반응형
개요
SNMP ACL을 설정할 경우
접속 대상 호스트를 지정하여 접근이 가능한 IP를 제한할 수 있다.
이 기능을 사용하여 정보의 노출을 기본적으로 제한하는 것이 필요하다.
임의의 호스트에서 SNMP 접근을 차단하여 호스트로부터의 Community String 추측공격을 차단할 수 있다.
위험도 : 상
판단기준
- 양호 : SNMP 서비스를 사용하지 않거나, SNMP 접근에 대한 ACL을 적용이 되어 있음
- 취약 : SNMP 접근에 대한 ACL을 적용이 되어 있지 않음
점검 방법
| 점검 방법 | 예시 | |
| cisco | Router# show running-config · snmp ACL 확인 |
Router# show running-config ... access-list 10 permit host 192.168.10.1 ... snmp-server community SnmP!@#123 RO 10 |
| alteon | ADC# /cfg/dump · ACL 설정 확인 |
ADC# /cfg/dump ... /c/sys/access/mgmt/add 192.168.10.1 255.255.255.255 snmp ... |
조치 방법
| 조치 config 예시 | 비고 | |
| cisco | Router# config terminal Router# access-list <ACL NUMBER> permit host <IP> Router(config)# snmp-server community <READ COMMUNITY ID> RO <ACL NUMBER> |
|
| alteon | ADC# /c/sys/access/mgmt/add <IP> <NETMASK> snmp ADC# apply ADC# save |
조치 시 영향
SNMP 설정 변경 시, SNMP 서비스에 변동이 있ek
NMS 등 연동중인 기기가 있다면
해당 기기에서도 동일한 조건의 설정이 필요하다
반응형
'IT 보안 > 네트워크 취약점 점검' 카테고리의 다른 글
| [NW-20] (상) TFTP 서비스 차단 (0) | 2021.12.05 |
|---|---|
| [NW-19] (상) SNMP Community 권한 설정 (0) | 2021.12.04 |
| [NW-17] (상) SNMP Community String 복잡성 설정 (0) | 2021.11.17 |
| [NW-16] (상) SNMP 서비스 확인 (0) | 2021.11.16 |
| [NW-15] (하) Timestamp 로그 설정 (0) | 2021.11.15 |