SNMP 포트 안내: 포트 161 및 162의 네트워크 모니터링

SNMP에는 두 가지 주요 역할이 있습니다. SNMP 관리자는 질문을 하거나 알림을 받는 모니터링 시스템입니다. SNMP 에이전트는 모니터링 중인 장치에서 실행되며 MIB(Management Information Base)를 통해 값을 공개합니다.

일상적인 모니터링의 경우 관리자는 UDP 161의 에이전트에 get, get-next, get-bulk 또는 set 요청을 보냅니다. 이벤트 기반 모니터링의 경우 장치는 UDP 162의 관리자에게 트랩을 보내거나 알립니다. 알림은 승인됩니다. 함정은 일반적으로 발사 후 잊어 버립니다.

UDP 161은 대부분의 팀에서 SNMP 포트가 열려 있는지 물을 때 의미하는 포트입니다. 폴링이 필요한 경우 모니터링 수집기에서 모니터링되는 각 장치에 연결할 수 있어야 합니다. UDP 162는 트랩의 반대 방향이며 장치에서 수집기로 정보를 보냅니다.

SNMP는 대부분 UDP를 사용하기 때문에 간단한 TCP 전용 검사에서는 실제 동작을 놓칠 수 있습니다. TCP 포트 검사기는 일반적인 연결 패턴에 유용하지만 SNMP 검증에는 정확한 커뮤니티, 사용자 및 MIB 개체에 대한 SNMP 인식 명령 또는 모니터링 수집기 테스트가 포함되어야 합니다.

SNMPv1 및 SNMPv2c는 공유 비밀번호처럼 작동하는 커뮤니티 문자열을 사용합니다. 이는 특히 오래된 네트워크에서 여전히 일반적이지만 강력한 인증이나 개인 정보 보호를 제공하지 않습니다. 커뮤니티 문자열이 유출되면 공격자가 민감한 인벤토리 및 토폴로지 데이터를 읽을 수 있습니다.

SNMPv3은 사용자 기반 보안, 인증 및 선택적 개인정보 암호화를 추가합니다. 새로운 배포의 경우 인증 및 개인 정보 보호 기능이 포함된 SNMPv3가 기본값이어야 합니다. SNMPv2c가 여전히 필요한 경우 범위를 엄격하게 지정하고 기본이 아닌 고유한 커뮤니티 문자열을 사용하십시오.

신뢰할 수 있는 모니터링 수집기와 이들이 관리하는 장치 사이에서만 SNMP를 엽니다. 일반적인 소스에는 NMS 플랫폼, 관측 가능성 수집기, SIEM 통합, 용량 계획 시스템 및 전용 트랩 수신기가 포함됩니다.

SNMP를 공용 인터넷에 노출하지 마십시오. SNMP는 인터페이스 이름, 장치 모델, 펌웨어 버전, 라우팅 세부 정보, 일련 번호 및 성능 카운터를 표시할 수 있습니다. 쓰기 가능한 SNMP 액세스는 설정 작업이 활성화된 경우 더욱 위험할 수 있습니다.

SNMP를 허용하기 전에 장치가 폴링, 트랩, 알림 또는 세 가지 모두를 지원해야 하는지 결정하십시오. SNMP 버전, 허용된 소스 IP, 커뮤니티 문자열 또는 SNMPv3 사용자, 인증 및 개인정보 보호 알고리즘, 노출되는 MIB 보기를 확인하세요.

포트 검사를 통해 경로에 연결할 수 있는지 여부를 확인할 수 있지만 SNMP 성공 여부는 프로토콜 수준 정책에 따라 달라집니다. snmpwalk, snmpget, snmpbulkwalk 또는 모니터링 플랫폼 자체를 사용하여 예상 OID가 데이터를 반환하고 승인되지 않은 소스가 거부되는지 확인하세요.

네트워크 장치에서는 가능한 경우 관리 인터페이스 또는 신뢰할 수 있는 VRF에서만 SNMP를 활성화하십시오. SNMPv3 사용자를 구성하고, ACL로 소스 주소를 제한하고, MIB 보기를 정의하여 모니터링 시스템이 필요한 것만 볼 수 있도록 합니다.

Linux에서는 net-snmp가 일반적으로 사용됩니다. 의도한 인터페이스에서 수신하도록 snmpd를 구성하고, SNMPv3 사용자 또는 제한된 커뮤니티를 정의하고, 모니터링 수집기에서만 UDP 161을 허용합니다. snmptrapd와 같은 트랩 수신기는 수집기에서 UDP 162를 열어야 합니다.

Windows Server에서 SNMP는 최신 원격 측정 옵션에 비해 레거시이지만 이전 모니터링 스택에는 여전히 나타납니다. 활성화된 경우 허용되는 호스트를 제한하고 기본 커뮤니티 문자열을 피하며 가능한 경우 최신 에이전트 또는 Windows 기본 모니터링을 선호합니다.

수집기와 장치 간의 기본 네트워크 연결 가능성을 확인하는 것부터 시작합니다. 그런 다음 모니터링 플랫폼에서 사용하는 것과 동일한 SNMP 버전, 자격 증명 및 보안 설정을 사용하여 수집기에서 snmpwalk 또는 snmpget을 실행합니다.

트랩의 경우 알려진 이벤트를 생성하거나 기다린 후 수집기가 이를 UDP 162에서 수신하는지 확인합니다. 트랩이 도착하지 않으면 장치 트랩 대상, 소스 인터페이스, 라우팅, ACL, NAT, 수집기 방화벽 규칙 및 수집기가 실제로 수신 중인지 여부를 검사합니다.

폴링이 실패하면 에이전트가 비활성화되거나, 다른 인터페이스에서 수신되거나, ACL에 의해 차단되거나, 커뮤니티 또는 SNMPv3 사용자가 거부될 수 있습니다. 일부 OID만 실패하는 경우 MIB 보기, 장치 펌웨어, 권한 또는 모니터링 템플릿이 잘못되었을 수 있습니다.

트랩이 실패하면 장치가 잘못된 소스 인터페이스를 사용하여 잘못된 수집기 주소로 전송하거나 라우팅 및 방화벽 정책에 의해 차단되었을 수 있습니다. 폴링과 트랩은 반대 방향을 사용하므로 하나는 작동하고 다른 하나는 실패한다는 점을 기억하십시오.

가능하면 인증 및 개인 정보 보호 기능이 있는 SNMPv3를 사용하십시오. 공개 및 비공개와 같은 기본 커뮤니티를 비활성화하고, 꼭 필요한 경우가 아니면 쓰기 액세스를 피하고, 허용된 소스를 모니터링 수집기로 제한하세요.

장치 펌웨어 및 에이전트 패치를 유지하고, SNMP 인증 실패를 기록하고, 쿼리 볼륨을 모니터링하고, 예상치 못한 소스에 대해 경고합니다. SNMP 데이터는 공격자가 측면 이동을 계획하는 데 도움이 될 만큼 충분한 인프라 세부 정보를 공개할 수 있으므로 민감한 데이터로 취급하십시오.