MIB Browser로 운영중인 네트웍 장비의 SNMP값을 보곤하는데, '혹시 아파트나 건물의 네트웍 장비의 SNMP값을 얻어낼 수 있을까'라는 생각이 들었다.
PC에서 사용중인 게이트웨이 IP를 MIB Browser에 넣고 'system.sysDescr.0' GET 요청을 해봤다. 오~ 'V5216F NOS 9.26/DS-O4-06H-B3'라고 나온다. SNMP를 열어놨어? 아니~~ 이러면 안되는 거잖아. walk 요청을 해봤다. 정보가 줄줄줄~~ 모두 나온다.
sysDescr.0 V5216F NOS 9.26/DS-O4-06H-B3
sysUpTime.0 3110 hours 55 minutes 7 seconds
sysName.0 ?????????_???????
sysLocation.0
ifDescr.1 port1-FX-100
ifDescr.2 port2-FX-100
... 생략 ...
ifDescr.5 port5-TX-10/100
ifDescr.6 port6-TX-10/100
... 생략 ...
ifDescr.13 port13-UNKNOWN
ifDescr.16 port16-UNKNOWN
... 생략 ...
ifDescr.17 port17-GBIC
ifDescr.18 port18-GBIC
.1.3.6.1.2.1.47.1.1.1.1.12.1 DASAN Networks Inc.,
V5216F 장비에 대해 찾아봤다.
SNMP 정보에서도 확인된 것 처럼 '다산 네트웍스' 장비이며, 10/100 Base TX(또는 100 Base FX) 16포트와 GBIC 2포트를 제공한다. 'FTTB/FTTH 네트워크 환경기반의 아파트, 호텔, 병원 등과 같은 거주자 밀집 지역에 서비스 위한 장비'라고 한다. 그리고, 모 통신사에 2004년, 2005년 등에 많은 대수를 납품한 적이 있다. 그렇다. 난 그 통신사의 서비스를 이용하고 있다.
SNMP 정보로 네트웍 장비 종류, 업타임, 포트별 트래픽, TCP/UDP/ICMP/SNMP 통계정보, 라우팅정보, 그리고 이 장비를 이용하는 여러 가입자의 MAC Address, 사용중인 IP 등의 정보를 모조리 볼 수 있었다. IP 대역이 4~5개 정도 되었고 확인된 IP가 대략 140여개 된다. IfInOctets, IfOutOctets 등의 값으로 트래픽 그래프(RRD나 MRTG)를 그릴 수도 있을 것이다.
가입자 IP정보와 MAC Address
라우팅 정보
두 곳에서 SNMP정보를 얻었는데, system.sysName.0 값은 '건물명_장비명'(아파트명_장비명) 또는 '건물명_설치된공간명' 처럼 규칙이 있는 것으로 보인다. 그리고 두 곳의 system.sysUptime.0 이 비슷했다. 그 시점에 일괄점검이나 펌웨어 업그레이드를 했을 가능성이 보인다.
장비 기본 정보
서비스 제공업체는 Community명을 변경하거나, SNMP GET/SET을 허용할 IP를 제한할 수도 있을건데, 가입자들은 네트웍에 대해 전혀 모른다는 안일한 생각을 갖고 있는 것은 아닐까.
'IT이야기' 카테고리의 다른 글
꽃남, F4 이름으로 등록된 도메인은? (2) | 2009.02.27 |
---|---|
UNIX time 1234567890은 발렌타인데이 (8) | 2009.02.09 |
아파트로 들어오는 네트웍 장비의 노출된 정보 (8) | 2009.02.07 |
리눅스에서 사진파일의 Exif 정보 보기, 지우기 (10) | 2009.02.03 |
빅브라더도 울고갈 규제와 감시 세상 (6) | 2009.02.02 |
구글의 HDD는 저기에 있었군 ^^ (4) | 2009.01.03 |
댓글을 달아 주세요
어떤 위험이 생기는 거죠?
2009.02.07 01:20 [ ADDR : EDIT/ DEL : REPLY ]스크린샷으로 본 것은 극히 일부분이구요, SNMP로 얻어낼 수 있는 정보는 실로 엄청납니다. 네트웍 정보, 장비 상태, 네트웍 상태 등 '망사업자만' 봐야하는 정보들이 고스란히 들어있습니다. 망사업자의 모니터링 화면를 가입자도 함께 보고 있다고 생각하면 될 것 같습니다.
2009.02.08 01:16 신고 [ ADDR : EDIT/ DEL ]가입자 입장에서는 가입자와 관련된 정보도 포함되어 있으니 기분 좋은 일은 아니죠. 그리고, NOS버전, 패치번호등이 나오므로 해당 버전에 취약점이 있다면 공격 대상이 될 수 있습니다.
헉. 예상치도 못한 곳에서 이런 문제가...
2009.02.07 14:34 [ ADDR : EDIT/ DEL : REPLY ]가입자 IP 및 MAC 어드레스까지 다 나오네요.
놀랐습니다 -_-
그러게 말입니다. SNMP를 접근 제한을 해둘 것이지...
2009.02.08 01:18 신고 [ ADDR : EDIT/ DEL ]원래 대부분 access장비 설정 기본 템플릿에는 snmp, ssh, telnet 등의 관리용 접근 방법에 대해서 관리자 ip 에서만 접근 가능하도록 하고 있습니다. 아마 관리자 ip 가 변경되면서 일시적으로 설정을 풀어서 생긴 문제로 생각됩니다. 이런 실수들을 가끔 하죠 ㅎㅎ
2009.02.11 06:42 [ ADDR : EDIT/ DEL : REPLY ]일시적으로 설정을 푼 것 같지는 않아보입니다.
2009.02.11 18:48 신고 [ ADDR : EDIT/ DEL ]윗글에도 썼지만, 2곳(지역이 완전히 다름)에서 해봤으며 2곳 모두 열려있습니다. 다른 분도 시도를 했는데, 마찬가지로 열려있었구요. 설치 표준 문서가 있을 것 같은데요, 거기에는 SNMP설정 사항이 빠졌있는 것은 아닌가 싶더군요.
실수라고 하기에는 접속해본 곳마다 열려있다는 것은 이상하잖아요. ^^
^^ 뭐... 다 형식적이죠...
2009.03.07 14:42 [ ADDR : EDIT/ DEL : REPLY ]주변만 둘러봐도...
텔넷을 자제하고 ssh 사용을 권장해도 telnet 에 root 까지 열어 달라고 합니다.
ssh 쓰는 사용자 흔치 않습니다.
아... ㅡ.ㅡ 뭐... 흔한 일이지만... oracle/oracle 계정의 시스템들 가끔씩 뚤려서 연락 ㅡ.ㅡ 오죠...
예. ㅠ.ㅠ
2009.03.07 15:36 신고 [ ADDR : EDIT/ DEL ]사건만 터지면 뉴스에선 '예견된 참사'라는 말이 자주 나옵니다. 안전불감증인데, 마찬가지로 IT분야에서 정작 자신을 위해서는 편하게 열어놓고 사용하는 것 같습니다. 앞으로 일어날 사건이 먼 훗날의 일, 아니 일어나지 않을 일인 것 처럼 너무 간과하는 것 같아요.
저도 그런게 없는지 다시 한번 점검해봐야겠습니다.