Rapid7 ha scritto su questo sul loro blog. In pratica stanno dicendo che se SNMP non è richiesto, allora dovrebbe essere disabilitato in modo che la superficie di attacco sia ridotta, tuttavia se è necessario, è necessario eseguire l'aggiornamento a SNMPv3 poiché ha miglioramenti della sicurezza :
- Confidentiality – Encryption of packets to prevent snooping by an
unauthorized source.
- Integrity – Message integrity to ensure that a
packet has not been tampered while in transit including an optional
packet replay protection mechanism.
- Authentication – to verify that
the message is from a valid source.
@Daisetsu ha sottolineato che solo SNMPv1 e SNMPv2c utilizzano una stringa di comunità. SNMPv3 utilizza invece un authentication key
, una chiave segreta utilizzata per l'autenticazione e una privacy key
, una chiave segreta utilizzata per la crittografia. (Questo può essere visto nella sezione RFC 3.1 , 4a e 6a).
Entrambe queste chiavi dovrebbero essere diverse e complesse per rendere difficili gli attacchi di indovinare, seguendo requisiti simili a quelli collegati nel blog di Rapid7.