U-60: SNMP Community String 복잡성 설정
분류: 01_unix
중요도: 중
개요
점검 내용
SNMP Community String 복잡성 설정 여부 점검
점검 목적
SNMP 서비스의 Community String의 복잡성 설정을 통해 비인가자의 비밀번호 추측 공격에 대비하기 위함
보안 위협
Community String에 복잡성 설정이 되어 있지 않을 경우, 비인가자가 비밀번호 추측 공격을 통해 계정 탈취 시 환경설정 파일 열람 및 수정, 각종 정보수집, 관리자 권한 획득 등 다양한 위험이 존재함
참고
NMS(Network Management System)
네트워크상의 모든 장비의 중앙 감시 체제를 구축하여 모니터링, 플래닝, 분석을 시행하고 관련 데이터를 보관하여 필요 즉시 활용할 수 있게 하는 관리 시스템을 말함
Community String
SNMP는 MIB라는 정보를 주고받기 위해 인증 과정에서 일종의 비밀번호인 Community String을 사용함
참고
기반시설 시스템에서 SNMP 서비스의 이용은 원칙적으로 금지하나, 불가피하게 사용 시 기본 Comunity String 변경, 네트워크 모니터링 등의 보안 조치를 반드시 적용해야 함
점검 대상 및 판단 기준
대상
SOLARIS, LINUX, AIX, HP-UX 등
판단 기준
✅ 양호: SNMP Community String 기본값인 “public”, “private”이 아닌 영문자, 숫자 포함 10자리 이상 또는 영문자, 숫자, 특수문자 포함 8자리 이상인 경우
❌ 취약: 아래의 내용 중 하나라도 해당되는 경우 1. SNMP Community String 기본값인 “public”, “private”일 경우 2. 영문자, 숫자 포함 10자리 미만인 경우 3. 영문자, 숫자, 특수문자 포함 8자리 미만인 경우
참고
SNMP v3의 경우 별도 인증 기능을 사용하고, 해당 비밀번호가 복잡도를 만족하는 경우 양호
조치 방법
- SNMP 서비스를 사용하지 않는 경우 서비스 중지 및 비활성화 설정
- SNMP 서비스 사용 시 SNMP Community String 기본값인 “public”, “private”이 아닌 영문자, 숫자 포함 10자리 이상 또는 영문자, 숫자, 특수문자 포함 8자리 이상으로 설정
조치 시 영향
일반적인 경우 영향 없음
점검 및 조치 사례
SOLARIS(9 이하 버전)
-
/etc/snmp/conf/snmpd.conf파일 내의 Community String 설정 값 수정 -
SNMP 서비스 재시작
SOLARIS(10 버전)
-
/etc/snmp/conf/snmpd.conf파일 내의 Community String 설정 값 수정 -
출력여부 확인
예시)svcadm enable svc:/application/management/snmpdx:default
SOLARIS(11 버전)
-
/etc/net-snmp/snmp/snmpd.conf파일 내의 Community String 설정 값 수정 -
설정 적용 및 SNMP 서비스 재시작
LINUX
Redhat 계열
-
/etc/snmp/snmpd.conf파일 내의 Community String 설정 값 수정 -
설정 적용 및 SNMP 서비스 재시작
Debian 계열
-
/etc/snmp/snmpd.conf파일 내의 Community String 설정 값 수정 -
설정 적용 및 SNMP 서비스 재시작
AIX
-
/etc/snmpdv3.conf파일 내의 Community String 설정 값 수정 -
SNMP 서비스 중지 및 실행
HP-UX
-
/etc/snmpd.conf파일 내의 Community String 설정 값 수정 -
SNMP 서비스 재시작