UDP Опасный Мониторинг

Порт 161 (SNMP)

Узнайте о порте 161 (SNMP) - угрозы безопасности, уязвимости и применение. Найдите устройства с открытым портом 161.

Краткая информация

Номер порта

161

Протокол

UDP

Сервис

SNMP

Имя IANA

SNMP

Описание сервиса

Сетевой порт 161/UDP используется протоколом SNMP (Simple Network Management Protocol), который играет важную роль в мониторинге и управлении сетевыми устройствами. SNMP позволяет администраторам собирать информацию о состоянии устройств, таких как маршрутизаторы, коммутаторы, серверы и принтеры, а также удаленно конфигурировать некоторые параметры. Протокол работает по принципу клиент-серверной архитектуры, где SNMP-менеджер (клиент) отправляет запросы SNMP-агентам (серверам), работающим на управляемых устройствах. Эти агенты собирают данные об устройстве и отвечают на запросы менеджера, используя Management Information Base (MIB), стандартизированную базу данных, описывающую управляемые объекты.

История SNMP начинается в конце 1980-х годов, когда возникла потребность в стандартизированном способе управления растущими сетями. Первая версия SNMP (SNMPv1) была простой и широко принятой, но имела существенные недостатки в безопасности. Последующие версии, такие как SNMPv2c и SNMPv3, были разработаны для решения этих проблем, добавляя улучшенные механизмы аутентификации и шифрования. На техническом уровне, SNMP использует UDP для передачи данных, что обеспечивает быструю, хотя и ненадежную, доставку пакетов. Запросы и ответы SNMP кодируются с использованием Abstract Syntax Notation One (ASN.1) и передаются в формате Basic Encoding Rules (BER).

## Рекомендации по настройке файрвола

Рекомендуется блокировать порт 161/UDP на брандмауэре для всех источников, кроме доверенных IP-адресов SNMP-менеджеров. Если SNMP необходим, следует использовать SNMPv3 с надежной аутентификацией и шифрованием. Важно регулярно обновлять программное обеспечение SNMP-агентов и менеджеров, чтобы исправить известные уязвимости. Необходимо изменить community strings по умолчанию (например, 'public' и 'private') на сложные и уникальные пароли. Рассмотрите возможность использования Access Control Lists (ACLs) на устройствах для ограничения доступа к SNMP-агентам только с авторизованных IP-адресов. В случаях, когда SNMP не требуется, рекомендуется полностью отключить службу SNMP.

Информация о безопасности

Порт 161/UDP, используемый SNMP, представляет собой значительный риск безопасности, особенно если он не защищен должным образом. Исторически, SNMPv1 и SNMPv2c страдали от серьезных уязвимостей, поскольку использовали community strings (по сути, пароли) для аутентификации, которые часто передавались в открытом виде. Это позволяло злоумышленникам перехватывать эти строки и получать доступ к конфиденциальной информации об устройстве или даже изменять его конфигурацию. Даже с использованием SNMPv3, неправильная конфигурация или слабые пароли могут привести к несанкционированному доступу. Распространенные векторы атак включают перехват SNMP-трафика, brute-force community strings, и использование уязвимостей в реализации SNMP-агента. Открытый и незащищенный порт 161 может быть целью злоумышленников, стремящихся получить информацию о сетевой топологии, версиях программного обеспечения и других деталях, которые могут быть использованы для дальнейших атак.

Известные уязвимости

CVE	Название	Критичность	Описание
CVE-2002-0013	Net-SNMP integer overflow vulnerability	High	An integer overflow in Net-SNMP allows remote attackers to cause a denial of service (crash) via an SNMP query.
CVE-2017-6494	LibreNMS Remote Code Execution	Critical	A remote code execution vulnerability exists in LibreNMS due to insufficient sanitization of SNMP data.
CVE-2017-12165	Cisco Smart Install Denial of Service	High	A vulnerability in the Cisco Smart Install client functionality of Cisco IOS Software and Cisco IOS XE Software could allow an unauthenticated, remote attacker to cause a denial of service (device reload) condition.
CVE-2003-0070	SNMPv1/v2c community string disclosure	Medium	The use of default or weak SNMP community strings allows unauthorized access to device information and configuration.
CVE-2016-9925	Net-SNMP DoS via malformed PDU	Low	Net-SNMP allows remote attackers to cause a denial of service (application crash) via a malformed PDU.