Monitoritzar de manera segura amb SNMP

Si volem monitoritzar de manera segura amb SNMP equips de comunicacions, cabines de discos, impressores o qualsevol altre dispositiu hem de tenir em compte alguns consells.

Podem monitoritzar els equips que tinguem a la xarxa amb aquest protocol SNMP.

Sigui dit en antel•lació que parlem per sobre de SNMP a mode d’introducció. La informació oficial la podeu consultar a RFC (buscant SNMP perquè hi ha varis RFC).

Què és SNMP?

SNMP és un acrònim de “Simple Network Management Protocol”.

Atenció especial a la paraula “Management”, perquè sí, aquets protocol permet administrar el dispositiu. S’associa a la monitorització, però és important considerar que tenir accés a ell admet gestionar els equips.

Aquest protocol té una forma activa (se li pregunta a l’equip a monitoritzar per un valor), i una passiva (l’equip monitoritzar ens envia ell mateix l valor).

Analitzem aquesta forma activa, que és la més perillosa a nivell de seguretat.

Versions de SNMP

S’ha de tenir en compte que existeixen 3 versions de SNMP: versió1, versió 2c i versió 3 (cert, no van perdre el temps buscant noms)

Entre la versió 1 i al 2c no hi ha canvis importants. La única diferència és que la 1 sempre que preguntes per un valor et retorna un únic valor, mentre que la 2c te retorna una taula de valors. Si l’equip és actual, millor treballar amb la versió 2c.

En les versions 1 i 2c s’accedeix autentificant-te amb un usuari, anomenat “community” o comunitat. Aquesta comunitat no té contrasenya.

De forma que al ser públic, qualsevol pot demanar informació a l’equip i aquest et respondrà: Per exemple, si jo li dic al router: sóc la comunitat “Public” dóna’m el valor de CPU, el router em contestarà 25%.

És important canviar el nom de “community” per tenir major seguretat i evitar atacs de hackers.

Hi ha dos tipus de comunitats; de lectura i escriptura. La majoria dels equips tenen er defecte la comunitat “public” com lectura i la comunitat “private” com escriptura.

És molt important que si habilitem un SNMP amb versions 1 o 2c:

  • Sols utilitzarem comunitats de tipus “lectura” si volem monitoritzar (o obtenir dades)
  • Que mai utilitzem les comunitats “public” o “private”. El correcte seria eliminar-les o bé renombrar-les ja que és per on poden atacar els hackers.

La versió 3 és, a efectes funcionals, exactament igual que la 2c. La diferència radica en la part de seguretat. Ja no utilitzem comunitats. Ara disposem d’usuaris amb contrasenya i mètode d’autenticació.

Sabent això, les nostres prioritats per monitoritzar de manera segura amb SNMP:

  • Utilitzar sempre que puguem la versió 3 per davant de 2c i 1
  • Si utilitzem la versió 2c o 2, utilitzar comunitats que no siguin les que vinguin per defecte (especialment l’anomenada “public”).

Llistes de control d’accés (ACL)

En alguns casos, els fabricants incorporen una llista de control d’accés al protocol SNMP. SI es té aquesta llista, utilitza-la. Normalment és una llista de les IP autoritzades a realitzar les consultes SNMP.

Vigila. Si algun dia canviem d’eina, realitzem proves, o qualsevol una altra funció que ens obligui a llançar consultes des d’una altra IP hem de concedir-li permisos.

VLAN d’administració

Aquesta mesura hauria de prendre’s en el moment de disseny de xarxa. Es recomana que el protocol SNMP s’autoritzi sols a una VLAN d’administació, que no sigui accessible per un usuari des d’un punt de treball. Aquesta mesura és potser la més important, i comprensible a qualsevol protocol més enllà del SNMP.

Els protocols d’administració haurien de publicar-se sols en VLAN d’administració.

Resumint

Si utilitzem SNMP per monitoritzar intentem sempre:

  • Utilitzar la versió 3
  • No utilitzar mai amb comunitats genèriques (ni d’escriptura)
  • Utilitzar les llistes de control d’accés.
  • Publicar únicament SNMP en les VLAN d’administració.

Amb aquestes 4 recomanacions tindrem ben protegit el SNMP de la nostra companyia, i segur que els CISO ens tindran en bona consideració.

Veure més noticies