SRV-003 (Windows) SNMP 접근 통제 미설정

SRV-003 (Windows) SNMP 접근 통제 미설정

【 상세설명 】
SNMP 서비스는 네트워크 관리 및 네트워크 장치의 동작을 감시/통할하는 SNMP 프로토콜을 기반으로 하는 서비스로, SNMP서비스를 사용할 수 있는 호스트를 특정하여 접근통제를 수행하고 있는지 점검

【 판단기준 】
- 양호 : 특정 호스트로부터만 SNMP 패킷 받아들이기로 설정되어 있는 경우
- 취약 : 모든 호스트로부터 SNMP 패킷 받아들이기로 설정되어 있는 경우

【 판단방법 】
  1. 특정 호스트로부터만 SNMP 패킷 받아들이기로 설정되어 있는지 확인
      ※ <registry_path> : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\PermittedManagers
      ※ 설정된 특정 호스트 존재할 시 "양호"
      ※ 레지스트리 값이 존재하지 않으면 등록된 호스트 주소가 없으므로 "취약" 으로 판단

  ■ Windows 2008, 2008 R2, 2012, 2012 R2, 2016, 2019, 2022
      ① 시작 > 실행 > services.msc > 서비스 > SNMP Service 속성 > "보안" 탭
      ② "인증 트랩 보내기", "다음 호스트로부터 SNMP 패킷 받아들이기" 체크 확인 및 등록된 호스트 확인
  또는
      cmd > reg query <registry_path>

  또는
      cmd > reg query <registry_path>
          1     REG_SZ    localhost
          2     REG_SZ    <ip_address>
          …

  ※ "PermittedManagers" Key 의 Value 값
      - 이름 : <Number> 
      - 종류 : REG_SZ
      - 데이터 : <Host_name>, <ip_address>, <ipx_address>

【 조치방법 】
  1. "인증 트랩 보내기", "다음 호스트로부터만 SNMP 패킷 받아들이기" 설정 및 접근 허용 특정 호스트 등록
      ※ 레지스트리 값을 등록하면 "다음 호스트로부터만 SNMP 패킷 받아들이기" 으로 설정이 변경됨
  2. SNMP 서비스 재시작
 
  2024-01-13 : (조치과정 삭제)