SNMP Tehlikesi: Yalnız (161) yazı ile yüzaltmışbir

Saldırganların DDoS (Distributed Denial of Service - Dağıtık Hizmet Dışı Bırakma) saldırılarının etkisini arttırmak için DNS ve NTP sunucularından sonra SNMP protokolünü de kullanmaya başladıklarını görüyoruz.

DDoS saldırının etkisi yükseltmek için sadece DNS, NTP veya SNMP kullanılmayabilir. İstek göndermeye imkan veren, bu isteğin gönderildiği IP adresini denetleyemeyen ve isteğe oranla daha büyük bir paketle cevap veren bütün protokol ve sunucular DDoS saldırılarının etkisi arttırmak (DDoS amplification) için kullanılabilir.

SNMP protokolünün DDoS saldırılarında nasıl kullanıldığını anlatan sayısız makaleden birini okurken aklıma temel sızma eğitimi testlerinde gösterilen SNMP üzerinden bilgi alma yöntemleri geldi.

SNMP (Simple Network Management Protocol), ağ üzerindeki cihazlardan bilgi toplamak için kullanılan bir protokoldür. Sunuculardan switchlere, routerlardan yazıcılara kadar ağ üzerinde bulunan pek çok cihaza ait bilgilerin kolayca toplanmasına imkan veren bir protokoldür.

Şekil 1: Nijerya'da SNMP ile bilgi paylaşan bir cihaz (temsili)

Hedefi bulmak

Bu yazıyı hazırlamak için “uzak bir ülkeyi” tercih ettim. Bu işlemi sadece bilgi toplamak için ve hali hazırda paylaşmadıkları bilgilere ulaşmak için yaptığımdan vicdanım rahat. Nijerya’da IP adreslerini seçmiş olmam ise vicdanımı, nedense, bir miktar daha rahatlatıyor.

Eski dostumuz Google’a “Nijerya’daki internet servis sağlayıcılarına atanmış IP adreslerini” sordum. Aşağıdaki listeye ulaştım.

Şekil 2: Nijerya'daki internet servis sağlayıcılarına tahsis edilmiş IP adresleri

SNMP Bulmak

SNMP genelde 161 numaralı UDP portunda çalıştığı için NMAP kullanarak tespit etmek oldukça kolay oldu. Aşağıdaki komutta verdiğim IP aralığına UDP taraması (-sU) yapılmasını ve sadece 161 numaralı portun test edilmesini (-p161) istedim.

Şekil 3: NMAP ile SNMP hizmeti tespit etmek

Bu IP aralığında UDP 161 portu açık olan birkaç makine buldum ve içlerinden birine daha yakından bakmaya karar verdim.

Yüzaltmışbir
SNMP konusunda yakından bakmak için kullanılabilecek araçlardan birisi OneSixtyOne’dir. OneSixtyOne Kali Linux ile birlikte gelmektedir, ancak bunu ayrıca yüklemek isterseniz https://labs.portcullis.co.uk/tools/onesixtyone/ adresinden de indirebilirsiniz.

Gördüğünüz gibi bazı parametreleri ayarlamamıza imkan veren bir komut satırı var.
Şekil 4: Onesixtyone


Bizim için en önemli olanlar "–c" ile belirttiğimiz sözlük (denenecek “community” isimlerinin listesi) ve  "–i" ile belirttiğimiz hedeflerdir. Sıkça kullanılan SNMP community isimlerinin listelerini internette kolayca bulabilirsiniz.

OneSixtyOne bize bu cihazın Cisco marka olduğu bilgisini veriyor. Bunun yanında yazılım sürümü ve tarihi hakkında da bilgi ediniyoruz.
Şekil 5: Onesixtyone çıktısı

SNMP ile bilgi almak için kullanabileceğimiz bir diğer araç ise snmpcheck’tir. Snmpcheck Kali Linux üzerinde bulunmaktadır ancak özünde Perl dilinde yazılmış bir betik’tir (bkz. Script), kaynak koduna http://www.nothink.org/codes/snmpcheck/snmpcheck-1.8.pl adresinden ulaşabilirsiniz.

Şekil 6: snmpcheck

Snmpcheck ile bulduğumuz hedefe bakıyoruz.

Şekil 7: snmpcheck çıktısı

Snmpcheck bize, SNMP hizmetinin 106 gündür ayakta olduğu, bu cihazla ilgili iletişime geçebileceğimiz Ağ Operasyon Merkezinin (Network Operation Center  - NOC) adresini ve telefon numarası gibi ek bilgiler veriyor.

Bunların yanında snmpcheck kullanarak elde edilen önemli bilgiler var.

Şekil 8: snmpcheck çıktısında arayüz, IP adresi ve VLAN bilgileri

Cihazın arayüz bilgileri, IP adresi, bağlantı hızı, VLAN bilgisi gibi bilgilerin ulaşılabilir olduğu görülmektedir.

Şekil 9: snmpcheck çıktısı (devamı) cihaz üzerindeki aktif TCP ve UDP bağlantıları


SNMP dost mu, düşman mı?


Görüldüğü gibi ağınızda açık olabilecek SNMP hizmeti saldırganlar tarafından başka hedeflere DDoS saldırısı yapmak için ve ağ yapınız hakkında önemli bilgilere ulaşmak için kullanılabilir. 
Her iki duruma da imkan vermemek için ilk yapılması gereken şey ağınızdaki açık SNMP hizmetlerinin listesini çıkartmak olacaktır. Bu sayede ihtiyacınız olmadığı halde açık olan hizmetleri tespit edip kapatabilirsiniz. SNMP hizmetine gerçekten ihtiyaç duyduğunuz noktalarda ise cihaz üreticilerinin tavsiye ettiği güvenlik önlemlerini almanızda fayda var. 

Comments