Amenaza modelando un software de monitoreo de red

Navega tus respuestas
0

Supongamos que se implementan herramientas de monitoreo de fallas en la red para monitorear un subconjunto de enrutadores.

¿Qué puede hacer un atacante al explotar un sistema de monitoreo de red como OpenNMS?

  1. ¿Pueden conocer la topología de la red?

  2. ¿Pueden encontrar interés en los sistemas? (servidores, conmutadores, etc.)

  3. ¿Qué más se puede descubrir?

Creo que depende de la configuración del sistema NMS y del tráfico que fluye. ¿Estoy en lo correcto?

Estoy interesado en descubrir a qué información confidencial es vulnerable un sistema de monitoreo de fallas / red.

    
pregunta user1493834 27.04.2016 - 12:03
fuente

1 respuesta

2

Muchos sistemas NMS funcionan better cuando se implementan utilizando un protocolo simple de administración de red (SNMP). SNMP permite mayor detalle en los datos frente a la inferencia. P.ej. sin SNMP, la herramienta NMS se basa en agregar el ancho de banda y las conexiones que ve, en lugar de usar SNMP donde puede acceder al enrutador y consultar una interfaz. Entonces, ¿qué está en riesgo aquí?

Rutas : en entornos segregados, hay VLAN, varias rutas a veces a diferentes proveedores, destinos, etc. Como atacante, siempre estaría interesado en esas rutas, me ayuda a descubrir más de una superficie de ataque.

Sistemas : donde tendría que descubrir manualmente lo que hay en la red, el NMS hace que sea simple para mí porque es una fuente única de descubrimiento, en lugar de tener que disparar, digamos NMAP para descubrir todo por mi cuenta Esto mantiene el ruido de mi red mínimo.

Versiones : Junto con los sistemas y las rutas, el NMS simplifica mi vida como atacante, ya que la mayoría de los sistemas NMS contienen versiones de software y sistemas. En lugar de realizar huellas dactilares del sistema, solo puedo consultar el sistema NMS para obtener información específica. Por ejemplo: "¿Cuál de estos 1000 sistemas son sistemas Windows 2003 y cuál es su nivel de parche? (Para ser utilizado para aislar exploits).

Reutilización de credenciales : muchas organizaciones se olvidan de la reutilización de las credenciales. Cuanto más cuentas haya en el NMS, mayor será la probabilidad de que alguien esté reutilizando sus credenciales. P.ej. nombre de usuario (en NMS): jsmith contraseña: Passw0rd1 en esta situación, un administrador junior tiene una cuenta en el NMS. Su contraseña fue descifrada, y ahora yo, como atacante, puedo usar esa contraseña para girar alrededor de la organización. Dependiendo de cómo haya configurado su NMS, puede ser posible acceder a un NMS y obtener todos los datos que necesito sin acceder, por ejemplo, a un servidor de Active Directory.

Hay muchos problemas con los sistemas NMS con respecto a qué, y cómo un atacante puede aprovechar esos datos. Me encanta apuntar a los sistemas basados en NMS y, a menudo, encuentro que las organizaciones que los implementan no tratan estos problemas. (Segregación, aislamiento, seguimiento)

    
respondido por el munkeyoto 27.04.2016 - 13:26
fuente

Lea otras preguntas en las etiquetas

¿Por qué las ID de terminal no evitan la entrada no autorizada? ¿Se compromete el uso del patrón de relleno fijo AES-ECB?