Tarmoq hujumlari va himoya qilishning Snmp protokoli usullari. SNMP protokoli

Sayt bo'limlari

Muharrir tanlovi:

Reklama

uy - Qayta tiklash

MAZMUNI
KIRISH 3
1. SNMP PROTOKOLI BO'YICHA HUJUMLARNING METODLARINI TADQIQOT MUAMMONI NAZARIY ASOSLARI.
1.1 SNMP 5 PROTOKOLI BO'YICHA HUJUM USULLARINI O'RGANISH ZORATI
1.2 SNMP PROTOKOLI: TAVSIF, MAQSAD 7
2. SNMP PROTOKOLI BO'YICHA HUJUMLAR VA QARSHI CHORALAR TAHLILI.
11
2.2 SNMP 15 PROTOKOLI HUJUMLARIGA QARSHI QARSHI QARSHI YO'LLARI
Xulosa 20
FOYDALANILGAN MANBALAR RO‘YXATI 21

Ko'rib chiqish uchun fragment

3-rasm - SoftPerfectNetworkScanner yordam dasturining ekran shakli Yamoqlar ishlab chiqaruvchilari tarmoq qurilmalari Ular tizimda zaifliklar aniqlanganda zarur bo'lgan yamoqlarni ishlab chiqadilar. Shuning uchun, agar siz tarmog'ingizda SNMP-ni qo'llab-quvvatlaydigan qurilmalarni topsangiz, ushbu qurilmalarning ishlab chiqaruvchilari bilan bog'lanib, ular kerakli yamoqlarni ishlab chiqqan yoki yo'qligini bilish tavsiya etiladi.SNMP xizmatini o'chirib qo'yish Ko'pgina mutaxassislar, agar SNMP xizmati ishlamasa, deb ishonishadi. kerak emas, uni o'chirib qo'yish yoki olib tashlash kerak. Bu erda Windows operatsion tizimida SNMP xizmatini o'chirish algoritmi: Ishga tushirish menyusini tanlang - Boshqarish paneli - Ma'muriy asboblar - Xizmatlar (4-rasmga qarang). SNMP xizmatini tanlash. Agar xizmat ishlayotgan bo'lsa, "To'xtatish" tugmasini bosing va keyin "Ishga tushirish turi" - "O'chirilgan" ni tanlang.4-rasm - SNMP xizmatini o'chirish Shuni ta'kidlash kerakki, ba'zi potentsial zaif mahsulotlar DoS hujumlariga sezgir bo'lib qolmoqda yoki SNMP o'chirilgan bo'lsa ham tarmoq barqarorligini buzadigan boshqa harakatlar.Kirishni filtrlash Kirish filtri UDP 161 va 162 portlarida kirish filtrlashni amalga oshirish uchun xavfsizlik devorlari va marshrutizatorlarni sozlashga asoslanadi. tashqi tarmoq zaif qurilmalarga hujumlar mahalliy tarmoq. SNMP bilan bog'liq xizmatlarni qo'llab-quvvatlaydigan boshqa portlar, jumladan, TCP va UDP portlari 161, 162, 199, 391, 750 va 1993 ham kirishni filtrlashni talab qilishi mumkin Chiqish filtrlash Samarali himoya qilish uchun chiqish filtri tarmoqdan chiqadigan trafikni boshqarish uchun amalga oshirilishi mumkin. Tarmoq chetidagi 161 va 162-sonli UDP portlarida chiquvchi trafikni filtrlash tizimingizdan hujum uchun tramplin sifatida foydalanishni oldini olishi mumkin. Bosqinlarni aniqlash va oldini olish tizimlari Bosqinlarni aniqlash tizimi (IDS) bu hodisalarni aniqlaydigan dasturiy taʼminot yoki apparatdir. kompyuter tizimi yoki tarmoqqa ruxsatsiz kirish (buzilish yoki tarmoq hujumi) IDSsiz tarmoq xavfsizligi infratuzilmasini tasavvur qilib bo'lmaydi. Qoidalarga asoslangan xavfsizlik devorlarini to'ldiruvchi IDS shubhali faoliyatni kuzatib boradi va kuzatadi. Ular orqaga kirgan tajovuzkorlarni aniqlashga imkon beradi xavfsizlik devori, va bu haqda ma'murga xabar bering, u xavfsizlikni ta'minlash uchun kerakli qarorni qabul qiladi. Bosqinlarni aniqlash usullari tizimning to‘liq xavfsizligini kafolatlamaydi.IDS dan foydalanish natijasida quyidagi maqsadlarga erishiladi: tarmoq hujumi yoki bosqinini aniqlash, kelgusidagi ehtimoliy hujumlar haqida prognoz qilish va aniqlash zaif tomonlar ulardan foydalanishni oldini olish uchun tizimlar. Ko'p hollarda tajovuzkor tayyorgarlik bosqichini amalga oshiradi, masalan, tarmoqni tekshirish (skanerlash) yoki tizim zaifliklarini aniqlash uchun uni boshqa yo'l bilan sinab ko'rish; ma'lum tahdidlarni hujjatlashtirish; xavfsizlik nuqtai nazaridan amalga oshirilgan boshqaruv sifatini kuzatish, ayniqsa katta va murakkab tarmoqlarda ;buzilishga olib kelgan omillarni tiklash va tuzatish uchun sodir bo'lgan tajovuzlar haqida qimmatli ma'lumotlarni olish; tashqi tarmoq (tashqi yoki ichki hujumlar) nuqtai nazaridan hujum manbasining joylashishini aniqlash, bu sizga imkon beradi. tarmoq tugunlarini joylashtirishda to‘g‘ri qaror qabul qilish.Umuman olganda, IDS quyidagilarni o‘z ichiga oladi: himoyalangan tarmoq yoki tizim xavfsizligi bilan bog‘liq hodisalar haqida ma’lumot to‘playdigan quyi tizim kuzatuvi; shubhali harakatlar va tarmoq hujumlarini aniqlaydigan tahlil quyi tizimi; saqlash, asosiy voqealar va tahlil natijalarini saqlaydigan, IDSni sozlash, himoyalangan tizim va IDS holatini kuzatish, tahlil quyi tizimi tomonidan aniqlangan vaziyatlarni oʻrganish uchun boshqaruv konsoli.. Xulosa qilib aytganda, mashhur SNMP protokolining soddaligi zaiflikning oshishiga olib kelishini taʼkidlaymiz. . SNMP juda keng qo'llanilganligi sababli, zaif mahsulotlar bilan ishlaydigan tarmoqlar halokatli oqibatlarga olib kelishi mumkin. Shuning uchun, SNMP protokolidan samarali foydalanish uchun siz foydalanishingiz kerak turli yo'llar bilan hujumlarning oldini olish va keng qamrovli himoya tizimini yaratish.XULOSA Tadqiqot SNMP protokoli orqali tarmoq o'zaro ta'sirini tashkil qilish xavfsizligini ta'minlash masalalariga bag'ishlangan. Ish jarayonida nomli protokolning xususiyatlari aniqlandi va mumkin bo'lgan muammolar uning ishlatilishi. Muammoni asoslash uchun tarmoq hujumlarining yuqori ehtimolini tasdiqlovchi statistik ma'lumotlar taqdim etiladi. Bundan tashqari, nazariy qismda bayonnomaning tuzilishi, so'rov/javob sxemasi va so'rovlarga javob olish bosqichlari haqida ma'lumotlar mavjud. kurs ishi SNMP protokoliga mumkin bo'lgan hujumlar tahlili o'tkazildi, ular orasida Dos hujumlari, Buffer Overflow hujumlari va format qatoridagi zaifliklardan foydalanadiganlar bor. Albatta, yana ko‘plab potentsial tahdidlar bor, lekin ularni ko‘rib chiqish chuqurroq va har tomonlama o‘rganishni talab qiladi.Tarmoq abonentlarining tarmoq o‘zaro ta’sirini himoya qilish tizimini yaratish uchun SNMP protokoliga hujumlarning oldini olish usullari ko‘rib chiqildi va qayd etildi. vositalar to‘plamidan foydalanish samarali bo‘lishi aniqlandi.Tahlil natijalariga ko‘ra, SNMP protokoli ancha zaif ekanligi va agar undan foydalanish to‘g‘risida qaror qabul qilinsa, xavfsizlik siyosatini ishlab chiqish va uning barcha tamoyillarini ishlab chiqish zarurligi aniqlandi. rioya qilingan.Shunday qilib, maqsadga erishildi va kirish qismida belgilangan vazifalar hal etildi, deb xulosa qilish mumkin.FOYDALANILGAN MANBALAR RO‘YXATI Normativ-huquqiy hujjatlar. federal qonun Rossiya Federatsiyasi 2006 yil 27 iyuldagi N 149-FZ Ma'lumot to'g'risida, axborot texnologiyalari va axborotni muhofaza qilish bo'yicha maxsus va ilmiy adabiyotlar ro'yxati Blank-Edelman D. Perl uchun tizim boshqaruvi, M.: ramz-Plyus, 2009.- 478 b. Borodakiy V.Yu. MSS OGV asosida xavfsiz axborot va hisoblash bulutini yaratish amaliyoti va istiqbollari / V.Yu. Borodakiy, A.Yu. Dobrodeev, P.A. Nashchekin // Davlat xavfsizligi, maxsus aloqa va maxsus texnologik tizimlarni rivojlantirishning dolzarb muammolari axborotni qo'llab-quvvatlash: VIII Butunrossiya idoralararo Ilmiy konferensiya: materiallar va hisobotlar (Orel, 2013 yil 13-14 fevral). – Soat 10 da 4-qism / Umuman tahrir. V.V. Mizerova. – Orel: Rossiya Federal xavfsizlik xizmati akademiyasi, 2013. Grishina N.V. tashkiloti integratsiyalashgan tizim axborotni himoya qilish. - M.: Helios ARV, 2009. - 256 p., Duglas R. Mauro SNMP asoslari, 2-nashr / Duglas R. Mauro, Kevin J. Shmidt - M.: Symbol-Plus, 2012. - 725 p. Kulgin M.V. Kompyuter tarmoqlari. Qurilish amaliyoti. Professionallar uchun, Sankt-Peterburg: Peter, 2003.-462 pp. Mulyukha V.A. Kompyuter axborotini himoya qilish usullari va vositalari. Xavfsizlik devori: Darslik / Mulyukha V.A., Novopashenny A.G., Podgurskiy Yu.E. - Sankt-Peterburg: SPbSPU nashriyoti, 2010. - 91 bet Olifer V. G., Olifer N. P. Kompyuter tarmoqlari. Printsiplar, texnologiyalar, protokollar. - 4-chi. - Sankt-Peterburg: Pyotr, 2010. -902 p. Mahalliy kommutatsiya va marshrutlash texnologiyalari kompyuter tarmoqlari: darslik / Smirnova E. V. va boshqalar; ed. A.V. Proletarskiy. – M.: MSTU im. nashriyoti. N.E. Bauman, 2013. – 389 b. Flenov M. Linux xaker nigohida, Sankt-Peterburg: BHV-Sankt-Peterburg, 2005. – 544 b. Xoreev P.V. Axborotni himoya qilish usullari va vositalari kompyuter tizimlari. - M.: nashriyot markazi "Akademiya", 2005. -205 b. Xoroshko V. A., Chekatkov A. A. Axborot xavfsizligini ta'minlash usullari va vositalari, K.: Junior, 2003. - 504 b. Internet manbalariIDS/IPS - Tizimlarni aniqlash va kirishni oldini olish. [Elektron resurs] URL: http://netconfig.ru/server/ids-ips/.2014-yilda Internet tahdidlari tahlili. DDoS hujumlari. Veb-saytlarni buzish [Elektron resurs]. URL: http://onsec.ru/resources/Internet%20threats%20in%202014.%20Overview%20by%20Qrator-Wallarm.pdf Kolischak A. Format qatori zaifligi [Elektron resurs]. URL: https://securityvulns.ru/articles/fsbug.aspFirst Mile, № 04, 2013 [Elektron resurs]. URL: http://www.lastmile.su/journal/article/3823 SNMP standartlari oilasi [Elektron resurs]. URL: https://ru.wikibooks.org/wiki /SNMP_standards_familyXorijiy adabiyotlar"CERT Advisory CA-2002-03: Simple Network Management Protocol (SNMP) ning ko'plab ilovalarida bir nechta zaifliklar", 12 fevral. 2002, (hozirgi 2002 yil 11 mart)

FOYDALANILGAN MANBALAR RO'YXATI
Qoidalar
1. Rossiya Federatsiyasining 2006 yil 27 iyuldagi 149-FZ-sonli "Axborot, axborot texnologiyalari va axborotni himoya qilish to'g'risida" gi Federal qonuni
Maxsus va ilmiy adabiyotlar ro'yxati
2. Blank-Edelman D. Tizim boshqaruvi uchun Perl, M.: symbol-Plus, 2009.- 478 p.
3. Borodakiy V.Yu. MSS OGV asosida xavfsiz axborot va hisoblash bulutini yaratish amaliyoti va istiqbollari / V.Yu. Borodakiy, A.Yu. Dobrodeev, P.A. Nashchekin // Davlat xavfsizligi, maxsus aloqa va maxsus axborot ta'minotining texnologik tizimlarini rivojlantirishning dolzarb muammolari: VIII Butunrossiya idoralararo ilmiy konferentsiya: materiallar va ma'ruzalar (Orel, 2013 yil 13-14 fevral). – Soat 10 da 4-qism / Umuman tahrir. V.V. Mizerova. - Orel: Rossiya Federal xavfsizlik xizmati akademiyasi, 2013 yil.
4. Grishina N.V. Axborot xavfsizligini kompleks tizimini tashkil etish. - M .: Helios ARV, 2009. - 256 p.
5. Duglas R. Mauro SNMP asoslari, 2-nashr / Duglas R. Mauro, Kevin J. Shmidt - M.: Symbol-Plus, 2012.-725p.
6. Kulgin M.V. Kompyuter tarmoqlari. Qurilish amaliyoti. Professionallar uchun, Sankt-Peterburg: Peter, 2003.-462 p.
7. Mulyuxa V.A. Kompyuter axborotini himoya qilish usullari va vositalari. Xavfsizlik devori: Darslik / Mulyukha V.A., Novopashenny A.G., Podgurskiy Yu.E. - Sankt-Peterburg: SPbSPU nashriyoti, 2010. - 91 p.
8. Olifer V. G., Olifer N. P. Kompyuter tarmoqlari. Printsiplar, texnologiyalar, protokollar. - 4-chi. - Sankt-Peterburg: Pyotr, 2010. -902 p.
9. Mahalliy kompyuter tarmoqlarida kommutatsiya va marshrutlash texnologiyalari: darslik / SmirnovaE. V. va boshqalar; ed. A.V. Proletarskiy. – M.: MSTU im. nashriyoti. N.E. Bauman, 2013. – 389 b.
10. Flenov M. Linux xakerning ko'zlari bilan, Sankt-Peterburg: BHV-Sankt-Peterburg, 2005. – 544 b.
11. Xoreyev P.V. Kompyuter tizimlarida axborotni himoya qilish usullari va vositalari. – M.: “Akademiya” nashriyot markazi, 2005. –205 b.
12. Xoroshko V. A., Chekatkov A. A. Axborotni himoya qilish usullari va vositalari, K.: Junior, 2003. - 504 b.
Internet manbalari
13. IDS/IPS - Intrusionlarni aniqlash va oldini olish tizimlari [Elektron resurs] URL: http://netconfig.ru/server/ids-ips/.
14. 2014 yildagi Internet tahdidlari tahlili. DDoS hujumlari. Veb-saytlarni buzish [Elektron resurs]. URL: http://onsec.ru/resources/Internet%20threats%20in%202014.%20Overview%20by%20Qrator-Wallarm.pdf
15. Kolischak A. Format qatori zaifligi [Elektron resurs]. URL: https://securityvulns.ru/articles/fsbug.asp
16. Birinchi mil, № 04, 2013 yil [Elektron resurs]. URL: http://www.lastmile.su/journal/article/3823
17. SNMP standartlar oilasi [Elektron resurs]. URL: https://ru.wikibooks.org/wiki /SNMP_standards_family
Xorijiy adabiyot
18. "CERT Advisory CA-2002-03: Simple Network Management Protocol (SNMP) ning ko'p tatbiqidagi bir nechta zaifliklar", 12 fevral. 2002 yil, (hozirgi 2002 yil 11 mart)

E'lon qilingan http:// www. eng yaxshisi. ru/

OSI modelining tarmoq sathida tarmoqqa hujum qilish usullari va qarshi choralar haqida umumiy ma'lumot

KIRISH

Troyan virusli tarmoq hujumlari

Har qanday ma'lumot uchta asosiy xususiyatga ega:

· Maxfiylik.

· Yaxlitlik.

· Mavjudligi.

Ushbu xususiyatlarning har birini tushuntiring.

Maxfiy ma'lumotlar - jismoniy yoki yuridik shaxslarning egaligida, foydalanishida yoki tasarrufida bo'lgan va ularning so'roviga ko'ra, uning shartlari va shartlariga muvofiq tarqatiladigan ma'lumotlar.

Axborot yaxlitligi (ma'lumotlar yaxlitligi) informatika va telekommunikatsiya nazariyasidagi atama bo'lib, ma'lumotlarning to'liqligini, ma'lumotlarning uzatish, saqlash yoki taqdim etish bo'lishidan qat'iy nazar, ulardagi biron bir operatsiya bilan o'zgartirilmaganligini anglatadi.

Axborotning mavjudligi - axborot holati (avtomatlashtirilgan resurslar axborot tizimi), kirish huquqiga ega bo'lgan sub'ektlar ulardan erkin foydalanishlari mumkin. Kirish huquqlari: ma'lumotlarni o'qish, o'zgartirish, nusxalash, yo'q qilish huquqi, shuningdek resurslarni o'zgartirish, foydalanish, yo'q qilish huquqi.

Axborotni himoya qilishning uchta asosiy usuli mavjud bo'lib, ularning ahamiyati bo'yicha sanab o'tilgan:

· Axborotni muhofaza qilishning tashkiliy usullari. Tashkiliy axborotni himoya qilish - bu "yadro" deb ataladigan tashkiliy tamoyil umumiy tizim himoya qilish maxfiy ma'lumotlar korxonalar. Umuman olganda, axborot xavfsizligi tizimining samaradorligi korxona rahbariyati va mansabdor shaxslar tomonidan tashkiliy vazifalarni hal qilishning to'liqligi va sifatiga bog'liq. Korxonaning maxfiy ma'lumotlarini himoya qilishga qaratilgan chora-tadbirlarning umumiy tizimida tashkiliy axborotni muhofaza qilishning o'rni va o'rni rahbariyatning kuchlari, vositalari, usullari va usullarini hisobga olgan holda o'z vaqtida va to'g'ri boshqaruv qarorlarini qabul qilishning alohida ahamiyati bilan belgilanadi. ixtiyoridagi va amaldagi me'yoriy-huquqiy baza asosida axborotni muhofaza qilish.uslubiy apparat.

· Axborotni himoya qilishning texnik usullari. Ushbu usullar qurilmalar va mavjudligini talab qiladi texnik vositalar axborotni qayta ishlash, axborotni himoya qilish va nazorat qilishni ta'minlaydigan maxsus texnik echimlar vositalari. Bundan tashqari, axborotni himoya qilish usullari, ya'ni kirishni boshqarish va ma'lumotlardan ruxsatsiz foydalanishni istisno qilishni ta'minlaydigan algoritmlar va dasturlar to'plami.

Ushbu maqola OSI modelining protokollaridan biri bo'lgan SNMP protokoliga (Simple Network Management Protocol) bag'ishlangan bo'lib, u RU-net bo'shliqlari hujjatlarida deyarli ko'rsatilmagan. Muallif ushbu bo'shliqni o'quvchiga fikr yuritish va siz uchun yangi bo'lgan masala bo'yicha o'z-o'zini takomillashtirish uchun zamin yaratish orqali to'ldirishga harakat qildi. Ushbu hujjat "ishlab chiquvchi uchun hujjat" deb da'vo qilmaydi, balki shunchaki muallifning iloji boricha ushbu protokol bilan ishlash aspektlarini ta'kidlash, uning zaif tomonlarini, "xavfsizlik" tizimidagi zaif tomonlarini, ko'zlangan maqsadlarni ko'rsatish istagini aks ettiradi. yaratuvchilar tomonidan va uning maqsadini tushuntiring.

Maqsad

SNMP protokoli tarmoq marshrutizatorlari va ko'priklarining ishlashini sinash uchun ishlab chiqilgan. Keyinchalik, protokol doirasi hublar, shlyuzlar, terminal serverlari, LAN Manager serverlari, kompyuterlar kabi boshqa tarmoq qurilmalarini qamrab oldi. Windows boshqaruvi NT va boshqalar. Bundan tashqari, protokol ushbu qurilmalarning ishlashiga o'zgartirishlar kiritish imkoniyatini beradi.

Nazariya

Protokolning asosiy o'zaro ta'sir qiluvchi tomonlari agentlar va boshqaruv tizimlaridir. Agar biz ushbu ikkita tushunchani "mijoz-server" tilida ko'rib chiqsak, server rolini agentlar bajaradi, ya'ni biz ko'rib chiqayotgan protokol ishlab chiqilgan holatni so'rov qilish uchun qurilmalar. Shunga ko'ra, mijozlarning roli agentlarning ishlashi to'g'risida ma'lumot to'plash uchun zarur bo'lgan tarmoq ilovalari - boshqaruv tizimlariga beriladi. Ushbu ikkita sub'ektdan tashqari, protokol modelida yana ikkitasini ajratib ko'rsatish mumkin: boshqaruv ma'lumotlari va ma'lumotlar almashinuvi protokolining o'zi.

"Nima uchun uskunani umuman so'rashingiz kerak?" - deb so'rayapsiz. Men bu masalani biroz yoritishga harakat qilaman. Ba'zan tarmoqning ishlashi paytida ma'lum bir qurilmaning ma'lum parametrlarini aniqlash kerak bo'ladi, masalan, MTU hajmi, qabul qilingan paketlar soni, ochiq portlar, mashinada o'rnatilgan operatsion tizim va uning versiyasi, mashinada yo'naltirish opsiyasi yoqilganligini va boshqa ko'p narsalarni bilib oling. SNMP mijozlari buni qilishning eng yaxshi usuli hisoblanadi.

Yuqoridagilarga qo'shimcha ravishda, ko'rib chiqilayotgan protokol yana bir muhim xususiyatga ega, ya'ni agentlar haqidagi ma'lumotlarni o'zgartirish imkoniyati. Albatta, har qanday parametrni o'zgartirishga ruxsat berish ahmoqlik bo'lardi, ammo shunga qaramay, yozish operatsiyasiga ruxsat berilgan parametrlar soni shunchaki qo'rqinchli. Bir qarashda, bu tarmoq xavfsizligining butun nazariyasini butunlay rad etadi, ammo agar siz masalani chuqurroq o'rgansangiz, hamma narsa birinchi qarashda ko'rinadigan darajada e'tibordan chetda emasligi ayon bo'ladi. — Bo‘rilardan qo‘rqsangiz, o‘rmonga kirmang. Axir, tarmoq administratoridan ozgina harakat bilan, muvaffaqiyatli hujum xavfi minimal darajaga tushirilishi mumkin. Ammo bu jihatni keyinroq muhokama qilamiz.

Keling, boshqaruv tizimi SNMP chuqurligidan qanday ma'lumotlarni to'plashi mumkinligi haqida to'xtalib o'tamiz. Agent tizimining ob'ektlari to'g'risidagi barcha ma'lumotlar MIB (boshqaruv ma'lumotlar bazasi) deb nomlanadi, boshqacha aytganda, MIB tuzilishi va tuzilishiga qarab har bir aniq mijoz uchun yozish va o'qish operatsiyalari uchun mavjud bo'lgan ob'ektlar to'plamidir. mijozning o'zi maqsadi. Axir, terminal serveridan tushirilgan paketlar sonini so'rashning ma'nosi yo'q, chunki bu ma'lumotlar yo'riqnoma uchun ma'mur haqidagi ma'lumot kabi uning ishlashiga hech qanday aloqasi yo'q. Shuning uchun, nazorat qilish tizimi aniq nimani va kimdan so'rashni tushunishi kerak. Hozirda to'rtta MIB mavjud:

Internet MIB - bu xatolar diagnostikasi va konfiguratsiyasini ta'minlash uchun ob'ektlar ma'lumotlar bazasi. 171 ta ob'ektni o'z ichiga oladi (shu jumladan MIB I ob'ektlari).
LAN menejeri MIB - 90 ta ob'ektdan iborat ma'lumotlar bazasi - parollar, sessiyalar, foydalanuvchilar, umumiy resurslar.
WINS MIB - WINS serverining (WINSMIB.DLL) ishlashi uchun zarur bo'lgan ob'ektlar ma'lumotlar bazasi.
DHCP MIB - bu DHCP serverining (DHCPMIB.DLL) ishlashi uchun zarur bo'lgan ob'ektlarning ma'lumotlar bazasi bo'lib, u tarmoqdagi IP manzillarini dinamik ravishda taqsimlash uchun ishlatiladi.

Barcha MIB nomlari ierarxik tuzilishga ega. O'nta ildiz taxalluslari mavjud:

Tizim - bu guruh MIB II ettita ob'ektni o'z ichiga oladi, ularning har biri tizim haqidagi ma'lumotlarni saqlash uchun xizmat qiladi (OT versiyasi, ish vaqti va boshqalar).
Interfeyslar - agent tarmoq interfeyslari statistikasini yuritish uchun zarur bo'lgan 23 ta ob'ektni o'z ichiga oladi (interfeyslar soni, MTU hajmi, uzatish tezligi, jismoniy manzillar va boshqalar).
AT (3 ta ob'ekt) - manzil tarjimasi uchun javobgar. Endi ishlatilmaydi. U MIB I ga kiritilgan. AT obyektlaridan foydalanishga oddiy ARP jadvali misol bo‘la oladi (ARP protokoli haqida batafsil ma’lumotni “ARP protokolidan nostandart foydalanish” maqolasida o‘qishingiz mumkin. www.uinc.ru veb-saytining "Maqolalar" bo'limida) jismoniy (MAC) manzillarning yozishmalari tarmoq kartalari Mashinalarning IP manzillari. SNMP v2 da ushbu ma'lumot tegishli protokollar uchun MIBga ko'chirildi.
IP (42 ta ob'ekt) - IP-paketlarni o'tkazish to'g'risidagi ma'lumotlar (so'rovlar soni, javoblar, tushirilgan paketlar).
ICMP (26 ob'ekt) - boshqaruv xabarlari (kiruvchi/chiqish xabarlari, xatolar va boshqalar) haqida ma'lumot.
TCP (19) - bir xil nomdagi transport protokoli bilan bog'liq barcha narsalar (algoritmlar, doimiylar, ulanishlar, ochiq portlar va boshqalar).
UDP (6) - shunga o'xshash, faqat uchun UDP protokoli(kirish/chiqish datagramlari, portlar, xatolar).
EGP (20) - Tashqi shlyuz protokoli trafik ma'lumotlari (marshrutizatorlar tomonidan qo'llaniladi; ob'ektlar qabul qilingan/yuborilgan/o'chirilgan kartalar haqidagi ma'lumotlarni saqlaydi).
Transmissiya - ma'lum MIBlar uchun ajratilgan.
SNMP (29) - SNMP statistikasi - kiruvchi/chiqish paketlari, paketlar hajmi chegaralari, xatolar, qayta ishlangan so'rovlar haqidagi ma'lumotlar va boshqalar.

Keling, ularning har birini pastga qarab o'sadigan daraxt sifatida tasavvur qilaylik (tizim DNS tashkilotini og'riqli tarzda eslatadi). Misol uchun, administrator manziliga quyidagi yo'l orqali kirishimiz mumkin: system.sysContact.0, tizimning ishlash vaqti system.sysUpTime.0, tizim tavsifi (versiya, yadro va OT haqidagi boshqa ma'lumotlar): system.sysDescr.0. Boshqa tomondan, xuddi shu ma'lumotlar nuqta belgilarida ko'rsatilishi mumkin. Shunday qilib, system.sysUpTime.0 1.3.0 qiymatiga mos keladi, chunki tizim MIB II guruhlarida "1" indeksiga ega, sysUpTime esa tizim guruhi ierarxiyasida 3 indeksiga ega. Yo'l oxiridagi nol saqlangan ma'lumotlarning skaler turini ko'rsatadi. ga havola to'liq ro'yxat(256 MIB II ob'ekti) Siz uni maqolaning oxirida "Ilova" bo'limida topishingiz mumkin. Ishlash jarayonida ob'ektlarning ramziy nomlaridan foydalanilmaydi, ya'ni menejer agentdan system.sysDescr.0 parametrining mazmunini so'rasa, so'rovlar qatorida ob'ektga havola "1.1.0" ga o'zgartiriladi. ” va “xuddi shunday” uzatilmaydi. Keyinchalik biz BULK so'rovini ko'rib chiqamiz va keyin nima uchun bu juda muhimligi aniq bo'ladi. Shu bilan biz MIB II tuzilmasining umumiy ko'rinishini yakunlaymiz va bevosita menejerlar (nazorat tizimlari) va agentlarning o'zaro ta'siri tavsifiga o'tamiz. SNMP da mijoz so'rov-javob asosida server bilan bog'lanadi. Agentning o'zi uzilish tuzog'i deb ataladigan faqat bitta harakatni boshlashga qodir (ba'zi adabiyotlarda "tuzoq" tuzoqdir). Bundan tashqari, agentlarning barcha harakatlari menejerlar tomonidan yuborilgan so'rovlarga javob berishdan iborat. Menejerlarda ijodkorlik uchun ko'proq joy bor, ular to'rt turdagi so'rovlarni bajarishga qodir:

GetRequest - agentdan bitta o'zgaruvchi haqida ma'lumot so'rash.
GetNextRequest - agentga keyingi (ierarxiyadagi) o'zgaruvchi haqidagi ma'lumotlarni qaytarishni buyuradi.
GetBulkRequest - ma'lumotlar massivini olish uchun so'rov. Bittasini olgandan so'ng, agent so'rovdagi ma'lumotlar turlarini o'z jadvalidagi ma'lumotlarga muvofiqligini tekshiradi va tuzilmani tsikldagi parametr qiymatlari bilan to'ldiradi: for(repeatCount = 1; repeatCount< max_repetitions; repeatCount++) Теперь представьте себе запрос менеджера на получение списка из сотни значений переменных, посланный в символьном виде, и сравните размер такового с размером аналогичного запроса в точечной нотации. Думаю, Вы понимаете, к чему привела бы ситуация, если бы символьные имена не преобразовывались вышеуказанным образом.
SetRequest - o'zgaruvchiga ma'lum qiymat o'rnatish bo'yicha ko'rsatma.

Bundan tashqari, menejerlar o'zlarining mahalliy MIBlari haqida bir-birlari bilan ma'lumot almashishlari mumkin. Ushbu turdagi so'rov InformRequest deb ataladi.

Men barcha turdagi so'rovlar uchun raqamli konstantalarning qiymatlarini beraman:

#SNMP_MSG_GETni aniqlang (ASN_CONTEXT | ASN_CONSTRUCTOR | 0x0)
#SNMP_MSG_GETNEXT ni aniqlang (ASN_CONTEXT | ASN_CONSTRUCTOR | 0x1)
#SNMP_MSG_RESPONSE ni aniqlang (ASN_CONTEXT | ASN_CONSTRUCTOR | 0x2)
#SNMP_MSG_SETni aniqlang (ASN_CONTEXT | ASN_CONSTRUCTOR | 0x3)
/* SNMPv1 uchun PDU */
#SNMP_MSG_TRAP ni aniqlang (ASN_CONTEXT | ASN_CONSTRUCTOR | 0x4)
/* SNMPv2 uchun PDU */
#SNMP_MSG_GETBULK ni aniqlang (ASN_CONTEXT | ASN_CONSTRUCTOR | 0x5)
#SNMP_MSG_INFORM ni aniqlang (ASN_CONTEXT | ASN_CONSTRUCTOR | 0x6)
#SNMP_MSG_TRAP2 ni aniqlang (ASN_CONTEXT | ASN_CONSTRUCTOR | 0x7)

Bu erda biz yana bir qiziqarli tafsilotga duch kelamiz, chunki tuzoq uchun 2 ta raqamli konstanta mavjud. Aslida, SNMP protokolining ikkita asosiy versiyasi mavjud (v1 va v2) va eng muhimi, ular mos kelmaydi (aslida, yana ko'p versiyalar mavjud - SNMP v2(p | c | u) va boshqalar, lekin bu o'zgarishlarning barchasi juda kichik, chunki, masalan, md5 qo'llab-quvvatlashini joriy etish va boshqalar). SNMP monitoring va diagnostika protokoli bo'lib, shuning uchun u marshrutlarning yaxlitligi buzilgan holatlar uchun mo'ljallangan, bundan tashqari, bunday vaziyatda uskunalar nuqtai nazaridan imkon qadar kamroq talab qilinadigan transport protokoli talab qilinadi. Shuning uchun tanlov UDP yo'nalishida qilingan. Ammo bu boshqa hech qanday protokol SNMP paketlarini olib yurolmaydi degani emas. Bu IPX protokoli bo'lishi mumkin (masalan, NetWare tarmoqlarida); Ethernet kartalari va ATM hujayralari ham transport sifatida ishlatilishi mumkin. O'ziga xos xususiyat Ko'rib chiqilayotgan protokol shundan iboratki, ma'lumotlarni uzatish aloqa o'rnatmasdan amalga oshiriladi.

Aytaylik, menejer turli agentlarga bir nechta paketlarni yubordi, keyin boshqaruv tizimi kiruvchi paketlarning qaysi biri 1 va 2-agentga tegishli ekanligini qanday aniqlashi mumkin? Buning uchun har bir paketga ma'lum bir ID - raqamli qiymat beriladi. Agent menejerdan so'rovni qabul qilganda, u javob ishlab chiqaradi va paketga so'rovdan olingan ID qiymatini kiritadi (uni o'zgartirmasdan). SNMPdagi asosiy tushunchalardan biri bu guruh tushunchasidir. Menejerni avtorizatsiya qilish tartibi - bu agent tomonidan saqlanadigan ro'yxatdagi ma'lum bir guruhga tegishli yoki yo'qligini tekshirish uchun oddiy tekshirish. Agar agent o'z ro'yxatida menejer guruhlarini topmasa, ularning keyingi o'zaro ta'siri mumkin emas. Bundan oldin biz SNMP ning birinchi va ikkinchi versiyalari bilan bir necha bor duch kelganmiz. Keling, ularning orasidagi farqga e'tibor beraylik. Avvalo, shuni ta'kidlaymizki, SNMP v2 trafikni shifrlashni qo'llab-quvvatlaydi, buning uchun amalga oshirilishiga qarab DES va MD5 algoritmlari qo'llaniladi. Bu ma'lumotlarni uzatishda eng muhim ma'lumotlarni, shu jumladan tarmoq guruhlari haqida ma'lumotni hidlash orqali olish mumkin emasligiga olib keladi. Bularning barchasi trafikning ko'payishiga va paketlar tuzilishining murakkablashishiga olib keldi. O'z-o'zidan, hozirda v2 deyarli hech qaerda ishlatilmaydi. Windows NT mashinalari SNMP v1 dan foydalanadi. Shunday qilib, biz asta-sekin maqolaning eng qiziqarli qismiga, ya'ni Xavfsizlik masalalariga o'tmoqdamiz. Keling, bu haqda gaplashaylik ...

Amaliyot va xavfsizlik

Hozirgi vaqtda tarmoq xavfsizligi masalalari, ayniqsa, ma'lumotlarni uzatish protokollari haqida gap ketganda, ayniqsa muhim ahamiyatga ega korporativ tarmoqlar. SNMP v1/v2 bilan yuzaki tanishgandan so'ng ham, protokolni ishlab chiquvchilar bu haqda oxirgi marta o'ylashgan yoki ular loyiha uchun qat'iy muddatlarga rioya qilganliklari aniq bo'ladi -). Ko'rinishidan, protokol "ishonchli xostlar" deb ataladigan muhitda ishlashga mo'ljallangan. Keling, qandaydir virtual shaxsni tasavvur qilaylik. Egasi foyda olish niyatida bo'lgan yoki ma'lum bir tarmoqning ishlashini buzish orqali ma'murni bezovta qiladigan shaxs, aniqrog'i ma'lum bir IP-manzil. Keling, bu odamning o'rnini egallasak. Biz bu fikrni ikki nuqtaga qisqartiramiz:

a) biz "dushmanlik tarmog'i" dan tashqaridamiz. Harom ishimizni qanday qilib qilamiz? Avvalo, biz tarmoq shlyuzining manzilini bilamiz deb taxmin qilamiz. RFC ma'lumotlariga ko'ra, boshqaruv tizimi agentga 161 port (UDP) orqali ulanadi. Muvaffaqiyatli ishlash uchun siz guruh haqida bilimga ega bo'lishingiz kerakligini eslaylik. Bu erda tajovuzkor ma'murlar ko'pincha guruh qiymatlarini (ismlarini) sukut bo'yicha qoldirib ketishlari va SNMP uchun sukut bo'yicha ikkita guruh - "xususiy" va "ommaviy" guruhlarga ega bo'lishlari bilan yordam beradi. Agar ma'mur voqealarning bunday rivojlanishini oldindan ko'rmagan bo'lsa, xayolparast unga juda ko'p muammolarni keltirib chiqarishi mumkin. Ma'lumki, SNMP protokoli FingerPrintingning bir qismidir. Agar so'ralsa, MIB II guruhi tizimi tufayli tizim haqida juda katta miqdordagi ma'lumotlarni bilib olish mumkin. Faqat o'qish uchun mo'ljallangan sysDescr parametriga qarang. Axir, aniq versiyani bilish dasturiy ta'minot, mos keladigan OS uchun vositalardan foydalanib, tizimni to'liq nazorat qilish imkoniyati mavjud. Ushbu parametrning faqat o'qish uchun atributini eslatib o'tganim bejiz emas. Axir, snmpd manba kodini qidirmasdan (UNIX-ga o'xshash OT holatida) bu parametrni o'zgartirib bo'lmaydi, ya'ni agent tajovuzkorga barcha kerakli ma'lumotlarni sodiqlik bilan beradi. Ammo shuni unutmasligimiz kerakki, Windows uchun agent dasturlari manba kodisiz taqdim etiladi va operatsion tizimni bilish hujum muvaffaqiyatining 50% ni tashkil qiladi. Bundan tashqari, esda tutingki, ko'plab parametrlar rw (o'qish-yozish) atributiga ega va bu parametrlar orasida yo'naltirish ham bor! Uni "notForwarding(2)" ga o'rnatish oqibatlarini tasavvur qiling. Masalan, Linuxda SNMP uchun ucd-snmp deb nomlangan dasturiy ta'minotni amalga oshirish imkoniyati mavjud. masofadan boshlash tegishli so'rovni yuborish orqali serverga skriptlar. O'ylaymanki, hamma "administrator kamchiliklari" nimaga olib kelishi mumkinligini tushunadi.
b) tajovuzkor mahalliy mashinada. Bunday holda, administratorni ishdan bo'shatish ehtimoli keskin oshadi. Axir, tarmoqning bir segmentida bo'lish shunchaki guruhlar nomlarini va ular bilan ko'plab tizim ma'lumotlarini hidlash imkonini beradi. (a) bandida aytilganlarning barchasi bu holatga ham tegishli.

Keling, "amaliy mashqlar" ga o'tamiz. Sizga nima kerak bo'lishi mumkin? Birinchidan, dasturiy ta'minot. dan olish mumkin. Men Linux OS uchun misollar keltiraman, lekin buyruq sintaksisi Windows dasturiga o'xshaydi.

Paketni o'rnatish standart hisoblanadi:

gunzip udc-snmp-3.5.3.tar.gz
tar -xvf udc-snmp-3.5.3.tar
cd udc-snmp-3.5.3
./configure
qilish
o'rnatish

Demonni ishga tushirish (agent)

O'rnatishdan so'ng siz uchun quyidagi dasturlar mavjud:

snmpget
snmpset
snmpgetnext
snmpwalk
snmpbulkwalk
snmpcheck
snmptest
snmpdelta
snmpnetstat snmpstatus
snmpable
snmptrap
snmptransstat
va jin
snmptrapd

Keling, yuqorida tavsiflangan operatsiyalar amalda qanday ko'rinishini ko'rib chiqaylik.

GetRequest so'rovi xuddi shu nomdagi snmpget dasturi tomonidan amalga oshiriladi

Kerakli ma'lumotlarni olish uchun quyidagi buyruqni bajaring:

root@darkstar:~# snmpget 10.0.0.2 public system.sysDescr.0

Server bizga vijdonan aytadi:

system.sysDescr.0 = Uskuna: x86 Family 6 Model 5 Stepping 0 AT/AT MOSYON - Dasturiy ta'minot: Windows NT Version 4.0 (Yaratish raqami: 1381 Uniprocessor Free)

(bu juda mazmunli emasmi) yoki

system.sysDescr.0 = Linux darkstar 2.4.5 №1 SMP 17-avgust, juma, 09:42:17 EEST 2001 i586

Xuddi kirish uchun qo'llanma kabi.

Aytaylik, biz agent sozlamalarida biror narsani o'zgartirmoqchimiz. Keling, quyidagi operatsiyani bajaramiz:

root@darkstar:~# snmpset 10.0.0.2 public system.sysContact.0 s [elektron pochta himoyalangan]

va biz javob olamiz:

system.sysContact.0 = [elektron pochta himoyalangan]

Atributlarga ega MIB II obyektlari roʻyxati bilan “Ilova”da keltirilgan havola orqali tanishish mumkin.

Menimcha, SNMP ga qarash vaqti keldi paket darajasi. Ushbu paket NetXRay sniffer tomonidan agentning tarmoq interfeysida ushlangan:

Ko'rib turganimizdek, amaliyot nazariyadan uzoq emas. Biz so'rov identifikatori va so'rov parametrlarini kuzatamiz. To'liq skrinshotda siz protokollar to'plamini ko'rishingiz mumkin - Ethernet ramkalaridan UDP orqali biz oddiy tarmoqni boshqarish protokolining o'ziga erishamiz:

Va bu paket menejer interfeysidan olingan:

Ko'rib turganingizdek, guruh nomi mutlaqo shifrlanmagan (bu o'z navbatida Protokol versiyasi raqami bilan ko'rsatilgan: 1). Shuni ta'kidlashni istardimki, protokol spetsifikatsiyasiga ko'ra, SNMP paketlari aniq belgilangan uzunlikka ega emas. UDP xabarining uzunligiga teng, 65507 baytga teng yuqori chegara mavjud, o'z navbatida, protokolning o'zi boshqa maksimal qiymatni qo'yadi - atigi 484 bayt. O'z navbatida, paket sarlavhasining uzunligi (headerLength) o'rnatilgan qiymatga ega emas.

Xo'sh, biz SNMP protokoli bilan umumiy ma'noda tanishdik. Yuqoridagilarga yana nimalarni qo'shish mumkin... Tarmoq xavfsizligi muammolari xavfini kamaytirish maqsadida tarmoq ma'murlariga faqat bir-ikki maslahat berishimiz mumkin... Avvalo, xavfsizlik devorini o'rnatishga tegishli e'tibor berish kerak. Ikkinchidan, standart guruh nomlarini o'zgartiring. Agentlar so'raladigan mashinalar (menejerlar) manzillarini qat'iy belgilash maqsadga muvofiq bo'lar edi. Menimcha, ushbu maqola shu erda tugashi mumkin. Men sizni qiziqtirganiga ishonishni istardim.

Protokol SNMP(Simple Network Management Protocol) tarmoq qurilmalarini boshqarishda administrator ishini engillashtirish uchun mo'ljallangan. Biroq, SNMP 1-versiya (SNMPv1) bilan bog'liq katta muammo har doim protokolni qo'llab-quvvatlash vositalarini ishga tushiradigan xostning mutlaq ishonchsizligi bo'lib kelgan. Asl versiyada kirish satrlari deb ataladigan maxsus parollardan foydalanishga asoslangan faqat bitta xavfsizlik mexanizmi ishlatilgan ( jamoa qatori).

Xavfsizlikning zaif tomonlari haqidagi shikoyatlarga javoban SNMP (SNMFV2) ning ancha takomillashtirilgan versiyasi tezda ishlab chiqildi. Ushbu versiya SNMP serverlari va mijozlar o'rtasida yuborilgan xabarlarni autentifikatsiya qilish uchun MD5 xesh algoritmidan foydalanadi. Bu sizga uzatilgan ma'lumotlarning yaxlitligini va uning haqiqiyligini tekshirish imkoniyatini ta'minlash imkonini beradi. Bundan tashqari, SNMPv2 uzatilgan ma'lumotlarni shifrlash imkonini beradi. Bu tajovuzkorlarning tarmoq trafigini tinglash va kirish satrlarini olish qobiliyatini cheklaydi. Biroq, shu bilan birga, ma'murlarga routerlarda oddiy parollardan foydalanishga hech narsa to'sqinlik qilmaydi.

SNMP protokolining uchinchi versiyasi (SNMPv3) joriy standart bo'lib, qurilma xavfsizligining zarur darajasini ta'minlaydi, ammo uni qabul qilish biroz vaqtga kechiktirilishi mumkin. uzoq vaqt. Aksariyat qurilmalar hatto SNMPv2 emas, balki SNMPv1 bilan ishlayotganini ko'rish uchun odatiy tarmoqni o'rganish kifoya! Ko'proq batafsil ma'lumot SNMPv3 protokoli haqida http://www.ietf.org/html.charters/snmpv3-charter.html manzilida joylashgan. Biroq, SNMP protokolining hech bir versiyasi ma'murlarning ishlab chiquvchilar tomonidan taqdim etilgan kirish satrlaridan foydalanish qobiliyatini cheklamaydi. Qoida tariqasida, ular uchun taxmin qilish oson bo'lgan parollar o'rnatiladi, ular bunday masalalarga ozgina qiziqqan har bir kishiga yaxshi ma'lum.

Eng yomoni shundaki, ko'pgina tashkilotlar o'zlarining xavfsizlik siyosatlarida SNMPni kam yoki umuman hisobga olmaydilar. Buning sababi SNMP UDP ning tepasida ishlashi (odatda protokollar stekida yo'q) yoki uning imkoniyatlaridan bir nechta ma'murlar xabardor bo'lishi mumkin. Qanday bo'lmasin, shuni ta'kidlash kerakki, SNMP protokolidan foydalanishda xavfsizlik muammolari ko'pincha ko'rinmaydi, bu ko'pincha xakerlarga tarmoqqa kirishga imkon beradi.

Biroq, SNMP protokolining kamchiliklarini batafsil muhokama qilishga o'tishdan oldin, keling, u bilan bog'liq bo'lgan asosiy tushunchalar bilan qisqacha tanishib chiqamiz. Kirish satrlari ikkita turdan biri bo'lishi mumkin - faqat o'qish (o'qish turi) va o'qish va yozish (o'qish/yozish). Faqat o'qish uchun mo'ljallangan SNMP kirish satrlaridan foydalanganda siz faqat tizim tavsifi, TCP va UDP ulanishlari kabi qurilma konfiguratsiyasi ma'lumotlarini ko'rishingiz mumkin. tarmoq adapterlari va hokazo. O'qish va yozish ruxsatlarini ta'minlovchi kirish satrlari ma'murga (va, albatta, tajovuzkorga) qurilmaga ma'lumot yozish imkoniyatini beradi. Misol uchun, faqat bitta SNMP buyrug'i bilan administrator tizim aloqa ma'lumotlarini o'zgartirishi mumkin, snmpset 10.12.45.2 private.1.3.6.1.2.1.1 s Smith.

Ascend routerlari

Odatiy bo'lib, Ascend marshrutizatorlari umumiy kirish satrlari yordamida SNMP kirishini ta'minlaydi (o'qing - o'qing) Va yozish o'qish va yozish uchun - o'qish / yozish). SNMP o'qish va yozishga kirish bilan bog'liq xavfsizlik kamchiligi birinchi marta Network Associates tomonidan aniqlangan. Inc.

Qarshi choralar: Ascend Routerlarni himoya qilish

Ascend routeringizdagi standart kirish satrlarini o'zgartirish uchun shunchaki menyu buyrug'idan foydalaning Ethernet › ModConflg › SNMP opsiyalari.

Bay marshrutizatorlari

Bay NT routerlari o'qish va yozish uchun sukut bo'yicha foydalanuvchi tomonidan boshqariladigan SNMP kirishini ta'minlaydi. Ushbu xususiyatdan foydalanish uchun parolsiz standart foydalanuvchi nomidan foydalanib ko'ring. IN buyruq qatori router uchun buyruqni kiriting:

Snmp aloqa turlarini ko'rsatish

Bu buyruq mavjud kirish satrlarini ko'rish imkonini beradi. Sayt menejeri (menyu buyrug'i) yordamida har qanday foydalanuvchi xuddi shunday qilishi mumkin Protokollar › IP › SNMP › Jamiyatlar).

Qarshi choralar: Bay Routerlarni himoya qilish

Dispetcherda Sayt menejeri, Bay Networks router dasturiga kiritilgan, menyu buyrug'ini tanlang Protokollar › IlP1 › SNMPoCommunities. Shundan so'ng, buyruqni tanlang Hamjamiyat › Hamjamiyatni tahrirlash va kirish satrlarini o'zgartiring.

Qarshi choralar: SNMP himoyasi

Agar siz SNMP-ga chekka xavfsizlik devori orqali bitta qurilmaga kirishga ruxsat bersangiz, lekin tarmoqdagi boshqa tugunlarga kirish uchun SNMP-dan foydalanishga shoshilinch ehtiyoj bo'lmasa, siz shunchaki ACL routerga tegishli cheklovlarni qo'shishingiz mumkin.

Access-list 101 udp har qanday ek 161 jurnalini rad etadi!

XULOSA
Tadqiqot SNMP protokoli yordamida tarmoqning o'zaro ta'siri xavfsizligini ta'minlash masalalariga bag'ishlangan. Ish jarayonida nomli protokolning xususiyatlari va undan foydalanishda yuzaga kelishi mumkin bo'lgan muammolar aniqlandi. Muammoni asoslash uchun tarmoq hujumlarining yuqori ehtimolini tasdiqlovchi statistik ma'lumotlar taqdim etiladi. Bundan tashqari, nazariy qismda protokol tuzilishi, so'rov/javob sxemasi va so'rovlarga javob olish bosqichlari haqida ma'lumotlar mavjud.
Kurs ishining bir qismi sifatida SNMP protokoliga mumkin bo'lgan hujumlar tahlili o'tkazildi, ular orasida Dos hujumlari, Buffer Overflow hujumlari va format qatoridagi zaifliklardan foydalanadiganlar bor. Albatta, yana ko'plab mumkin bo'lgan tahdidlar mavjud, ammo ularni ko'rib chiqish chuqurroq va har tomonlama o'rganishni talab qiladi. aniye.
Tarmoq abonentlarining tarmoqdagi o'zaro ta'sirini himoya qilish tizimini yaratish uchun SNMP protokoliga hujumlarning oldini olish usullari ko'rib chiqildi va bir qator vositalardan foydalanish samarali bo'lishi ta'kidlandi.
Tahlil natijalariga ko'ra, SNMP protokoli juda zaif ekanligi va agar siz hali ham undan foydalanishga qaror qilsangiz, xavfsizlik siyosatini ishlab chiqishingiz va uning barcha tamoyillariga rioya qilishingiz kerakligi aniqlandi.
Shunday qilib, biz maqsadga erishildi va kirishda belgilangan vazifalar hal qilindi, deb xulosa qilishimiz mumkin.

KIRISH
Axborot texnologiyalarining zamonaviy jadal rivojlanishi ma’lumotlarni saqlash, qayta ishlash va tarqatish bo‘yicha yangi talablarni qo‘ymoqda. An'anaviy saqlash vositalari va ajratilgan serverlardan kompaniyalar va jismoniy shaxslar asta-sekin orqali amalga oshirilgan masofaviy texnologiyalarga o'tishmoqda global tarmoq Internet. Internet xizmatlariga aylanishi mumkin ajralmas vositalar zamonaviy, jadal rivojlanayotgan kompaniyaning faoliyati, shu jumladan elektron pochta; video ilovalar yordamida fayllar, ovozli xabarlar va ma'lumotlar almashinuvi; o'z veb-resurslaringizni ishlab chiqish.
Ko'pgina mutaxassislarning fikriga ko'ra, Internet texnologiyalaridan keng foydalanish tarmoq qurilmalarini samarali boshqarish tizimini qurishni talab qiladi, uning vositalaridan biri bo'lishi mumkin. SNMP protokoliga aylanadi. Biroq, ushbu protokol orqali tarmoq qurilmalarini boshqarish va monitoringini tashkil etish tarmoq elementlarini hujumlarga qarshi himoyasiz qiladi. Shunday qilib, Internet xizmatlarining rivojlanishi nuqtai nazaridan tarmoq hujumlarining oldini olish texnologiyasi masalalari birinchi o'ringa chiqadi va har tomonlama tahlil qilishni talab qiladi. Shuning uchun tadqiqot mavzusi dolzarbdir.
Ko'pgina mualliflarning savollari SNMP protokoliga hujumlardan himoya qilish tizimini yaratish masalalariga bag'ishlangan, ammo xavfsizlikni ta'minlashning murakkabligi sababli SNMP dan foydalanish maqsadga muvofiqligi to'g'risida konsensus mavjud emas. Shunday qilib, Flenov M. o'zining "Linux xakerning ko'zlari bilan" kitobida ushbu protokolning kamchiliklarini ta'kidladi va undan foydalanishni tavsiya etmaydi. Smirnova E. V. “Lokal kompyuter tarmoqlarida kommutatsiya va marshrutlash texnologiyalari” darsligida ma’lumotlarni multicast uzatish sxemalari va samarali boshqaruv SNMP protokolidan foydalangan holda tarmoq uskunalari, shuningdek, undan foydalanishning xavfsizlik masalalarini alohida ta'kidlaydi. Ixtisoslashgan adabiyotlar va Internet manbalarini keyingi ko'rib chiqish, undan foydalanishning maqsadga muvofiqligi to'g'risida qaror qabul qilish uchun SNMP protokolidan xavfsiz foydalanish masalalarini o'rganish zarurligini tasdiqladi. bu qaror mumkin bo'lgan hujumlar va ularni oldini olish usullarining samaradorligi tahlili bo'ladi.
Tadqiqotning maqsadi SNMP protokoliga mumkin bo'lgan hujumlar va qarshi choralarni har tomonlama tahlil qilishdir.
Maqsadga erishish uchun bir qator muammolarni hal qilish kerak:
1. SNMP protokolidan foydalanish asosida tarmoqning xavfsiz o'zaro ta'sirini tashkil etish bo'yicha adabiyotlar va Internet manbalarini ko'rib chiqish.
2. SNMP protokoliga hujum qilish usullari va ularni oldini olish usullarini o'rganish zarurligini asoslang.
3. SNMP protokoli asosida boshqaruv xususiyatlarini ajratib ko'rsating.
4. SNMP protokoli uchun texnikalar tahlilini o'tkazish.
5. SNMP protokoliga hujumlarning oldini olish usullarini aytib bering.
Tadqiqot ob'ekti - SNMP protokoli.
Tadqiqot mavzusi SNMP protokoliga tarmoq hujumlari usullari va ularni oldini olish usullari.
Tadqiqot usullari: tahlil, sintez, axborot manbalarini o'rganish.
Kurs ishi kirish, ikki bob va xulosadan iborat. Birinchi bob muammoning nazariy asoslariga bag'ishlangan. Ikkinchi bobda mumkin bo'lgan hujumlar va ularni oldini olish usullari tahlil qilinadi

FOYDALANILGAN MANBALAR RO'YXATI
Qoidalar
1. Rossiya Federatsiyasining 2006 yil 27 iyuldagi 149-FZ-sonli "Axborot, axborot texnologiyalari va axborotni himoya qilish to'g'risida" gi Federal qonuni
Maxsus va ilmiy adabiyotlar ro'yxati
2. Blank-Edelman D. Tizim boshqaruvi uchun Perl, M.: symbol-Plus, 2009.- 478 p.
3. Borodakiy V.Yu. MSS OGV asosida xavfsiz axborot va hisoblash bulutini yaratish amaliyoti va istiqbollari / V.Yu. Borodakiy, A.Yu. Dobrodeev, P.A. Nashchekin // Davlat xavfsizligi, maxsus aloqa va maxsus axborot ta'minotining texnologik tizimlarini rivojlantirishning dolzarb muammolari: VIII Butunrossiya idoralararo ilmiy konferentsiya: materiallar va ma'ruzalar (Orel, 2013 yil 13-14 fevral). - Soat 10 da 4-qism / Umuman tahrir. V.V. Mizerova. - Burgut: Akade Rossiya Federal xavfsizlik xizmati missiyasi, 2013 yil.
4. Grishina N.V. Axborot xavfsizligini kompleks tizimini tashkil etish. - M .: Helios ARV, 2009. - 256 p.
5. Duglas R. Mauro SNMP asoslari, 2-nashr / Duglas R. Mauro, Kevin J. Shmidt - M.: Symbol-Plus, 2012.-725p.
6. Kulgin M.V. Kompyuter tarmoqlari. Qurilish amaliyoti. Professionallar uchun, Sankt-Peterburg: Peter, 2003.-462 p.
7. Mulyuxa V.A. Kompyuter axborotini himoya qilish usullari va vositalari. Xavfsizlik devori: Darslik / Mulyukha V.A., Novopashenny A.G., Podgurskiy Yu.E. - Sankt-Peterburg: SPbSPU nashriyoti, 2010. - 91 p.
8. Olifer V. G., Olifer N. P. Kompyuter tarmoqlari. Printsiplar, texnologiyalar, protokollar. - 4-chi. - Sankt-Peterburg: Pyotr, 2010. -902 p.
9. Mahalliy kompyuter tarmoqlarida kommutatsiya va marshrutlash texnologiyalari: darslik / SmirnovaE. V. va boshqalar; ed. A.V. Proletarskiy. - M.: MSTU im. nashriyoti. N.E. Bauman, 2013. - 389 b.
10. Flenov M. Linux xakerning ko'zlari bilan, Sankt-Peterburg: BHV-Sankt-Peterburg, 2005. - 544 p.
11. Xoreyev P.V. Kompyuter tizimlarida axborotni himoya qilish usullari va vositalari. - M.: "Akademiya" nashriyot markazi, 2005. -205 b.
12. Xoroshko V. A., Chekatkov A. A. Axborotni himoya qilish usullari va vositalari, K.: Junior, 2003. - 504 b.
Internet manbalari
13. IDS/IPS - Intrusionlarni aniqlash va oldini olish tizimlari [Elektron resurs] URL: http://netconfig.ru/server/ids-ips/.
14. 2014 yildagi Internet tahdidlari tahlili. DDoS hujumlari. Veb-saytlarni buzish [Elektron resurs]. URL: http://onsec.ru/resources/Internet%20threats%20in%202014.%20Overview%20by%20Qrator-Wallarm.pdf
15. Kolischak A. Format qatori zaifligi [Elektron resurs]. URL: https://securityvulns.ru/articles/fsbug.asp
16. Birinchi mil, № 04, 2013 yil [Elektron resurs]. URL: http://www.lastmile.su/journal/article/3823
17. SNMP standartlar oilasi [Elektron resurs]. URL: https://ru.wikibooks.org/wiki /SNMP_standards_family
Xorijiy adabiyot
18. "CERT Advisory CA-2002-03: Simple Network Management Protocol (SNMP) ning ko'p tatbiqidagi bir nechta zaifliklar", 12 fevral. 2002 yil, (hozirgi 2002 yil 11 mart

Kirish

Ushbu maqola "" materialining mantiqiy davomi bo'lib, unda ushbu protokolning asosiy printsiplari berilgan. Ushbu ishning maqsadi
himoya qilishning etarli darajasini ta'minlash uchun zarur choralarni ta'kidlashdan iborat
SNMP Ba'zilar uchun o'quvchidan uzr so'rayman
oldingi materialdan lahzalar takrorlanadi - bu uchun kerak
Ko'proq to'liq ko'rib chiqish bu masala. Bu yerda umumiy ma'lumot
minimal miqdorda taqdim etiladi; materialni yaxshiroq idrok etish uchun
Men sizga birinchi maqolani o'qishni maslahat beraman.

Tahdidlar

SNMP protokoli bilan bog'liq muammolar birinchi versiyada mexanizm paydo bo'lganida boshlangan
hech qanday himoya yo'q edi. Har kim oddiygina parollarni topishi mumkin edi
tarmoqni tinglash. Ammo bir muncha vaqt o'tgach, ikkinchi versiya chiqdi, unda
zamon talablariga muvofiq, jiddiyroq
himoya funktsiyalari. Xususan, MD5 yordamida xeshlash, shifrlash yordamida
DES va boshqalar (birinchi maqolaga qarang). Hozirgi vaqtda so'nggi versiya SNMP ning uchinchi versiyasi, ishlab chiquvchilar
uning asosiy vazifasi xavfsizlikni ta'minlashdir. Biroq, hammasi emas
Uchinchi versiyada ham xavfsizlik juda silliq.
SNMP uchun 6 turdagi tahdidlar mavjud:

Oshkora: agentlar va o'rtasidagi aloqalarni kuzatish
qiymatlarni yig'ish uchun nazorat stantsiyasi
Maskarad qilish
O'zgartirishlar: xayoliy operatsiyalar uchun xabarlarni yuborish
Xabarlar oqimiga o'zgartirishlar
Tarmoq trafigini tahlil qilish
Xizmat hujumlarini rad etish.

Keling, SNMP ning eng xavfsiz uchinchi versiyasini ko'rib chiqaylik
bu turdagi hujumlarga qarshi turish.

SNMPv3 ga hujum

Maskarad - xato tuzatildi, tizim
paketlarning kelib chiqishini tekshiradi
O'zgartirish - protokol MD5 yordamida butunlikni tekshiradi
Oshkora tahdid - DES bilan shifrlash
Trafik tahlili - avvalgidek protokol
MUHIM
Xizmat ko'rsatishni rad etish - MUHIM

Shunday qilib, ma'lum bo'lishicha, hatto 3-versiya ham ba'zi turdagi hujumlarga nisbatan zaif. IN
xususan, ucd-snmp 5.0.1, 5.0.3, 5.0.4.pre2 versiyalarining yordamchi dasturlari to'plami.
SNMP demoni, so'rovnoma va sozlash yordamchi dasturlarini o'z ichiga oladi
MIB, shuningdek, boshqa foydali xususiyatlar, xizmat hujumlarini rad etishda zaifdir.
xizmat. Zaiflikni Endryu Griffits topdi va e'lon qildi
iDEFENSE tomonidan 2002 yil 2 oktyabr.
Bunday muammolarni hal qilish faqat muntazam yangilanishlar bo'lishi mumkin.
dasturiy ta'minot.

Bugungi kunga qadar eng keng tarqalgan muammolardan biri bu parollardir.
(jamoa satrlari) sukut bo'yicha. Yana bir bor shuni ta'kidlamoqchiman
standart sozlamalarni o'zgartirish SHART. Yechim quyidagi fayllar uchun man sahifalarini diqqat bilan o'rganishdir:
snmp.conf, snmp_config, snmpcmd, ularda ma'lumotlar mavjud
SNMP konfiguratsiyasi va fayl bilan ishlash. Hatto qiymatning oddiy o'zgarishi bilan ham
sukut bo'yicha "ommaviy" dan ko'proq murakkab parol, tajovuzkor endi qila olmaydi
arzimas yordamchi dastur yordamida tizimingiz haqida ma'lumot oling
snmpwalk. Ko'pgina tarmoq qurilmalari (kalitlar, WAN/LAN routerlar, modemlar, shuningdek
biroz OS) bilan sukut bo'yicha tuzilgan
faollashtirilgan SNMP va hatto rw kirish (!) bilan. Bunday beparvolikning oqibatlari
bashorat qilish oson. Bu erda, masalan, qurilmalarning kichik ro'yxati
standart parollar:

3com Switch 3300 (3Com SuperStack II) - shaxsiy
- Cray MatchBox router (MR-1110 MatchBox Router/FR 2.01) - shaxsiy
- 3com RAS (HiPer Access Router Card) - ommaviy
- Prestij 128 / 128 Plus - ommaviy
- COLTSOHO 2.00.21 - xususiy
- PRT BRI ISDN router - ommaviy
- CrossCom XL 2 - shaxsiy
- WaiLAN Agate 700/800 - ommaviy
- HPJ3245A HP Switch 800T - ommaviy
- ES-2810 FORE ES-2810, Versiya 2.20 - ommaviy
- Windows NT versiyasi 4.0 - ommaviy
- Windows 98 (95 emas) - ommaviy
- Sun/SPARC Ultra 10 (Ultra-5_10) - xususiy

Aytgancha, 16 oktyabr kuni bugtraq pochta ro'yxatida yangisi e'lon qilindi.
AVAYA Cajunga ruxsatsiz kirish haqida ma'lumot. SNMP hamjamiyati
NoGaH$@! to‘liq kirish imkonini beradi. Hujjatsiz
hisoblar diag/xavf va manuf/xxyyzz. Bunday muammolarni hal qilish rw kirishni cheklash, kirishni rad etishdir
tashqaridan SNMP faollashtirilgan qurilmalarga. Kirish rad etilishi kerak
Barcha uchinchi tomon kompyuterlari uchun SNMP portlari. Buni qilish juda oson,
ipchains/iptables qoidalaridan foydalanish kifoya. O'rnatish bo'yicha maslahat bering
ipchains juda qiyin, chunki mahalliy tarmoq topologiyasini bilishingiz kerak va
SNMP uy ish stantsiyalari uchun kerak emas.

Har kim uchun tizim administratori, ma'lumotlar bilan shug'ullanadi
protokol, SNMP bilan ishlashni soddalashtiradigan dasturlar kerak. IN
Shu munosabat bilan MRTG va SNMP::Monitorni eslatib o'tishimiz mumkin. Paket muallifining fikriga ko'ra
SNMP::Monitor, uning dasturi MRTGga nisbatan afzalliklarga ega (qaysi
aniq, Readme'da o'qishingiz mumkin). Siz SNMP::Monitor dan yuklab olishingiz mumkin
packetstormsecurity.org arxivlari. Mana uning ba'zi xususiyatlari:

Tarmoqni kuzatadigan doimiy jarayonni ishga tushiring
interfeyslar va jurnallarni ma'lumotlar bazasida saqlang
- WWW orqali grafik interfeysni ta'minlash
- statistik ma'lumotlarni ko'rsatish
- ma'lumotlarga kirishni boshqarish tizimini o'z ichiga oladi
va boshq.

SNMP xizmatidan voz kechishlarni qayd etish albatta zarur
ruxsatsiz xostlar va keyingi jurnal tahlillari. Agar Siz hohlasangiz
tarmog'ingizning zaifligini tekshirish uchun yaxshi dastur snmpsniff bo'ladi,
trafikni to'xtatuvchi. Siz uni www.packetstormsecurity.org/sniffers/snmpsniff-1.0.tar.gz saytidan yuklab olishingiz mumkin.
Parollarning mustahkamligini tekshirish uchun siz snmpbrute.c dan foydalanishingiz mumkin
juda tez parolni buzuvchi.

Xullas, bu ishimda imkon qadar masalalarni yoritishga harakat qildim
xavfsiz SNMP ishlashi. Agar biror narsani o'tkazib yuborgan bo'lsam, men minnatdor bo'laman
ishora. Meni yozishga undagan izohlar uchun rahmat
davomi.

O'qing:

1c chakana savdoda tovarlarni taqqoslash 8 Texnik fikrlash uchun mini test Kvartira, uy va boshqa ko'chmas mulkni sotish to'g'risida e'lonni bepul yuborish Uyni tez sotish to'g'risida e'lon yuborish Maktublarni o'qish orqali pul ishlash Xatlarni o'qish, lekin mukofot Mavzu bo'yicha material: "Chun qalbim bilan" kontsert dasturi barcha epizodlari bilan butun qalbim bilan teleko'rsatuv