The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Безопасность имен snmp community

19.05.2003 15:41

Nikola Krasnoyarsky предложил простой и эффективный способ (используется md5) создания уникальных и запоминающихся имен для snmp community.

  1. Главная ссылка к новости (http://www.opennet.ru/base/sec...)
Лицензия: CC-BY
Короткая ссылка: https://opennet.ru/2459-snmp
Ключевые слова: snmp, md5
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (9) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Андрей К (?), 20:43, 19/05/2003 [ответить]  
  • +/
    А почему не использовать в качестве пароля просто ip+secret ? Зачем md5 ?
     
     
  • 2.2, poige (?), 05:51, 20/05/2003 [^] [^^] [^^^] [ответить]  
  • +/
    Потому, что это уже "старо", а opennet'у надо же контент пополнять.

    /poige
    --
    http://www.morning.ru/~poige/

     
  • 2.3, uldus (?), 10:25, 20/05/2003 [^] [^^] [^^^] [ответить]  
  • +/
    >А почему не использовать в качестве пароля просто ip+secret ? Зачем md5
    >?

    Все пароли и шифрование comunity не решает проблем, только жесткое закрытие фаерволом для всех кроме машины занимающейся учетом и находящейся в заведомо trusted сети. Только тогда можно спасть спокойно даже при public community.

     
     
  • 3.4, poige (?), 10:49, 20/05/2003 [^] [^^] [^^^] [ответить]  
  • +/
    >>А почему не использовать в качестве пароля просто ip+secret ? Зачем md5
    >>?
    >
    >Все пароли и шифрование comunity не решает проблем, только жесткое закрытие фаерволом
    >для всех кроме машины занимающейся учетом и находящейся в заведомо trusted
    >сети. Только тогда можно спасть спокойно даже при public community.

    Ха! *Всех проблем* даже firewall не решит. А то, что механизмов защиты для SNMP разработано уже достаточно, в том числе и более надежных, чем просто выбор "непобедимого" названия community это факт:

    If needed, the two parties can communicate secretly using the Privacy Keys. The two parties can also mutually authenticate each other (be certain of the other's identity) using the Authentication Keys. SNMP v2 is designed to use DES encryption for privacy and the MD5 digest algorithm for authentication. We will not discuss in this guide how to use DES and MD5.

    Смотрите также RFC 3414 по v3.

    Просто opennet следует курсу на пополнение количества, а не улучшение качества content'а всеми силами, т. е., просто "попсеет"... Предусмотренный тэг "для начинающих" практически не используется.
    Заголовки новостей выбираются "абы громчей было".

    --
    http://www.morning.ru/~poige/

     
     
  • 4.5, uldus (?), 16:37, 20/05/2003 [^] [^^] [^^^] [ответить]  
  • +/
    >для SNMP разработано уже достаточно, в том числе и более надежных,
    >чем просто выбор "непобедимого" названия community это факт:

    И притом _реализации_ этих механизмов дырявы как решето, для примра SNMP агенты cisco ios и netsnmpd. Светить куда-лиюо во вне SNMP независимо от навороченности внутренних средств защиты агентов - это как сидеть на бочке с порохом.

    >Смотрите также RFC 3414 по v3.

    Смотрите BUGTRAQ по поводу OpenSSL, OpenSSH и др. проектов авторы которых били себя в грудь о непробиваемости их прогамм. Спецификации и алгоритмы одно дело, а их практические реализации - совершенно другое.

    >Просто opennet следует курсу на пополнение количества, а не улучшение качества content'а
    >всеми силами, т. е., просто "попсеет"... Предусмотренный тэг "для начинающих" практически
    >не используется.
    >Заголовки новостей выбираются "абы громчей было".

    Меньше желчи.

     
     
  • 5.7, poige (?), 06:45, 21/05/2003 [^] [^^] [^^^] [ответить]  
  • +/
    >>для SNMP разработано уже достаточно, в том числе и более надежных,
    >>чем просто выбор "непобедимого" названия community это факт:
    >
    >И притом _реализации_ этих механизмов дырявы как решето, для примра SNMP агенты
    >cisco ios и netsnmpd. Светить куда-лиюо во вне SNMP независимо от
    >навороченности внутренних средств защиты агентов - это как сидеть на бочке
    >с порохом.

    если говорить про реализации, то никто не гарантирует, что и в v1 все клево, между прочим. Если чел идет на то, что открывает доступ на сетевом уровне, то это его выбор.

    >
    >>Смотрите также RFC 3414 по v3.
    >
    >Смотрите BUGTRAQ по поводу OpenSSL, OpenSSH и др. проектов авторы которых били
    >себя в грудь о непробиваемости их прогамм. Спецификации и алгоритмы одно
    >дело, а их практические реализации - совершенно другое.

    uldus, ты злостный offtopi'ст. Если ты не заметил еще, я тебе скажу еще раз: чел открыт на сетевом уровне и пытается защищаться уровнями выше. На что я резонно, на мой взгляд, отметил, что на этих уровнях есть другие средства защиты. Вот их и сравни. А писать про то, как в OpenSSH дырки находят, это примерно тоже самое, как при обсуждении Apache, грить, что bind дырявый. man offtopic?

    >>Просто opennet следует курсу на пополнение количества, а не улучшение качества content'а
    >>всеми силами, т. е., просто "попсеет"... Предусмотренный тэг "для начинающих" практически
    >>не используется.
    >>Заголовки новостей выбираются "абы громчей было".
    >
    >Меньше желчи.

    Хочу, чтобы ресурс по кр. мере не стал хуже, поэтому и критикую при "отклонениях", у нас же свобода слова, приятель. Воспринимай легче, и говори по делу. Поверь, так гораздо лучше.

    /poige
    --
    http://www.morning.ru/~poige/

     
  • 4.6, Maxim Chirkov (?), 17:52, 20/05/2003 [^] [^^] [^^^] [ответить]  
  • +/
    >Просто opennet следует курсу на пополнение количества, а не улучшение качества content'а

    OpenNet пытается балансировать, а не падать в крйности. Уровень посетителей очень различен, то что одним кажется интересным, другим может показаться примитивным.

    Новость "Безопасность имен snmp community" послужила прекрасным поводом для размышения. Думаю найдется много людей для которых изложенный совет по использованию md5 (не только в контексте SNMP) оказался полезным.

    Тэг "для начинающих" больная тема, 90овостей можно так пометить, другой вопрос, где грань, на кого ориентироваться при выборе пометки ?
    Не проще смотреть новости помеченные "интересно" или "для профессионалов" ?

    >всеми силами, т. е., просто "попсеет"...

    Что по твоему мнению попса, чему следет уделять больше внимания ?

    >Заголовки новостей выбираются "абы громчей было".

    Видимо ты не часто видишь громкие заголовки в новостных системах, если у тебя сложилось такое мнение про заголовки новостей opennet :-)

     
     
  • 5.8, poige (?), 07:04, 21/05/2003 [^] [^^] [^^^] [ответить]  
  • +/
    >>Просто opennet следует курсу на пополнение количества, а не улучшение качества content'а
    >
    >OpenNet пытается балансировать, а не падать в крйности. Уровень посетителей очень различен,
    >то что одним кажется интересным, другим может показаться примитивным.

    тем не менее, все впадает и впадает.
    >
    >Новость "Безопасность имен snmp community" послужила прекрасным поводом для размышения. Думаю найдется
    >много людей для которых изложенный совет по использованию md5 (не только
    >в контексте SNMP) оказался полезным.
    >
    >Тэг "для начинающих" больная тема, 90овостей можно так пометить, другой вопрос,
    >где грань, на кого ориентироваться при выборе пометки ?

    90 Как раз похоже на правду. Предлагаю так и помечать.

    >Не проще смотреть новости помеченные "интересно" или "для профессионалов" ?

    Если бы были профили, или хотя бы новость сразу в preview как-то выделялось, то да, их можно было бы различать. Однако, этого же нет.
    >
    >>всеми силами, т. е., просто "попсеет"...
    >
    >Что по твоему мнению попса, чему следет уделять больше внимания ?

    "Попса" это новости навроде того, что кто-то написал "описалово" разжевав стандартные/существующие доки. Это и есть "для начинающих".

    >>Заголовки новостей выбираются "абы громчей было".
    >
    >Видимо ты не часто видишь громкие заголовки в новостных системах, если у
    >тебя сложилось такое мнение про заголовки новостей opennet :-)

    Я уже объяснял все ранее, в комментариях к таким новостям. Вижу, кстати, дофига каких заголовков в новостных системах, поэтому предпочитаю http://www.rian.ru, нежели http://www.lenta.ru, к примеру. Я хочу, чтобы по заголовку я мог достоверно понять -- стоит читать, или нет. Экономия времени.

    Да, и еще -- вырабатывается "иммунитет" на "громкие" заголовки (сказка, про мальчика, который все время кричал "волки").  И, кстати, само
    использование таких заголовков это признак того, что главное отнюдь не качество, а это снова "работа на попс".

    --
    http://www.morning.ru/~poige

     
     
  • 6.9, Maxim Chirkov (?), 10:11, 21/05/2003 [^] [^^] [^^^] [ответить]  
  • +/
    Мне кажется, что наоборот стало больше серьезной информации Я переписал систему... большой текст свёрнут, показать
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2023 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру