[linux] Nahrada SNMP
M.F. PSIkappa
psi na platon.atlantis.sk
Úterý Květen 22 18:53:27 CEST 2001
On Tue, 22 May 2001, Tibor Pittich wrote:
> Dňa 21. máj 2001 o 20:07, Juraj Bednar napísal(a):
>
> > > hmm, okrem toho, ze jedina autentifikacna sranda je community string,
> > > ktory sa po sieti posiela v nekryptovanom tvare, skoro nic ;-)
>
> v tomto kontexte by sa zislo spomenut aj ip adresu, z ktorej je komunita
> pristupna, a samozrejme filtrovacie pravidla na vstupnom interface.. to
> uz nie je tak celkom nic..
hmm, vyrobit jeden udp packet, ktory obsahuje spravny community string,
spravnu zdrojovu a cielovu IP nieje az take velke umenie vyrobit a cely
system mozes ist do hajan....
> > > Ale nie, hocikto (kto si stiahne SNMPsniff) ti moze odchytit komunity
> > > string a davat dotazy zariadeniam, tym padom nesedia pocitadla, a ak
>
> hmmm... a ako ublizi pocitadlam, ze sa ich niekto opyta: "kolko bolo
> prenesenych dat, alebo aky je cas behu snmp-demona" ?
To by si sa dost cudoval, ale su systemy, tusim aj Tivoli je nato
nachylne, ze si kontroluju stav pocitadiel a ked to vykazuje rozdiely, tak
robia poplachy...
Inak, myslis, si ze cez SNMP sa na pocitadlach neda urobit DoS ?
Garantujem ti, ze dokazes zahltit zariadenie, ktore je spravne
nakonfigurovane, ma nastavene ine community stringy ako default a ma
dokonca aj filtracne pravidla, taky programcek co na zaklade zachyteneho
SNMP packetu vyrobi kopie a zahlti tim zariadenie napises za chvilku. A
kedze SNMP bolo vytvorene s ohladom na setrenie zdrojov, tak to zariadenie
zahltis velmi rychlo...
> > > nahodou mas nakonfigurovane aj write community string a niekto ti ho
> > > odchyti, tak si moze robit co len chce, prepisat ti IP adresu alebo aj
> > > nieco ine, zalezi od konfiguracie SNMP.
>
> tak isto zalezi aj od spravnej konfiguracie a od nasadenia...
Nedokazes napisat ziadne filtracne pravidla, ktore by zabranili odchyteniu
SNMP packetu a jeho reprodukcii, jedine, zeby to bol point-to-point
spoj...;-)
> > > Keby to bol bezpecny protokol nesnazili by sa vyvinut bezpecnejsiu
> > > verziu, ktora sa zatial k masivnemu rozsirenie nedostala, kvoli
> > > nedotiahnutym standardizacnym procesom.
>
> existuju RRD tool-y.. nepouzivaju snmp protokol a je to samozrejme
> zdegradovane na hodnoty, na zaklade ktorych sa daju kreslit dakym
> sposobom zaujimave grafy (bandwidth, teplota miestnosti, telesna teplota
> admina...)
RRD tool-y to mi nic nehovori, skus hodit nieco blizsieho...
> > a nezabudni na man-in-the-middle attack, kedze sa nepouziva
> > kryptografia, je to vulnerable na tento druh utoku (vid dsniff, hunt a
> > kamarati).
> > Juraj.
>
> imho, podstatne menej ako su vulnerable tisice masin koli bind-u,
> wu-ftpd a "kamaratom"... aky pekny pocit bezpecia,..
Ja viem, ze su aj podstatnejsie veci, ale ked ma zrovna toto skrie, tak sa
s tym musim nejako vysporiadat. Nechcem zas vies ziaden flame war, ako
posledne, ked sme sa bavili o ftpd...
PSIkappa
psi na atlantis.sk
Další informace o konferenci linux