Nieszczęsny SNMP
-
- 01.04.2008
Protokół SNMP może być poważną luką w bezpieczeństwie systemu i dlatego warto rozważyć, czy wyłączenie jego obsługi nie będzie korzystne dla systemu IT.
Protokół SNMP może być poważną luką w bezpieczeństwie systemu i dlatego warto rozważyć, czy wyłączenie jego obsługi nie będzie korzystne dla systemu IT.
Jednym z najważniejszych zaleceń dotyczących zabezpieczenia systemów operacyjnych i urządzeń jest wyłączenie - a nawet odinstalowanie - niepotrzebnych usług, protokołów i narzędzi. Od tej reguły rzadko zdarzają się wyjątki. Administratorzy systemów operacyjnych oraz urządzeń takich jak routery lub przełączniki, często zapominają jednak o tym, że każda zbędna usługa pracująca w danym środowisku znacząco zmniejsza jego bezpieczeństwo. Świadczy o tym niedawna próba zbadania podatności wielu podsieci Internetu na ataki przy użyciu SNMP, dokonana przez organizację GNUCitizen. Wyniki są zatrważające, bowiem okazało się, że bardzo wiele urządzeń (zbadano 2,5 mln adresów IP) ma poważne luki w bezpieczeństwie. Pośród podatnych elementów sieci przeważały modemy kablowe Arris Touchstone Telephony Modem, routery Cisco, ZyXel Prestige i Netopia, stacje bazowe Apple AirPort, a nawet serwery Windows 2000.
Gdzie występują problemy
SNMP ma wiele niedostatków związanych z bezpieczeństwem. Są one znane od lat. Na przykład po serii ataków z 2000 i 2002 roku opublikowane zostały materiały analityczne z instrukcjami, jak uchronić się przed zagrożeniem, ale większość tych zaleceń oraz rozpoznanych słabości SNMP jest aktualnych do dzisiaj. Najlepszą radą jest wyłączenie obsługi SNMP tam, gdzie nie jest to absolutnie niezbędne a także zablokowanie ruchu wykorzystującego ten protokół na zaporze sieciowej. Większość urządzeń IPS prawidłowo rozpoznaje odczytywanie za pomocą SNMP i podejmuje odpowiednie działania.
Słabości protokołu
Można łatwo wymienić podstawowe słabości SNMP, które powodują, że protokół ten stanowi lukę w bezpieczeństwie systemu IT. Po pierwsze, jest on podatny na ataki brute-force i słownikowe. Po drugie, najczęściej korzysta z protokołu UDP, zatem w pewnych przypadkach możliwe jest podszywanie się pod odpowiedni adres IP. Zabezpieczenia w postaci list ACL nie zawsze się sprawdzają. Dodatkowo skanowanie po UDP przebiega szybciej, więc prawdopodobieństwo ataku znacząco wzrasta.
Oprócz tego administratorzy często nawet nie wiedzą o istnieniu SNMP, więc nie myślą o zabezpieczeniu systemu przed atakami tą drogą. Dodatkowo wiele urządzeń i systemów udostępnia zbyt wiele informacji za pomocą SNMP. Analiza takich danych umożliwia rozpoznanie struktury sieci, zastosowanych elementów sieciowych (nawet rodzaj i markę zapory sieciowej wraz z informacją o jej stanie aktualności), a także sposobów komunikacji.
Na rynku dostępnych jest wiele bardzo dobrych, komercyjnych narzędzi do monitorowania sieci. Do testów można jednak polecić darmowe narzędzie The Dude firmy Mikrotik (http://www.mikrotik.com/download/dude-install-3.0beta7.exe). Chociaż program jest przeznaczony głównie do zarządzania routerami tej firmy, to bardzo dobrze radzi sobie również z innymi urządzeniami. Na rysunku przedstawiono przykładowy efekt zastosowania tego programu w sieci jednego z dostawców Internetu. Za pomocą SNMP często pobiera się statystyki wykorzystania łącz oraz zasobów. Jednym z programów, który potrafi pobrać takie dane z routerów jest Simple Router Grapher (http://snmprg.sourceforge.net/). Warto skorzystać z tego narzędzia, jest bardzo proste, czytelnie wyświetla najważniejsze informacje. Przy wykorzystaniu tych aplikacji można łatwo sprawdzić, czy testowane urządzenia mają włączoną obsługę SNMP.
