A snmp leírása (egyszerű hálózatkezelési protokoll)

előzőa következő

A Simple Network Management Protocol (SNMP) leírása

20 évvel az óvodában (vagy a gyerekszobában) a fiú megkérdezi a lányt: - A szüleid, akikkel találkoztak?

Minden komoly hálózati menedzsment rendszer egy egyszerű hálózati menedzsment protokollt (SNMP) használ a munkájukhoz. Valójában az SNMP nem csupán egy protokoll, hanem egy olyan teljes technológia, amely a hálózati eszközök és alkalmazások kezelésére és vezérlésére szolgál. Ezt fel lehet használni, hogy ellenőrizzék teljesen olyan eszköz csatlakozik a hálózathoz, például tűzoltó érzékelők vagy akár közlekedési lámpánál. Persze, SNMP lehet használni (és aktívan teszi) kezelésére hálózati elemek: .. Hub, szerverek, routerek, stb használata SNMP információk (például egy index a csomagok száma másodpercenként, és a hálózati hibaarány), a hálózati rendszergazdák könnyebben kezelheti a a hálózat teljesítményét és a hálózati problémák észlelését és megoldását.

Az SNMP technológia három összetevője: A Management Information Base (MIB) Management Information (SMI) struktúrája maga az SNMP

SNMP kezelési modell

Az SNMP-ben lévő ügynökök olyan szoftver modulok, amelyek felügyelt eszközökön dolgoznak. Az ügyintézők információkat gyűjtenek az általuk kezelt felügyelt eszközökről, és ezeket az információkat SNMP protokoll használatával elérhetővé teszik a hálózatkezelő rendszerekhez (NMS).

SNMP v1 protokoll

SNMP valósul meg 1988-ban szinte minden közös hálózati környezetek :. TCP / IP, IPX / SPX, AppleTalk stb alapkoncepciója a protokoll, hogy minden szükséges eszköz vezérlésére információt a készüléken tárolt - legyen az egy szerver, router vagy modem - az ún. közigazgatási információs bázisban (MIB). Az SNMP, mivel maga a hálózati protokoll is csak egy sor parancsot biztosít a MIB változókkal való együttműködéshez. Ez a készlet a következő műveleteket tartalmazza:

  • get-request Egy vagy több MIB-paraméter lekérdezésére használható
  • get-next-request Szekvenciálisan olvasható értékek. Általában az értékek táblázatokból történő értelmezésére szolgál. Az első sor kérése után használja a get-request get-next-request-ot a táblázat többi sorának olvasásához
  • set-request Egy vagy több MIB változó értékének beállítására szolgál
  • get-response Visszaküldi a kérést kap kérést, get-next-request vagy set-request kérést
  • csapda A közlemény olyan üzenetekről szól, mint a hideg vagy meleg újraindítás vagy valamilyen kapcsolat "bukása".

Néhány hálózati eszköz működésének felügyeletéhez egyszerűen csak a MIB-ot kell elérnie, amelyet az eszköz folyamatosan frissít, és elemzi néhány változó értékeit.

Az SNMP üzenetek 2 részből állnak: közösségi név és adatok. A közösségi név hozzárendel egy hozzáférési környezetet az NMS-készlethez, amely ezt a nevet használja. Az üzenet információs része tartalmaz egy speciális SNMP műveletet (get, set, stb.) És a hozzá tartozó operandusokat. Az operandok olyan objektumok implementációit jelölik, amelyek az SNMP tranzakcióban szerepelnek.

A menedzsment információ szerkezete. RFC 1208

Kezelési információs bázis (MIB, MIB-II). RFC 1213

A MIB olyan változókészlet, amely a vezérlő objektum állapotát jellemzi. Ezek a változók tükrözhetik a paramétereket, például a készülék által feldolgozott csomagok számát, az interfészek állapotát, az eszköz működési idejét stb. A hálózati eszközök minden gyártója, a szokásos változókon kívül, a MIB-ben minden olyan paramétert tartalmaz, amely az eszközre jellemző (a magánvállalat alatti részében).

A struktúrája szerint a MIB egy fa, minden elem numerikus és szimbolikus azonosítóval rendelkezik. A változó neve magában foglalja a teljes elérési utat a gyökér-gyökér elemből.

Például, működés közben az eszköz, mivel az újraindítás tároljuk egy változó, amely a rendszerben szakasz száma 3 és az úgynevezett sysUpTime. Ennek megfelelően, a változó nevét tartalmazza egészen: ISO (1) .org (3) .dod (6) .internet (1) .mgmt (2) .mib-2 (1) .system (1) .sysUpTime (3) ; vagy a számok nyelvén: 1.3.6.1.2.1.1.3. Meg kell jegyeznünk, hogy a fa csomópontjait pontok választják el egymástól.

A mgmt vezérlőszakaszhoz tartozó szabványos MIB-ág van, amelyet általában az összes hálózati eszköz támogat.

Hálózati tesztelés SNMP-vel

Az SNMP segítségével különböző teszteket végezhet el a hálózati eszközök funkcionalitásáról, amelyeket újra meghatároznak az eszközökön. Ez hasznos, mert egyszerűen a statisztikák megfigyelése nem ad teljes képet arról, hogy mi történik.

Például vonatkozó részben az Ethernet interfész meghatározott vizsgálati TDR (Time-reflektometriai), amely lehetővé teszi, hogy meghatározza a hozzávetőleges távolság a hibát a koaxiális kábel. Ahhoz, hogy indítsa el a TDR tesztet kell beállítani, hogy a variábilis ifExtnsTestType (1.3.6.1.2.1.12.2.1.4) tartalmazó futtatható típusú vizsgálat, úgy, hogy tartalmazott TDR teszt azonosítót a MIB: 1.3.6.1.2.1.10.7.6.1.

A vizsgálat eredménye egyrészt az ifExtnsTestResult (1.3.6.1.2.1.12.2.1.5) változó értéke, amely a teszt eredményét jellemzi:

  • eredmény hiánya
  • siker
  • végezzük
  • nem támogatott
  • nem futhat
  • megszűnik
  • sikertelen befejezés

Másodszor, az ifExtnsTestCode (1.3.6.1.2.1.12.2.1.6) változó értéke tartalmazza a teszt eredményét tartalmazó MIB változó azonosítóját. A vizsgálat eredményét a 100 nanométernél nagyobb egységek közötti időintervallum határozza meg a tesztcsomag átvitelének kezdete és a féktárcsa ütközésének észlelése között. Elvileg ezen érték alapján meghatározhatja a szükséges távolságot.

Az SNMPv2 alapvető innovációja az, hogy a hálózati adminisztrációs elem egy időben menedzserként, ügynökként vagy ügyintézőként és ügynökként működhet. Ez a koncepció lehetővé teszi a felhasználók számára, hogy az SNMP-t olyan hierarchikus struktúrában használják fel, amelyben a helyi vezetők jelentik a középvezetőket, akiket egy felső szintű menedzser felügyel. Sok hely van az SNMP biztonságának problémáira, talán a protokoll legkiszolgáltatottabb pontjaira.

SNMP biztonság. RFC 1352.

Az SNMP v1 egyik legjelentősebb hátránya a fejlett adatvédelmi rendszer hiánya a vállalati szintű hálózatokhoz szükséges szinten.

Mike Warfield ezt mondta: "Az SNMP a biztonságért nem az én problémám" kifejezésre.

Az SNMPv1 védelmi igazgatási információkat értelmezni túl egyszerű: ez alapján a használata a közös nevet (Community Name), amely, mint az SNMP cím végzett vele az összes funkcióját üzenetküldési biztonság. Ez az eszköz (más néven a triviális protokoll) szükséges, hogy az azonosított ágens program vezetője és ugyanazon kollektív nevét, mielőtt folytatnánk a hálózati műveleteket. Ennek eredményeként számos hálózati rendszergazdák korlátozottak voltak a munkájukban csak felügyeleti funkciók gátlása révén a kibocsátás a SET parancs képes megváltoztatni a beállításokat a távoli eszköz beállításait. Ez vezetett ahhoz, hogy a felhasználók elkerüljék SET parancs: a primitív védelmi eszközök, mint a kollektív nevét, lehetővé teheti személyek nem megfelelően felhatalmazott tenni, változtatni a paramétereit, amit a felhasználók talán nem is tud. Ezenkívül minden kritikus információt világos formában továbbították, így még a snmp sniffer is elérhető az interneten

Az SNMPv2 biztonsági szabványok meghatározzák a hitelesítési módszereket (DAP-Digest Authentication Protocol) és a magánélet védelmét (SPP-Symmetric Privacy Protocol) az adminisztrációs információkhoz. Az alap a párt fogalma, amely egyedi biztonsági beállításokat tartalmaz, amelyek magukban foglalják a hálózati helyet, a hitelesítést és a titkosítási protokollokat, amelyeket az ügynök és a kezelő használ.

Az SNMPv2 végrehajtásával kapcsolatos problémák

Az SNMPv2 a felhasználók számára fontos védelmet és teljesítményt nyújt. De egyes vállalatok biztosan felajánlják saját elképzeléseiket, különösen a vezetők védelme és kommunikációja terén. Ezen túlmenően azok a vállalatok, amelyek kibővítették a MIB adatbázisok funkcionalitását az SNMPv1 környezetben, valószínűleg nem sietnek az SNMPv2 alatt lévő termékek kiadásával.

Egy másik lehetőség egy kétnyelvű kezelő, amely egyidejűleg támogatja mindkét protokollt (SNMPv1 és SNMPv2), és nem igényel átalakítást. A kétnyelvű SNMP menedzser meghatározza, hogy az ügynök 1-es vagy 2-es verziójú, és a megfelelő dialektusban kommunikál-e. Így a protokoll verziójának megválasztása átlátható legyen a fogadóeszközökre.

Sajnos az SNMP második verzióját eddig még nem engedélyezték, ezért a hálózati menedzsment hálózatban zavar és zavartság van.

Az ügynökök és vezetők elérhető megvalósítása

Az Epilogue olyan szoftvereket kínál, amelyek az SNMP támogatást nyújtják, többek között:

  • Envoy, Epilogue kompakt, gyors, hordozható SNMP megoldása az OEM-k számára
  • Emissary, egy SNMP MIB fordító, amely lehetővé teszi az SNMP számára, hogy kiterjeszti a szabványos SNMP változókat a MIB-ek kiterjesztésének támogatására minden egyes kezelt eszközön;
  • Nagykövet, az RMON (FastEthernet) távfelügyeleti ügynök teljes, hordozható megvalósítása.
  • A SystemView IBM Netview for AIX szolgáltatása nagy heterogén hálózatok elosztott vagy központosított kezelését biztosítja.
  • ACE * COMM A WinSNMP támogatja az SNMPv1-et SNMPv2u az iparág vezető Win16 és Win32 WinSNMP implementációinak v2.0-ban.
  • A NetView digitális Unix POLYCENTER kezelője a multivendor vállalati hálózatok ügyfél / kiszolgálói felügyeletét biztosítja.
  • A PowerFlag eszköz a Victron B.V. UPS MIB szünetmentes tápegységeinek ügynöke.
  • A WS_Ping ProPack v.2.10 lehetővé teszi a MIB táblázatok megtekintését, a részfákat. Az Ipswitch szerver legújabb verzióinak letöltéséhez a következő adatokat használhatja:
    • Felhasználónév: 0000037181
    • Jelszó: CQWSC
    • Sorozatszám: WP-101333
  • Nyíltan elérhető megvalósítások
  • CMU SNMP ügynök (forrás)
    • SNMPv1 és SNMPv2u
    • SNMPv1 és SNMPv2u.
    • Carnegie-Mellon Egyetem SNMP fejlesztői csomag, amely támogatja az SNMPv1 / v2-et
  • A NetSCARF egy hálózati statisztikai gyűjtemény és jelentéskészítő eszköz. Lehetővé teszi az internetszolgáltatók számára, hogy adatokat gyűjtsenek és jelentést készítsenek az internetükről, támogatják mind az SNMP 1. verzióját, mind az USEC-et.
  • A Scotty egy hálózatkezelő kiterjesztés az SNMPv1, SNMPv2c és SNMPv2u protokollt tartalmazó parancsparancs (Tcl) eszköz számára. A Scotty Tcl kiterjesztése tartalmazza a hálózatkezelő platformot (Tkined), amely MIB böngészőt, hálózati térképszerkesztőt, valamint monitoring és hibaelhárítást, hálózati felfedezést és eseményszűrő szkripteket biztosít.
    • A snmptcp v1.3 kiterjeszthető platform a felügyeleti alkalmazások számára, amelyek látszólag implementálják az SNMPv1, az SNMPv2c és az SNMPv2u alkalmazást.
    • A csomag alatt fut az X Window System UNIX és épül Tool Command Language (Tcl7.3 / Tk3.6) .Ezen kívül a MIB fordító, a csomag tartalmaz egy minimális alkalmazások számos szabványos MIB modulokat.

Támadás a Windows SNMP-n.

A szolgáltatások az alábbi UDP portokon (/ etc / services)

  • snmp 161 / udp snmp
  • snmp-trap 162 / udp snmp

Érdekes SMI hálózati menedzsment Vállalati kódok:

  • 2 IBM
  • 4 Unix
  • 9 cisco
  • 32 Santa Cruz üzemeltetése
  • 42 Sun Microsystems

Kis terjedését UDP port szkennerek Windows alatt, SNMP vezetők, valamint az ismeretek hiánya, ami a protokoll önmagában nyilvánvalóan az egyetlen oka a kis számú támadások eszközökön futó SNMP v1 menedzsment bevezetése óta ez a protokoll egyes operációs rendszerekben tett komoly hibákat. A megerősítések ezután megjelennek a bugtraq levelezőlistákon

A szabványos Windows NT SNMP szolgáltatás konfigurációjának biztonsági rése.

Lehetővé teszi, hogy távolról konfiguráljuk azokat a hálózati paramétereket, amelyek befolyásolják a rendszer biztonságát és megfelelő működését (ha maga az adminisztrátor elindította az SNMP szolgáltatást)

Az alapértelmezett konfigurációval az SNMP szolgáltatás reagál a szabványos "nyilvános" közösségre, amely rendelkezik olvasási és írási jogosultságokkal. A közösség egy olyan név, amely ugyanazokkal a funkciókkal rendelkezik, mint a bejelentkezés és a jelszó a rendszereken.

Az SNMP protokoll két szintű jogosultságot biztosít. csak olvasható és olvasható, de az SP4 előtt a Windows NT SNMP szolgáltatás nem engedélyezte, hogy a közösségek konfigurálhassák a hozzáférést az írási-íráson kívül.

Az alapértelmezett Windows NT SNMP szolgáltatásnak köszönhetően az SNMP-kezelővel az alábbi információkat bonthatjuk ki.

  • a LAN Manager tartománynév
  • a felhasználók listája
  • a részvények listája
  • a futó szolgáltatások listája

Az ISS-szkennerben ajánlott módon az SNMP mibs ezen részét kikapcsolhatja így:

  1. Nyissa meg a HKLM \ System \ CurrentControlSet \ Services \ SNMP \ Parameters \ ExtensionAgents parancsot
  2. keresse meg a SOFTWARE \ Microsoft \ LANManagerMIB2Agent \ CurrentVersion értéket
  3. és törölje.
  • az aktív TCP kapcsolatok listája
  • az aktív UDP-kapcsolatok listája
  • a hálózati interfészek listája és azokhoz kapcsolódó IP és hardvercímek
  • az IP útválasztási táblát és az ARP táblázatot, valamint számos hálózati teljesítménystatisztikát.

Azáltal, hogy az változó cracker módosíthatja a roaming asztal, ARP-tábla, kapcsolja ki a hálózati csatolók, hogy azokat az alapvető hálózati beállításokat, mint például az alapértelmezett IP, az élettartamuk (TTL), IP továbbítás (lehetővé kekszet átirányítani a hálózati forgalom). Ez különösen veszélyes, ha a megtámadott gép tűzfal.

A példák nem messze keresni, például, ha a gép egy tartományvezérlő vagy szerver, de kap egy listát az összes felhasználó esetén is parancsot: C: \ NTRESKIT> SNMPUTIL járni nyilvános .1.3.6.1.4.1.77.1.2.25

Ha törölni kívánja a WINS adatbázis összes bejegyzéseit (ami a WinNT teljes hibájához vezet), akkor ezt meg kell tennie

$ snmpset -v 1192.178.16.2 nyilvános .1.3.6.1.4.1.311.1.2.5.3.0 a 192.178.16.2 a CMU SNMP fejlesztői készlet alatt Unix alatt.

Az SNMP közösségi nevek Windows NT 4.0 (SP3) telepítésekor is nagyon kíváncsiak. Ha a szolgáltatás engedélyezve van, és a nevek nincsenek konfigurálva, akkor minden név olvasási / írási jogosultságot ad. Amint kiderült, ezt az SNMP specifikáció (RFC 1157) jelzi!

A negyedik Service Pack (SP4) a következő megoldást kínálja: a közösségi hozzáférés-vezérlés CSAK OLVASSA FEL, READ WRITE vagy READE CREATE. Alapértelmezés szerint az SP4 telepíti a READ CREATE hozzáférést, amely továbbra is lehetővé teszi a gépek megtámadását. A Microsoft egyértelműen gondoskodik a WinNT kényelméről a hackerek számára :)

A legjobb megoldás az M $ ajánlására: blokkolja az SNMP hozzáférést a tűzfalon.

A probléma a Solaris operációs rendszer verziójában 2,6-ig terjed.

A MIB-információk eléréséhez rejtett "nem dokumentált közösségi karakterlánc" található, amely lehetővé teszi a támadó számára, hogy megváltoztassa a rendszerparaméterek nagy részét.

Sajnos maga a közösség nem hívható meg, azonban az ISS Internet Scanner és az ISS RealSecure valós idejű behatolásérzékelés felismerheti ezt a problémát, azaz Megtekintheti a forrásukat is

előzőa következő