Guide pour éviter les problèmes d'amplification SNMP

Niveau d’expertise : Moyen

Qu’est-ce que Simple Network Management Protocol (SNMP)?

SNMP constitue l’un des protocoles les plus fréquemment utilisés pour la gestion de réseau et de périphériques réseau. Il sert également à recueillir de l’information ou à configurer n’importe quel périphérique réseau reposant sur le protocole SNMP, notamment des serveurs, des commutateurs, des routeurs, des pare-feu matériels, etc.

Consultez le site Web suivant pour en savoir davantage au sujet de ce protocole : http://fr.wikipedia.org/wiki/Simple_Network_Management_Protocol

Description :

Le service SNMP peut être utilisé pour refléter et amplifier un flux de paquets UDP vers la cible d’une attaque par déni de service (DDoS). Cette situation peut se produire lorsque la communauté publique par défaut est utilisée et que le trafic SNMP n’est pas filtré lors de l’installation.

Exploiter un service SNMP public permet également aux pirates de recueillir de l’information au sujet de votre serveur et de s’en servir pour préparer une attaque.

Vérification de la vulnérabilité de votre serveur ou périphérique

Pour vérifier si votre serveur est vulnérable, exécutez la commande suivante sur une machine externe :

snmpget -c public -v 2c [Server-IP] 1.3.6.1.2.1.1.1.0 


Si le serveur SNMP renvoie un message comme « iso.3.6.1.2.1.1.1.0 = STRING: "[information about your system]" », votre serveur est vulnérable aux attaques. Autrement, il pourrait renvoyer le message « Timeout: No Response from [Server-IP] ».

Solution :

Différentes options s’offrent à vous pour protéger votre serveur ou votre périphérique :

1) Désactivez le service SNMP si vous ne l’utilisez pas. Il s’agit de la solution la plus facile et la plus efficace.

2) Configurez une communauté privée et utilisez une authentification SNMP plutôt que la communauté publique par défaut.

3) Configurez le service SNMP afin de limiter les requêtes SNMP à une liste spécifique d’hôtes.

4) Configurez votre pare-feu pour filtrer les données sortantes, ce qui pourrait atténuer les risques d’attaque par usurpation de l’adresse IP source. Consultez la documentation de votre produit pour obtenir les instructions sur la façon de filtrer les données sortantes.

Références externes

Vous avez d’autres questions ? Envoyer une demande

0 Commentaires

Cet article n'accepte pas de commentaires.
Réalisé par Zendesk