happyhell Posted July 17, 2013 (edited) · Report post Добрый день. В текущем месяце получили партию устройств SNR-ERD-2.3. Раньше подобными устройствами не пользовались и проводя тестирование было выявленно что доступ к устройству может получить кто угодно, при наличии небольшого кол-ва знаний. Возможно ли решить следующие проблемы: 1) Доступ по средствам web-интерфейса предоставляется только после ввода пароля (на данный момент пароль необходим только для изменения настроек). 2) При SNMP запросе не отображать строки community string.0 и все строки связанные с сетевыми настройками. По факту при SNMP запросе программой Polygon SNMP Manager получаеш значение всех строк, заходя на web-интерфейс получаеш название устройства после чего попадаеш на ваш сайт где скачиваеш .mib файл и получаеш название строк, из которых видиш пароль что соответсвует полному доступу к устройству и соответсвенно к оборудованию которым оно управляет. Устанавка на объекты контроллеров до решения этих вопросов пприводит к созданию рисков для работы оборудования. Edited July 17, 2013 by happyhell Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Victor Pestov Posted July 17, 2013 · Report post Добрый день. В текущем месяце получили партию устройств SNR-ERD-2.3. Раньше подобными устройствами не пользовались и проводя тестирование было выявленно что доступ к устройству может получить кто угодно, при наличии небольшого кол-ва знаний. Возможно ли решить следующие проблемы: 1) Доступ по средствам web-интерфейса предоставляется только после ввода пароля (на данный момент пароль необходим только для изменения настроек). 2) При SNMP запросе не отображать строки community string.0 и все строки связанные с сетевыми настройками. По факту при SNMP запросе программой Polygon SNMP Manager получаеш значение всех строк, заходя на web-интерфейс получаеш название устройства после чего попадаеш на ваш сайт где скачиваеш .mib файл и получаеш название строк, из которых видиш пароль что соответсвует полному доступу к устройству и соответсвенно к оборудованию которым оно управляет. Устанавка на объекты контроллеров до решения этих вопросов пприводит к созданию рисков для работы оборудования. Добрый день! В чем проблема сменить пароль (он же community)? Если не знаешь пароль - не прочитаешь данные по SNMP, не сможешь управлять устройством/оборудованием по SNMP/WEB. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
happyhell Posted July 17, 2013 (edited) · Report post Добрый день! В чем проблема сменить пароль (он же community)? Если не знаешь пароль - не прочитаешь данные по SNMP, не сможешь управлять устройством/оборудованием по SNMP/WEB. Извеняюсь, в программе Polygon SNMP Manager по умолчанию пароль public не обратил внимание... А web-интерфейс? Возможно ли изменить к нему доступ? в начале страница пароля а потом уже информация о настройках.? Edited July 17, 2013 by happyhell Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Victor Pestov Posted July 17, 2013 · Report post Добрый день! В чем проблема сменить пароль (он же community)? Если не знаешь пароль - не прочитаешь данные по SNMP, не сможешь управлять устройством/оборудованием по SNMP/WEB. Извеняюсь, в программе Polygon SNMP Manager по умолчанию пароль public не обратил внимание... А web-интерфейс? Возможно ли изменить к нему доступ? в начале страница пароля а потом уже информация о настройках.? А есть ли в этом смысл? Ведь изменить параметры можно только с введенным паролем.. Конкретно в ERD-2 добавить что то уже вряд ли удастся: прошивка выросла до таких размеров, что уперлась в нехватку памяти контроллера, как ПЗУ так и ОЗУ. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...