[linux] Nahrada SNMP

[M.F. PSIkappa]

On Tue, 22 May 2001, Tibor Pittich wrote:

> Dňa 21. máj 2001 o 20:07, Juraj Bednar napísal(a):
> 
> > > hmm, okrem toho, ze jedina autentifikacna sranda je community string,
> > > ktory sa po sieti posiela v nekryptovanom tvare, skoro nic ;-)
> 
> v tomto kontexte by sa zislo spomenut aj ip adresu, z ktorej je komunita
> pristupna, a samozrejme filtrovacie pravidla na vstupnom interface.. to
> uz nie je tak celkom nic..

hmm, vyrobit jeden udp packet, ktory obsahuje spravny community string,
spravnu zdrojovu a cielovu IP nieje az take velke umenie vyrobit a cely
system mozes ist do hajan....
 
> > > Ale nie, hocikto (kto si stiahne SNMPsniff) ti moze odchytit komunity
> > > string a davat dotazy zariadeniam, tym padom nesedia pocitadla, a ak
> 
> hmmm... a ako ublizi pocitadlam, ze sa ich niekto opyta: "kolko bolo
> prenesenych dat, alebo aky je cas behu snmp-demona" ?

To by si sa dost cudoval, ale su systemy, tusim aj Tivoli je nato
nachylne, ze si kontroluju stav pocitadiel a ked to vykazuje rozdiely, tak
robia poplachy...
Inak, myslis, si ze cez SNMP sa na pocitadlach neda urobit DoS ?
Garantujem ti, ze dokazes zahltit zariadenie, ktore je spravne
nakonfigurovane, ma nastavene ine community stringy ako default a ma
dokonca aj filtracne pravidla, taky programcek co na zaklade zachyteneho
SNMP packetu vyrobi kopie a zahlti tim zariadenie napises za chvilku. A
kedze SNMP bolo vytvorene s ohladom na setrenie zdrojov, tak to zariadenie
zahltis velmi rychlo...
 
> > > nahodou mas nakonfigurovane aj write community string a niekto ti ho
> > > odchyti, tak si moze robit co len chce, prepisat ti IP adresu alebo aj
> > > nieco ine, zalezi od konfiguracie SNMP.
> 
> tak isto zalezi aj od spravnej konfiguracie a od nasadenia...

Nedokazes napisat ziadne filtracne pravidla, ktore by zabranili odchyteniu
SNMP packetu a jeho reprodukcii, jedine, zeby to bol point-to-point
spoj...;-)

> > > Keby to bol bezpecny protokol nesnazili by sa vyvinut bezpecnejsiu
> > > verziu, ktora sa zatial k masivnemu rozsirenie nedostala, kvoli
> > > nedotiahnutym standardizacnym procesom.
> 
> existuju RRD tool-y.. nepouzivaju snmp protokol a je to samozrejme
> zdegradovane na hodnoty, na zaklade ktorych sa daju kreslit dakym
> sposobom zaujimave grafy (bandwidth, teplota miestnosti, telesna teplota
> admina...)

RRD tool-y to mi nic nehovori, skus hodit nieco blizsieho...

> > a nezabudni na man-in-the-middle attack, kedze sa nepouziva
> > kryptografia, je to vulnerable na tento druh utoku (vid dsniff, hunt a
> > kamarati).
> >    Juraj.
> 
> imho, podstatne menej ako su vulnerable tisice masin koli bind-u,
> wu-ftpd a "kamaratom"... aky pekny pocit bezpecia,..

Ja viem, ze su aj podstatnejsie veci, ale ked ma zrovna toto skrie, tak sa
s tym musim nejako vysporiadat. Nechcem zas vies ziaden flame war, ako
posledne, ked sme sa bavili o ftpd...

PSIkappa
psi na atlantis.sk