IT이야기2009. 2. 7. 00:35
MIB Browser로 운영중인 네트웍 장비의 SNMP값을 보곤하는데, '혹시 아파트나 건물의 네트웍 장비의 SNMP값을 얻어낼 수 있을까'라는 생각이 들었다.
PC에서 사용중인 게이트웨이 IP를 MIB Browser에 넣고 'system.sysDescr.0' GET 요청을 해봤다. 오~ 'V5216F NOS 9.26/DS-O4-06H-B3'라고 나온다. SNMP를 열어놨어? 아니~~ 이러면 안되는 거잖아. walk 요청을 해봤다. 정보가 줄줄줄~~ 모두 나온다.

sysDescr.0 V5216F NOS 9.26/DS-O4-06H-B3
sysUpTime.0 3110 hours 55 minutes 7 seconds
sysName.0 ?????????_???????
sysLocation.0

ifDescr.1 port1-FX-100
ifDescr.2 port2-FX-100
... 생략 ...
ifDescr.5 port5-TX-10/100
ifDescr.6 port6-TX-10/100
... 생략 ...
ifDescr.13 port13-UNKNOWN
ifDescr.16 port16-UNKNOWN
... 생략 ...
ifDescr.17 port17-GBIC
ifDescr.18 port18-GBIC

.1.3.6.1.2.1.47.1.1.1.1.12.1 DASAN Networks Inc.,

V5216F 장비에 대해 찾아봤다.
SNMP 정보에서도 확인된 것 처럼 '다산 네트웍스' 장비이며, 10/100 Base TX(또는 100 Base FX) 16포트와 GBIC 2포트를 제공한다. 'FTTB/FTTH 네트워크 환경기반의 아파트, 호텔, 병원 등과 같은 거주자 밀집 지역에 서비스 위한 장비'라고 한다. 그리고, 모 통신사에 2004년, 2005년 등에 많은 대수를 납품한 적이 있다. 그렇다. 난 그  통신사의 서비스를 이용하고 있다.

SNMP 정보로 네트웍 장비 종류, 업타임, 포트별 트래픽, TCP/UDP/ICMP/SNMP 통계정보, 라우팅정보, 그리고 이 장비를 이용하는 여러 가입자의 MAC Address, 사용중인 IP 등의 정보를 모조리 볼 수 있었다. IP 대역이 4~5개 정도 되었고 확인된 IP가 대략 140여개 된다. IfInOctets, IfOutOctets 등의 값으로 트래픽 그래프(RRD나 MRTG)를 그릴 수도 있을 것이다.

가입자 IP정보와 MAC Address


라우팅 정보


두 곳에서 SNMP정보를 얻었는데, system.sysName.0 값은 '건물명_장비명'(아파트명_장비명) 또는 '건물명_설치된공간명' 처럼 규칙이 있는 것으로 보인다. 그리고 두 곳의 system.sysUptime.0 이 비슷했다. 그 시점에 일괄점검이나 펌웨어 업그레이드를  했을 가능성이 보인다.

장비 기본 정보


서비스 제공업체는 Community명을 변경하거나, SNMP GET/SET을 허용할 IP를 제한할 수도 있을건데, 가입자들은 네트웍에 대해 전혀 모른다는 안일한 생각을 갖고 있는 것은 아닐까.

Posted by 좋은진호

댓글을 달아 주세요

  1. 알 수 없는 사용자

    어떤 위험이 생기는 거죠?

    2009.02.07 01:20 [ ADDR : EDIT/ DEL : REPLY ]
    • 스크린샷으로 본 것은 극히 일부분이구요, SNMP로 얻어낼 수 있는 정보는 실로 엄청납니다. 네트웍 정보, 장비 상태, 네트웍 상태 등 '망사업자만' 봐야하는 정보들이 고스란히 들어있습니다. 망사업자의 모니터링 화면를 가입자도 함께 보고 있다고 생각하면 될 것 같습니다.

      가입자 입장에서는 가입자와 관련된 정보도 포함되어 있으니 기분 좋은 일은 아니죠. 그리고, NOS버전, 패치번호등이 나오므로 해당 버전에 취약점이 있다면 공격 대상이 될 수 있습니다.

      2009.02.08 01:16 신고 [ ADDR : EDIT/ DEL ]
  2. 헉. 예상치도 못한 곳에서 이런 문제가...
    가입자 IP 및 MAC 어드레스까지 다 나오네요.
    놀랐습니다 -_-

    2009.02.07 14:34 [ ADDR : EDIT/ DEL : REPLY ]
  3. 지나가다

    원래 대부분 access장비 설정 기본 템플릿에는 snmp, ssh, telnet 등의 관리용 접근 방법에 대해서 관리자 ip 에서만 접근 가능하도록 하고 있습니다. 아마 관리자 ip 가 변경되면서 일시적으로 설정을 풀어서 생긴 문제로 생각됩니다. 이런 실수들을 가끔 하죠 ㅎㅎ

    2009.02.11 06:42 [ ADDR : EDIT/ DEL : REPLY ]
    • 일시적으로 설정을 푼 것 같지는 않아보입니다.

      윗글에도 썼지만, 2곳(지역이 완전히 다름)에서 해봤으며 2곳 모두 열려있습니다. 다른 분도 시도를 했는데, 마찬가지로 열려있었구요. 설치 표준 문서가 있을 것 같은데요, 거기에는 SNMP설정 사항이 빠졌있는 것은 아닌가 싶더군요.

      실수라고 하기에는 접속해본 곳마다 열려있다는 것은 이상하잖아요. ^^

      2009.02.11 18:48 신고 [ ADDR : EDIT/ DEL ]
  4. ^^ 뭐... 다 형식적이죠...

    주변만 둘러봐도...

    텔넷을 자제하고 ssh 사용을 권장해도 telnet 에 root 까지 열어 달라고 합니다.

    ssh 쓰는 사용자 흔치 않습니다.

    아... ㅡ.ㅡ 뭐... 흔한 일이지만... oracle/oracle 계정의 시스템들 가끔씩 뚤려서 연락 ㅡ.ㅡ 오죠...

    2009.03.07 14:42 [ ADDR : EDIT/ DEL : REPLY ]
    • 예. ㅠ.ㅠ

      사건만 터지면 뉴스에선 '예견된 참사'라는 말이 자주 나옵니다. 안전불감증인데, 마찬가지로 IT분야에서 정작 자신을 위해서는 편하게 열어놓고 사용하는 것 같습니다. 앞으로 일어날 사건이 먼 훗날의 일, 아니 일어나지 않을 일인 것 처럼 너무 간과하는 것 같아요.

      저도 그런게 없는지 다시 한번 점검해봐야겠습니다.

      2009.03.07 15:36 신고 [ ADDR : EDIT/ DEL ]