[네트워크] SNMP에 대해서

SNMP (Simple Network Management Protocol)

- 네트워크 장치를 모니터링하고 관리하는 데 사용되는 표준 통신 프로토콜

 

■ SNMP란?

- IP 네트워크 상의 장치로부터 정보를 수집 및 관리

- 정보를 수정하여 장치의 동작을 변경하는 데에 사용되는 인터넷 표준 프로토콜

- SNMP는 IETF(Internet Engineering Task Force)에서 개발한 표준

- SNMP는 OSI 7 계층의계층의 Application 계층 프로토콜이며, 메시지는 단순히 요청과 응답 형식의 프로토콜에 의해 교환되기 때문에 전송 계층 프로토콜로 UDP 프로토콜을 사용함

 

■ SNMP 구성 요소

- SNMP Agent: 허브, 라우터, 스위치 등과 같은 장치를 의미함

 ▷ SNMP Agent 안에 S/W 형태의 모듈이 탑재되어 있음

 ▷ 이는 장치를 동작하는 데에 있어 필요한 변수나 상태와 같은 정보들을 데이터베이스화하여 유지함

- SNMP Manager: 장치를 관리하는 시스템

 ▷ SNMP Agent를 모니터링하고 정보를 요청하는 역할

 ▷ SNMP Manager는 SNMP Agent에 정보를 요청하고, SNMP Agent가 수집한 데이터를 MIB에 저장하여 이를 관리하는 방식으로 동작함

 ▷ SNMP Manager와 SNMP Agent 간에는 데이터가 교환이 되는데, Get/Set 명령과 같은 요청/응답 과정을 통해 수행됨.

- MIB(Management Information Bases): SNMP 통신 프로토콜은 MIB 명령 집합을 사용하여 네트워크 장치를 관리함

 ▷ MIB는 관리 대상의 네트워크 장치의 정보 유형을 정의함

 ▷ Manager가 조회하거나 설정할 수 있는 객체들의 데이터베이스

 ▷ 객체별로 트리 형식의 구조를 이룸

 

■ SNMP 기능

- GET: SNMP Manager가 SNMP Agent에게 특정 정보를 요청함 (UDP port 161)

- SET: SNMP Manager가 SNMP Agent에게 특정 정보를 설정함 (UDP port 161)

- TRAP: SNMP Agent가 SNMP Manager에게 정보(이벤트)를 알림 (UDP port 162)

 

 ▷ UDP 161번은 GetRequest, SetRequest 등 통상의 메시지

 ▷ UDP 162번은 TRAP 메시지

SNMP 통신

 

■ SNMP 데이터 수집 방식

- Polling 방식: SNMP Manager가 SNMP Agent에게 정보를 요청하면 응답해 주는 방식으로, SNMP Agent가 161/UDP 포트를 사용함

- Event Reporting 방식: SNMP Agent가 이벤트 발생 시 이를 SNMP Manager에게 알리는 방식으로, SNMP Manager가 162/UDP 포트를 사용함

 

■ SNMP 버전

[표 1] SNMP 버전에 따른 특징

SNMP 버전	특징
SNMPv1	초기 SNMP 버전 보안 측면의 취약점 존재
SNMPv2	SNMPv1을 개선한 버전 추가 기능을 제공하였지만, 규격이 복잡해짐
SNMPv2c	SNMPv2의 복잡성을 줄이고 보안적인 측면을 개선한 버전 보안적인 취약점은 여전히 존재
SNMPv3	현재까지 널리 사용되고 있는 최신 버전 보안적인 측면을 강화하여 암호화 및 보안 기능을 지원

 

■ SNMP 취약점

- SNMP v1, v2는 비밀번호와도 같은 Community String이 암호화되지 않아 간단히 스니핑이 가능하고, 쓰기 권한이 있다면 해커가 네트워크를 쉽게 장악할 수 있으며 쓰기 권한이 없더라도 너무 많은 정보를 해커에게 제공한다는 문제점이 있음

 ▷ Community String: SNMP Manager와 SNMP Agent가 MIB 정보를 주고받기 위해 인증 과정에서 사용하는 일종의 비밀번호

 ▷ Community String은 Default로 public, private로 설정된 경우가 많음

 

■ SNMP 보안 대책

- SNMP를 사용하지 않는다면 비활성화시켜 두는 것이 제일 좋지만 불가피하게 사용해야 한다면 Community String 값을 기본적으로 변경해서 사용해야 함

- Community String 값을 변경하였다 하더라도 Community String 값을 찾아내기 위해 무차별 대입 공격을 시도할 가능성이 있기에 사전에 접근 제어를 걸어두어 필요한 사용자만 접근할 수 있도록 해야 함

 

- SNMP 서비스 관련 포트의 필터링

 ▷ 가장 기본적인 조치 중의 하나로서 SNMP가 사용하는 포트를 필터링하는 것

 ▷ SNMP에서 사용하는 포트들은 161, 162번(UDP)이지만 업체 혹은 제품마다 차이가 있으므로 주의를 필요로 함

  ⚫ SNMP 관련 포트들: 7/udp, 161/tcp, 161/udp, 162/tcp, 162/udp, 199/tcp, 391/tcp, 391/udp, 705/tcp, 1993/tcp, 1993/udp

- 인증되지 않은 내부 서버로부터의 SNMP 트래픽을 차단

 ▷ 대부분의 경우, 한정된 서버만이 SNMP 서비스 패킷을 필요로 함

 ▷ 따라서 SNMP를 사용하는 내부의 서버를 지정함으로써 불필요한 request 메시지를 차단하여 완벽하지는 않지만 내부 네트워크로부터의 공격을 어느 정도 막을 수 있음

 ▷ 하지만 필요 이상의 필터링 작업은 내부 네트워크의 성능을 떨어뜨릴 수 있으므로 설정 시 주의해야 함

- 내부 네트워크로부터의 SNMP 트래픽 분리하기

 ▷ SNMP 서비스를 중지하거나 외부와의 접속을 차단하는 것이 어려운 상황이라면, SNMP 접속이 필요한 네트워크 부분을 기존의 네트워크와 분리시킴으로써 알려진 취약점들로부터 보호되도록 할 수 있음

 ▷ 가장 이상적인 것은 물리적인 구성 자체를 분리하는 것이지만, VLAN(Virtual Lan)과 같은 개념을 사용하는 것도 하나의 방법일 수 있음

 ▷ 물론 VLAN이 완벽한 보안을 제공하지는 않지만, 공격을 어렵게 만들 수 있음

 

- 외부 네트워크로부터의 트래픽 필터링

 ▷ SNMP를 사용하지 않는 경우에 적용 가능한 내용으로 내부 네트워크에서 외부 네트워크로 나가는 트래픽 중 SNMP 서비스에서 사용하는 포트를 차단하여 내부 서버가 다른 서버를 공격하는 경우를 미리 방지함

 

 

참고

https://xn--3e0 bx5 euxnjje69i70 af08 bea817g.xn--3 e0 b707 e/jsp/resources/dns/dnssecInfo/dnssecInfo.jsp

한국인터넷정보센터(KRNIC)

 

https://fiberroad.com/ko/resources/glossary/what-is-snmp/

SNMP란 무엇이며 네트워크 성능을 모니터링하는 데 어떻게 도움이 됩니까?

 

https://aws-hyoh.tistory.com/179

SNMP 쉽게 이해하기 #1

 

https://itragdoll.tistory.com/43

[Network] 네트워크용어 - SNMP 란?

 

http://www.ktword.co.kr/test/view/view.php?no=279

SNMP

 

https://daengsik.tistory.com/20

네트워크 기초 - SNMP

 

https://www.manageengine.com/network-monitoring/what-is-snmp.html#snmp-functionalities

Network Monitoring Software by ManageEngine OpManager

 

https://guleum.com/83

SNMP 취약점 공격

 

http://jcher.iptime.org:8081/awesome-korea-security-paper/Network/SNMP%EC%9D%98%20%EC%B7%A8%EC%95%BD%EC%A0%90%EC%9D%84%20%EC%9D%B4%EC%9A%A9%ED%95%9C%20%EA%B3%B5%EA%B2%A9%EA%B8%B0%EB%B2%95%EA%B3%BC%20%EB%8C%80%EC%9D%91%EB%B0%A9%EC%95%88%20%5Bgusxodnjs%5D.pdf