---

Jeg sidder og roder med scripts til kontrol af en stak HP switche.

De kan umiddelbart kun snakke SNMP v. <= 2c. Skal man virkeligt op i
SNMP v. 3, før man kan få en smule sikkerhed i form af krypteret
brugernavn, password etc.?

Som jeg ser det, er den eneste mulighed med v. 2c at man sætter
communityname til et non-standardnavn... men det tager jo kun et par ms
at sniffe dét.

VLAN er ikke muligt i det pågældende setup.

Skal jeg bare "nøjes" med v. 2c?

--
Steen Suder
Prøv at forestille dig, at du er en anden, og læs så din artikel igennem
inden du sender den. Alle har interesse i, at du staver og formulerer
dig, så godt du kan. På den måde forstås det lettere, hvad du skriver.

---

Steen Suder <sfs_news_spam@suder.dk> wrote:

>Jeg sidder og roder med scripts til kontrol af en stak HP switche.
>
>De kan umiddelbart kun snakke SNMP v. <= 2c. Skal man virkeligt op i
>SNMP v. 3, før man kan få en smule sikkerhed i form af krypteret
>brugernavn, password etc.?

Ja. Men der er et par tricks man kan gøre.

- Sørge for at styre adgang til SNMP fra trusted hosts
- Isolering af management-adresser på vlan, loop-backs
- Sørge for at filtrere SNMP mod management-adresser med ACL/VACL
- Forhindre spoofing

De første punkter handler om at styre hvem der må sende SNMP til
enhederne ved filtre på boksene og/eller på router-interfaces, VLAN
access-lists eller hvad man nu kan finde på af sjove ting.

Det sidste handler om at SNMP dybest set er let at spoofe. Så når du
kontrollerer adgangen på IP-adresser er du også nødt til at sikre at
du kan have tillid til dem.

Og så er vi ude i "sjove" ting som Unicast Reverse Path Forwarding,
DHCP snooping, Dynamic ARP inspection, IP Source Guard - eller hvad nu
andre producenter end Cisco kalder dem ..

>Som jeg ser det, er den eneste mulighed med v. 2c at man sætter
>communityname til et non-standardnavn... men det tager jo kun et par ms
>at sniffe dét.
>
>VLAN er ikke muligt i det pågældende setup.
>
>Skal jeg bare "nøjes" med v. 2c?

Man bør overveje ret seriøst om det er klogt at enable SNMP
WRITE/CREATE på boksene, hvis ikke man kan kontrollere adgangen. Men
det er naturligvis op til en konkret risikovurdering. Hvilken skade
kan en angriber gøre med en SNMP kommando kontra de administrative
fordele man opnår med SNMP.

Hvis det er noget med automatiseringer så kan man også nå et stykke
vej med f.eks. telnet-scripts. F.eks. perl med net::telnet eller
expect hvis det skal være rigtig fint.

Og hvis det er noget med alarmer, så kan boksen godt sende SNMP traps
uden at have SNMP W/C enabled.

--
Lars Kim Lund
http://www.net-faq.dk/

---

Lars Kim Lund <lkl@fabel.dk> wrote:

>>Skal jeg bare "nøjes" med v. 2c?
>
>Man bør overveje ret seriøst om det er klogt at enable SNMP
>WRITE/CREATE på boksene, hvis ikke man kan kontrollere adgangen. Men
>det er naturligvis op til en konkret risikovurdering. Hvilken skade
>kan en angriber gøre med en SNMP kommando kontra de administrative
>fordele man opnår med SNMP.
>
>Hvis det er noget med automatiseringer så kan man også nå et stykke
>vej med f.eks. telnet-scripts. F.eks. perl med net::telnet eller
>expect hvis det skal være rigtig fint.

Hmm - men det er jo også klar-tekst og kan sniffes lige så let som
SNMP. Tja ... Det kan naturligvis løses hvis man kan bruge SSH mod
boksene eller tre-faktor auth, men så gik automatikkken lige i vasken.

Så det. Tilbage til at det er en god idé at kontrollere adgangen til
management-adresserne så man ikke er så sårbar over for protokollernes
svagheder.

--
Lars Kim Lund
http://www.net-faq.dk/

---

Lars Kim Lund wrote:

> Hmm - men det er jo også klar-tekst og kan sniffes lige så let som
> SNMP. Tja ... Det kan naturligvis løses hvis man kan bruge SSH mod
> boksene eller tre-faktor auth, men så gik automatikkken lige i vasken.

Jeg bruger Rancid mod HP-switche med ssh.

ssh er supporteret på alle nyere HP-switche med en ikke alt for gammel
fw (bruger det på 2500, 2600 og 5300).

Knus
Regnar

---

On Thu, 03 Nov 2005 01:30:26 +0100, Steen Suder
<sfs_news_spam@suder.dk> wrote:

> De kan umiddelbart kun snakke SNMP v. <= 2c. Skal man virkeligt op
> i SNMP v. 3, før man kan få en smule sikkerhed i form af krypteret
> brugernavn, password etc.?

I praksis ja.

Man kan vælge mellem SNMPv1, der er understøttet alle steder, men ikke
har noget sikkerhed, SNMPv2, der ikke *reelt* giver bedre sikkerhed og
SNMPv3, der giver bedre sikkerhed, men er meget dårligt supporteret.

Man er med andre ord nødt til at beskytte sig på anden vis end med et
'login'.

> VLAN er ikke muligt i det pågældende setup.

På de bokse, jeg normalt har med at gøre, kan man sætte en ACL på
selve SNMP-adgangen. Man behøver ikke gøre det for et VLAN. (Man kan
gøre det samme for andre metoder at konfigurere kassen, som telnet,
ssh og web).

> Skal jeg bare "nøjes" med v. 2c?

Jeg vil faktisk sige, why bother? Det eneste du opnår med v2c er
ringere hard- og software-support.

Det mest almindelige blandt mine kunder er, at de kører v1, men så
supplerer med ACLs, der begrænser hvem der kan snakke SNMP med
boksene. Og det selvom SNMPv3 faktisk efterhånden er supporteret af
boksene.

-A
PS: Jeg mener nu faktisk, at SNMPv3 er supporteret i nyere software-
versioner på (i hvert fald nogle) HP-switche (2600, 2800 og 4100 fx).
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/