snmp over internet veilig ? - Netwerken

zondag 6 november 2005 15:51

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

(Weet niet zeker of het hier in het juiste gedeelte van het forum staat maar daar komt die toch maar.)

Via snmp is het mogelijk om servers te monitoren.
Wij willen dit gaan doen om meerdere server bij klanten te monitoren.
Het gaat dan over Fujitsu Siemens servers, met Fujitsu Siemens Serverview daarop.

Nu las ik dat de poorten 161 + 162 dan open moeten staan.
Op alle lokaties staat poort 1723 (vpn) al open.

Van vpn weet ik dat dat redelijk (goed) beveiligd is.
Maar ...
Wat denken jullie over snmp? Valt daarop in te breken, kunnen daarmee dingen gedaan worden wat je op je netwerk / server niet wil? Ik weet dat je bij de snmp service aan kan geven wie wat 'mag' doen. Dus het ip-adres van een pc/server en wat die mag doen.
Als ik dit juist instel is het dan goed genoeg beveiligd? of blijven er risico's aan vast zitten?

Alvast bedankt.

zondag 6 november 2005 16:12

Acties:

0 Henk 'm!

lordgandalf

snmp staat niet echt bekend als een van de veiligste protocollen er is namelijk weinig tot geen beveiliging je hebt je community strings en dat is heel je beveiliging en daarnaast heb je de readonly en de write community strings dus als ze achter je write community string kommen kunnen ze settings aanpassen

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3

zondag 6 november 2005 16:15

Acties:

0 Henk 'm!

Verwijderd

In principe is het wel redelijk te beveiligen, maar een ongeluk zit in een klein hoekje. Waarom doe je dit niet via een VPN?

zondag 6 november 2005 16:15

Acties:

0 Henk 'm!

smimic

ideetje....

VPN.....
snmp...

snmp over de vpn?

//grmbbll net te laat//

[ Voor 18% gewijzigd door smimic op 06-11-2005 16:15 ]

i5-2500k /MSI GTX 1080 8 GB X Gaming / 8GB Mem / 6TB storage/ B&Q 32 inch WQHD/

zondag 6 november 2005 16:16

Acties:

0 Henk 'm!

Zwelgje

ultratrottell schreef op zondag 06 november 2005 @ 16:15:
ideetje....

VPN.....
snmp...

snmp over de vpn? //grmbbll net te laat//

ja dan zal hij xx aantal vpn tunnels moeten opzetten naar alle servers.. en dat wil niet altijd

(of is niet wenselijk)

A wise man's life is based around fuck you

zondag 6 november 2005 16:28

Acties:

0 Henk 'm!

StevenK

SNMP is *niet* veilig.

Was advocaat maar vindt het juridische nog steeds leuk

zondag 6 november 2005 16:30

Acties:

0 Henk 'm!

Zwelgje

kan je op de firewall bij de klant niet aangeven dat er alleen van een *bepaald* ip adres verbinding kan worden gemaakt met die poortjes

een beetje een firewall kan dat

, neemt natuurlijk niet weg dat de data die over de lijn gaat niet encrypted is

[ Voor 20% gewijzigd door Zwelgje op 06-11-2005 16:30 ]

A wise man's life is based around fuck you

zondag 6 november 2005 18:02

Acties:

0 Henk 'm!

alt-92

ye olde farte

StevenK schreef op zondag 06 november 2005 @ 16:28:
SNMP is *niet* veilig.

Vandaar ook dat een beetje SNMP enabled device acls heeft en je andere community strings kan gebruiken.
werkstation X heeft immers ook geen ruk te maken met je printservers qua snmp.
Je management station weer wel.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zondag 6 november 2005 18:07

Acties:

0 Henk 'm!

CyBeR

💩

SNMP3 schijnt een stuk verbeterd te zijn tegenover versies 1 en 2c.

Overigens, kan dat serverview spul ook snmp set acties aan? Pas dan kan 't gevaarlijk worden namelijk. Gewoonlijk wordt snmp alleen read-only gebruikt (bijvoorbeeld voor statistieken).

All my posts are provided as-is. They come with NO WARRANTY at all.

zondag 6 november 2005 18:23

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

ndeleeuw schrijft:
snmp staat niet echt bekend als een van de veiligste protocollen er is namelijk weinig tot geen beveiliging

stevenk schrijft:
SNMP is *niet* veilig.

ik vond stevenk zijn "uitleg" vrij kort, misschien dat hij dit nog toe kan lichten ...

verder word er gepraat over snmp over vpn.
zou kunnen, nadeel; dan moeten er meerdere vpn verbindingen tegelijkertijd open staan.
aangezien het er zo een stuk of 30 zijn gaat dit met de bestaande router niet werken, en softwarematig twijfel ik of dit stabiel blijft / en goed werkt.

of:
in de router bij de klant moet het ip-adres van onze verbinding staan.
(dit is volgens mij wel extreem veilig, nadeel bij niet elke klant van ons kan dat ivm type router).

maar hier had ik iig nog niet over nagedacht.
ik denk dat het wijs is om te beginnen met de klanten waarbij in hun router ons ip-adres wel aangegeven kan worden bij de snmp poort.
Op deze manier kunnen we veilig beginnen en dit systeem later uitbreiden.
Tot zover bedankt.

Reacties zijn altijd welkom.

zondag 6 november 2005 19:13

Acties:

0 Henk 'm!

StevenK

Verwijderd schreef op zondag 06 november 2005 @ 18:23:
ndeleeuw schrijft:
snmp staat niet echt bekend als een van de veiligste protocollen er is namelijk weinig tot geen beveiliging

stevenk schrijft:
SNMP is *niet* veilig.

ik vond stevenk zijn "uitleg" vrij kort, misschien dat hij dit nog toe kan lichten ...

Kijk eens met een sniffer naar SNMP verkeer

Daarnaast zijn SNMP stacks vaak niet DDOS-proof geschreven.

in de router bij de klant moet het ip-adres van onze verbinding staan.
(dit is volgens mij wel extreem veilig, nadeel bij niet elke klant van ons kan dat ivm type router).

Wel eens van spoofen gehoord ?

Was advocaat maar vindt het juridische nog steeds leuk

zondag 6 november 2005 19:14

Acties:

0 Henk 'm!

Rolfie

ik vond stevenk zijn "uitleg" vrij kort, misschien dat hij dit nog toe kan lichten ...

Heb je zelf al eens goed gezocht op google hierover. SNMP gebruikt gewoon platte text. Dus ja het is niet veilig. Kijk bv een met Ethereal als je een SNMP gebruikt.
Voor securty kan je ook [google=how secure is snmp] zoeken. Er is hierover meer dan voldoende over te vinden.

Comparing and Contrasting the Security of SNMPv1 with SNMPv3
RE: [suse-security] How secure is snmp
SNMP Best practices

Bij PNS verwachten we wel input van jouw over je onderwerpen.

Kan je niet kijken naar een IPSEC verbinding met je klanten?, hier kan je ook alles mee beveiligingen. Komt ongeveer er op neer als een VPN verbinding. Maar is denk ik iet gemakkelijk te beheren.

zondag 6 november 2005 19:27

Acties:

0 Henk 'm!

alt-92

ye olde farte

Windows' native IPsec kan je inderdaad ook gebruiken om het verkeer tussen jouw management server en die dozen te encrypten, maar om dat nou makkelijk te noemen..

Werkt wel hoor, en ik gebruik het zelf ook maar ik zou het niet 'makkelijk te beheren' willen noemen.
Nou kan ik hier nog Certs inzetten (CA) maar anders heb je alleen een Preshared key.

Bovendien zit je ook nog met NAT'ed situaties.

[ Voor 10% gewijzigd door alt-92 op 06-11-2005 19:29 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zondag 6 november 2005 19:40

Acties:

0 Henk 'm!

TrailBlazer

Karnemelk FTW

snmp stond bij mijn vorige werk als het.
Security is Not My Problem
met name het feit dat de password cleartext over de lijn heen gaat + het feit dat het udp verkeer is. Er is dus geen eens bi directional reachability nodig. Zo heb ik wel eens vanaf een server een router terug weten te brengen terwijl die router de server niet eens kon bereiken. Je kan bij cisco's bijvoorbeeld een confguratie bestand laden vanaf een tp/tftp server.

zondag 6 november 2005 19:41

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Heb denk ik toch wel genoeg research gedaan ... maarja;

Dus de beste optie zou dan zijn via een software matig vpn programme een gecodeerde verbinding (ip-sec) opzetten en zo beheren.

Nadeel voor mij; niet elke klant heeft een router die dit ondersteund.

StevenK
DDOs en Spoofen idd in dit geval niet over nagedacht, maar;
DDOS gebeurd bij onze klanten zo goed als niet (kan natuurlijk altijd gebeuren).
Spoofen is inderdaad een goede waar ik nog niet over nagedacht heb.

Rolfie
Heb moet dan idd. een vpn ip-sec verbinding worden, maar software matig omdat onze router het aantal verbindingen niet ondersteund.

Ik denk dat ik dit van de week eens ga proberen op te zetten.
De laatste optie dus.
Een software matige VPN - IP-Sec verbinding waarover SNMP loopt.
Dit eerst met de lokaties waarbij dit nu ondersteund word, daarna uitbreiden.

Ik neem aan dat SNMP via een IP-Sec verbinding wel veilig is

Het is niet helemaal het ideale maar als SNMP normaal dus niet 'veilig' is, dan maar snmp over ipsec.

Reacties nog steeds welkom.

[ Voor 6% gewijzigd door Verwijderd op 06-11-2005 19:41 ]

zondag 6 november 2005 19:58

Acties:

0 Henk 'm!

StevenK

Verwijderd schreef op zondag 06 november 2005 @ 19:41:
Heb denk ik toch wel genoeg research gedaan ... maarja;

StevenK
DDOs en Spoofen idd in dit geval niet over nagedacht, maar;
DDOS gebeurd bij onze klanten zo goed als niet (kan natuurlijk altijd gebeuren).
Spoofen is inderdaad een goede waar ik nog niet over nagedacht heb.

Voor elk beveiligingsrisico geldt dat het nooit gebeurt, tot het gebeurt.

Maak eens een sommetje wat het jouw klant kost als zijn server morgen leeg is en kijk dan of jullie dat risico kunnen en willen lopen.

Was advocaat maar vindt het juridische nog steeds leuk

zondag 6 november 2005 20:04

Acties:

0 Henk 'm!

Paul

Waarom IP-SEC vpns? OpenVPN kan ook, en voor je router is dat niet meer dan een UDP-verbinding op poort 1194 (of net welke je er zelf voor kiest).

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

zondag 6 november 2005 20:51

Acties:

0 Henk 'm!

Verwijderd

Move PNS > NT