Pós-
Gra
duaç
ão L
ato-S
ensu
em
Seg
ura
nça
da
Info
rmaç
ão
SNMP / ZABBIZ © Aécio
Especializando em Segurança da Informação
Alberto José Ferreira de LimaEspecializando em Segurança da Informação - iDez
Mestrando em Educação - UFPB
PedroEspecializando em Segurança da Informação
João Pessoa, julho de 2010.
Curso de Informática Avançada
Pós
-Gra
duaç
ão L
ato-
Sen
su e
m S
egur
ança
da
Info
rmaç
ão
2© Aécio, Alberto e Pedro, 2010 ― SNMP / ZABIX
Agenda
• Motivação• SNMP• Vulnerabilidades• Contra-medidas• ZABBIX• Procedimentos de instalação/configuração• Demonstrar uma vulnerabilidade/correção
Pós
-Gra
duaç
ão L
ato-
Sen
su e
m S
egur
ança
da
Info
rmaç
ão
3© Aécio, Alberto e Pedro, 2010 ― SNMP / ZABIX
Motivação para gestão da rede – “Coisas acontecem”
• Por quê gerenciar?
Pós
-Gra
duaç
ão L
ato-
Sen
su e
m S
egur
ança
da
Info
rmaç
ão
4© Aécio, Alberto e Pedro, 2010 ― SNMP / ZABIX
Motivação para gestão da rede – “Coisas acontecem”
• Redes de computadores são sistemas complexos autônomos formados por uma grande quantidade de hardware e componentes de software.
networkdata linkphysical
applicationtransportnetworkdata linkphysical
networkdata linkphysical
networkdata linkphysical
networkdata linkphysical
networkdata linkphysical
networkdata linkphysical
networkdata linkphysical
networkdata linkphysical
applicationtransportnetworkdata linkphysical
applicationtransportnetworkdata linkphysical
Pós
-Gra
duaç
ão L
ato-
Sen
su e
m S
egur
ança
da
Info
rmaç
ão
5© Aécio, Alberto e Pedro, 2010 ― SNMP / ZABIX
Motivação para gestão da rede – “Coisas acontecem”
• Inúmeras questões/problemas potenciais para lidar com ...
dispositivo gerenciado
dispositivo gerenciado
dispositivo gerenciado
dispositivo gerenciadoproblemas de desempenho
interrupção de dispositivosmá-configuração
problemas de segurança
bugs de software
outras questões
Pós
-Gra
duaç
ão L
ato-
Sen
su e
m S
egur
ança
da
Info
rmaç
ão
6© Aécio, Alberto e Pedro, 2010 ― SNMP / ZABIX
Motivação para gestão da rede – “Coisas acontecem”
• Nesta apresentação, mostraremos um protocolo e uma ferramenta disponíveis para identificar e resolver estes problemas.– SNMP– ZABBIX
Pós
-Gra
duaç
ão L
ato-
Sen
su e
m S
egur
ança
da
Info
rmaç
ão
7© Aécio, Alberto e Pedro, 2010 ― SNMP / ZABIX
SNMP
Gerenciamento de rede• Em linhas gerais, emprega o uso de ferramentas, técnicas e sistemas
para ajudar os administradores no gerenciamento de vários dispositivos.
4 objetivos-chave• Monitorar ...
– ver o que está acontecendo– interfaces de hosts, os níveis de tráfego, os níveis de serviço, segurança,
desempenho, alterações na tabela de roteamento, etc• Analisar ...
– determinar o que isso significa• Reativa controle ...
– agir com base no que está acontecendo• Gerenciar proativamente ...
– agir com base naquilo que as atuais tendências dizer que vai acontecer
Pós
-Gra
duaç
ão L
ato-
Sen
su e
m S
egur
ança
da
Info
rmaç
ão
8© Aécio, Alberto e Pedro, 2010 ― SNMP / ZABIX
SNMP
Componentes básicos
agente dado
agente dado
agente dado
agente dado
dispositivo gerenciado
dispositivo gerenciado
dispositivo gerenciado
dispositivo genciado
entidadegerência dado
dispositivos gerenciados dispositivos gerenciados contêm objetos gerenciados cujos dados são reunidos numa Management Information Base (MIB)
Network Management Station (NMS)Network Management Station (NMS)
networknetworkmanagementmanagement
Protocol - SNMPProtocol - SNMP
Pós
-Gra
duaç
ão L
ato-
Sen
su e
m S
egur
ança
da
Info
rmaç
ão
9© Aécio, Alberto e Pedro, 2010 ― SNMP / ZABIX
SNMP
SNMP é baseado em 4 partes:• Protocolo SNMP
– Define o formato das mensagens trocadas entre os sistemas de gerência e agentes.
– Usa UDP, porta 161 (requisições/respostas) e 162 (notificações).
– Versões: SNMPv1, SNMPv2, SNMPv3.– Especifica as operações Get, GetNext, Set, and Trap.
• GET, usado para retirar um pedaço de informação de gerenciamento.
• GETNEXT, usado interativamente para retirar sequências de informação de gerenciamento.
• SET, usado para fazer uma mudança no subsistema gerido.
• TRAP, usado para reportar uma notificação ou para outros eventos assíncronos sobre o subsistema gerido
Pós
-Gra
duaç
ão L
ato-
Sen
su e
m S
egur
ança
da
Info
rmaç
ão
10© Aécio, Alberto e Pedro, 2010 ― SNMP / ZABIX
SNMP
• Structure of Management Information (SMI)– Regras especificando o formato usado para definir
objetos gerenciados na rede que o protocolo SNMP acessa.
– Os objetos são definidos usando Abstract Syntax Notation One ASN.1 (ITU-T X.208 / ISO 8824).
• Management Information Base (MIB)– Um mapa da ordem hierárquica de todos os
objetos gerenciados e como eles são acessados.– MIB-II, RMON MIB, Bridge MIB, Repeater MIB,
X.25 MIB, FDDI MIB, Token Ring MIB, ...
Pós
-Gra
duaç
ão L
ato-
Sen
su e
m S
egur
ança
da
Info
rmaç
ão
11© Aécio, Alberto e Pedro, 2010 ― SNMP / ZABIX
SNMP
• Object IDentifier (OID)
- Identificador global para um tipo de objeto parcitular
- Um OID consiste de uma sequência de inteiros, os quais especificam uma posição de um objeto na árvore de identificação de objetos global
- Exemplo .1.3.6.1.2.1.1
- iso(1) org(3) dod(6) internet(1) mgmt(2)
mib-2(1) system(1)
1
3
6
1
1
2 3
4
1
1
2 4
6
iso(1)
org(3)
dod(6)
internet(1)
directory(1)
mgmt(2) experimental(3)
mib-2(1)
system(1)
interfaces(2) ip(4)
Pós
-Gra
duaç
ão L
ato-
Sen
su e
m S
egur
ança
da
Info
rmaç
ão
12© Aécio, Alberto e Pedro, 2010 ― SNMP / ZABIX
SNMP
• Segurança– SNMP Communities String como senha.– Community
• Relação entre um agente e gerentes.• Community Name
– Usado para validar as mensagens SNMP– SNMP Password.– Default ‘Get’ community name: “public”.
– O SNMPv2 oferece uma boa quantidade de melhoramentos em relação ao SNMPv1, incluindo operações adicionais do protocolo, melhoria na performance, segurança, confidencialidade e comunicações Gerente-para-Gerente.
– A SNMPv3 inclui implementação na segurança ao protocolo como, autenticação e controle de acesso
Pós
-Gra
duaç
ão L
ato-
Sen
su e
m S
egur
ança
da
Info
rmaç
ão
13© Aécio, Alberto e Pedro, 2010 ― SNMP / ZABIX
Vulnerabilidades
• Testes no SNMPv1 pela Finland’s Oulu University revelou as seguintes vulnerabilidades no protocolo SNMP:– Manipulação de Trap
• Múltiplas vulnerabilidades foram encontradas na forma como decodificar numerosos NMSs e processar mensagem do tipo trap.
– Solicitação de manipulação• Os testes também revelaram deficiências na
forma dos agentes SNMP decodificar e processar a solicitação de mensagens SNMP.
• Essas vulnerabilities podem levar aos seguintes ataques:– denial of service attacks, format string
vulnerability, and buffer overflows.
Pós
-Gra
duaç
ão L
ato-
Sen
su e
m S
egur
ança
da
Info
rmaç
ão
14© Aécio, Alberto e Pedro, 2010 ― SNMP / ZABIX
Vulnerabilidades
• INSECURE SETTINGS– Uso incorreto do nome da comunidade– Uma vez que faz uso de uma conexão do protocolo
de comunicação UDP, agentes SNMP aceitam solicitações de entrada sem qualquer configuração de sessão anterior.
– A maioria dos dispositivos já vêm habilitados com o SNMP e configurados com a comunidade padrão “public” para acesso somente de leitura e “privado” para acesso de leitura/gravação
– O nome de comunidade string é incorporado dentro de uma mensagem SNMP mensagem e transportados através da rede em texto puro.
Pós
-Gra
duaç
ão L
ato-
Sen
su e
m S
egur
ança
da
Info
rmaç
ão
15© Aécio, Alberto e Pedro, 2010 ― SNMP / ZABIX
Vulnerabilidades
• SPOOFING (Falsificação)– Rede de controle de acesso também é insuficiente
para bloquear ataques a essas vulnerabilidades,porque os endereços de origem UDPpodem ser facilmente falsificado.
– Um atacante pode enviar pacotes com um endereço de origem de um NMS autorizado falsificadosendereço de um NMS autorizado para gerar uma falhano dispositivo de destino.
– Além disso, alguns implementações SNMP por padrãoaceitam pacotes SNMP enviados para a rede através doendereço de broadcast.
– Os atacantes podem facilmente enviar pacotes de difusão para comprometer toda a rede, mesmo sem saber o endereço do dispositivo de destino e o nome da comunidade SNMP.
Pós
-Gra
duaç
ão L
ato-
Sen
su e
m S
egur
ança
da
Info
rmaç
ão
16© Aécio, Alberto e Pedro, 2010 ― SNMP / ZABIX
Contra medidas
• SNMPv1 Scanners• Patches dos fabricantes• Desabilitar ou remover o serviço SNMP• Ingress Filtering (Filtragem de entrada)• Filtragem de saída• Mudar o nome da string da comunidade
padrão
Top Related