불필요하게 RW로 설정되어 있으면, 공격자가 Community String 추측 공격을 통해 Community String을 탈취했을 시 SNMP를 이용하여 네트워크 설정 정보를 변경하여 내부망 침투가 가능해

 

■ 참고

 

※ SNMP Community String 권한에는 RO(Read Only)와 RW(Read Write) 모드가 있으며 RO 모드의 경우 네트워크 설정 값에 대한 열람만 가능하고 RW 모드는 열람 및 수정을 할 수 있음

 

 

점검대상 및 판단기준(네트워크 취약점 진단)

 

■ 대상 : Cisco, Alteon, Passport, Juniper, Piolink 등

 

양호

SNMP 커뮤니티 권한이 읽기전용(RO)인 경우

 

취약

SNMP 커뮤니티 권한이 불필요하게 읽기쓰기(RW)인 경우

 

■ 조치방법

 

SNMP Community String 권한 설정 (RW 권한 삭제 권고)

 

 

점검 및 조치 방법(파이오링크, 시스코, 주니퍼)

 

■ 장비별 점검방법 예시

 

Cisco IOS
Router# show running-config
SNMP 설정 확인


Passport
config snmp 에서 SNMP community 권한 확인


Juniper Junos
[edit]
user@host# show
root authentication 설정을 이용하여 [edit system] 레벨에서 SNMP community 권한 확인

 

 

■ 장비별 조치방법 예시

 

Cisco IOS


Step 1) SNMP Community String 권한 설정 방법 (RW 권한 삭제 권고)
Router# config terminal

Router(config)# snmp-server community <스트링명> RO
Router(config)# snmp-server community <스트링명> RW

 

Juniper Junos

 

Step 1) 읽기쓰기 권한을 설정한 SNMP 커뮤니티 삭제
[edit snmp]
user@host# delete community <커뮤니티>


Step 2) 읽기전용 권한으로 SNMP 커뮤니티 설정
[edit snmp]
user@host# set community <커뮤니티> authorization read-only


Step 3) SNMPv3는 SNMP 그룹에 읽기쓰기 권한 제거
[edit snmp v3 vacm access]
user@host# delete group <그룹> default-context-prefix security-model
<보안모델> security-level <보안레벨> write-view


Passport

 

SNMP Community String 권한 설정 방법 (RW 권한 삭제 권고)
# config snmp-v3 community create <Comm Idx> <name> <security> [tag
<value>]
# config snmp-v3 group-member create <user name> <model> [<group name>]
# config snmp-v3 group-access create <group name> <prefix> <model>
<level>
# config snmp-v3 group-access view <group name> <prefix> <model>
<leve> [read <value>] [write <value>] [notify <value>]


Radware Alteon

 

>> Main# /cfg/sys/access/snmp
Current SNMP access: read-write
Enter new SNMP access (disabled/read-only/read-write) [d/r/w]: r
>> Main# apply
 Piolink PLOS
switch# configure
switch(config)# snmp
switch(config-snmp)# policy read-only
switch(config-snmp)# apply

 

 

조치 시 영향 : 일반적인 경우 영향 없음

 

 

반응형

댓글(0)

Designed by JB FACTORY