07 Кві, 2023

Простий протокол мережевого управління (SNMP)

Penetration Testing as a service (PTaaS)

Tests security measures and simulates attacks to identify weaknesses.

Простий протокол мережевого управління (SNMP)і це протокол, який використовується для управління мережевими пристроями та моніторингу. Він працює шляхом відправки повідомлень між пристроями з підтримкою SNMP, дозволяючи адміністраторам відстежувати продуктивність, віддалено налаштовувати пристрою і керувати ними, а також усувати неполадки в мережі. SNMP заснований на ієрархічній структурі управлінської інформації, званої Базою управлінської інформації (MIB), і має декілька версій, причому SNMPv3 є найбільш безпечною.

Загальні порти SNMP

Port 161: Це порт за замовчуванням для SNMP. Він використовується для прийому SNMP-запитів від систем мережного управління.

Port 162: Цей порт використовується для прийому SNMP-пасток від мережевих пристроїв. Пастки - це небажані повідомлення, надіслані пристроями для оповіщення систем мережного управління про важливі події або умови.

Інструменти для використання протоколу

Ручні Інструменти:

  • snmpwalk – Інструмент командного рядка, використовуваний для витягання інформації з пристроїв з підтримкою SNMP.

  • snmpget – Інструмент командного рядка, який використовується для вилучення одного значення з пристрою з підтримкою SNMP.

  • snmpset – Інструмент командного рядка, який використовується для установки значень на пристрої з підтримкою SNMP.

  • snmptrap – Інструмент командного рядка, який використовується для відправки повідомлень SNMP trap менеджеру або одержувачу.

  • SNMP MIB Browser – Ручний інструмент, використовуваний для перегляду запиту MIBS SNMP (Бази управлінської інформації) пристроїв з підтримкою SNMP.

  • Net-SNMP – Набір інструментів, пов'язаних з SNMP, який включає snmpwalk, snmpget, snmpset і snmptrap, а також інші утиліти для управління SNMP.

  • SNMP Tester – Ручний інструмент, який може імітувати агент SNMP і відповідати на запити SNMP в цілях тестування.

  • MIB Viewer – Ручний інструмент, використовуваний для перегляду запиту MIBS SNMP пристроїв з підтримкою SNMP.

  • Paessler SNMP Tester – Ручний інструмент, який може запитувати пристрої з підтримкою SNMP і відображати результати.

  • Ethereal – Ручний аналізатор мережевих протоколів, який може захоплювати і відображати SNMP-трафік для аналізу.

Автоматизовані інструменти:

  • Nagios – Система моніторингу з відкритим вихідним кодом, яка використовує SNMP для моніторингу працездатності та стану мережевих пристроїв і служб.

  • Cacti – Інструмент моніторингу з відкритим вихідним кодом, який використовує SNMP для збору і побудови графіків даних про мережевому трафіку і продуктивності пристроїв.

  • PRTG Network Monitor – Комерційний інструмент моніторингу мережі, який використовує SNMP для моніторингу мережевих пристроїв і служб, а також інших протоколів.

  • Zabbix – Інструмент моніторингу з відкритим вихідним кодом, який використовує SNMP для моніторингу мережевих пристроїв і служб, а також інших протоколів.

  • Observium – Інструмент моніторингу з відкритим вихідним кодом, який використовує SNMP для моніторингу мережевих пристроїв і служб, а також інших протоколів.

  • SolarWinds Network Performance Monitor – Комерційний інструмент моніторингу мережі, який використовує SNMP для моніторингу мережевих пристроїв і служб, а також інших протоколів.

  • Librenms – Інструмент моніторингу з відкритим вихідним кодом, який використовує SNMP для моніторингу мережевих пристроїв і служб, а також інших протоколів.

  • OpenNMS – Інструмент моніторингу з відкритим вихідним кодом, який використовує SNMP для моніторингу мережевих пристроїв і служб, а також інших протоколів.

  • NetXMS – Інструмент моніторингу з відкритим вихідним кодом, який використовує SNMP для моніторингу мережевих пристроїв і служб, а також інших протоколів.

  • Spiceworks Network Monitor – Безкоштовний інструмент моніторингу мережі, який використовує SNMP для моніторингу мережевих пристроїв і служб.

Останні п'ять відомих CVE для SNMP

• CVE-2023-26602: Прошивка ASUS ASMB8 iKVM версії 1.14.51 дозволяє віддаленим зловмисникам виконувати довільний код, використовуючи SNMP для створення розширень, як продемонстровано snmpset для NET-SNMP-EXTEND-MIB з /bin/sh для виконання команди.

• CVE-2023-22401: Неправильна перевірка уразливості індексу масиву в демона Advanced Forwarding Toolkit Manager daemon (aftmand) Juniper Networks Junos OS і Junos OS Evolved дозволяє зловмисникові, який не пройшов перевірку автентичності в мережі, викликати відмову в обслуговуванні (DoS). На платформах PTX10008 і PTX10016, що працюють під управлінням Junos OS або Junos OS Evolved, при запиті певного SNMP MIB це призведе до збою PFE, і FPC відключиться і не відновиться автоматично. Потрібне перезавантаження системи, щоб знову повернути пошкоджений FPC в робочий стан. Ця проблема зачіпає: Juniper Networks Junos OS версії 22 22.1.1R2 і більш пізні версії; 22.1 версії до 22.1R3; 22.2 версії до 22.2R2. Juniper Networks Junos OS еволюціонувала 21.3-EVO версії 21.3R3-EVO і більш пізні версії; 21.4-EVO версії 21.4R1-S2-EVO, 21.4R2-EVO і більш пізні версії до 21.4R2-S1-EVO; 22.1-EVO версії 22.1R2-EVO і більш пізні версії до 22.1R3-EVO; 22.2-EVO версії до 22.2R1-S1-EVO, 22.2R2-EVO.

• CVE-2023-22400: An Uncontrolled Resource Consumption vulnerability in the PFE management daemon (evo-pfemand) of Juniper Networks Junos OS Evolved allows an unauthenticated, network-based attacker to cause an FPC crash leading to a Denial of Service (DoS). When a specific SNMP GET operation or a specific CLI command is executed this will cause a GUID resource leak, eventually leading to exhaustion and result in an FPC crash and reboot. GUID exhaustion will trigger a syslog message like one of the following for example: evo-pfemand[<pid>]: get_next_guid: Ran out of Guid Space … evo-aftmand-zx[<pid>]: get_next_guid: Ran out of Guid Space … This leak can be monitored by running the following command and taking note of the value in the rightmost column labeled Guids: user@host> show platform application-info allocations app evo-pfemand | match “IFDId|IFLId|Context” Node Application Context Name Live Allocs Fails Guids re0 evo-pfemand net::juniper::interfaces::IFDId 0 3448 0 3448 re0 evo-pfemand net::juniper::interfaces::IFLId 0 561 0 561 user@host> show platform application-info allocations app evo-pfemand | match “IFDId|IFLId|Context” Node Application Context Name Live Allocs Fails Guids re0 evo-pfemand net::juniper::interfaces::IFDId 0 3784 0 3784 re0 evo-pfemand net::juniper::interfaces::IFLId 0 647 0 647 This issue affects Juniper Networks Junos OS Evolved: All versions prior to 20.4R3-S3-EVO; 21.1-EVO version 21.1R1-EVO and later versions; 21.2-EVO versions prior to 21.2R3-S4-EVO; 21.3-EVO version 21.3R1-EVO and later versions; 21.4-EVO versions prior to 21.4R2-EVO.

• CVE-2023-20016: Уразливість в функції конфігурації резервного копіювання програмного забезпечення Cisco UCS Manager і функції експорту конфігурації програмного забезпечення Cisco FXOS може дозволити зловмиснику, який не пройшов перевірку автентичності, має доступ до файлу резервної копії, розшифрувати конфіденційну інформацію, що зберігається у файлах резервних копій повного стану та конфігурації. Ця вразливість пов'язана зі слабкістю методу шифрування, що використовується для функції резервного копіювання. Зловмисник може скористатися цією уразливістю, використовуючи статичний ключ, використовуваний для функції налаштування резервного копіювання. Успішний експлойт може дозволити зловмиснику розшифрувати конфіденційну інформацію, що зберігається у файлах резервних копій повного стану та конфігурації, таку як облікові дані локального користувача, паролі сервера аутентифікації, імена спільноти Simple Network Management Protocol (SNMP) та інші облікові дані.

• CVE-2023-20009: Уразливості в веб-інтерфейсі і адміністративної командному рядку Cisco Secure Email Gateway (ESA) і Cisco Secure Email and Web Manager (SMA) може дозволити пройшов перевірку автентичності віддаленого зловмиснику та /або який пройшов перевірку автентичності локального зловмиснику підвищити рівень своїх привілеїв і отримати root-доступ. Зловмисник повинен мати дійсні облікові дані користувача, принаймні, з [[привілеєм оператора – підтвердити фактичне ім'я]]. Уразливість пов'язана з обробкою спеціально створеного файлу конфігурації SNMP. Зловмисник може скористатися цією уразливістю, виконавши аутентифікацію на цільовому пристрої і завантаживши спеціально створений файл конфігурації SNMP, який при завантаженні може дозволити виконувати команди від імені root. Експлойт може дозволити зловмиснику отримати root-доступ до пристрою.

Корисна інформація

– SNMP використовує UDP-порт 161 для зв'язку між SNMP-менеджером і SNMP-агентом.

– SNMPv1 і SNMPv2c використовують рядки співтовариства для аутентифікації, які являють собою текстові рядки, що передаються відкритим текстом. SNMPv3 надає більш безпечні методи аутентифікації, такі як алгоритми хешування MD5 і SHA-1.

– Агенти SNMP можуть генерувати пастки, які являють собою небажані повідомлення, надіслані менеджеру SNMP для повідомлення про такі події, як системні помилки, порушення безпеки і збої пристроїв.

– SNMP зазвичай використовується для моніторингу продуктивності мережі, доступності пристроїв і керування конфігурацією.

– SNMP може бути уразливий для таких атак, як несанкціонований доступ, відмова в обслуговуванні (DoS) і розкриття інформації.

Книги для навчання SNMP

Основний SNMP, Друге видання Дуглас Мауро і Кевін Шмідт – Ця книга являє собою введення в SNMP і охоплює основи архітектури SNMP, MIBS, SNMPv1, SNMPv2c, SNMPv3 і інші протоколи, пов'язані з SNMP.

Розуміння MIBS SNMP Девід Перкінс – У цій книзі розглядаються основи MIBS SNMP, в тому числі як читати та інтерпретувати MIBS, як створювати користувальницькі MIBS і як усувати неполадки, пов'язані з MIB.

SNMP, SNMPv2, SNMPv3 і RMON 1 і 2 Вільям Столлингс – У цій книзі представлений огляд SNMP і його варіантів, а також RMON (віддалений моніторинг), який є ще одним протоколом для моніторингу мережевих пристроїв.

Керівництво розробника SNMP-додатків автор Марк А. Міллер – Ця книга присвячена програмуванню SNMP для розробників, включаючи архітектуру SNMP, MIB, SNMPv1, SNMPv2c, SNMPv3 і протоколи, пов'язані з SNMP.

Управління мережею SNMP Вільям Столлингс – У цій книзі представлений детальний огляд SNMP, включаючи архітектуру SNMP, MIBS, SNMPv1, SNMPv2c, SNMPv3 і протоколи, пов'язані з SNMP, а також програми та інструменти мережного управління.

Розуміння SNMPv3 Девід Т. Перкінс – У цій книзі розглядається SNMPv3, який є найбільш безпечною версією SNMP, що забезпечує шифрування і аутентифікації для запобігання несанкціонованого доступу і забезпечення цілісності даних.

Проста книга: Введення в мережеве управління автор: Маршалл Т. Роуз – Ця книга містить введення в SNMP і інші протоколи мережевого управління, а також рекомендації з управління мережевими пристроями.

Управління мережею ATM на основі SNMP автор Хуей-Хуан Сюй – У цій книзі розглядається мережеве управління на основі SNMP для мереж в режим асинхронної передачі (ATM), які використовуються для високошвидкісної передачі даних.

SNMP на кордоні: Побудова ефективних систем управління послугами Грег Ферро і Дейл Лью – Ця книга присвячена управління службами на основі SNMP для корпоративних мереж, включаючи проектування мережі, архітектуру і усунення неполадок.

SNMP, SNMPv2, SNMPv3 і RMON 1 і 2 Вільям Столлингс (перероблене видання) – Це оновлене видання охоплює останні розробки в SNMP і пов'язаних протоколах, включаючи удосконалення безпеки SNMPv3 і моніторинг мережі RMON2.

Список корисного навантаження для SNMP

  • ОТРИМАТИ корисну навантаження запиту PDU: Містить ідентифікатор об'єкта (OID) для запитуваних даних.

  • ОТРИМАТИ корисну навантаження PDU відповіді: Містить значення запитаних даних, а також статус помилки і індекс помилки, якщо застосовно.

  • ВСТАНОВИТИ корисну навантаження запиту PDU: Містить OID і нове значення, яке потрібно встановити.

  • Корисне навантаження TRAP PDU: Містить інформацію про подію, що викликала пастку, таку як OID, значення і тимчасова мітка.

Пом'якшення наслідків

  1. Обмежте доступ до пристроїв SNMP тільки авторизованому персоналу. Це може бути досягнуто за допомогою списків контролю доступу (ACL) або інших механізмів, таких як брандмауери або VPN.

  2. SNMPv3 надає механізми аутентифікації і шифрування для захисту повідомлень SNMP від несанкціонованого доступу або підробки. Обов'язково використовуйте надійні методи аутентифікації і шифрування, такі як SHA-256 або AES.

  3. Рядки співтовариства SNMP подібні паролів, які дозволяють доступ до SNMP-пристроїв. Змініть рядка співтовариства за замовчуванням на надійні унікальні значення, щоб запобігти несанкціонований доступ.

  4. Якщо SNMP на пристрої не потрібно, відключіть його. Це зменшує поверхню атаки і зводить до мінімуму ризик вразливостей, пов'язаних з SNMP.

  5. Відстежуйте трафік SNMP для виявлення аномальної активності, такий як спроби несанкціонованого доступу або незвичайні шаблони запитів SNMP.

  6. Оновлюйте SNMP-пристрою за допомогою останніх виправлень безпеки і вбудованого ПО, щоб звести до мінімуму ризик відомих вразливостей.

Висновок

SNMP - це протокол для управління мережею і моніторингу, який може бути уразливий для різних атак. Методи пом'якшення включають впровадження контролю доступу, використання SNMPv3 з надійною аутентифікацією і шифруванням, зміна рядків співтовариства за замовчуванням, відключення SNMP на несуттєвих пристроях, моніторинг трафіку SNMP і підтримання пристроїв в актуальному стані.

Інші Послуги

Готові до безпеки?

зв'язатися з нами