N-19: SNMP ACL 설정
분류: Network Equipment
중요도: 상
개요
점검 내용
SNMP 서비스 사용 시 네트워크 장비 ACL(Access List)을 설정하여 SNMP 접속 대상 호스트를 지정하여 접근이 가능한 IP를 제한하였는지 점검
점검 목적
SNMP ACL 설정을 함으로써 임의의 호스트에서 SNMP 접근을 차단하여 네트워크 정보의 노출을 제한하기 위함
보안 위협
비인가자의 SNMP 접근을 차단하지 않을 경우, 공격자가 Community String 추측 공격 후 MIB 정보를 수정하여 라우팅 정보를 변경하거나 터널링 설정을 하여 내부망에 침투할 수 있는 위험이 존재함
참고
-
점검 대상 및 판단 기준
대상
Cisco, Alteon, Passport, Juniper, Piolink 등
판단 기준
✅ 양호: SNMP 서비스를 비활성화하거나 SNMP 접근을 제한하는 ACL을 설정한 경우
❌ 취약: SNMP 접근을 제한하는 ACL을 설정하지 않은 경우
조치 방법
SNMP 접근에 대한 ACL(Access List) 설정
조치 시 영향
일반적인 경우 영향 없음
점검 및 조치 사례
Cisco IOS
- SNMP 설정 확인
- Access-List 설정 확인
- 글로벌 구성 모드에서 snmp-server community 명령어로 ACL 적용
Passport
- config snmp-v3 에서 접근목록 설정 확인
- 설정 적용
# config snmp-v3 community create <Comm Idx> <name> <security> [tag] # config snmp-v3 group-member create <user name> <model> [<group name>] # config snmp-v3 group-access create <group name> <prefix> <model> <level> # config snmp-v3 group-access view <group name> <prefix> <model> <level> [read <value>] [write <value>] [notify <value>]
Juniper Junos
- edit snmp 에서 접근목록 설정 확인
[edit snmp][edit snmp client-list <client list name>][edit snmp][edit snmp community <community name>]
Piolink PLOS
- configuration 모드에서 snmp 접근목록 설정 확인
- 시스템 접근 설정 모드에서 SNMP 서비스에 ACL 설정
# configure terminal (config)# security (config-security)# system (config-security-system)# access (config-security-system-access)# rule <rule-id> (config-security-system-access-rule[id])# protocol udp (config-security-system-access-rule[id])# source-ip <IP주소> (config-security-system-access-rule[id])# dest-port 161 (config-security-system-access-rule[id])# interface any (config-security-system-access-rule[id])# policy accept (config-security-system-access-rule[id])# apply -
시스템 접근제어 기능의 기본 접근 정책을 차단으로 설정
참고
기본 접근 정책을 차단으로 변경하기 전에 관리용 포트(mgmt)와 네트워크 장비의 SSH, ICMP 등 다른 서비스와 프로토콜에 필요한 접근허용 규칙을 모두 설정