¿La ejecución de SNMP v2c es realmente insegura y puede llevar a compromisos?

1

Actualmente utilizo SNMP v2c para monitorear switches, servidores, etc., para graficar el rendimiento. Pregunta en términos de SNMP.

Todos dicen que la ejecución insegura de SNMP es un riesgo de seguridad. ¿Cómo es un protocolo gráfico diseñado para transmitir mensajes inseguros? ¿Se debe a que la información podría ser manipulada o podría proporcionar información sobre la red?

    
pregunta Jason 15.06.2016 - 20:25
fuente

3 respuestas

3

SNMP permite a un atacante pintar el mismo gráfico que estás pintando. "Estos son los sistemas de misión crítica que les preocupan. Deben serlo si están siendo monitoreados". Cada vez que veo SNMP durante los pentests, me alegro, ya que minimiza la cantidad de tiempo que paso buscando esto. SNMP me ha permitido encontrar redes que de otro modo no habría descubierto, cuando los sistemas (Windows, Linux) ejecutan SNMP, me permiten ver el software en los sistemas, los nombres de usuario, los grupos y los niveles de parches. Entonces sí, SNMP puede ser un riesgo de seguridad.

Si debes habilitarlo, recuerda el hecho de que las mismas cosas que quieres ver son invaluables para un atacante. Teniendo esto en cuenta, vale la pena definir las ACL en su conmutador para permitir que máquinas específicas accedan a SNMP. Por ejemplo: "habilitar desde esta máquina UNA a SNMP y bloquear todas las demás conexiones". Entonces tienes que preocuparte por oler la red. Esto no entra en SNMP cuando está configurado para escribir. Un atacante puede modificar un conmutador / enrutador / sistema. En pocas palabras, si bien es un riesgo, se puede mitigar con las ACL adecuadas, la segmentación / aislamiento de la red.

    
respondido por el munkeyoto 15.06.2016 - 20:35
fuente
2

¡SNMP no es solo un protocolo de gráficos! Las solicitudes SNMP se pueden utilizar para averiguar más o menos todo acerca de una máquina, incluido el nombre del host, las direcciones IP configuradas, las tablas de enrutamiento, etc. También puede realizar cambios de configuración con SNMP cuando se configura el acceso RW.

Debe leer las bases de datos MIB y los identificadores de objetos para ver cuánta información se puede obtener a través de las solicitudes SNMP. Debe ajustar qué máquinas pueden sondear sus máquinas habilitadas para SNMP

    
respondido por el yermander 27.07.2016 - 15:20
fuente
1

Un atacante podría saber cómo están sus dispositivos de red y buscar vulnerabilidades desde ellos. Si usa SNMPv2, debe tener cuidado de permitir solo el acceso de lectura.

    
respondido por el jdmorei 15.06.2016 - 20:36
fuente

Lea otras preguntas en las etiquetas