/
Encriptación en NMIS 9 y módulos OMK compatibles (Informativo)

Encriptación en NMIS 9 y módulos OMK compatibles (Informativo)

Encriptación de passwords en interfaz gráfica

En la interfaz gráfica de NMIS y sus módulos, los pasawords utilizados en SNMP y WMI, se encriptan de forma predeterminada. Dichas credenciales se muestran enmascaradas por medio de asteriscos, lo que nos ayuda a que no sean visibles ni accesibles para personas ajenas al uso de la herramienta.

Tipo de encriptación utilizada

Las contraseñas utilizadas en NMIS y sus módulos, se cifran usando AES256, esto lo hace por medio de archivos de scripts y archivos de configuración.

Las credenciales de servicios que se agregan a NMIS, también son encriptadas y es recomendable que los clientes restrinjan el acceso a los archivos de configuración para proteger aún más esta información.

Passwords en opConfig

Además de los passwords que se utilizan en NMIS para el monitoreo de dispositivos y/o de servicios, opConfig utiliza conjuntos de credenciales. Estas se encuentran encriptadas con CBC utilizando el cifrado blowfish y una clave secreta compilada en el software. Un atacante necesitaría encontrar la clave oculta en nuestro código fuente compilado y cifrado para poder descifrar los datos en la base de datos.

Passwords de servicios

Como ya se mencionó, también se suelen utilizar passwords para el sistema de servicios en NMIS, las cuales usan un archivo de configuración que contiene los datos cifrados y la información que la aplicación usa para descifrar el nombre de usuario y contraseña. El cliente debe asegurarse de que ningún usuario que no sea root pueda acceder a los archivos de configuración (estos también usan cifrado cbc y aes). Un atacante necesitaría acceder a este archivo y a las herramientas adecuadas para descifrar los datos contenidos en él.

Passwords wmic_server

Actualmente, se ha desarrollado el binario wmic, por lo que wmic_server podría ya no ser necesario. Si el cliente todavía está usando esta aplicación con NMIS u opConfig, el archivo de configuración que lee debe ser legible solo por root y el usuario que wmic_server está accediendo al archivo usando. Este archivo contiene datos sin cifrar.

  • Binario wmic: este binario está cifrado al 100%.

  • Password wmic_server: esta fue una de las primeras implementaciones de wmic donde el cifrado no se admite, sin embargo, el equipo de desarrollo recomienda encarecidamente que el cliente use el binario wmic en su lugar, tal y como ya se hace para NMIS y próximamente para opConfig (referido a integridad de archivos).