SNMP-Fehler: DoS-Angriffe und instabile Netzwerke

Abhilfe
Microsoft empfiehlt betroffenen Anwendern, den SNMP-Service zeitweise zu deaktivieren. Diese Maßnahme sollte, solange keine spezifischen Patches zur Verfügung stehen, besser auch bei anderer SNMP-Software und -Equipment angewandt werden. Seien Sie jedoch gewarnt, dass die Deaktivierung von SNMP in Fällen, in denen es implementiert ist und andere Programme darauf zurückgreifen, zu negativen Auswirkungen führen kann.

Von großer Bedeutung ist der CERT-Bericht. Dort heißt es: „Einige der betroffenen Produkte wiesen, selbst wenn SNMP bereits deaktiviert war, unerwartetes Verhalten oder Denial-of-Service-Konditionen auf, wenn sie der OUSPG-Testsuite ausgesetzt wurden. In diesen Fällen sollte die Deaktivierung von SNMP von der Anwendung entsprechender Filter begleitet werden.“

„Bei SNMP kann die Eingangsfilterung (Ingress Filtering) der folgenden Ports vermeiden, dass Angreifer von außerhalb des Netzwerks verwundbare Ressourcen des lokalen Netzwerks angreifen, welche nicht ausdrücklich autorisiert sind, öffentliche SNMP-Dienste anzubieten.
snmp 161/udp # Simple Network Management Protocol (SNMP)
snmp 162/udp # SNMP System Management Messages“

CERT empfiehlt außerdem die Filterung der folgenden Dienste, obgleich bei der Verwendung dieser Ports Angriffe weniger wahrscheinlich sind:

smux 199/tcp # SNMP Unix Multiplexer
smux 199/udp # SNMP Unix Multiplexer
synoptics-relay 391/tcp # SynOptics SNMP Relay Port
synoptics-relay 391/udp # SynOptics SNMP Relay Port
agentx 705/tcp # AgentX
snmp-tcp-port 1993/tcp # cisco SNMP TCP port
snmp-tcp-port 1993/udp # cisco SNMP TCP port

Wie CERT in CA-2002-03 feststellt: „Der SNMP-Dämon kann sich an allen IP-Interfaces des Geräte festsetzen.“ Dies kann von Bedeutung sein, wenn es darum geht, wie man die Filterung implementiert. Pakete, die an andere Adressen als das normale Netzwerk-Interface gerichtet sind, könnten Firewalls umgehen.

SNMP-Hintergrund
SNMP lässt sich am besten als eine Sprache verstehen, die verwendet wird, um Router, Server, Switches und selbst Drucker – im Grunde genommen jedes von einem Netzwerk verwaltete Gerät – aus der Ferne zu verwalten.

Um zu verstehen, wie verwundbar SNMP sein kann, hilft es, zu wissen, dass sein Ursprung in den 1980er Jahren liegt, und es als ein Internetprotokoll entwickelt wurde. Damals wurden TCP/IP-Netzwerke in der Unternehmenswelt gerade populär, und die Verwaltung von Unternehmensnetzwerken begann zu einem wichtigen Thema zu werden. SNMP wurde entwickelt, als der Zugang zum Internet noch sehr beschränkt war. Als im Jahre 1990 RFC 1157 veröffentlicht wurde, gewann SNMP schnell an Popularität. Keine der ersten beiden SNMP-Versionen enthielt irgendwelche echten Sicherheits-Features.

Obgleich die ersten beiden SNMP-Versionen nicht sicher waren, wurden doch auch sichere Versionen entwickelt. Leider implementierte fast niemand eine dieser frühen sicheren Versionen.

SNMPv1 wurde von RFC 1157 definiert und ersetzte RFC 1067 und RFC 1098. Sicherheit, so wie es jetzt ist, basiert auf wohlbekannten Community-Namen. Wie in RFC 1351, RFC 1352 und RFC 1353 dargestellt fügte SNMP-Sec Protokollsicherheit in SNMPv1 ein. Es wurde allerdings nie wirklich implementiert.

Secure Party-basiertes SNMP, oder SNMPv2p, wird in RFC 1441 beschrieben. Diese Version enthält eine ganze Reihe von Veränderungen, die über bloße zusätzliche Sicherheitsmaßnahmen hinausgehen.

Weitere Informationen über SNMPv3 finden Sie auf der IETF-Website. Nach jahrelanger Arbeit sollte SNMPv3 in Kürze als ein RFC veröffentlicht werden. In Zusammenhang mit SNMPv3 habe ich RFC 2104 erwähnt gesehen, allerdings ist dies nur ein Hinweis zur Message-Authentifizierung und kein Standard oder ein Dokument zu SNMP.

Zusammenfassung
Alle Administratoren müssen eindringlich vor diesen neuen SNMP-Fehlern gewarnt werden, denn wahrscheinlich haben alle Administratoren wenigstens einige Server oder Netzwerkteile, auf denen SNMP läuft. Sollten diese Systeme nicht durch Firewalls oder andere Sicherheitsvorkehrungen geschützt sein, sind sie definitiv dem Risiko eines Hacker-Angriffs ausgesetzt.

 

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu SNMP-Fehler: DoS-Angriffe und instabile Netzwerke

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *