השבוע ביצעתי אפיון והטמעה למערכת ניטור העושה שימוש באמצעות שרותי RPC לשרתי Windows ו-SNMP לכלל רכיבי הרשת.
(Simple Network Management Protocol (SNMP הינו פרוטוקול אשר פותח בשנת 1988 הנמצא מעל ה-Application Layer במודל ה-OSI כאשר הפרוטוקול מהווה סטנדרט וכך התקנים מיצרנים שונים יכולים לעבוד מול אותה תוכנה.
מדובר בפרוטוקול המיועד לניהול רשתות TCP/IP מבוזרות המתבסס על מודל סוכנים ותחנת ניהול מרכזית.
הרשת מנוהלת בשיטת שרת-לקוח שבה יש סוכן שנמצא בכל מחשב או התקן רשת ומדווח לתחנה המרכזית נתונים כגון נתוני חומרה,תוכנה או סטטיסטיקה של שימוש בתוכנות ויישומים.
רשת תקשורת נתמכת SNMP מכילה 3 מרכיבים:
Managed Device-התקן של רשת תקשורת, שמכיל Agent. התקנים אלו אוספים ואוגרים מידע הקשור לניהול במטרה שיהיה זמין עבור ה-NMS . ההתקנים יכולים להיות Routers,Switches,Computer Hosts,Printers.
- Agent-רכיב תוכנה הנמצא בהתקן בעל יכולת לנהל מידע ולתרגם אותו לשפה המתאימה לפרוטוקול SNMP.
- (Network Management System (NMS-מריץ אפליקציות שתפקידן להשגיח ולבקר על ההתקנים.
ה-NMS מספק את החלק המרכזי בתהליך העיבוד ואת משאבי הזיכרון הנחוצים לניהול רשת תקשורת.
נדרש לפחות NMS אחד בכל רשת תקשורת מנוהלת.
בגרסאות הישנות של הפרוטוקול (V1,V2) היה צורך להגדיר 2 סוגי Communities:
1.Private-שליטה על המכשיר.
2.Public-קריאת נתונים.
למעשה מדובר בסיסמה לא מוצפנת הנשלחת כ-Clear Text ברשת אשר חשופה גם להתקפות Bture Force Attack.
חסרון נוסף של הפרוטוקול הוא חשיפה להתקפות Denial-of-Service מה שעלול להשבית את הרשת ולגרום לנזקים כלכלים עצומים.
להלן מספר חולשות שאני מוצא בקרב ארגונים:
1.לרוב גם כאשר אין צורך בשירות הזה הוא עדיין פעיל.
2.ארגונים רבים עדיין משתמשים בגרסאות הישנות והחשופות לפרצות V1 ו-V2 .
3.ברוב הארגונים לא מיישמים IPSec Policy מה שגורם למידע ברשת לעבור כ-Clear Text.
4.רבים ממנהלי הרשת נוטים להשתמש בסיסמאות ברירת המחדל.
5.אין יישום של SNMP V3 התומך במודל אבטחה הכולל אותנתיקציה והצפנה.
6.לא מתבצעות הוראות יצרנים לאבטחת הפרוטוקול כדגומת CISCO.
בשבוע הבא אני אמור לבצע סקר סיכונים אשר בין היתר יבחן את מערך הניטור של אחד הלקוחות.
להלן מספר כלים מומלצים לבחינת SNMP:
1.SNMP Vulnerability Test Suite-אפליקציה מסחרית המבצעת בדיקה יסודית ומכילה מספר רב של Exploits.
2.SNMP Auditor -כלי גרפי נוסף.
3.SNMP SCANNER-סורק בעל רשיון Freeware.
4.SNMP BRUTE FORCE ATTACKER-כלי Freeware לפיצוח סיסמאות SNMP.
5.(Secure Cisco Auditor (SCA -כלי לבחינת תצורת מכשירי CISCO.
6.Nsauditor Network Security Auditor-מכיל כלים רבים, בין היתר יודע לבצע Audit גם לשירותי RPC.
בנוסף כל Security Scanner אמור לבצע את העבודה.
בכל פעם אני צוחק מחדש כאשר מנמ"רים נדהמים איך הגענו לשליטה מלאה על התשתיות הקריטיות בארגון.
לכן חשוב שלפני שאנו מטמעים טכנולוגיה כלשהי-כדאי לקחת בחשבון גם הבטים של Secuity.