Pull to refresh

Comments 9

Устранение лишних сервисов, необходимость размещения которых на периметре не обусловлена никакой объективной необходимостью… SNMP...


Золотое правило: «Критикуя — предлагай»
Если не рассматривать случай, когда из-за лени\незнания SNMP остался включённым — какие варианты можете предложить для тех, кому SNMP всё же нужен? Его всё же используют для решения некоторых задач. Почему ни слова про ACL? Или Вы считаете, что SNMP можно заменить чем-то другим, более безопасным? Чем тогда?
Автоматизированный поиск уязвимостей в сервисах, расположенных на периметре. Результатом должно быть выявление уязвимостей и контроль их устранения.
+
Внедрение политики патч-менеджмента, при этом в первую следует уделить внимание системам c уязвимостями, для которых существуют эксплойты в открытом доступе, а также самым уязвимым системам. Остальные системы следует обновлять в соответствии с приоритезацией критичности систем и уязвимостей.

Одно из решений.
Т.е. следить за периметром и обновлять системы.
>какие варианты можете предложить

Как верно заметили выше, в конце статьи изложены несколько полезных правил. Кроме того, в статье есть ссылка на наш разбор конкретного кейса: работа по протоколу SNMP с уязвимым сетевым оборудованием HP/H3C и Huawei. В конце этого кейса есть раздел «Как защититься» с некоторыми подробностями по защите — посмотрите:

https://habrahabr.ru/company/pt/blog/247355/
Странная позиция. Выглядит как: «мы тут часть рекомендаций дали. Но они не все, есть ещё в другой статье. Из той статьи копипастить нам лень. Хотите — сами дочитайте до конца другую статью и найдите ответы»
В тему SNMP на Cisco — интересующимся рекомендую почитать:
Всплеск brute-force атак направленный на легко подбираемые доступные для записи snmp community

В частности, из статьи:
IOS устройства не логируют изменение конфигурации по SNMP, что ведет к совершенно непонятным причинам проблем. Это поведение будет исправлено и по этому поводу уже заведен баг


совершенно не стоит негодовать и писать о том что держать открытой наружу snmp community может только дилетант, автор и сам в курсе. Но, уважаемые друзья, вы бы были удивлены насколько большие, важные и профессиональные люди пострадали, продалжают страдать и как их много оказалось.
Если только это не сарказм с иронией, то snmp все же Simple Network Management Protocol ))
для своего времени (времени возникновения) был неплохой инструмент для общения с железками. Зачем сейчас этот хлам тянут??
Может только потому что нет другого столь универсального (что тоже большой вопрос на самом деле)…
Так ведь уже давно есть snmp v3 с этими вашими авторизациями, проверкой целостности данных и шифрованиями. А ещё, в тех же цисках есть замечательная команда, разрешающая SNMP только с определенных адресов (ну или ACL сделать, кому как нравится больше). Или я один такой параноик, который настроил это для локальной сети (SNMP наружу не торчит)?
Да, SNMPv3 и доступ только с разрешённых адресов — тоже варианты. Мы про них рассказывали в прошлой публикации по этой теме:
https://habrahabr.ru/company/pt/blog/247355/
Only those users with full accounts are able to leave comments. Log in, please.