Le SNMP est un protocole pour soutenir la surveillance et la gestion de réseau. Son utilisation est répandue, et la plupart de réseau surveillant des produits comptent sur lui. Il fonctionne sur les ports 161 et 162 de UDP (pour des pièges de SNMP).
|
|
Pour les détails techniques derrière SNMP v1, consultez RFC 1157. RFC 1441 présente le divers RFCs qui composent SNMP v2.
Un client de SNMP authentifie à un agent de SNMP par l'intermédiaire d'une corde connue sous le nom de nom de la communauté. Ce nom de la communauté fonctionne infiniment comme un mot de passe. Les centres serveurs d'UNIX se transportent souvent avec un agent de SNMP permis par défaut—ainsi votre système pourrait être exposé aux pailles de SNMP déjà. Les problèmes avec des installations de SNMP de défaut incluent
· Le nom inaltérable de la communauté de défaut est "public", et la communauté lecture/écriture de défaut est souvent "privée". Les "mots de passe" dur codés comme ces derniers l'ont rouillé sécurité tant que je peux me rappeler.
· Si la communauté inaltérable peut être devinée, les issues sérieuses de révélation de l'information peuvent survenir. L'ampleur de la révélation de données dépend du MIB (Management Information Base). MIBs changent entre les fournisseurs, mais elles contiennent habituellement les types suivants d'information : arrangements d'interface de réseau, services de réseau, raccordements de réseau courants, contacts administratifs, et endroit de serveur. Ceci aide des attaquants en traçant votre topologie de réseau (pensez les centres serveurs de multihomed), en exécutant l'analyse de trafic (c'est-à-dire, à qui parle qui), et même peut-être en obtenant une certaine information sociale de technologie.
· Si le nom lecture/écriture de la communauté peut être deviné, vous faites mentionner précédemment les problèmes, mais également, maintenant, l'attaquant peut modifier le statut d'interfaces de réseau et même recharger des systèmes. MIBs Fournisseur-augmenté peut permettre des opérations bien plus dévastatrices.
· L'accès aux agents de SNMP n'est pas noté par défaut. Vous ne noterez pas des échecs d'authentification.
· Quelques réalisations de SNMP, notamment Solaris, courent réellement d'autres démons de SNMP sur les ports haut-numérotés. En bloquant l'accès sur un mur à l'épreuve du feu au UDP mettez en communication 161 ne pourrait pas être suffisant. Les utilisateurs de Solaris devraient vérifier http://www.ist.uwaterloo.ca/security/howto/2000-10-04.html.
· Décidez si vous avez besoin de SNMP. Si votre équipe d'opérations de réseau ne surveille pas des serveurs par l'intermédiaire de SNMP et vous ne courez aucun logiciel spécial qui se fonde sur SNMP (quelques réalisations groupantes ), neutralisez-alors le.
· Modifiez la communauté de défaut que les cordes à être dur-à-devinent, aléatoire-en regardant des cordes. Rendez-les longues (au moins 10 caractères), et, celui que vous , n'employez pas le nom de votre fournisseur de réseau ! (j'ai vu ceci trop de fois.)
· Configurez les pièges d'authentification de SNMP. Si quelqu'un essaye de deviner votre corde de la communauté de SNMP, vous voulez savoir plus tôt plutôt que plus tard. En configurant des pièges d'authentification, vous pouvez faire informer à l'agent le maître de SNMP (normalement la console de gestion de réseau) quand un échec d'authentification se produit. Vous pourriez le penser improbable que quelqu'un pourrait deviner une longue corde de la communauté de SNMP. L'attaquant savvy utilisera un outil comme ADMsnmp, écrit par l'équipement fortement respecté ADM. Vérifiez hors de ce poteau à Bugtraq plus d'information : http://archives.neohapsis.com/archives/bugtraq/1999_1/0759.html.
Online: 417 users browsing the articles directory
|
|