SNMP/Zabbix - Vulnerabilidades e Contramedidas 1

16
Pós-Graduação Lato-Sensu em Segurança da Informação SNMP / ZABBIZ © Aécio Especializando em Segurança da Informação Alberto José Ferreira de Lima Especializando em Segurança da Informação - iDez Mestrando em Educação - UFPB Pedro Especializando em Segurança da Informação João Pessoa, julho de 2010. Curso de Informática Avançada

description

Slides apresentados na disciplina de Segurança em Linux na Especialização em Segurança da Informação - Faculdade iDEZ.

Transcript of SNMP/Zabbix - Vulnerabilidades e Contramedidas 1

Page 1: SNMP/Zabbix - Vulnerabilidades e Contramedidas 1

Pós-

Gra

duaç

ão L

ato-S

ensu

em

Seg

ura

nça

da

Info

rmaç

ão

SNMP / ZABBIZ © Aécio

Especializando em Segurança da Informação

Alberto José Ferreira de LimaEspecializando em Segurança da Informação - iDez

Mestrando em Educação - UFPB

PedroEspecializando em Segurança da Informação

João Pessoa, julho de 2010.

Curso de Informática Avançada

Page 2: SNMP/Zabbix - Vulnerabilidades e Contramedidas 1

Pós

-Gra

duaç

ão L

ato-

Sen

su e

m S

egur

ança

da

Info

rmaç

ão

2© Aécio, Alberto e Pedro, 2010 ― SNMP / ZABIX

Agenda

• Motivação• SNMP• Vulnerabilidades• Contra-medidas• ZABBIX• Procedimentos de instalação/configuração• Demonstrar uma vulnerabilidade/correção

Page 3: SNMP/Zabbix - Vulnerabilidades e Contramedidas 1

Pós

-Gra

duaç

ão L

ato-

Sen

su e

m S

egur

ança

da

Info

rmaç

ão

3© Aécio, Alberto e Pedro, 2010 ― SNMP / ZABIX

Motivação para gestão da rede – “Coisas acontecem”

• Por quê gerenciar?

Page 4: SNMP/Zabbix - Vulnerabilidades e Contramedidas 1

Pós

-Gra

duaç

ão L

ato-

Sen

su e

m S

egur

ança

da

Info

rmaç

ão

4© Aécio, Alberto e Pedro, 2010 ― SNMP / ZABIX

Motivação para gestão da rede – “Coisas acontecem”

• Redes de computadores são sistemas complexos autônomos formados por uma grande quantidade de hardware e componentes de software.

networkdata linkphysical

applicationtransportnetworkdata linkphysical

networkdata linkphysical

networkdata linkphysical

networkdata linkphysical

networkdata linkphysical

networkdata linkphysical

networkdata linkphysical

networkdata linkphysical

applicationtransportnetworkdata linkphysical

applicationtransportnetworkdata linkphysical

Page 5: SNMP/Zabbix - Vulnerabilidades e Contramedidas 1

Pós

-Gra

duaç

ão L

ato-

Sen

su e

m S

egur

ança

da

Info

rmaç

ão

5© Aécio, Alberto e Pedro, 2010 ― SNMP / ZABIX

Motivação para gestão da rede – “Coisas acontecem”

• Inúmeras questões/problemas potenciais para lidar com ...

dispositivo gerenciado

dispositivo gerenciado

dispositivo gerenciado

dispositivo gerenciadoproblemas de desempenho

interrupção de dispositivosmá-configuração

problemas de segurança

bugs de software

outras questões

Page 6: SNMP/Zabbix - Vulnerabilidades e Contramedidas 1

Pós

-Gra

duaç

ão L

ato-

Sen

su e

m S

egur

ança

da

Info

rmaç

ão

6© Aécio, Alberto e Pedro, 2010 ― SNMP / ZABIX

Motivação para gestão da rede – “Coisas acontecem”

• Nesta apresentação, mostraremos um protocolo e uma ferramenta disponíveis para identificar e resolver estes problemas.– SNMP– ZABBIX

Page 7: SNMP/Zabbix - Vulnerabilidades e Contramedidas 1

Pós

-Gra

duaç

ão L

ato-

Sen

su e

m S

egur

ança

da

Info

rmaç

ão

7© Aécio, Alberto e Pedro, 2010 ― SNMP / ZABIX

SNMP

Gerenciamento de rede• Em linhas gerais, emprega o uso de ferramentas, técnicas e sistemas

para ajudar os administradores no gerenciamento de vários dispositivos.

4 objetivos-chave• Monitorar ...

– ver o que está acontecendo– interfaces de hosts, os níveis de tráfego, os níveis de serviço, segurança,

desempenho, alterações na tabela de roteamento, etc• Analisar ...

– determinar o que isso significa• Reativa controle ...

– agir com base no que está acontecendo• Gerenciar proativamente ...

– agir com base naquilo que as atuais tendências dizer que vai acontecer

Page 8: SNMP/Zabbix - Vulnerabilidades e Contramedidas 1

Pós

-Gra

duaç

ão L

ato-

Sen

su e

m S

egur

ança

da

Info

rmaç

ão

8© Aécio, Alberto e Pedro, 2010 ― SNMP / ZABIX

SNMP

Componentes básicos

agente dado

agente dado

agente dado

agente dado

dispositivo gerenciado

dispositivo gerenciado

dispositivo gerenciado

dispositivo genciado

entidadegerência dado

dispositivos gerenciados dispositivos gerenciados contêm objetos gerenciados cujos dados são reunidos numa Management Information Base (MIB)

Network Management Station (NMS)Network Management Station (NMS)

networknetworkmanagementmanagement

Protocol - SNMPProtocol - SNMP

Page 9: SNMP/Zabbix - Vulnerabilidades e Contramedidas 1

Pós

-Gra

duaç

ão L

ato-

Sen

su e

m S

egur

ança

da

Info

rmaç

ão

9© Aécio, Alberto e Pedro, 2010 ― SNMP / ZABIX

SNMP

SNMP é baseado em 4 partes:• Protocolo SNMP

– Define o formato das mensagens trocadas entre os sistemas de gerência e agentes.

– Usa UDP, porta 161 (requisições/respostas) e 162 (notificações).

– Versões: SNMPv1, SNMPv2, SNMPv3.– Especifica as operações Get, GetNext, Set, and Trap.

• GET, usado para retirar um pedaço de informação de gerenciamento.

• GETNEXT, usado interativamente para retirar sequências de informação de gerenciamento.

• SET, usado para fazer uma mudança no subsistema gerido.

• TRAP, usado para reportar uma notificação ou para outros eventos assíncronos sobre o subsistema gerido

Page 10: SNMP/Zabbix - Vulnerabilidades e Contramedidas 1

Pós

-Gra

duaç

ão L

ato-

Sen

su e

m S

egur

ança

da

Info

rmaç

ão

10© Aécio, Alberto e Pedro, 2010 ― SNMP / ZABIX

SNMP

• Structure of Management Information (SMI)– Regras especificando o formato usado para definir

objetos gerenciados na rede que o protocolo SNMP acessa.

– Os objetos são definidos usando Abstract Syntax Notation One ASN.1 (ITU-T X.208 / ISO 8824).

• Management Information Base (MIB)– Um mapa da ordem hierárquica de todos os

objetos gerenciados e como eles são acessados.– MIB-II, RMON MIB, Bridge MIB, Repeater MIB,

X.25 MIB, FDDI MIB, Token Ring MIB, ...

Page 11: SNMP/Zabbix - Vulnerabilidades e Contramedidas 1

Pós

-Gra

duaç

ão L

ato-

Sen

su e

m S

egur

ança

da

Info

rmaç

ão

11© Aécio, Alberto e Pedro, 2010 ― SNMP / ZABIX

SNMP

• Object IDentifier (OID)

- Identificador global para um tipo de objeto parcitular

- Um OID consiste de uma sequência de inteiros, os quais especificam uma posição de um objeto na árvore de identificação de objetos global

- Exemplo .1.3.6.1.2.1.1

- iso(1) org(3) dod(6) internet(1) mgmt(2)

mib-2(1) system(1)

1

3

6

1

1

2 3

4

1

1

2 4

6

iso(1)

org(3)

dod(6)

internet(1)

directory(1)

mgmt(2) experimental(3)

mib-2(1)

system(1)

interfaces(2) ip(4)

Page 12: SNMP/Zabbix - Vulnerabilidades e Contramedidas 1

Pós

-Gra

duaç

ão L

ato-

Sen

su e

m S

egur

ança

da

Info

rmaç

ão

12© Aécio, Alberto e Pedro, 2010 ― SNMP / ZABIX

SNMP

• Segurança– SNMP Communities String como senha.– Community

• Relação entre um agente e gerentes.• Community Name

– Usado para validar as mensagens SNMP– SNMP Password.– Default ‘Get’ community name: “public”.

– O SNMPv2 oferece uma boa quantidade de melhoramentos em relação ao SNMPv1, incluindo operações adicionais do protocolo, melhoria na performance, segurança, confidencialidade e comunicações Gerente-para-Gerente.

– A SNMPv3 inclui implementação na segurança ao protocolo como, autenticação e controle de acesso

Page 13: SNMP/Zabbix - Vulnerabilidades e Contramedidas 1

Pós

-Gra

duaç

ão L

ato-

Sen

su e

m S

egur

ança

da

Info

rmaç

ão

13© Aécio, Alberto e Pedro, 2010 ― SNMP / ZABIX

Vulnerabilidades

• Testes no SNMPv1 pela Finland’s Oulu University revelou as seguintes vulnerabilidades no protocolo SNMP:– Manipulação de Trap

• Múltiplas vulnerabilidades foram encontradas na forma como decodificar numerosos NMSs e processar mensagem do tipo trap.

– Solicitação de manipulação• Os testes também revelaram deficiências na

forma dos agentes SNMP decodificar e processar a solicitação de mensagens SNMP.

• Essas vulnerabilities podem levar aos seguintes ataques:– denial of service attacks, format string

vulnerability, and buffer overflows.

Page 14: SNMP/Zabbix - Vulnerabilidades e Contramedidas 1

Pós

-Gra

duaç

ão L

ato-

Sen

su e

m S

egur

ança

da

Info

rmaç

ão

14© Aécio, Alberto e Pedro, 2010 ― SNMP / ZABIX

Vulnerabilidades

• INSECURE SETTINGS– Uso incorreto do nome da comunidade– Uma vez que faz uso de uma conexão do protocolo

de comunicação UDP, agentes SNMP aceitam solicitações de entrada sem qualquer configuração de sessão anterior.

– A maioria dos dispositivos já vêm habilitados com o SNMP e configurados com a comunidade padrão “public” para acesso somente de leitura e “privado” para acesso de leitura/gravação

– O nome de comunidade string é incorporado dentro de uma mensagem SNMP mensagem e transportados através da rede em texto puro.

Page 15: SNMP/Zabbix - Vulnerabilidades e Contramedidas 1

Pós

-Gra

duaç

ão L

ato-

Sen

su e

m S

egur

ança

da

Info

rmaç

ão

15© Aécio, Alberto e Pedro, 2010 ― SNMP / ZABIX

Vulnerabilidades

• SPOOFING (Falsificação)– Rede de controle de acesso também é insuficiente

para bloquear ataques a essas vulnerabilidades,porque os endereços de origem UDPpodem ser facilmente falsificado.

– Um atacante pode enviar pacotes com um endereço de origem de um NMS autorizado falsificadosendereço de um NMS autorizado para gerar uma falhano dispositivo de destino.

– Além disso, alguns implementações SNMP por padrãoaceitam pacotes SNMP enviados para a rede através doendereço de broadcast.

– Os atacantes podem facilmente enviar pacotes de difusão para comprometer toda a rede, mesmo sem saber o endereço do dispositivo de destino e o nome da comunidade SNMP.

Page 16: SNMP/Zabbix - Vulnerabilidades e Contramedidas 1

Pós

-Gra

duaç

ão L

ato-

Sen

su e

m S

egur

ança

da

Info

rmaç

ão

16© Aécio, Alberto e Pedro, 2010 ― SNMP / ZABIX

Contra medidas

• SNMPv1 Scanners• Patches dos fabricantes• Desabilitar ou remover o serviço SNMP• Ingress Filtering (Filtragem de entrada)• Filtragem de saída• Mudar o nome da string da comunidade

padrão