Rapid7 tiene escrito sobre esto en su blog. Básicamente, dicen que si no se requiere SNMP, entonces se debe deshabilitar para que se reduzca la superficie de ataque, sin embargo, si es necesario, debes actualizar a SNMPv3 ya que tiene mejoras de seguridad :
- Confidencialidad: cifrado de paquetes para evitar que alguien pueda husmear.
Fuente no autorizada.
- Integridad: integridad del mensaje para garantizar que
El paquete no ha sido manipulado mientras está en tránsito, incluido un opcional.
Mecanismo de protección de repetición de paquetes.
- Autenticación - para verificar que
el mensaje es de una fuente válida.
@Daisetsu ha señalado que solo SNMPv1 y SNMPv2c utilizan una cadena de comunidad. En su lugar, SNMPv3 utiliza un authentication key
, una clave secreta utilizada para la autenticación y un privacy key
, una clave secreta utilizada para el cifrado. (Esto se puede ver en la RFC sección 3.1 , 4a y 6a).
Ambas claves deben ser diferentes y complejas para dificultar los ataques de adivinación, siguiendo requisitos similares a los que se encuentran en el blog de Rapid7.