N-17(상) SNMP community string 복잡성 설정

※ 해당 가이드는 2017년 기준입니다.

주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다.

주요정보통신기반시설 취약점 네트워크 장비 점검 항목

■ 취약점 개요

○ 점검개요 : SNMP 서비스 사용 시 Community String을 기본 설정(public, private)으로 사용하고 있는지 점검

○ 점검목적 : SNMP Community String을 공격자가 쉽게 유추하지 못하도록 설정하여 Community String 탈취에 대한 위험을 줄이기 위한 목적

○ 보안위협 : SNMP Community String을 기본 설정(public, private) 또는 유추하기 쉽게 설정하여 사용하는 경우, 공격자가 자동화된 방법을 통하여 community string을 탈취하여 서비스거부공격(DoS), 비인가 접속, MIB 값 수정 등 다양한 공격이 가능

○ 점검대상 : CISCO, Alteon, Passport, Juniper 등

○ 판단기준

- 양호 : SNMP 서비스를 사용하지 않거나, 유추하기 어려운(영문자, 숫자 포함 10자) Community String을 설정한 경우

- 취약 : 디폴트 Community String을 변경하지 않거나, 유추하기 쉬운 Community String으로 설정한 경우

 

■ 점검방법

○ 장비별 점검방법 예시

CISCO	Router# show running-config SNMP 설정 확인
Alteon, Passport	#snmp 설정에서 Community String 설정 확인
Juniper	user@juniper> configure [edit] user@juniper# show root authentication 설정을 이용하여 [edit system] 레벨에서 community string 확인

 

■ 조치방안

○ CISCO

Step 1

Community String 문자열 변경   Router# config terminal Router(config)# snmp-server Community <커뮤니티명>

○ Alteon

Step 1

SNMP 서비스가 불필요하다면 서비스 중지

○ Juniper네트워크 장비는 SNMP 취약성이 존재하므로 누구나 추측하기 어렵고 으|미가 없는 문자열, 영문자 혼합으로 변경 권고

Step 1	switch로 접속
Step 2	# cfg/sys/ssnmp
Step 3	다음 중에 해당하는 경우 선택   # rcomm - SNMP read community string을 설정(최대 32 자, Default String - public)   # wcomm - SNMP write community string을 설정(최대 32 자, Default String - private)

Step 4	# apply
Step 5	# save

○ Passport

Step 1	switch로 접속
Step 2	# config snmp-v3 community commname <Comm Idx> new-commname <value>

 

■ 조치 시 영향

일반적인 경우 무관

■ Community String

○ Community String은 영숫자, 문자, 하이픈, 밑줄 및 마침표를 사용할 수 있지만, 기타 모든 특수 문자를 사용 불가