8. Security Considerations (Considerazioni sulla Sicurezza)
8. Security Considerations (Considerazioni sulla Sicurezza)
Ci sono un numero di oggetti di gestione definiti in questo modulo MIB con una clausola MAX-ACCESS di read-write e/o read-create. Tali oggetti possono essere considerati sensibili o vulnerabili in alcuni ambienti di rete. Il supporto per le operazioni SET in un ambiente non sicuro senza protezione adeguata può avere un effetto negativo sulle operazioni di rete. Queste sono le tabelle e gli oggetti e la loro sensibilità/vulnerabilità:
-
ipForwardingeipv6IpForwarding- questi oggetti consentono a un manager di abilitare o disabilitare le funzioni di routing sull'entità. Disabilitando le funzioni di routing, un attaccante potrebbe eventualmente negare il servizio agli utenti. Abilitando le funzioni di routing, un attaccante potrebbe aprire un condotto in un'area. Ciò potrebbe comportare che l'area fornisca il transito per pacchetti che non dovrebbe o potrebbe consentire all'attaccante l'accesso all'area bypassando le misure di sicurezza. -
ipDefaultTTLeipv6IpDefaultHopLimit- questi oggetti consentono a un manager di determinare il diametro dell'area valida per un pacchetto. Diminuendo il valore di questi oggetti, un attaccante potrebbe causare lo scarto dei pacchetti prima di raggiungere le loro destinazioni. -
ipv4InterfaceEnableStatuseipv6InterfaceEnableStatus- questi oggetti consentono a un manager di abilitare o disabilitare IPv4 e IPv6 su un'interfaccia specifica. Abilitando un protocollo su un'interfaccia, un attaccante potrebbe essere in grado di creare un percorso non sicuro in un nodo (o attraverso di esso se è abilitato anche il routing). Disabilitando un protocollo su un'interfaccia, un attaccante potrebbe essere in grado di forzare i pacchetti a essere instradati attraverso qualche altra interfaccia o negare l'accesso a parte o tutta la rete tramite quel protocollo. -
ipAddressTable- gli oggetti in questa tabella specificano gli indirizzi in uso su questo nodo. Modificando queste informazioni, un attaccante può causare che un nodo ignori i messaggi destinati ad esso o accetti (almeno al livello IP) messaggi che altrimenti ignorerebbe. L'uso di filtri o associazioni di sicurezza può ridurre il potenziale danno nel secondo caso. -
ipv6RouterAdvertTable- gli oggetti in questa tabella specificano le informazioni che un router dovrebbe propagare nei suoi messaggi di annuncio del router. Modificando queste informazioni, un attaccante può interferire con l'auto-configurazione di tutti gli host sul collegamento. La maggior parte delle modifiche a questa tabella risulterà in una negazione del servizio per alcuni o tutti gli host sul collegamento. Tuttavia, due oggetti,ipv6RouterAdvertManagedFlageipv6RouterAdvertOtherConfigFlag, indicano se un host dovrebbe acquisire informazioni di configurazione da qualche altra fonte. Abilitandoli, un attaccante potrebbe essere in grado di causare che un host recuperi le sue informazioni di configurazione da una fonte compromessa. -
ipNetToPhysicalPhysAddresseipNetToPhysicalType- questi oggetti specificano informazioni utilizzate per tradurre un indirizzo di rete (IP) in un indirizzo dipendente dal mezzo. Modificando questi oggetti, un attaccante potrebbe disabilitare la comunicazione con un nodo o deviare i messaggi da un nodo a un altro. Tuttavia, l'attaccante potrebbe essere in grado di eseguire un attacco simile semplicemente rispondendo alla richiesta ARP o ND effettuata dal nodo target.
Alcuni degli oggetti leggibili in questo modulo MIB (cioè, oggetti con un MAX-ACCESS diverso da not-accessible) possono essere considerati sensibili o vulnerabili in alcuni ambienti di rete. È quindi importante controllare anche l'accesso GET a questi oggetti e possibilmente persino crittografare i valori di questi oggetti quando vengono inviati sulla rete tramite SNMP.
Queste sono le tabelle e gli oggetti e la loro sensibilità/vulnerabilità:
Essenzialmente, tutti gli oggetti in questo MIB potrebbero essere considerati sensibili in quanto riportano lo stato dei moduli IP all'interno di un sistema. Tuttavia, la ipSystemStatsTable, la ipIfStatsTable e la ipAddressTable sono probabilmente di maggiore interesse per un attaccante. Le tabelle di statistiche forniscono informazioni sulla quantità e il tipo di traffico che questo nodo sta elaborando e, specialmente per i provider di transito, possono essere considerate sensibili. La tabella degli indirizzi fornisce un elenco conveniente di tutti gli indirizzi in uso da questo nodo. Ogni indirizzo in isolamento è poco notevole, tuttavia, l'elenco totale consentirebbe a un attaccante di correlare traffico altrimenti non correlato. Ad esempio, un attaccante potrebbe essere in grado di correlare un indirizzo privato RFC 3041 [15] con indirizzi pubblici noti, eludendo così le intenzioni dell'RFC 3041.
Le versioni SNMP precedenti a SNMPv3 non includevano sicurezza adeguata. Anche se la rete stessa è sicura (ad esempio utilizzando IPSec), anche allora, non c'è controllo su chi sulla rete sicura è autorizzato ad accedere e GET/SET (leggere/modificare/creare/eliminare) gli oggetti in questo modulo MIB.
Si RACCOMANDA che gli implementatori considerino le funzionalità di sicurezza fornite dal framework SNMPv3 (vedi [9], sezione 8), incluso il supporto completo per i meccanismi crittografici SNMPv3 (per autenticazione e privacy).
Inoltre, l'implementazione di versioni SNMP precedenti a SNMPv3 NON è RACCOMANDATA. Invece, si RACCOMANDA di implementare SNMPv3 e di abilitare la sicurezza crittografica. È quindi responsabilità del cliente/operatore garantire che l'entità SNMP che fornisce accesso a un'istanza di questo modulo MIB sia configurata correttamente per dare accesso agli oggetti solo a quei principali (utenti) che hanno diritti legittimi di effettivamente GET o SET (modificare/creare/eliminare) tali oggetti.