Dopo DNS e NTP è la volta di SNMP, un protocollo utilizzato per il monitoraggio dei dispositivi.
Prolexic ha evidenziato come sia possibile utilizzare gli host esposti a Internet con attivo SNMP per portare un attacco distribuito (DDoS) come è già successo con DNS e NTP.
Utilizzando SNMP con un pacchetto di poco meno di 100 byte modificato ad arte con un mittente contraffatto è possibile ottenere una risposta di circa 60k, la cui banda è a carico del dispositivo esposto a Internet e non dell’attaccante (reflection).
La possibilità non è solamente teorica perché ISC ha ricevuto dei pacchetti che evidenziano come questo metodo di attacco sia già utilizzato da alcuni attaccanti.
Chi espone a Internet dei dispositivi (a partire dalle stampanti) con abilitato SNMP presumendo che restino segreti solo perché non sono linkati dovrà rivedere presto le sue convinzioni e proteggere gli host di cui è responsabile se non vuole che la sua incuria causi danno a terzi.
Se proprio è necessario esporre un dispositivo con SNMP si possono seguire delle semplici regole:
- l’accesso SNMP deve essere limitato a chi ne ha effettivamente titolo tramite ACL o firewall;
- le community non devono essere quelle standard o comunque facilmente indovinabili;
- se il software lo consente, abilitare l’autenticazione con credenziali non facili da indovinare;
- se il software lo consente, utilizzare SNMPv3 e disabilitare SNMPv1 e SNMPv2;
- limitare, se possibile, l’output di SNMP utilizzando le view.
Se un host esposto a Internet non usa SNMP, è bene disabilitarlo quanto prima.
Lascia un commento