네트워크 장비 진단 - SNMP Community String 점검
진단 시나리오
SNMP(Simple Network Management Protocol) Community String의 기본값 사용 여부를 진단합니다.
점검 결과 - SNMP v2c 스캔
| IP 주소 | 장비 | Community String | 상태 |
| 192.168.1.50 | Cisco Router | public (읽기 권한) | 위험! |
| 192.168.1.51 | HP Switch | public (쓰기 권한?) | 위험! |
| 192.168.1.52 | Juniper Router | private | 위험! |
| 192.168.1.53 | Arista Switch | SNMPv3 (암호화) | 안전 |
SNMP 정보 수집 (OID 스캔)
# snmpwalk 명령으로 수집된 정보
$ snmpwalk -v2c -c public 192.168.1.50
sysDescr.0 = Cisco IOS Software, Catalyst 2960 Software
sysObjectID.0 = enterprises.9.9.1.1.1
sysUpTime.0 = 1234567890
sysContact.0 = admin@company.com
sysName.0 = router-core-01
[TCP 연결 테이블]
tcpConnState.0.0.0.0.22.0.0.0.0.6 = established
tcpConnState.0.0.0.0.443.0.0.0.0.6 = established
[네트워크 인터페이스]
ifName.1 = GigabitEthernet0/1
ifAlias.1 = UPLINK-ISP-01
ifSpeed.1 = 1000000000
ifInOctets.1 = 98765432100
인터랙티브 SNMP Community String 검증
발견된 보안 문제
[SNMP v2c의 취약점]
1. Community String은 평문 전송 (암호화 없음)
2. 모니터링 정보 무단 수집 가능
3. SET 명령으로 장비 설정 변경 가능 (쓰기 권한시)
4. 기본 Community String 사용으로 즉시 접근 가능
[추출 가능한 민감 정보]
- 시스템 설정 및 구성
- 네트워크 토폴로지
- 장비 모델/버전 (익스플로잇 대상화)
- 네트워크 트래픽 통계 (트래픽 분석)
- SNMP 대리 관계 (다른 장비 발견)
조치 가이드
- SNMP v3로 업그레이드: 암호화 및 인증 지원
- USM (User-based Security Model) 활성화
- 최소 192bit 이상 암호화
- Community String 변경: 무작위 20자 이상
- 읽기/쓰기 구분 설정
- 읽기만 필요시 쓰기 권한 제거
- 접근 IP 제한: 관리 서버/호스트만 허용
- SNMP 포트 변경: 기본 161, 162에서 변경 (선택사항)
- 감시 설정: SNMP SET 명령 모니터링