Lar
Conexão
Métodos de protocolo Snmp de ataques e defesas de rede. Proteção contra ataques DDoS, como amplificação SNMP. Trecho do texto

Métodos de protocolo Snmp de ataques e defesas de rede. Proteção contra ataques DDoS, como amplificação SNMP. Trecho do texto

CONTENTE
INTRODUÇÃO 3
1. BASE TEÓRICA DO PROBLEMA DE PESQUISA DE MÉTODOS DE ATAQUES AO PROTOCOLO SNMP
1.1 A NECESSIDADE DE ESTUDAR MÉTODOS DE ATAQUES NO PROTOCOLO SNMP 5
1.2 PROTOCOLO SNMP: DESCRIÇÃO, OBJETIVO 7
2. ANÁLISE DE ATAQUES AO PROTOCOLO SNMP E CONTRAMEDIDAS
2.1 TÉCNICAS DE ATAQUES AO PROTOCOLO SNMP E FORMAS DE EVITÁ-LOS 11
2.2 FORMAS DE CONTRA-ATAQUES NO PROTOCOLO SNMP 15
CONCLUSÃO 20
LISTA DE FONTES UTILIZADAS 21

Fragmento para revisão

Figura 3 - Tela do utilitário SoftPerfectNetworkScanner Patches Os fabricantes de diversos dispositivos de rede desenvolvem os chamados patches, cujo uso é necessário quando são detectadas vulnerabilidades no sistema. Portanto, se você encontrar dispositivos habilitados para SNMP em sua rede, é uma boa ideia entrar em contato com os fabricantes desses dispositivos para descobrir se eles desenvolveram os patches necessários. Desativando o serviço SNMP Muitos especialistas tendem a acreditar que se o serviço SNMP. não é necessário, ele deve ser desativado ou removido. Aqui está um algoritmo para desabilitar o serviço SNMP no sistema operacional Windows: Selecione o menu Iniciar - Painel de Controle - Ferramentas Administrativas - Serviços (ver Fig. 4). Selecionando o serviço SNMP. Se o serviço estiver em execução, clique no botão “Parar” e selecione “Tipo de inicialização” - “Desativado”. Figura 4 - Desativando o serviço SNMP Vale ressaltar que alguns dos produtos potencialmente vulneráveis ​​permanecem suscetíveis a ataques DoS ou outras ações que interrompem a estabilidade da rede mesmo quando o SNMP está desativado A filtragem de entrada depende da configuração de firewalls e roteadores para realizar a filtragem de entrada nas portas UDP 161 e 162. Isso impedirá ataques externos iniciados pela rede em dispositivos vulneráveis. rede local. Outras portas que suportam serviços relacionados ao SNMP, incluindo as portas TCP e UDP 161, 162, 199, 391, 750 e 1993, também podem exigir filtragem de entrada. Para proteção eficaz, a filtragem de saída pode ser implementada para controlar o tráfego proveniente do. Filtrar o tráfego de saída nas portas UDP 161 e 162 na borda da rede pode impedir que seu sistema seja usado como trampolim para um ataque. Sistemas de detecção e prevenção de intrusões (IDS) é um software ou. hardware, que detecta eventos de entrada não autorizada (intrusão ou ataque à rede) em um sistema ou rede de computadores. Sem um IDS, uma infraestrutura de segurança de rede torna-se impensável. Complementando os firewalls baseados em regras, o IDS monitora e monitora atividades suspeitas. Eles permitem identificar intrusos que penetraram no firewall e reportar isso ao administrador, que tomará as decisões necessárias para manter a segurança. Os métodos de detecção de intrusão não garantem a segurança completa do sistema. Como resultado da utilização do IDS, são alcançados os seguintes objectivos: identificar um ataque ou intrusão na rede; Em muitos casos, o invasor realizará uma fase de preparação, como sondar (varredura) a rede ou testá-la para descobrir vulnerabilidades do sistema, documentando ameaças conhecidas, monitorando a qualidade da administração realizada do ponto de vista da segurança, especialmente em redes grandes e complexas; ;obter informações valiosas sobre as intrusões ocorridas, a fim de restaurar e corrigir os fatores que levaram à intrusão, o que permite identificar a localização da origem do ataque do ponto de vista da rede externa (ataques externos ou internos); para tomar as decisões corretas ao colocar nós de rede Em geral, o IDS contém: um subsistema de vigilância, que coleta informações sobre eventos relacionados à segurança da rede ou sistema protegido; que armazena eventos primários e resultados de análise; um console de gerenciamento para configurar o IDS, monitorar o estado do sistema protegido e do IDS, estudando situações detectadas pelo subsistema de análise. Para resumir, notamos que a simplicidade do popular protocolo SNMP resulta em maior vulnerabilidade. . Como o SNMP é amplamente utilizado, a operação de redes com produtos vulneráveis ​​pode ter consequências desastrosas. Portanto, para usar efetivamente o protocolo SNMP, você deve usar várias maneiras prevenção de ataques e construção de um sistema de proteção abrangente. CONCLUSÃO O estudo é dedicado às questões de garantia da segurança da organização da interação em rede por meio do protocolo SNMP. No processo de trabalho, as características do protocolo nomeado foram identificadas e possíveis problemas seu uso. Para fundamentar o problema, são fornecidos dados estatísticos que confirmam a elevada probabilidade de implementação ataques de rede. Além disso, a parte teórica contém informações sobre a estrutura do protocolo, o esquema de solicitação/resposta e as etapas de obtenção de respostas às solicitações Within. trabalho do curso Foi realizada uma análise de possíveis ataques ao protocolo SNMP, entre os quais estão ataques Dos, ataques Buffer Overflow e aqueles que utilizam vulnerabilidades de strings de formato. É claro que existem muito mais ameaças potenciais, mas sua revisão requer um estudo mais aprofundado e abrangente. Para construir um sistema para proteger a interação de rede dos assinantes da rede, foram considerados métodos de prevenção de ataques ao protocolo SNMP e isso foi observado. que o uso de um conjunto de ferramentas seria eficaz Com base na análise, revelou-se que o protocolo SNMP é bastante vulnerável e, caso seja tomada a decisão de utilizá-lo, uma política de segurança deverá ser desenvolvida e todos os seus princípios deverão ser estabelecidos. cumprido. Assim, pode-se concluir que o objetivo foi alcançado e as tarefas definidas na introdução foram alcançadas. LISTA DE FONTES UTILIZADAS Atos normativos Lei federal. Federação Russa datado de 27 de julho de 2006 N 149-FZ Em informações, tecnologia da Informação e sobre proteção de informações Lista de literatura especializada e científica Blank-Edelman D. Perl para administração de sistemas, M.: símbolo-Plus, 2009.- 478 pp. Prática e perspectivas para a criação de uma nuvem segura de informação e computação baseada em MSS OGV / V.Yu. Borodakiy, A.Yu. Dobrodeev, P.A. Nashchekin // Problemas atuais de desenvolvimento de sistemas tecnológicos de segurança do Estado, comunicação especial e especial suporte de informação: VIII Interdepartamental de toda a Rússia conferência científica: materiais e relatórios (Orel, 13 a 14 de fevereiro de 2013). – Às 10 horas Parte 4 / Edição geral. V.V. Mizerova. – Orel: Academia do Serviço Federal de Segurança da Rússia, 2013. Organização Grishina N.V. sistema integrado proteção de informações. - M.: Helios ARV, 2009. - 256 p., Douglas R. Mauro SNMP Basics, 2ª edição / Douglas R. Mauro, Kevin J. Schmidt - M.: Symbol-Plus, 2012. - 725 p. Redes de computadores. Prática de construção. Para profissionais, São Petersburgo: Peter, 2003.-462 pp. Mulyukha V.A. Métodos e meios de proteção informações do computador. Firewall: Textbook / Mulyukha V.A., Novopashenny A.G., Podgursky Yu.E. - São Petersburgo: SPbSPU Publishing House, 2010. - 91 pp. Princípios, tecnologias, protocolos. - 4º. - São Petersburgo: Peter, 2010. -902 p. Tecnologias de comutação e roteamento em redes locais de computadores: livro didático / Smirnova E. V. e outros; Ed. A.V. Proletário. – M.: Editora do MSTU im. N.E. Bauman, 2013. – 389 pp. Flenov M. Linux através dos olhos de um hacker, São Petersburgo: BHV-St Petersburg, 2005. – 544 pp. Métodos e meios de proteger informações em sistemas de computador. - M.: centro editorial "Academy", 2005. -205 p. Khoroshko V. A., Chekatkov A. A. Métodos e meios de segurança da informação, K.: Junior, 2003. - 504 p. [Recurso eletrônico] URL: http://netconfig.ru/server/ids-ips/.Análise de ameaças da Internet em 2014. Ataques DDoS. Hackeando sites. URL: http://onsec.ru/resources/Internet%20threats%20in%202014.%20Overview%20by%20Qrator-Wallarm.pdf Kolischak A. Vulnerabilidade de string de formato [recurso eletrônico]. URL: https://securityvulns.ru/articles/fsbug.aspFirst Mile, nº 04, 2013 [recurso eletrônico]. URL: http://www.lastmile.su/journal/article/3823 Família de padrões SNMP [recurso eletrônico]. URL: https://ru.wikibooks.org/wiki /SNMP_standards_familyLiteratura estrangeira"CERT Advisory CA-2002-03: Multiple Vulnerabilities in Many Implementations of the Simple Network Management Protocol (SNMP)", 12 de fevereiro. 2002, (atual 11 de março de 2002)

LISTA DE FONTES UTILIZADAS
Atos regulatórios
1. Lei Federal da Federação Russa de 27 de julho de 2006 N 149-FZ Sobre informação, tecnologias de informação e proteção da informação
Lista de literatura especializada e científica
2. Blank-Edelman D. Perl para administração de sistemas, M.: Symbol-Plus, 2009.- 478 p.
3. Borodakiy V.Yu. Prática e perspectivas para a criação de uma nuvem segura de informações e computação baseada em MSS OGV / V.Yu. Borodakiy, A.Yu. Dobrodeev, P.A. Nashchekin // Problemas atuais no desenvolvimento de sistemas tecnológicos de segurança do Estado, comunicações especiais e suporte de informação especial: VIII Conferência científica interdepartamental de toda a Rússia: materiais e relatórios (Orel, 13 a 14 de fevereiro de 2013). – Às 10 horas Parte 4 / Edição geral. V.V. Mizerova. – Orel: Academia do Serviço Federal de Segurança da Rússia, 2013.
4. Grishina N.V. Organização de um sistema abrangente de segurança da informação. - M.: Helios ARV, 2009. - 256 p.
5. Douglas R. Mauro SNMP Basics, 2ª edição / Douglas R. Mauro, Kevin J. Schmidt - M.: Symbol-Plus, 2012.-725p.
6. Kulgin M.V. Redes de computadores. Prática de construção. Para profissionais, São Petersburgo: Peter, 2003.-462 p.
7. Mulyukha V.A. Métodos e meios de proteção de informações de computador. Firewall: Textbook / Mulyukha V.A., Novopashenny A.G., Podgursky Yu.E. - São Petersburgo: SPbSPU Publishing House, 2010. - 91 p.
8. Olifer V. G., Olifer N. P. Redes de computadores. Princípios, tecnologias, protocolos. - 4º. - São Petersburgo: Peter, 2010. -902 p.
9. Tecnologias de comutação e roteamento em redes locais de computadores: livro didático / SmirnovaE. V. e outros; Ed. A.V. Proletário. – M.: Editora do MSTU im. N.E. Bauman, 2013. – 389 p.
10. Flenov M. Linux através dos olhos de um hacker, São Petersburgo: BHV-São Petersburgo, 2005. – 544 p.
11. Khoreev P.V. Métodos e meios de proteção de informações em sistemas informáticos. – M.: centro editorial "Academia", 2005. –205 p.
12. Khoroshko V. A., Chekatkov A. A. Métodos e meios de proteção de informações, K.: Junior, 2003. - 504 p.
Fontes da Internet
13. IDS/IPS - Sistemas de detecção e prevenção de intrusões [recurso eletrônico] URL: http://netconfig.ru/server/ids-ips/.
14. Análise das ameaças da Internet em 2014. Ataques DDoS. Hackeando sites. URL: http://onsec.ru/resources/Internet%20threats%20in%202014.%20Overview%20by%20Qrator-Wallarm.pdf
15. Kolischak A. Vulnerabilidade de string de formato [recurso eletrônico]. URL: https://securityvulns.ru/articles/fsbug.asp
16. Primeira Milha, nº 04, 2013 [Recurso eletrônico]. URL: http://www.lastmile.su/journal/article/3823
17. Família de padrões SNMP [recurso eletrônico]. URL: https://ru.wikibooks.org/wiki /SNMP_standards_family
Literatura estrangeira
18. "CERT Advisory CA-2002-03: Múltiplas Vulnerabilidades em Muitas Implementações do Simple Network Management Protocol (SNMP)", 12 de fevereiro. 2002, (atual 11 de março de 2002)

Postado em http:// www. tudo de bom. ru/

Postado em http:// www. tudo de bom. ru/

visão geral das técnicas de ataque à rede na camada de rede do modelo OSI e contramedidas

INTRODUÇÃO

Ataques de rede de vírus Trojan

Qualquer informação tem três propriedades principais:

· Confidencialidade.

· Integridade.

· Disponibilidade.

Explique cada uma dessas propriedades.

Informações confidenciais são informações que estão em posse, uso ou descarte de indivíduos individuais ou pessoas jurídicas e distribuídos a seu pedido de acordo com seus termos e condições.

Integridade da informação (integridade de dados) é um termo da ciência da computação e da teoria das telecomunicações que significa que os dados estão completos, desde que os dados não tenham sido modificados por qualquer operação neles, seja transmissão, armazenamento ou apresentação.

Disponibilidade de informação - estado da informação (recursos automatizados sistema de informação), em que os sujeitos com direitos de acesso podem exercê-los livremente. Direitos de acesso: o direito de ler, alterar, copiar, destruir informações, bem como o direito de alterar, usar, destruir recursos.

Existem três formas principais de proteger as informações, listadas em ordem de importância:

· Métodos organizacionais de proteção da informação. A segurança da informação organizacional é um princípio organizacional, o chamado “núcleo” em sistema comum proteção de informações confidenciais da empresa. A eficácia do sistema de segurança da informação como um todo depende da integralidade e qualidade das soluções por parte da gestão da empresa e dos responsáveis ​​​​pelas tarefas organizacionais. O papel e o lugar da proteção da informação organizacional no sistema geral de medidas destinadas a proteger a informação confidencial de uma empresa são determinados pela importância excepcional para a gestão tomar decisões de gestão oportunas e corretas, tendo em conta as forças, meios, métodos e métodos de proteção da informação à sua disposição e com base no atual aparato metodológico.

· Métodos técnicos de proteção da informação. Esses métodos requerem a presença de dispositivos e meios técnicos processamento de informações, meios especiais soluções técnicas, fornecendo proteção e controle de informações. E, além disso, métodos de proteção da informação, ou seja, um conjunto de algoritmos e programas que garantem o controle de acesso e a exclusão do uso não autorizado da informação.

SNMPé um protocolo de nível de aplicativo projetado para a pilha TCP/IP, embora existam implementações para outras pilhas, como IPX/SPX. O protocolo SNMP é utilizado para obter informações dos dispositivos de rede sobre seu status, desempenho e outras características, que são armazenadas na Management Information Base (MIB). A simplicidade do SNMP se deve em grande parte à simplicidade dos MIBs SNMP, especialmente de suas primeiras versões, MIB I e MIB II. Além disso, o próprio protocolo SNMP também é muito simples.

Um agente no protocolo SNMP é um elemento de processamento que fornece aos gerentes localizados nas estações de gerenciamento da rede acesso aos valores das variáveis ​​​​MIB e, assim, permite-lhes implementar funções de gerenciamento e monitoramento do dispositivo.

As principais operações de gerenciamento são realizadas no gerenciador, e o agente SNMP na maioria das vezes desempenha um papel passivo, transferindo os valores das variáveis ​​estatísticas acumuladas para o gerenciador a seu pedido. Neste caso, o dispositivo opera com sobrecarga mínima para manter o protocolo de controle. Ele usa quase todo o seu poder de processamento para executar suas funções básicas como roteador, ponte ou hub, e o agente coleta estatísticas e valores de variáveis ​​​​de estado do dispositivo e os reporta ao gerente do sistema de controle.

SNMP- este é um protocolo como "solicitação-resposta", ou seja, para cada solicitação recebida do gestor, o agente deverá enviar uma resposta. Uma característica especial do protocolo é sua extrema simplicidade – inclui apenas alguns comandos.

    O comando Get-request é utilizado pelo gerente para obter do agente o valor de um objeto pelo seu nome.

    O comando GetNext-request é usado pelo gerenciador para recuperar o valor do próximo objeto (sem especificar seu nome) verificando sequencialmente a tabela de objetos.

    Usando o comando Get-response, o agente SNMP envia ao gerente uma resposta aos comandos Get-request ou GetNext-request.

    O comando Set é utilizado pelo gerente para alterar o valor de um objeto. O comando Set é usado para realmente controlar o dispositivo. O agente deve entender o significado dos valores do objeto que é usado para gerenciar o dispositivo e, com base nesses valores, executar a ação de controle real - desabilitar a porta, atribuir a porta a uma VLAN específica, etc. O comando também é adequado para definir a condição sob a qual o agente SNMP deve enviar a mensagem correspondente ao gerenciador. Podem ser definidas reações a eventos como inicialização do agente, reinicialização do agente, perda de conexão, restauração de conexão, autenticação incorreta e perda do roteador mais próximo. Se algum desses eventos ocorrer, o agente emite uma interrupção.

    O comando Trap é utilizado pelo agente para notificar o gerente de que ocorreu uma exceção.

    O SNMP v.2 adiciona o comando GetBulk a este conjunto, que permite ao gerente obter vários valores de variáveis ​​​​em uma solicitação.

CONCLUSÃO
O estudo é dedicado às questões de garantia da segurança da interação em rede utilizando o protocolo SNMP. No processo de trabalho foram identificadas as características do protocolo nomeado e possíveis problemas com sua utilização. Para fundamentar o problema, são fornecidos dados estatísticos que confirmam a alta probabilidade de ataques à rede. Além disso, a parte teórica contém informações sobre a estrutura do protocolo, o esquema de solicitação/resposta e as etapas de obtenção de respostas às solicitações.
Como parte do trabalho do curso, foi realizada uma análise de possíveis ataques ao protocolo SNMP, entre os quais ataques Dos, ataques Buffer Overflow e aqueles que utilizam vulnerabilidades de string de formato. É claro que existem muito mais ameaças potenciais, mas a sua revisão requer um estudo mais aprofundado e abrangente anié.
Para construir um sistema de proteção da interação em rede dos assinantes da rede, foram considerados métodos de prevenção de ataques ao protocolo SNMP e notou-se que a utilização de um conjunto de ferramentas seria eficaz.
Com base na análise, foi revelado que o protocolo SNMP é bastante vulnerável e, caso você ainda decida utilizá-lo, deverá desenvolver uma política de segurança e aderir a todos os seus princípios.
Assim, podemos concluir que o objetivo foi alcançado e as tarefas definidas na introdução foram resolvidas.

INTRODUÇÃO
O rápido desenvolvimento moderno da tecnologia da informação impõe novas exigências ao armazenamento, processamento e distribuição de dados. Da mídia de armazenamento tradicional e servidores dedicados, empresas e indivíduos estão gradualmente migrando para tecnologias remotas implementadas através de rede global Internet. Os serviços de Internet podem tornar-se ferramentas indispensáveis ​​​​para o funcionamento de uma empresa moderna e em desenvolvimento dinâmico, que incluem: e-mail; troca de arquivos, mensagens de voz e dados por meio de aplicativos de vídeo; desenvolvimento de seus próprios recursos da Web.
Segundo muitos especialistas, a utilização generalizada das tecnologias da Internet exige a construção de um sistema de gestão eficaz dos dispositivos de rede, uma das ferramentas que pode ser tornar-se o protocolo SNMP. Porém, organizar o gerenciamento e o monitoramento dos dispositivos de rede por meio deste protocolo torna os elementos da rede vulneráveis ​​a ataques. Assim, questões tecnológicas de prevenção de ataques à rede à luz do desenvolvimento dos serviços de Internet vêm à tona e requerem uma análise abrangente. É por isso que o tema da pesquisa é relevante.
As dúvidas de muitos autores têm sido dedicadas à construção de um sistema de proteção contra ataques ao protocolo SNMP, mas não há consenso sobre a conveniência do uso do SNMP devido à complexidade de garantir a segurança. Assim, Flenov M. em seu livro “Linux através dos olhos de um Hacker” destacou as desvantagens deste protocolo e não recomenda seu uso. Smirnova E. V. No livro “Tecnologias de comutação e roteamento em redes locais de computadores”, ele fornece informações sobre esquemas de transferência de dados multicast e gerenciamento eficaz de equipamentos de rede usando o protocolo SNMP, e também destaca separadamente as questões de segurança de seu uso. Uma revisão mais aprofundada da literatura especializada e de fontes da Internet confirmou a necessidade de estudar as questões do uso seguro do protocolo SNMP para decidir sobre a conveniência de seu uso. esta decisão será uma análise de possíveis ataques e a eficácia dos métodos para evitá-los.
O objetivo do estudo é realizar uma análise abrangente de possíveis ataques ao protocolo SNMP e contramedidas.
Para atingir o objetivo, é necessário resolver uma série de problemas:
1. Realizar uma revisão da literatura e fontes da Internet sobre a organização da interação segura em rede com base no uso do protocolo SNMP.
2. Justificar a necessidade de estudar métodos de ataques ao protocolo SNMP e formas de preveni-los.
3. Destaque as funcionalidades de gerenciamento baseadas no protocolo SNMP.
4. Realizar uma análise de técnicas do protocolo SNMP.
5. Descrever métodos para prevenir ataques ao protocolo SNMP.
O objeto de estudo é o protocolo SNMP.
O tema da pesquisa são métodos de ataques de rede ao protocolo SNMP e formas de evitá-los.
Métodos de pesquisa: análise, síntese, estudo de fontes de informação.
O trabalho da unidade curricular é composto por uma introdução, dois capítulos e uma conclusão. O primeiro capítulo é dedicado à fundamentação teórica do problema. O segundo capítulo contém uma análise de possíveis ataques e formas de evitá-los

CONTENTE
INTRODUÇÃO 3
1. BASE TEÓRICA DO PROBLEMA DE PESQUISA DE MÉTODOS DE ATAQUES AO PROTOCOLO SNMP
1.1 A NECESSIDADE DE ESTUDAR MÉTODOS DE ATAQUES NO PROTOCOLO SNMP 5
1.2 PROTOCOLO SNMP: DESCRIÇÃO, OBJETIVO 7
2. ANÁLISE DE ATAQUES AO PROTOCOLO SNMP E CONTRAMEDIDAS
2.1 TÉCNICAS DE ATAQUES AO PROTOCOLO SNMP E FORMAS DE EVITÁ-LOS 11
2.2 FORMAS DE CONTRA-ATAQUES NO PROTOCOLO SNMP 15
CONCLUSÃO 20
LISTA DE FONTES UTILIZADAS 21

LISTA DE FONTES UTILIZADAS
Atos regulatórios
1. Lei Federal da Federação Russa de 27 de julho de 2006 N 149-FZ Sobre informação, tecnologias de informação e proteção da informação
Lista de literatura especializada e científica
2. Blank-Edelman D. Perl para administração de sistemas, M.: Symbol-Plus, 2009.- 478 p.
3. Borodakiy V.Yu. Prática e perspectivas para a criação de uma nuvem segura de informação e computação baseada em MSS OGV / V.Yu. Borodakiy, A.Yu. Dobrodeev, P.A. Nashchekin // Problemas atuais de desenvolvimento de sistemas tecnológicos de segurança do Estado, comunicações especiais e suporte de informação especial: VIII Conferência científica interdepartamental de toda a Rússia: materiais e relatórios (Orel, 13 a 14 de fevereiro de 2013). - Às 10 horas Parte 4 / Geralmente ed. V.V. Mizerova. -Águia: Akade Missão do Serviço Federal de Segurança da Rússia, 2013.
4. Grishina N.V. Organização de um sistema abrangente de segurança da informação. - M.: Helios ARV, 2009. - 256 p.
5. Douglas R. Mauro SNMP Basics, 2ª edição / Douglas R. Mauro, Kevin J. Schmidt - M.: Symbol-Plus, 2012.-725p.
6. Kulgin M.V. Redes de computadores. Prática de construção. Para profissionais, São Petersburgo: Peter, 2003.-462 p.
7. Mulyukha V.A. Métodos e meios de proteção de informações de computador. Firewall: Textbook / Mulyukha V.A., Novopashenny A.G., Podgursky Yu.E. - São Petersburgo: SPbSPU Publishing House, 2010. - 91 p.
8. Olifer V. G., Olifer N. P. Redes de computadores. Princípios, tecnologias, protocolos. - 4º. - São Petersburgo: Peter, 2010. -902 p.
9. Tecnologias de comutação e roteamento em redes locais de computadores: livro didático / SmirnovaE. V. e outros; Ed. A.V. Proletário. - M.: Editora do MSTU im. N.E. Bauman, 2013. - 389 p.
10. Flenov M. Linux através dos olhos de um hacker, São Petersburgo: BHV-São Petersburgo, 2005. - 544 p.
11. Khoreev P.V. Métodos e meios de proteção de informações em sistemas informáticos. - M.: Centro Editorial "Academia", 2005. -205 p.
12. Khoroshko V. A., Chekatkov A. A. Métodos e meios de proteção de informações, K.: Junior, 2003. - 504 p.
Fontes da Internet
13. IDS/IPS - Sistemas de detecção e prevenção de intrusões [recurso eletrônico] URL: http://netconfig.ru/server/ids-ips/.
14. Análise das ameaças da Internet em 2014. Ataques DDoS. Hackeando sites. URL: http://onsec.ru/resources/Internet%20threats%20in%202014.%20Overview%20by%20Qrator-Wallarm.pdf
15. Kolischak A. Vulnerabilidade de string de formato [recurso eletrônico]. URL: https://securityvulns.ru/articles/fsbug.asp
16. Primeira Milha, nº 04, 2013 [Recurso eletrônico]. URL: http://www.lastmile.su/journal/article/3823
17. Família de padrões SNMP [recurso eletrônico]. URL: https://ru.wikibooks.org/wiki /SNMP_standards_family
Literatura estrangeira
18. "CERT Advisory CA-2002-03: Múltiplas Vulnerabilidades em Muitas Implementações do Simple Network Management Protocol (SNMP)", 12 de fevereiro. 2002, (atual 11 de março de 2002

Delphi, Internet e Redes, Protocolos



Todos os sistemas sérios de gerenciamento de rede usam o Simple Network Management Protocol (SNMP) para operar. Na verdade, o SNMP não é apenas um protocolo, mas toda uma tecnologia projetada para fornecer gerenciamento e controle sobre dispositivos e aplicações na rede. Com sua ajuda você pode controlar absolutamente qualquer dispositivo conectado a rede de computadores, por exemplo, sensores de extinção de incêndio ou mesmo semáforos. É claro que o SNMP pode ser usado (e está sendo usado ativamente) para gerenciar componentes de rede: hubs, servidores, roteadores, etc. Usando informações SNMP (como pacotes por segundo e proporção erros de rede), administradores de rede pode gerenciar mais facilmente o desempenho da rede e detectar e resolver problemas de rede.

Os três componentes da tecnologia SNMP são: a Estrutura de Informações de Gerenciamento (SMI), a Base de Informações de Gerenciamento (MIB) e o próprio protocolo SNMP.

Modelo de gerenciamento SNMP

Os agentes no SNMP são módulos de software, que são executados em dispositivos gerenciados. Os agentes coletam informações sobre os dispositivos gerenciados nos quais operam e disponibilizam essas informações para sistemas de gerenciamento de rede (NMS) usando o protocolo SNMP.

Protocolo SNMP v1

O SNMP foi implementado em 1988 em quase todos os ambientes de rede difundidos: TCP/IP, IPX/SPX, AppleTalk, etc. O conceito básico do protocolo é que todas as informações necessárias para gerenciar um dispositivo são armazenadas no próprio dispositivo - seja um servidor, modem ou roteador - no chamado Banco de Dados Administrativo (MIB - Management Information Base). O SNMP, como protocolo de rede direto, fornece apenas um conjunto de comandos para trabalhar com variáveis ​​MIB. Este conjunto inclui as seguintes operações:

  • get-request Usado para solicitar um ou mais parâmetros MIB
  • get-next-request Usado para ler valores sequencialmente. Normalmente usado para ler valores de tabelas. Depois de solicitar a primeira linha usando get-request, get-next-request é usado para ler as linhas restantes da tabela
  • set-request Usado para definir o valor de uma ou mais variáveis ​​MIB
  • get-response Retorna a resposta a uma solicitação get, get-next-request ou set-request
  • trap Mensagem de notificação sobre eventos como reinicialização a frio ou a quente ou a “queda” de algum link.

Para monitorar o funcionamento de um determinado dispositivo de rede, basta acessar seu MIB, que é constantemente atualizado pelo próprio dispositivo, e analisar os valores de algumas variáveis.

Formato da mensagem

As mensagens SNMP consistem em 2 partes: nome da comunidade e dados. O nome da comunidade designa o ambiente de acesso do conjunto de NMSs que utilizam esse nome. A parte informativa da mensagem contém a operação específica do SNMP (get, set, etc.) e seus operandos associados. Os operandos designam as implementações de objetos incluídas em uma determinada transação SNMP.

Estrutura da Informação Gerencial. RFC 1208

Define a lógica de endereçamento das informações durante a interação dos agentes e gerentes SNMP. A sintaxe é descrita por regras abstratas Abstract Syntax Notation One, ASN.1.

Base de Informações de Gestão (MIB, MIB-II). RFC 1213

MIB é um conjunto de variáveis ​​que caracterizam o estado do objeto de controle. Estas variáveis ​​podem refletir parâmetros como o número de pacotes processados ​​pelo dispositivo, o estado de suas interfaces, o tempo de operação do dispositivo, etc. Cada fabricante equipamento de rede, além das variáveis ​​padrão, inclui no MIB quaisquer parâmetros específicos para deste dispositivo(na subárvore da empresa privada).

Como ocorre o endereçamento no MIB para algumas de suas variáveis?

Em sua estrutura, o MIB é uma árvore. Cada elemento possui um identificador numérico e simbólico correspondente. O nome da variável inclui o caminho completo do elemento raiz root.

Por exemplo, o tempo de operação do dispositivo desde a reinicialização é armazenado em uma variável localizada na seção do sistema sob o número 3 e é chamada sysUpTime. Conseqüentemente, o nome da variável incluirá o caminho completo: iso(1).org(3).dod(6).internet(1).mgmt(2).mib-2(1).system(1).sysUpTime( 3); ou na linguagem dos números: 1.3.6.1.2.1.1.3. Deve-se observar que os nós da árvore são separados por pontos.

Há uma ramificação MIB padrão relacionada à seção de gerenciamento de gerenciamento que todos os dispositivos de rede normalmente suportam.

Teste de rede usando SNMP

Usando o SNMP, você pode realizar vários testes de funcionalidade dos dispositivos de rede, novamente definidos nos próprios dispositivos. Isto pode ser útil porque a simples observação das estatísticas muitas vezes não fornece uma imagem completa do que está a acontecer.

Por exemplo, para a seção relacionada às interfaces Ethernet, é definido um teste TDR (Refletometria no domínio do tempo), que permite determinar a distância aproximada até uma falha em um cabo coaxial. Para executar um teste TDR é necessário definir o valor da variável ifExtnsTestType (1.3.6.1.2.1.12.2.1.4), contendo o tipo de teste a ser executado, para que contenha o identificador do teste TDR no MIB: 1.3.6.1.2.1.10.7.6.1.

O resultado do teste será, primeiramente, o valor da variável ifExtnsTestResult (1.3.6.1.2.1.12.2.1.5), caracterizando o resultado do teste:

  • falta de resultado
  • sucesso
  • correndo
  • não suportado
  • impossível começar
  • encerrado
  • falha

E em segundo lugar, o valor da variável ifExtnsTestCode (1.3.6.1.2.1.12.2.1.6) conterá o identificador da variável MIB que contém o resultado do teste. O resultado do teste é definido como o intervalo de tempo em unidades de 100 nanossegundos entre o início da transmissão do pacote de teste e a detecção de colisões de portadoras. Em princípio, com base neste valor, a distância necessária pode ser determinada.

Uma inovação fundamental no SNMPv2 é que o elemento de administração da rede pode atuar como gerente, agente ou gerente e agente simultaneamente. Este conceito permite aos usuários implementar o SNMP em uma estrutura hierárquica na qual os gerentes locais se reportam aos gerentes intermediários, que por sua vez são supervisionados por um gerente sênior. Muito espaço é dedicado às questões de segurança do SNMP, talvez o ponto mais vulnerável do protocolo.

Segurança SNMP. RFC 1352.

Uma das deficiências mais visíveis do SNMP v1 é a falta de um sistema de proteção de dados desenvolvido no nível exigido para redes em escala empresarial.

Como disse Mike Warfield: "SNMP significa Segurança, não é meu problema".

No SNMPv1, a proteção da informação administrativa era interpretada de forma muito simples: baseava-se na utilização de um nome coletivo (Community Name), que, estando no cabeçalho SNMP, carregava todas as capacidades de proteção da mensagem. Esta ferramenta(conhecido como protocolo trivial) exigia que o agente e o gerente reconhecessem o mesmo nome coletivo antes de continuarem a realizar operações de administração de rede. Como resultado, muitos administradores de rede limitaram seu trabalho apenas a funções de monitoramento, proibindo a emissão de um comando SET que pudesse alterar os parâmetros de configuração de um dispositivo remoto. Isso fez com que os usuários evitassem comandos SET porque um recurso de segurança primitivo, como um nome coletivo, poderia permitir que pessoas não autorizadas alterassem parâmetros sem que os usuários sequer soubessem disso. Além disso, tudo é crítico informações importantes foi transmitido em texto não criptografado, então até mesmo o snmp sniffer está disponível na Internet

Nesse sentido, foram desenvolvidas propostas para melhorar a segurança no SNMPv1, apresentadas em julho de 1992; eles formaram a base da estrutura de segurança do SNMPv2.

Os padrões de segurança SNMPv2 definem métodos de autenticação (DAP - Digest Authentication Protocol) e garantia de confidencialidade (SPP - Symmetric Privacy Protocol) das informações administrativas. É baseado no conceito de parte – um conjunto único de parâmetros de segurança que pode incluir localização de rede, autenticação e protocolos de privacidade usados ​​entre o agente e o gerente.

Problemas de implementação do SNMPv2

O SNMPv2 oferece benefícios de segurança e desempenho que são importantes para os usuários. Mas algumas empresas provavelmente apresentarão as suas próprias ideias, especialmente em termos de protecção e comunicação entre gestores. Além disso, é improvável que as empresas que ampliaram a funcionalidade de seus MIBs em ambientes SNMPv1 se apressem em lançar produtos para SNMPv2.

Não há dúvida de que os usuários irão querer produtos baseados em SNMPv2. Mas o fato é que muitas pessoas já investiram demais no SNMPv1 para simplesmente jogá-lo fora e começar do zero. Os autores do SNMPv2 previram isso e assumiram uma transição gradual para nova tecnologia. Existem duas maneiras de preservar o SNMPv1: utilizando agentes autorizados e gerenciadores bilíngues. O agente autoritativo converte formatos SNMPv1 em mensagens SNMPv2 e vice-versa.

Outra opção é um gerenciador bilíngue que suporta simultaneamente os dois protocolos (SNMPv1 e SNMPv2) e não requer conversões. O gerenciador SNMP bilíngue determina se o agente está operando na versão 1 ou na versão 2 e se comunica no dialeto apropriado. Assim, a escolha da versão do protocolo deve ser transparente para os dispositivos receptores.

Infelizmente, a segunda versão do SNMP ainda não foi aprovada, portanto há confusão e vacilação no campo do gerenciamento de rede.

Implementações de agente e gerente disponíveis

http://www.microsoft.com/smsmgmt/
MS SMS NetMon

http://www.winfiles.com/apps/98/net-manage.html
vários agentes e gerentes diferentes para Win95.

A Epilogue oferece software que fornece suporte SNMP, incluindo:

  • Envoy, a solução SNMP compacta, rápida e portátil da Epilogue para OEMs
  • Emissary, um compilador SNMP MIB que permite aos implementadores SNMP estender variáveis ​​SNMP padrão para suportar extensões para os MIBs em cada dispositivo gerenciado;
  • Ambassador, uma implementação completa e portátil do agente de monitoramento remoto RMON (FastEthernet).
  • O recurso IBM Netview for AIX do SystemView fornece gerenciamento distribuído ou centralizado de grandes redes heterogêneas.
  • ACE*COMM WinSNMP oferece suporte a SNMPv1 e SNMPv2u na versão 2.0 de suas implementações Win16 e Win32 WinSNMP líderes do setor.
  • O Digital Unix POLYCENTER Manager no NetView fornece gerenciamento cliente/servidor de redes corporativas de vários fornecedores.
  • A ferramenta PowerFlag é um agente para fontes de alimentação ininterruptas UPS MIB da Victron B.V.
  • WS_Ping ProPack v.2.10 permite visualizar tabelas MIB e especificar subárvores. Para baixar as versões mais recentes do servidor Ipswitch, você pode usar os seguintes dados:
    • Nome de usuário: 0000037181
    • Senha: CQWSC
    • Número de série: WP-101333
  • Implementações disponíveis abertamente
  • Agente SNMP CMU (fonte)
    • um agente que suporta SNMPv1 e SNMPv2u
    • um número de aplicativos baseados em linha de comando que suportam SNMPv1 e SNMPv2u.
    • Kit de desenvolvimento SNMP da Carnegie-Mellon University com suporte a SNMPv1/v2
  • NetSCARF é um recurso de coleta e geração de relatórios de estatísticas de rede. Ele permite que os ISPs coletem e relatem dados sobre sua parte da Internet, suporta SNMP versão 1 e USEC.
  • Scotty é uma extensão de gerenciamento de rede para Tool Command Language (Tcl) que inclui uma implementação portátil do protocolo SNMPv1, SNMPv2c e SNMPv2u. A extensão Scotty Tcl inclui a plataforma de gerenciamento de rede (Tkined) que fornece um navegador MIB, um editor de mapa de rede, bem como monitoramento de status, solução de problemas, descoberta de rede e scripts de filtragem de eventos.
    • snmptcp v1.3 é uma plataforma extensível para aplicativos de gerenciamento que aparentemente implementa SNMPv1, SNMPv2c e SNMPv2u de maneira transparente.
    • O pacote é executado no X Window System no UNIX e é construído a partir da Tool Command Language (Tcl7.3/Tk3.6). Além de um compilador MIB, o pacote contém alguns aplicativos mínimos para vários módulos MIB padrão.

Ataque ao SNMP do Windows.

Os serviços são executados nas seguintes portas UDP (/etc/services)

  • snmp 161/udp snmp
  • snmp-trap 162/udp snmp

Códigos interessantes de empresa privada de gerenciamento de rede SMI:

Prefixo: 1.3.6.1.4.1.

  • doisIBM
  • 4Unix
  • 9cisco
  • 32 Operação Santa Cruz
  • 42 Microssistemas Sun

A pequena distribuição de scanners de portas UDP para Windows, gerenciadores SNMP, bem como o desconhecimento do próprio protocolo é, aparentemente, o único motivo do pequeno número de ataques a dispositivos gerenciados por SNMP v1, já que em algumas implementações deste protocolo sistemas operacionais erros graves foram cometidos. Evidências disso aparecem de vez em quando nas listas de discussão do bugtraq.

Vulnerabilidade na configuração padrão do serviço SNMP do Windows NT.

Permite configurar remotamente parâmetros de rede que afetam a segurança e o bom funcionamento do sistema (caso o próprio administrador tenha iniciado o Serviço SNMP)

Na configuração padrão, o serviço SNMP responde à comunidade padrão (nome) “pública”, que possui permissões de leitura e gravação. Comunidade é um nome que possui as mesmas funções de login e senha em sistemas.

O protocolo SNMP fornece dois níveis de permissões: somente leitura e leitura-gravação, porém, até o lançamento do Windows NT SP4, o serviço SNMP não permitia a configuração de comunidades com acesso diferente de leitura-gravação!

Se você tentar proteger o Serviço SNMP renomeando a comunidade para acesso, o sistema permanecerá desprotegido de um cracker que possua conta na máquina, pois os parâmetros do Serviço SNMP estão no registro e podem ser lidos por todos os usuários. O serviço SNMP do Windows NT também tem a capacidade de restringir o acesso a listas de endereços IP. À primeira vista, isso permite que você se proteja de ataques de sistemas desconhecidos, mas isso não é um problema para os crackers (o que qualquer administrador precisa entender), já que o protocolo SNMP utiliza o protocolo UDP para troca de informações, e é um protocolo sem conexão. protocolo, então é possível falsificar o endereço de saída (mas para isso você terá que retrabalhar as fontes dos gerenciadores SNMP para Unix e estudar a falsificação de UDP)

As operações de "set" SNMP (permitindo alterar o valor das variáveis) podem ser realizadas substituindo o endereço de retorno por qualquer um, já que não é necessária resposta. No entanto, se a restrição de endereços IP confiáveis ​​estiver habilitada, você terá que encontrar uma conta no sistema atacado e extrair informações confiáveis ​​do registro.

Graças ao serviço SNMP do Windows NT configurado por padrão, podemos recuperar as seguintes informações usando o gerenciador SNMP:

  • o nome de domínio do LAN Manager
  • uma lista de usuários
  • uma lista de ações
  • uma lista de serviços em execução
  1. Abra HKLM\System\CurrentControlSet\Services\SNMP\Parameters\ExtensionAgents
  2. encontre o valor que contém SOFTWARE\Microsoft\LANManagerMIB2Agent\CurrentVersion
  3. e exclua-o.
  • uma lista de conexões TCP ativas
  • uma lista de conexões UDP ativas
  • uma lista de interfaces de rede e seus endereços IP e de hardware associados
  • a tabela de roteamento IP e a tabela ARP, bem como uma série de estatísticas de desempenho de rede.

Ao definir variáveis, o cracker pode modificar a tabela de roaming, tabela ARP, desligar interfaces de rede, derrubar parâmetros de rede essenciais, como IP padrão, tempo de vida do pacote (TTL), encaminhamento de IP (permite que o cracker redirecione o tráfego de rede). Isto é especialmente perigoso se a máquina atacada for um firewall.

Você não precisa procurar muito por exemplos, por exemplo, se a máquina for um controlador de domínio ou servidor, mas você pode obter uma lista de todos os usuários no domínio com o comando C:\NTRESKIT>snmputil walk public .1.3. 6.1.4.1.77.1.2.25

Se você deseja excluir todas as entradas no banco de dados WINS (o que resultará em uma falha completa do WinNT), será necessário executar ~$snmpset -v 1192.178.16.2 public .1.3.6.1.4.1.311.1.2.5.3.0 a 192.178.16.2 do kit de desenvolvimento SNMP CMU no Unix.

Há também um detalhe muito interessante na instalação de nomes de comunidades SNMP no Windows NT 4.0 (SP3). Se o serviço estiver ativado e os nomes não estiverem configurados, qualquer nome concederá privilégios de leitura/gravação. Acontece que isso já está especificado na especificação SNMP (RFC 1157)!

O quarto Service Pack (SP4) fornece a seguinte solução para o problema: adicionar controle de acesso comunitário como READ ONLY, READ WRITE ou READE CREATE. No entanto, por padrão, o SP4 define o acesso READ CREATE, que ainda permite ataques a máquinas. A Microsoft claramente se preocupa com a conveniência do WinNT para hackers :)

O problema está na versão do OS Solaris anterior à 2.6.

Com base no Aviso de Segurança da ISS (2 de novembro de 1998), no agente SNMP que está sendo executado por padrão neste sistema, existem ameaças reais de obter acesso no nível raiz, manipular processos e parâmetros de máquina.

Para acessar as informações do MIB, existe uma “cadeia de comunidade não documentada” oculta que permitirá que um invasor altere a maioria dos parâmetros do sistema.

Infelizmente, esta comunidade em si não é chamada, mas o ISS Internet Scanner e a detecção de intrusão em tempo real ISS RealSecure podem detectar este problema, ou seja, Você também pode consultar suas fontes

Artigo Descrição do protocolo SNMP (Simple Network Management Protocol) A seção Internet e protocolos de rede pode ser útil para desenvolvedores Delphi e FreePascal.

Para contribuir para a proteção contra ataques DDoS, você não precisa comprar equipamentos ou serviços caros. Qualquer administrador de um servidor acessível pela Internet pode participar de uma causa tão nobre sem investimentos materiais adicionais, utilizando apenas conhecimento e um pouco de tempo.

Esta é a aparência do tráfego durante um ataque DDoS de amplificação SNMP.

Amplificação SNMP de ataque DDOS

A essência do ataque é iniciar uma resposta multiplicada a uma solicitação SNMP. Inicialmente desenvolvidas para automatizar a recuperação de dados tabulares e, ao mesmo tempo, minimizar o número de pacotes enviados, as solicitações BULK tornaram-se uma ferramenta bastante eficaz para realizar ataques DDoS nas mãos de invasores. Como diz RFC3416, GetBulkRequest, implementado no SNMP versão 2, foi projetado para ser capaz de solicitar uma grande quantidade de dados, que é o que os invasores aproveitam ao usar servidores configurados incorretamente na Internet.

Se você definir o número máximo de linhas retornadas em uma tabela como 20.000 e executar uma consulta em um servidor/dispositivo configurado incorretamente:

$ snmpbulkget -c público -v 2c -C r20000 192.168.10.129 ↵ 1.3.6.1

$ snmpbulkget -c público -v 2c -C r20000 192.168.10.129 ↵1.3.6.1

a resposta será algo assim:

iso.3.6.1.2.1.1.1.0 = STRING: "SNMP4J-Agent Windows 2003 x86 5.2"<пропущено 290 строк>iso.3.6.1.6.3.18.1.1.1.8.123.123.12.123.123.12.12.123.123.12 .123.123.12 = Não há mais variáveis ​​nesta visualização MIB (já passou do final da árvore MIB)

iso. 3.6.1.2.1.1.1.0 = CADEIA: "SNMP4J-Agente Windows 2003 x86 5.2"

< пропущено290 строк>iso. 3.6.1.6.3.18.1.1.1.8.123.123.12.123.123.12.12.123.123.12 . 123.123.12 =

Não há mais variáveis ​​nesta visualização MIB (já passou do final da árvore MIB)

Neste caso, executar o tcpdump mostrará o tamanho do pacote retornado:

21:41:18.185058 IP 192.168.10.128.39565 > 192.168.10.129. snmp: GetBulk(25) N=0 M=20000 .iso.org.dod.internet 21:41:18.603553 IP 192.168.10.129.snmp > 192.168.10.128.39565:

21:41:18.185058 IP 192.168.10.128.39565 > 192.168.10.129.

snmp:GetBulk(25)N=0M=20000. iso. organização. sim. Internet

21:41:18.603553 IP 192.168.10.129.snmp >

192.168.10.128.39565: [len1468< asnlen10102 ]

Em resposta a uma solicitação de cerca de 70 bytes de tamanho, incluindo cabeçalhos, o servidor retorna uma resposta de cerca de 10 kilobytes de tamanho, ou seja, quase 150 vezes maior. O ganho não é fixo e pode assumir um valor maior (chegando a 1700 vezes) ou menor, dependendo do tipo de SO e dos parâmetros de configuração do dispositivo. Se, ao formar tal solicitação, você utilizar a substituição do endereço IP do remetente pelo endereço da vítima e uma alta intensidade de chamadas para o servidor vulnerável, O ataque DDoS está pronto.

Motivo dos ataques DDoS

A essência da vulnerabilidade não está, via de regra, em ajustar o número de valores enviados por um ObterBulkRequest mas esse o significado Comunidade SNMP definido por padrão: público – somente leitura ou, pior ainda, privado – leitura e gravação.

As versões 1 e 2 do SNMP são baseadas em UDP, usadas para monitoramento e gerenciamento, e usam o valor comunidade, que pode ser definido como somente leitura ( somente leitura) ou com capacidade de gravação (r ler-escrever). Freqüentemente, em sistemas, ao ativar o serviço SNMP, o valor padrão é definido - público para somente leitura e privado para leitura e gravação.

Mesmo se abstrairmos da possibilidade de usar um servidor configurado incorretamente como refletor para potencializar ataques SNMP, a ameaça de obter informações sobre o servidor, o software nele instalado e suas versões é óbvia ao usar o valor público padrão para somente leitura

Acesso privilegiado virtualmente ilimitado com direitos de administrador ao dispositivo oferece comunidade de leitura e gravação privada. Mesmo que não sejam feitas alterações maliciosas, as solicitações intensivas que utilizam o protocolo SNMP podem colocar uma carga significativa nos recursos computacionais do servidor de consulta, afetando assim a qualidade dos serviços que ele fornece.

Proteção contra ataques DDoS, como amplificação SNMP

Recomendações gerais para protocolos baseados em UDP que são vulneráveis ​​a ataques de falsificação de endereço são fornecidas em BCP38 e RFC2827 e descrito nos anteriores.

  • Arquitetural: permite que as solicitações sejam processadas apenas em interfaces que não são acessíveis em redes não confiáveis.
  • Mudando a comunidade para algo mais difícil de adivinhar.
  • Limitação de endereços IP das estações de controle.
  • Limitar a ramificação OID disponível para recebimento/modificação via SNMP.
  • Minimização ou recusa de uso comunidade para ler e escrever.
  • Migração para SNMP versão 3 utilizando opções adicionais de autenticação e criptografia.
  • Desative o SNMP se não for usado.

Como realizar essas etapas em sistemas diferentes?

Amplificação SNMP de proteção DDoS no Unix

No arquivo de configuração do serviço SNMP, você configura seguintes parâmetros:

# Endereço IP, protocolo e porta que recebe solicitações SNMP agentAddress udp:10.0.0.1:161

Se um servidor Unix é essencialmente um roteador e possui diversas interfaces arquitetonicamente, por questões de segurança é necessário deixar apenas a interface acessível via SNMP que é acessível a partir do segmento confiável, mas não a partir da Internet. Nome comunidade para acesso é especificado pelo parâmetro rocommunity ( somente leitura) ou rwcommunity ( ler-escrever), também é possível especificar a sub-rede a partir da qual o acesso é permitido e a ramificação OID disponível para operação da sub-rede especificada com os direitos especificados da linha da comunidade.

Por exemplo, para permitir o monitoramento de sistemas de uma sub-rede 10.0.0.0/24 acesso à informação através de interfaces ( OID1.3.6.1.2.1.2), usando a string de acesso Faça_It_SeCuRe com permissões somente leitura, o snippet de configuração ficará assim:

rocommunity MaKe_It_SeCuRe 10.0.0.0/24 .1.3.6.1.2.1.2

Mas se a tarefa é garantir a segurança do serviço snmpd, que foi previamente configurado incorretamente por seu antecessor, o mais rápido possível, você pode criar cópia de segurança snmpd.conf, adicione restrições na sub-rede dos sistemas de monitoramento ao novo arquivo de configuração e altere a comunidade. No Debian ficaria assim:

#cd<директория с snmpd.conf># mv snmpd.conf snmpd.conf.backup # echo rocommunity MaKe_It_SeCuRe 10.0.0.0/24 > snmpd.conf # /etc/init.d/snmpd restart

#cd<директория с snmpd.conf>

# mv snmpd.conf snmpd.conf.backup

# echo rocommunity MaKe_It_SeCuRe 10.0.0.0/24 > snmpd.conf # /etc/init.d/snmpd restart

Depois disso, apenas a sub-rede terá acesso via SNMP ao servidor 10.0.0.0/24 usando a nova comunidade, enquanto todos os servidores nos quais a comunidade não foi alterada para a nova deixarão de receber respostas às solicitações, assim como os invasores.

Seria mais seguro passar a usar SNMPv3, no qual é possível variar os parâmetros de autenticação. Além disso, ao contrário das versões 1 e 2cSNMPv3 permite fornecer criptografia de tráfego entre o sistema de monitoramento e o equipamento interrogado.

Para criar um usuário com direitos somente leitura, autenticação e criptografia de tráfego para o arquivo de configuração snmpd.conf preciso adicionar:

createUser v3user SHA "some_AuThPaSs" AES some_privpass authuser read v3user authpriv 1.3.6.1.2.1.2

createUser v3user SHA "some_AuThPaSs" AES some_privpass

autuser leia v3user authpriv 1.3.6.1.2.1.2

Dessa forma, o usuário usuário v3 obterá a licença somente leitura para ver o tópico 1.3.6.1.2.1.2 via SNMP.

Você pode verificar a exatidão da configuração após reiniciar o serviço SNMP no servidor 192.168.10.128 com o comando executado no cliente:

$ snmpwalk -v 3 -A some_AuThPaSs -X some_privpass -a SHA ↵ -x AES -u v3user -l authPriv 192.168.10.128 1

$ snmpwalk - v 3 - A some_AuThPaSs - X some_privpass - a SHA ↵- x AES - u v3user - l authPriv 192.168.10.128 1

Neste caso, apesar de toda a árvore a partir de 1 ser consultada, o servidor retornará apenas o ramo permitido 1 .3.6.1.2.1.2, que será especificado na configuração.

Se você recusar SNMP v1/v2c a favor SNMPv3 também é necessário remover fragmentos de configurações do arquivo de configuração que não estão relacionados a SNMPv3.

Caso o SNMP não seja utilizado para monitorar o servidor, a solução mais correta seria remover o pacote snmpd.

Amplificação SNMP de proteção DDoS em equipamentos Cisco

O Cisco IOS não tem a capacidade de selecionar a interface que processará solicitações SNMP. A restrição é realizada através de listas de acesso ( lista de controle de acesso, ACL). Vamos supor que a sub-rede permitida seja 10.0.0.0/24 . Uma ACL é criada:

(config)#lista de acesso 10 permissão 10.0.0.0 0.0.0.255

A restrição nas ramificações SNMP OID é aplicada usando a visualização:

(config)#snmp-server view IFACES 1.3.6.1.2.1.2 incluído

Para usar SNMPv3 com as restrições necessárias (autenticação e criptografia, somente leitura, acesso da sub-rede 10.0.0.0/24 para a ramificação de interface designada na view IFACES), você deve criar um grupo ( SEGURO) com acesso somente leitura a OID de ver IFACES e a necessidade de autenticação com criptografia, vinculando-a ao previamente criado lista de acesso 10:

(config)#snmp-server group SECURE v3 priv leitura IFACES ↵ acesso 10

A funcionalidade do SNMPv3 com as configurações descritas acima é verificada usando o comando.

Conexão

Você também pode gostar