Descrierea protocolului simplu de gestionare a rețelei (SNMP)
După 20 de ani în grădiniță (sau în camera de chat a copiilor), băiatul îi întreabă pe fată: - Părinții tăi în care au întâlnit-o?
Toate sistemele serioase de gestionare a rețelelor folosesc un protocol simplu de gestionare a rețelei (SNMP) pentru munca lor. De fapt, SNMP nu este doar un protocol, ci o întreagă tehnologie menită să gestioneze și să controleze dispozitivele și aplicațiile din rețea. Cu ajutorul acestuia puteți monitoriza absolut toate dispozitivele conectate la rețeaua de calculatoare, de exemplu, senzori de stingere a incendiului sau chiar semafoare. Desigur, SNMP poate fi utilizat (și este de a face în mod activ) pentru gestionarea componentelor de rețea: .. Butuci, servere, routere, etc. Folosind informațiile SNMP (cum ar fi un indice al numărului de pachete pe secundă și de eroare de rețea rată), administratorii de rețea pot gestiona mai ușor performanța rețelei și detectarea și rezolvarea problemelor de rețea.
Cele trei componente ale tehnologiei SNMP sunt: Structura informațiilor de gestionare (SMI) a bazei de informații de management (MIB) în sine SNMP
Model de management SNMP
Agenții din SNMP sunt module software care funcționează în dispozitive gestionate. Agenții colectează informații despre dispozitivele gestionate în care operează și fac aceste informații disponibile pentru sistemele de gestionare a rețelelor (NMS) utilizând protocolul SNMP.
Protocolul SNMP v1
SNMP este pus în aplicare în 1988, în aproape toate mediile de rețea comune :. TCP / IP, IPX / SPX, AppleTalk, etc. Conceptul de bază al protocolului este că toate cele necesare pentru a controla dispozitivul de informații sunt stocate pe dispozitiv - fie că este vorba un server, router sau modem - în așa-numita bază de informații administrative (MIB). SNMP, deoarece protocolul de rețea oferă numai un set de comenzi pentru a lucra cu variabilele MIB. Acest set include următoarele operațiuni:
- cerere de solicitare Utilizată pentru a interoga unul sau mai mulți parametri MIB
- get-next-request Se utilizează pentru citirea secvențială a valorilor. În mod obișnuit, se utilizează pentru citirea valorilor din tabele. După solicitarea primei linii, folosiți cererea de primire-primire pentru a citi rândurile rămase din tabel
- set-request Se utilizează pentru a seta valoarea uneia sau mai multor variabile MIB
- get-response Returnează răspunsul la cererea de primire a cererii, obținerea următoarei solicitări sau setarea-solicitare
- capcana Un mesaj de notificare despre evenimente precum restartul rece sau cald sau "căderea" unei legături.
Pentru a monitoriza funcționarea unui dispozitiv de rețea, pur și simplu trebuie să accesați MIB-ul său, actualizat în mod constant de dispozitivul însuși, și să analizați valorile unor variabile.
Mesajele SNMP constau din 2 părți: numele comunității și datele. Numele comunității atribuie un mediu de acces pentru setul NMS care utilizează acest nume. Partea informativă a mesajului conține o operație specifică SNMP (get, set, etc.) și operanții asociați. Operanțele denotă implementările unui obiect care sunt incluse în această tranzacție SNMP.
Structura informațiilor de administrare. RFC 1208
Baza de informații privind gestionarea (MIB, MIB-II). RFC 1213
MIB este un set de variabile care caracterizează starea obiectului de control. Aceste variabile pot reflecta parametri cum ar fi numărul de pachete procesate de dispozitiv, starea interfețelor sale, timpul de funcționare al dispozitivului și așa mai departe. Fiecare producător de echipamente de rețea, în afară de variabilele standard, include în MIB orice parametri specifici dispozitivului (în subtreea întreprinderii private).
Prin structura sa, MIB este un arbore. Fiecare element are un identificator numeric și un simbol. Numele variabilei include calea completă de la elementul rădăcină rădăcină.
De exemplu, timpul de funcționare al dispozitivului de la repornire este stocat într-o variabilă situată în secțiunea de sistem sub numărul 3 și se numește sysUpTime. Prin urmare, numele variabilei va include tot felul: iso (1) .org (3) .dod (6) .internet (1) .mgmt (2) .mib-2 (1) .system (1) .sysUpTime (3) ; sau în limba numerelor: 1.3.6.1.2.1.1.3. Trebuie notat că nodurile copacului sunt separate de puncte.
Există o ramură standard MIB legată de secțiunea de control mgmt, pe care de obicei suportă toate dispozitivele de rețea.
Testarea rețelei cu SNMP
Folosind SNMP, puteți efectua diverse teste ale funcționalității dispozitivelor de rețea, care sunt determinate din nou pe dispozitivele însele. Acest lucru este util, deoarece observarea pur și simplu a statisticilor nu oferă o imagine completă a ceea ce se întâmplă.
De exemplu, pentru secțiunea referitoare la interfețele Ethernet definite TDR de testare (domeniul timp reflectometry), care permite să se determine distanța aproximativă la defect în cablul coaxial. Pentru a începe testul TDR trebuie setat la ifExtnsTestType variabilă (1.3.6.1.2.1.12.2.1.4) care conține tipul de test executabil, astfel încât acesta conținea identificatorul de test TDR în MIB: 1.3.6.1.2.1.10.7.6.1.
Rezultatul testului va fi, în primul rând, valoarea variabilei ifExtnsTestResult (1.3.6.1.2.1.12.2.1.5) care caracterizează rezultatul testului:
- lipsa rezultatului
- succes
- este efectuată
- nu este acceptată
- nu poate rula
- încheiată
- completarea nereușită
În al doilea rând, valoarea variabilei ifExtnsTestCode (1.3.6.1.2.1.12.2.1.6) va conține identificatorul variabilei MIB care conține rezultatul testului. Rezultatul testului este definit ca intervalul de timp în 100 de unități nanosecunde între începutul transmiterii pachetului de testare și detectarea coliziunilor în purtător. În principiu, pe baza acestei valori, puteți stabili distanța necesară.
Inovația fundamentală în SNMPv2 este că elementul de administrare a rețelei poate funcționa în același timp ca manager, agent sau manager și agent. Acest concept permite utilizatorilor să utilizeze SNMP într-o structură ierarhică în care managerii locali raportează managerilor de nivel mediu, care, la rândul lor, sunt supravegheați de un manager de nivel înalt. O mulțime de spațiu este dată problemelor securității SNMP, probabil cel mai vulnerabil punct al protocolului.
SNMP de securitate. RFC 1352.
Unul dintre cele mai notabile dezavantaje ale SNMP v1 este lipsa unui sistem avansat de protecție a datelor la nivelul necesar pentru rețelele la nivel de întreprindere.
După cum a spus Mike Warfield: "SNMP înseamnă securitatea nu problema mea".
În protecția SNMPv1 informații de ordin administrativ a fost interpretat prea simplist: sa bazat pe utilizarea denumirii colective (Nume comunitar), care, fiind în titlu SNMP efectuate cu el toate caracteristicile de securitate de mesagerie. Acest instrument (cunoscut ca un protocol trivială) este necesar ca managerul de program agent identificat și același nume colectiv înainte de a continua cu operațiunile de gestionare a rețelei. Ca urmare, mulți administratori de rețea au fost limitate în activitatea lor funcțiile de monitorizare numai prin inhibarea eliberării comenzii SET, capabil de a schimba setările configurației dispozitivului la distanță. Acest lucru a condus la faptul că utilizatorii evita comenzi SET: un mijloc primitiv de protecție, ca nume colectiv, ar putea permite persoanelor care nu abilitate să facă, pentru a schimba parametrii ceea ce utilizatorii ar putea să nu știu. În plus, toate informațiile critice au fost transmise în formă clară, astfel încât și snfferul snmp este disponibil pe Internet
Standardele de securitate SNMPv2 definesc metode de autentificare (DAP-Digest Authentication Protocol) și confidențialitate (SPP-Symmetric Privacy Protocol) pentru informații administrative. Baza este conceptul de partid, un set unic de setări de securitate care pot include protocoalele de localizare, autentificare și confidențialitate utilizate între agent și manager.
Probleme cu implementarea SNMPv2
SNMPv2 promite beneficii în termeni de protecție și de performanță, care este important pentru utilizatori. Dar unele companii vor oferi cu siguranță ideile lor, în special în ceea ce privește protecția și comunicarea dintre manageri. În plus, firma a extins funcționalitatea bazei sale de date MIB în medii cu SNMPv1, este puțin probabil să se grăbească să elibereze produse pentru SNMPv2.
O altă opțiune este un manager bilingv care acceptă simultan ambele protocoale (SNMPv1 și SNMPv2) și nu necesită conversii. Managerul SNMP bilingv determină dacă agentul este versiunea 1 sau versiunea 2 și comunică în dialectul corespunzător. Astfel, alegerea versiunii protocolului ar trebui să fie transparentă pentru dispozitivele receptoare.
Din păcate, a doua versiune a SNMP nu a fost aprobată până acum, deci există o confuzie și o vaciliere în rețeaua de gestionare a rețelei.
Implementări disponibile ale agenților și managerilor
Epilogul oferă software care implementează suport SNMP, inclusiv:
- Expeditorul, soluția compactă, rapidă și portabilă a Epilogului pentru producătorii de echipamente originale (OEM)
- Emissary, un compilator SNMP MIB care permite SNMP să extindă variabilele SNMP standard pentru a suporta extensii la MIB-urile din fiecare dispozitiv gestionat;
- Ambasador, o implementare completă și portabilă a agentului de monitorizare de la distanță RMON (FastEthernet).
- Caracteristica IBM Netview pentru AIX a SystemView oferă gestionarea distribuită sau centralizată a rețelelor eterogene mari.
- ACE * COMM WinSNMP acceptă SNMPv1 SNMPv2u în versiunea v2.0 a implementărilor Win16 și Win32 WinSNMP de la industrie.
- Managerul digital UNIX POLYCENTER pe NetView oferă management client / server al rețelelor de întreprinderi multivendoare.
- Instrumentul PowerFlag este un agent pentru sursele de alimentare neîntreruptibile UPS MIB de la Victron B.V.
- WS_Ping ProPack v.2.10 vă permite să vizualizați tabelele MIB, să specificați subrețele. Pentru a descărca cele mai recente versiuni de pe serverul Ipswitch, puteți utiliza următoarele date:
- Nume utilizator: 0000037181
- Parolă: CQWSC
- Număr de ordine: WP-101333
- Implementări disponibile în mod deschis
- Agent SNMP SNMP (sursă)
- SNMPv1 și SNMPv2u
- SNMPv1 și SNMPv2u.
- Carnegie-Mellon University Kit de dezvoltare SNMP care sprijină SNMPv1 / v2
- NetSCARF este o unealtă de colectare a statisticilor de rețea și de raportare. Acesta permite ISP-urilor să colecteze și să raporteze date despre partea lor de Internet, suportă atât SNMP versiunea 1, cât și USEC.
- Scotty este o extensie de gestionare a rețelei pentru instrumentul Language Command (Tcl) care include protocolul SNMPv1, SNMPv2c și SNMPv2u. Extensia Scotty Tcl include platforma de gestionare a rețelei (Tkined), care oferă un browser MIB, un editor de hartă a rețelei, precum și monitorizarea și depanarea, descoperirea rețelei și scripturile de filtrare a evenimentelor.
- snmptcp v1.3 este o platformă extensibilă pentru aplicațiile de management care implementează fără îndoială SNMPv1, SNMPv2c și SNMPv2u.
- Pachetul rulează sub sistemul de ferestre X pe UNIX și este construit din limbajul de comandă al instrumentului (Tcl7.3 / Tk3.6). În plus față de compilatorul MIB, pachetul conține câteva aplicații minime pentru un număr de module standard MIB.
Atac pe Windows SNMP.
Serviciile funcționează pe următoarele porturi UDP (/ etc / services)
- snmp 161 / udp snmp
- snmp-capcana 162 / udp snmp
Interesant de gestionare a rețelei de SMI Private Enterprise Codes:
- 2 IBM
- 4 Unix
- 9 cisco
- 32 Operațiunea Santa Cruz
- 42 Sun Microsystems
răspândit scanere mici de porturi UDP sub Windows, manageri SNMP, precum și lipsa de cunoștințe despre protocolul în sine este, aparent, singurul motiv pentru numărul mic de atacuri pe dispozitivele de gestionare a v1 SNMP, deoarece punerea în aplicare a acestui protocol, în unele sisteme de operare făcut greșeli grave. Confirmările din acest moment apar apoi în lista de discuții bugtraq
Vulnerabilitatea în configurația standard Windows NT SNMP.
Vă permite să configurați de la distanță parametrii de rețea care afectează securitatea și buna funcționare a sistemului (dacă administratorul a lansat serviciul SNMP)
Cu configurația implicită, serviciul SNMP răspunde comunității standard "publice", care are permisiuni de citire și scriere. Comunitatea este un nume care are aceleași funcții ca și login-ul și parola pe sisteme.
Protocolul SNMP oferă două niveluri de autoritate. numai pentru citire și read-write, cu toate acestea, înainte de SP4, Windows NT SNMP Service nu permite comunităților să configureze pe accesul altul decât read-write!
Datorită serviciului prestabilit Windows NT SNMP, putem extrage următoarele informații utilizând managerul SNMP.
- numele de domeniu LAN Manager
- o listă de utilizatori
- o listă de acțiuni
- o listă de servicii care rulează
Așa cum este recomandat în scanerul ISS, puteți dezactiva această porțiune de mânere SNMP în acest fel:
- Deschideți HKLM \ System \ CurrentControlSet \ Services \ SNMP \ Parameters \ ExtensionAgents
- găsiți valoarea care conține SOFTWARE \ Microsoft \ LANManagerMIB2Agent \ CurrentVersion
- și ștergeți-l.
- o listă de conexiuni active TCP
- o listă de conexiuni UDP active
- o listă de interfețe de rețea și adresele IP și hardware asociate acestora
- tabela de rutare IP și tabela ARP, precum și un număr de statistici de performanță în rețea.
Prin setarea piroliza de variabile pot modifica tabelul de roaming, tabelul ARP, opriți interfețele de rețea, pentru a aduce în jos setările de rețea esențiale, cum ar fi IP standard, timpul de a trăi (TTL), IP forwarding (permite biscuiti pentru a redirecționa traficul de rețea). Acest lucru este deosebit de periculos dacă mașina atacat este un paravan de protecție.
Nu aveți nevoie să parcurgeți exemple, de exemplu, dacă aparatul este un controler de domeniu sau un server, dar puteți obține o listă a tuturor utilizatorilor din domeniu folosind comanda C: \ NTRESKIT> snmputil walk public .1.3.6.1.4.1.77.1.2.25
Dacă doriți să ștergeți toate intrările din baza de date WINS (ceea ce va duce la un eșec complet al WinNT), atunci trebuie să faceți acest lucru
$ snmpset -v 1192.178.16.2 public .1.3.6.1.4.1.311.1.2.5.3.0 a 192.178.16.2 din kitul de dezvoltare SNMP CMU sub Unix.
De asemenea, există un detaliu foarte curios atunci când se instalează nume de comunitate SNMP în Windows NT 4.0 (SP3). Dacă serviciul este activat și numele nu sunt configurate, atunci orice nume va oferi privilegii de citire / scriere. După cum sa dovedit, acest lucru este indicat în specificația SNMP (RFC 1157)!
Al patrulea pachet Service Pack (SP4) oferă următoarea soluție: adăugând controlul accesului comunității ca READ ONLY, READ WRITE sau READE CREATE. Cu toate acestea, în mod implicit, SP4 instalează accesul READ CREATE, care încă vă permite să atacați mașinile. Microsoft are în mod clar grija de confortul WinNT pentru hackeri :)
Cea mai bună modalitate de protecție pe recomandarea lui M $: blocarea accesului SNMP pe paravanul de protecție.
Problema în versiunea OS Solaris este de până la 2.6.
Pentru a accesa informațiile MIB, există un "șir comunitar nedocumentat" ascuns, care va permite atacatorului să schimbe majoritatea parametrilor sistemului.
Din păcate, comunitatea în sine nu este chemată, totuși ISS Internet Scanner și ISS RealSecure detectarea în timp real a intruziunilor pot detecta această problemă, adică De asemenea, puteți să vă uitați în sursa lor