Lo SNMP è un protocollo per sostenere il controllo e l'amministrazione della rete. Il relativo uso è diffuso e la maggior parte della rete che controlla i prodotti conta su esso. Funziona sugli orificii 161 e 162 del UDP (per le prese dello SNMP).
|
|
Per i particolari tecnici dietro lo SNMP v1, consulti il RFC 1157. Il RFC 1441 introduce il vario RFCs che compone lo SNMP v2.
Un cliente dello SNMP autentica ad un agente dello SNMP via una stringa conosciuta come un nome della Comunità. Questo nome della Comunità funziona molto come una parola d'accesso. Gli ospiti di UNIX spediscono spesso con un agente dello SNMP permesso per difetto—in modo da il vostro sistema potrebbe essere esposto già ai difetti dello SNMP. I problemi con le installazioni dello SNMP di difetto includono
· Il nome passivo della Comunità di difetto è "pubblico" e la Comunità lettura /scrittura di difetto è spesso "riservata". "le parole d'accesso" duro codificate come questi lo hanno arruginito sicurezza per finchè posso ricordarsi di.
· Se la Comunità passiva può essere indovinata, le edizioni serie di rilevazione delle informazioni possono potare in su. Il limite della rilevazione di dati dipende dal MIB (Management Information Base). MIBs varia fra i fornitori, ma contengono solitamente i seguenti tipi di informazioni: regolazioni dell'interfaccia della rete, servizi di rete, collegamenti di rete correnti, contatti amministrativi e posizione dell'assistente. Ciò aiuta i attackers nel tracciato della vostra topologia della rete (pensi gli ospiti del multihomed), nell'effettuazione dell'analisi di traffico (cioè chi sta comunicando con chi) e forse anche nell'ottenere una certa ingegneria sociale Info.
· Se il nome lettura /scrittura della Comunità può essere indovinato, fate accennare i problemi precedentemente, ma anche, ora, il attacker può modificare la condizione delle interfacce della rete e perfino reboot i sistemi. MIBs Fornitore-aumentato può permettere i funzionamenti ancor più devastating.
· L'accesso agli agenti dello SNMP non è annotato per difetto. Non noterete i guasti di autenticazione.
· Alcune esecuzioni dello SNMP, considerevolmente Solaris, realmente fanno funzionare altri daemons dello SNMP sugli orificii alto-numerati. Ostruendo l'accesso su una parete refrattaria al UDP port 161 non potrebbe essere sufficiente. Gli utenti di Solaris dovrebbero verificare http://www.ist.uwaterloo.ca/security/howto/2000-10-04.html.
· Decida se avete bisogno dello SNMP. Se la vostra squadra di funzionamenti della rete non sta controllando gli assistenti via lo SNMP e non state facendo funzionare alcun software speciale che conti sullo SNMP (alcune esecuzioni ragruppanti), allora inabilitilo.
· Modifichi la Comunità che di difetto le stringhe da essere duro-$$$-INDOVINANO, casuale-osservando le stringhe. Rendale lunghe (almeno 10 caratteri) e, qualunque, non usi il nome del vostro fornitore della rete! (ho visto questo troppe volte.)
· Configuri le prese di autenticazione dello SNMP. Se qualcuno sta provando ad indovinare la vostra stringa della Comunità dello SNMP, desiderate sapere presto piuttosto che successivamente. Configurando le prese di autenticazione, potete fare informare all'agente il padrone dello SNMP (normalmente la sezione comandi dell'amministrazione di rete) quando un guasto di autenticazione accade. Potreste pensarli improbabile che qualcuno potrebbe indovinare una stringa lunga della Comunità dello SNMP. Il attacker savvy utilizzerà un attrezzo come ADMsnmp, scritto dall'attrezzatura altamente rispettata ADM. Verific questo alberino a Bugtraq più Info: http://archives.neohapsis.com/archives/bugtraq/1999_1/0759.html.
Online: 336 users browsing the articles directory
|
|