- •Засоби аналізу та управління мережами конспект лекцій
- •1Протокол управління мережами snmp
- •1.1Архітектури систем управління мережами
- •1.1.1Схема «менеджер ‒ агент»
- •1.1.2Структури розподілених систем управління
- •1.1.3Платформенний підхід
- •1.1.4Стандартизовані елементи системи управління
- •1.1.5Введення в snmp
- •1.1.6Стандарти систем управління на основі протоколу snmp
- •1.1.7Концепції snmp-управління
- •1.1.8Протокол мережного управління snmp
- •1.1.9Короткий опис база даних mib
- •1.1.10Керуюча база даних mib
- •1.1.11Формати і імена об'єктів snmp mib
- •1.1.12Специфікація rmon mib
- •1.1.13Проблеми безпеки протоколу snmp v1/2
- •Уразливість в стандартній конфіругаціі Windows nt snmp Сервісу.
- •Проблема в os Solaris версії до 2.6.
- •1.2Характеристика snmPv3
- •1.2.1Відмінності snmPv3
- •1.2.2Безпека в snmPv3
- •2Програмні засоби моделювання та аналізу мереж
- •2.1Cisco Packet Tracer - Знайомство з програмою. Інтерфейс
- •2.1.1Використання Cisco Packet Tracer
- •2.1.2Командний режим операційної системи ios
- •3Програмні засоби управління мережами
- •3.1Якість обслуговування в комп’ютерних мережах
- •3.2Служба QoS
- •3.3Функції і архітектура систем управління мережами
- •3.4Платформений підхід
- •3.5.1Історія Tivoli
- •3.5.2Програмні рішення ibm Tivoli для інтелектуального управління іт - інфраструктурою підприємств і організацій
- •3.5.3Технології ibm / Tivoli для бізнес-орієнтованого управління додатками і системами
- •3.5.4 Технології ibm / Tivoli для малих і середніх підприємств
- •3.5.5Інтелектуальне управляюче програмне забезпечення Tivoli
- •3.5.6Ефективність завдяки інтеграції
- •3.5.7Продуктивність завдяки автоматизації
- •3.5.8Оптимізація віддачі бізнесу
- •3.5.9Користувачі, бізнес-процеси та іт - ресурси
- •3.5.10 Переваги, пз і рішення Tivoli
- •3.5.12 Компоненти ibm Tivoli Monitoring
- •Навчальне видання
- •Засоби аналізу та управління мережами конспект лекцій
Уразливість в стандартній конфіругаціі Windows nt snmp Сервісу.
Дозволяє віддалено конфігурувати мережеві парамерти, які впливають на безпеку і правильне функціонування системи (якщо адміністратор сам запустив SNMP Service).
При конфігурації за замовчуванням, SNMP service відповідає на стандартне community (ім'я) "public", яке володіє права на читання і запис. Community - це ім'я, яке володіє такими ж функціями, як логін і пароль у системах.
Протокол SNMP надає два рівня повноважень: read-only and read-write, проте до виходу SP4 Windows NT SNMP Service не дозволяв конфігурувати communities по доступу, відмінному від read-write!
Якщо спробувати убезпечити SNMP Service шляхом перейменування community для доступу, то система залишиться незахищеною від крякери, що має акаунт на машині, так як параметри SNMP Service знаходяться в регистри і доступні всім користувачам на читання. Також Windows NT SNMP Service володіє можливістю обмежити доступ для списків IP-адрес. На перший погляд це дозволяє захиститися від атак невідомих систем, проте це не є проблемою для крякери (що необхідно розуміти будь-якому адміністратору), так як протокол SNMP використовує UDP протокол для обміну інформацією, а він є протоколом без встановлення з'єднання, тому можлива підміна вихідного адреси (але для цього доведеться переробити исходники SNMP менеджерів під Unix і вивчити UDP spoofing)
SNMP "set" операції (дозволяють змінювати значення змінних) можуть бути зроблені з підміною зворотної адреси на будь-який, так як відповідь не потрібен. Однак якщо включено обмеження довірених IP адрес, але доведеться знайти акаунт на атакується системі і витягти довірену інформацію з регістра.
Завдяки сконфігуровані за замовчуванням Windows NT SNMP Сервісу ми можемо витягти за допомогою SNMP менеджера наступну інформацію:
- The LAN Manager domain name
- A list of users
- A list of shares
- A list of running services
Як рекомендувалося в ISS сканері, можна вимкнути цю порцію SNMP mibs таким способом:
Відкрити ключ
HKLM \ System \ CurrentControlSet \ Services \ SNMP \ Parameters \ ExtensionAgents
знайти значення, яке містить
SOFTWARE \ Microsoft \ LANManagerMIB2Agent \ CurrentVersion
і видалити його.
- A list of active TCP connections
- A list of active UDP connections
- A list of network interfaces and their associated IP and
hardware addresses
- The IP routing table and the ARP table as well as a number of
networking performance statistics.
Встановлюючи змінні, крякери може модифікувати таблицю роумінгу, ARP таблицю, вимкнути мережеві інтерфейси, збити істотні мережеві параметри типу default IP, час життя пакетів (TTL), IP forwarding (дозволить крякери перенаправляти мережевий трафік). Це особливо небезпечно, якщо атакують машина є фаєрволом.
За прикладами далеко ходити не треба, наприклад, якщо машина є domain controller або server, але отримати список всіх користувачів у домені можна командою C: \ NTRESKIT> snmputil walk public .1.3.6.1.4.1.77.1.2.25
Якщо вам хочеться видалити всі записи в базі даних WINS (що призведе до повної відмови WinNT), то для цього необхідно виконати
~ $ Snmpset-v 1192.178.16.2 public .1.3.6.1.4.1.311.1.2.5.3.0 a 192.178.16.2
з набору CMU SNMP development kit under Unix.
Також є дуже цікава деталь при установки SNMP community names в Windows NT 4.0 (SP3). Якщо сервіс включений, а імена не сконфігуровані, то будь-яке ім'я буде давати read / write привілеї. Як виявилося, це зазначено ще в специфікації SNMP (RFC 1157)!
Четвертий сервіспак (SP4) надає наступне рішення проблеми: додавання контролю доступу community як READ ONLY, READ WRITE або READE CREATE. Однак за замовчуванням SP4 встановлює READ CREATE доступ, який все ще дозволяє атакувати машини. Мікрософт явно піклуватися про зручність WinNT для хакерів :)
Кращий спосіб захисту за рекомендацією M $: заблокувати SNMP на firewall.