Sayt bo'limlari
Muharrir tanlovi:
- Shaxsiy ma'lumotlarni qayta ishlash tamoyillari, shartlari va maqsadlari Korxonada shaxsiy ma'lumotlarni qayta ishlash maqsadlari
- Qozog'istonda onlayn kreditlar - eng yaxshi takliflar
- Mantiq algebra funksiyalarining superpozitsiyasi Monotonik mantiqiy funksiyalar
- Axborot tizimi nima?
- Mantiqiy ifodadan mantiqiy sxemaga o'tish va aksincha
- Nijniy Novgorod rus pochtasining sharmandaligi
- Geografik axborot tizimlarini ishlab chiqish GISning asosiy vazifalari
- Vektor va rastr grafika
- "To'g'ridan-to'g'ri elektr toki" taqdimoti "O'tkazgichlarning ketma-ket va parallel ulanishi" mavzusidagi fizika darsi uchun taqdimot (8-sinf)
- Birlamchi kalitlarni kasr sonli ma'lumotlar turlarini yaratish
Reklama
Tarmoq hujumlari va himoya qilishning Snmp protokoli usullari. SNMP protokoli |
MAZMUNI Ko'rib chiqish uchun fragment 3-rasm - SoftPerfectNetworkScanner yordam dasturining ekran shakli Yamoqlar ishlab chiqaruvchilari tarmoq qurilmalari Ular tizimda zaifliklar aniqlanganda zarur bo'lgan yamoqlarni ishlab chiqadilar. Shuning uchun, agar siz tarmog'ingizda SNMP-ni qo'llab-quvvatlaydigan qurilmalarni topsangiz, ushbu qurilmalarning ishlab chiqaruvchilari bilan bog'lanib, ular kerakli yamoqlarni ishlab chiqqan yoki yo'qligini bilish tavsiya etiladi.SNMP xizmatini o'chirib qo'yish Ko'pgina mutaxassislar, agar SNMP xizmati ishlamasa, deb ishonishadi. kerak emas, uni o'chirib qo'yish yoki olib tashlash kerak. Bu erda Windows operatsion tizimida SNMP xizmatini o'chirish algoritmi: Ishga tushirish menyusini tanlang - Boshqarish paneli - Ma'muriy asboblar - Xizmatlar (4-rasmga qarang). SNMP xizmatini tanlash. Agar xizmat ishlayotgan bo'lsa, "To'xtatish" tugmasini bosing va keyin "Ishga tushirish turi" - "O'chirilgan" ni tanlang.4-rasm - SNMP xizmatini o'chirish Shuni ta'kidlash kerakki, ba'zi potentsial zaif mahsulotlar DoS hujumlariga sezgir bo'lib qolmoqda yoki SNMP o'chirilgan bo'lsa ham tarmoq barqarorligini buzadigan boshqa harakatlar.Kirishni filtrlash Kirish filtri UDP 161 va 162 portlarida kirish filtrlashni amalga oshirish uchun xavfsizlik devorlari va marshrutizatorlarni sozlashga asoslanadi. tashqi tarmoq zaif qurilmalarga hujumlar mahalliy tarmoq. SNMP bilan bog'liq xizmatlarni qo'llab-quvvatlaydigan boshqa portlar, jumladan, TCP va UDP portlari 161, 162, 199, 391, 750 va 1993 ham kirishni filtrlashni talab qilishi mumkin Chiqish filtrlash Samarali himoya qilish uchun chiqish filtri tarmoqdan chiqadigan trafikni boshqarish uchun amalga oshirilishi mumkin. Tarmoq chetidagi 161 va 162-sonli UDP portlarida chiquvchi trafikni filtrlash tizimingizdan hujum uchun tramplin sifatida foydalanishni oldini olishi mumkin. Bosqinlarni aniqlash va oldini olish tizimlari Bosqinlarni aniqlash tizimi (IDS) bu hodisalarni aniqlaydigan dasturiy taʼminot yoki apparatdir. kompyuter tizimi yoki tarmoqqa ruxsatsiz kirish (buzilish yoki tarmoq hujumi) IDSsiz tarmoq xavfsizligi infratuzilmasini tasavvur qilib bo'lmaydi. Qoidalarga asoslangan xavfsizlik devorlarini to'ldiruvchi IDS shubhali faoliyatni kuzatib boradi va kuzatadi. Ular orqaga kirgan tajovuzkorlarni aniqlashga imkon beradi xavfsizlik devori, va bu haqda ma'murga xabar bering, u xavfsizlikni ta'minlash uchun kerakli qarorni qabul qiladi. Bosqinlarni aniqlash usullari tizimning to‘liq xavfsizligini kafolatlamaydi.IDS dan foydalanish natijasida quyidagi maqsadlarga erishiladi: tarmoq hujumi yoki bosqinini aniqlash, kelgusidagi ehtimoliy hujumlar haqida prognoz qilish va aniqlash zaif tomonlar ulardan foydalanishni oldini olish uchun tizimlar. Ko'p hollarda tajovuzkor tayyorgarlik bosqichini amalga oshiradi, masalan, tarmoqni tekshirish (skanerlash) yoki tizim zaifliklarini aniqlash uchun uni boshqa yo'l bilan sinab ko'rish; ma'lum tahdidlarni hujjatlashtirish; xavfsizlik nuqtai nazaridan amalga oshirilgan boshqaruv sifatini kuzatish, ayniqsa katta va murakkab tarmoqlarda ;buzilishga olib kelgan omillarni tiklash va tuzatish uchun sodir bo'lgan tajovuzlar haqida qimmatli ma'lumotlarni olish; tashqi tarmoq (tashqi yoki ichki hujumlar) nuqtai nazaridan hujum manbasining joylashishini aniqlash, bu sizga imkon beradi. tarmoq tugunlarini joylashtirishda to‘g‘ri qaror qabul qilish.Umuman olganda, IDS quyidagilarni o‘z ichiga oladi: himoyalangan tarmoq yoki tizim xavfsizligi bilan bog‘liq hodisalar haqida ma’lumot to‘playdigan quyi tizim kuzatuvi; shubhali harakatlar va tarmoq hujumlarini aniqlaydigan tahlil quyi tizimi; saqlash, asosiy voqealar va tahlil natijalarini saqlaydigan, IDSni sozlash, himoyalangan tizim va IDS holatini kuzatish, tahlil quyi tizimi tomonidan aniqlangan vaziyatlarni oʻrganish uchun boshqaruv konsoli.. Xulosa qilib aytganda, mashhur SNMP protokolining soddaligi zaiflikning oshishiga olib kelishini taʼkidlaymiz. . SNMP juda keng qo'llanilganligi sababli, zaif mahsulotlar bilan ishlaydigan tarmoqlar halokatli oqibatlarga olib kelishi mumkin. Shuning uchun, SNMP protokolidan samarali foydalanish uchun siz foydalanishingiz kerak turli yo'llar bilan hujumlarning oldini olish va keng qamrovli himoya tizimini yaratish.XULOSA Tadqiqot SNMP protokoli orqali tarmoq o'zaro ta'sirini tashkil qilish xavfsizligini ta'minlash masalalariga bag'ishlangan. Ish jarayonida nomli protokolning xususiyatlari aniqlandi va mumkin bo'lgan muammolar uning ishlatilishi. Muammoni asoslash uchun tarmoq hujumlarining yuqori ehtimolini tasdiqlovchi statistik ma'lumotlar taqdim etiladi. Bundan tashqari, nazariy qismda bayonnomaning tuzilishi, so'rov/javob sxemasi va so'rovlarga javob olish bosqichlari haqida ma'lumotlar mavjud. kurs ishi SNMP protokoliga mumkin bo'lgan hujumlar tahlili o'tkazildi, ular orasida Dos hujumlari, Buffer Overflow hujumlari va format qatoridagi zaifliklardan foydalanadiganlar bor. Albatta, yana ko‘plab potentsial tahdidlar bor, lekin ularni ko‘rib chiqish chuqurroq va har tomonlama o‘rganishni talab qiladi.Tarmoq abonentlarining tarmoq o‘zaro ta’sirini himoya qilish tizimini yaratish uchun SNMP protokoliga hujumlarning oldini olish usullari ko‘rib chiqildi va qayd etildi. vositalar to‘plamidan foydalanish samarali bo‘lishi aniqlandi.Tahlil natijalariga ko‘ra, SNMP protokoli ancha zaif ekanligi va agar undan foydalanish to‘g‘risida qaror qabul qilinsa, xavfsizlik siyosatini ishlab chiqish va uning barcha tamoyillarini ishlab chiqish zarurligi aniqlandi. rioya qilingan.Shunday qilib, maqsadga erishildi va kirish qismida belgilangan vazifalar hal etildi, deb xulosa qilish mumkin.FOYDALANILGAN MANBALAR RO‘YXATI Normativ-huquqiy hujjatlar. federal qonun Rossiya Federatsiyasi 2006 yil 27 iyuldagi N 149-FZ Ma'lumot to'g'risida, axborot texnologiyalari va axborotni muhofaza qilish bo'yicha maxsus va ilmiy adabiyotlar ro'yxati Blank-Edelman D. Perl uchun tizim boshqaruvi, M.: ramz-Plyus, 2009.- 478 b. Borodakiy V.Yu. MSS OGV asosida xavfsiz axborot va hisoblash bulutini yaratish amaliyoti va istiqbollari / V.Yu. Borodakiy, A.Yu. Dobrodeev, P.A. Nashchekin // Davlat xavfsizligi, maxsus aloqa va maxsus texnologik tizimlarni rivojlantirishning dolzarb muammolari axborotni qo'llab-quvvatlash: VIII Butunrossiya idoralararo Ilmiy konferensiya: materiallar va hisobotlar (Orel, 2013 yil 13-14 fevral). – Soat 10 da 4-qism / Umuman tahrir. V.V. Mizerova. – Orel: Rossiya Federal xavfsizlik xizmati akademiyasi, 2013. Grishina N.V. tashkiloti integratsiyalashgan tizim axborotni himoya qilish. - M.: Helios ARV, 2009. - 256 p., Duglas R. Mauro SNMP asoslari, 2-nashr / Duglas R. Mauro, Kevin J. Shmidt - M.: Symbol-Plus, 2012. - 725 p. Kulgin M.V. Kompyuter tarmoqlari. Qurilish amaliyoti. Professionallar uchun, Sankt-Peterburg: Peter, 2003.-462 pp. Mulyukha V.A. Kompyuter axborotini himoya qilish usullari va vositalari. Xavfsizlik devori: Darslik / Mulyukha V.A., Novopashenny A.G., Podgurskiy Yu.E. - Sankt-Peterburg: SPbSPU nashriyoti, 2010. - 91 bet Olifer V. G., Olifer N. P. Kompyuter tarmoqlari. Printsiplar, texnologiyalar, protokollar. - 4-chi. - Sankt-Peterburg: Pyotr, 2010. -902 p. Mahalliy kommutatsiya va marshrutlash texnologiyalari kompyuter tarmoqlari: darslik / Smirnova E. V. va boshqalar; ed. A.V. Proletarskiy. – M.: MSTU im. nashriyoti. N.E. Bauman, 2013. – 389 b. Flenov M. Linux xaker nigohida, Sankt-Peterburg: BHV-Sankt-Peterburg, 2005. – 544 b. Xoreev P.V. Axborotni himoya qilish usullari va vositalari kompyuter tizimlari. - M.: nashriyot markazi "Akademiya", 2005. -205 b. Xoroshko V. A., Chekatkov A. A. Axborot xavfsizligini ta'minlash usullari va vositalari, K.: Junior, 2003. - 504 b. Internet manbalariIDS/IPS - Tizimlarni aniqlash va kirishni oldini olish. [Elektron resurs] URL: http://netconfig.ru/server/ids-ips/.2014-yilda Internet tahdidlari tahlili. DDoS hujumlari. Veb-saytlarni buzish [Elektron resurs]. URL: http://onsec.ru/resources/Internet%20threats%20in%202014.%20Overview%20by%20Qrator-Wallarm.pdf Kolischak A. Format qatori zaifligi [Elektron resurs]. URL: https://securityvulns.ru/articles/fsbug.aspFirst Mile, № 04, 2013 [Elektron resurs]. URL: http://www.lastmile.su/journal/article/3823 SNMP standartlari oilasi [Elektron resurs]. URL: https://ru.wikibooks.org/wiki /SNMP_standards_familyXorijiy adabiyotlar"CERT Advisory CA-2002-03: Simple Network Management Protocol (SNMP) ning ko'plab ilovalarida bir nechta zaifliklar", 12 fevral. 2002, (hozirgi 2002 yil 11 mart) FOYDALANILGAN MANBALAR RO'YXATI E'lon qilingan http:// www. eng yaxshisi. ru/ E'lon qilingan http:// www. eng yaxshisi. ru/ OSI modelining tarmoq sathida tarmoqqa hujum qilish usullari va qarshi choralar haqida umumiy ma'lumot KIRISH Troyan virusli tarmoq hujumlari Har qanday ma'lumot uchta asosiy xususiyatga ega: · Maxfiylik. · Yaxlitlik. · Mavjudligi. Ushbu xususiyatlarning har birini tushuntiring. Maxfiy ma'lumotlar - jismoniy yoki yuridik shaxslarning egaligida, foydalanishida yoki tasarrufida bo'lgan va ularning so'roviga ko'ra, uning shartlari va shartlariga muvofiq tarqatiladigan ma'lumotlar. Axborot yaxlitligi (ma'lumotlar yaxlitligi) informatika va telekommunikatsiya nazariyasidagi atama bo'lib, ma'lumotlarning to'liqligini, ma'lumotlarning uzatish, saqlash yoki taqdim etish bo'lishidan qat'iy nazar, ulardagi biron bir operatsiya bilan o'zgartirilmaganligini anglatadi. Axborotning mavjudligi - axborot holati (avtomatlashtirilgan resurslar axborot tizimi), kirish huquqiga ega bo'lgan sub'ektlar ulardan erkin foydalanishlari mumkin. Kirish huquqlari: ma'lumotlarni o'qish, o'zgartirish, nusxalash, yo'q qilish huquqi, shuningdek resurslarni o'zgartirish, foydalanish, yo'q qilish huquqi. Axborotni himoya qilishning uchta asosiy usuli mavjud bo'lib, ularning ahamiyati bo'yicha sanab o'tilgan: · Axborotni muhofaza qilishning tashkiliy usullari. Tashkiliy axborotni himoya qilish - bu "yadro" deb ataladigan tashkiliy tamoyil umumiy tizim himoya qilish maxfiy ma'lumotlar korxonalar. Umuman olganda, axborot xavfsizligi tizimining samaradorligi korxona rahbariyati va mansabdor shaxslar tomonidan tashkiliy vazifalarni hal qilishning to'liqligi va sifatiga bog'liq. Korxonaning maxfiy ma'lumotlarini himoya qilishga qaratilgan chora-tadbirlarning umumiy tizimida tashkiliy axborotni muhofaza qilishning o'rni va o'rni rahbariyatning kuchlari, vositalari, usullari va usullarini hisobga olgan holda o'z vaqtida va to'g'ri boshqaruv qarorlarini qabul qilishning alohida ahamiyati bilan belgilanadi. ixtiyoridagi va amaldagi me'yoriy-huquqiy baza asosida axborotni muhofaza qilish.uslubiy apparat. · Axborotni himoya qilishning texnik usullari. Ushbu usullar qurilmalar va mavjudligini talab qiladi texnik vositalar axborotni qayta ishlash, axborotni himoya qilish va nazorat qilishni ta'minlaydigan maxsus texnik echimlar vositalari. Bundan tashqari, axborotni himoya qilish usullari, ya'ni kirishni boshqarish va ma'lumotlardan ruxsatsiz foydalanishni istisno qilishni ta'minlaydigan algoritmlar va dasturlar to'plami. Ushbu maqola OSI modelining protokollaridan biri bo'lgan SNMP protokoliga (Simple Network Management Protocol) bag'ishlangan bo'lib, u RU-net bo'shliqlari hujjatlarida deyarli ko'rsatilmagan. Muallif ushbu bo'shliqni o'quvchiga fikr yuritish va siz uchun yangi bo'lgan masala bo'yicha o'z-o'zini takomillashtirish uchun zamin yaratish orqali to'ldirishga harakat qildi. Ushbu hujjat "ishlab chiquvchi uchun hujjat" deb da'vo qilmaydi, balki shunchaki muallifning iloji boricha ushbu protokol bilan ishlash aspektlarini ta'kidlash, uning zaif tomonlarini, "xavfsizlik" tizimidagi zaif tomonlarini, ko'zlangan maqsadlarni ko'rsatish istagini aks ettiradi. yaratuvchilar tomonidan va uning maqsadini tushuntiring. Maqsad SNMP protokoli tarmoq marshrutizatorlari va ko'priklarining ishlashini sinash uchun ishlab chiqilgan. Keyinchalik, protokol doirasi hublar, shlyuzlar, terminal serverlari, LAN Manager serverlari, kompyuterlar kabi boshqa tarmoq qurilmalarini qamrab oldi. Windows boshqaruvi NT va boshqalar. Bundan tashqari, protokol ushbu qurilmalarning ishlashiga o'zgartirishlar kiritish imkoniyatini beradi. Nazariya Protokolning asosiy o'zaro ta'sir qiluvchi tomonlari agentlar va boshqaruv tizimlaridir. Agar biz ushbu ikkita tushunchani "mijoz-server" tilida ko'rib chiqsak, server rolini agentlar bajaradi, ya'ni biz ko'rib chiqayotgan protokol ishlab chiqilgan holatni so'rov qilish uchun qurilmalar. Shunga ko'ra, mijozlarning roli agentlarning ishlashi to'g'risida ma'lumot to'plash uchun zarur bo'lgan tarmoq ilovalari - boshqaruv tizimlariga beriladi. Ushbu ikkita sub'ektdan tashqari, protokol modelida yana ikkitasini ajratib ko'rsatish mumkin: boshqaruv ma'lumotlari va ma'lumotlar almashinuvi protokolining o'zi. "Nima uchun uskunani umuman so'rashingiz kerak?" - deb so'rayapsiz. Men bu masalani biroz yoritishga harakat qilaman. Ba'zan tarmoqning ishlashi paytida ma'lum bir qurilmaning ma'lum parametrlarini aniqlash kerak bo'ladi, masalan, MTU hajmi, qabul qilingan paketlar soni, ochiq portlar, mashinada o'rnatilgan operatsion tizim va uning versiyasi, mashinada yo'naltirish opsiyasi yoqilganligini va boshqa ko'p narsalarni bilib oling. SNMP mijozlari buni qilishning eng yaxshi usuli hisoblanadi. Yuqoridagilarga qo'shimcha ravishda, ko'rib chiqilayotgan protokol yana bir muhim xususiyatga ega, ya'ni agentlar haqidagi ma'lumotlarni o'zgartirish imkoniyati. Albatta, har qanday parametrni o'zgartirishga ruxsat berish ahmoqlik bo'lardi, ammo shunga qaramay, yozish operatsiyasiga ruxsat berilgan parametrlar soni shunchaki qo'rqinchli. Bir qarashda, bu tarmoq xavfsizligining butun nazariyasini butunlay rad etadi, ammo agar siz masalani chuqurroq o'rgansangiz, hamma narsa birinchi qarashda ko'rinadigan darajada e'tibordan chetda emasligi ayon bo'ladi. — Bo‘rilardan qo‘rqsangiz, o‘rmonga kirmang. Axir, tarmoq administratoridan ozgina harakat bilan, muvaffaqiyatli hujum xavfi minimal darajaga tushirilishi mumkin. Ammo bu jihatni keyinroq muhokama qilamiz. Keling, boshqaruv tizimi SNMP chuqurligidan qanday ma'lumotlarni to'plashi mumkinligi haqida to'xtalib o'tamiz. Agent tizimining ob'ektlari to'g'risidagi barcha ma'lumotlar MIB (boshqaruv ma'lumotlar bazasi) deb nomlanadi, boshqacha aytganda, MIB tuzilishi va tuzilishiga qarab har bir aniq mijoz uchun yozish va o'qish operatsiyalari uchun mavjud bo'lgan ob'ektlar to'plamidir. mijozning o'zi maqsadi. Axir, terminal serveridan tushirilgan paketlar sonini so'rashning ma'nosi yo'q, chunki bu ma'lumotlar yo'riqnoma uchun ma'mur haqidagi ma'lumot kabi uning ishlashiga hech qanday aloqasi yo'q. Shuning uchun, nazorat qilish tizimi aniq nimani va kimdan so'rashni tushunishi kerak. Hozirda to'rtta MIB mavjud:
Barcha MIB nomlari ierarxik tuzilishga ega. O'nta ildiz taxalluslari mavjud:
Keling, ularning har birini pastga qarab o'sadigan daraxt sifatida tasavvur qilaylik (tizim DNS tashkilotini og'riqli tarzda eslatadi). Misol uchun, administrator manziliga quyidagi yo'l orqali kirishimiz mumkin: system.sysContact.0, tizimning ishlash vaqti system.sysUpTime.0, tizim tavsifi (versiya, yadro va OT haqidagi boshqa ma'lumotlar): system.sysDescr.0. Boshqa tomondan, xuddi shu ma'lumotlar nuqta belgilarida ko'rsatilishi mumkin. Shunday qilib, system.sysUpTime.0 1.3.0 qiymatiga mos keladi, chunki tizim MIB II guruhlarida "1" indeksiga ega, sysUpTime esa tizim guruhi ierarxiyasida 3 indeksiga ega. Yo'l oxiridagi nol saqlangan ma'lumotlarning skaler turini ko'rsatadi. ga havola to'liq ro'yxat(256 MIB II ob'ekti) Siz uni maqolaning oxirida "Ilova" bo'limida topishingiz mumkin. Ishlash jarayonida ob'ektlarning ramziy nomlaridan foydalanilmaydi, ya'ni menejer agentdan system.sysDescr.0 parametrining mazmunini so'rasa, so'rovlar qatorida ob'ektga havola "1.1.0" ga o'zgartiriladi. ” va “xuddi shunday” uzatilmaydi. Keyinchalik biz BULK so'rovini ko'rib chiqamiz va keyin nima uchun bu juda muhimligi aniq bo'ladi. Shu bilan biz MIB II tuzilmasining umumiy ko'rinishini yakunlaymiz va bevosita menejerlar (nazorat tizimlari) va agentlarning o'zaro ta'siri tavsifiga o'tamiz. SNMP da mijoz so'rov-javob asosida server bilan bog'lanadi. Agentning o'zi uzilish tuzog'i deb ataladigan faqat bitta harakatni boshlashga qodir (ba'zi adabiyotlarda "tuzoq" tuzoqdir). Bundan tashqari, agentlarning barcha harakatlari menejerlar tomonidan yuborilgan so'rovlarga javob berishdan iborat. Menejerlarda ijodkorlik uchun ko'proq joy bor, ular to'rt turdagi so'rovlarni bajarishga qodir:
Bundan tashqari, menejerlar o'zlarining mahalliy MIBlari haqida bir-birlari bilan ma'lumot almashishlari mumkin. Ushbu turdagi so'rov InformRequest deb ataladi. Men barcha turdagi so'rovlar uchun raqamli konstantalarning qiymatlarini beraman: #SNMP_MSG_GETni aniqlang (ASN_CONTEXT | ASN_CONSTRUCTOR | 0x0) Bu erda biz yana bir qiziqarli tafsilotga duch kelamiz, chunki tuzoq uchun 2 ta raqamli konstanta mavjud. Aslida, SNMP protokolining ikkita asosiy versiyasi mavjud (v1 va v2) va eng muhimi, ular mos kelmaydi (aslida, yana ko'p versiyalar mavjud - SNMP v2(p | c | u) va boshqalar, lekin bu o'zgarishlarning barchasi juda kichik, chunki, masalan, md5 qo'llab-quvvatlashini joriy etish va boshqalar). SNMP monitoring va diagnostika protokoli bo'lib, shuning uchun u marshrutlarning yaxlitligi buzilgan holatlar uchun mo'ljallangan, bundan tashqari, bunday vaziyatda uskunalar nuqtai nazaridan imkon qadar kamroq talab qilinadigan transport protokoli talab qilinadi. Shuning uchun tanlov UDP yo'nalishida qilingan. Ammo bu boshqa hech qanday protokol SNMP paketlarini olib yurolmaydi degani emas. Bu IPX protokoli bo'lishi mumkin (masalan, NetWare tarmoqlarida); Ethernet kartalari va ATM hujayralari ham transport sifatida ishlatilishi mumkin. O'ziga xos xususiyat Ko'rib chiqilayotgan protokol shundan iboratki, ma'lumotlarni uzatish aloqa o'rnatmasdan amalga oshiriladi. Aytaylik, menejer turli agentlarga bir nechta paketlarni yubordi, keyin boshqaruv tizimi kiruvchi paketlarning qaysi biri 1 va 2-agentga tegishli ekanligini qanday aniqlashi mumkin? Buning uchun har bir paketga ma'lum bir ID - raqamli qiymat beriladi. Agent menejerdan so'rovni qabul qilganda, u javob ishlab chiqaradi va paketga so'rovdan olingan ID qiymatini kiritadi (uni o'zgartirmasdan). SNMPdagi asosiy tushunchalardan biri bu guruh tushunchasidir. Menejerni avtorizatsiya qilish tartibi - bu agent tomonidan saqlanadigan ro'yxatdagi ma'lum bir guruhga tegishli yoki yo'qligini tekshirish uchun oddiy tekshirish. Agar agent o'z ro'yxatida menejer guruhlarini topmasa, ularning keyingi o'zaro ta'siri mumkin emas. Bundan oldin biz SNMP ning birinchi va ikkinchi versiyalari bilan bir necha bor duch kelganmiz. Keling, ularning orasidagi farqga e'tibor beraylik. Avvalo, shuni ta'kidlaymizki, SNMP v2 trafikni shifrlashni qo'llab-quvvatlaydi, buning uchun amalga oshirilishiga qarab DES va MD5 algoritmlari qo'llaniladi. Bu ma'lumotlarni uzatishda eng muhim ma'lumotlarni, shu jumladan tarmoq guruhlari haqida ma'lumotni hidlash orqali olish mumkin emasligiga olib keladi. Bularning barchasi trafikning ko'payishiga va paketlar tuzilishining murakkablashishiga olib keldi. O'z-o'zidan, hozirda v2 deyarli hech qaerda ishlatilmaydi. Windows NT mashinalari SNMP v1 dan foydalanadi. Shunday qilib, biz asta-sekin maqolaning eng qiziqarli qismiga, ya'ni Xavfsizlik masalalariga o'tmoqdamiz. Keling, bu haqda gaplashaylik ... Amaliyot va xavfsizlik Hozirgi vaqtda tarmoq xavfsizligi masalalari, ayniqsa, ma'lumotlarni uzatish protokollari haqida gap ketganda, ayniqsa muhim ahamiyatga ega korporativ tarmoqlar. SNMP v1/v2 bilan yuzaki tanishgandan so'ng ham, protokolni ishlab chiquvchilar bu haqda oxirgi marta o'ylashgan yoki ular loyiha uchun qat'iy muddatlarga rioya qilganliklari aniq bo'ladi -). Ko'rinishidan, protokol "ishonchli xostlar" deb ataladigan muhitda ishlashga mo'ljallangan. Keling, qandaydir virtual shaxsni tasavvur qilaylik. Egasi foyda olish niyatida bo'lgan yoki ma'lum bir tarmoqning ishlashini buzish orqali ma'murni bezovta qiladigan shaxs, aniqrog'i ma'lum bir IP-manzil. Keling, bu odamning o'rnini egallasak. Biz bu fikrni ikki nuqtaga qisqartiramiz:
Keling, "amaliy mashqlar" ga o'tamiz. Sizga nima kerak bo'lishi mumkin? Birinchidan, dasturiy ta'minot. dan olish mumkin. Men Linux OS uchun misollar keltiraman, lekin buyruq sintaksisi Windows dasturiga o'xshaydi. Paketni o'rnatish standart hisoblanadi: gunzip udc-snmp-3.5.3.tar.gz Demonni ishga tushirish (agent) O'rnatishdan so'ng siz uchun quyidagi dasturlar mavjud: snmpget Keling, yuqorida tavsiflangan operatsiyalar amalda qanday ko'rinishini ko'rib chiqaylik. GetRequest so'rovi xuddi shu nomdagi snmpget dasturi tomonidan amalga oshiriladi Kerakli ma'lumotlarni olish uchun quyidagi buyruqni bajaring: root@darkstar:~# snmpget 10.0.0.2 public system.sysDescr.0 Server bizga vijdonan aytadi: system.sysDescr.0 = Uskuna: x86 Family 6 Model 5 Stepping 0 AT/AT MOSYON - Dasturiy ta'minot: Windows NT Version 4.0 (Yaratish raqami: 1381 Uniprocessor Free) (bu juda mazmunli emasmi) yoki system.sysDescr.0 = Linux darkstar 2.4.5 №1 SMP 17-avgust, juma, 09:42:17 EEST 2001 i586 Xuddi kirish uchun qo'llanma kabi. Aytaylik, biz agent sozlamalarida biror narsani o'zgartirmoqchimiz. Keling, quyidagi operatsiyani bajaramiz: root@darkstar:~# snmpset 10.0.0.2 public system.sysContact.0 s [elektron pochta himoyalangan] va biz javob olamiz: system.sysContact.0 = [elektron pochta himoyalangan] Atributlarga ega MIB II obyektlari roʻyxati bilan “Ilova”da keltirilgan havola orqali tanishish mumkin. Menimcha, SNMP ga qarash vaqti keldi paket darajasi. Ushbu paket NetXRay sniffer tomonidan agentning tarmoq interfeysida ushlangan: Ko'rib turganimizdek, amaliyot nazariyadan uzoq emas. Biz so'rov identifikatori va so'rov parametrlarini kuzatamiz. To'liq skrinshotda siz protokollar to'plamini ko'rishingiz mumkin - Ethernet ramkalaridan UDP orqali biz oddiy tarmoqni boshqarish protokolining o'ziga erishamiz: Va bu paket menejer interfeysidan olingan: Ko'rib turganingizdek, guruh nomi mutlaqo shifrlanmagan (bu o'z navbatida Protokol versiyasi raqami bilan ko'rsatilgan: 1). Shuni ta'kidlashni istardimki, protokol spetsifikatsiyasiga ko'ra, SNMP paketlari aniq belgilangan uzunlikka ega emas. UDP xabarining uzunligiga teng, 65507 baytga teng yuqori chegara mavjud, o'z navbatida, protokolning o'zi boshqa maksimal qiymatni qo'yadi - atigi 484 bayt. O'z navbatida, paket sarlavhasining uzunligi (headerLength) o'rnatilgan qiymatga ega emas. Xo'sh, biz SNMP protokoli bilan umumiy ma'noda tanishdik. Yuqoridagilarga yana nimalarni qo'shish mumkin... Tarmoq xavfsizligi muammolari xavfini kamaytirish maqsadida tarmoq ma'murlariga faqat bir-ikki maslahat berishimiz mumkin... Avvalo, xavfsizlik devorini o'rnatishga tegishli e'tibor berish kerak. Ikkinchidan, standart guruh nomlarini o'zgartiring. Agentlar so'raladigan mashinalar (menejerlar) manzillarini qat'iy belgilash maqsadga muvofiq bo'lar edi. Menimcha, ushbu maqola shu erda tugashi mumkin. Men sizni qiziqtirganiga ishonishni istardim. Protokol SNMP(Simple Network Management Protocol) tarmoq qurilmalarini boshqarishda administrator ishini engillashtirish uchun mo'ljallangan. Biroq, SNMP 1-versiya (SNMPv1) bilan bog'liq katta muammo har doim protokolni qo'llab-quvvatlash vositalarini ishga tushiradigan xostning mutlaq ishonchsizligi bo'lib kelgan. Asl versiyada kirish satrlari deb ataladigan maxsus parollardan foydalanishga asoslangan faqat bitta xavfsizlik mexanizmi ishlatilgan ( jamoa qatori). Xavfsizlikning zaif tomonlari haqidagi shikoyatlarga javoban SNMP (SNMFV2) ning ancha takomillashtirilgan versiyasi tezda ishlab chiqildi. Ushbu versiya SNMP serverlari va mijozlar o'rtasida yuborilgan xabarlarni autentifikatsiya qilish uchun MD5 xesh algoritmidan foydalanadi. Bu sizga uzatilgan ma'lumotlarning yaxlitligini va uning haqiqiyligini tekshirish imkoniyatini ta'minlash imkonini beradi. Bundan tashqari, SNMPv2 uzatilgan ma'lumotlarni shifrlash imkonini beradi. Bu tajovuzkorlarning tarmoq trafigini tinglash va kirish satrlarini olish qobiliyatini cheklaydi. Biroq, shu bilan birga, ma'murlarga routerlarda oddiy parollardan foydalanishga hech narsa to'sqinlik qilmaydi. SNMP protokolining uchinchi versiyasi (SNMPv3) joriy standart bo'lib, qurilma xavfsizligining zarur darajasini ta'minlaydi, ammo uni qabul qilish biroz vaqtga kechiktirilishi mumkin. uzoq vaqt. Aksariyat qurilmalar hatto SNMPv2 emas, balki SNMPv1 bilan ishlayotganini ko'rish uchun odatiy tarmoqni o'rganish kifoya! Ko'proq batafsil ma'lumot SNMPv3 protokoli haqida http://www.ietf.org/html.charters/snmpv3-charter.html manzilida joylashgan. Biroq, SNMP protokolining hech bir versiyasi ma'murlarning ishlab chiquvchilar tomonidan taqdim etilgan kirish satrlaridan foydalanish qobiliyatini cheklamaydi. Qoida tariqasida, ular uchun taxmin qilish oson bo'lgan parollar o'rnatiladi, ular bunday masalalarga ozgina qiziqqan har bir kishiga yaxshi ma'lum. Eng yomoni shundaki, ko'pgina tashkilotlar o'zlarining xavfsizlik siyosatlarida SNMPni kam yoki umuman hisobga olmaydilar. Buning sababi SNMP UDP ning tepasida ishlashi (odatda protokollar stekida yo'q) yoki uning imkoniyatlaridan bir nechta ma'murlar xabardor bo'lishi mumkin. Qanday bo'lmasin, shuni ta'kidlash kerakki, SNMP protokolidan foydalanishda xavfsizlik muammolari ko'pincha ko'rinmaydi, bu ko'pincha xakerlarga tarmoqqa kirishga imkon beradi. Biroq, SNMP protokolining kamchiliklarini batafsil muhokama qilishga o'tishdan oldin, keling, u bilan bog'liq bo'lgan asosiy tushunchalar bilan qisqacha tanishib chiqamiz. Kirish satrlari ikkita turdan biri bo'lishi mumkin - faqat o'qish (o'qish turi) va o'qish va yozish (o'qish/yozish). Faqat o'qish uchun mo'ljallangan SNMP kirish satrlaridan foydalanganda siz faqat tizim tavsifi, TCP va UDP ulanishlari kabi qurilma konfiguratsiyasi ma'lumotlarini ko'rishingiz mumkin. tarmoq adapterlari va hokazo. O'qish va yozish ruxsatlarini ta'minlovchi kirish satrlari ma'murga (va, albatta, tajovuzkorga) qurilmaga ma'lumot yozish imkoniyatini beradi. Misol uchun, faqat bitta SNMP buyrug'i bilan administrator tizim aloqa ma'lumotlarini o'zgartirishi mumkin, snmpset 10.12.45.2 private.1.3.6.1.2.1.1 s Smith. Ascend routerlariOdatiy bo'lib, Ascend marshrutizatorlari umumiy kirish satrlari yordamida SNMP kirishini ta'minlaydi (o'qing - o'qing) Va yozish o'qish va yozish uchun - o'qish / yozish). SNMP o'qish va yozishga kirish bilan bog'liq xavfsizlik kamchiligi birinchi marta Network Associates tomonidan aniqlangan. Inc. Qarshi choralar: Ascend Routerlarni himoya qilishAscend routeringizdagi standart kirish satrlarini o'zgartirish uchun shunchaki menyu buyrug'idan foydalaning Ethernet › ModConflg › SNMP opsiyalari. Bay marshrutizatorlariBay NT routerlari o'qish va yozish uchun sukut bo'yicha foydalanuvchi tomonidan boshqariladigan SNMP kirishini ta'minlaydi. Ushbu xususiyatdan foydalanish uchun parolsiz standart foydalanuvchi nomidan foydalanib ko'ring. IN buyruq qatori router uchun buyruqni kiriting: Snmp aloqa turlarini ko'rsatish Bu buyruq mavjud kirish satrlarini ko'rish imkonini beradi. Sayt menejeri (menyu buyrug'i) yordamida har qanday foydalanuvchi xuddi shunday qilishi mumkin Protokollar › IP › SNMP › Jamiyatlar). Qarshi choralar: Bay Routerlarni himoya qilishDispetcherda Sayt menejeri, Bay Networks router dasturiga kiritilgan, menyu buyrug'ini tanlang Protokollar › IlP1 › SNMPoCommunities. Shundan so'ng, buyruqni tanlang Hamjamiyat › Hamjamiyatni tahrirlash va kirish satrlarini o'zgartiring. Qarshi choralar: SNMP himoyasiAgar siz SNMP-ga chekka xavfsizlik devori orqali bitta qurilmaga kirishga ruxsat bersangiz, lekin tarmoqdagi boshqa tugunlarga kirish uchun SNMP-dan foydalanishga shoshilinch ehtiyoj bo'lmasa, siz shunchaki ACL routerga tegishli cheklovlarni qo'shishingiz mumkin. Access-list 101 udp har qanday ek 161 jurnalini rad etadi! XULOSA KIRISH MAZMUNI FOYDALANILGAN MANBALAR RO'YXATI Kirish Ushbu maqola "" materialining mantiqiy davomi bo'lib, unda ushbu protokolning asosiy printsiplari berilgan. Ushbu ishning maqsadi Tahdidlar SNMP protokoli bilan bog'liq muammolar birinchi versiyada mexanizm paydo bo'lganida boshlangan
Keling, SNMP ning eng xavfsiz uchinchi versiyasini ko'rib chiqaylik SNMPv3 ga hujum
Shunday qilib, ma'lum bo'lishicha, hatto 3-versiya ham ba'zi turdagi hujumlarga nisbatan zaif. IN Bugungi kunga qadar eng keng tarqalgan muammolardan biri bu parollardir. 3com Switch 3300 (3Com SuperStack II) - shaxsiy Aytgancha, 16 oktyabr kuni bugtraq pochta ro'yxatida yangisi e'lon qilindi. Har kim uchun tizim administratori, ma'lumotlar bilan shug'ullanadi Tarmoqni kuzatadigan doimiy jarayonni ishga tushiring SNMP xizmatidan voz kechishlarni qayd etish albatta zarur Xullas, bu ishimda imkon qadar masalalarni yoritishga harakat qildim |
Mashhur:
Yangi
- Qozog'istonda onlayn kreditlar - eng yaxshi takliflar
- Mantiq algebra funksiyalarining superpozitsiyasi Monotonik mantiqiy funksiyalar
- Axborot tizimi nima?
- Mantiqiy ifodadan mantiqiy sxemaga o'tish va aksincha
- Nijniy Novgorod rus pochtasining sharmandaligi
- Geografik axborot tizimlarini ishlab chiqish GISning asosiy vazifalari
- Vektor va rastr grafika
- "To'g'ridan-to'g'ri elektr toki" taqdimoti "O'tkazgichlarning ketma-ket va parallel ulanishi" mavzusidagi fizika darsi uchun taqdimot (8-sinf)
- Birlamchi kalitlarni kasr sonli ma'lumotlar turlarini yaratish
- 1c chakana savdoda tovarlarni taqqoslash 8