SNMP community string 복잡성 설정
취약점 개요
■ 위험도
- 상
■ 점검 목적
- SNMP Community String을 공격자가 쉽게 유추하지 못하도록 설정하여 Community String 탈취에 대한 위험을 줄이기 위함
■ 보안 위협
- SNMP Community String 을 기본 설정(public, private) 또는 유추하기 쉽게 설정하여 사용하는 경우, 공격자가 자동화된 방법을 통하여 community string을 탈취하여 서비스거부공격(DoS), 비인가 접속, MIB 값 수정 등 다양한 공격을 할 수 있음
점검 및 조치 방법
■ 판단 기준
- 양호 : SNMP 서비스를 사용하지 않거나, 유추하기 어려운(영문자, 숫자 포함 10자) Community String을 설정한 경우
- 취약 : 디폴트 Community String을 변경하지 않거나, 유추하기 쉬운 Community String으로 설정한 경우
■ 조치 방법
- Public, Private 외 유추하기 어려운 Community String을 설정
ㆍCISCO
Router# show running-config
SNMP 설정 확인
ㆍAlteon, Passport
#snmp 설정에서 Community String 설정 확인
ㆍJuniper
user@juniper > configure
[edit]
user@juniper # show
root authentication 설정을 이용하여 [edit system] 레벨에서 community string 확인
■ 장비별 조치 방법 예시
ㆍCISCO
Step 1) Community String 문자열 변경
Router # config terminal
Router(config) # snmp-server Community <커뮤니티명>
ㆍAlteon
네트워크 장비는 SNMP 취약성이 존재하므로 누구나 추측하기 어렵고 의미가 없는 문자열, 영문자 혼합으로 변경 권고함
Step 1) switch 접속
Step 2) # cfg/sys/snmp
Step 3) 다음 중에 해당하는 경우 선택
# rcomm - SNMP read community string 을 설정
(최대 32자, Default String - public)
# wcomm - SNMP write community string 을 설정
(최대 32자, Default String - private)
Step 4) # apply
Step 5) # save
ㆍPassport
Step 1) switch로 접속
Step 2) # config snmp-v3 community commname <Comm Idx> new-commname <value>
■ 용어정리/팁
- Community String은 영숫자, 문자, 하이픈, 밑줄 및 마침표를 사용할 수 있지만, 기타 모든 특수 문자를 사용할 수 없음