Uy
Ulanish
Tarmoq hujumlari va himoya qilishning Snmp protokoli usullari. SNMP Amplification kabi DDoS hujumlaridan himoya. Matndan parcha

Tarmoq hujumlari va himoya qilishning Snmp protokoli usullari. SNMP Amplification kabi DDoS hujumlaridan himoya. Matndan parcha

MAZMUNI
KIRISH 3
1. SNMP PROTOKOLI BO'YICHA HUJUMLARNING METODLARINI TADQIQOT MUAMMONI NAZARIY ASOSLARI.
1.1 SNMP 5 PROTOKOLI BO'YICHA HUJUM USULLARINI O'RGANISH ZORATI
1.2 SNMP PROTOKOLI: TAVSIF, MAQSAD 7
2. SNMP PROTOKOLI BO'YICHA XUJUMLARNI TAHLIL VA QARSHI CHORALAR.
11
2.2 SNMP 15 PROTOKOLI HUJUMLARIGA QARSHI QARSHI YO'LLARI
Xulosa 20
FOYDALANILGAN MANBALAR RO‘YXATI 21

Ko'rib chiqish uchun fragment

3-rasm - SoftPerfectNetworkScanner yordam dasturining ekran shakli Yamoqlar Ko'pgina tarmoq qurilmalarini ishlab chiqaruvchilar tizimda zaifliklar aniqlanganda ulardan foydalanish zarur bo'lgan yamoqlarni ishlab chiqadilar. Shuning uchun, agar siz tarmog'ingizda SNMP-ni qo'llab-quvvatlaydigan qurilmalarni topsangiz, ular kerakli yamoqlarni ishlab chiqqan yoki yo'qligini bilish uchun ushbu qurilmalarni ishlab chiqaruvchilar bilan bog'lanish yaxshi bo'ladi kerak emas, uni o'chirib qo'yish yoki olib tashlash kerak. Bu erda Windows operatsion tizimida SNMP xizmatini o'chirish algoritmi: Ishga tushirish menyusini tanlang - Boshqarish paneli - Ma'muriy asboblar - Xizmatlar (4-rasmga qarang). SNMP xizmatini tanlash. Agar xizmat ishlayotgan bo'lsa, "To'xtatish" tugmasini bosing va keyin "Ishga tushirish turi" - "O'chirilgan" -ni tanlang. SNMP o'chirilgan bo'lsa ham tarmoq barqarorligini buzadigan boshqa harakatlar Ingress FilteringIngress filtrlash 161 va 162 UDP portlarida kirish filtrlashni amalga oshirish uchun xavfsizlik devori va routerlarni sozlashga tayanadi. mahalliy tarmoq. SNMP bilan bog'liq xizmatlarni qo'llab-quvvatlaydigan boshqa portlar, jumladan, TCP va UDP portlari 161, 162, 199, 391, 750 va 1993, shuningdek, kirish filtrini talab qilishi mumkin tarmoq chetidagi 161 va 162 UDP portlarida chiquvchi trafikni filtrlash tizimingizni hujum uchun tramplin sifatida foydalanishga to'sqinlik qilishi mumkin apparat, bu kompyuter tizimiga yoki tarmoqqa ruxsatsiz kirish (buzilish yoki tarmoq hujumi) hodisalarini aniqlaydi, IDSsiz tarmoq xavfsizligi infratuzilmasi tasavvur qilib bo'lmaydi. Qoidalarga asoslangan xavfsizlik devorlarini to'ldiruvchi IDS shubhali faoliyatni kuzatib boradi va kuzatadi. Ular xavfsizlik devoriga kirgan tajovuzkorlarni aniqlashga va bu haqda ma'murga xabar berishga imkon beradi, u xavfsizlikni ta'minlash uchun zarur qarorlarni qabul qiladi. Buzilishlarni aniqlash usullari IDS dan foydalanish natijasida quyidagi maqsadlarga erishiladi: kelajakdagi hujumlar haqida prognoz qilish va ulardan foydalanishning oldini olish uchun tizimning zaif tomonlarini aniqlash; Ko'pgina hollarda tajovuzkor tayyorgarlik bosqichini amalga oshiradi, masalan, tarmoqni tekshirish (skanerlash) yoki ma'lum tahdidlarni hujjatlashtirish uchun uni sinovdan o'tkazish, ayniqsa katta va murakkab tarmoqlarda amalga oshiriladigan boshqaruv sifati; tajovuzga sabab bo'lgan omillarni tiklash va tuzatish uchun sodir bo'lgan kirishlar haqida qimmatli ma'lumotlarni olish, bu sizga tashqi tarmoq nuqtai nazaridan (tashqi yoki ichki hujumlar); Tarmoq tugunlarini joylashtirishda to'g'ri qaror qabul qilish uchun, umuman olganda, IDS quyidagilarni o'z ichiga oladi: himoyalangan tarmoq yoki tizimning xavfsizligi bilan bog'liq hodisalar haqida ma'lumot to'playdigan, shubhali harakatlar va tarmoq hujumlarini aniqlaydigan quyi tizim; IDSni sozlash, himoyalangan tizim va IDS holatini kuzatish, tahlil quyi tizimi tomonidan aniqlangan vaziyatlarni o'rganish uchun asosiy voqealar va tahlil natijalarini saqlaydigan boshqaruv konsoli. . SNMP juda keng qo'llanilganligi sababli, zaif mahsulotlar bilan ishlaydigan tarmoqlar halokatli oqibatlarga olib kelishi mumkin. Shuning uchun, SNMP protokolidan samarali foydalanish uchun siz foydalanishingiz kerak turli yo'llar bilan hujumlarning oldini olish va keng qamrovli himoya tizimini yaratish XULOSA Tadqiqot SNMP protokoli yordamida tarmoq o'zaro ta'sirini tashkil etish xavfsizligini ta'minlash masalalariga bag'ishlangan. Ish jarayonida nomli protokolning xususiyatlari aniqlandi va mumkin bo'lgan muammolar uning ishlatilishi. Muammoni asoslash uchun amalga oshirishning yuqori ehtimolini tasdiqlovchi statistik ma'lumotlar taqdim etiladi tarmoq hujumlari. Bundan tashqari, nazariy qismda protokol tuzilishi, so'rovlar/javoblar sxemasi va ichida so'rovlarga javob olish bosqichlari haqida ma'lumotlar mavjud kurs ishi SNMP protokoliga mumkin bo'lgan hujumlar tahlili o'tkazildi, ular orasida Dos hujumlari, Buffer Overflow hujumlari va format qatoridagi zaifliklardan foydalanadiganlar bor. Albatta, yana ko'p potentsial tahdidlar mavjud, ammo ularni ko'rib chiqish uchun tarmoq abonentlarining tarmoq o'zaro ta'sirini himoya qilish tizimini yaratish uchun SNMP protokoliga hujumlarning oldini olish usullari ko'rib chiqildi va ta'kidlandi. asboblar to'plamidan foydalanish samarali bo'lishi, tahlillar asosida SNMP protokoli juda zaif ekanligi va agar undan foydalanish to'g'risida qaror qabul qilinsa, xavfsizlik siyosati ishlab chiqilishi va uning barcha tamoyillari bo'lishi kerakligi aniqlandi. rioya qilingan Shunday qilib, biz maqsadga erishildi va kirishda belgilangan vazifalarga erishildi, deb xulosa qilishimiz mumkin me'yoriy hujjatlar Rossiya Federatsiyasi 2006 yil 27 iyuldagi N 149-FZ Ma'lumot to'g'risida, axborot texnologiyalari va axborotni muhofaza qilish bo'yicha maxsus va ilmiy adabiyotlar ro'yxati Blank-Edelman D. Tizim boshqaruvi uchun Perl, M.: symbol-Plus, 2009.- 478 pp. Borodakiy V.Yu. MSS OGV asosida xavfsiz axborot va hisoblash bulutini yaratish amaliyoti va istiqbollari / V.Yu. Borodakiy, A.Yu. Dobrodeev, P.A. Nashchekin // Davlat xavfsizligining texnologik tizimlarini rivojlantirishning dolzarb muammolari. maxsus aloqa va maxsus axborotni qo'llab-quvvatlash: VIII Butunrossiya idoralararo ilmiy konferensiya: materiallar va hisobotlar (Orel, 2013 yil 13-14 fevral). - Soat 10 da 4-qism / Umuman tahrir. V.V. Mizerova. – Orel: Rossiya Federal xavfsizlik xizmati akademiyasi, 2013. Grishina N.V. tashkiloti integratsiyalashgan tizim axborotni himoya qilish. - M.: Helios ARV, 2009. - 256 p., Duglas R. Mauro SNMP asoslari, 2-nashr / Duglas R. Mauro, Kevin J. Shmidt - M.: Symbol-Plus, 2012. - Kulgin M.V. Kompyuter tarmoqlari. Qurilish amaliyoti. Professionallar uchun, Sankt-Peterburg: Peter, 2003.-462 pp. Mulyukha V.A. Himoya qilish usullari va vositalari kompyuter ma'lumotlari. Xavfsizlik devori: Darslik / Mulyukha V.A., Novopashenny A.G., Podgurskiy Yu.E. - Sankt-Peterburg: SPbSPU nashriyoti, 2010. - 91 bet Olifer V. G., Olifer N. P. Kompyuter tarmoqlari. Printsiplar, texnologiyalar, protokollar. - 4-chi. - Sankt-Peterburg: Pyotr, 2010. -902 p. Mahalliy kompyuter tarmoqlarida kommutatsiya va marshrutlash texnologiyalari: darslik / Smirnova E. V. va boshqalar; ed. A.V. Proletarskiy. – M.: MSTU im. nashriyoti. N.E. Bauman, 2013. – 389 pp. Flenov M. Linux xaker nigohida, Sankt-Peterburg: BHV-Sankt-Peterburg, 2005. – 544 b. Xoreev P.V. Axborotni himoya qilish usullari va vositalari kompyuter tizimlari. - M.: nashriyot markazi "Akademiya", 2005. -205 b. Xoroshko V. A., Chekatkov A. A. Axborot xavfsizligini ta'minlash usullari va vositalari, K.: Junior, 2003. - 504 b. Internet manbalariIDS/IPS - Intrusionlarni aniqlash va oldini olish [Elektron resurs] URL: http://netconfig.ru/server/ids-ips/.2014-yilda Internet tahdidlari tahlili. DDoS hujumlari. Veb-saytlarni buzish [Elektron resurs]. URL: http://onsec.ru/resources/Internet%20threats%20in%202014.%20Overview%20by%20Qrator-Wallarm.pdf Kolischak A. Format qatori zaifligi [Elektron resurs]. URL: https://securityvulns.ru/articles/fsbug.aspFirst Mile, № 04, 2013 [Elektron resurs]. URL: http://www.lastmile.su/journal/article/3823 SNMP standartlari oilasi [Elektron resurs]. URL: https://ru.wikibooks.org/wiki /SNMP_standards_familyXorijiy adabiyotlar"CERT Advisory CA-2002-03: Simple Network Management Protocol (SNMP) ning ko'plab ilovalarida bir nechta zaifliklar", 12 fevral. 2002, (hozirgi 2002 yil 11 mart)

FOYDALANILGAN MANBALAR RO'YXATI
Normativ-huquqiy hujjatlar
1. Rossiya Federatsiyasining 2006 yil 27 iyuldagi 149-FZ-sonli "Axborot, axborot texnologiyalari va axborotni himoya qilish to'g'risida" gi Federal qonuni
Maxsus va ilmiy adabiyotlar ro'yxati
2. Blank-Edelman D. Tizim boshqaruvi uchun Perl, M.: symbol-Plus, 2009.- 478 p.
3. Borodakiy V.Yu. MSS OGV asosida xavfsiz axborot va hisoblash bulutini yaratish amaliyoti va istiqbollari / V.Yu. Borodakiy, A.Yu. Dobrodeev, P.A. Nashchekin // Davlat xavfsizligi, maxsus aloqa va maxsus axborot ta'minotining texnologik tizimlarini rivojlantirishning dolzarb muammolari: VIII Butunrossiya idoralararo ilmiy konferentsiya: materiallar va ma'ruzalar (Orel, 2013 yil 13-14 fevral). - Soat 10 da 4-qism / Umuman tahrir. V.V. Mizerova. - Orel: Rossiya Federal xavfsizlik xizmati akademiyasi, 2013 yil.
4. Grishina N.V. Axborot xavfsizligini kompleks tizimini tashkil etish. - M .: Helios ARV, 2009. - 256 p.
5. Duglas R. Mauro SNMP asoslari, 2-nashr / Duglas R. Mauro, Kevin J. Shmidt - M.: Symbol-Plus, 2012.-725p.
6. Kulgin M.V. Kompyuter tarmoqlari. Qurilish amaliyoti. Professionallar uchun, Sankt-Peterburg: Peter, 2003.-462 p.
7. Mulyuxa V.A. Kompyuter axborotini himoya qilish usullari va vositalari. Xavfsizlik devori: Darslik / Mulyukha V.A., Novopashenny A.G., Podgurskiy Yu.E. - Sankt-Peterburg: SPbSPU nashriyoti, 2010. - 91 p.
8. Olifer V. G., Olifer N. P. Kompyuter tarmoqlari. Printsiplar, texnologiyalar, protokollar. - 4-chi. - Sankt-Peterburg: Pyotr, 2010. -902 p.
9. Mahalliy kompyuter tarmoqlarida kommutatsiya va marshrutlash texnologiyalari: darslik / SmirnovaE. V. va boshqalar; ed. A.V. Proletarskiy. – M.: MSTU im. nashriyoti. N.E. Bauman, 2013. – 389 b.
10. Flenov M. Linux xakerning ko'zi bilan, Sankt-Peterburg: BHV-Sankt-Peterburg, 2005. – 544 p.
11. Xoreyev P.V. Kompyuter tizimlarida axborotni himoya qilish usullari va vositalari. – M.: “Akademiya” nashriyot markazi, 2005. –205 b.
12. Xoroshko V. A., Chekatkov A. A. Axborotni himoya qilish usullari va vositalari, K.: Junior, 2003. - 504 b.
Internet manbalari
13. IDS/IPS - Intrusionlarni aniqlash va oldini olish tizimlari [Elektron resurs] URL: http://netconfig.ru/server/ids-ips/.
14. 2014-yilda internet tahdidlari tahlili. DDoS hujumlari. Veb-saytlarni buzish [Elektron resurs]. URL: http://onsec.ru/resources/Internet%20threats%20in%202014.%20Overview%20by%20Qrator-Wallarm.pdf
15. Kolischak A. Format qatori zaifligi [Elektron resurs]. URL: https://securityvulns.ru/articles/fsbug.asp
16. Birinchi mil, № 04, 2013 yil [Elektron resurs]. URL: http://www.lastmile.su/journal/article/3823
17. SNMP standartlar oilasi [Elektron resurs]. URL: https://ru.wikibooks.org/wiki /SNMP_standards_family
Xorijiy adabiyot
18. "CERT Advisory CA-2002-03: Simple Network Management Protocol (SNMP) ning ko'p tatbiqidagi bir nechta zaifliklar", 12 fevral. 2002 yil, (hozirgi 2002 yil 11 mart)

E'lon qilingan http:// www. eng yaxshisi. ru/

E'lon qilingan http:// www. eng yaxshisi. ru/

OSI modelining tarmoq sathida tarmoqqa hujum qilish usullari va qarshi choralar haqida umumiy ma'lumot

KIRISH

Troyan virusli tarmoq hujumlari

Har qanday ma'lumot uchta asosiy xususiyatga ega:

· Maxfiylik.

· Yaxlitlik.

· Mavjudligi.

Ushbu xususiyatlarning har birini tushuntiring.

Maxfiy ma'lumotlar - bu alohida shaxslarning egaligida, foydalanishida yoki tasarrufida bo'lgan ma'lumotlar yoki yuridik shaxslar va ularning talabiga binoan uning shartlari va shartlariga muvofiq tarqatiladi.

Axborot yaxlitligi (ma'lumotlar yaxlitligi) - bu informatika va telekommunikatsiya nazariyasidagi atama bo'lib, ma'lumotlarning to'liqligini, ma'lumotlarning uzatish, saqlash yoki taqdim etish bo'lishidan qat'iy nazar, ulardagi biron bir operatsiya bilan o'zgartirilmaganligini anglatadi.

Axborotning mavjudligi - axborot holati (avtomatlashtirilgan resurslar axborot tizimi), kirish huquqiga ega bo'lgan sub'ektlar ulardan erkin foydalanishlari mumkin. Kirish huquqlari: ma'lumotlarni o'qish, o'zgartirish, nusxalash, yo'q qilish huquqi, shuningdek resurslarni o'zgartirish, foydalanish, yo'q qilish huquqi.

Axborotni himoya qilishning uchta asosiy usuli mavjud bo'lib, ularning ahamiyati bo'yicha sanab o'tilgan:

· Axborotni muhofaza qilishning tashkiliy usullari. Tashkiliy axborot xavfsizligi - bu "yadro" deb ataladigan tashkiliy tamoyil umumiy tizim korxonaning maxfiy ma'lumotlarini himoya qilish. Umuman olganda, axborot xavfsizligi tizimining samaradorligi korxona rahbariyati va mansabdor shaxslar tomonidan tashkiliy vazifalarni hal qilishning to'liqligi va sifatiga bog'liq. Korxonaning maxfiy ma'lumotlarini himoya qilishga qaratilgan chora-tadbirlarning umumiy tizimida tashkiliy axborotni muhofaza qilishning o'rni va o'rni rahbariyatning kuchlari, vositalari, usullari va usullarini hisobga olgan holda o'z vaqtida va to'g'ri boshqaruv qarorlarini qabul qilishning alohida ahamiyati bilan belgilanadi. o'z ixtiyorida va joriy me'yoriy-uslubiy apparat asosida axborotni himoya qilish.

· Axborot xavfsizligini ta'minlashning texnik usullari. Ushbu usullar qurilmalar mavjudligini talab qiladi va texnik vositalar axborotni qayta ishlash, maxsus vositalar texnik echimlar, axborotni himoya qilish va nazorat qilishni ta'minlash. Bundan tashqari, axborotni himoya qilish usullari, ya'ni kirishni boshqarish va ma'lumotlardan ruxsatsiz foydalanishni istisno qilishni ta'minlaydigan algoritmlar va dasturlar to'plami.

SNMP IPX/SPX kabi boshqa steklar uchun ilovalar mavjud bo'lsa-da, TCP/IP stekiga mo'ljallangan dastur darajasidagi protokol. SNMP protokoli tarmoq qurilmalaridan ularning holati, ishlashi va boshqaruv ma'lumotlar bazasida (MIB) saqlanadigan boshqa xarakteristikalari haqida ma'lumot olish uchun ishlatiladi. SNMP ning soddaligi asosan SNMP MIB larining, ayniqsa ularning birinchi versiyalari MIB I va MIB II ning soddaligi bilan bog‘liq. Bundan tashqari, SNMP protokolining o'zi ham juda oddiy.

SNMP protokolidagi agent - bu tarmoq boshqaruv stantsiyalarida joylashgan menejerlarga MIB o'zgaruvchilari qiymatlariga kirishni ta'minlaydigan ishlov berish elementi va shu bilan ularga qurilmani boshqarish va monitoring qilish funktsiyalarini amalga oshirish imkonini beradi.

Asosiy boshqaruv operatsiyalari menejerda amalga oshiriladi va SNMP agenti ko'pincha passiv rol o'ynaydi, uning iltimosiga binoan to'plangan statistik o'zgaruvchilar qiymatlarini menejerga o'tkazadi. Bunday holda, qurilma boshqaruv protokolini saqlash uchun minimal yuk bilan ishlaydi. U yo'riqnoma, ko'prik yoki markaz sifatida asosiy funktsiyalarini bajarish uchun deyarli barcha qayta ishlash quvvatidan foydalanadi va agent statistika va qurilma holati o'zgaruvchan qiymatlarini to'playdi va ularni boshqaruv tizimi menejeriga hisobot beradi.

SNMP - bu protokolga o'xshaydi "so'rov-javob", ya'ni menejerdan olingan har bir so'rov uchun agent javob yuborishi kerak. Protokolning o'ziga xos xususiyati uning o'ta soddaligi - u faqat bir nechta buyruqlarni o'z ichiga oladi.

    Get-request buyrug'i menejer tomonidan agentdan ob'ektning nomi bo'yicha qiymatini olish uchun ishlatiladi.

    GetNext-request buyrug'i menejer tomonidan ob'ektlar jadvalini ketma-ket skanerlash orqali keyingi ob'ektning qiymatini (uning nomini ko'rsatmasdan) olish uchun ishlatiladi.

    Get-response buyrug'i yordamida SNMP agenti menejerga Get-request yoki GetNext-request buyruqlariga javob yuboradi.

    O'rnatish buyrug'i menejer tomonidan ob'ekt qiymatini o'zgartirish uchun ishlatiladi. Set buyrug'i aslida qurilmani boshqarish uchun ishlatiladi. Agent qurilmani boshqarish uchun foydalaniladigan ob'ekt qiymatlarining ma'nosini tushunishi va shu qiymatlarga asoslanib, haqiqiy boshqaruv harakatini bajarishi kerak - portni o'chirib qo'yishi, portni ma'lum bir VLAN-ga belgilash va h.k. buyrug'i SNMP agenti menejerga tegishli xabarni yuborishi kerak bo'lgan shartni o'rnatish uchun ham mos keladi. Agentni ishga tushirish, agentni qayta ishga tushirish, ulanishni yo'qotish, ulanishni tiklash, noto'g'ri autentifikatsiya qilish va eng yaqin routerni yo'qotish kabi hodisalarga javob aniqlanishi mumkin. Agar ushbu hodisalar ro'y bersa, agent uzilishni chiqaradi.

    Trap buyrug'i agent tomonidan menejerni istisno sodir bo'lganligi haqida xabardor qilish uchun ishlatiladi.

    SNMP v.2 ushbu to'plamga GetBulk buyrug'ini qo'shadi, bu menejerga bitta so'rovda bir nechta o'zgaruvchan qiymatlarni olish imkonini beradi.

XULOSA
Tadqiqot SNMP protokoli yordamida tarmoqning o'zaro ta'siri xavfsizligini ta'minlash masalalariga bag'ishlangan. Ish jarayonida nomli protokolning xususiyatlari va undan foydalanishda yuzaga kelishi mumkin bo'lgan muammolar aniqlandi. Muammoni asoslash uchun tarmoq hujumlarining yuqori ehtimolini tasdiqlovchi statistik ma'lumotlar taqdim etiladi. Bundan tashqari, nazariy qismda protokol tuzilishi, so'rov/javob sxemasi va so'rovlarga javob olish bosqichlari haqida ma'lumotlar mavjud.
Kurs ishining bir qismi sifatida SNMP protokoliga mumkin bo'lgan hujumlar tahlili o'tkazildi, ular orasida Dos hujumlari, Buffer Overflow hujumlari va format qatoridagi zaifliklardan foydalanadiganlar bor. Albatta, yana ko'plab mumkin bo'lgan tahdidlar mavjud, ammo ularni ko'rib chiqish chuqurroq va har tomonlama o'rganishni talab qiladi. aniye.
Tarmoq abonentlarining tarmoqdagi o'zaro ta'sirini himoya qilish tizimini yaratish uchun SNMP protokoliga hujumlarning oldini olish usullari ko'rib chiqildi va bir qator vositalardan foydalanish samarali bo'lishi ta'kidlandi.
Tahlil natijalariga ko'ra, SNMP protokoli juda zaif ekanligi va agar siz hali ham undan foydalanishga qaror qilsangiz, xavfsizlik siyosatini ishlab chiqishingiz va uning barcha tamoyillariga rioya qilishingiz kerakligi aniqlandi.
Shunday qilib, biz maqsadga erishildi va kirishda belgilangan vazifalar hal qilindi, deb xulosa qilishimiz mumkin.

KIRISH
Axborot texnologiyalarining zamonaviy jadal rivojlanishi ma’lumotlarni saqlash, qayta ishlash va tarqatish bo‘yicha yangi talablarni qo‘ymoqda. An'anaviy saqlash vositalari va ajratilgan serverlardan kompaniyalar va jismoniy shaxslar asta-sekin orqali amalga oshirilgan masofaviy texnologiyalarga o'tishmoqda global tarmoq Internet. Internet xizmatlari zamonaviy, jadal rivojlanayotgan kompaniyaning ishlashi uchun ajralmas vositaga aylanishi mumkin, jumladan: elektron pochta; video ilovalar yordamida fayllar, ovozli xabarlar va ma'lumotlar almashinuvi; o'z veb-resurslaringizni ishlab chiqish.
Ko'pgina mutaxassislarning fikriga ko'ra, Internet texnologiyalaridan keng foydalanish tarmoq qurilmalarini samarali boshqarish tizimini qurishni talab qiladi, uning vositalaridan biri bo'lishi mumkin. SNMP protokoliga aylanadi. Biroq, ushbu protokol orqali tarmoq qurilmalarini boshqarish va monitoringini tashkil etish tarmoq elementlarini hujumlarga qarshi himoyasiz qiladi. Shunday qilib, Internet xizmatlarining rivojlanishi nuqtai nazaridan tarmoq hujumlarining oldini olish texnologiyasi masalalari birinchi o'ringa chiqadi va har tomonlama tahlil qilishni talab qiladi. Shuning uchun tadqiqot mavzusi dolzarbdir.
Ko'pgina mualliflarning savollari SNMP protokoliga hujumlardan himoya qilish tizimini yaratish masalalariga bag'ishlangan, ammo xavfsizlikni ta'minlashning murakkabligi sababli SNMP dan foydalanish maqsadga muvofiqligi to'g'risida konsensus mavjud emas. Shunday qilib, Flenov M. o'zining "Linux xakerning ko'zlari bilan" kitobida ushbu protokolning kamchiliklarini ta'kidladi va undan foydalanishni tavsiya etmaydi. Smirnova E. V. “Mahalliy kompyuter tarmoqlarida kommutatsiya va marshrutlash texnologiyalari” darsligida SNMP protokolidan foydalangan holda ma’lumotlarni multicast uzatish sxemalari va tarmoq uskunalarini samarali boshqarish haqida ma’lumot beradi hamda undan foydalanishning xavfsizlik masalalarini ham alohida yoritadi. Ixtisoslashgan adabiyotlar va Internet manbalarini keyingi ko'rib chiqish SNMP protokolidan foydalanishning maqsadga muvofiqligi to'g'risida qaror qabul qilish uchun undan xavfsiz foydalanish masalalarini o'rganish zarurligini tasdiqladi bu qaror mumkin bo'lgan hujumlar va ularni oldini olish usullarining samaradorligi tahlili bo'ladi.
Tadqiqotning maqsadi SNMP protokoliga mumkin bo'lgan hujumlar va qarshi choralarni har tomonlama tahlil qilishdir.
Maqsadga erishish uchun bir qator muammolarni hal qilish kerak:
1. SNMP protokolidan foydalanish asosida tarmoqning xavfsiz o'zaro ta'sirini tashkil etish bo'yicha adabiyotlar va Internet manbalarini ko'rib chiqish.
2. SNMP protokoliga hujum qilish usullari va ularni oldini olish yo'llarini o'rganish zarurligini asoslang.
3. SNMP protokoli asosida boshqaruv xususiyatlarini ajratib ko'rsating.
4. SNMP protokoli uchun texnikalar tahlilini o'tkazing.
5. SNMP protokoliga hujumlarning oldini olish usullarini aytib bering.
Tadqiqot ob'ekti - SNMP protokoli.
Tadqiqot mavzusi SNMP protokoliga tarmoq hujumlari usullari va ularni oldini olish usullari.
Tadqiqot usullari: tahlil, sintez, axborot manbalarini o'rganish.
Kurs ishi kirish, ikki bob va xulosadan iborat. Birinchi bob muammoning nazariy asoslariga bag'ishlangan. Ikkinchi bobda mumkin bo'lgan hujumlar va ularni oldini olish usullari tahlil qilinadi

MAZMUNI
KIRISH 3
1. SNMP PROTOKOLI BO'YICHA HUJUMLARNING METODLARINI TADQIQOT MUAMMONI NAZARIY ASOSLARI.
1.1 SNMP 5 PROTOKOLI BO'YICHA HUJUM USULLARINI O'RGANISH ZORATI
1.2 SNMP PROTOKOLI: TAVSIF, MAQSAD 7
2. SNMP PROTOKOLI BO'YICHA XUJUMLARNI TAHLIL VA QARSHI CHORALAR.
11
2.2 SNMP 15 PROTOKOLI HUJUMLARIGA QARSHI QARSHI YO'LLARI
Xulosa 20
FOYDALANILGAN MANBALAR RO‘YXATI 21

FOYDALANILGAN MANBALAR RO'YXATI
Normativ-huquqiy hujjatlar
1. Rossiya Federatsiyasining 2006 yil 27 iyuldagi N 149-FZ Federal qonuni "Axborot, axborot texnologiyalari va axborotni himoya qilish to'g'risida"
Maxsus va ilmiy adabiyotlar ro'yxati
2. Blank-Edelman D. Tizim boshqaruvi uchun Perl, M.: symbol-Plus, 2009.- 478 p.
3. Borodakiy V.Yu. MSS OGV asosida xavfsiz axborot va hisoblash bulutini yaratish amaliyoti va istiqbollari / V.Yu. Borodakiy, A.Yu. Dobrodeev, P.A. Nashchekin // Davlat xavfsizligi, maxsus aloqa va maxsus axborot ta'minotining texnologik tizimlarini rivojlantirishning dolzarb muammolari: VIII Butunrossiya idoralararo ilmiy konferentsiya: materiallar va ma'ruzalar (Orel, 2013 yil 13-14 fevral). - Soat 10 da 4-qism / Umuman tahrir. V.V. Mizerova. - Burgut: Akade Rossiya Federal xavfsizlik xizmati missiyasi, 2013 yil.
4. Grishina N.V. Axborot xavfsizligini kompleks tizimini tashkil etish. - M .: Helios ARV, 2009. - 256 p.
5. Duglas R. Mauro SNMP asoslari, 2-nashr / Duglas R. Mauro, Kevin J. Shmidt - M.: Symbol-Plus, 2012.-725p.
6. Kulgin M.V. Kompyuter tarmoqlari. Qurilish amaliyoti. Professionallar uchun, Sankt-Peterburg: Peter, 2003.-462 p.
7. Mulyuxa V.A. Kompyuter axborotini himoya qilish usullari va vositalari. Xavfsizlik devori: Darslik / Mulyukha V.A., Novopashenny A.G., Podgurskiy Yu.E. - Sankt-Peterburg: SPbSPU nashriyoti, 2010. - 91 p.
8. Olifer V. G., Olifer N. P. Kompyuter tarmoqlari. Printsiplar, texnologiyalar, protokollar. - 4-chi. - Sankt-Peterburg: Pyotr, 2010. -902 p.
9. Mahalliy kompyuter tarmoqlarida kommutatsiya va marshrutlash texnologiyalari: darslik / SmirnovaE. V. va boshqalar; ed. A.V. Proletarskiy. - M.: MSTU im. nashriyoti. N.E. Bauman, 2013. - 389 b.
10. Flenov M. Linux xakerning ko'zi bilan, Sankt-Peterburg: BHV-Sankt-Peterburg, 2005. - 544 p.
11. Xoreyev P.V. Kompyuter tizimlarida axborotni himoya qilish usullari va vositalari. - M.: "Akademiya" nashriyot markazi, 2005. -205 b.
12. Xoroshko V. A., Chekatkov A. A. Axborotni himoya qilish usullari va vositalari, K.: Junior, 2003. - 504 b.
Internet manbalari
13. IDS/IPS - Intrusionlarni aniqlash va oldini olish tizimlari [Elektron resurs] URL: http://netconfig.ru/server/ids-ips/.
14. 2014-yilda internet tahdidlari tahlili. DDoS hujumlari. Veb-saytlarni buzish [Elektron resurs]. URL: http://onsec.ru/resources/Internet%20threats%20in%202014.%20Overview%20by%20Qrator-Wallarm.pdf
15. Kolischak A. Format qatori zaifligi [Elektron resurs]. URL: https://securityvulns.ru/articles/fsbug.asp
16. Birinchi mil, № 04, 2013 yil [Elektron resurs]. URL: http://www.lastmile.su/journal/article/3823
17. SNMP standartlar oilasi [Elektron resurs]. URL: https://ru.wikibooks.org/wiki /SNMP_standards_family
Xorijiy adabiyot
18. "CERT Advisory CA-2002-03: Simple Network Management Protocol (SNMP) ning ko'p tatbiqidagi bir nechta zaifliklar", 12 fevral. 2002 yil, (hozirgi 2002 yil 11 mart

Delphi, Internet va tarmoqlar, protokollar



Barcha jiddiy tarmoq boshqaruv tizimlari ishlash uchun Simple Network Management Protocol (SNMP) dan foydalanadi. Aslida, SNMP shunchaki protokol emas, balki tarmoqdagi qurilmalar va ilovalarni boshqarish va nazorat qilishni ta'minlash uchun mo'ljallangan butun texnologiyadir. Uning yordami bilan siz mutlaqo ulangan har qanday qurilmalarni boshqarishingiz mumkin kompyuter tarmog'i, masalan, yong'in o'chirish datchiklari yoki hatto svetoforlar. Albatta, SNMP tarmoq komponentlarini: hublar, serverlar, marshrutizatorlar va boshqalarni boshqarish uchun ishlatilishi mumkin (va faol foydalanilmoqda). tarmoq xatolari), tarmoq ma'murlari tarmoq ish faoliyatini osonroq boshqarishi va tarmoq muammolarini aniqlashi va hal qilishi mumkin.

SNMP texnologiyasining uchta komponenti quyidagilardan iborat: boshqaruv ma'lumotlarining tuzilishi (SMI), boshqaruv ma'lumotlari bazasi (MIB) va SNMP protokolining o'zi.

SNMP boshqaruv modeli

SNMP-dagi agentlar dasturiy modullar, ular boshqariladigan qurilmalarda ishlaydi. Agentlar o'zlari ishlaydigan boshqariladigan qurilmalar haqida ma'lumot to'playdi va bu ma'lumotlarni SNMP protokoli yordamida tarmoqni boshqarish tizimlariga (NMS) taqdim etadi.

SNMP v1 protokoli

SNMP 1988 yilda deyarli barcha keng tarqalgan tarmoq muhitlarida amalga oshirildi: TCP/IP, IPX/SPX, AppleTalk va boshqalar. Protokolning asosiy tushunchasi shundan iboratki, qurilmani boshqarish uchun zarur bo'lgan barcha ma'lumotlar qurilmaning o'zida saqlanadi - xoh u bo'lsin. server, modem yoki yo'riqnoma - ma'muriy ma'lumotlar bazasi (MIB - boshqaruv ma'lumotlar bazasi). SNMP, to'g'ridan-to'g'ri tarmoq protokoli sifatida, MIB o'zgaruvchilari bilan ishlash uchun faqat buyruqlar to'plamini taqdim etadi. Ushbu to'plam quyidagi operatsiyalarni o'z ichiga oladi:

  • get-request Bir yoki bir nechta MIB parametrlarini so'rash uchun ishlatiladi
  • get-next-request Qiymatlarni ketma-ket o'qish uchun ishlatiladi. Odatda jadvallardan qiymatlarni o'qish uchun ishlatiladi. Get-request yordamida birinchi qatorni so'rashdan so'ng, jadvalning qolgan qatorlarini o'qish uchun get-next-request ishlatiladi.
  • set-request Bir yoki bir nechta MIB o'zgaruvchilari qiymatini o'rnatish uchun ishlatiladi
  • olish-javob olish-so'roviga, keyingi-so'rovga yoki sozlash-so'roviga javobni qaytaradi
  • trap Sovuq yoki issiq qayta ishga tushirish yoki ba'zi havolaning "tushishi" kabi hodisalar haqida bildirishnoma xabari.

Muayyan tarmoq qurilmasining ishlashini kuzatish uchun siz shunchaki qurilmaning o'zi tomonidan doimiy ravishda yangilanadigan MIB-ga kirishingiz va ba'zi o'zgaruvchilarning qiymatlarini tahlil qilishingiz kerak.

Xabar formati

SNMP xabarlari 2 qismdan iborat: hamjamiyat nomi va ma'lumotlar. Jamiyat nomi ushbu nomdan foydalanadigan NMSlar to'plami uchun kirish muhitini belgilaydi. Xabarning axborot qismida SNMPga xos operatsiya (olish, o'rnatish va h.k.) va unga bog'liq operandlar mavjud. Operandlar ma'lum SNMP tranzaksiyasiga kiritilgan ob'ektni amalga oshirishni belgilaydi.

Boshqaruv ma'lumotlarining tuzilishi. RFC 1208

SNMP agentlari va menejerlarining o'zaro ta'sirida ma'lumotni manzillash mantiqini belgilaydi. Sintaksis mavhum qoidalar bilan tavsiflanadi Abstrakt sintaksisi Notation One, ASN.1.

Boshqaruv axborot bazasi (MIB, MIB-II). RFC 1213

MIB - bu boshqaruv ob'ektining holatini tavsiflovchi o'zgaruvchilar to'plami. Ushbu o'zgaruvchilar qurilma tomonidan qayta ishlangan paketlar soni, uning interfeyslarining holati, qurilmaning ishlash vaqti va boshqalar kabi parametrlarni aks ettirishi mumkin. Har bir ishlab chiqaruvchi tarmoq uskunalari, standart o'zgaruvchilardan tashqari, MIBga tegishli har qanday parametrlarni o'z ichiga oladi ushbu qurilmadan(xususiy korxona kichik daraxtida).

MIBda adreslash uning ba'zi o'zgaruvchilari bilan qanday sodir bo'ladi?

O'z strukturasida MIB daraxt bo'lib, har bir element tegishli raqamli va ramziy identifikatorga ega. O'zgaruvchi nomi ildiz element ildizidan unga to'liq yo'lni o'z ichiga oladi.

Masalan, qayta ishga tushirilgandan beri qurilmaning ish vaqti tizim bo'limida 3 raqami ostida joylashgan o'zgaruvchida saqlanadi va sysUpTime deb ataladi. Shunga ko'ra, o'zgaruvchi nomi butun yo'lni o'z ichiga oladi: iso(1).org(3).dod(6).internet(1).mgmt(2).mib-2(1).system(1).sysUpTime( 3) ; yoki sonlar tilida: 1.3.6.1.2.1.1.3. Shuni ta'kidlash kerakki, daraxt tugunlari nuqta bilan ajratilgan.

Barcha tarmoq qurilmalari odatda qo'llab-quvvatlaydigan mgmt boshqaruv bo'limiga tegishli standart MIB filiali mavjud.

SNMP yordamida tarmoq sinovi

SNMP-dan foydalanib, siz yana qurilmalarning o'zida aniqlangan tarmoq qurilmalarining funksionalligini turli xil sinovlardan o'tkazishingiz mumkin. Bu foydali bo'lishi mumkin, chunki oddiygina statistik ma'lumotlarni kuzatish ko'pincha nima sodir bo'layotganini to'liq tasavvur qila olmaydi.

Masalan, Ethernet interfeyslari bilan bog'liq bo'lim uchun TDR (Time-domain reflemetery) testi aniqlanadi, bu sizga koaksiyal kabeldagi nosozlikgacha bo'lgan taxminiy masofani aniqlash imkonini beradi. TDR testini o'tkazish uchun bajariladigan test turini o'z ichiga olgan ifExtnsTestType (1.3.6.1.2.1.12.2.1.4) o'zgaruvchisining qiymatini o'rnatish kerak, shunda u TDR test identifikatorini o'z ichiga oladi. MIB: 1.3.6.1.2.1.10.7.6.1.

Sinov natijasi, birinchi navbatda, test natijasini tavsiflovchi ifExtnsTestResult (1.3.6.1.2.1.12.2.1.5) o'zgaruvchisining qiymati bo'ladi:

  • natija yo'qligi
  • muvaffaqiyat
  • yugurish
  • qo'llab-quvvatlanmaydi
  • boshlash mumkin emas
  • to'xtatilgan
  • muvaffaqiyatsizlik

Ikkinchidan, ifExtnsTestCode (1.3.6.1.2.1.12.2.1.6) o'zgaruvchisining qiymati sinov natijasini o'z ichiga olgan MIB o'zgaruvchisining identifikatorini o'z ichiga oladi. Sinov natijasi sinov paketini uzatish boshlanishi va tashuvchining to'qnashuvini aniqlash o'rtasidagi 100 nanosoniya birligidagi vaqt oralig'i sifatida aniqlanadi. Asos sifatida, ushbu qiymatga asoslanib, kerakli masofani aniqlash mumkin.

SNMPv2-dagi asosiy yangilik shundan iboratki, tarmoq boshqaruvi elementi bir vaqtning o'zida menejer, agent yoki menejer va agent sifatida harakat qilishi mumkin. Ushbu kontseptsiya foydalanuvchilarga SNMPni ierarxik tuzilmada amalga oshirish imkonini beradi, bunda mahalliy menejerlar o'rta menejerlarga hisobot berishadi, ular o'z navbatida yuqori darajali menejer tomonidan nazorat qilinadi. Ko'p joy SNMP ning xavfsizlik masalalariga bag'ishlangan, ehtimol protokolning eng zaif nuqtasi.

SNMP xavfsizligi. RFC 1352.

SNMP v1 ning eng sezilarli kamchiliklaridan biri bu korporativ miqyosdagi tarmoqlar uchun talab qilinadigan darajada ishlab chiqilgan ma'lumotlarni himoya qilish tizimining yo'qligi.

Mayk Uorfild aytganidek: "SNMP mening muammom emas, balki xavfsizlik degan ma'noni anglatadi."

SNMPv1-da ma'muriy ma'lumotni himoya qilish juda sodda talqin qilingan: u SNMP sarlavhasida bo'lgan holda xabarlarni himoya qilishning barcha imkoniyatlarini o'z ichiga olgan jamoaviy nomdan (Hamjamiyat nomi) foydalanishga asoslangan edi. Ushbu vosita(arzimas protokol sifatida tanilgan) agent va menejerdan tarmoqni boshqarish operatsiyalarini bajarishni davom ettirishdan oldin bir xil umumiy nomni tan olishlarini talab qildi. Natijada, ko'plab tarmoq ma'murlari o'z ishlarini faqat monitoring funktsiyalari bilan cheklab, masofaviy qurilmaning konfiguratsiya parametrlarini o'zgartirishi mumkin bo'lgan SET buyrug'ini berishni taqiqladi. Bu foydalanuvchilarning SET buyruqlaridan qochishiga olib keldi, chunki jamoaviy nom kabi ibtidoiy xavfsizlik xususiyati ruxsatsiz shaxslarga parametrlarni foydalanuvchilar bilmagan holda o'zgartirishga imkon berishi mumkin edi. Bundan tashqari, hamma narsa juda muhim muhim ma'lumotlar aniq matnda uzatildi, shuning uchun hatto snmp sniffer ham Internetda mavjud

Shu munosabat bilan 1992 yil iyul oyida taqdim etilgan SNMPv1 doirasida xavfsizlikni yaxshilash bo'yicha takliflar ishlab chiqildi; ular SNMPv2 uchun xavfsizlik tuzilmasi asosini tashkil etdi.

SNMPv2 xavfsizlik standartlari ma'muriy ma'lumotlarning autentifikatsiyasi (DAP - Digest Authentication Protocol) va maxfiyligini (SPP - Symmetric Privacy Protocol) ta'minlash usullarini belgilaydi. U tomon kontseptsiyasiga asoslanadi - agent va menejer o'rtasida qo'llaniladigan tarmoq joylashuvi, autentifikatsiya va maxfiylik protokollarini o'z ichiga olishi mumkin bo'lgan noyob xavfsizlik parametrlari to'plami.

SNMPv2 ni amalga oshirish muammolari

SNMPv2 foydalanuvchilar uchun muhim bo'lgan xavfsizlik va ishlash afzalliklarini taklif etadi. Ammo ba'zi kompaniyalar, ayniqsa, menejerlar o'rtasidagi himoya va aloqa nuqtai nazaridan, o'z g'oyalarini o'ylab topishlari mumkin. Bundan tashqari, SNMPv1 muhitida MIB funksiyalarini kengaytirgan firmalar SNMPv2 uchun mahsulotlarni chiqarishga shoshilishmaydi.

Foydalanuvchilar SNMPv2-ga asoslangan mahsulotlarni xohlashlariga shubha yo'q. Ammo haqiqat shundaki, ko'p odamlar SNMPv1-ga shunchaki tashlab yuborish va noldan boshlash uchun juda ko'p sarmoya kiritdilar. SNMPv2 mualliflari buni oldindan ko'rishgan va asta-sekin o'tishni taxmin qilishgan yangi texnologiya. SNMPv1 ni saqlashning ikki yo'li mavjud: vakolatli agentlar va ikki tilli menejerlardan foydalanish. Vakolatli agent SNMPv1 formatlarini SNMPv2 xabarlariga va aksincha o'zgartiradi.

Yana bir variant - bir vaqtning o'zida ikkala protokolni (SNMPv1 va SNMPv2) qo'llab-quvvatlaydigan va konvertatsiya qilishni talab qilmaydigan ikki tilli menejer. Ikki tilli SNMP menejeri agentning 1 yoki 2-versiyada ishlashini aniqlaydi va tegishli dialektda muloqot qiladi. Shunday qilib, protokol versiyasini tanlash qabul qiluvchi qurilmalar uchun shaffof bo'lishi kerak.

Afsuski, SNMP ning ikkinchi versiyasi hali tasdiqlanmagan, shuning uchun tarmoqni boshqarish lagerida chalkashlik va chalkashlik mavjud.

Mavjud agent va menejer ilovalari

http://www.microsoft.com/smsmgmt/
MS SMS Netmon

http://www.winfiles.com/apps/98/net-manage.html
Win95 uchun turli xil agentlar va menejerlar to'plami.

Epilogue SNMP-ni qo'llab-quvvatlaydigan dasturiy ta'minotni taklif qiladi, jumladan:

  • Envoy, Epilogue kompaniyasining OEMlar uchun ixcham, tezkor, portativ SNMP yechimi
  • Emissary, SNMP MIB kompilyatori, bu SNMP dasturchilariga har bir boshqariladigan qurilmadagi MIB-larga kengaytmalarni qo'llab-quvvatlash uchun standart SNMP o'zgaruvchilarini kengaytirish imkonini beradi;
  • Ambassador, RMON (FastEthernet) masofaviy monitoring agentining to'liq, ko'chma amalga oshirilishi.
  • SystemView ning AIX uchun IBM Netview xususiyati katta heterojen tarmoqlarning taqsimlangan yoki markazlashtirilgan boshqaruvini ta'minlaydi.
  • ACE*COMM WinSNMP sanoatda yetakchi Win16 va Win32 WinSNMP ilovalarining 2.0 versiyasida SNMPv1 va SNMPv2u-ni qo'llab-quvvatlaydi.
  • NetView-dagi Digital Unix POLYCENTER menejeri ko'p sotuvchili korporativ tarmoqlarning mijoz/server boshqaruvini ta'minlaydi.
  • PowerFlag vositasi Victron B.V.dan UPS MIB uzluksiz quvvat manbalari uchun agentdir.
  • WS_Ping ProPack v.2.10 MIB jadvallarini ko'rish va pastki daraxtlarni belgilash imkonini beradi. Ipswitch serveridan so'nggi versiyalarni yuklab olish uchun siz quyidagi ma'lumotlardan foydalanishingiz mumkin:
    • Foydalanuvchi nomi: 0000037181
    • Parol: CQWSC
    • Seriya raqami: WP-101333
  • Ochiq-mavjud ilovalar
  • CMU SNMP agenti (manba)
    • SNMPv1 va SNMPv2u ni qo'llab-quvvatlaydigan agent
    • SNMPv1 va SNMPv2u ni qo'llab-quvvatlaydigan raqamli buyruq qatoriga asoslangan ilovalar.
    • SNMPv1/v2 ni qo'llab-quvvatlovchi Karnegi-Mellon universiteti SNMP ishlab chiqish to'plami
  • NetSCARF - bu tarmoq statistikasini yig'ish va hisobot berish vositasi. U Internet provayderlariga Internetning o'z qismi haqida ma'lumotlarni to'plash va hisobot berish imkonini beradi, SNMP 1 va USEC versiyasini qo'llab-quvvatlaydi.
  • Scotty - bu SNMPv1, SNMPv2c va SNMPv2u protokollarining portativ ilovasini o'z ichiga olgan Tool Command Language (Tcl) uchun tarmoq boshqaruvi kengaytmasi. Scotty Tcl kengaytmasi tarmoq boshqaruv platformasini (Tkined) o'z ichiga oladi, u MIB brauzeri, tarmoq xaritasi muharriri, shuningdek, holat monitoringi, muammolarni bartaraf etish, tarmoqni aniqlash va hodisalarni filtrlash skriptlarini taqdim etadi.
    • snmptcp v1.3 - bu SNMPv1, SNMPv2c va SNMPv2u-ni muammosiz amalga oshiradigan boshqaruv ilovalari uchun kengaytiriladigan platforma.
    • Paket UNIX da X Window System ostida ishlaydi va Tool Command Language (Tcl7.3/Tk3.6) dan qurilgan. Paket MIB kompilyatoriga qo'shimcha ravishda bir qator standart MIB modullari uchun minimal ilovalarni o'z ichiga oladi.

Windows SNMP ga hujum.

Xizmatlar quyidagi UDP portlarida ishlaydi (/etc/services)

  • snmp 161/udp snmp
  • snmp-trap 162/udp snmp

Qiziqarli SMI Network Management xususiy korxona kodlari:

Prefiks: 1.3.6.1.4.1.

  • 2 IBM
  • 4 Unix
  • 9 cisco
  • 32 Santa Kruz operatsiyasi
  • 42 Sun Microsystems

Windows, SNMP menejerlari uchun UDP port skanerlarining kichik taqsimoti, shuningdek, protokolning o'zi haqida ma'lumotlarning etishmasligi, aftidan, SNMP v1 tomonidan boshqariladigan qurilmalarga hujumlar sonining kam bo'lishining yagona sababidir, chunki ba'zi ilovalarda bu protokol operatsion tizimlar jiddiy xatolarga yo'l qo'yildi. Buning dalillari vaqti-vaqti bilan bugtraq pochta ro'yxatlarida paydo bo'ladi.

Windows NT SNMP xizmatining standart konfiguratsiyasidagi zaiflik.

Tizimning xavfsizligi va to'g'ri ishlashiga ta'sir qiluvchi tarmoq parametrlarini masofadan sozlash imkonini beradi (agar administratorning o'zi SNMP xizmatini ishga tushirgan bo'lsa)

Standart konfiguratsiyada SNMP xizmati o'qish va yozish ruxsatlariga ega bo'lgan standart hamjamiyat (nom) "ommaviy" ga javob beradi. Jamiyat - bu tizimlarda login va parol bilan bir xil funktsiyalarga ega bo'lgan nom.

SNMP protokoli ruxsatlarning ikki darajasini ta'minlaydi: faqat o'qish va o'qish-yozish, ammo Windows NT SP4 chiqarilgunga qadar SNMP xizmati o'qish-yozishdan tashqari kirish huquqiga ega bo'lgan jamoalarni sozlashga ruxsat bermadi!

Agar siz kirish uchun hamjamiyat nomini o'zgartirish orqali SNMP xizmatini himoyalashga harakat qilsangiz, tizim mashinada hisob qaydnomasi bo'lgan krakerdan himoyasiz qoladi, chunki SNMP xizmati parametrlari ro'yxatga olish kitobida va barcha foydalanuvchilar tomonidan o'qilishi mumkin. Windows NT SNMP xizmati, shuningdek, IP manzillar ro'yxatiga kirishni cheklash imkoniyatiga ega. Bir qarashda, bu o'zingizni noma'lum tizimlar tomonidan hujumlardan himoya qilish imkonini beradi, lekin bu krakerlar uchun muammo emas (har qanday ma'mur tushunishi kerak), chunki SNMP protokoli ma'lumot almashish uchun UDP protokolidan foydalanadi va u ulanishsizdir. protokol, shuning uchun chiquvchi manzilni aldash mumkin (lekin buning uchun siz Unix uchun SNMP menejerlari manbalarini qayta ishlashingiz va UDP spoofingini o'rganishingiz kerak bo'ladi)

SNMP "o'rnatish" operatsiyalari (o'zgaruvchilar qiymatini o'zgartirishga imkon beradi) qaytish manzilini istalgan bilan almashtirish orqali amalga oshirilishi mumkin, chunki javob kerak emas. Biroq, agar ishonchli IP-manzillarni cheklash yoqilgan bo'lsa, siz hujum qilingan tizimda hisob qaydnomasini topishingiz va ro'yxatga olish kitobidan ishonchli ma'lumotlarni chiqarib olishingiz kerak bo'ladi.

Odatiy bo'lib sozlangan Windows NT SNMP xizmati tufayli biz SNMP menejeri yordamida quyidagi ma'lumotlarni olishimiz mumkin:

  • LAN Manager domen nomi
  • foydalanuvchilar ro'yxati
  • aktsiyalar ro'yxati
  • ishlaydigan xizmatlar ro'yxati
  1. HKLM\System\CurrentControlSet\Services\SNMP\Parameters\ExtensionAgents-ni oching
  2. SOFTWARE\Microsoft\LANManagerMIB2Agent\CurrentVersion tarkibidagi qiymatni toping
  3. va uni o'chiring.
  • faol TCP ulanishlari ro'yxati
  • faol UDP ulanishlari ro'yxati
  • tarmoq interfeyslari ro'yxati va ular bilan bog'liq IP va apparat manzillari
  • IP marshrutlash jadvali va ARP jadvali, shuningdek, bir qator tarmoq ishlash statistikasi.

O'zgaruvchilarni o'rnatish orqali kraker rouming jadvalini, ARP jadvalini o'zgartirishi, o'chirishi mumkin tarmoq interfeyslari, standart IP, paketning ishlash muddati (TTL), IP yo'naltirish (krakerga tarmoq trafigini qayta yo'naltirish imkonini beradi) kabi muhim tarmoq parametrlarini o'chirib qo'ying. Agar hujum qilinayotgan mashina xavfsizlik devori bo'lsa, bu ayniqsa xavflidir.

Misollarni uzoqdan izlash shart emas, masalan, agar mashina domen boshqaruvchisi yoki server bo'lsa, lekin C:\NTRESKIT>snmputil walk public .1.3 buyrug'i bilan domendagi barcha foydalanuvchilar ro'yxatini olishingiz mumkin. 6.1.4.1.77.1.2.25

Agar siz WINS ma'lumotlar bazasidagi barcha yozuvlarni o'chirmoqchi bo'lsangiz (bu WinNT to'liq ishlamay qolishiga olib keladi), u holda ~$snmpset -v 1192.178.16.2 public .1.3.6.1.4.1.311.1.2.5.3.0 a ni ishga tushirishingiz kerak. Unix ostida CMU SNMP ishlab chiqish to'plamidan 192.178.16.2.

Windows NT 4.0 (SP3) da SNMP hamjamiyat nomlarini o'rnatishda ham juda qiziq tafsilot mavjud. Agar xizmat yoqilgan bo'lsa va nomlar sozlanmagan bo'lsa, har qanday nom o'qish/yozish imtiyozlarini beradi. Ma'lum bo'lishicha, bu allaqachon SNMP spetsifikatsiyasida (RFC 1157) ko'rsatilgan!

To'rtinchi xizmat to'plami (SP4) muammoning quyidagi yechimini taqdim etadi: hamjamiyatga kirishni boshqarishni FAQAT O'QISH, READ WRITE yoki O'QISH CREATE sifatida qo'shish. Biroq, sukut bo'yicha SP4 READ CREATE ruxsatini o'rnatadi, bu hali ham mashinalarga hujum qilish imkonini beradi. Microsoft WinNT-ning xakerlar uchun qulayligi haqida aniq qayg'uradi :)

Muammo OS Solarisning 2.6 dan oldingi versiyasida.

ISS xavfsizlik maslahatiga (1998 yil 2 noyabr) asoslanib, ushbu tizimda sukut bo'yicha ishlaydigan SNMP agentida ildiz darajasida kirish, jarayonlar va mashina parametrlarini boshqarish uchun haqiqiy tahdidlar mavjud.

MIB ma'lumotlariga kirish uchun tajovuzkorga ko'pgina tizim parametrlarini o'zgartirish imkonini beradigan yashirin "hujjatsiz hamjamiyat qatori" mavjud.

Afsuski, bu hamjamiyatning o'zi chaqirilmaydi, lekin ISS Internet Scanner va ISS RealSecure real vaqtda hujumni aniqlash bu muammoni aniqlay oladi, ya'ni. Ularning manbalariga ham qarashingiz mumkin

Maqola SNMP (Simple Network Management Protocol) protokolining tavsifi Internet va tarmoq protokollari bo'limi Delphi va FreePascal dasturchilari uchun foydali bo'lishi mumkin.

DDoS hujumlaridan himoya qilishga o'z hissangizni qo'shish uchun siz qimmatbaho uskunalar yoki xizmatlarni sotib olishingiz shart emas. Internetdan foydalanish mumkin bo'lgan har qanday server ma'muri qo'shimcha moddiy investitsiyalarsiz, faqat bilim va ozgina vaqtdan foydalangan holda bunday xayrli ishda qatnashishi mumkin.

SNMP Amplification DDoS hujumi paytida trafik shunday ko'rinadi.

DDOS hujumi SNMP kuchaytirilishi

Hujumning mohiyati SNMP so'roviga ko'paytirilgan javobni boshlashdir. Dastlab yuborilgan paketlar sonini kamaytirish bilan birga jadval ma'lumotlarini qidirishni avtomatlashtirish uchun ishlab chiqilgan BULK so'rovlari tajovuzkorlar qo'lida DDoS hujumlarini amalga oshirish uchun juda samarali vositaga aylandi. Aytganidek RFC3416, GetBulkRequest, SNMP 2-versiyasida amalga oshirilgan, katta hajmdagi ma'lumotlarni so'rash imkoniyatiga ega bo'lish uchun mo'ljallangan, bu tajovuzkorlar Internetda noto'g'ri sozlangan serverlardan foydalanish orqali foydalanadilar.

Jadvalda qaytarilgan satrlarning maksimal sonini 20000 qilib belgilasangiz va noto'g'ri sozlangan server/qurilmaga nisbatan so'rovni bajarsangiz:

$ snmpbulkget -c public -v 2c -C r20000 192.168.10.129 ↵ 1.3.6.1

$ snmpbulkget - c ommaviy - v 2c - C r20000 192.168.10.129 ↵1.3.6.1

javob shunday bo'ladi:

iso.3.6.1.2.1.1.1.0 = STRING: "SNMP4J-Agent Windows 2003 x86 5.2"<пропущено 290 строк>iso.3.6.1.6.3.18.1.1.1.8.123.123.12.123.123.12.12.123.123.12 .123.123.12 = Ushbu MIB ko'rinishida boshqa o'zgaruvchilar qolmagan (MIB daraxtining oxiridan o'tgan)

iso. 3.6.1.2.1.1.1.0 = STRING : "SNMP4J-Agent Windows 2003 x86 5.2"

< пропущено290 строк>iso. 3.6.1.6.3.18.1.1.1.8.123.123.12.123.123.12.12.123.123.12 . 123.123.12 =

Ushbu MIB koʻrinishida boshqa oʻzgaruvchilar qolmagan (MIB daraxtining oxiridan oʻtgan)

Bunday holda, tcpdump-ni ishga tushirish qaytarilgan paket hajmini ko'rsatadi:

21:41:18.185058 IP 192.168.10.128.39565 > 192.168.10.129. snmp: GetBulk(25) N=0 M=20000 .iso.org.dod.internet 21:41:18.603553 IP 192.168.10.129.snmp > 192.168.10.128.39565:

21:41:18.185058 IP 192.168.10.128.39565 > 192.168.10.129.

snmp: GetBulk (25) N = 0 M = 20000. iso. org. dod. internet

21:41:18.603553 IP 192.168.10.129.snmp >

192.168.10.128.39565: [len1468< asnlen10102 ]

Taxminan 70 bayt hajmdagi, jumladan sarlavhali so'rovga javoban, server taxminan 10 kilobayt hajmdagi javobni qaytaradi, ya'ni deyarli 150 baravar katta. Daromad aniqlanmagan va operatsion tizim turiga va qurilma konfiguratsiya parametrlariga qarab yuqoriroq (1700 martagacha) yoki pastroq qiymatga ega bo'lishi mumkin. Agar bunday so'rovni shakllantirishda siz jabrlanuvchining manzili uchun jo'natuvchining IP-manzilini almashtirishdan va zaif serverga qo'ng'iroqlarning yuqori intensivligidan foydalansangiz, DDoS hujumi tayyor.

DDoS hujumlarining sabablari

Zaiflikning mohiyati, qoida tariqasida, har biriga yuborilgan qiymatlar sonini sozlashda emas. GetBulkRequest lekin ma'nosi shu SNMP hamjamiyati sukut bo'yicha o'rnatiladi: ommaviy - faqat o'qish uchun yoki undan ham yomoni, xususiy - qayta yozish.

SNMP 1 va 2 versiyalari UDP ga asoslangan bo'lib, monitoring va boshqarish uchun foydalaniladi va qiymatdan foydalanadi jamiyat, uni faqat o'qish uchun sozlash mumkin ( faqat o'qish uchun) yoki yozib olish qobiliyati bilan (r o'qish-yozish). Ko'pincha tizimlarda SNMP xizmatini faollashtirishda standart qiymat o'rnatiladi - faqat o'qish uchun ochiq va o'qish-yozish uchun shaxsiy.

SNMP hujumlarini kuchaytirish uchun noto'g'ri sozlangan serverdan reflektor sifatida foydalanish imkoniyatidan ajralgan bo'lsak ham, server, unda o'rnatilgan dasturiy ta'minot va uning versiyalari haqida ma'lumot olish xavfi standart umumiy qiymatdan foydalanganda aniq bo'ladi. faqat o'qish uchun

Qurilmaga administrator huquqlari bilan deyarli cheksiz imtiyozli kirish imkonini beradi o'qish-yozish hamjamiyati shaxsiy. Hech qanday zararli o'zgarishlar amalga oshirilmasa ham, SNMP protokolidan foydalangan holda intensiv so'rovlar so'rovlar serverining hisoblash resurslariga sezilarli yuk olib kelishi mumkin va shu bilan u taqdim etayotgan xizmatlar sifatiga ta'sir qiladi.

SNMP Amplification kabi DDoS hujumlaridan himoya

Spoofing hujumlariga qarshi himoyasiz bo'lgan UDP-ga asoslangan protokollar uchun umumiy tavsiyalar quyida keltirilgan. BCP38 va RFC2827 va avvalgilarida tasvirlangan.

  • Arxitektura: so'rovlarni faqat ishonchsiz tarmoqlardan foydalana olmaydigan interfeyslarda qayta ishlashga ruxsat bering.
  • Jamiyatni taxmin qilish qiyinroq narsaga o'zgartirish.
  • Boshqaruv stantsiyalarining IP manzillarini cheklash.
  • SNMP orqali qabul qilish/o'zgartirish uchun mavjud OID filialini cheklash.
  • Minimallashtirish yoki foydalanishni rad etish jamiyat o'qish va yozish uchun.
  • Qo'shimcha autentifikatsiya va shifrlash opsiyalaridan foydalangan holda SNMP 3-versiyasiga o'tish.
  • Agar foydalanilmasa, SNMP-ni o'chiring.

Turli tizimlarda bu amallarni qanday bajarish mumkin?

Unix-da DDoS himoyasi SNMP kuchaytirilishi

SNMP xizmat konfiguratsiya faylida siz sozlaysiz quyidagi parametrlar:

# IP manzili, protokoli va SNMP so'rovlarini qabul qiluvchi port agentiManzil udp:10.0.0.1:161

Agar Unix serveri mohiyatan marshrutizator bo'lsa va arxitektura jihatdan bir nechta interfeyslarga ega bo'lsa, xavfsizlik nuqtai nazaridan faqat ishonchli segmentdan kirish mumkin bo'lgan SNMP orqali kirish mumkin bo'lgan interfeysni qoldirish kerak, lekin Internetdan emas. Ism jamiyat kirish uchun rocommunity parametri bilan belgilanadi ( faqat o'qish uchun) yoki rwcommunity ( o'qish-yozish), shuningdek, kirishga ruxsat berilgan quyi tarmoqni va jamoa chizig'ining belgilangan huquqlari bilan ko'rsatilgan pastki tarmoqning ishlashi uchun mavjud OID filialini ham ko'rsatish mumkin.

Masalan, quyi tarmoqdan monitoring tizimlariga ruxsat berish uchun 10.0.0.0/24 interfeyslar orqali ma'lumotlarga kirish ( OID 1.3.6.1.2.1.2), kirish qatori yordamida Xavfsiz qiling faqat o'qish uchun ruxsatlar bilan konfiguratsiya parchasi quyidagicha ko'rinadi:

rocommunity MaKe_It_SeCuRe 10.0.0.0/24 .1.3.6.1.2.1.2

Ammo agar vazifa avvalgisi tomonidan noto'g'ri sozlangan snmpd xizmatining xavfsizligini imkon qadar tezroq ta'minlash bo'lsa, siz yaratishingiz mumkin. zaxira nusxasi snmpd.conf, yangi konfiguratsiya fayliga monitoring tizimlarining quyi tarmog'iga cheklovlar qo'shing va hamjamiyatni o'zgartiring. Debian-da u quyidagicha ko'rinadi:

#cd<директория с snmpd.conf># mv snmpd.conf snmpd.conf.backup # echo rocommunity MaKe_It_SeCuRe 10.0.0.0/24 > snmpd.conf # /etc/init.d/snmpd qayta ishga tushirish

#cd<директория с snmpd.conf>

# mv snmpd.conf snmpd.conf.backup

# echo rocommunity MaKe_It_SeCuRe 10.0.0.0/24 > snmpd.conf # /etc/init.d/snmpd qayta ishga tushirish

Shundan so'ng, faqat quyi tarmoq SNMP orqali serverga kirish huquqiga ega bo'ladi 10.0.0.0/24 yangi hamjamiyatdan foydalangan holda, hamjamiyat yangisiga o'zgartirilmagan barcha serverlar tajovuzkorlar kabi so'rovlarga javob olishni to'xtatadi.

SNMPv3 dan foydalanishga o'tish xavfsizroq bo'lar edi, unda autentifikatsiya parametrlarini o'zgartirish mumkin. Bundan tashqari, 1 va versiyalardan farqli o'laroq 2c SNMPv3 monitoring tizimi va so'roq qilinadigan uskunalar o'rtasidagi trafikni shifrlashni ta'minlash imkonini beradi.

Konfiguratsiya faylida faqat o'qish huquqiga ega foydalanuvchi yaratish, autentifikatsiya va trafikni shifrlash snmpd.conf qo'shish kerak:

createUser v3user SHA "some_AuThPaSs" AES some_privpass authuser o'qidi v3user authpriv 1.3.6.1.2.1.2

createUser v3user SHA "some_AuThPaSs" AES some_privpass

authuser oʻqidi v3user authpriv 1.3.6.1.2.1.2

Shunga ko'ra, foydalanuvchi v3 foydalanuvchisi litsenziya oladi faqat o'qish uchun mavzuni ko'rish uchun SNMP orqali 1.3.6.1.2.1.2.

Mijozda bajarilgan buyruq bilan 192.168.10.128 serverida SNMP xizmatini qayta ishga tushirgandan so'ng, konfiguratsiyaning to'g'riligini tekshirishingiz mumkin:

$ snmpwalk -v 3 -A some_AuThPaSs -X some_privpass -a SHA ↵ -x AES -u v3user -l authPriv 192.168.10.128 1

$ snmpwalk - v 3 - some_AuThPaSs - X some_privpass - SHA ↵- x AES - u v3user - l authPriv 192.168.10.128 1

Bunday holda, 1 dan boshlanadigan butun daraxt so'ralganiga qaramay, server faqat ruxsat etilgan 1 filialini qaytaradi. .3.6.1.2.1.2, konfiguratsiyada ko'rsatilgan bo'ladi.

Agar rad qilsangiz SNMP v1/v2c foydasiga SNMPv3 shuningdek, konfiguratsiya faylidan tegishli bo'lmagan sozlamalar bo'laklarini olib tashlash kerak SNMPv3.

Agar SNMP serverni kuzatish uchun ishlatilmasa, eng to'g'ri yechim paketni olib tashlash bo'ladi snmpd.

Cisco uskunasida DDoS himoyasi SNMP kuchaytirilishi

Cisco IOS SNMP so'rovlarini qayta ishlaydigan interfeysni tanlash imkoniyatiga ega emas. Cheklash kirish ro'yxatlari yordamida amalga oshiriladi ( kirishni boshqarish ro'yxati, ACL). Ruxsat berilgan pastki tarmoq deb faraz qilaylik 10.0.0.0/24 . ACL yaratiladi:

(config)#access-list 10 ruxsat 10.0.0.0 0.0.0.255

SNMP OID filiallaridagi cheklov quyidagi ko'rinish yordamida qo'llaniladi:

(config)#snmp-server ko'rinishi IFACES 1.3.6.1.2.1.2 kiritilgan

Foydalanish uchun SNMPv3 zarur cheklovlar bilan (autentifikatsiya va shifrlash, faqat o'qish uchun, quyi tarmoqdan kirish 10.0.0.0/24 IFACES ko'rinishida belgilangan interfeys bo'limiga, siz guruh yaratishingiz kerak ( XAVFSIZ) faqat o'qish uchun ruxsat bilan OID dan IFACES-ni ko'rish va shifrlash bilan autentifikatsiya qilish zarurati, uni ilgari yaratilgan bilan bog'lash kirish ro'yxati 10:

(config)#snmp-server guruhi SECURE v3 priv o‘qish IFACES ↵ kirish 10

Yuqorida tavsiflangan sozlamalar bilan SNMPv3 ning funksionalligi buyruq yordamida tekshiriladi.

Ulanish

Sizga ham yoqishi mumkin