Cómo bloquear el tráfico SNMP en tu firewall y proteger tu red

Lleva el control de tu red y protege tus dispositivos con SNMP. Obtén información sobre la topología de tu red y administra tus servidores de manera remota. Sin embargo, es importante tener cuidado y bloquear correctamente el tráfico SNMP en tu firewall para evitar que los hackers aprovechen esta vulnerabilidad para recopilar información confidencial de tu red. En este artículo, te explicaremos la amenaza que representa el SNMP, cómo bloquearlo en tu firewall y te ofreceremos algunos conocimientos básicos sobre el protocolo SNMP.

Índice de Contenido
  1. La amenaza del SNMP
  2. Cómo se aprovecha el SNMP
  3. Antecedentes del SNMP
  4. Conclusión

La amenaza del SNMP

El SNMP es una herramienta que permite recopilar información básica sobre la configuración del sistema. Por ejemplo, la cadena de consulta "systemInfo get" puede proporcionar información sobre los adaptadores de red disponibles durante el inicio de sesión. Esta es la información que los hackers intentan obtener antes de comenzar sus ataques a la red.

El SNMP es inherentemente inseguro debido a que los mensajes SNMP no están cifrados. No se trata de un error en el código, sino de una cuestión de diseño del protocolo que no tuvo en cuenta la proliferación de redes conectadas a Internet.

Además de recolectar información, el SNMP también puede ser utilizado para administrar dispositivos, como apagar una interfaz de red. Esto lo convierte en una herramienta aún más peligrosa en manos de hackers maliciosos.

Incluso se han reportado casos en los que una configuración incorrecta del firewall permitió que el servicio SNMP revelara la versión y configuración del firewall, así como información sobre el sistema subyacente. Incluso el mejor firewall puede ser comprometido si el sistema publica su versión y configuración exactas.

La forma más sencilla de protegerse de las amenazas del SNMP es configurar el firewall para bloquear los puertos UDP 161 y 162 (y cualquier otro puerto que hayas configurado específicamente para el tráfico SNMP) hacia el mundo exterior. Como mínimo, debes monitorear la actividad en todos los puertos que utilizan SNMP.

Cómo configurar el sistema de transporte de correo Mercury/32

Cómo se aprovecha el SNMP

El agente SNMP para Windows NT puede revelar una gran cantidad de datos útiles a un hacker, especialmente si el servidor también está ejecutando WINS y/o DHCP. Si estos servicios están activos en el servidor NT, el SNMP puede revelar los mismos datos que se obtienen con NBTSTAT o llamadas a procedimientos remotos, incluyendo un mapa de red y una asignación de direcciones IP a direcciones MAC. Incluso el software de administración SNMP puede cambiar las bases de datos de WINS y DHCP de forma remota si se conoce la contraseña de escritura. Sin embargo, el SNMP es un protocolo multiplataforma, por lo que sus vulnerabilidades no están limitadas a las redes Windows.

Debido a que las bases de datos de información de administración (MIBs) a menudo incluyen una tabla de conexiones TCP que lista los puertos abiertos pasivamente y las conexiones TCP activas, esta información puede ser accesible de forma remota. Algunos vendedores, como Cisco, ocultan automáticamente parte de la información SNMP, pero incluso el software de Cisco no oculta todos los datos de la tabla de conexiones TCP, y muchas implementaciones de SNMP de otros vendedores no ocultan ninguno.

Las solicitudes SNMP se aceptan utilizando uno de los dos nombres de comunidad estándar. La mayoría de los agentes SNMP utilizan los términos "public" y "private" como configuraciones predeterminadas para estos nombres, lo que facilita enormemente el acceso remoto. Es fácil imaginar que si no cambias estos nombres por defecto, estás dejándote vulnerable a los hackers que intentarán utilizar los nombres predeterminados en sus ataques.

La seguridad del SNMP se compone principalmente de dos subsistemas:

  • El Módulo de seguridad se encarga de la autenticación y la identificación del origen del mensaje.
  • El Módulo de control de acceso determina qué objetos se están gestionando e indica si el originador del mensaje de control tiene permiso para acceder a dichos objetos.

Antecedentes del SNMP

Para comprender la vulnerabilidad del SNMP, es importante conocer su origen. El SNMP es un protocolo de Internet desarrollado en la década de 1980, cuando las redes TCP/IP estaban en pleno auge y se reconoció que la administración de redes se estaba convirtiendo en un problema importante. SNMP se hizo popular rápidamente tras la publicación de RFC 1157 en 1990, pero las primeras dos versiones de SNMP no incluían características reales de seguridad.

El SNMP consta de tres componentes:

Los cinco tipos de contraseñas para proteger tu router Cisco
  • La estructura de información de administración (SMI)
  • La base de información de administración (MIB)
  • Las unidades de datos de protocolo (PDUs)

SMI es una herramienta que identifica los tipos de datos y establece las reglas para crear el MIB. Las PDUs definen los mensajes de administración de red autorizados. Los puertos UDP 161 (agentes) y 162 (administradores) son los puertos habituales para implementar SNMP utilizando IP, pero también se pueden utilizar datagramas IPX, AppleTalk o incluso HTTP para admitir SNMP.

Los proveedores escriben definiciones de objetos compatibles con SMI para sus sistemas y las compilan utilizando un compilador MIB estandarizado para generar código ejecutable que se utiliza para administrar concentradores, enrutadores, tarjetas de red, etc., que tienen agentes que reconocen los objetos MIB.

El control de acceso y la autenticación de paquetes de datos están protegidos por contraseñas, pero dado que generalmente se incluyen en cada paquete SNMP, a menudo en formato no cifrado, pueden ser descubiertos mediante cualquier sniffer de paquetes. Esto significa que los administradores de red deben bloquear el uso de cualquier función de control del SNMP, como "Set", o cualquier herramienta que permita a los paquetes escribir datos en cualquier entidad.

Quizás haya esperanza para el futuro. Actualmente, el IETF está trabajando en una nueva versión de SNMP llamada SNMPv3, que incluye mejoras en la seguridad. Después de años de trabajo, SNMPv3 pronto se publicará como un RFC.

Conclusión

El SNMP puede ser explotado por hackers que intentan atacar una red, lo que representa un riesgo de seguridad importante. Como hemos discutido, debes configurar tu firewall para bloquear los puertos UDP 161 y 162 hacia el exterior, o al menos monitorear de cerca todo el tráfico en estos puertos. También es recomendable cambiar los nombres de comunidad del SNMP por defecto para que no sean un objetivo fácil para los hackers.

¿Estás bloqueando el tráfico SNMP en tu firewall y/o monitoreando el tráfico SNMP? Esperamos recibir tus comentarios y experiencias sobre este tema. Únete a la discusión a continuación o envía un correo electrónico al editor.

Guía completa para entender las direcciones IP y su importancia en redes

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Redes, allí encontraras muchos artículos similares a Cómo bloquear el tráfico SNMP en tu firewall y proteger tu red , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.