N-18: SNMP Community String 복잡성 설정

분류: Network Equipment

중요도: 상

---

개요

점검 내용

SNMP 서비스 사용 시 Community String을 기본 설정(public, private)으로 사용하고 있는지 점검

점검 목적

SNMP Community String을 공격자가 쉽게 유추하지 못하도록 설정하여 Community String 탈취에 대한 위험을 줄이기 위함

보안 위협

시스템에 기본적으로 설치되는 불필요한 취약 서비스들이 제거되지 않은 경우, 해당 서비스의 취약점으로 인한 공격이 가능하며, 네트워크 서비스의 경우 열린 포트를 통한 외부 침입의 위험이 존재함

참고

참고

OS 버전에 따라 ‘일반적으로 불필요한 서비스’ 목록에 나열된 서비스가 제공되지 않을 수 있음

점검 대상 및 판단 기준

대상

Cisco, Alteon, Passport, Juniper, Piolink 등

판단 기준

✅ 양호: SNMP 서비스를 비활성화하거나 SNMP Community String을 복잡성 기준(영어 대·소문자, 숫자, 특수문자 중 3종류 이상을 조합하여 8자리 이상)에 맞게 설정한 경우

❌ 취약: SNMP Community String을 기본 설정(public, private)으로 사용하고 있거나, 복잡성 기준에 맞지 않게 설정한 경우

조치 방법

public, private 외 복잡성 기준에 맞는 Community String을 설정

SNMP Community String 복잡성 기준

영어 대·소문자, 숫자, 특수문자 중 3종류 이상을 조합하여 8자리 이상으로 구성

조치 시 영향

일반적인 경우 영향 없음

점검 및 조치 사례

Cisco IOS

1. SNMP 설정 확인

   Router# show running-config
   

2. Community String 문자열 변경

   Router# config terminal
   Router(config)# snmp-server Community <Community String>
   

Radware Alteon / Passport

1. SNMP 설정에서 Community String 설정 확인
2. Radware Alteon

   # cfg/sys/ssnmp
   # rcomm - SNMP read community string 을 설정 (최대 32 자, Default String – public)
   # wcomm - SNMP write community string 을 설정 (최대 32 자, Default String – private)
   # apply
   # save
   

3. Passport

   # config snmp-v3 community commname <Comm Idx> new-commname <value>
   

Juniper Junos

1. snmp community 설정에서 Community String 확인

   [edit]
   user@host# show
   

2. [edit]

   user@host# set snmp community <Community String> authorization read-only
   

Piolink PLOS

1. snmp community 설정에서 community string 확인

   switch# show running-config
   

2. 설정 변경

   switch# configure
   switch(config)# snmp
   switch(config-snmp)# community <Community String>
   switch(config-snmp)# status enable
   switch(config-snmp)# apply