Выбрать язык


Выбрать язык | Show only


Русский | English


четверг, 16 июня 2016 г.

SNMP в мире ШПД как источник DDoS: найти и обезвредить

Ради интереса решил посмотреть, что расскажет шодан об устройствах мира, на которых стоят значения SNMP community по умолчанию (public, private etc).
Построил отчет, благо несложно и бесплатно.

Что радует - России в Top 10 нет. В ней на момент формирования отчета шодан насчитал 55 тысяч SNMP по умолчанию, что на 14.5 тысяч меньше, чем у Ирана, который на 10 месте.
Из 3.75 млн дырявых устройств 1.43 млн держит Бразилия - больше, чем остальной Top 10 вместе взятый.





Если немного покопаться в сырых данных, формирующих отчет, то видно, что в Бразилии часто встречается оборудование типа ADSL Router либо Cablehome Gateway производителей Technicolor (547 тысяч) или Thomson, что то же самое (322 тысячи). Почему-то в сам отчет это не попало. Загадочная логика шодана.
Означает это то, что при тестировании и закупке абонентского оборудования интернет-провайдер:
  • оставил возможность управления оборудованием из Интернет по SNMP; 
  • не озадачился изменением значений по умолчанию и настройкой ACL.
Как результат, Бразилия имеет все шансы стать источником сгенерированого криво настроенными роутерами DDoS-трафика SNMP amplification, не считая того, что во время этих атак маломощные коробочки будут трещать по швам, а абоненты - плакать и материться, что повлечет шквал жалоб, с которыми будет практически нереально справиться быстро и самостоятельно, разве что зарезав по границе сети SNMP ко всем своим пулам, что чревато наматыванием на маховик репрессий легитимного трафика.

Но то маленькие тупые роутеры. Развивающаяся страна в борьбе с Зикой и подготовке к Олимпиаде-2016 недосмотрела на тоннах роутеров SNMP, отправила их вглубь Амазонии для интернетизации ягуаров. Грузчик принял, монтажник вкрутил, кайман не съел - и ладно. Давай Интернет всюду, потому что везде уже говорят о бигдате, а на маленьких роутерчиках SNMP = Security is Not My Problem...

Решил я проверить, а сколько и где по миру обитает доступных для шастания по SNMP маршрутизаторов Cisco. Как-никак, оборудование гораздо более умное и управляется более технически подкованными людьми, чем домашние роутеры.
Опять сгенерил отчет, в котором, кроме порта 161, должно встречаться слово "cisco".



И видим, что, хоть устройств и меньше на 2 порядка, но лидируют в этом рейтинге именно сверхдержавы: дядя Том и мишка. Обидно быть на втором месте в столь непочетном рейтинге. Обиднее - только на первом.

Поучимся на своих и чужих ошибках. Выводы.

1. При построении сети управление необходимо выносить в отдельный сегмент, недостуный из Интернет.

2. При неосуществимости п. 2 (случай с квартирными роутерами):
- если настройка роутера в зоне ответственности абонента - преконфигурить его таким образом, чтобы управление через внешний интерфейс, доступный из Интернет, было невозможным;
 - если управление роутерами в зоне ответственности провайдера - реализовать архитектуру TR-069 на поддерживающем данную технологию оборудовании;
- если нереально выполнить предыдущий пункт - хотя бы сменить community на трудноугадываемое и навесить ACL;
- если SNMP не используется - отключить.

3. На серверах и "умном" активном сетевом оборудовании:
- сменить SNMP community на трудноугадываемые;
- применить ACL;
- использовать SNMPv3 с аутентификацией и шифрованием;
- отключить SNMP-сервис, если не используется.



Комментариев нет:

Отправить комментарий