Navigatie overslaan.
Start

.1.3.6.1.4

.1.3.6.1.4
Een nieuwe cijferreeks voor Lost?

Neen, toch niet, wel ".iso.org.dod.internet.private".

SNMP is een mes dat aan twee zijden snijdt.

Langs de ene kant is het handig om devices te monitoren en te configureren, maar het is ook een security risico aangezien het toelaat om enorm veel informatie over dat device te weten te komen. (En te wijzigen.)

SNMP is namelijk niet versleuteld en extreem moeilijk om "goed" te doen. (Quasi onmogelijk.)

Iedere "variabele" in SNMP heeft een OID (Object IDentifier) en natuurlijk een waarde. Dit kan een string zijn, een counter, enz...
Wat een bepaalde OID wil zeggen kan teruggevonden worden in een zogenaamde MIB (Management Information Base).
Met de juiste MIB weet je exact wat een bepaalde OID wil zeggen, maar de MIB wordt niet altijd publiekelijk gemaakt, of toch niet voor alle OIDs.

Met "snmpwalk" kan je makkelijk een hele hoop waardes bekijken.


snmpwalk -c public IP_ADRES

Veel mensen laten het daarbij.
Veel security scanners laten het daarbij.

Spijtig, want er is meer.

Als we even kijken hoeveel variabelen er weergegeven worden met het bovenstaande commando, dan vinden we:


snmpwalk -c public IP_ADRES |wc -l

194

snmpwalk vraagt steeds de "volgende" (GETNEXT) waardes op, te beginnen bij "SNMPv2-SMI::mib-2".

Het is het device zelf dat bepaalt wat "volgende" betekent.

Soms worden variabelen overgeslagen, soms komt men in een cirkel terrecht.

Ik ken echter geen enkel device dat ook de .1.3.6.1.4 reeks weergeeft met standaard snmpwalk.

We moeten dus een handje helpen door snmpwalk te laten weten dat we met .1.3.6.1.4 willen beginnen, en vanaf daar een "GETNEXT" doen.

Hoeveel variabelen worden er dan getoond?


snmpwalk -c public IP_ADRES .1.3.6.1.4 |wc -l

399

Neem van me aan dat de voorgaande reeks hier niet inzit, men heeft hier dus bijna 400 extra variabelen die allerlei leuke informatie bevatten. ("private" wil in de meeste gevallen zeggen "leuk".)

Of wat dacht je van het volgende voorbeeld:


snmpwalk -c public IP_ADRES |wc -l

479


snmpwalk -c public IP_ADRES .1.3.6.1.4 |wc -l

10930

10000 (Tienduizend!) entries meer. Wat mag dat toch zijn?

Rarara.

Vendors denken blijkbaar dat als iets "private" genoemd wordt, dat het gezond is om daar belangrijke data in te stoppen.

Dit laatste voorbeeld is van een bekende firewall, en in die 10000 entries staat de complete firewall rulebase, de benodigde informatie voor site-to-site VPNs (inclusief de shared secrets) en alle user en wachtwoord combinaties voor client VPNs.

Erg private, erg veilig...
NOT.