Modellazione delle minacce di un software di monitoraggio della rete

Naviga le tue risposte
0

Supponiamo che vengano implementati strumenti di monitoraggio dei guasti di rete per monitorare un sottoinsieme di router.

Che cosa può fare un utente malintenzionato sfruttando un sistema di monitoraggio della rete come OpenNMS?

  1. Possono conoscere la topologia della rete?

  2. Possono trovare interesse per i sistemi? (server, switch, ecc.)

  3. Che altro è possibile scoprire?

Credo che dipenda dalla configurazione del sistema NMS e da che traffico scorre. Sono corretto?

Sono interessato a scoprire quali informazioni sensibili sono vulnerabili a un sistema di monitoraggio delle reti / dei guasti.

    
posta user1493834 27.04.2016 - 12:03
fonte

1 risposta

2

Molti sistemi NMS funzionano meglio se distribuiti utilizzando un semplice protocollo di gestione della rete (SNMP). SNMP consente maggiori dettagli nei dati rispetto all'inferenza. Per esempio. senza SNMP, lo strumento NMS si basa sull'aggregazione della larghezza di banda e delle connessioni che vede, rispetto all'uso di SNMP in cui può accedere al router e interrogare un'interfaccia. Quindi, ciò che è a rischio qui:

Percorsi : in ambienti separati, ci sono VLAN, più rotte a volte a diversi provider, destinazioni e così via. Come attaccante, sarei sempre interessato a quelle rotte, mi aiuta a scoprire più di una superficie d'attacco.

Sistemi : dove dovrei scoprire manualmente cosa c'è sulla rete, l'NMS rende per me semplice perché è una singola fonte di scoperta contro di me che devo sparare per dire NMAP per scoprire tutto da solo. Ciò mantiene il mio rumore di rete minimo.

Versioni : insieme ai sistemi e ai percorsi, l'NMS semplifica la vita come attaccante poiché la maggior parte dei sistemi NMS contiene versioni di software e sistemi. Piuttosto che eseguire impronte digitali di sistema, posso solo interrogare il sistema NMS per specifiche. Ad es .: "Quale di questi 1000 sistemi sono sistemi Windows 2003 e qual è il loro livello di patch?" (Da utilizzare per isolare gli exploit).

Riutilizzo delle credenziali : molte organizzazioni dimenticano il riutilizzo delle credenziali. Maggiore è il numero di account su NMS, maggiore è la probabilità che qualcuno stia riutilizzando le proprie credenziali. Per esempio. username (su NMS): jsmith password: Passw0rd1 in questa situazione un amministratore junior ha un account su NMS. La sua password era incrinata, e ora io come attaccante posso usare quella password per girare intorno all'organizzazione. A seconda di come è configurato il tuo NMS, potrebbe essere possibile accedere a un NMS e ottenere tutti i dati di cui ho bisogno senza accedere a un server Active Directory.

Ci sono molti problemi con i sistemi NMS su cosa e come un utente malintenzionato può sfruttare tali dati. Mi piace indirizzare i sistemi basati su NMS e spesso trovo che le organizzazioni che li distribuiscono non affrontino questi problemi. (Segregazione, isolamento, monitoraggio)

    
risposta data 27.04.2016 - 13:26
fonte

Leggi altre domande sui tag

sito web - infettato da malware e se sì, come posso trattarlo? [chiuso] quando usare la codifica per l'hashing?