Day 16 - SNMP、Banner Grabbing 与 Firewall Rules

出於书本 Chapter 8. Network Infrastructure

SNMP 扫描

什麽是 SNMP ？会有哪些弱点

Simple Network Management Protocol (SNMP) 用於交换网路装置之间的管理讯息。是用来管理与监视网路之广泛接受的通讯协定之一。很不幸的，SNMP 也会有所谓的安全性漏洞的问题产生。

例如在 SNMPv1 中，无论是 public community strings (唯读存取，例如读取 CPU/Memory 使用量) 或是 private community strings (写入存取，例如更改组态或是下重开机指令) 的这两个保护都是 预设开启且密码不修改的话分别就是 public 与 private ，... 恩。[1]

骇客能透过 SNMP 暴露的弱点，收集到相关网路的资讯，像是 Address Resolution Protocol Table ( ARP Table ，一种纪录 IP 位置与实体 IP 关联的对应关系 [2])，使用者名称或是 TCP 连线等。

因应 SNMP 的对策

• 如果没有需要 SNMP ，直接关好关满
• 锁定 SNMP 预设的 port (UDP 161 与 162)
• 如果要使用 public 或是 private community string 的保护，记得把那要命的预设密码给换掉

Banner grabbing

什麽是 Banner

就是连上服务时，服务预先会回应的一个字串，原本只是用来确认有没有跑错棚。通常会显示版号或是其他系统相关的资讯，尴尬点就是这有可能会将 OS 的版本讯息向外揭露，一但攻击者发现到你的系统还在使用有安全性漏洞的旧版本 OS，就有可能遭受攻击。

幸好还是有些工具可以辅助查看的，举例像是使用 telnet 看看预设的 telnet port 23 会回传些什麽

telnet ip_address

因应 banner grabbing 的对策

• 如果完全没有使用需求，就把 banner 给关掉
• 如果没有要使用预设 banner 的需求，或是能够客制化 banner 内容，就把会被攻击者利用的系统资讯给移除。

防火墙规则 (Firewall rules)

书上是直接看防火墙测试的工具，第一套是自己很常拿来检查 infrastructure 上设定的网喵 Netcat

比如说，测试一下系统里的 telnet 的预设 port 23 是否有被开启，可以参考以下顺序：

• 从防火墙内侧测试
• 从防火墙外侧测试
• 从防火墙内部机器 -l 启动监听

nc -l -p 23 -e /bin/bash

• 从防火墙外部测试是否摸得到 port 23

nc -v ip_address 23

因应对策

• 只开放需要的 traffic port
• 阻挡 ICMP 可以预防外部攻击者试图探测你的网路主机是否是好的
• 如果可以，为防火墙开启状态封包检测 (stateful packet inspection)

夜又深了，明天从网路分析仪 (Network analyzers) 继续研究....

[1] SNMP 的革命进程
[2] 浅谈ARP