Repository 32bit  Forum
Repository 64bit  Wiki

SNMP: utilizzo pratico?

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

SNMP: utilizzo pratico?

Messaggioda legionario » mar nov 06, 2007 19:22

Un saluto a tutti!

Facendo una scansione con nmap dello switch della LAN cui sono collegato ho notato l'esistenza del servizio SNMP sulla porta 161. Non so se e' normale che questa porta risulti aperta e non filtrata, comunque quello che vorrei capire e' in che modo si possa utilizzare il servizio SNMP. Mi sono documentato via internet ma ho trovato principalmente spiegazioni teoriche ( http://it.wikipedia.org/wiki/Simple_Net ... t_Protocol ). E purtroppo non ho tempo di perdermi tra le centinaia di pagine degli RFC..

Se visualizzo lo status SNMP l'output e' il seguente:
Codice: Seleziona tutto
# snmpstatus -c public -v 1 10.100.36.17
[UDP: [10.100.36.17]:161]=>[HP J4850A ProCurve Switch 5304XL, revision E.10.67, ROM E.05.05 (/sw/code/build/alpmo(m35))] Up: 28 days, 5:00:34.21
Interfaces: 51, Recv/Trans packets: 146508296/334615030 | IP: 2215299/518023
12 interfaces are down!


Se invece faccio un test mi appare un prompt per l'inserimento delle variabili:
Codice: Seleziona tutto
~# snmptest -c public -v 1 10.100.36.17
Variable:


Cosa ci posso fare con questo servizio?

Per completezza riporto anche l'output di nmap:
Codice: Seleziona tutto
# Nmap 4.20 scan initiated Tue Nov  6 15:27:01 2007 as: nmap -A -sS -sU -p- -v -
oN hpswitch.txt 10.100.36.17
Interesting ports on 10.100.36.17:
Not shown: 131065 closed ports
PORT    STATE         SERVICE VERSION
23/tcp  open          telnet  Cisco microswitch telnetd
80/tcp  open          http?
67/udp  open|filtered dhcps
69/udp  open|filtered tftp
161/udp open          snmp    SNMPv1 server (public)


Grazie per l'attenzione.
Avatar utente
legionario
Linux 2.6
Linux 2.6
 
Messaggi: 603
Iscritto il: mer dic 08, 2004 0:00
Località: Bergamo - Roma

Messaggioda acrive » mer nov 07, 2007 9:09

hhehe... RFC più odiosi dell'snmp non esistono. (forse LDAP)
Comunque immagina un protocollo che ti permette di ricever informazioni specifiche sui sistemi mediante una gerarchia di funzioni descritte da un numero, l'OID (Object IDentifier). Alcuni di questi oid possno anche essere "programmati" nelle loro funzioni, permettendo quindi, di attivarle remotamente (es. script). Utile quindi utilizzarlo per controllare magari il carico di sistemi remoti e in caso di determinate azioni.
Il tipo di queste informazioni sono suddivise in COMMUNITY, pubbliche o meno, e differiscono anche in base a quale versione del protocollo usiamo per la query al server SNMP che in questo caso si chiama Manager. Il server altro non fà che catturare le "traps" mandate dai "client" snmp, gli agents appunto..
Su un testo che lessi tempo fà c'era l'esempio che se una rete lan va in down, il router (su cui gira un'agent (client) SNMP) invia una trap al Manager (NMS Network Management Stations).
Tutti questi eventi che l'NMS può "catturare" sono descritti nei MIBS (Management Information Base), una sorta di diizionario..
Spero di non aver scritto minchiate.. Non è che l'snmp lo si usi tutti i giorni.. :)

p.s. Volevo linkarti il sito di Lab. di amministrazione di sistemi del mio professore, dove c'è delmateriale pratico e teorico molto valido, ma per ora il sito è offline.. Appena ritorna ti mando un pm con l'indirizzo esatto..

Il nuovo corso comincerà a febbraio. Con nuove slide quindi...
UPDATE: http://lia.deis.unibo.it/Courses/AmmSis ... ttico.html
Avatar utente
acrive
Linux 2.4
Linux 2.4
 
Messaggi: 306
Iscritto il: mar dic 27, 2005 0:24
Località: Brindisi <-> Bologna
Slackware: 12.0

Messaggioda legionario » gio nov 08, 2007 14:13

Grazie mille acrive.

Ma non e' pericoloso tenere quel servizio aperto e accessibile a chiunque? Ora non so esattamente che tipo di operazioni si possano eseguire accedendo ad esso ma credo che debba essere filtrato...
Avatar utente
legionario
Linux 2.6
Linux 2.6
 
Messaggi: 603
Iscritto il: mer dic 08, 2004 0:00
Località: Bergamo - Roma

Messaggioda bloodlust » ven nov 09, 2007 2:58

legionario ha scritto:Ma non e' pericoloso tenere quel servizio aperto e accessibile a chiunque? Ora non so esattamente che tipo di operazioni si possano eseguire accedendo ad esso ma credo che debba essere filtrato...
Se non lo usi disabilitalo è una porta di accesso in più e permette di accedere ad informazioni importanti per tentare altre vulnerabilità (magari negli switch? o nei router? ...), soprattutto se lo lasceresti configurato con le impostazioni di default.
ciao ciao
bloodlust
Linux 2.6
Linux 2.6
 
Messaggi: 523
Iscritto il: mar feb 14, 2006 12:02
Località: it_IT
Slackware: -1

Messaggioda legionario » ven nov 09, 2007 22:00

bloodlust ha scritto:Se non lo usi disabilitalo è una porta di accesso in più e permette di accedere ad informazioni importanti per tentare altre vulnerabilità (magari negli switch? o nei router? ...), soprattutto se lo lasceresti configurato con le impostazioni di default.

Infatti è proprio quello che voglio fare io... si tratta di uno switch di cui non sono proprietario, ma questo non è un problema...il mio obiettivo è esattamente scoprire a quali informazioni interessanti posso accedere e se si possono fare modifiche. Però non credo che si trovi qualcuno che lo sappia, mi sono reso conto che e' un protocollo piuttosto difficile da utilizzare e non e' tra i piu' utilizzati. Mi sa che devo rassegnarmi a studiare la roba che mi e' stata suggerita da acrive...
Avatar utente
legionario
Linux 2.6
Linux 2.6
 
Messaggi: 603
Iscritto il: mer dic 08, 2004 0:00
Località: Bergamo - Roma

Messaggioda acrive » sab nov 10, 2007 14:26

legionario ha scritto:Grazie mille acrive.

Ma non e' pericoloso tenere quel servizio aperto e accessibile a chiunque? Ora non so esattamente che tipo di operazioni si possano eseguire accedendo ad esso ma credo che debba essere filtrato...


Si possono sia prendere informazioni e si possono anche impostare. Potenzialmente si può fare di tutto, ma a questo punto dipende molto dall'amministratore in che modo intende costruire il sistema. Da quando uso Linux mi sono sempre detto di rispondermi a domande tpo.. Ma si può fare xxxxx ? Con un fragoroso CERTO!

Comunque poichè è un protocollo che permette utilizzi remoti è ovvio che dovranno esserci delle porte aperte... (A questo punto vorrei consigliare anche l'ultimo articolo di Vannini credo, sul portknocking su Linux & Co.)

Saluti!

UPDATE: Per la questione di informazioni importanti SNMP permette diverse "community", che hanno appunto il compito di dividere informazioni tra importanti e no (di default c'è pubblic e private, ma si possono creare anche specifiche community in base alle proprie esigenze, anche un fugace sguardo su snmpd.conf aiuta, ha molti esempi al suo interno)

Per prendere informazioni sul dispositivi basta interrogarelo sulla community pubblica, sotto la specifica gerarchia System.. (Il file di configurazione /etc/snmpd/snmpd.con contiene numerosi esempi di query utili a scoprire info )
Avatar utente
acrive
Linux 2.4
Linux 2.4
 
Messaggi: 306
Iscritto il: mar dic 27, 2005 0:24
Località: Brindisi <-> Bologna
Slackware: 12.0


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 0 ospiti