07 Апр, 2023

Простой протокол сетевого управления (SNMP)

Penetration Testing as a service (PTaaS)

Tests security measures and simulates attacks to identify weaknesses.

Простой протокол сетевого управления (SNMP), и это протокол, используемый для управления сетевыми устройствами и мониторинга. Он работает путем отправки сообщений между устройствами с поддержкой SNMP, позволяя администраторам отслеживать производительность, удаленно настраивать устройства и управлять ими, а также устранять неполадки в сети. SNMP основан на иерархической структуре управленческой информации, называемой Базой управленческой информации (MIB), и имеет несколько версий, причем SNMPv3 является наиболее безопасной.

Общие порты SNMP

Port 161: Это порт по умолчанию для SNMP. Он используется для приема SNMP-запросов от систем сетевого управления.

Port 162: Этот порт используется для приема SNMP-ловушек от сетевых устройств. Ловушки - это нежелательные сообщения, отправляемые устройствами для оповещения систем сетевого управления о важных событиях или условиях.

Инструменты для использования протокола

Ручные Инструменты:

  • snmpwalk – Инструмент командной строки, используемый для извлечения информации с устройств с поддержкой SNMP.

  • snmpget – Инструмент командной строки, используемый для извлечения одного значения с устройства с поддержкой SNMP.

  • snmpset – Инструмент командной строки, используемый для установки значений на устройстве с поддержкой SNMP.

  • snmptrap – Инструмент командной строки, используемый для отправки сообщений SNMP trap менеджеру или получателю.

  • SNMP MIB Browser – Ручной инструмент, используемый для просмотра и запроса MIBS SNMP (Базы управленческой информации) устройств с поддержкой SNMP.

  • Net-SNMP – Набор инструментов, связанных с SNMP, который включает snmpwalk, snmpget, snmpset и snmptrap, а также другие утилиты для управления SNMP.

  • SNMP Tester – Ручной инструмент, который может имитировать агент SNMP и отвечать на запросы SNMP в целях тестирования.

  • MIB Viewer – Ручной инструмент, используемый для просмотра и запроса MIBS SNMP устройств с поддержкой SNMP.

  • Paessler SNMP Tester – Ручной инструмент, который может запрашивать устройства с поддержкой SNMP и отображать результаты.

  • Ethereal – Ручной анализатор сетевых протоколов, который может захватывать и отображать SNMP-трафик для анализа.

Автоматизированные инструменты:

  • Nagios – Система мониторинга с открытым исходным кодом, которая использует SNMP для мониторинга работоспособности и состояния сетевых устройств и служб.

  • Cacti – Инструмент сетевого мониторинга с открытым исходным кодом, который использует SNMP для сбора и построения графиков данных о сетевом трафике и производительности устройств.

  • PRTG Network Monitor – Коммерческий инструмент мониторинга сети, который использует SNMP для мониторинга сетевых устройств и служб, а также других протоколов.

  • Zabbix – Инструмент сетевого мониторинга с открытым исходным кодом, который использует SNMP для мониторинга сетевых устройств и служб, а также других протоколов.

  • Observium – Инструмент сетевого мониторинга с открытым исходным кодом, который использует SNMP для мониторинга сетевых устройств и служб, а также других протоколов.

  • SolarWinds Network Performance Monitor – Коммерческий инструмент мониторинга сети, который использует SNMP для мониторинга сетевых устройств и служб, а также других протоколов.

  • Librenms – Инструмент сетевого мониторинга с открытым исходным кодом, который использует SNMP для мониторинга сетевых устройств и служб, а также других протоколов.

  • OpenNMS – Инструмент сетевого мониторинга с открытым исходным кодом, который использует SNMP для мониторинга сетевых устройств и служб, а также других протоколов.

  • NetXMS – Инструмент сетевого мониторинга с открытым исходным кодом, который использует SNMP для мониторинга сетевых устройств и служб, а также других протоколов.

  • Spiceworks Network Monitor – Бесплатный инструмент мониторинга сети, который использует SNMP для мониторинга сетевых устройств и служб.

Последние пять известных CVE для SNMP

• CVE-2023-26602: Прошивка ASUS ASMB8 iKVM версии 1.14.51 позволяет удаленным злоумышленникам выполнять произвольный код, используя SNMP для создания расширений, как продемонстрировано snmpset для NET-SNMP-EXTEND-MIB с /bin/sh для выполнения команды.

• CVE-2023-22401: Неправильная проверка уязвимости индекса массива в демоне Advanced Forwarding Toolkit Manager daemon (aftmand) Juniper Networks Junos OS и Junos OS Evolved позволяет злоумышленнику, не прошедшему проверку подлинности в сети, вызвать отказ в обслуживании (DoS). На платформах PTX10008 и PTX10016, работающих под управлением Junos OS или Junos OS Evolved, при запросе определенного MIB SNMP это приведет к сбою PFE, и FPC отключится и не восстановится автоматически. Требуется перезагрузка системы, чтобы снова вернуть поврежденный FPC в рабочее состояние. Эта проблема затрагивает: Juniper Networks Junos OS 22.1 версии 22.1R2 и более поздние версии; 22.1 версии до 22.1R3; 22.2 версии до 22.2R2. Juniper Networks Junos OS эволюционировала 21.3-EVO версии 21.3R3-EVO и более поздние версии; 21.4-EVO версии 21.4R1-S2-EVO, 21.4R2-EVO и более поздние версии до 21.4R2-S1-EVO; 22.1-EVO версии 22.1R2-EVO и более поздние версии до 22.1R3-EVO; 22.2-EVO версии до 22.2R1-S1-EVO, 22.2R2-EVO.

• CVE-2023-22400: An Uncontrolled Resource Consumption vulnerability in the PFE management daemon (evo-pfemand) of Juniper Networks Junos OS Evolved allows an unauthenticated, network-based attacker to cause an FPC crash leading to a Denial of Service (DoS). When a specific SNMP GET operation or a specific CLI command is executed this will cause a GUID resource leak, eventually leading to exhaustion and result in an FPC crash and reboot. GUID exhaustion will trigger a syslog message like one of the following for example: evo-pfemand[<pid>]: get_next_guid: Ran out of Guid Space … evo-aftmand-zx[<pid>]: get_next_guid: Ran out of Guid Space … This leak can be monitored by running the following command and taking note of the value in the rightmost column labeled Guids: user@host> show platform application-info allocations app evo-pfemand | match “IFDId|IFLId|Context” Node Application Context Name Live Allocs Fails Guids re0 evo-pfemand net::juniper::interfaces::IFDId 0 3448 0 3448 re0 evo-pfemand net::juniper::interfaces::IFLId 0 561 0 561 user@host> show platform application-info allocations app evo-pfemand | match “IFDId|IFLId|Context” Node Application Context Name Live Allocs Fails Guids re0 evo-pfemand net::juniper::interfaces::IFDId 0 3784 0 3784 re0 evo-pfemand net::juniper::interfaces::IFLId 0 647 0 647 This issue affects Juniper Networks Junos OS Evolved: All versions prior to 20.4R3-S3-EVO; 21.1-EVO version 21.1R1-EVO and later versions; 21.2-EVO versions prior to 21.2R3-S4-EVO; 21.3-EVO version 21.3R1-EVO and later versions; 21.4-EVO versions prior to 21.4R2-EVO.

• CVE-2023-20016: Уязвимость в функции конфигурации резервного копирования программного обеспечения Cisco UCS Manager и в функции экспорта конфигурации программного обеспечения Cisco FXOS может позволить злоумышленнику, не прошедшему проверку подлинности, имеющему доступ к файлу резервной копии, расшифровать конфиденциальную информацию, хранящуюся в файлах резервных копий полного состояния и конфигурации. Эта уязвимость связана со слабостью метода шифрования, используемого для функции резервного копирования. Злоумышленник может воспользоваться этой уязвимостью, используя статический ключ, используемый для функции настройки резервного копирования. Успешный эксплойт может позволить злоумышленнику расшифровать конфиденциальную информацию, хранящуюся в файлах резервных копий полного состояния и конфигурации, такую как учетные данные локального пользователя, пароли сервера аутентификации, имена сообщества Simple Network Management Protocol (SNMP) и другие учетные данные.

• CVE-2023-20009: Уязвимость в веб-интерфейсе и административной командной строке Cisco Secure Email Gateway (ESA) и Cisco Secure Email and Web Manager (SMA) может позволить прошедшему проверку подлинности удаленному злоумышленнику и /или прошедшему проверку подлинности локальному злоумышленнику повысить уровень своих привилегий и получить root-доступ. Злоумышленник должен иметь действительные учетные данные пользователя, по крайней мере, с [[привилегией оператора – подтвердить фактическое имя]]. Уязвимость связана с обработкой специально созданного файла конфигурации SNMP. Злоумышленник может воспользоваться этой уязвимостью, выполнив аутентификацию на целевом устройстве и загрузив специально созданный файл конфигурации SNMP, который при загрузке может позволить выполнять команды от имени root. Эксплойт может позволить злоумышленнику получить root-доступ к устройству.

Полезная информация

– SNMP использует UDP-порт 161 для связи между SNMP-менеджером и SNMP-агентом.

– SNMPv1 и SNMPv2c используют строки сообщества для аутентификации, которые представляют собой текстовые строки, передаваемые открытым текстом. SNMPv3 предоставляет более безопасные методы аутентификации, такие как алгоритмы хеширования MD5 и SHA-1.

– Агенты SNMP могут генерировать ловушки, которые представляют собой нежелательные сообщения, отправляемые менеджеру SNMP для сообщения о таких событиях, как системные ошибки, нарушения безопасности и сбои устройств.

– SNMP обычно используется для мониторинга производительности сети, доступности устройств и управления конфигурацией.

– SNMP может быть уязвим для таких атак, как несанкционированный доступ, отказ в обслуживании (DoS) и раскрытие информации.

Книги для учебы SNMP

Основной SNMP, Второе издание Дуглас Мауро и Кевин Шмидт – Эта книга представляет собой введение в SNMP и охватывает основы архитектуры SNMP, MIBS, SNMPv1, SNMPv2c, SNMPv3 и другие протоколы, связанные с SNMP.

Понимание MIBS SNMP Дэвид Перкинс – В этой книге рассматриваются основы MIBS SNMP, в том числе как читать и интерпретировать MIBS, как создавать пользовательские MIBS и как устранять неполадки, связанные с MIB.

SNMP, SNMPv2, SNMPv3 и RMON 1 и 2 Уильям Столлингс – В этой книге представлен обзор SNMP и его вариантов, а также RMON (удаленный мониторинг), который является еще одним протоколом для мониторинга сетевых устройств.

Руководство разработчика SNMP-приложений автор Марк А. Миллер – Эта книга посвящена программированию SNMP для разработчиков, включая архитектуру SNMP, MIB, SNMPv1, SNMPv2c, SNMPv3 и протоколы, связанные с SNMP.

Управление сетью SNMP Уильям Столлингс – В этой книге представлен подробный обзор SNMP, включая архитектуру SNMP, MIBS, SNMPv1, SNMPv2c, SNMPv3 и протоколы, связанные с SNMP, а также приложения и инструменты сетевого управления.

Понимание SNMPv3 Дэвид Т. Перкинс – В этой книге рассматривается SNMPv3, который является наиболее безопасной версией SNMP, обеспечивающей шифрование и аутентификацию для предотвращения несанкционированного доступа и обеспечения целостности данных.

Простая книга: Введение в сетевое управление автор: Маршалл Т. Роуз – Эта книга содержит введение в SNMP и другие протоколы сетевого управления, а также рекомендации по управлению сетевыми устройствами.

Управление сетью ATM на основе SNMP автор Хуэй-Хуан Сюй – В этой книге рассматривается сетевое управление на основе SNMP для сетей в режиме асинхронной передачи (ATM), которые используются для высокоскоростной передачи данных.

SNMP на границе: Построение эффективных систем управления услугами Грег Ферро и Дейл Лью – Эта книга посвящена управлению службами на основе SNMP для корпоративных сетей, включая проектирование сети, архитектуру и устранение неполадок.

SNMP, SNMPv2, SNMPv3 и RMON 1 и 2 Уильям Столлингс (пересмотренное издание) – Это обновленное издание охватывает последние разработки в SNMP и связанных протоколах, включая усовершенствования безопасности SNMPv3 и мониторинг сети RMON2.

Список полезной нагрузки для SNMP

  • ПОЛУЧИТЬ полезную нагрузку запроса PDU: Содержит идентификатор объекта (OID) для запрашиваемых данных.

  • ПОЛУЧИТЬ полезную нагрузку PDU ответа: Содержит значение запрошенных данных, а также статус ошибки и индекс ошибки, если применимо.

  • УСТАНОВИТЬ полезную нагрузку запроса PDU: Содержит OID и новое значение, которое нужно установить.

  • Полезная нагрузка TRAP PDU: Содержит информацию о событии, вызвавшем ловушку, такую как OID, значение и временная метка.

Смягчение последствий

  1. Ограничьте доступ к устройствам SNMP только авторизованному персоналу. Это может быть достигнуто с помощью списков контроля доступа (ACL) или других механизмов, таких как брандмауэры или VPN.

  2. SNMPv3 предоставляет механизмы аутентификации и шифрования для защиты сообщений SNMP от несанкционированного доступа или подделки. Обязательно используйте надежные методы аутентификации и шифрования, такие как SHA-256 или AES.

  3. Строки сообщества SNMP подобны паролям, которые разрешают доступ к SNMP-устройствам. Измените строки сообщества по умолчанию на надежные уникальные значения, чтобы предотвратить несанкционированный доступ.

  4. Если SNMP на устройстве не требуется, отключите его. Это уменьшает поверхность атаки и сводит к минимуму риск уязвимостей, связанных с SNMP.

  5. Отслеживайте трафик SNMP для обнаружения аномальной активности, такой как попытки несанкционированного доступа или необычные шаблоны запросов SNMP.

  6. Обновляйте SNMP-устройства с помощью последних исправлений безопасности и встроенного ПО, чтобы свести к минимуму риск известных уязвимостей.

Заключение

SNMP - это протокол для управления сетью и мониторинга, который может быть уязвим для различных атак. Методы смягчения включают внедрение контроля доступа, использование SNMPv3 с надежной аутентификацией и шифрованием, изменение строк сообщества по умолчанию, отключение SNMP на несущественных устройствах, мониторинг трафика SNMP и поддержание устройств в актуальном состоянии.

Другие Услуги

Готовы к безопасности?

Связаться с нами