콘텐츠로 이동

U-59: 안전한 SNMP 버전 사용

분류: 01_unix

중요도: 상

개요

점검 내용

안전한 SNMP 버전 사용 여부 점검

점검 목적

안전한 SNMP 버전 사용으로 전송되는 데이터를 보호하기 위함

보안 위협

SNMP 버전이 기준보다 낮을 경우, 응답 패킷이 평문으로 전송되어 스니핑 위험이 존재함

참고

SNMP(Simple Network Management Protocol)

TCP/IP 기반 네트워크상의 각 호스트에서 정기적으로 여러 정보를 자동으로 수집하여 네트워크 관리를 하기 위한 프로토콜을 의미하며 v1, v2, v3 세 가지 버전이 존재하는데 v1, v2는 요청 및 응답 패킷이 평문으로 전송되기 때문에 스니핑이 가능하지만 v3 이상부터는 HMAC-MD5 또는 HMAC-SHA 알고리즘 기반의 인증을 제공함

점검 대상 및 판단 기준

대상

SOLARIS, LINUX, AIX, HP-UX 등

판단 기준

✅ 양호: SNMP 서비스를 v3 이상으로 사용하는 경우

❌ 취약: SNMP 서비스를 v2 이하로 사용하는 경우

조치 방법

  • SNMP 서비스를 사용하지 않는 경우 서비스 중지 및 비활성화 설정
  • SNMP 서비스 사용 시 SNMP 버전을 v3 이상으로 적용하도록 설정

조치 시 영향

일반적인 경우 영향 없음

점검 및 조치 사례

SOLARIS, LINUX, AIX, HP-UX

  1. SNMP v3 사용 여부 확인

    # snmpwalk -v3 -l authPriv -u <사용자 이름> -a <사용자 인증 프로토콜> -A <사용자 인증 암호> -x <사용자 암호화 프로토콜> -X <사용자 암호화 암호> <SNMP 서버 IP주소>
    (SHA 인증 프로토콜, AES 암호화 프로토콜 사용 예시) 
    # snmpwalk -v3 -l authPriv -u myuser -a SHA -A myauthpass -x AES -X myprivpass 192.168.18.190

  2. 사용하지 않을 경우 snmp v3 사용자 생성

    # net-snmp-create-v3-user -ro -A <사용자 인증 암호> -X <사용자 암호화 암호> -a <사용자 인증 프로토콜> -x <사용자 암호화 프로토콜> <사용자 이름>
    예시) 
    # net-snmp-create-v3-user -ro -A myauthpass -X myprivpass -a SHA -x AES myuser

  3. /etc/snmp/snmpd.conf 파일 내의 SNMPv3 사용자 추가

    # createUser <사용자 이름> <사용자 인증 프로토콜> <사용자 인증 암호> <사용자 암호화 프로토콜> <사용자 암호화 암호>
    (SHA 인증 프로토콜, AES 암호화 프로토콜 사용 예시) 
    # createUser myuser SHA myauthpass AES myprivpass

  4. SNMPv3 사용자 읽기/쓰기 권한 추가

    <읽기/쓰기 권한> <사용자 이름>
# rouser myuser

  5. SNMP 서비스 실행