U-65(중) SNMP 서비스 구동 점검

주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다.

주요정보통신기반시설 취약점 Unix 점검 항목

■ 취약점 개요

○ 점검개요 : SNMP 서비스 활성화 여부 점검

○ 점검목적 : 불필요한 SNMP 서비스 활성화로 인해 필요 이상의 정보가 노출되는 것을 막기 위해 SNMP 서비스를 중지

○ 보안위협 : SNMP 서비스로 인하여 시스템의 주요 정보 유출 및 정보의 불법수정이 발생 가능

○ 점검대상 : SOLARIS, LINUX, AIX, HP-UX 등

○ 판단기준

- 양호 : FTP 서비스가 비활성화 되어 있거나, 활성화 시 root 계정 접속을 차단한 경우

- 취약 : FTP 서비스가 활성화 되어 있고, root 계정 접속을 허용한 경우

 

■ 점검방법

○ OS별 점검 파일 위치 및 점검 방법

SOLARIS	#ps -ef | grep snmp 또는 #svcs -a | grep snmp
LINUX, AIX, HP-UX	#ps -ef | grep snmp

※ 불필요한 “SNMP” 서비스를 사용하지 않는 경우 중지한다.

 

■ 조치방안

○ SOLARIS 5.9 이하

Step 1	ps -ef | grep snmp로 검색하여 위치 확인 후 이름 변경
Step 2	#/etc/init.d/init.snmpdx stop
Step 3	#mv /etc/rc3 .d/S76snmpdx /etc/rc3 . d/_S7 6snmpdx(rc*/_S**snmpdx 의 *수치는 각각 상이)

 

○ SOLARIS 5.10

Step 1	svcs -a | grep snmp 명령으로 데몬 확인
Step 2	데몬 활성화 확인 #ps ef | grep snmp 또는 #svcs -a | grep snmp
Step 3	svcadm disable 명령으로 데몬 중지 (예) svcadm disable svc:/application/management/snmpdx svcadm disable svs:/application/management/dmi:default

○ LINUX

Step 1	ps -ef | grep snmp로 검색 root 2028 1 0 Nov 24 ? Nov 24 ? 0:00 /usr/sbin/snmpdm
Step 2	snmp 사용하지 않을 시 서비스 중지 #service snmpd stop

○ AIX

Step 1	#kill -9 [PID]
Step 2	vi /etc/rc.tcpip 실행하여 다음 라인 #처리(주석처리) (수정 전)start /usr/sbin/snmpd “$src_running” (수정 후)#start /usr/sbin/snmpd “$src_running”

○ HP-UX

Step 1	#kill -9 [PID] 또는 /sbin/SnmpAgtStart. d/S5 60SnmpMaster stop
Step 2	mv /sbin/SnmpAgtStart.d/S560SnmpMaster/sbin/SnmpAgtStart.d/_S560SnmpMaster

 

■ 조치 시 영향

일반적인 경우 무관

 

■ SNMP(Simple Network Management Protocol)

○ TCP/IP 기반 네트워크상의 각 호스트에서 정기적으로 여러 정보를 자동으로 수집하여 네트워크 관리를 하기 위한 프로토콜을 의미

 

■ 기반시설 시스템에서 SNMP 서비스의 이용

○ 기반시설 시스템에서 SNMP 서비스의 이용은 원칙적으로 금지하나, 부득이 해당 기능을 활용해야 하는 경우 기본 Community String 변경, 네트워크 모니터링 등의 보안 조치를 반드시 적용

 

■ 관련 점검 항목

○ U-66(중)