Leírás SNMP protokollt (Simple Network Management Protocol) - Delphi forrásból gyik

20 év után az óvodában (vagy gyerekek chat) fiú kérdezi a lány: - Egy az, amit a szülők csevegnek találkozik?

Mind a nagy hálózati rendszerek használják a munkát Simple Network Management Protocol (Simple Network Management Protocol, SNMP). Tény, SNMP - nem csak egy protokoll, és az egész technológia célja, hogy az irányítási és ellenőrzési eszközök és alkalmazások a hálózaton. Ezt fel lehet használni, hogy ellenőrizzék teljesen olyan eszköz csatlakozik a hálózathoz, például tűzoltó érzékelők vagy akár közlekedési lámpánál. Persze, SNMP lehet használni (és aktívan teszi) kezelésére hálózati elemek: .. Hub, szerverek, routerek, stb használata SNMP információk (például egy index a csomagok száma másodpercenként, és a hálózati hibaarány), a hálózati rendszergazdák könnyebben kezelheti a hálózati teljesítményt és felismerni és megoldani a hálózati problémákat.

Három összetevői SNMP technológia: szerkezete információt (Structure of Management Information, SMI) MIB-et (Management Information Base, MIB) SNMP protokoll önmagában

SNMP menedzsment modell

SNMP ügynökök vannak szoftver modulok futó menedzselt eszközök. Az ügynökök adatokat gyűjt a kezelt eszközöket, amelyben működnek, és ezt az információt, hogy a hálózati rendszerek (hálózati rendszerek - NMS) használva az SNMP protokollt.

SNMP v1 protokoll

SNMP valósul meg 1988-ban szinte minden közös hálózati környezetek :. TCP / IP, IPX / SPX, AppleTalk stb alapkoncepciója a protokoll, hogy minden szükséges eszköz vezérlésére információt a készüléken tárolt - legyen az egy szerver, router vagy modem - az úgynevezett adminisztratív adatbázis (MIB - Management Information Base). SNMP hálózati protokoll közvetlenül csak egy sor parancs dolgozó változók MIB. Ez a készlet a következő lépéseket:

  • get-kérés lekérdezhető egy vagy több paraméter MIB
  • get-next-kérés használt szekvenciális olvasási értékeket. Általában használt olvasni értékeket a táblázatban. Miután az első lekérdezési karakterlánc használatával get-kérelmet kap-next-kérés használják olvasni a többi táblázat sorait
  • set-kérés használják az értéket az egy vagy több MIB változók
  • kap-válasz adja kérésére kap-kérés, get-next-kérés és a set-kérés
  • csapdaészlelő üzenetet események, mint például a hideg vagy meleg újraindítás, vagy „drop” néhány link'a.

Annak érdekében, hogy ellenőrizzék a működését egy hálózati eszköz, akkor csak meg kell hozzáférni a MIB, amely folyamatosan frissíti a készülék, és elemezni kell egyes változók.

SNMP üzenetek 2 részből áll: a neve a közösség (közösség neve) és az adatok (adatok). közösség nevét hozzárendel egy hozzáférési környezetet egy sor NMS, aki használja ezt a nevet. Az információ az üzenet egy része tartalmazza a konkrét SNMP működését (get, készlet, stb), és a kapcsolódó operandusok. Operandusok lásd végrehajtás ismert objektum, amely publikációkat SNMP tranzakciót.

Szerkezete Managment információ. RFC 1208

Managment Information Base (MIB, MIB-II). RFC 1213

MIB egy sor változó jellemző az állam a vezérlő objektum. A változók tükrözik a paramétereket, mint például a csomagok számát dolgozza fel a készülék, az állam az interfészek működése közben a készülék, stb Minden gyártó hálózati eszközök, amellett, hogy a hagyományos változók a MIB tartalmaz olyan paramétert külön a készülék (a részfa magánvállalkozás).

A struktúrájában, MIB egy derevo.Kazhdomu elem megfelel egy numerikus és szimbolikus azonosítója. A név a változók közé tartozik a teljes elérési utat a gyökér a gyökér elem.

Például, működés közben az eszköz, mivel az újraindítás tároljuk egy változó, amely a rendszerben szakasz száma 3 és az úgynevezett sysUpTime. Ennek megfelelően, a változó nevét tartalmazza egészen: ISO (1) .org (3) .dod (6) .internet (1) .mgmt (2) .mib-2 (1) .system (1) .sysUpTime (3) ; vagy a számok nyelvén: 1.3.6.1.2.1.1.3. Meg kell megjegyezni, hogy bár a fa csomópontok pontokkal elválasztva.

Van egy ága a MIB szabvány vonatkozó MGMT vezérlő egység, amely általában támogatja a hálózati eszközök.

Ellenőrzi a hálózatot használó SNMP

Ha SNMP, el tud végezni a különböző tesztek funkcionalitásának hálózati eszközök, újra meghatározni az eszközök maguk. Ez akkor hasznos, mert csak nézni a statisztikát gyakran nem adnak teljes képet, hogy mi történik.

Például vonatkozó részben az Ethernet interfész meghatározott vizsgálati TDR (Time-reflektometriai), amely lehetővé teszi, hogy meghatározza a hozzávetőleges távolság a hibát a koaxiális kábel. Ahhoz, hogy indítsa el a TDR tesztet kell beállítani, hogy a variábilis ifExtnsTestType (1.3.6.1.2.1.12.2.1.4) tartalmazó futtatható típusú vizsgálat, úgy, hogy tartalmazott TDR teszt azonosítót a MIB: 1.3.6.1.2.1.10.7.6.1.

A vizsgálat eredménye, először is, a értéke ifExtnsTestResult (1.3.6.1.2.1.12.2.1.5), jellemző a vizsgálati eredmény:

  • Az eredmények hiánya miatt
  • siker
  • teljesített
  • nem támogatott
  • nem tud futni
  • megszűnik
  • sikertelen

És másodszor, az érték ifExtnsTestCode (1.3.6.1.2.1.12.2.1.6) fog tartalmazni változó azonosítót MIB, amely tartalmaz egy vizsgálati eredmény. A vizsgálati eredményt úgy definiáljuk, mint egy időrés 100 nanoszekundumos egységek közötti adatátvitel indítása a teszt csomag, és az ütközés detektálás a hordozóban. Elvileg alapján ez az érték határozza meg a kívánt távolságot.

Az alapvető újdonság SNMPv2, hogy a hálózat menedzsment elem működhet, mint a menedzser, vagy egy ügynök menedzser és ügynök egyszerre. Ez a koncepció lehetővé teszi a felhasználók számára, hogy SNMP hierarchikus struktúra, amelyben a helyi vezetők felelősséggel a középvezetők, akik viszont vezérli egy magasabb szintű vezetője. Sok helyet kap SNMP biztonsági kérdések, talán a legsérülékenyebb pontjait a protokollt.

SNMP biztonságát. RFC 1352.

Az egyik leginkább figyelemre méltó hiányosságok SNMP v1 - hiányában a fejlett adatvédelmi rendszert a szükséges szintet a vállalati hálózatok számára.

A szavai Mike Warfield: „SNMP jelentése Security nem az én problémám.”

Az SNMPv1 védelmi igazgatási információkat értelmezni túl egyszerű: ez alapján a használata a közös nevet (Community Name), amely, mint az SNMP cím végzett vele az összes funkcióját üzenetküldési biztonság. Ez az eszköz (más néven a triviális protokoll) szükséges, hogy az azonosított ágens program vezetője és ugyanazon kollektív nevét, mielőtt folytatnánk a hálózati műveleteket. Ennek eredményeként számos hálózati rendszergazdák korlátozottak voltak a munkájukban csak felügyeleti funkciók gátlása révén a kibocsátás a SET parancs képes megváltoztatni a beállításokat a távoli eszköz beállításait. Ez vezetett ahhoz, hogy a felhasználók elkerüljék SET parancs: a primitív védelmi eszközök, mint a kollektív nevét, lehetővé teheti személyek nem megfelelően felhatalmazott tenni, változtatni a paramétereit, amit a felhasználók talán nem is tud. Ezen kívül minden kritikus információkat továbbítanak az világos, hogy az interneten is elérhető, SNMP szippantás

Védelmi előírások hitelesítési módszerek meghatározása SNMPv2 (DAP - Digest Authentication Protocol) és a magánélet (SPP -Symmetric Adatvédelmi Protocol) adminisztratív információkat. Ez alapján a koncepció fél (felek) - egyedülálló a biztonsági beállításokat, amelyek lehetnek egy hálózati helyen hitelesítési protokollok és bizalmas között használt szer és a menedzser.

Végrehajtási problémák SNMPv2

SNMPv2 előnyöket kínál a biztonság és a teljesítmény, ami a felhasználó számára fontos. De néhány vállalat biztosan hez saját elképzeléseit, különös tekintettel a védelmet és a kapcsolatok a vezetők között. Ezen kívül a cég kiterjesztette a funkcionalitását MIB adatbázis környezetben az SNMPv1, nem valószínű, hogy rohanás, hogy kiadja termékek SNMPv2.

Egy másik lehetőség - a kétnyelvű vezetője, amely egyszerre támogatja mindkét protokollt (SNMPv1 és SNMPv2), és nem igényel transzformációk. Kétnyelvű SNMP menedzser meghatározza, hogy melyik méret szer működik - 1-es verzió, vagy 2-es verzió, és kommunikál a megfelelő nyelvjárást. Így, a választás a protokollverzió átlátszónak kell lennie a fogadó eszközt.

Sajnos, a második változat az SNMP még mindig nem hagyta jóvá, így a hálózat menedzsment tábor zavar van és ingadozás.

Elérhető végrehajtási ügynökök és vezetők

Epilógus szoftvert kínál, amely támogatja az SNMP, többek között:

  • Megbízottja, Epilógus kompakt, gyors, hordozható SNMP megoldás az OEM-ek
  • Kiválasztott egy SNMP MIB fordító, amely lehetővé teszi az SNMP implementors kiterjeszteni szabványos SNMP változók támogatására meghosszabbította a MIB-ek az egyes kezelt eszköz;
  • Nagykövetet, egy teljes, hordozható végrehajtása RMON (FastEthernet) távfelügyeleti ügynök.
  • Az IBM AIX Netview jellemzője SystemView biztosít elosztott vagy központosított kezelése nagy heterogén hálózatok.
  • ACE * COMM WinSNMP támogatja SNMPv1 SNMPv2u a v2.0 az iparágvezető Win16 és Win32 WinSNMP megvalósítások.
  • Digital Unix POLYCENTER Manager NetView biztosít kliens / szerver kezelése multivendor vállalati hálózatokban.
  • A PowerFlag szerszám - szer UPS MIB UPS cég Victron B.V.
  • WS_Ping ProPackTM v.2.10 lehetővé teszi, hogy a MIB táblázatok jelzik részfákat. Mert skachavaniya friss verziók Ipswitch szerver, akkor a következő adatokat:
    • Felhasználói név: 0000037181
    • Jelszó: CQWSC
    • Sorszám: WP-101333
  • Nyíltan elérhető megvalósítások
  • CMU SNMP ügynök (forrás)
    • egy ügynök, hogy támogatják mind SNMPv1 és SNMPv2u
    • Számos parancssor alapú alkalmazások, amelyek támogatják a SNMPv1 és SNMPv2u.
    • Carnegie-Mellon University SNMP Development Kit támogató SNMPv1 / v2
  • NetSCARF egy hálózati statisztikák összegyűjtésének és bejelentésének Facility. Ez lehetővé teszi, hogy az ISP-ket az adatok gyűjtésére és arról, hogy az Internet része egyaránt támogatja az SNMP version 1 és USEC.
  • Scotty egy hálózati menedzsment kiterjesztése a Tool Command Language (Tcl), amely tartalmaz egy hordozható végrehajtását SNMPv1, SNMPv2c és SNMPv2u protokollt. A Scotty Tcl kiterjesztés tartalmazza a hálózati menedzsment platform (Tkined), amely egy MIB böngésző, a hálózati térkép szerkesztő, valamint állapotfigyelést hibaelhárítás, hálózati felderítést és eseményszűréshez szkripteket.
    • snmptcp v1.3 egy bővíthető platformot alkalmazások, amelyek seemlessly végrehajtja SNMPv1, SNMPv2c és SNMPv2u.
    • A csomag alatt fut az X Window System UNIX és épül Tool Command Language (Tcl7.3 / Tk3.6) .Ezen kívül a MIB fordító, a csomag tartalmaz egy minimális alkalmazások számos szabványos MIB modulokat.

A támadás a Windows SNMP.

Tuning munka a következő UDP portokat (/ etc / services)

  • SNMP 161 / udp SNMP
  • SNMP-csapda 162 / UDP SNMP

Érdekes SMI Network Management Private Enterprise kódok:

  • 2 IBM
  • 4 Unix
  • 9 cisco
  • 32 Santa Cruz Operation
  • 42 Sun Microsystems

Kis terjedését UDP port szkennerek Windows alatt, SNMP vezetők, valamint az ismeretek hiánya, ami a protokoll önmagában nyilvánvalóan az egyetlen oka a kis számú támadások eszközökön futó SNMP v1 menedzsment bevezetése óta ez a protokoll egyes operációs rendszerekben tett komoly hibákat. Bizonyíték erre hébe-hóba megjelenik a bugtraq levelezőlista

A biztonsági rés a konfirugatsii szabványos Windows NT SNMP szolgáltatás.

Lehetővé teszi, hogy távolról konfigurálni a hálózatot paramerty, amelyek befolyásolják a biztonságot és megfelelő működése a rendszer (ha az adminisztrátor, aki elindította az SNMP Service)

Az alapértelmezett beállítás, SNMP szolgáltatás reagál szabvány közösség (név) „nyilvános”, amely a jogot, hogy írni és olvasni. Közösség - ez egy olyan név, ugyanazokat a funkciókat, mint a bejelentkezési név és jelszó.

Az SNMP protokoll kétszintű hatóságnak. csak olvasható és írható-olvasható, de mielőtt SP4 Windows NT SNMP Service kimenet nem szabad beállítani a közösségek számára más, mint read-write!

Mivel a konfigurált alapértelmezett Windows NT SNMP szolgáltatás, tanulhatunk az SNMP-kezelő a következő információkat.

  • A LAN Manager domain név
  • a felhasználók listáját
  • megosztások listáját
  • a futó szolgáltatások

Amint azt az ISS scanner'e, akkor kapcsolja ki ezt a részét SNMP MIB-eket ezt az utat:

  1. Nyílt HKLM \ System \ CurrentControlSet \ Services \ SNMP \ Parameters \ ExtensionAgents
  2. találni egy értéket, amely SOFTWARE \ Microsoft \ LANManagerMIB2Agent \ CurrentVersion
  3. és távolítsa el.
  • egy listát az aktív TCP-kapcsolatok
  • egy listát az aktív UDP kapcsolatok
  • a hálózati csatolók listája és a hozzájuk tartozó IP-címeket és a hardver
  • Az IP-útválasztási tábla és az ARP tábla, valamint számos hálózati teljesítmény statisztikák.

Azáltal, hogy az változó cracker módosíthatja a roaming asztal, ARP-tábla, kapcsolja ki a hálózati csatolók, hogy azokat az alapvető hálózati beállításokat, mint például az alapértelmezett IP, az élettartamuk (TTL), IP továbbítás (lehetővé kekszet átirányítani a hálózati forgalom). Ez különösen veszélyes, ha a célgép egy tűzfal.

A példák nem messze keresni, például, ha a gép egy tartományvezérlő vagy szerver, de kap egy listát az összes felhasználó esetén is parancsot: C: \ NTRESKIT> SNMPUTIL járni nyilvános .1.3.6.1.4.1.77.1.2.25

Ha azt szeretnénk, hogy minden rekordot törölni a WINS-adatbázisban (ami vezet teljes kudarcát WinNT), akkor el kell végeznünk

$ Snmpset -v 1192.178.16.2 nyilvános .1.3.6.1.4.1.311.1.2.5.3.0 a 192.178.16.2 a beállított CMU SNMP development kit Unix alatt.

Van is egy nagyon érdekes részlet SNMP közösségi nevek telepítésekor a Windows NT 4.0 (SP3). Ha a szolgáltatás engedélyezve van, és a neve nincs konfigurálva, bármilyen nevet kap az olvasási / írási jogosultsággal. Mint kiderült, ez jelzi, még a SNMP leírásban (RFC 1157)!

A negyedik szervizcsomag (SP4) a következő megoldást: hozzátéve közösségi hozzáférés-szabályozás, mint egy csak olvasható, vagy olvasni írni Reade CREATE. Azonban alapértelmezés szerint telepíti SP4 READ létre hozzáférési amely még lehetővé teszi, hogy megtámadják a gép. Microsoft nyilván törődnek a kényelmet a hackerek WinNT :)

A legjobb védelem ajánlása alapján M $: letilthatja az SNMP hozzáférést firewall'e.

A probléma a Solaris operációs rendszer verziók előtt 2.6.

Az adatokhoz való hozzáféréshez a MIB-van egy rejtett „nem dokumentált közösség húr”, amely lehetővé teszi a támadó módosíthatja a legtöbb rendszer paramétereit.

Sajnos, ez nagyon közösség nem ismert azonban, ISS Internet Scanner és az ISS RealSecure valós idejű behatolás érzékelő észleli ezt a problémát, azaz a láthatjuk őket a forráskód