smg 1016 безопастность

[Andrew O. Zhukov]

Тут был разговор с Женей. Боюсь ребята не до конца понимают насколько неприятной может быть дырка с iptables в текущей версии.
Если на SMG используется snmp и к ней есть доступ к интернету. ЗАКРОЙТЕ SNMP (161 UDP) порты на внешнем роутере, не на SMG.
Атака через SNMP имеет намного больший коэффициент усиления, чем через всем известный NTP. Это более лакомый кусок для хакеров!!

И еще, после выхода фикса, поставьте всех клиентов из ваших почтовиков в известность, чтобы сделали upgrade firmware.
Ничего в этом страшного нет. Все нормальные люди знают, что это предпоследний баг в софте. Намного подозрительней если ошибок нет.

Thanks.

[Женя]

По хорошему бы конечно SNMP не включать на публичном сетевом интерфейсе, а работать через специальные изолированые сетевые интерфейсы, например через отдельный VLAN.

[Andrew O. Zhukov]

Женя, первое, что я сделал это убрал snmp с публичного интерфейса
И тем не менее осталось
0.0.0.0:161

Разбиратся, ребутить шлюз не стал.

[Женя]

Женя, первое, что я сделал это убрал snmp с публичного интерфейса
И тем не менее осталось
0.0.0.0:161

Разбиратся, ребутить шлюз не стал.

Но он должен при этом закрыться правилами iptables, посмотрите их командой
iptables -vnL
должно быть что-то типо такого:

в цепочке Chain SRV_IN (1 references)
0 0 REJECT udp -- * * 0.0.0.0/0 192.168.0.20 udp dpt:161 reject-with icmp-port-unreachable
и в цепочке Chain SRV_OUT (1 references)
0 0 REJECT udp -- * * 192.168.0.20 0.0.0.0/0 udp spt:161 reject-with icmp-port-unreachable