SNMP: utilizzo pratico?

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Rispondi
Avatar utente
legionario
Linux 3.x
Linux 3.x
Messaggi: 603
Iscritto il: mer 8 dic 2004, 0:00
Località: Bergamo - Roma

SNMP: utilizzo pratico?

Messaggio da legionario »

Un saluto a tutti!

Facendo una scansione con nmap dello switch della LAN cui sono collegato ho notato l'esistenza del servizio SNMP sulla porta 161. Non so se e' normale che questa porta risulti aperta e non filtrata, comunque quello che vorrei capire e' in che modo si possa utilizzare il servizio SNMP. Mi sono documentato via internet ma ho trovato principalmente spiegazioni teoriche ( http://it.wikipedia.org/wiki/Simple_Net ... t_Protocol ). E purtroppo non ho tempo di perdermi tra le centinaia di pagine degli RFC..

Se visualizzo lo status SNMP l'output e' il seguente:

Codice: Seleziona tutto

# snmpstatus -c public -v 1 10.100.36.17
[UDP: [10.100.36.17]:161]=>[HP J4850A ProCurve Switch 5304XL, revision E.10.67, ROM E.05.05 (/sw/code/build/alpmo(m35))] Up: 28 days, 5:00:34.21
Interfaces: 51, Recv/Trans packets: 146508296/334615030 | IP: 2215299/518023
12 interfaces are down!
Se invece faccio un test mi appare un prompt per l'inserimento delle variabili:

Codice: Seleziona tutto

~# snmptest -c public -v 1 10.100.36.17
Variable:
Cosa ci posso fare con questo servizio?

Per completezza riporto anche l'output di nmap:

Codice: Seleziona tutto

# Nmap 4.20 scan initiated Tue Nov  6 15:27:01 2007 as: nmap -A -sS -sU -p- -v -
oN hpswitch.txt 10.100.36.17
Interesting ports on 10.100.36.17:
Not shown: 131065 closed ports
PORT    STATE         SERVICE VERSION
23/tcp  open          telnet  Cisco microswitch telnetd
80/tcp  open          http?
67/udp  open|filtered dhcps
69/udp  open|filtered tftp
161/udp open          snmp    SNMPv1 server (public)
Grazie per l'attenzione.
Top
Avatar utente
acrive
Linux 2.x
Linux 2.x
Messaggi: 306
Iscritto il: mar 27 dic 2005, 0:24
Slackware: 12.0
Località: Brindisi <-> Bologna

Messaggio da acrive »

hhehe... RFC più odiosi dell'snmp non esistono. (forse LDAP)
Comunque immagina un protocollo che ti permette di ricever informazioni specifiche sui sistemi mediante una gerarchia di funzioni descritte da un numero, l'OID (Object IDentifier). Alcuni di questi oid possno anche essere "programmati" nelle loro funzioni, permettendo quindi, di attivarle remotamente (es. script). Utile quindi utilizzarlo per controllare magari il carico di sistemi remoti e in caso di determinate azioni.
Il tipo di queste informazioni sono suddivise in COMMUNITY, pubbliche o meno, e differiscono anche in base a quale versione del protocollo usiamo per la query al server SNMP che in questo caso si chiama Manager. Il server altro non fà che catturare le "traps" mandate dai "client" snmp, gli agents appunto..
Su un testo che lessi tempo fà c'era l'esempio che se una rete lan va in down, il router (su cui gira un'agent (client) SNMP) invia una trap al Manager (NMS Network Management Stations).
Tutti questi eventi che l'NMS può "catturare" sono descritti nei MIBS (Management Information Base), una sorta di diizionario..
Spero di non aver scritto minchiate.. Non è che l'snmp lo si usi tutti i giorni.. :)

p.s. Volevo linkarti il sito di Lab. di amministrazione di sistemi del mio professore, dove c'è delmateriale pratico e teorico molto valido, ma per ora il sito è offline.. Appena ritorna ti mando un pm con l'indirizzo esatto..

Il nuovo corso comincerà a febbraio. Con nuove slide quindi...
UPDATE: http://lia.deis.unibo.it/Courses/AmmSis ... ttico.html
Top
Avatar utente
legionario
Linux 3.x
Linux 3.x
Messaggi: 603
Iscritto il: mer 8 dic 2004, 0:00
Località: Bergamo - Roma

Messaggio da legionario »

Grazie mille acrive.

Ma non e' pericoloso tenere quel servizio aperto e accessibile a chiunque? Ora non so esattamente che tipo di operazioni si possano eseguire accedendo ad esso ma credo che debba essere filtrato...
Top
bloodlust
Linux 3.x
Linux 3.x
Messaggi: 523
Iscritto il: mar 14 feb 2006, 12:02
Slackware: -1
Località: it_IT

Messaggio da bloodlust »

legionario ha scritto:Ma non e' pericoloso tenere quel servizio aperto e accessibile a chiunque? Ora non so esattamente che tipo di operazioni si possano eseguire accedendo ad esso ma credo che debba essere filtrato...
Se non lo usi disabilitalo è una porta di accesso in più e permette di accedere ad informazioni importanti per tentare altre vulnerabilità (magari negli switch? o nei router? ...), soprattutto se lo lasceresti configurato con le impostazioni di default.
ciao ciao
Top
Avatar utente
legionario
Linux 3.x
Linux 3.x
Messaggi: 603
Iscritto il: mer 8 dic 2004, 0:00
Località: Bergamo - Roma

Messaggio da legionario »

bloodlust ha scritto:Se non lo usi disabilitalo è una porta di accesso in più e permette di accedere ad informazioni importanti per tentare altre vulnerabilità (magari negli switch? o nei router? ...), soprattutto se lo lasceresti configurato con le impostazioni di default.
Infatti è proprio quello che voglio fare io... si tratta di uno switch di cui non sono proprietario, ma questo non è un problema...il mio obiettivo è esattamente scoprire a quali informazioni interessanti posso accedere e se si possono fare modifiche. Però non credo che si trovi qualcuno che lo sappia, mi sono reso conto che e' un protocollo piuttosto difficile da utilizzare e non e' tra i piu' utilizzati. Mi sa che devo rassegnarmi a studiare la roba che mi e' stata suggerita da acrive...
Top
Avatar utente
acrive
Linux 2.x
Linux 2.x
Messaggi: 306
Iscritto il: mar 27 dic 2005, 0:24
Slackware: 12.0
Località: Brindisi <-> Bologna

Messaggio da acrive »

legionario ha scritto:Grazie mille acrive.

Ma non e' pericoloso tenere quel servizio aperto e accessibile a chiunque? Ora non so esattamente che tipo di operazioni si possano eseguire accedendo ad esso ma credo che debba essere filtrato...
Si possono sia prendere informazioni e si possono anche impostare. Potenzialmente si può fare di tutto, ma a questo punto dipende molto dall'amministratore in che modo intende costruire il sistema. Da quando uso Linux mi sono sempre detto di rispondermi a domande tpo.. Ma si può fare xxxxx ? Con un fragoroso CERTO!

Comunque poichè è un protocollo che permette utilizzi remoti è ovvio che dovranno esserci delle porte aperte... (A questo punto vorrei consigliare anche l'ultimo articolo di Vannini credo, sul portknocking su Linux & Co.)

Saluti!

UPDATE: Per la questione di informazioni importanti SNMP permette diverse "community", che hanno appunto il compito di dividere informazioni tra importanti e no (di default c'è pubblic e private, ma si possono creare anche specifiche community in base alle proprie esigenze, anche un fugace sguardo su snmpd.conf aiuta, ha molti esempi al suo interno)

Per prendere informazioni sul dispositivi basta interrogarelo sulla community pubblica, sotto la specifica gerarchia System.. (Il file di configurazione /etc/snmpd/snmpd.con contiene numerosi esempi di query utili a scoprire info )
Top
Rispondi

Torna a “Sicurezza”