IT이야기2009. 2. 7. 00:35

아파트로 들어오는 네트웍 장비의 노출된 정보

MIB Browser로 운영중인 네트웍 장비의 SNMP값을 보곤하는데, '혹시 아파트나 건물의 네트웍 장비의 SNMP값을 얻어낼 수 있을까'라는 생각이 들었다.
PC에서 사용중인 게이트웨이 IP를 MIB Browser에 넣고 'system.sysDescr.0' GET 요청을 해봤다. 오~ 'V5216F NOS 9.26/DS-O4-06H-B3'라고 나온다. SNMP를 열어놨어? 아니~~ 이러면 안되는 거잖아. walk 요청을 해봤다. 정보가 줄줄줄~~ 모두 나온다.

sysDescr.0 V5216F NOS 9.26/DS-O4-06H-B3
sysUpTime.0 3110 hours 55 minutes 7 seconds
sysName.0 ?????????_???????
sysLocation.0

ifDescr.1 port1-FX-100
ifDescr.2 port2-FX-100
... 생략 ...
ifDescr.5 port5-TX-10/100
ifDescr.6 port6-TX-10/100
... 생략 ...
ifDescr.13 port13-UNKNOWN
ifDescr.16 port16-UNKNOWN
... 생략 ...
ifDescr.17 port17-GBIC
ifDescr.18 port18-GBIC

.1.3.6.1.2.1.47.1.1.1.1.12.1 DASAN Networks Inc.,

V5216F 장비에 대해 찾아봤다.
SNMP 정보에서도 확인된 것 처럼 '다산 네트웍스' 장비이며, 10/100 Base TX(또는 100 Base FX) 16포트와 GBIC 2포트를 제공한다. 'FTTB/FTTH 네트워크 환경기반의 아파트, 호텔, 병원 등과 같은 거주자 밀집 지역에 서비스 위한 장비'라고 한다. 그리고, 모 통신사에 2004년, 2005년 등에 많은 대수를 납품한 적이 있다. 그렇다. 난 그  통신사의 서비스를 이용하고 있다.

SNMP 정보로 네트웍 장비 종류, 업타임, 포트별 트래픽, TCP/UDP/ICMP/SNMP 통계정보, 라우팅정보, 그리고 이 장비를 이용하는 여러 가입자의 MAC Address, 사용중인 IP 등의 정보를 모조리 볼 수 있었다. IP 대역이 4~5개 정도 되었고 확인된 IP가 대략 140여개 된다. IfInOctets, IfOutOctets 등의 값으로 트래픽 그래프(RRD나 MRTG)를 그릴 수도 있을 것이다.

가입자 IP정보와 MAC Address


라우팅 정보


두 곳에서 SNMP정보를 얻었는데, system.sysName.0 값은 '건물명_장비명'(아파트명_장비명) 또는 '건물명_설치된공간명' 처럼 규칙이 있는 것으로 보인다. 그리고 두 곳의 system.sysUptime.0 이 비슷했다. 그 시점에 일괄점검이나 펌웨어 업그레이드를  했을 가능성이 보인다.

장비 기본 정보


서비스 제공업체는 Community명을 변경하거나, SNMP GET/SET을 허용할 IP를 제한할 수도 있을건데, 가입자들은 네트웍에 대해 전혀 모른다는 안일한 생각을 갖고 있는 것은 아닐까.

'IT이야기' 카테고리의 다른 글

꽃남, F4 이름으로 등록된 도메인은?  (2) 2009.02.27
UNIX time 1234567890은 발렌타인데이  (8) 2009.02.09
아파트로 들어오는 네트웍 장비의 노출된 정보  (8) 2009.02.07
리눅스에서 사진파일의 Exif 정보 보기, 지우기  (10) 2009.02.03
빅브라더도 울고갈 규제와 감시 세상  (6) 2009.02.02
구글의 HDD는 저기에 있었군 ^^  (4) 2009.01.03
Posted by 좋은진호
TAG , , , , , , ,
Trackback 0 Comment 8

댓글을 달아 주세요

  1. 알 수 없는 사용자

    어떤 위험이 생기는 거죠?

    2009.02.07 01:20 [ ADDR : EDIT/ DEL : REPLY ]
    • BlogIcon 좋은진호

      스크린샷으로 본 것은 극히 일부분이구요, SNMP로 얻어낼 수 있는 정보는 실로 엄청납니다. 네트웍 정보, 장비 상태, 네트웍 상태 등 '망사업자만' 봐야하는 정보들이 고스란히 들어있습니다. 망사업자의 모니터링 화면를 가입자도 함께 보고 있다고 생각하면 될 것 같습니다.

      가입자 입장에서는 가입자와 관련된 정보도 포함되어 있으니 기분 좋은 일은 아니죠. 그리고, NOS버전, 패치번호등이 나오므로 해당 버전에 취약점이 있다면 공격 대상이 될 수 있습니다.

      2009.02.08 01:16 신고 [ ADDR : EDIT/ DEL ]
  2. BlogIcon 천재태지서주영

    헉. 예상치도 못한 곳에서 이런 문제가...
    가입자 IP 및 MAC 어드레스까지 다 나오네요.
    놀랐습니다 -_-

    2009.02.07 14:34 [ ADDR : EDIT/ DEL : REPLY ]
  3. 지나가다

    원래 대부분 access장비 설정 기본 템플릿에는 snmp, ssh, telnet 등의 관리용 접근 방법에 대해서 관리자 ip 에서만 접근 가능하도록 하고 있습니다. 아마 관리자 ip 가 변경되면서 일시적으로 설정을 풀어서 생긴 문제로 생각됩니다. 이런 실수들을 가끔 하죠 ㅎㅎ

    2009.02.11 06:42 [ ADDR : EDIT/ DEL : REPLY ]
    • BlogIcon 좋은진호

      일시적으로 설정을 푼 것 같지는 않아보입니다.

      윗글에도 썼지만, 2곳(지역이 완전히 다름)에서 해봤으며 2곳 모두 열려있습니다. 다른 분도 시도를 했는데, 마찬가지로 열려있었구요. 설치 표준 문서가 있을 것 같은데요, 거기에는 SNMP설정 사항이 빠졌있는 것은 아닌가 싶더군요.

      실수라고 하기에는 접속해본 곳마다 열려있다는 것은 이상하잖아요. ^^

      2009.02.11 18:48 신고 [ ADDR : EDIT/ DEL ]
  4. BlogIcon 삐꾸강아쥐

    ^^ 뭐... 다 형식적이죠...

    주변만 둘러봐도...

    텔넷을 자제하고 ssh 사용을 권장해도 telnet 에 root 까지 열어 달라고 합니다.

    ssh 쓰는 사용자 흔치 않습니다.

    아... ㅡ.ㅡ 뭐... 흔한 일이지만... oracle/oracle 계정의 시스템들 가끔씩 뚤려서 연락 ㅡ.ㅡ 오죠...

    2009.03.07 14:42 [ ADDR : EDIT/ DEL : REPLY ]
    • BlogIcon 좋은진호

      예. ㅠ.ㅠ

      사건만 터지면 뉴스에선 '예견된 참사'라는 말이 자주 나옵니다. 안전불감증인데, 마찬가지로 IT분야에서 정작 자신을 위해서는 편하게 열어놓고 사용하는 것 같습니다. 앞으로 일어날 사건이 먼 훗날의 일, 아니 일어나지 않을 일인 것 처럼 너무 간과하는 것 같아요.

      저도 그런게 없는지 다시 한번 점검해봐야겠습니다.

      2009.03.07 15:36 신고 [ ADDR : EDIT/ DEL ]