Μέθοδοι πρωτοκόλλου Snmp για επιθέσεις και άμυνες δικτύου. SNMP - ένα βολικό πρωτόκολλο ή μια απειλή για ένα εταιρικό δίκτυο. Μοντέλο διαχείρισης SNMP

SNMPείναι ένα πρωτόκολλο σε επίπεδο εφαρμογής σχεδιασμένο για τη στοίβα TCP/IP, αν και υπάρχουν υλοποιήσεις για άλλες στοίβες, όπως το IPX/SPX. Το πρωτόκολλο SNMP χρησιμοποιείται για τη λήψη πληροφοριών από συσκευές δικτύου σχετικά με την κατάσταση, τις επιδόσεις και άλλα χαρακτηριστικά τους, τα οποία είναι αποθηκευμένα στη Βάση Πληροφοριών Διαχείρισης (MIB). Η απλότητα του SNMP οφείλεται σε μεγάλο βαθμό στην απλότητα των MIB SNMP, ειδικά των πρώτων εκδόσεων τους, MIB I και MIB II. Επιπλέον, το ίδιο το πρωτόκολλο SNMP είναι επίσης πολύ απλό.

Ένας πράκτορας στο πρωτόκολλο SNMP είναι ένα στοιχείο επεξεργασίας που παρέχει στους διαχειριστές που βρίσκονται σε σταθμούς διαχείρισης δικτύου πρόσβαση στις τιμές των μεταβλητών MIB και έτσι τους επιτρέπει να υλοποιούν λειτουργίες για τη διαχείριση και την παρακολούθηση της συσκευής.

Οι κύριες λειτουργίες διαχείρισης εκτελούνται στον διαχειριστή και ο πράκτορας SNMP παίζει συχνότερα έναν παθητικό ρόλο, μεταφέροντας τις τιμές των συσσωρευμένων στατιστικών μεταβλητών στον διαχειριστή κατόπιν αιτήματός του. Σε αυτή την περίπτωση, η συσκευή λειτουργεί με ελάχιστη επιβάρυνση για τη διατήρηση του πρωτοκόλλου ελέγχου. Χρησιμοποιεί σχεδόν όλη την επεξεργαστική ισχύ του για να εκτελέσει τις βασικές του λειτουργίες ως δρομολογητής, γέφυρα ή διανομέας και ο πράκτορας συλλέγει στατιστικά στοιχεία και τιμές μεταβλητών κατάστασης συσκευής και τις αναφέρει στον διαχειριστή του συστήματος διαχείρισης.

SNMP -αυτό είναι ένα πρωτόκολλο όπως "απαιτώ απάντηση", δηλαδή, για κάθε αίτημα που λαμβάνεται από τον διαχειριστή, ο πράκτορας πρέπει να στέλνει μια απάντηση. Ένα ιδιαίτερο χαρακτηριστικό του πρωτοκόλλου είναι η εξαιρετική του απλότητα - περιλαμβάνει μόνο μερικές εντολές.

Η εντολή Get-request χρησιμοποιείται από τον διαχειριστή για να λάβει από τον πράκτορα την τιμή ενός αντικειμένου με το όνομά του.

Η εντολή GetNext-request χρησιμοποιείται από τον διαχειριστή για να ανακτήσει την τιμή του επόμενου αντικειμένου (χωρίς να καθορίσει το όνομά του) σαρώνοντας διαδοχικά τον πίνακα αντικειμένων.

Χρησιμοποιώντας την εντολή Get-response, ο παράγοντας SNMP στέλνει στον διαχειριστή μια απάντηση στις εντολές Get-request ή GetNext-request.

Η εντολή Set χρησιμοποιείται από τον διαχειριστή για να αλλάξει την τιμή ενός αντικειμένου. Η εντολή Set χρησιμοποιείται για τον πραγματικό έλεγχο της συσκευής. Ο πράκτορας πρέπει να κατανοήσει την έννοια των τιμών του αντικειμένου που χρησιμοποιείται για τη διαχείριση της συσκευής και με βάση αυτές τις τιμές να εκτελέσει την πραγματική ενέργεια ελέγχου - απενεργοποιήστε τη θύρα, εκχωρήστε τη θύρα σε ένα συγκεκριμένο VLAN, κ.λπ. Η εντολή είναι επίσης κατάλληλη για τη ρύθμιση της συνθήκης υπό την οποία ο πράκτορας SNMP θα πρέπει να στείλει το αντίστοιχο μήνυμα στον διαχειριστή. Μπορούν να οριστούν αντιδράσεις σε συμβάντα όπως αρχικοποίηση πράκτορα, επανεκκίνηση πράκτορα, απώλεια σύνδεσης, αποκατάσταση σύνδεσης, λανθασμένος έλεγχος ταυτότητας και απώλεια του πλησιέστερου δρομολογητή. Εάν συμβεί κάποιο από αυτά τα συμβάντα, ο πράκτορας εκδίδει μια διακοπή.

Η εντολή Trap χρησιμοποιείται από τον πράκτορα για να ειδοποιήσει τον διαχειριστή ότι έχει συμβεί μια εξαίρεση.

Το SNMP v.2 προσθέτει την εντολή GetBulk σε αυτό το σύνολο, η οποία επιτρέπει στον διαχειριστή να αποκτήσει πολλαπλές τιμές μεταβλητών σε ένα αίτημα.

Σε συμφωνία με τους συντάκτες του περιοδικού, δημοσιεύω το άρθρο μου «Προστασία έναντι DDoS με χρήση αυτοσχέδιων μέσων Μέρος 3. Ενίσχυση SNMP» από το τεύχος 164-165 (Ιούλιος-Αύγουστος 2016) του περιοδικού «System Administrator».

Να συμβάλει στην προστασία του παγκόσμιου κυβερνοχώρου από DDoS , δεν είναι καθόλου απαραίτητο να αγοράσετε ακριβό εξοπλισμό ή υπηρεσίες. Οποιοσδήποτε διαχειριστής ενός διακομιστή προσβάσιμου από το Διαδίκτυο μπορεί να συμμετάσχει σε έναν τόσο ευγενή σκοπό χωρίς πρόσθετες υλικές επενδύσεις, χρησιμοποιώντας μόνο γνώση και λίγο χρόνο.

Ας εξετάσουμε επιθέσεις DDoS τύπου "ενίσχυσης" χρησιμοποιώντας την υπηρεσία SNMP

SNMP ενίσχυση

Η ουσία της επίθεσης είναι να ξεκινήσει μια πολλαπλά αυξημένη απάντηση SNMP αίτηση. Αρχικά σχεδιάστηκε για να αυτοματοποιεί την ανάκτηση δεδομένων σε πίνακα, ελαχιστοποιώντας παράλληλα τον αριθμό των πακέτων που αποστέλλονταιΟΓΚΟΣ- τα ερωτήματα έχουν γίνει ένα αρκετά αποτελεσματικό εργαλείο διεξαγωγής DDoS επιθέσεις στα χέρια των επιτιθέμενων. Όπως λέει RFC3416, GetBulkRequest, που υλοποιήθηκε στην έκδοση 2 του SNMP, έχει σχεδιαστεί για να μπορεί να ζητά μεγάλο όγκο δεδομένων, κάτι που εκμεταλλεύονται οι εισβολείς χρησιμοποιώντας εσφαλμένα διαμορφωμένους διακομιστές στο Διαδίκτυο.

Εάν ορίσετε τον μέγιστο αριθμό σειρών που επιστρέφονται σε έναν πίνακα σε 20000 και εκτελέσετε ένα ερώτημα σε έναν εσφαλμένο διακομιστή/συσκευή:

:~$ snmpbulkget -c public -v 2c -C r20000 192.168.10.129 1.3.6.1

η απάντηση θα είναι κάπως έτσι:

iso.3.6.1.2.1.1.1.0 = STRING: "SNMP4J-Agent - Windows 2003 - x86 - 5.2"

< Λείπουν 290 γραμμές>

iso.3.6.1.6.3.18.1.1.1.8.123.123.12.123.123.12.12.123.123.12.123.123.12 = Δεν έχουν απομείνει άλλες μεταβλητές σε αυτήν την προβολή MIB (Έχει περάσει το τέλος του δέντρου MIB)

Ταυτόχρονα, το tcpdump εκτελείται θα δείξει το μέγεθος του επιστρεφόμενου πακέτου:

21:41:18.185058 IP 192.168.10.128.39565 > 192.168.10.129.snmp: GetBulk(25) N=0 M=20000 .iso.org.dod.internet

21:41:18.603553 IP 192.168.10.129.snmp > 192.168.10.128.39565:

Σε απόκριση σε ένα αίτημα μεγέθους περίπου 70 byte, συμπεριλαμβανομένων των κεφαλίδων, ο διακομιστής επιστρέφει μια απάντηση μεγέθους περίπου 10 kilobyte, δηλαδή σχεδόν 150 φορές μεγαλύτερη. Το κέρδος δεν είναι σταθερό και μπορεί να πάρει είτε υψηλότερη (φτάνοντας τις 1700 φορές) είτε χαμηλότερη τιμή, ανάλογα με τον τύπο του λειτουργικού συστήματος και τις παραμέτρους διαμόρφωσης της συσκευής. Εάν, όταν υποβάλλετε ένα τέτοιο αίτημα, χρησιμοποιείτε πλαστογράφηση IP διευθύνσεις αποστολέα στη διεύθυνση του θύματος και υψηλή ένταση κλήσεων προς τον ευάλωτο διακομιστή -Η επίθεση DDoS είναι έτοιμη.

Αιτία

Η ουσία του προβλήματος είναι, κατά κανόνα, όχι στην ευπάθεια, όχι στον καθορισμό του αριθμού των τιμών που αποστέλλονται ανά GetBulkRequest, αλλά αυτό το νόημακοινότητα SNMP ορίζεται από προεπιλογή:δημόσιο – μόνο για ανάγνωση ή, ακόμα χειρότερα,ιδιωτική – ανάγνωση-εγγραφή. Πρωτόκολλο SNMP οι εκδόσεις 1 και 2 βασίζονται σε UDP χρησιμοποιείται για παρακολούθηση και έλεγχο,και χρησιμοποιεί την τιμή ως παράμετρο ελέγχου ταυτότητας για πρόσβαση σε διαχειριζόμενο εξοπλισμόκοινότητα, που μπορεί να ρυθμιστεί σε μόνο για ανάγνωση (μόνο για ανάγνωση ) ή με δυνατότητα εγγραφής (διαβάζω γράφω ). Συχνά σε συστήματα κατά την ενεργοποίηση της υπηρεσίας SNMP η προεπιλεγμένη τιμή έχει οριστεί -δημόσιογια ανάγνωση μόνο και ιδιωτικόςγια ανάγνωση-εγγραφή. Ακόμα κι αν αγνοήσουμε την πιθανότητα να χρησιμοποιήσουμε έναν εσφαλμένα διαμορφωμένο διακομιστή ως ανακλαστήρα για να εντείνουμε τις επιθέσεις SNMP τότε υπάρχει μια προφανής απειλή λήψης πληροφοριών σχετικά με τον διακομιστή, το λογισμικό που είναι εγκατεστημένο σε αυτόν και τις εκδόσεις του κατά τη χρήση της τιμήςδημόσιο προεπιλογή γιαμόνο για ανάγνωση. Σχεδόν απεριόριστη προνομιακή πρόσβαση με δικαιώματα διαχειριστή στη συσκευή δίνεικοινότητα ανάγνωσης-εγγραφής ιδιωτικός . Ακόμα κι αν δεν γίνουν κακόβουλες αλλαγές, εντατικά αιτήματα χρησιμοποιώντας το πρωτόκολλο SNMP μπορεί να προκαλέσει σημαντικό φορτίο στους υπολογιστικούς πόρους του διακομιστή που ελέγχεται, επηρεάζοντας έτσι την ποιότητα των υπηρεσιών που παρέχει.

ΠΡΟΣΤΑΣΙΑ

Ειδικά για SNMP Οι συστάσεις για τη διασφάλιση της ασφάλειας ενός διακομιστή ή ενός εξοπλισμού δικτύου μπορούν να χωριστούν στις ακόλουθες περιοχές:

1. Αρχιτεκτονικά: επιτρέπει την επεξεργασία αιτημάτων μόνο σε διεπαφές που δεν είναι προσβάσιμες από μη αξιόπιστα δίκτυα.

2. Αλλάξτε την κοινότητα σε κάτι πιο δύσκολο να μαντέψει κανείς.

3. Περιορισμός IP διευθύνσεις σταθμών ελέγχου.

4. Περιορισμός κλάδουΟ.Ι.Δ. διαθέσιμο για παραλαβή/αλλαγή από SNMP

5 . Ελαχιστοποίηση ή άρνηση χρήσηςκοινότητα για ανάγνωση και γραφή.

6. Μετάβαση σε SNMP έκδοση 3 χρησιμοποιώντας πρόσθετες επιλογές ελέγχου ταυτότητας και κρυπτογράφησης.

7. Απενεργοποιήστε το SNMP, αν δεν χρησιμοποιηθεί.

Πώς να εκτελέσετε αυτά τα βήματα σε διαφορετικά λειτουργικά συστήματα;

Στο αρχείο διαμόρφωσης υπηρεσίας snmp διαμορφώνονται οι ακόλουθες παράμετροι:

agentAddress udp:10.0.0.1:161#IP-αιτήματα λήψης διεύθυνσης, πρωτοκόλλου και θύραςSNMP

Αν το Unix ο διακομιστής είναι ουσιαστικά ένας δρομολογητής και αρχιτεκτονικά έχει πολλές διεπαφές για ασφάλεια, πρέπει να είναι προσβάσιμος μέσω SNMP μόνο μια διεπαφή προσβάσιμη από το αξιόπιστο τμήμα, αλλά όχι από το Διαδίκτυο. Ονομακοινότητα για πρόσβαση καθορίζεται από την παράμετρο rocommunity (μόνο για ανάγνωση) ή rwcommunity (read-write), είναι επίσης δυνατό να καθοριστεί το υποδίκτυο από το οποίο επιτρέπεται η πρόσβαση και ο κλάδοςΟ.Ι.Δ. διαθέσιμο για λειτουργία του καθορισμένου υποδικτύου με τα καθορισμένα δικαιώματα σειρώνκοινότητα. Για παράδειγμα, προκειμένου να επιτραπεί στα συστήματα παρακολούθησης από το υποδίκτυο 10.0.0.0/24 να έχουν πρόσβαση σε πληροφορίες σχετικά με τις διεπαφές ( OID 1.3.6.1.2.1.2 ), χρησιμοποιώντας τη συμβολοσειρά πρόσβασης MaKe_It_SeCuRe με δικαιώματα μόνο για ανάγνωση, το απόσπασμα διαμόρφωσης θα μοιάζει με αυτό:

rocommunity MaKe_It_SeCuRe10.0.0.0/24 .1.3.6.1.2.1.2

Σε ειδικές περιπτώσεις χρήσης διαφόρων Unix- συστήματα, η παραπάνω γραμμή μπορεί να έχει ελαφρώς τροποποιημένη σύνταξη λόγω της χρήσης άλλων παραμέτρων και της ιεραρχικής δομής των στοιχείων του αρχείου διαμόρφωσης. Μπορείτε να βρείτε μια λεπτομερή περιγραφή πληκτρολογώντας την εντολή

άνθρωπος snmpd.conf

Αλλά εάν το καθήκον είναι να διασφαλιστεί η ασφάλεια της υπηρεσίας όσο το δυνατόν γρηγορότερα snmpd που είχε προηγουμένως ρυθμιστεί εσφαλμένα από τον προκάτοχό του, μπορείτε να δημιουργήσετε ένα αντίγραφο ασφαλείας snmpd.conf προσθέστε περιορισμούς στο υποδίκτυο συστημάτων παρακολούθησης στο νέο αρχείο ρυθμίσεων και αλλάξτεκοινότητα. Στο Debian θα μοιάζει με αυτό:

#CD< κατάλογο μεsnmpd.conf>

# mv snmpd.conf snmpd.conf.backup

# echo rocommunity MaKe_It_SeCuRe10.0.0.0/24 >snmpd.conf

# /etc/init.d/snmpd επανεκκίνηση

Μετά από αυτό, πρόσβαση μέσω SNMP στον διακομιστή θα είναι μόνο στο υποδίκτυο 10.0.0.0/24 χρησιμοποιώντας το νέοκοινότητα, Ταυτόχρονα, όλοι οι διακομιστές στους οποίους δεν έχουν αλλάξεικοινότητα σε ένα νέο, δεν θα λαμβάνουν πλέον απαντήσεις σε αιτήματα, όπως και οι επιτιθέμενοι.

Θα είναι ασφαλέστερο να μεταβείτε στη χρήση SNMPv3 στις οποίες είναι δυνατή η διαφοροποίηση των παραμέτρων ελέγχου ταυτότητας. Επίσης, σε αντίθεση με τις εκδόσεις 1 και 2c, SNMPv3 σας επιτρέπει να παρέχετε κρυπτογράφηση της κίνησης μεταξύ του συστήματος παρακολούθησης και του εξεταζόμενου εξοπλισμού. Για να δημιουργήσετε έναν χρήστη με δικαιώματα μόνο για ανάγνωση, έλεγχο ταυτότητας και κρυπτογράφηση κυκλοφορίας, στο αρχείο διαμόρφωσης snmpd.conf χρειάζεται να προστεθεί:

createUser v3user SHA "some_AuThPaSs" AES some_privpass

authuser read v3user authpriv 1.3.6.1.2.1. 2

Αντίστοιχα, ο χρήστηςΟ χρήστης v3 θα λάβει δικαιώματα μόνο για ανάγνωση για να δείτε το νήμα 1.3.6.1.2.1.2 μέσω SNMP.

Μπορείτε να ελέγξετε την ορθότητα της διαμόρφωσης μετά την επανεκκίνηση της υπηρεσίας. SNMP στον διακομιστή 192.168.10.128 με την εντολή που εκτελείται στον πελάτη:

$ snmpwalk -v 3 -A some_AuThPaSs -X some_privpass -a SHA -x AES -u v3user -l authPriv 192.168.10.128 1

Σε αυτήν την περίπτωση, παρά το γεγονός ότι ολόκληρο το δέντρο θα μετρηθεί, ξεκινώντας από το 1, ο διακομιστής θα επιστρέψει μόνο τον επιτρεπόμενο κλάδο 1.3.6.1.2.1. 2 , το οποίο θα καθοριστεί στη διαμόρφωση.

Όταν εγκαταλείπετε το SNMP v1/v2c υπέρ του SNMPv3 είναι επίσης απαραίτητο να αφαιρέσετε από τις ρυθμίσεις του αρχείου διαμόρφωσης θραύσματα που δεν σχετίζονται με SNMPv3.

Εάν SNMP για παρακολούθηση διακομιστήδεν χρησιμοποιείται, η πιο σωστή λύση θα ήταν η αφαίρεση της συσκευασίας snmpd.

Σε Cisco IOS δεν υπάρχει δυνατότητα επιλογής της διεπαφής που θα επεξεργάζεται αιτήματα SNMP Ο περιορισμός εκτελείται χρησιμοποιώντας λίστες πρόσβασης (λίστα ελέγχου πρόσβασης, ACL). Ας υποθέσουμε ότι το επιτρεπόμενο υποδίκτυο είναι 10.0.0.0/24. Δημιουργήθηκε ACL:

(config)#access-list 10 permit 10.0.0.0 0.0.0.255

που στη συνέχεια εφαρμόζεται στην αντίστοιχηκοινότητα για SNMP v1/v2c, σε αυτό το παράδειγμα MaKe_It_SeCuRe με πρόσβαση μόνο για ανάγνωση:

(config)#snmp-server κοινότητα MaKe_It_SeCuRe RO 10

Περιορισμός στους κλάδους SNMP OID εφαρμόζεται χρησιμοποιώνταςθέα

(config)#προβολή διακομιστή snmp IFACES 1.3.6.1.2.1. 2 περιλαμβάνεται

μετά στο δημιουργημένοΗ προβολή είναι συνημμένη κοινότητα:

(config)#snmp-server κοινότητα MaKe_It_SeCuRe προβολή IFACES RO 10

Για να χρησιμοποιήσετε SNMPv3 με τους απαραίτητους περιορισμούς(έλεγχος ταυτότητας και κρυπτογράφηση, μόνο για ανάγνωση, πρόσβαση από το υποδίκτυο 10.0.0.0/24 στον κλάδο διεπαφής που ορίζεται στοπροβολή IFACES) , πρέπει να δημιουργήσετε μια ομάδα(ΑΣΦΑΛΗΣ) με πρόσβαση μόνο για ανάγνωση σε OID από την όψη IFACES και την ανάγκη για έλεγχο ταυτότητας με κρυπτογράφηση, συνδέοντάς το με το προηγουμένως δημιουργημένολίστα πρόσβασης 10:

(config)#ομάδα διακομιστών snmp SECURE v3 priv readIFACESπρόσβαση 10

στη συνέχεια προσθέστε τον λογαριασμό χρήστη στην ομάδα(v3user) , δίνοντάς του κωδικούς πρόσβασης για έλεγχο ταυτότητας και κρυπτογράφηση, καθώς και έναν αλγόριθμο κρυπτογράφησης(σε αυτήν την περίπτωση AES128):

(config)#χρήστης διακομιστή snmpv3 χρήστηSECURE v3 auth sha Strong_Password priv aes 128 Priv_Password

SNMP μπορεί να χρησιμοποιηθεί για διαχείριση και η ρύθμιση των προεπιλεγμένων παραμέτρων πρόσβασης είναι συγκρίσιμη σε σοβαρότητα με έναν εύκολο να μαντέψει κωδικό πρόσβασης σύνδεσης SSH. Αφού ακολουθήσετε τις συστάσεις που περιγράφονται στο άρθρο,Όχι μόνο θα προστατευτούμε άμεσα από επιθέσεις στο δίκτυό μας και στους διακομιστές μας, αλλά θα καταστήσουμε αδύνατη τη χρήση των πόρων μας για να επιτεθούμε σε άλλους και θα ελαχιστοποιήσουμε επίσης τον αριθμό των λόγων για τους οποίους ουρλιάζουν οι τίτλοι στον Τύπο «Ρώσοι χάκερ επιτέθηκαν.. .”.

Συνολικά, μπορείτε να προστατεύσετε τους διακομιστές και το δίκτυό σας από μη εξουσιοδοτημένη πρόσβαση χρησιμοποιώντας το πρωτόκολλο SNMP, να μειώσετε τον αριθμό των επιθέσεων DDoS, όπως η ενίσχυση SNMP και να ελαχιστοποιήσετε τη συμμετοχή του τμήματος υποδομής σας σε αυτά, χρησιμοποιώντας τις ακόλουθες ενέργειες που δεν απαιτούν πρόσθετες οικονομικές επενδύσεις:

Διαχειριστείτε εξοπλισμό μόνο από ένα αξιόπιστο τμήμα δικτύου. Περιορισμός δεσμεύοντας μια υπηρεσία σε μια συγκεκριμένη διεπαφή ή χρησιμοποιώντας λίστες πρόσβασης.

Αλλαγή προεπιλεγμένων τιμών κοινότητας SNMP (δημόσιες και ιδιωτικές) σε δύσκολο να μαντέψει κανείς.

Περιορισμός υποκαταστήματοςΟ.Ι.Δ. διαθέσιμο για παραλαβή/αλλαγή από SNMP

Χρησιμοποιείτε μόνο SNMPv 3 χρησιμοποιώντας πρόσθετες παραμέτρους ελέγχου ταυτότητας και κρυπτογράφησης.

Απενεργοποίηση της υπηρεσίας SNMP με τη διαγραφή της διαμόρφωσης - εάν ληφθεί απόφαση για πλήρη εγκατάλειψη SNMP

Και αν κάθε διαχειριστής διακομιστών που είναι προσβάσιμοι από το Διαδίκτυο το κάνει αυτό, ο ψηφιακός κόσμος θα πλησιάσει ένα βήμα πιο κοντά στην τελειότητα.

1.180 τρίψτε.

ΠΕΡΙΕΧΟΜΕΝΟ
ΕΙΣΑΓΩΓΗ 3
1. ΘΕΩΡΗΤΙΚΗ ΒΑΣΗ ΤΟΥ ΠΡΟΒΛΗΜΑΤΟΣ ΤΩΝ ΕΡΕΥΝΗΤΙΚΩΝ ΜΕΘΟΔΩΝ ΕΠΙΘΕΣΕΩΝ ΣΤΟ ΠΡΩΤΟΚΟΛΛΟ SNMP
1.1 Η ΑΝΑΓΚΗ ΜΕΛΕΤΗΣ ΤΩΝ ΜΕΘΟΔΩΝ ΕΠΙΘΕΣΕΩΝ ΣΤΟ ΠΡΩΤΟΚΟΛΛΟ SNMP 5
1.2 ΠΡΩΤΟΚΟΛΛΟ SNMP: ΠΕΡΙΓΡΑΦΗ, ΣΚΟΠΟΣ 7
2. ΑΝΑΛΥΣΗ ΕΠΙΘΕΣΕΩΝ ΣΤΟ ΠΡΩΤΟΚΟΛΛΟ SNMP ΚΑΙ ΑΝΤΙΜΕΤΡΑ
2.1 ΤΕΧΝΙΚΕΣ ΕΠΙΘΕΣΕΩΝ ΣΤΟ ΠΡΩΤΟΚΟΛΛΟ SNMP ΚΑΙ ΤΡΟΠΟΙ ΠΡΟΛΗΨΗΣ ΤΟΥΣ 11
2.2 ΤΡΟΠΟΙ ΓΙΑ ΑΝΤΙΣΤΟΠΟΙΗΣΗ ΕΠΙΘΕΣΕΩΝ ΣΤΟ ΠΡΩΤΟΚΟΛΛΟ SNMP 15
ΣΥΜΠΕΡΑΣΜΑ 20
ΚΑΤΑΛΟΓΟΣ ΧΡΗΣΙΜΟΠΟΙΗΜΕΝΩΝ ΠΗΓΩΝ 21

Τμήμα της εργασίας για αναθεώρηση

Εικόνα 3 - Μορφή οθόνης του βοηθητικού προγράμματος SoftPerfectNetworkScanner Patches Οι κατασκευαστές πολλών συσκευών δικτύου αναπτύσσουν τις λεγόμενες ενημερώσεις κώδικα, η χρήση των οποίων είναι απαραίτητη όταν εντοπίζονται τρωτά σημεία στο σύστημα. Επομένως, εάν βρείτε συσκευές με δυνατότητα SNMP στο δίκτυό σας, είναι καλή ιδέα να επικοινωνήσετε με τους κατασκευαστές αυτών των συσκευών για να μάθετε εάν έχουν αναπτύξει τις απαραίτητες ενημερώσεις κώδικα Απενεργοποίηση της υπηρεσίας SNMP Πολλοί ειδικοί τείνουν να πιστεύουν ότι εάν η υπηρεσία SNMP δεν χρειάζεται, θα πρέπει να απενεργοποιηθεί ή να αφαιρεθεί. Ακολουθεί ένας αλγόριθμος για την απενεργοποίηση της υπηρεσίας SNMP στο λειτουργικό σύστημα Windows: Επιλέξτε το μενού Έναρξη - Πίνακας Ελέγχου - Εργαλεία διαχείρισης - Υπηρεσίες (βλ. Εικ. 4). Επιλογή της υπηρεσίας SNMP. Εάν η υπηρεσία εκτελείται, κάντε κλικ στο κουμπί "Διακοπή" και, στη συνέχεια, επιλέξτε "Τύπος εκκίνησης" - "Απενεργοποίηση" - "Απενεργοποίηση της υπηρεσίας SNMP" Αξίζει να σημειωθεί ότι ορισμένα από τα δυνητικά ευάλωτα προϊόντα παραμένουν επιρρεπή σε επιθέσεις DoS. Άλλες ενέργειες που διαταράσσουν τη σταθερότητα του δικτύου ακόμη και όταν το SNMP είναι απενεργοποιημένο Το φιλτράρισμα εισόδου βασίζεται στη διαμόρφωση των τειχών προστασίας και των δρομολογητών για την εκτέλεση φιλτραρίσματος εισόδου στις θύρες UDP 161 και 162. Αυτό θα αποτρέψει τις εξωτερικές επιθέσεις που ξεκινούν από το δίκτυο σε ευάλωτες συσκευές στο τοπικό δίκτυο. Άλλες θύρες που υποστηρίζουν υπηρεσίες που σχετίζονται με το SNMP, συμπεριλαμβανομένων των θυρών TCP και UDP 161, 162, 199, 391, 750 και 1993, ενδέχεται επίσης να απαιτούν φιλτράρισμα εισόδου Για αποτελεσματική προστασία, το φιλτράρισμα εξόδου μπορεί να εφαρμοστεί για τον έλεγχο της κυκλοφορίας που προέρχεται από το Το φιλτράρισμα της εξερχόμενης κίνησης στις θύρες UDP 161 και 162 στην άκρη του δικτύου μπορεί να αποτρέψει τη χρήση του συστήματός σας ως εφαλτήριο για συστήματα ανίχνευσης και πρόληψης εισβολής. μη εξουσιοδοτημένη είσοδος (εισβολή ή επίθεση δικτύου) σε ένα σύστημα υπολογιστή ή δίκτυο Χωρίς IDS, μια υποδομή ασφάλειας δικτύου γίνεται αδιανόητη. Συμπληρώνοντας τα τείχη προστασίας που βασίζονται σε κανόνες, το IDS παρακολουθεί και παρατηρεί ύποπτη δραστηριότητα. Σας επιτρέπουν να εντοπίσετε τους εισβολείς που έχουν διεισδύσει στο τείχος προστασίας και να το αναφέρετε στον διαχειριστή, ο οποίος θα λάβει τις απαραίτητες αποφάσεις για τη διατήρηση της ασφάλειας. Οι μέθοδοι ανίχνευσης εισβολής δεν εγγυώνται την πλήρη ασφάλεια του συστήματος. Ως αποτέλεσμα της χρήσης IDS, επιτυγχάνονται οι ακόλουθοι στόχοι: ο εντοπισμός μιας επίθεσης ή εισβολής στο δίκτυο, η πρόβλεψη για πιθανές μελλοντικές επιθέσεις και ο εντοπισμός αδυναμιών του συστήματος για την αποτροπή της εκμετάλλευσής τους. Σε πολλές περιπτώσεις, ο εισβολέας θα εκτελέσει μια φάση προετοιμασίας, όπως την ανίχνευση (σάρωση) του δικτύου ή τη δοκιμή του με άλλο τρόπο για να ανακαλύψει τρωτά σημεία του συστήματος, παρακολουθώντας την ποιότητα της διαχείρισης που εκτελείται από την άποψη της ασφάλειας, ιδιαίτερα σε μεγάλα και πολύπλοκα δίκτυα λαμβάνοντας πολύτιμες πληροφορίες σχετικά με τις εισβολές που συνέβησαν για την αποκατάσταση και τη διόρθωση των παραγόντων που οδήγησαν στην εισβολή, προσδιορίζοντας τη θέση της πηγής της επίθεσης από την άποψη του εξωτερικού δικτύου (εξωτερικές ή εσωτερικές επιθέσεις), Για τη λήψη των σωστών αποφάσεων κατά την τοποθέτηση κόμβων δικτύου. που αποθηκεύει πρωτεύοντα συμβάντα και αποτελέσματα ανάλυσης για τη ρύθμιση παραμέτρων του IDS, την παρακολούθηση της κατάστασης του προστατευμένου συστήματος και του IDS, τη μελέτη καταστάσεων που εντοπίζονται από το υποσύστημα ανάλυσης. . Επειδή το SNMP χρησιμοποιείται τόσο ευρέως, η λειτουργία δικτύων με ευάλωτα προϊόντα μπορεί να έχει καταστροφικές συνέπειες. Επομένως, για να χρησιμοποιήσετε αποτελεσματικά το πρωτόκολλο SNMP, θα πρέπει να χρησιμοποιήσετε διάφορες μεθόδους για να αποτρέψετε επιθέσεις και να δημιουργήσετε ένα ολοκληρωμένο σύστημα προστασίας. Κατά τη διαδικασία της εργασίας, εντοπίστηκαν τα χαρακτηριστικά του ονομαζόμενου πρωτοκόλλου και πιθανά προβλήματα με τη χρήση του. Για να τεκμηριωθεί το πρόβλημα, παρέχονται στατιστικά δεδομένα που επιβεβαιώνουν την υψηλή πιθανότητα επιθέσεων δικτύου. Επιπλέον, το θεωρητικό μέρος περιέχει πληροφορίες σχετικά με τη δομή του πρωτοκόλλου, το σχήμα αιτήματος/απόκρισης και τα στάδια λήψης απαντήσεων σε αιτήματα Στο πλαίσιο της εργασίας του μαθήματος, πραγματοποιήθηκε ανάλυση πιθανών επιθέσεων στο πρωτόκολλο SNMP που είναι επιθέσεις Dos, επιθέσεις Buffer Overflow και εκείνες που χρησιμοποιούν τρωτά σημεία συμβολοσειράς μορφής. Φυσικά, υπάρχουν πολλές περισσότερες πιθανές απειλές, αλλά η αναθεώρησή τους απαιτεί μια πιο εμπεριστατωμένη και ολοκληρωμένη μελέτη Για να δημιουργηθεί ένα σύστημα προστασίας της αλληλεπίδρασης δικτύου των συνδρομητών του δικτύου, εξετάστηκαν μέθοδοι αποτροπής επιθέσεων στο πρωτόκολλο SNMP. ότι η χρήση ενός συνόλου εργαλείων θα ήταν αποτελεσματική. Με βάση την ανάλυση, αποκαλύφθηκε ότι το πρωτόκολλο SNMP είναι αρκετά ευάλωτο και, εάν ληφθεί απόφαση για τη χρήση του, θα πρέπει να αναπτυχθεί μια πολιτική ασφαλείας και να τηρηθούν όλες οι αρχές του, επομένως, μπορούμε να συμπεράνουμε ότι ο στόχος έχει επιτεύχθηκαν και τα καθήκοντα που ορίστηκαν στην εισαγωγή έχουν επιλυθεί ΚΑΤΑΛΟΓΟΣ ΧΡΗΣΙΜΟΠΟΙΗΜΕΝΩΝ ΠΗΓΩΝ Ρυθμιστικές πράξειςΟμοσπονδιακός νόμος της Ρωσικής Ομοσπονδίας της 27ης Ιουλίου 2006 N 149-FZ για τις πληροφορίες, τις τεχνολογίες της πληροφορίας και την προστασία των πληροφοριών Κατάλογος εξειδικευμένης και επιστημονικής βιβλιογραφίαςBlank-Edelman D. Perl για τη διαχείριση συστήματος, M.: σύμβολο-Plus, 2009.- 478 σελ. Borodakiy V.Yu. Πρακτική και προοπτικές για τη δημιουργία ενός ασφαλούς cloud πληροφοριών και υπολογιστών με βάση το MSS OGV / V.Yu. Borodakiy, A.Yu. Dobrodeev, P.A. Nashchekin // Τρέχοντα προβλήματα ανάπτυξης τεχνολογικών συστημάτων κρατικής ασφάλειας, ειδικών επικοινωνιών και ειδικής υποστήριξης πληροφοριών: VIII Πανρωσικό διατμηματικό επιστημονικό συνέδριο: υλικά και εκθέσεις (Orel, 13–14 Φεβρουαρίου 2013). – Στις 10 η ώρα Μέρος 4 / Γενικά εκδ. V.V. Μιζέροβα. – Orel: Ακαδημία της Ομοσπονδιακής Υπηρεσίας Ασφαλείας της Ρωσίας, 2013. Grishina N.V. Οργάνωση ενός ολοκληρωμένου συστήματος ασφάλειας πληροφοριών. - M.: Helios ARV, 2009. - 256 p., Douglas R. Mauro SNMP Basics, 2nd edition / Douglas R. Mauro, Kevin J. Schmidt - M.: Symbol-Plus, 2012. - 725 p. Kulgin M.V. Δίκτυα υπολογιστών. Κατασκευαστική πρακτική. Για επαγγελματίες, Αγία Πετρούπολη: Peter, 2003.-462 σελ. Mulyukha V.A. Μέθοδοι και μέσα προστασίας πληροφοριών υπολογιστή. Τείχος προστασίας: Textbook / Mulyukha V.A., Novopashenny A.G., Podgursky Yu.E - St. Petersburg: SPbSPU Publishing House, 2010. - 91 σελ. Olifer V. G., Olifer N. P. Computer networks. Αρχές, τεχνολογίες, πρωτόκολλα. - 4η. - Αγία Πετρούπολη: Peter, 2010. -902 σελ. Τεχνολογίες μεταγωγής και δρομολόγησης σε τοπικά δίκτυα υπολογιστών: εγχειρίδιο / Smirnova E. V. et al.; εκδ. A.V. Προλετάρσκι. – Μ.: Εκδοτικός οίκος MSTU im. Ν.Ε. Bauman, 2013. – 389 σελ. Flenov M. Linux through the eyes of a Hacker, St. Petersburg: BHV-St Petersburg, 2005. – 544 σελ. Khoreev P.V. Μέθοδοι και μέσα προστασίας πληροφοριών σε συστήματα υπολογιστών. - Μ.: Εκδοτικό κέντρο "Ακαδημία", 2005. -205 σελ. Khoroshko V. A., Μέθοδοι και μέσα ασφάλειας πληροφοριών, Κ.: Junior, 2003. - 504 σελ. Πηγές ΔιαδικτύουIDS/IPS [Ηλεκτρονικός πόρος] URL: http://netconfig.ru/server/ids-ips/.Ανάλυση απειλών Διαδικτύου το 2014. Επιθέσεις DDoS. Hacking ιστοσελίδες [Ηλεκτρονικός πόρος]. URL: http://onsec.ru/resources/Internet%20threats%20in%202014.%20Overview%20by%20Qrator-Wallarm.pdfKolischak A. Μορφοποίηση ευπάθειας συμβολοσειράς [Ηλεκτρονικός πόρος]. URL: https://securityvulns.ru/articles/fsbug.aspFirst Mile, No. 04, 2013 [Ηλεκτρονικός πόρος]. URL: http://www.lastmile.su/journal/article/3823 Οικογένεια προτύπων SNMP [Ηλεκτρονικός πόρος]. URL: https://ru.wikibooks.org/wiki /SNMP_standards_familyΞένη βιβλιογραφία"CERT Advisory CA-2002-03: Multiple Vulnerabilities in Many Implementations of the Simple Network Management Protocol (SNMP)", 12 Φεβ. 2002, (τρέχουσα 11 Μαρτίου 2002)

Βιβλιογραφία

ΚΑΤΑΛΟΓΟΣ ΧΡΗΣΙΜΟΠΟΙΗΜΕΝΩΝ ΠΗΓΩΝ
Κανονισμοί
1. Ομοσπονδιακός νόμος της Ρωσικής Ομοσπονδίας της 27ης Ιουλίου 2006 N 149-FZ για τις πληροφορίες, τις τεχνολογίες των πληροφοριών και την προστασία των πληροφοριών
Κατάλογος εξειδικευμένης και επιστημονικής βιβλιογραφίας
2. Blank-Edelman D. Perl για τη διαχείριση συστήματος, M.: σύμβολο-Plus, 2009.- 478 p.
3. Borodakiy V.Yu. Πρακτική και προοπτικές για τη δημιουργία ενός ασφαλούς cloud πληροφοριών και υπολογιστών με βάση το MSS OGV / V.Yu. Borodakiy, A.Yu. Dobrodeev, P.A. Nashchekin // Τρέχοντα προβλήματα ανάπτυξης τεχνολογικών συστημάτων κρατικής ασφάλειας, ειδικών επικοινωνιών και ειδικής υποστήριξης πληροφοριών: VIII Πανρωσικό διατμηματικό επιστημονικό συνέδριο: υλικά και εκθέσεις (Orel, 13–14 Φεβρουαρίου 2013). – Στις 10 η ώρα Μέρος 4 / Γενικά εκδ. V.V. Μιζέροβα. – Orel: Ακαδημία της Ομοσπονδιακής Υπηρεσίας Ασφαλείας της Ρωσίας, 2013.
4. Grishina N.V. Οργάνωση ενός ολοκληρωμένου συστήματος ασφάλειας πληροφοριών. - Μ.: Helios ARV, 2009. - 256 σελ.
5. Douglas R. Mauro SNMP Basics, 2nd edition / Douglas R. Mauro, Kevin J. Schmidt - M.: Symbol-Plus, 2012.-725p.
6. Kulgin M.V. Δίκτυα υπολογιστών. Κατασκευαστική πρακτική. Για επαγγελματίες, Αγία Πετρούπολη: Peter, 2003.-462 p.
7. Mulyukha V.A. Μέθοδοι και μέσα προστασίας πληροφοριών υπολογιστή. Τείχος προστασίας: Textbook / Mulyukha V.A., Novopashenny A.G., Podgursky Yu.E - Αγία Πετρούπολη: Εκδοτικός Οίκος SPbSPU, 2010. - 91 σελ.
8. Olifer V. G., Olifer N. P. Δίκτυα υπολογιστών. Αρχές, τεχνολογίες, πρωτόκολλα. - 4η. - Αγία Πετρούπολη: Peter, 2010. -902 σελ.
9. Τεχνολογίες μεταγωγής και δρομολόγησης σε τοπικά δίκτυα υπολογιστών: σχολικό βιβλίο / SmirnovaE. V. et al.; εκδ. A.V. Προλετάρσκι. – Μ.: Εκδοτικός οίκος MSTU im. Ν.Ε. Bauman, 2013. – 389 σελ.
10. Flenov M. Linux through the eyes of a Hacker, Αγία Πετρούπολη: BHV-St Petersburg, 2005. – 544 p.
11. Khoreyev P.V. Μέθοδοι και μέσα προστασίας πληροφοριών σε συστήματα υπολογιστών. – Μ.: εκδοτικό κέντρο «Ακαδημία», 2005. –205 σελ.
12. Khoroshko V. A., Chekatkov A. A. Μέθοδοι και μέσα προστασίας πληροφοριών, K.: Junior, 2003. - 504 p.
Πηγές Διαδικτύου
13. IDS/IPS - Συστήματα ανίχνευσης και πρόληψης εισβολών [Ηλεκτρονικός πόρος] URL: http://netconfig.ru/server/ids-ips/.
14. Ανάλυση διαδικτυακών απειλών το 2014. Επιθέσεις DDoS. Hacking ιστοσελίδες [Ηλεκτρονικός πόρος]. URL: http://onsec.ru/resources/Internet%20threats%20in%202014.%20Overview%20by%20Qrator-Wallarm.pdf
15. Kolischak A. Ευπάθεια συμβολοσειράς μορφοποίησης [Ηλεκτρονικός πόρος]. URL: https://securityvulns.ru/articles/fsbug.asp
16. First Mile, No. 04, 2013 [Ηλεκτρονικός πόρος]. URL: http://www.lastmile.su/journal/article/3823
17. Οικογένεια προτύπων SNMP [Ηλεκτρονικός πόρος]. URL: https://ru.wikibooks.org/wiki /SNMP_standards_family
Ξένη λογοτεχνία
18. "CERT Advisory CA-2002-03: Multiple Vulnerabilities in Many Implementations of the Simple Network Management Protocol (SNMP)", 12 Feb. 2002, (τρέχουσα 11 Μαρτίου 2002)

Παρακαλούμε μελετήστε προσεκτικά τα περιεχόμενα και τα αποσπάσματα της εργασίας. Τα χρήματα για τις αγορασμένες έτοιμες εργασίες δεν θα επιστραφούν λόγω του γεγονότος ότι η εργασία δεν ανταποκρίνεται στις απαιτήσεις σας ή είναι μοναδική.

* Η κατηγορία εργασίας είναι αξιολογικού χαρακτήρα σύμφωνα με τις ποιοτικές και ποσοτικές παραμέτρους του παρεχόμενου υλικού. Το υλικό αυτό, ούτε στο σύνολό του ούτε σε κανένα από τα μέρη του, είναι ολοκληρωμένο επιστημονικό έργο, τελική ειδική εργασία, επιστημονική έκθεση ή άλλο έργο που προβλέπεται από το κρατικό σύστημα επιστημονικής πιστοποίησης ή είναι απαραίτητο για τη λήψη ενδιάμεσης ή τελικής πιστοποίησης. Αυτό το υλικό είναι ένα υποκειμενικό αποτέλεσμα της επεξεργασίας, της δόμησης και της μορφοποίησης των πληροφοριών που συλλέγονται από τον συγγραφέα του και προορίζεται, πρώτα απ 'όλα, να χρησιμοποιηθεί ως πηγή για ανεξάρτητη προετοιμασία εργασιών σχετικά με αυτό το θέμα.

Περιγραφή της δουλειάς

Το ζήτημα της αξιοπιστίας και της μέγιστης αποτελεσματικότητας της λειτουργίας των δικτύων υπολογιστών τίθεται ιδιαίτερα έντονα. Τεράστιες απώλειες από προβλήματα δικτύου που οδηγούν σε απώλεια δεδομένων, απότομη πτώση της απόδοσης, αποκλεισμό διακομιστή και άλλα προβλήματα υφίστανται οι τράπεζες, οι χρηματοοικονομικές εταιρείες, οι εταιρείες μεταφορών και τηλεπικοινωνιών. Κατά συνέπεια, το πρόβλημα της διαχείρισης του δικτύου είναι ιδιαίτερα σημαντικό.
Η διαχείριση δικτύου είναι ένα σύνολο μέτρων και δραστηριοτήτων που στοχεύουν στην αύξηση της αποδοτικότητας του δικτύου, στον εντοπισμό και την εξάλειψη αστοχιών στη λειτουργία του, στη σωστή ανάπτυξη και εκσυγχρονισμό του και τελικά στη μείωση του κόστους.

ΕΙΣΑΓΩΓΗ………………………………………………………………………………..3

1.2 Λογική του πρωτοκόλλου SNMP………………………………………………………..….12

2.1 Ασφάλεια του πρωτοκόλλου SNMP (ή της έκδοσης του πρωτοκόλλου SNMP)……….21
2.2 Αρχές ρύθμισης του πρωτοκόλλου SNMP……………………………………………………
ΣΥΜΠΕΡΑΣΜΑ………………………………………………………………………………………………………………………………….
ΑΝΑΦΟΡΕΣ……………………………………………………………………………………

Αρχεία: 1 αρχείο

Υπουργείο Παιδείας και Επιστημών της Ρωσικής Ομοσπονδίας

FSBEI HPE "Κρατικό Πανεπιστήμιο Chelyabinsk"

Ινστιτούτο Τεχνολογιών Πληροφορικής

Τμήμα Τεχνολογιών Πληροφορικής

ΕΡΓΑΣΙΑ ΜΑΘΗΜΑΤΟΣ

Πρωτόκολλο SNMP. Μέθοδοι επίθεσης και άμυνας δικτύου

Συμπληρώθηκε από μαθητή

Galiullina Oksana Kuntuarovna

Σχολή IIT, Ομάδα BIS-201

Επιστημονικός Σύμβουλος:

Kosenko Maxim Yurievich

Λέκτορας του τμήματος

Τεχνολογίες πληροφορικής

Ημερομηνία υποβολής:_______________

Ημερομηνία υπεράσπισης:___________

Βαθμός:__________________

Τσελιάμπινσκ

ΕΙΣΑΓΩΓΗ……………………………………………………………………..3

ΚΕΦΑΛΑΙΟ I. ΟΡΙΣΜΟΣ SNMP…………………………………………………5

1.1 Αρχιτεκτονική πρωτοκόλλου SNMP………………………………………………………….6

1.2 Λογική του πρωτοκόλλου SNMP………………………………………………………..….12

ΚΕΦΑΛΑΙΟ II. MIB……………………………………………………………………………….16

ΚΕΦΑΛΑΙΟ III. ΔΙΑΜΟΡΦΩΣΗ ΑΣΦΑΛΕΙΑΣ ΚΑΙ SNMP…………………..…….21

2.1 Ασφάλεια του πρωτοκόλλου SNMP (ή της έκδοσης του πρωτοκόλλου SNMP)……….21

2.2 Αρχές διαμόρφωσης του πρωτοκόλλου SNMP…………………………………………………

ΣΥΜΠΕΡΑΣΜΑ……………………………………………………………………… 26

ΑΝΑΦΟΡΕΣ……………………………………………………………27

ΕΙΣΑΓΩΓΗ

Οι δραστηριότητες των σύγχρονων οργανισμών συνδέονται στενά με τη χρήση της τεχνολογίας πληροφοριών, είτε πρόκειται για έναν υπολογιστή στο χώρο εργασίας ενός διευθυντή μιας μικρής εταιρείας είτε για το εταιρικό δίκτυο μιας μεγάλης εταιρείας - ενός ολοκληρωμένου συστήματος. Και όσο μεγαλύτερη είναι η οργάνωση και όσο πιο σημαντικές είναι οι λειτουργίες της, τόσο υψηλότερες είναι οι απαιτήσεις για συστήματα υπολογιστών που διασφαλίζουν την απόδοση αυτών των λειτουργιών και τόσο υψηλότερη είναι η τιμή κάθε αποτυχίας. Η απόδοση μιας εταιρείας εξαρτάται ολοένα και περισσότερο από την ποιότητα του μηχανογραφικού και τηλεπικοινωνιακού εξοπλισμού της.

Η διαχείριση δικτύου είναι ένα σύνολο μέτρων και δραστηριοτήτων που στοχεύουν στην αύξηση της αποδοτικότητας του δικτύου, στον εντοπισμό και την εξάλειψη αστοχιών στη λειτουργία του, στη σωστή ανάπτυξη και εκσυγχρονισμό του και τελικά στη μείωση του κόστους.

Επί του παρόντος, εφαρμογές που εκτελούνται σε πλατφόρμες διαχείρισης δικτύου όπως το HP OpenView από την Hewlett-Packard, το NetView for AIX (IBM), το SunNet Manager (Sun), το Spectrum (Cabletron Systems), τα συστήματα διαχείρισης NetWare (Novell) και διάφορα άλλα στοιχεία ελέγχου πολλαπλών πλατφορμών.

Αυτά τα εργαλεία βασίζονται στη χρήση του πρωτοκόλλου SNMP (Simple Network Management Protocol). Το πρωτόκολλο SNMP έχει σχεδιαστεί για τη συλλογή και τη μετάδοση πληροφοριών υπηρεσίας (πληροφορίες κατάστασης) μεταξύ διαφορετικών υπολογιστών.

ΚΕΦΑΛΑΙΟ I. ΟΡΙΣΜΟΣ SNMP

Το SNMP είναι ένα πρωτόκολλο από την οικογένεια TCP/IP (Το πρωτόκολλο SNMP περιγράφεται στο RFC 1157). Αναπτύχθηκε αρχικά από την κοινότητα του Διαδικτύου για την παρακολούθηση και την αντιμετώπιση προβλημάτων δρομολογητών και γεφυρών. Το SNMP σάς επιτρέπει να παρακολουθείτε και να μεταδίδετε πληροφορίες κατάστασης:

υπολογιστές με Windows NT.
Διακομιστές LAN Manager.
δρομολογητές και πύλες?
μικροϋπολογιστές ή μεγάλοι υπολογιστές.
διακομιστές τερματικού?
συγκεντρωτές.

Το SNMP χρησιμοποιεί μια κατανεμημένη αρχιτεκτονική που αποτελείται από συστήματα διαχείρισης και πράκτορες. Χρησιμοποιώντας την υπηρεσία Microsoft SNMP, ένας υπολογιστής με Windows NT μπορεί να αναφέρει την κατάστασή του σε ένα σύστημα διαχείρισης SNMP σε ένα δίκτυο που χρησιμοποιεί το πρωτόκολλο TCP/IP.

Η υπηρεσία SNMP αποστέλλει πληροφορίες κατάστασης σε έναν ή περισσότερους υπολογιστές κατόπιν αιτήματος ή όταν συμβαίνει ένα σημαντικό συμβάν, όπως η εξάντληση του χώρου στον σκληρό δίσκο του υπολογιστή.

1.1 Αρχιτεκτονική πρωτοκόλλου SNMP

Ένα δίκτυο που χρησιμοποιεί SNMP για διαχείριση περιέχει τρία κύρια στοιχεία:

SNMP manager - λογισμικό εγκατεστημένο στον υπολογιστή του διαχειριστή (σύστημα παρακολούθησης)
Το SNMP agent είναι λογισμικό που εκτελείται στον κόμβο δικτύου που παρακολουθείται.
SNMP MIB - MIB είναι η βάση πληροφοριών διαχείρισης. Αυτό το στοιχείο του συστήματος παρέχει δομημένα δεδομένα που ανταλλάσσονται μεταξύ πρακτόρων και διαχειριστών. Στην ουσία είναι ένα είδος βάσης δεδομένων με τη μορφή αρχείων κειμένου.

Διαχειριστής SNMP και πράκτορας SNMP

Για να κατανοήσουμε τον σκοπό των στοιχείων, μπορούμε να πούμε ότι ο διαχειριστής SNMP είναι ένα επίπεδο (διεπαφή) μεταξύ του διαχειριστή χειριστή και του κόμβου δικτύου που εκτελεί τον παράγοντα SNMP. Μπορούμε επίσης να πούμε ότι ένας πράκτορας SNMP είναι μια διεπαφή μεταξύ του διαχειριστή SNMP και του υλικού σε έναν κόμβο δικτύου. Εάν συγκρίνουμε το πρωτόκολλο SNMP με μια αρχιτεκτονική πελάτη-διακομιστή (για παράδειγμα, διακομιστή ιστού), τότε ο διακομιστής ιστού εκτελείται ως υπηρεσία σε μια συγκεκριμένη θύρα και ο χρήστης χρησιμοποιεί το πρόγραμμα περιήγησης για να αποκτήσει πρόσβαση στον διακομιστή web ως πελάτης. Είναι μια σαφώς καθορισμένη αρχιτεκτονική με ξεχωριστό πελάτη και διακομιστή. Στην περίπτωση του SNMP, οι ρόλοι του πελάτη και του διακομιστή είναι κάπως θολοί. Για παράδειγμα, ένας πράκτορας SNMP είναι ένα είδος υπηρεσίας που εκτελείται σε μια συσκευή (η οποία παρακολουθείται) και επεξεργάζεται αιτήματα σε μια συγκεκριμένη θύρα udp/161, δηλαδή είναι στην πραγματικότητα ένας διακομιστής. Και ο διαχειριστής SNMP είναι ένα είδος πελάτη που έχει πρόσβαση στον διακομιστή πράκτορα SNMP. Στο SNMP υπάρχει ένα λεγόμενο. Παγίδα. Αυτό είναι ένα αίτημα από έναν πράκτορα προς έναν διευθυντή. Πιο συγκεκριμένα, ούτε καν αίτημα, αλλά ειδοποίηση. Όταν αποστέλλεται αυτή η ειδοποίηση, ο πράκτορας και ο διαχειριστής "αλλάζουν ρόλους". Δηλαδή, σε αυτήν την περίπτωση ο διαχειριστής πρέπει να είναι διακομιστής που εκτελείται στη θύρα udp/162 και ο πράκτορας πρέπει να είναι πελάτης. Σε πρόσφατες εκδόσεις, η παγίδα SNMP μπορεί να αναφέρεται ως ειδοποίηση.

Το SNMP λειτουργεί στο επίπεδο 7 του μοντέλου OSI, δηλαδή είναι μια υπηρεσία επιπέδου εφαρμογής. Η αλληλεπίδραση μεταξύ του πράκτορα και του διαχειριστή σε επίπεδο πρωτοκόλλου SNMP οργανώνεται μέσω του λεγόμενου. πακέτα αντικειμένων PDU (Protocol Data Unit) που είναι ενσωματωμένα στο πρωτόκολλο μεταφοράς. Αν και το SNMP υποστηρίζει διάφορους τύπους μεταφοράς, στο 99% των περιπτώσεων χρησιμοποιείται UDP. Σε αυτήν την περίπτωση, κάθε μήνυμα PDU περιέχει μια συγκεκριμένη εντολή (για να διαβάσετε μια μεταβλητή, να γράψετε την τιμή μιας μεταβλητής ή να απαντήσετε σε έναν πράκτορα παγίδας). Γενικά, η αλληλεπίδραση των κόμβων μέσω SNMP μπορεί να αναπαρασταθεί με την ακόλουθη ακολουθία: manager->SNMP(PDU)-UDP-IP-Ethernet-IP-UDP-SNMP(PDU)->agent.

Όταν χρησιμοποιείτε κρυπτογράφηση στο SNMP, η προεπιλεγμένη θύρα για αιτήματα/απαντήσεις είναι udp/10161 και οι παγίδες αποστέλλονται στο udp/10162.

Οι πράκτορες που εκτελούνται σε κεντρικούς υπολογιστές συλλέγουν πληροφορίες σχετικά με συσκευές και γράφουν τους μετρητές που συλλέγονται σε μεταβλητές τιμές στη βάση δεδομένων MIB. Καθιστώντας το έτσι προσβάσιμο στους διαχειριστές.

Ρύζι. 1. Σχέδιο αλληλεπίδρασης μεταξύ του πράκτορα SNMP και του διαχειριστή SNMP

Ο διαχειριστής SNMP στέλνει αιτήματα στον πράκτορα στη θύρα udp/161 (εάν δεν έχει ρυθμιστεί άλλη θύρα στον πράκτορα) από μια αυθαίρετη θύρα από το εφήμερο εύρος. Το αίτημα διαχείρισης SNMP καθορίζει τη θύρα και τη διεύθυνση πηγής. Στη συνέχεια, ο πράκτορας λαμβάνει το πακέτο και το επεξεργάζεται (εάν πληρούνται οι προϋποθέσεις που περιγράφονται παρακάτω). Κατά τη διάρκεια της επεξεργασίας, δημιουργείται μια απάντηση και αποστέλλεται στη θύρα από το αρχικό αίτημα. Η απάντηση αποστέλλεται από τη θύρα udp/161. Μπορούμε να πούμε ότι ο παράγοντας SNMP παρέχει έτσι στον διαχειριστή SNMP πρόσβαση στα δεδομένα που είναι αποθηκευμένα στο MIB. Ταυτόχρονα, τη στιγμή της αποστολής, ο διαχειριστής SNMP εισάγει ένα συγκεκριμένο αναγνωριστικό (RequestID) στο PDU και ο πράκτορας εισάγει αυτό το αναγνωριστικό χωρίς να αλλάξει το PDU απόκρισης, έτσι ώστε ο διαχειριστής να μην συγχέει πακέτα από διαφορετικούς πράκτορες. Ο παράγοντας SNMP μπορεί να ρυθμιστεί ώστε να στέλνει ειδοποιήσεις Trap, τις οποίες εκτελεί από την εφήμερη θύρα στη θύρα udp/162 του διαχειριστή SNMP.

SNMP PDU (ή μηνύματα πρωτοκόλλου SNMP)

Παραπάνω ανέφερα τη μονάδα ανταλλαγής μεταξύ κόμβων SNMP - PDU (Protocol Data Unit), ας δούμε αυτήν την έννοια. Ένα συγκεκριμένο σύνολο μηνυμάτων εντολών PDU χρησιμοποιείται για ανταλλαγή μεταξύ του πράκτορα και του διαχειριστή:

Το Trap είναι μια μονόδρομη ειδοποίηση από τον SNMP agent -> manager σχετικά με ένα συμβάν.
GetReponse - μια απάντηση από έναν πράκτορα σε έναν διαχειριστή, επιστρέφοντας τις ζητούμενες τιμές μεταβλητής.
GetRequest - ένα αίτημα προς τον πράκτορα από τον διαχειριστή, που χρησιμοποιείται για τη λήψη της τιμής μιας ή περισσότερων μεταβλητών.
GetNextRequest - ένα αίτημα προς τον πράκτορα από τον διαχειριστή, που χρησιμοποιείται για τη λήψη της επόμενης τιμής μεταβλητής στην ιεραρχία.
SetRequest - ένα αίτημα προς τον πράκτορα να ορίσει την τιμή μιας ή περισσότερων μεταβλητών.
GetBulkRequest – ένα αίτημα προς τον πράκτορα να λάβει μια σειρά δεδομένων (συντονισμένο GetNextRequest). (Αυτή η PDU εισήχθη στο SNMPv2.)
InformRequest – μονόδρομη ειδοποίηση μεταξύ διαχειριστών. Μπορεί να χρησιμοποιηθεί, για παράδειγμα, για την ανταλλαγή πληροφοριών σχετικά με το MIB (αντιστοιχία μεταξύ συμβολικών OID και ψηφιακών). Σε απάντηση, ο διαχειριστής δημιουργεί ένα παρόμοιο πακέτο για να επιβεβαιώσει ότι έχουν ληφθεί τα αρχικά δεδομένα. (Αυτή η PDU εισήχθη στο SNMPv2.)

Όπως μπορείτε να δείτε, ανάλογα με την έκδοση του πρωτοκόλλου, το σύνολο των εντολών είναι διαφορετικό (για παράδειγμα, το InformRequest και το GetB ulkRequest εμφανίστηκαν πλήρως μόνο στη δεύτερη έκδοση του SNMP).

Δομή PDU

Η εξέταση της δομής PDU δεν είναι απαραίτητη, αλλά θα σας βοηθήσει να αποκτήσετε μια βαθύτερη κατανόηση της λογικής SNMP. Όλα τα PDU (εκτός από το Trap) αποτελούνται από ένα συγκεκριμένο σύνολο πεδίων στα οποία καταγράφονται οι απαραίτητες πληροφορίες:

Ρύζι. 2. Μορφή πέντε μηνυμάτων SNMP που ενσωματώνονται σε ένα datagram UDP

Τι σημαίνουν αυτά τα πεδία:

Έκδοση - περιέχει την έκδοση SNMP.
Κωδικός πρόσβασης (κοινότητα) - περιέχει μια ακολουθία χαρακτήρων που περιγράφουν τη συμμετοχή στην ομάδα.
Ο τύπος PDU έχει ένα αριθμητικό αναγνωριστικό αιτήματος (Get, GetNext, Set, Responde, Trap...).
Το αναγνωριστικό αιτήματος είναι το ίδιο σύνολο χαρακτήρων που συνδέει την αίτηση/απάντηση σε ένα ενιαίο σύνολο.
Η κατάσταση σφάλματος είναι ένας αριθμός που χαρακτηρίζει τη φύση του σφάλματος:

Για αιτήματα (Get, Set, GetNExt, κ.λπ.) - 0
Για απαντήσεις:

0 (NoError) – Χωρίς σφάλματα.
1 (TooBig) - Το αντικείμενο δεν χωράει σε ένα μήνυμα απόκρισης.
2 (NoSuchName) – ανύπαρκτη μεταβλητή.
3 (BadValue) – κατά την προσπάθεια ορισμού της τιμής, καθορίστηκε μια μη έγκυρη τιμή ή έγινε συντακτικό σφάλμα.
4 (ReadOnly) – κατά τη διάρκεια ενός αιτήματος Set, έγινε προσπάθεια αλλαγής μιας μεταβλητής μόνο για ανάγνωση.
5 (GenErr) – άλλα σφάλματα.

Ευρετήριο σφαλμάτων – περιέχει έναν ορισμένο δείκτη της μεταβλητής με την οποία σχετίζεται το σφάλμα.
Το πεδίο συσχετισμένων μεταβλητών μπορεί να περιέχει μία ή περισσότερες μεταβλητές (για αιτήματα λήψης αυτό είναι μόνο το όνομα των μεταβλητών, για Set - το όνομα και η τιμή που θα οριστεί, για την Απόκριση - το όνομα και η ζητούμενη τιμή).

Ταυτόχρονα, τα περιεχόμενα του Trap PDU περιέχουν μερικά πρόσθετα πεδία (αντί για την κεφαλίδα αιτήματος):

Εταιρεία – που χαρακτηρίζει τον κατασκευαστή υποδοχής·
Ο τύπος ειδοποίησης παγίδας μπορεί να είναι ο εξής:

0 (Coldstart) και 1 (Warmstart) – το αντικείμενο επιστρέφει στην αρχική του κατάσταση (υπάρχει κάποια διαφορά μεταξύ τους, αλλά τι;..);
2 (Linkdown) – η διεπαφή παραλείπεται, ενώ το πεδίο μεταβλητής περιέχει την εν λόγω διεπαφή.
3 (Σύνδεση) – η διεπαφή έχει αυξηθεί και το πεδίο μεταβλητής περιέχει την εν λόγω διεπαφή.
4 (Αποτυχία ελέγχου ταυτότητας) – ο διαχειριστής έστειλε ένα μήνυμα με λανθασμένη συμβολοσειρά κοινότητας.
5 (EGPneighborloss) – δυσκολεύομαι να πω οτιδήποτε).
6 (Entrprisespecific) – αυτός ο τύπος παγίδας υποδεικνύει ότι το επόμενο πεδίο περιέχει έναν τύπο παγίδας εξειδικευμένο για έναν συγκεκριμένο προμηθευτή.

Ειδικός τύπος παγίδας;
Χρονική σήμανση – περιέχει μια χρονική σήμανση από τη στιγμή του συμβάντος (δεν είναι σαφές με τι σχετίζεται αυτή η ετικέτα...).

Για να συνεισφέρετε στην προστασία από επιθέσεις DDoS, δεν χρειάζεται να αγοράσετε ακριβό εξοπλισμό ή υπηρεσίες. Οποιοσδήποτε διαχειριστής ενός διακομιστή προσβάσιμου από το Διαδίκτυο μπορεί να συμμετάσχει σε έναν τόσο ευγενή σκοπό χωρίς πρόσθετες υλικές επενδύσεις, χρησιμοποιώντας μόνο γνώση και λίγο χρόνο.

Έτσι φαίνεται η κίνηση κατά τη διάρκεια μιας επίθεσης DDoS ενίσχυσης SNMP.

Ενίσχυση SNMP επίθεσης DDOS

Η ουσία της επίθεσης είναι να ξεκινήσει μια πολλαπλά αυξημένη απόκριση σε ένα αίτημα SNMP. Τα αιτήματα BULK, που αρχικά αναπτύχθηκαν για την αυτοματοποίηση της ανάκτησης δεδομένων σε πίνακα, ελαχιστοποιώντας τον αριθμό των αποσταλμένων πακέτων, έχουν γίνει ένα αρκετά αποτελεσματικό εργαλείο για την πραγματοποίηση επιθέσεων DDoS στα χέρια των εισβολέων. Όπως λέει RFC3416, GetBulkRequest, που υλοποιείται στην έκδοση 2 του SNMP, έχει σχεδιαστεί για να μπορεί να ζητά μεγάλο όγκο δεδομένων, κάτι που εκμεταλλεύονται οι εισβολείς χρησιμοποιώντας εσφαλμένα διαμορφωμένους διακομιστές στο Διαδίκτυο.

$ snmpbulkget -c public -v 2c -C r20000 192.168.10.129 ↵ 1.3.6.1

$ snmpbulkget - c public - v 2c - C r20000 192.168.10.129 ↵1.3.6.1

η απάντηση θα είναι κάπως έτσι:

iso.3.6.1.2.1.1.1.0 = STRING: "SNMP4J-Agent Windows 2003 x86 5.2"<пропущено 290 строк>iso.3.6.1.6.3.18.1.1.1.8.123.123.12.123.123.12.12.123.123.12 .123.123.12 = Δεν έχουν απομείνει άλλες μεταβλητές σε αυτήν την προβολή MIB (Έχει περάσει το τέλος του δέντρου MIB)

iso. 3.6.1.2.1.1.1.0 = STRING : "SNMP4J-Agent Windows 2003 x86 5.2"

< пропущено290 строк>iso. 3.6.1.6.3.18.1.1.1.8.123.123.12.123.123.12.12.123.123.12 . 123.123.12 =

Δεν έχουν απομείνει άλλες μεταβλητές σε αυτήν την προβολή MIB (Έχει περάσει το τέλος του δέντρου MIB )

Σε αυτήν την περίπτωση, η εκτέλεση του tcpdump θα δείξει το μέγεθος του επιστρεφόμενου πακέτου:

21:41:18.185058 IP 192.168.10.128.39565 > 192.168.10.129. snmp: GetBulk(25) N=0 M=20000 .iso.org.dod.internet 21:41:18.603553 IP 192.168.10.129.snmp > 192.168.10.128.39565:

21:41:18.185058 IP 192.168.10.128.39565 > 192.168.10.129.

snmp: GetBulk (25) N = 0 M = 20000. iso. org. dod. Διαδίκτυο

21:41:18.603553 IP 192.168.10.129.snmp >

192.168.10.128.39565: [len1468< asnlen10102 ]

Σε απόκριση σε ένα αίτημα μεγέθους περίπου 70 byte, συμπεριλαμβανομένων των κεφαλίδων, ο διακομιστής επιστρέφει μια απάντηση μεγέθους περίπου 10 kilobyte, δηλαδή σχεδόν 150 φορές μεγαλύτερη. Το κέρδος δεν είναι σταθερό και μπορεί να πάρει είτε υψηλότερη (φτάνοντας τις 1700 φορές) είτε χαμηλότερη τιμή, ανάλογα με τον τύπο του λειτουργικού συστήματος και τις παραμέτρους διαμόρφωσης της συσκευής. Εάν, όταν υποβάλλετε ένα τέτοιο αίτημα, χρησιμοποιείτε την αντικατάσταση της διεύθυνσης IP του αποστολέα για τη διεύθυνση του θύματος και την υψηλή ένταση κλήσεων προς τον ευάλωτο διακομιστή, Η επίθεση DDoS είναι έτοιμη.

Ο λόγος για τις επιθέσεις DDoS

Η ουσία της ευπάθειας δεν είναι, κατά κανόνα, η προσαρμογή του αριθμού των τιμών που αποστέλλονται ανά μία GetBulkRequestαλλά αυτό το νόημα κοινότητα SNMPορίζεται από προεπιλογή: δημόσιο – μόνο για ανάγνωσηή, ακόμα χειρότερα, ιδιωτική – ανάγνωση.

Οι εκδόσεις 1 και 2 του SNMP βασίζονται στο UDP, χρησιμοποιούνται για παρακολούθηση και διαχείριση και χρησιμοποιούν την τιμή κοινότητα, το οποίο μπορεί να ρυθμιστεί σε μόνο για ανάγνωση ( μόνο για ανάγνωση) ή με δυνατότητα εγγραφής (ρ διάβασμα-γράψτε). Συχνά στα συστήματα κατά την ενεργοποίηση της υπηρεσίας SNMP, ορίζεται η προεπιλεγμένη τιμή - δημόσιο για ανάγνωση μόνο και ιδιωτικό για ανάγνωση-εγγραφή.

Ακόμα κι αν αφαιρέσουμε την πιθανότητα χρήσης ενός εσφαλμένα διαμορφωμένου διακομιστή ως ανακλαστήρα για την ενίσχυση επιθέσεων SNMP, η απειλή λήψης πληροφοριών σχετικά με τον διακομιστή, το λογισμικό που είναι εγκατεστημένο σε αυτόν και τις εκδόσεις του είναι προφανής όταν χρησιμοποιείται η προεπιλεγμένη δημόσια τιμή για μόνο για ανάγνωση.

Σχεδόν απεριόριστη προνομιακή πρόσβαση με δικαιώματα διαχειριστή στη συσκευή δίνει ιδιωτική κοινότητα ανάγνωσης-εγγραφής.Ακόμα κι αν δεν γίνουν κακόβουλες αλλαγές, τα εντατικά αιτήματα που χρησιμοποιούν το πρωτόκολλο SNMP μπορούν να επιβαρύνουν σημαντικά τους υπολογιστικούς πόρους του διακομιστή ερωτημάτων, επηρεάζοντας έτσι την ποιότητα των υπηρεσιών που παρέχει.

Προστασία από επιθέσεις DDoS όπως η ενίσχυση SNMP

Γενικές συστάσεις για πρωτόκολλα που βασίζονται σε UDP που είναι ευάλωτα στην αντιμετώπιση επιθέσεων πλαστογράφησης παρέχονται στο BCP38 και RFC2827και περιγράφεται στα προηγούμενα.

Αρχιτεκτονικά: Να επιτρέπεται η επεξεργασία αιτημάτων μόνο σε διεπαφές που δεν είναι προσβάσιμες από μη αξιόπιστα δίκτυα.
Αλλάζοντας την κοινότητα σε κάτι πιο δύσκολο να μαντέψεις.
Περιορισμός διευθύνσεων IP σταθμών ελέγχου.
Περιορισμός του κλάδου OID που είναι διαθέσιμος για λήψη/τροποποίηση μέσω SNMP.
Ελαχιστοποίηση ή άρνηση χρήσης κοινότηταγια ανάγνωση και γραφή.
Μετεγκατάσταση στην έκδοση 3 SNMP με χρήση πρόσθετων επιλογών ελέγχου ταυτότητας και κρυπτογράφησης.
Απενεργοποιήστε το SNMP εάν δεν χρησιμοποιείται.

Πώς να εκτελέσετε αυτά τα βήματα σε διαφορετικά συστήματα;

Προστασία DDoS Ενίσχυση SNMP σε Unix

Οι ακόλουθες παράμετροι διαμορφώνονται στο αρχείο διαμόρφωσης υπηρεσίας SNMP:

# Διεύθυνση IP, πρωτόκολλο και θύρα που λαμβάνει αιτήματα SNMP agentAddress udp:10.0.0.1:161

Εάν ένας διακομιστής Unix είναι ουσιαστικά ένας δρομολογητής και έχει πολλές διεπαφές αρχιτεκτονικά, για λόγους ασφαλείας είναι απαραίτητο να αφήσετε μόνο τη διεπαφή προσβάσιμη μέσω SNMP που είναι προσβάσιμη από το αξιόπιστο τμήμα, αλλά όχι από το Διαδίκτυο. Ονομα κοινότηταγια την πρόσβαση καθορίζεται από την παράμετρο rocommunity ( μόνο για ανάγνωση) ή rwcommunity ( διαβάζω γράφω), είναι επίσης δυνατό να καθοριστεί το υποδίκτυο από το οποίο επιτρέπεται η πρόσβαση και ο κλάδος OID που είναι διαθέσιμος για λειτουργία του καθορισμένου υποδικτύου με τα καθορισμένα δικαιώματα της γραμμής κοινότητας.

Για παράδειγμα, προκειμένου να επιτραπούν συστήματα παρακολούθησης από ένα υποδίκτυο 10.0.0.0/24 πρόσβαση σε πληροφορίες μέσω διεπαφών ( OID 1.3.6.1.2.1.2), χρησιμοποιώντας τη συμβολοσειρά πρόσβασης MaKe_It_SeCuReμε δικαιώματα μόνο για ανάγνωση, το απόσπασμα διαμόρφωσης θα μοιάζει με αυτό:

rocommunity MaKe_It_SeCuRe 10.0.0.0/24 .1.3.6.1.2.1.2

Αλλά εάν η εργασία είναι να διασφαλίσετε την ασφάλεια της υπηρεσίας snmpd, η οποία είχε προηγουμένως ρυθμιστεί εσφαλμένα από τον προκάτοχό της, το συντομότερο δυνατό, μπορείτε να δημιουργήσετε ένα αντίγραφο ασφαλείας του snmpd.conf, να προσθέσετε περιορισμούς στο υποδίκτυο συστημάτων παρακολούθησης στο νέο αρχείο ρυθμίσεων και αλλάξτε την κοινότητα. Στο Debian θα μοιάζει με αυτό:

#CD<директория с snmpd.conf># mv snmpd.conf snmpd.conf.backup # echo rocommunity MaKe_It_SeCuRe 10.0.0.0/24 > snmpd.conf # /etc/init.d/snmpd επανεκκίνηση

#CD<директория с snmpd.conf>

# mv snmpd.conf snmpd.conf.backup

# echo rocommunity MaKe_It_SeCuRe 10.0.0.0/24 > snmpd.conf # /etc/init.d/snmpd επανεκκίνηση

Μετά από αυτό, μόνο το υποδίκτυο θα έχει πρόσβαση μέσω SNMP στον διακομιστή 10.0.0.0/24 χρησιμοποιώντας τη νέα κοινότητα, ενώ όλοι οι διακομιστές στους οποίους η κοινότητα δεν έχει αλλάξει στη νέα θα σταματήσουν να λαμβάνουν απαντήσεις στα αιτήματα, όπως και οι εισβολείς.

Θα ήταν πιο ασφαλές να μεταβείτε στη χρήση του SNMPv3, στο οποίο είναι δυνατή η διαφοροποίηση των παραμέτρων ελέγχου ταυτότητας. Επίσης, σε αντίθεση με τις εκδόσεις 1 και 2c SNMPv3σας επιτρέπει να παρέχετε κρυπτογράφηση της κίνησης μεταξύ του συστήματος παρακολούθησης και του εξεταζόμενου εξοπλισμού.

Για να δημιουργήσετε έναν χρήστη με δικαιώματα μόνο για ανάγνωση, έλεγχο ταυτότητας και κρυπτογράφηση κυκλοφορίας στο αρχείο διαμόρφωσης snmpd.confχρειάζεται να προστεθεί:

createUser v3user SHA "some_AuThPaSs" AES some_privpass authuser read v3user authpriv 1.3.6.1.2.1.2

createUser v3user SHA "some_AuThPaSs" AES some_privpass

authuser read v3user authpriv 1.3.6.1.2.1.2

Αντίστοιχα, ο χρήστης v3 χρήστηθα πάρει την άδεια μόνο για ανάγνωσηγια να δείτε το νήμα 1.3.6.1.2.1.2 μέσω SNMP.

Μπορείτε να ελέγξετε την ορθότητα της διαμόρφωσης μετά την επανεκκίνηση της υπηρεσίας SNMP στον διακομιστή 192.168.10.128 με την εντολή που εκτελείται στον πελάτη:

$ snmpwalk -v 3 -A some_AuThPaSs -X some_privpass -a SHA ↵ -x AES -u v3user -l authPriv 192.168.10.128 1

$ snmpwalk - v 3 - A some_AuThPaSs - X some_privpass - a SHA ↵- x AES - u v3user - l authPriv 192.168.10.128 1

Σε αυτήν την περίπτωση, παρά το γεγονός ότι ολόκληρο το δέντρο που ξεκινά από το 1 θα ερωτηθεί, ο διακομιστής θα επιστρέψει μόνο τον επιτρεπόμενο κλάδο 1 .3.6.1.2.1.2, που θα καθοριστεί στη διαμόρφωση.

Αν αρνηθείς SNMP v1/v2cυπέρ SNMPv3είναι επίσης απαραίτητο να αφαιρέσετε από τις ρυθμίσεις του αρχείου διαμόρφωσης θραύσματα που δεν σχετίζονται με SNMPv3.

Εάν το SNMP δεν χρησιμοποιείται για την παρακολούθηση του διακομιστή, η πιο σωστή λύση θα ήταν να αφαιρέσετε το πακέτο snmpd.

Προστασία DDoS Ενίσχυση SNMP σε εξοπλισμό Cisco

Το Cisco IOS δεν έχει τη δυνατότητα να επιλέξει τη διεπαφή που θα επεξεργάζεται αιτήματα SNMP. Ο περιορισμός εκτελείται χρησιμοποιώντας λίστες πρόσβασης ( λίστα ελέγχου πρόσβασης, ACL). Ας υποθέσουμε ότι το επιτρεπόμενο υποδίκτυο είναι 10.0.0.0/24 . Δημιουργείται ένα ACL:

(config)#access-list 10 permit 10.0.0.0 0.0.0.255

Ο περιορισμός στους κλάδους SNMP OID εφαρμόζεται χρησιμοποιώντας την προβολή:

(config)#snmp-server view IFACES 1.3.6.1.2.1.2 περιλαμβάνεται

Χρησιμοποιώ SNMPv3με τους απαραίτητους περιορισμούς (έλεγχος ταυτότητας και κρυπτογράφηση, μόνο για ανάγνωση, πρόσβαση από το υποδίκτυο 10.0.0.0/24 στον κλάδο διεπαφής που ορίζεται στην προβολή IFACES), πρέπει να δημιουργήσετε μια ομάδα ( ΑΣΦΑΛΗΣ) με πρόσβαση μόνο για ανάγνωση σε OIDαπό προβολή IFACESκαι την ανάγκη για έλεγχο ταυτότητας με κρυπτογράφηση, συνδέοντάς το με το προηγουμένως δημιουργημένο λίστα πρόσβασης 10:

(config)#snmp-ομάδα διακομιστών SECURE v3 priv read IFACES ↵ πρόσβαση 10

Η λειτουργικότητα του SNMPv3 με τις ρυθμίσεις που περιγράφονται παραπάνω ελέγχεται χρησιμοποιώντας την εντολή.