SRV-001 SNMP Community 스트링 설정 미흡
【 상세설명 】
SNMP 서비스는 네트워크 관리 및 네트워크 장치의 동작을 감시/통할하는 SNMP 프로토콜을 기반으로 하는 서비스로, SNMP 통신 시 접근 허용 여부를 결정하기 위한 SNMP community string 의 복잡도가 낮게 설정되었는지 점검
【 판단기준 】
- 양호 : SNMP Community String 초기 값(Public, Private)이 아니고, 아래의 복잡도를 만족 할 경우
- 취약 : SNMP Community String 초기 값(Public, Private)이거나, 복잡도를 만족하지 않을 경우
※ (복잡도) 기본값(public, private) 미사용, 영문자, 숫자가 포함 10자리 이상 또는 영문자, 숫자, 특수문자 포함 8자리 이상
※ SNMP v3의 경우 별도 인증 기능을 사용하고, 해당 비밀번호가 복잡도를 만족할 경우 "양호"로 판단
【 판단방법 】
1. SNMP 서비스 설정 파일에서 SNMP Community String 이 복잡도를 만족하는지 확인
■ Linux
# cat /etc/snmpd.conf
# cat /etc/snmp/snmpd.conf
# cat /etc/snmp/conf/snmpd.conf
com2sec notConfigUser default public
■ AIX
# cat /etc/snmpd.conf
community public 127.0.0.1 192.168.56.1 readOnly
또는
# cat /etc/snmpdv3.conf
community public public noAuthNoPriv 127.0.0.1 192.168.56.1
■ HP-UX
# cat /etc/SnmpAgent.d/snmpd.conf
get-community-name: public
■ SOLARIS 9 이하
# cat /etc/snmp/conf/snmpd.conf
read-community public
■ SOLARIS 10
# cat /etc/sma/snmp/snmpd.conf
rocommunity public
■ SOLARIS 11 이상
# cat /etc/net-snmp/snmpd.conf
rocommunity public
【 조치방법 】
1. SNMP Community String 을 복잡도를 만족하는 값으로 설정
※ 유추하기 쉬운 문자열(기관명, 기기명 등) 사용 자제 → 일부 기관에서 수정 권고하는 기준
※ Write 권한이 필요한 경우가 아니면 Read-only 권한 부여
※ NMS, 모니터링 등 목적으로 SNMP 서비스를 사용하는 경우 SNMP Manager 와 Agent 에 같은 Community String 이 설정되어 있어야 인증 가능
2. SNMP 서비스 재시작
2024-01-13 : (조치과정 삭제)
'인프라 진단 > 전자금융기반시설(서버) - Linux' 카테고리의 다른 글
| SRV-006 SMTP 서비스 로그 수준 설정 미흡 (0) | 2024.01.01 |
|---|---|
| SRV-005 SMTP 서비스의 expn/vrfy 명령어 실행 제한 미비 (0) | 2024.01.01 |
| SRV-004 불필요한 SMTP 서비스 실행 (0) | 2024.01.01 |