※ 해당 가이드는 2017년 기준입니다.
주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다.
주요정보통신기반시설 취약점 네트워크 장비 점검 항목
■ 취약점 개요
○ 점검개요 : 네트워크 장비에 사용하지 않는 SNMP 서비스가 구동되고 있거나 SNMP 서비스 사용 시 암호화가 지원되는 버전을 사용하고 있는지 점검
○ 점검목적 : 불필요한 SNMP 서비스 차단 및 보안에 취약한 SNMP 버전의 사용을 방지함으로써 SNMP 서비스의 취약점(조작된 MIB 정보를 통한 네트워크 설정 변경, 전송 데이터 평문전송 등)을 이용한 공격을 차단
○ 보안위협 : SNMP v3 아래 버전을 사용할 경우, 요청 및 응답 패킷이 평문으로 전송되어 공격자가 스니핑을 할 경우 Community String을 획득할 수 있으며 획득한 Community String을 이용하여 환경 설정 파일 열람 및 수정이나 정보 수집 및 관리자 권한 획득, DoS 등 다양한 형태의 공격이 가능
○ 점검대상 : CISCO, Alteon, Passport, Juniper 등
○ 판단기준
- 양호 : SNMP v3이상 버전을 사용하거나 서비스를 사용하지 않는 경우
- 취약 : SNMP v2이하 버전을 사용하거나 불필요하게 서비스를 활성화한 경우
■ 점검방법
○ 장비별 점검방법 예시
| CISCO | Router# show running-config Router# show snmp SNMP 설정 확인 SNMP 서비스 동작 확인 ※SNMP 서비스 비활성화 시 아래 문구 출력 ! %SNMP agent not enabled ! |
| Juniper | user@juniper> configure [edit] user@juniper# show snmp root authentication 설정을 이용하여 [edit system] 레벨에서 snmp 서비스 설정 확인 |
■ 조치방안
○ CISCO
| Step 1 | Router# config terminal Router(config)# no snmp-server Router(config)# ^Z |
○ PiolinkAlteon, Passport
| Step 1 | SNMP 서비스가 불필요하다면 서비스 중지 |
○ Juniper
| Step 1 | user@juniper> configure user@juniper# no set snmp community public |
■ 조치 시 영향
SNMP 서비스에 영향을 미칠 가능성이 존재
■ SNMP(Simple Network Management Protocol)
○ TCP/IP 기반 네트워크상의 각 호스트에서 정기적으로 여러 정보를 자동으로 수집하여 네트워크 관리를 하기 위한 프로토콜을 의미하며 vl, v2, v3 세 가지 버전이 존재하는데 v2까지도 요청, 응답 패킷이 평문으로 전송되기 때문에 스니핑이 가능하지만 v3 이상부터는 HMAC-MD5 또는 HMAC-SHA 알고리즘 기반의 인증을 제공
■ UDP
○ 사용자 데이터그램 프로토콜(User Datagram Protocol)의 줄임말로 인터넷상에서 서로 정보를 주고받을 때 정보를 보낸다는 신호나 받는다는 신호 절차를 거치지 않고, 보내는 쪽에서 일방적으로 데이터를 전달하는 통신 프로토콜
■ Community String
○ SNMP는 MIB라는 정보를 주고받기 위해 인증 과정에서 일종의 비밀번호인 ‘Community String’을 사용
■ DoS(Denial of Service)
○ 시스템을 악의적으로 공격해 해당 시스템의 자원을 부족하게 하여 원래 의도된 용도로 사용하지 못하게 하는 공격을 말하며 특정 서버에게 수많은 접속 시도를 만들어 다른 이용자가 정상적으로 서비스 이용을 하지 못하게 하거나, 서버의 TCP 연결을 바닥내는 등의 공격이 이 범위에 포함
'취약점 진단 가이드 > 네트워크 진단 가이드' 카테고리의 다른 글
| N-18(상) SNMP ACL 설정 (0) | 2021.06.09 |
|---|---|
| N-17(상) SNMP community string 복잡성 설정 (0) | 2021.06.09 |
| N-15(하) timestamp 로그 설정 (0) | 2021.06.08 |
| N-14(중) NTP 서버 연동 (0) | 2021.06.07 |
| N-13(중) 정책에 따른 로깅 설정 (0) | 2021.06.07 |