Prevence zneužití SNMP k SNMP amplification útokům
Simple Network Management Protocol (SNMP) je internetový protokol, který je používán na sběr statistik, testování stavu zařízení a případný aktivní management síťových zařízení a serverů. Podobně jako NTP a SNMP může být zneužit na amplifikaci
Simple Network Management Protocol (SNMP) je internetový protokol, který je používán na sběr statistik, testování stavu zařízení a případný aktivní management síťových zařízení a serverů. Nejčastěji se jedná o routery, switche, servery, racky a podobně. SNMP pracuje stejně jako DNS a NTP na UDP protokolu. Na jedné straně komunikace je monitorující zařízení, tzv. „SNMP manager“, na druhé straně jsou pak monitorovaná zařízení, tzv. „SNMP agenti“. SNMP umožňuje administrátorům sledovat z jednoho místa stav všech síťových zařízení.
Útočník může podvrhnout zdrojovou IP adresu v hlavičce paketu nesoucího požadavek SNMP GET. Takto zaslaný SNMP dotaz se bude koncovému zařízení jevit jako legitimní a odpověď bude zaslaná na podvrženou IP adresu patřící oběti.
V tomto případě je potřeba se rozhodnout, která zařízení by měla SNMP podporovat a na kterých to naopak není třeba. Pokud jde o zařízení, u kterých SNMP nevyužíváme, je vhodné u nich SNMP vypnout. Všeobecně platné pravidlo, podle kterého má obvykle poslední verze nejvíce ošetřených nedostatků, platí i v tomto případě. Pokud to je možné, nejlepší je přejít na SNMPv3, který vyžaduje ověření prostřednictvím jména a hesla a zároveň používá šifrované spojení. Community strings, které slouží jako uživatelské jméno a heslo pro přístup ke statistikám v zařízení, jsou podporovány pouze ve verzi 1 a 2. Pokud se rozhodnete přejít na verzi 3, nezapomeňte na vašich zařízeních starší verze zakázat. Velkou výhodou, kterou přináší verze 3 oproti předchozím verzím je možnost šifrovaného přenosu informací. Pokud se z nějakého důvodu rozhodnete zůstat u verzí 1 a 2, přesvědčte se, že community strings nejsou veřejně dostupné, a to ani v read-only souboru.
Pokud SNMP používáte, je vhodné zabezpečit přístup pomocí ACL (Access Control List). Tím, že omezíte přístup jen na určitý počet IP adres, které jsou ve vaší správě, zamezíte tomu, aby váš server odpovídal na dotazy třetích stran a mohl tak být zneužit k amplification útoku. Monitorování pomocí SNMP může být navíc využito útočníkem také na získávání informací o zařízeních ve vaší síti. Správnou implementací ACL tak ochráníte vaši síť nejen proti tomu, aby se útoku zúčastnila, ale také proti tomu, aby se stala jeho terčem.
Užitočné odkazy a zdroje:
http://www.bitag.org/documents/SNMP-Reflected-Amplification-DDoS-Attack-Mitigation.pdf
http://www.nothink.org/misc/snmp_reflected.php
https://bechtsoudis.com/hacking/snmp-reflected-denial-of-service/
http://www.spamhaus.org/news/article/678/snmp-ddos-vector-secure-your-network-now