Описание протокол SNMP (прост протокол за управление на мрежата) - Delphi източници често задавани въпроси

След 20 години в детска градина (или деца чат) момче пита момичето: - А в какво се на родителите си в чата се срещат?

Всички основни системи за управление на мрежата, използвани за протокола работа проста за управление на мрежата (Протоколът Simple Network Management, SNMP). В действителност, SNMP - не е само протокол, както и цялата технология, предназначена да осигури управление и контрол на устройства и приложения в мрежата. Тя може да се използва за контрол на абсолютно всеки устройства, свързани към мрежата, например средства за гасене на сензори и дори светофари. Разбира се, SNMP може да се използва (и активно вземане) за управление на елементите от мрежата: .. хъбове, сървъри, рутери и т.н. Използвайки SNMP информация (като показател за броя на пакетите в секунда и мрежова грешка ставка), мрежовите администратори могат по-лесно да управляват ефективност на мрежата и откриване и решаване на проблеми с мрежата.







Три компонента на технологията SNMP: структурата на управление на информация (Структура на управление на информацията, SMI) MIBs (за управление на информационната база, MIB) SNMP самия протокол

SNMP Model Management

SNMP агенти в са софтуерни модули, които работят в управлявани устройства. Агентите събират информация за управляваните устройства, в които работят и да предоставят на системи за управление на мрежата (системи за управление на мрежата - НДСВ) тази информация с помощта на SNMP протокол.

SNMP v1 протокол

SNMP се реализира през 1988 г. в почти всички общи мрежови среди :. TCP / IP, IPX / SPX, AppleTalk и т.н. Основната концепция на протокола е, че всичко необходимо, за да контролира устройството информация се съхранява на устройството - било то на сървъра, рутер или модем - в така наречената административна база данни (MIB - за управление на информацията в базата). SNMP протокол мрежа директно осигурява само набор от команди за работа с променливи MIB. Комплектът включва следните стъпки:

  • се заявка се използва да поиска един или повече параметри на MIB
  • получите-следващо искане се използва за четене последователни стойности. Обикновено се използва за четене стойности от масата. След първия низ заявка с GET заявка получите-следващо искане се използват за четене на останалите редове от таблицата
  • Използвани настройка искане да се определи една или повече променливи MIB
  • получите отговор Връща отговор на искане получи заявка, да получите-следващо искане и настройка на заявка
  • капан съобщение уведомяване за събития като студен или топъл рестарт, или "капка" някои link'a.

За да се контролира работата на мрежово устройство, просто трябва да го получи на MIB, който се актуализира постоянно от устройството, и да се анализират някои от променливите.

SNMP съобщения се състои от 2 части: името на (името на общността) Общността и данни (данни). Името на общността възлага среда за достъп до набор от НДСВ, които използват това име. информационна част на съобщението съдържа конкретна операция SNMP (получите, настройте и т.н.) и свързаните с операнди. Операнди се отнасят изпълнение обект познат, които са включени SNMP сделка.

Структура на Управление информация. RFC 1208

Управление информационна база (MIB, MIB-II). RFC 1213

MIB е набор от променливи, които характеризират състоянието на контрол обект. Тези променливи могат да отразяват параметрите, като например броя на пакетите, обработвани от устройството, състоянието на нейните интерфейси по време на работа на устройството и т.н. Всеки производител на мрежово оборудване, в допълнение към стандартните променливи в MIB включва никакви параметри, специфични за устройството (в поддърво частни предприятия).

В своята структура, MIB е derevo.Kazhdomu елемент съответства на цифровата и символично идентификатор. Името на променливите включва пълния път до него от корен на корен елемент.

Например, по време на работа на устройството, тъй като рестарта се съхранява в променлива, която е в раздел система номер 3 и се нарича sysUpTime. Съответно, името на променливата ще включва целия път: изо (1) .org (3) .dod (6) .internet (1) .mgmt (2) .mib-2 (1) .system (1) .sysUpTime (3) ; или на езика на числата: 1.3.6.1.2.1.1.3. Трябва да се отбележи, че макар и възли на дърветата са разделени с точки.

Налице е клон на стандарта MIB, отнасящи се към секцията за управление Управл, което обикновено се поддържа от всички мрежови устройства.

Тестване на мрежата чрез SNMP

При използване на SNMP, можете да извършвате различни тестове на функционалността на мрежови устройства, отново са определени от самите устройства. Това е полезно, тъй като просто гледам статистиката често не даде пълна картина на това, което се случва.

Например, за клетката, свързана с интерфейси Ethernet определени тест TDR (Time-домейн рефлектометрия), което позволява да се определи приблизителното разстояние до повредата в коаксиален кабел. За да започнете теста за TDR трябва да се настрои променливата ifExtnsTestType (1.3.6.1.2.1.12.2.1.4), съдържащ изпълним вид тест, така че съдържа идентификатор на TDR тест в MIB: 1.3.6.1.2.1.10.7.6.1.

Резултатът е, на първо място, стойността на ifExtnsTestResult (1.3.6.1.2.1.12.2.1.5), характеризиращи резултатите от теста:

  • липсата на резултати
  • успех
  • извършва
  • не се поддържа
  • не може да работи
  • прекратено
  • неуспешен

И второ, ifExtnsTestCode стойност (1.3.6.1.2.1.12.2.1.6) ще съдържа променлива идентификатор MIB, съдържащ резултат от теста. Резултатът от теста се определя като слот време на 100-наносекунда единици между началото на предаване на тест пакет и откриване на сблъсък в носителя. По принцип, на базата на тази стойност може да се определи необходимата дистанция.

Основната новост в SNMPv2 е, че елемент за управление на мрежата може да работи като мениджър или мениджър агент и агент едновременно. Тази концепция позволява на потребителите да използват SNMP в йерархична структура, в която местните мениджъри са отговорни пред мениджърите на средно ниво, които, от своя страна, се контролира от мениджър по-високо ниво. Много пространство се дава въпроси SNMP за сигурност, може би най-уязвимите точки на протокола.







SNMP сигурност. RFC 1352.

Един от най-забележителните недостатъци SNMP v1 - липсата на развита система на защита на данните на ниво, необходимо за корпоративни мрежи.

По думите на Майк Warfield: "SNMP стендове за сигурност Не е мой проблем".

В защита SNMPv1 административна информация се тълкува твърде опростено: тя се основава на използването на общото наименование (наименование на Общността), които, бидейки в заглавието SNMP увличаше всички характеристики на сигурността съобщения. Този инструмент се изисква (известен като тривиален протокол), че установената мениджърът програма агент и съща колективна името преди да продължите с операциите за управление на мрежата. В резултат на това много от мрежовите администратори са били ограничени в своята работа само функции по наблюдение, чрез подтискане на издаването на заповедта SET, можете да промените настройките на конфигурацията на дистанционното устройство. Това доведе до факта, че потребителите да избегнат SET команди: примитивни средства за защита, като колективен име, може да позволи лица, които не надлежно упълномощени да направите, за да промените параметрите на това, което потребителите може би дори не знаят. В допълнение, всички важна информация се предава в ясен, така че интернет е наличен дори SNMP обучени

Норми за методи за удостоверяване защита са определени SNMPv2 (DAP - Digest Authentication Protocol) и неприкосновеността на личния живот (SPP -Symmetric поверителност Protocol) административна информация. Тя се основава на концепцията за партия (партия) - уникален набор от настройки за сигурност, които могат да включват място в мрежата, протоколи за удостоверяване и поверителност, които се използват между представителя и управителя.

Проблеми на прилагане SNMPv2

SNMPv2 предлага ползи от гледна точка на сигурността и производителността, което е важно за потребителите. Някои компании обаче със сигурност предлагат на своите собствени идеи, особено по отношение на защитата на отношенията и между мениджъри. В допълнение, фирмата разширява функционалността на своята база данни MIB в среди с SNMPv1, е малко вероятно да се втурне за пускане на продукти SNMPv2.

Друг вариант - двуезично мениджър, който едновременно поддържа и двата протокола (SNMPv1 и SNMPv2) и не изисква трансформации. Два управление SNMP определя кой формат агент работи - версия 1 или версия 2 и комуникира в подходящ говор. По този начин, изборът на версии на протокола трябва да бъде прозрачна, за да хост устройството.

За съжаление, втората версия на SNMP все още не е одобрен, така че лагера управление на мрежата, има объркване и нерешителност.

Налични средства за изпълнение и мениджъри

Епилог предлага софтуер, който осигурява поддръжка за SNMP, включително:

  • Пратеник, компактен, бърз, преносим SNMP решение Епилог за OEM производители
  • Пратеник, за SNMP MIB компилатор, който позволява на SNMP имплементаторите да разширят стандартни SNMP променливи, които да подкрепят удължаването на срока на МИБС във всяка управлявано устройство;
  • Посланик, пълен, преносим изпълнение на RMON (FastEthernet) дистанционно наблюдение агент.
  • В IBM AIX Netview за черта на SystemView осигурява разпределена или централизирано управление на големи хетерогенни мрежи.
  • ACE * COMM WinSNMP поддържа SNMPv1 SNMPv2u в v2.0 от своите водещи в индустрията Win16 и Win32 WinSNMP реализации.
  • Digital Unix POLYCENTER мениджър на NetView осигурява управление на клиент / сървър на множество производители корпоративни мрежи.
  • В PowerFlag инструмент - агент за UPS MIB UPS компания Victron Б.В.
  • WS_Ping ProPack v.2.10 ви позволява да видите MIB таблици показват поддървета. За skachavaniya свеж версии Ipswitch сървъра, можете да използвате следните данни:
    • Потребителско име: 0000037181
    • Парола: CQWSC
    • Сериен номер: WP-101333
  • Открито-Налични внедрявания
  • CMU SNMP агент (източник)
    • агент, който поддържа SNMPv1, така и SNMPv2u
    • редица командния ред базирани приложения, които поддържат SNMPv1, така и SNMPv2u.
    • Carnegie-Mellon University SNMP комплекта за разработване на подкрепа SNMPv1 / v2
  • NetSCARF е фасилити мрежа Статистика Събиране и отчитане. Тя позволява на доставчиците на интернет услуги да събират и предоставят информация за своята част от Интернет, поддържа и двата SNMP версия 1 и USEC.
  • Скоти е разширение за управление на мрежата за Tool Command Language (Tcl), който включва преносим прилагане на протокола SNMPv1, SNMPv2c и SNMPv2u. Разширението на Scotty Tcl включва платформа за управление на мрежата (Tkined), която осигурява MIB браузър, мрежа редактор на картата, както и контрол на състоянието, отстраняване на проблеми, откриване на мрежа и събития филтриране скриптове.
    • snmptcp v1.3 е разширяема платформа за приложения за управление, които незабелязано реализира SNMPv1, SNMPv2c и SNMPv2u.
    • Пакетът работи под Системата X Window върху UNIX и е изградена от Tool Command Language (Tcl7.3 / Tk3.6) .В допълнение към компилатор MIB, пакетът съдържа някои минимални заявления за редица стандартни MIB модули.

Атаката на Windows SNMP.

Настройване на работата по тези UDP портове (/ и т.н. / услуги)

  • SNMP 161 / UDP SNMP
  • SNMP-капан 162 / UDP SNMP

Интересни SMI за управление на мрежата частно предприятие кодове:

  • 2 IBM
  • 4 Unix
  • 9 Cisco
  • 32 Santa Cruz Operation
  • 42-Sun Microsystems

Малки разпространените UDP порт скенери под Windows, мениджъри SNMP, както и липсата на знания за самия протокол е очевидно, че единствената причина за малкия брой нападения над устройства, работещи с SNMP управление v1, тъй като прилагането на този протокол в някои операционни системи направени сериозни грешки. Доказателство за това от време на време се появяват в Bugtraq пощенския списък

Уязвимост в konfirugatsii стандартна услуга Windows NT SNMP.

Позволява ви да конфигурирате дистанционно мрежа paramerty, че да повлияе на безопасността и правилното функциониране на системата (ако администраторите, които са започнали на SNMP служба)

В стандартната конфигурация, SNMP услуга отговаря на стандартите на Общността (име) "обществена", която има право да четат и пишат. Общността - това е име, което има същите характеристики като потребителско име и парола.

Протоколът SNMP предлага две нива на властта. само за четене и четене и запис, но преди SP4 Windows NT SNMP услуга не е разрешено изход, за да изберете общности за достъп, освен за четене и запис!

Поради конфигуриран по подразбиране Windows NT SNMP услуга, ние можем да се учим от вашия SNMP управление на следната информация.

  • името на домейна на LAN Manager
  • списък на потребителите
  • списък на акция
  • списък на стартираните услуги

Както се препоръчва в scanner'e ISS, можете да изключите тази част SNMP МИБС по този начин:

  1. Open HKLM \ System \ CurrentControlSet \ Services \ SNMP \ Parameters \ ExtensionAgents
  2. да се намери стойност, която съдържа SOFTWARE \ Microsoft \ LANManagerMIB2Agent \ CurrentVersion
  3. и да го премахнете.
  • списък с активните TCP връзки
  • списък на активни UDP връзки
  • списък с мрежови интерфейси и свързаните с тях IP и хардуерни адреси
  • таблицата за IP маршрутизиране и таблицата ARP, както и редица статистически данни за ефективността на мрежи.

Чрез определянето на бедняк променливи може да промени таблицата за роуминг, ARP таблица, изключете мрежовите интерфейси, за да свалят мрежовите настройки на съществените като по подразбиране IP, време е да живееш (TTL), IP спедиция (позволи бисквити за пренасочване на трафика в мрежата). Това е особено опасно, ако целевата машина е защитна стена.

Примерите не са много да се търси, например, ако машината е домейн контролер или на сървъра, но за да получите списък на всички потребители в областта може да командва C: \ NTRESKIT> snmputil ходи обществен .1.3.6.1.4.1.77.1.2.25

Ако искате да изтриете всички записи в базата данни на WINS (което ще доведе до пълен провал на WinNT), тогава ние трябва да изпълни

$ Snmpset -v 1192.178.16.2 обществен .1.3.6.1.4.1.311.1.2.5.3.0 на 192.178.16.2 от набор CMU SNMP комплекта развитие под Unix.

Има и много интересни имена подробно SNMP общността при инсталиране на Windows NT 4.0 (SP3). Ако услугата е активирана, както и имената не са конфигурирани, всяко име, ще бъдат дадени за четене / запис привилегии. Както се оказа, това се отбелязва още в спецификация SNMP (RFC 1157)!

Четвъртият сервизен пакет за (SP4), предвижда следното решение: добавяне на Общността за контрол на достъп, както е само за четене, Прочетете Запис или Рийд създадете. Въпреки това, по подразбиране се инсталира SP4 READ СЪЗДАВАНЕ достъп, които все още ви позволява да атакува машината. Microsoft очевидно е грижа за удобството на хакерите WinNT :)

Най-добрият начин на защита по препоръка на M $: деактивиране на SNMP достъп до firewall'e.

Проблемът в версии Solaris OS преди 2.6.

За достъп до информацията на MIB-там е скрит "без документи низ общност", която позволява на нападателя да се промени най-много от параметрите на системата.

За съжаление, това много общност не е известно, обаче, ISS Интернет скенер и ISS RealSecure за откриване на проникване в реално време може да открие този проблем, т.е. можете да ги видите в изходния код