04. [OAuth 기반 인프라 취약점 진단] OPNsense 방화벽 점검

1.룰 설정

External / WAN :   192.168.10.108/24 DMZ / LAN :            192.168.11.0/24  Internal / OPT1 :    192.168.12.0/24  Client / OPT2 :        192.168.13.0/24

100 (web)       192.168.11.12 101 (db)        192.168.12.44 102 (OAuth)     192.168.11.15 103 (opnsense)  192.168.10.108 106 (SIEM)      192.168.12.129 107 (bastion)   192.168.11.55 108 (FreeIPA)   192.168.12.20 104 (winserver) 192.168.12.10 105 (winclient) 192.168.13.10

① External (WAN)

 정책: 외부 인터넷에서는 오직 서비스용 웹 서버만 접근 가능하며, 그 외의 모든 직접적인 진입은 원천 차단

Src	Dst	Port	Protocol	Action
Any	Apache(11.12)	80 (http), 443 (https)	TCP	ALLOW
Any (인터넷)	Any	Any	Any	DENY

 

② DMZ (LAN)

정책 :외부 노출 구역인 DMZ 서버들이 내부망(Internal)의 핵심 인증/DB 자원에 접근할 때 필요한 최소 포트만 개방

Src	Dst	Port	Protocol	Action
DMZ	FreeIPA(12.20)	53 (DNS), 88 (Kerberos), 389 (LDAP)	TCP/UDP	ALLOW
DMZ	SIEM(12.129)	514 (Syslog), 5044 (Logstash)	TCP/UDP	ALLOW
DMZ	Any	80 (http), 443 (https)	TCP/UDP	ALLOW
Apache(11.12)	MySQL(12.44)	3306 (DB)	TCP	ALLOW
bastion(11.55)	Winserver(12.10), Winserver(13.10)	445 (SMB), 5985 (WinRM),9200	TCP	ALLOW
bastion(11.55)	SIEM(12.19)	9200	TCP/UDP	ALLOW
Any	Any	Any	Any	DENY

 

③ Internal (OPT1)

정책 :내부 자산 보호를 위한 최소 권한 기반 아웃바운드 통제 및 SIEM 로그 전송 보장

Src	Dst	Port	Protocol	Action
Internal	Any	53(DNS)	TCP/UDP	ALLOW
Internal	Any	80 (http), 443 (https)	TCP	ALLOW
Internal	Any	123(NTP)	UDP	ALLOW
Internal	SIEM(12.129)	Any	TCP/UDP	ALLOW
Any	Any	Any	Any	DENY

 

④ Client (OPT2)

정책 :  단일 PC IP(13.10) 기반의 AD 로그인 및 업무용 외부 인터넷 최소 포트 허용

Src	Dst	Port	Protocol	Action
Client - Windows (13.10, 13.20)	Winserver(12.10), FreeIPA(12.20)	any	any	ALLOW
Client - Windows (13.10, 13.20)	DMZ	80 (http), 443 (https)	TCP	ALLOW
Client - Windows (13.10, 13.20)	Any	53(DNS) ,80 (http), 443 (https)	any	ALLOW
Client - Windows (13.10, 13.20)	SIEM (12.129)	5044 9200 9300	TCP	ALLOW
Client - Windows (13.10, 13.20)	OPNsense(10.108)	8443(OPNsense)	TCP	ALLOW
Client - Windows (13.10, 13.20)	FreeIPA(11.15)	8080	TCP	ALLOW
Any	Any	Any	Any	DENY

 

 

9200

 

IV. 보안 장비

구분	점검항목 (중요도 : 상)	항목코드	결과
1. 계정 관리	보안 장비 Default 계정 변경	S-01	[취약]
	비밀번호 관리정책 설정	S-02	[취약]
	보안 장비 계정별 권한 설정	S-03	[취약]
	보안 장비 계정 관리	S-04
	계정 잠금 임계값 설정	S-05
2. 접근 관리	보안장비 원격 관리 접근 통제	S-06
	보안장비 보안 접속	S-07
	세션 종료 시간 설정	S-08
3. 패치 관리	주기적 보안 패치 및 벤더 권고사항 적용	S-09	[취약]
4. 기능 관리	정책 관리	S-15
	NAT 설정	S-16
	DMZ 설정	S-17
	최소한의 서비스만 제공	S-18
	이상징후 탐지 모니터링 수행	S-19
	장비 사용량 관리	S-20
	SNMP 서비스 확인	S-21
	SNMP Community String 복잡성 설정	S-22

 

 

1. 계정 관리

점검항목	보안장비 Default 계정 변경(S-01)
점검내용	보안 장비에 기본적으로 설정된 관리자 계정의 변경 여부 점검
점검목적	보안 장비의 기본 관리자 계정정보는 인터넷이나 매뉴얼 등에 공개되어 있으므로 보안 장비의 기본 관리자 계정을 변경하여 비인가자가 기본 관리자 계정을 통한 보안 장비 접근을 방지하기 위함
보안위협	보안 장비의 기본 관리자 계정을 변경하지 않을 경우, 비인가자가 공개된 기본 관리자 계정정보를 통하여 보안 장비에 불법적인 접근 및 보안 장비 설정값을 변경함으로써 시스템 침입 경로 제공 및 보안 장비를 무력화할 수 있는 위험이 존재함
판단기준	양호 : 장비에서 제공하고 있는 기본 계정을 변경하여 사용하는 경우 (기본 계정 변경이 불가능할 경우 기본 비밀번호 변경으로 보완 필요) 취약 : 장비에서 제공하고 있는 기본 계정을 변경할 수 있으나 변경하지 않고 사용하는 경우
점검결과	[취약]  대상 보안 장비 점검 결과, 초기 출고 시 설정되는 관리자 계정(root)이 그대로 활성화되어 있음
조치방법	-고유 계정 전환: 기존 기본 관리자 계정(root)을 비활성화하고, 유추할 수 없는 고유한 내부 관리자 OPNst를 신규 생성함

점검항목	비밀번호 관리정책 설정(S-02)
점검내용	보안 장비의 계정 비밀번호가 기관 정책에서 정의된 비밀번호 관리 정책 적용 여부 점검
점검목적	보안 장비의 계정 비밀번호가 기관 정책에서 정의된 비밀번호 관리 정책 적용 여부 점검
보안위협	비밀번호 관리 정책에 맞지 않는 비밀번호를 사용할 경우, 비인가자의 비밀번호 추측 공격(무차별 대입 공격, 사전 대입 공격 등)에 계정 비밀번호가 유출되어 비인가자가 보안 장비에 접근할 위험이 존재함
판단기준	양호 : 비밀번호 관리 정책에 맞는 비밀번호가 사용된 경우 취약 : 비밀번호 관리 정책에 맞지 않는 비밀번호가 사용된 경우
점검결과	[취약]  최초 점검 시 OPNsense 방화벽의 암호 정책이 없어 qw12 같은 취약한 암호를 사용 중임
조치방법	-패스워드 복잡성 적용: 기본 계정명 변경이 불가능한 구조일 경우, 대소문자·숫자·특수문자를 혼합한 10자리 이상의 강력한 비밀번호로 변경하여 비인가자의 불법적인 웹/CLI 접근 및 장비 무력화 시도를 원천 차단함

점검항목	보안장비 계정별 권한 설정(S-03)
점검내용	보안 장비에 등록한 계정들에 대해 업무에 불필요한 권한 여부 점검
점검목적	보안 장비에 등록한 계정의 용도별 권한을 부여함으로써 권한 없는 사용자의 설정 변경으로 인한 시스템 침입 경로 유출 위험을 줄이고 관리자 계정이 아닌 일반 계정이 비인가자에게 탈취되었을 때 보안 장비를 장악하지 못하게 하기 위함
보안위협	사용자별 계정의 용도 파악 및 적절한 권한을 부여하지 않을 경우, 권한 없는 사용자의 의도하지 않은 보안 정책 수정이나 보안 장비 설정값 변경을 통하여 비인가자에게 시스템 침입 경로를 제공할 위험이 존재함
판단기준	양호 : 사용자별 계정의 용도 파악 및 적절한 권한이 부여된 경우 취약 : 사용자별 계정의 용도 파악 및 적절한 권한이 부여되지 않은 경우
점검결과	[취약] 최초 점검 시 모든 관리 업무를 제조사 디폴트 최고 관리자 계정(root)으로만 수행하고 있음
조치방법	OPNsense 웹 GUI [System] -> [Access] -> [Users] 메뉴에서 기본 계정(root)을 제거하고 OPNst계정을 생성하고  생성된 계정의 'Group membership' 설정에서 불필요한 권한은 배제하고, 실제 장비 관리에 필요한 admins 그룹 권한만 명시적으로 맵핑하여 권한 할당의 적정성을 확보함

점검항목	보안장비 계정 관리(S-04)
점검내용	보안 장비에 등록된 계정 중 사용하지 않는 계정을 제거 또는 관리 여부 점검
점검목적	사용하지 않는 불필요한 계정을 관리함으로써 관리되지 않은 계정을 통한 공격을 차단하기 위함
보안위협	불필요한 계정을 제거하지 않거나 관리하지 않을 경우, 비인가자의 공격을 통해 불필요한 계정 탈취의 위험이 존재함
판단기준	양호 : 불필요한 계정을 제거하거나 관리된 경우 취약 : 불필요한 계정을 제거하지 않거나 관리되지 않은 경우
점검결과	[양호]  보안 장비의 사용자 관리 메뉴(system - access - users)를 점검한 결과, 현재 실제 시스템을 운영하고 제어하는 필수 관리자 계정 OPNst 외에 불필요한 테스트 계정, 퇴사자 계정 및 장기 미사용 휴면 계정이 존재하지 않음을 확인함
조치방법	별도 조치 필요 없음

점검항목	계정 잠금 임계값 설정(S-05)
점검내용	보안 장비에서 제공하고 있는 로그인 실패 임계값 설정 적용 여부 점검
점검목적	보안 장비에서 제공하는 로그인 실패 임계값 설정을 통해 비인가자의 자동화된 방법을 이용한 비밀번호 추측 공격을 막기 위함
보안위협	로그인 실패 임계값 설정을 적용하지 않을 경우, 비인가자는 자동화된 방법을 통하여 모든 계정에 대해 비밀번호 추측 공격을 자유롭게 시도하여 비밀번호 정보가 유출될 위험이 존재함
판단기준	양호 : 로그인 실패 임계값을 5회 이하로 설정된 경우 취약 : 로그인 실패 임계값을 5회 이하로 설정되지 않은 경우
점검결과	[양호]  OPNsense(192.168.10.108)서버의 설정파일 /usr/local/opnsense/scripts/syslog/lockout_handler에서 로그인 실패 임계값 설정인 parser.add_argument항목의 default값이 5로 설정되어있음 -테스트
조치방법	별도 조치 필요 없음

 

 

2. 접근 관리

점검항목	보안장비 원격 관리 접근 통제(S-06)
점검내용	보안 장비 원격 관리 시 관리자 IP 또는 특정 IP만 접근할 수 있도록 설정하였는지 점검
점검목적	보안 장비에 원격으로 접근할 수 있는 특정 IP를 등록함으로써 비인가자의 보안 장비 접근을 차단하기 위함
보안위협	보안 장비 원격 관리 시 특정 IP만 접근할 수 있도록 설정하지 않을 경우, 외부에 있는 비인가자가 탈취한 계정을 통해 보안 장비에 접근할 수 있게 되어 보안 장비 설정값을 변경하여 보안 장비를 무력화시킬 위험이 존재함
판단기준	양호 : 원격 관리 시 관리자 IP 또는 특정 IP만 접근할 수 있도록 설정된 경우 취약 : 원격 관리 시 관리자 IP 또는 특정 IP만 접근할 수 있도록 설정되지 않은 경우
점검결과	[양호] 보안 장비 관리 페이지(8443/TCP) 접근 통제 정책을 진단한 결과, 인가되지 않은 외부 및 내부 대역의 접근을 기본 거부(Default Deny)하고 있으며, 사전에 승인된 관리자 클라이언트 대역(13.10, 13.20)에서만 방화벽 자체(10.108)의 관리 포트로 접근이 가능하도록 화이트리스트 기반의 접근 제어 정책(ACL)이 정상적으로 적용되어 있음을 확인함
조치방법	별도 조치 필요 없음

점검항목	보안장비 보안 접속(S-07)
점검내용	보안 장비 접속 시 암호화 프로토콜을 이용한 접속 여부 점검
점검목적	보안 장비 접속 시 평문을 전송하는 Telnet, HTTP 접속을 사용하지 않고 데이터가 암호화되는 SSH, SSL 인증 등의 암호화 접속을 통하여 비인가자의 데이터 스니핑에 대비하기 위함
보안위협	보안 장비 접속 시 암호화 통신을 하지 않을 경우, 데이터가 평문으로 전송되어 비인가자가 관리자 계정을 탈취할 위험이 존재함
판단기준	양호 : 보안 장비 접속 시 암호화 통신을 하는 경우 취약 : 보안 장비 접속 시 암호화 통신을 하지 않는 경우
점검결과	[양호] OPNsense 방화벽 관리자 페이지 접속 시 HTTP(평문)가 아닌 **HTTPS(SSL/TLS 암호화 프로토콜)**를 사용하고 있음을 확인함.
조치방법	별도 조치 필요 없음

점검항목	세션 종료 시간 설정(S-08)
점검내용	보안 장비의 정책에 Session Timeout 설정을 적용하였는지 점검
점검목적	보안 장비 관리 작업 완료 후 사용자의 부주의로 계정이 접속한 상태로 방치되는 경우를 방지하며 사용하지 않는 세션을 종료하여 가용성을 높이기 위함
보안위협	Session Timeout 설정을 하지 않을 경우, 보안 장비에 접속한 사용자가 자리 이탈 또는 불완전한 세션 종료로 인해 권한이 없는 사용자가 해당 세션을 재사용하여 인증 없이 보안 장비에 접근함으로써 보안 정책 변경 및 삭제 등 악의적인 행위를 할 위험이 존재함
판단기준	양호 : Session Timeout을 설정한 경우 취약 : Session Timeout을 설정하지 않은 경우
점검결과	[양호] OPNsense 방화벽 시스템 관리 설정(System > Settings > Administration)을 점검한 결과, 관리자 세션에 대해 비활성 상태 240초(4분) 경과 시 자동 종료되도록 Session Timeout 정책이 정상적으로 적용되어 있음을 확인함
조치방법	별도 조치 필요 없음

 

 

3. 패치 관리

점검항목	주기적 보안 패치 및 벤더 권고사항 적용(S-09)
점검내용	보안 장비 OS 및 보안 기능(IPS, 안티바이러스 등)을 주기적으로 보안 패치 여부 점검
점검목적	주기적인 보안 패치를 통해 보안 장비 OS 취약점으로 발생하는 공격이나 보안 장비로 유입되는 최신 유해 트래픽에 대한 탐지 및 차단을 하기 위함
보안위협	주기적 보안 패치 및 벤더 권고사항을 적용하지 않을 경우, 보안 장비 OS의 취약점을 이용한 공격이나 최신 유해 트래픽에 대한 탐지 및 차단이 제대로 이루어지지 않아 비인가자의 내부 정보시스템 침해 위험이 존재함
판단기준	양호 : 주기적 보안 패치 및 벤더 권고사항이 적용된 경우 취약 : 주기적 보안 패치 및 벤더 권고사항이 적용되지 않은 경우
점검결과	[취약] OPNsense 펌웨어 상태를 진단한 결과, 보안 취약점이 제거된 최신 패키지 배포 버전이 존재함에도 불구하고 일괄 미적용 상태로 확인 주요 누락 내역: base(26.1.6 ➔ 26.1.7), kernel(26.1.6 ➔ 26.1.7), opnsense(26.1.6_2 ➔ 26.1.8_5) 및 오픈소스 패키지 42건
조치방법	base(26.1.6 ➔ 26.1.7), kernel(26.1.6 ➔ 26.1.7), opnsense(26.1.6_2 ➔ 26.1.8_5) 및 오픈소스 패키지 42건 업데이트 조치

 

4. 기능 관리

점검항목	정책 관리(S-15)
점검내용	보안 장비 정책에 미사용 및 중복된 정책이 존재하는지 점검
점검목적	주기적인 정책 검토를 통해 미사용 및 중복된 정책을 제거하여 향후 발생할 수 있는 보안 위협을 제거하고 보안 장비의 고가용성을 유지하기 위함
보안위협	미사용 및 중복된 정책을 제거하지 않을 경우, 보안 장비 관리자의 업무 편의성 및 효율성이 저하되며 설정되어있는 정책 중 관리자가 인지하지 못한 정책으로 인해 네트워크 보안 체계가 약화 될 위험이 존재함
판단기준	양호 : 정책에 대한 주기적인 검사로 미사용 및 중복된 정책을 확인하고 제거된 경우 취약 : 정책에 대한 주기적인 검사를 하지 않고 미사용 및 중복된 정책을 확인 및 제거되지 않은 경우
점검결과	[양호] 미사용 및 중복된 정책이 확인되지 않음. WAN LAN OPT1 OPT2
조치방법	별도 조치 필요 없음

 

 

 

점검항목	NAT 설정(S-16)
점검내용	외부 공개 필요성이 없는 정보시스템에 NAT 설정 여부를 점검
점검목적	비인가자가 내부 시스템을 공격하기 위해서는 내부 사설 IP를 알아야 하므로 NAT 설정을 통해 내부 네트워크를 보호할 수 있음
보안위협	NAT 설정을 하지 않을 경우, 공인 IP를 통해 시스템에 접근이 가능하여 정보 유출, 시스템 파괴, 악성코드 전파 등의 불법적 행위가 발생할 위험이 존재함
판단기준	양호 : 외부 공개 필요성이 없는 서버, 단말기 등 정보시스템에 대해 NAT 설정을 적용한 경우 취약 : 외부 공개 필요성이 없는 서버, 단말기 등 정보시스템에 대해 NAT 설정을 적용하지 않은 경우
점검결과	[양호] 외부망(WAN, 192.168.10.108/24) 하위에 모든 내부 주요 서버 및 단말기를 사설 IP 대역(192.168.11.0/24, 12.0/24, 13.0/24)으로 철저히 격리 및 분리 구성 완료함
조치방법	별도 조치 필요 없음

점검항목	DMZ 설정(S-17)
점검내용	내부 네트워크와 외부 서비스 네트워크(DMZ)를 구분하고 있는지 점검
점검목적	외부 네트워크로 서비스를 제공하는 호스트에서 내부 네트워크로의 접근이 통제되고 있는지 확인하기 위함
보안위협	DMZ 설정을 통해 내부 네트워크와 외부 서비스 네트워크를 구분하도록 설정되어 있지 않을 경우, 외부 네트워크를 통해서 서비스를 제공받는 악의적인 사용자가 DMZ 내 호스트를 통해 내부 네트워크로 불법적 연결을 시도할 위험이 존재함
판단기준	양호 : DMZ를 구성하여 내부 네트워크를 보호하는 경우 취약 : DMZ를 구성하지 않고 사설망에서 외부 공개 서비스를 제공하는 경우
점검결과	[양호] 방화벽의 Three-legged 구조로 DMZ와 내부망을 논리적으로 분리하여 직접 접근을 차단함 External / WAN :   192.168.10.108/24 DMZ / LAN :            192.168.11.0/24  Internal / OPT1 :    192.168.12.0/24  Client / OPT2 :        192.168.13.0/24
조치방법	별도 조치 필요 없음

 

점검항목	최소한의 서비스만 제공  (S-18)
점검내용	보안 장비에서 필요한 서비스만 제공하고 있는지 점검
점검목적	보안 장비 정책을 검토하여 사용하지 않는 IP와 포트를 제거하여 네트워크 및 시스템 운영의 보안성을 유지하기 위함
보안위협	최소한의 서비스만 제공하지 않을 경우, 비인가자의 침입 또는 악성 소프트웨어 전달 등의 보안 위험이 발생할 위험이 존재함
판단기준	양호 : All Deny 설정 및 보안 장비에 최소 서비스만 허용하는 경우 취약 : All Deny 미설정 또는 보안 장비에 불필요한 서비스를 허용하는 경우
점검결과	[ 양호 ] 전체 4개 인터페이스(External, DMZ, Internal, Client)의 최하단에 기본 차단 정책(All Deny / Default Deny)이 예외 없이 명시되어 있으며, 기존의 과도한 임의 접근(Any) 허용 설정을 전면 폐기하고 서비스 가용성에 필요한 최소한의 포트만 콕 집어 선별 개방했으므로 가이드라인 기준 '양호'로 판단됨 [구역별 세부 점검 내역] -External (WAN) 구역: 외부 인터넷발 진입 트래픽을 원천 차단하되, 대민 서비스를 위한 Apache 웹 서버(11.12)의 웹 표준 포트(80, 443)만 제한적으로 허용함 -DMZ (LAN) 구역: 외부 노출 서버들의 아웃바운드를 통제하고, 내부망과의 연동에 필요한 최소 권한 포트(FreeIPA 인증: 53, 88, 389, MySQL DB 접근: 3306, Bastion 제어: 445, 5985) 및 SIEM 로그 전송 포트만 정교하게 매핑하여 허용함 -Internal (OPT1) 구역: 최고 신뢰 구역 자산 보호를 위해 통짜 아웃바운드 허용을 폐지하고, 시스템 유지보수에 필수적인 외부 서비스 포트(DNS: 53, 업데이트: 80, 443, NTP: 123) 및 SIEM 관제 서버(12.129)행 로그 수집 통로만 선별 허용함 -Client (OPT2) 구역 (단일 PC 환경 최적화): 장비 부족으로 인한 관리자/사용자 물리 분리 불가 제약을 보완하기 위해, 단일 PC IP 기반으로 윈도우 도메인 조인 인증 포트(53, 88, 135, 389, 445)와 업무용 외부 인터넷망 포트(53, 80, 443)를 허용합니다. 이에 더해 보안 관제 화면 접속을 위한 Kibana 웹 UI 포트(5601)뿐만 아니라, 클라이언트 환경과의 유기적인 데이터 흐름 및 로그 수집 검증을 위해 Logstash 수신 포트(5044)와 Elasticsearch HTTP REST API 포트(9200)까지 최소한으로 제한 허용하여 내부 위협 확산(Lateral Movement) 경로를 전면 차단함
조치방법	별도 조치 필요없음

 

점검항목	이상징후 탐지 모니터링 수행    (S-19)
점검내용	보안 장비에 이상징후 탐지 모니터링을 수행하고 있는지 점검
점검목적	이상징후가 탐지되는 경우 사고 예방 및 신속한 조치를 이행하기 위함
보안위협	이상징후 탐지 모니터링을 수행하지 않을 경우, 보안 사고를 미리 방지할 수 없는 위험이 존재함
판단기준	양호 : 이상징후 탐지 모니터링을 수행하고 있는 경우 취약 : 이상징후 탐지 모니터링을 수행하고 있지 않은 경우
점검결과	[ 양호 ] 방화벽 장비와 연동되지 않은 독립된 SIEM 서버(192.168.12.129)를 별도로 가동하여 내부 인프라 전반의 이상징후를 독자적으로 모니터링하고 있음.
조치방법	별도 조치 필요없음

 

 

점검항목	이상징후 탐지 모니터링 수행    (S-20)
점검내용	장비 사용량 검토
점검목적	보안 장비에서 제공하는 Dashboard를 통해 보안 장비의 가용성에 대한 실시간 검토 여부 점검
보안위협	보안 장비 가용성을 정기적으로 검토를 하지 않을 경우, 성능 및 회선 상태를 파악할 수 없어 보안 장비의 가용성 하락이 발생할 위험이 존재함
판단기준	양호 : 보안 장비 가용성을 정기적으로 모니터링 및 검토할 경우 취약 : 보안 장비 가용성을 정기적으로 모니터링 및 검토하지 않을 경우
점검결과	[ 양호 ] * OPNsense 보안 장비에서 제공하는 실시간 트래픽 리포팅 웹 대시보드(Reporting ➔ Traffic)를 활용하여 LAN, OPT1, OPT2, WAN 전체 인터페이스의 인/아웃바운드 대역폭(bps) 수치를 실시간으로 감시 및 검토하고 있음
조치방법	별도 조치 필요없음

 

점검항목	이상징후 탐지 모니터링 수행    (S-21)
점검내용	SNMP 서비스 사용 여부 점검
점검목적	보안 장비 관리를 위해 NMS 솔루션과의 연동으로 SNMP 서비스 사용이 필요한 경우가 아니라면 서비스를 중지하도록 함
보안위협	불필요한 SNMP 서비스를 사용할 경우, DoS 공격, 보안 장비 성능 저하, 크래쉬, 리로드 등의 공격 위험이 존재함
판단기준	양호 : 불필요한 SNMP 서비스를 사용하지 않을 경우 취약 : 불필요한 SNMP 서비스를 사용할 경우
점검결과	[ 양호 ] * OPNsense 방화벽의 Services 메뉴 점검 결과, SNMP 관련 관리 기능 및 서브 메뉴가 활성화되어 있지 않아 서비스 자체가 구동되지 않고 있음을 확인함.
조치방법	별도 조치 필요없음

 

점검항목	SNMP Community String 복잡성 설정     (S-22)
점검내용	SNMP Community String이 유추하기 어렵게 설정되어 있는지 점검
점검목적	SNMP Community String을 유추하기 어렵게 설정하여 네트워크상에서 시스템 정보가 비인가자에게 노출되지 않도록 함
보안위협	SNMP의 Community String을 기본값 또는 유추하기 쉬운 값으로 설정할 경우, 악의적인 사용자가 장비 설정을 쉽게 변경(RW)하여 중요 시스템 정보가 노출될 수 있는 위험이 존재함
판단기준	양호 : SNMP 서비스를 사용하지 않거나, 유추하기 어려운 Community String을 설정한 경우 취약 : Community String을 기본값으로 사용하고 있거나, 유추하기 쉬운 Community String을 설정한 경우
점검결과	[ 양호 ] * OPNsense 방화벽의 Services 메뉴 점검 결과, SNMP 관련 관리 기능 및 서브 메뉴가 활성화되어 있지 않아 서비스 자체가 구동되지 않고 있음을 확인함.
조치방법	별도 조치 필요없음