- •Засоби аналізу та управління мережами конспект лекцій
- •1Протокол управління мережами snmp
- •1.1Архітектури систем управління мережами
- •1.1.1Схема «менеджер ‒ агент»
- •1.1.2Структури розподілених систем управління
- •1.1.3Платформенний підхід
- •1.1.4Стандартизовані елементи системи управління
- •1.1.5Введення в snmp
- •1.1.6Стандарти систем управління на основі протоколу snmp
- •1.1.7Концепції snmp-управління
- •1.1.8Протокол мережного управління snmp
- •1.1.9Короткий опис база даних mib
- •1.1.10Керуюча база даних mib
- •1.1.11Формати і імена об'єктів snmp mib
- •1.1.12Специфікація rmon mib
- •1.1.13Проблеми безпеки протоколу snmp v1/2
- •Уразливість в стандартній конфіругаціі Windows nt snmp Сервісу.
- •Проблема в os Solaris версії до 2.6.
- •1.2Характеристика snmPv3
- •1.2.1Відмінності snmPv3
- •1.2.2Безпека в snmPv3
- •2Програмні засоби моделювання та аналізу мереж
- •2.1Cisco Packet Tracer - Знайомство з програмою. Інтерфейс
- •2.1.1Використання Cisco Packet Tracer
- •2.1.2Командний режим операційної системи ios
- •3Програмні засоби управління мережами
- •3.1Якість обслуговування в комп’ютерних мережах
- •3.2Служба QoS
- •3.3Функції і архітектура систем управління мережами
- •3.4Платформений підхід
- •3.5.1Історія Tivoli
- •3.5.2Програмні рішення ibm Tivoli для інтелектуального управління іт - інфраструктурою підприємств і організацій
- •3.5.3Технології ibm / Tivoli для бізнес-орієнтованого управління додатками і системами
- •3.5.4 Технології ibm / Tivoli для малих і середніх підприємств
- •3.5.5Інтелектуальне управляюче програмне забезпечення Tivoli
- •3.5.6Ефективність завдяки інтеграції
- •3.5.7Продуктивність завдяки автоматизації
- •3.5.8Оптимізація віддачі бізнесу
- •3.5.9Користувачі, бізнес-процеси та іт - ресурси
- •3.5.10 Переваги, пз і рішення Tivoli
- •3.5.12 Компоненти ibm Tivoli Monitoring
- •Навчальне видання
- •Засоби аналізу та управління мережами конспект лекцій
Проблема в os Solaris версії до 2.6.
Виходячи з ISS Security Advisory (November 2nd, 1998), в агенті SNMP, який за замовчуванням запущений в цій системі, існують реальні загрози отримати доступ на рівні рута, маніпулювати процесами і параметрами машини.
Для доступу до MIB-інформації існує прихована "undocumented community string", яка дозволить атакуючому змінити більшість системних параметрів.
На жаль, саме це community не називається, проте ISS Internet Scanner і ISS RealSecure real-time intrusion detection можуть детектувати ці проблеми, тобто подивитися можна в їх кодах.
1.2Характеристика snmPv3
Як не дивно, але те, що в мережевих технологіях колись було названо простим, сьогодні має досить складний пристрій. Так сталося, наприклад, з протоколом SNMP (Simple Network Management Protocol). Проте саме завдяки його новій модульної архітектурі, засобів управління безпекою та здібності шифрувати керуючий трафік, що з'явилися в третій версії даного протоколу, область його застосування значно розширилася. При цьому він забезпечує зворотну сумісність з попередніми версіями, тобто може керувати пристроями, що підтримують SNMP версій 1 і 2.
У той же час на шляху його використання в корпоративних мережах ще залишилися деякі перепони, і головна з них - неможливість скористатися SNMP-командами для початкового завдання ідентифікатора і пароля користувача, щоб організувати захист керованого пристрою засобами SNMPv3. Значить, ідентифікатор та пароль користувача на маршрутизаторах і комутаторах доведеться конфігурувати вручну або за допомогою сценаріїв засобами інтерфейсу командного рядка. Що ж стосується додатків управління, то знову-таки доведеться вводити, зберігати і супроводжувати синхронізовані пари ідентифікаторів і паролів користувачів для всіх мережевих пристроїв, якими цей додаток буде керувати.
Проте недосконалість версії 3 не завадили кільком основним постачальникам включити у свої продукти підтримку цього протоколу. Всі провідні постачальники маршрутизаторів і комутаторів вже не один рік підтримують SNMP. Так, наприклад, Cisco забезпечує повну підтримку SNMPv3 у своїй операційній системі IOS, починаючи з її версії 12.0. Це ж відноситься і до виробників мережевих платформ управління. Програмні системи Spectrum компанії Aprisma, Patrol компанії BMC Software, Unicenter компанії Computer Associates, OpenView компанії Hewlett-Packard, Tivoli компанії IBM і InCharge компанії Smarts - всі вони підтримують SNMPv3. І навіть ПО SNMPc компанії Castle Rock Computing і MIB Browser компанії MG-Soft включають підтримку SNMPv3.
SNMP-сутності та виконавче ядро.
Протокол SNMPv3 увібрав в себе всі функції своїх попередніх версій і розширив їх. Тепер нові функції можна додавати як модулі, які не переписуючи сам протокол. Так, якщо буде розроблена нова модель доступу для версії 3 протоколи, то вона просто замінить існуючу до неї, не впливаючи на інші складові частини протоколу.
Це гарна новина для мережевих адміністраторів - адже їм не доведеться повністю переписувати наявне у вас ПО SNMP, і нове ПЗ версії 3 зможе працювати разом з ПЗ попередніх версій. Хоча перша і друга версії протоколу повністю покладаються на прості рядкові паролі доступу (community strings) і не можуть використовувати кошти аутентифікації і шифрування, наявні у версії 3, ви все ж зумієте керувати пристроями, що підтримують перші версії засобами SNMPv3. Ну а постачальники зможуть повторно використовувати програмний код і модернізувати набори функцій, не вдаючись до повної переробці свого керуючого ПО.
У SNMPv3 не застосовуються традиційні для SNMP терміни "агент" і "менеджер". Мовою версії 3 пристрої і компоненти управління називаються "сутностями" (entities). Одна сутність (раніше відома як агент) знаходиться на маршрутизаторі, а інша (минулого менеджер) - займається опитуванням додатків. Терміни, може, і змінилися, але от функції залишилися колишніми. Кожна сутність має SNMP-ядро і додаток (див. малюнок). Ядро SNMP складають чотири функції: контроль доступу, безпека, обробка повідомлень і диспетчер. У модулі процесора повідомлень і диспетчера включені також функції версій SNMPv1 і 2, в тому числі для обробки команд set і get, і для форматування блоків даних SNMP або PDU (protocol data unit).
Розглянемо, як працює ядро SNMPv3: диспетчер виконує роль воротаря, тобто всі вхідні / вихідні повідомлення проходять через нього. Обробляючи SNMP-повідомлення, диспетчер визначає, до якої версії протоколу воно належить, і відсилає його відповідному модулю-процесору для аналізу. Якщо диспетчер не може визначити версію, наприклад через некоректне формату пакета, він реєструє помилку.
Процесор повідомлень пересилає повідомлення підсистемі безпеки або підсистемі контролю доступу, а потім відсилає назад диспетчеру, який і передає його SNMP-додатків. Не будучи додатками в традиційному значенні (під якими ми звикли розуміти програми, що відповідають за обробку транзакцій або запитів до баз даних), вони всього лише ініціюють SNMP-запити або видають відповіді на них. Так, системи мережевого управління активують додатки - генератори команд для збору інформації з маршрутизаторів, комутаторів і хостів.
Додаток ж респондент - це "відповідна частина" генератора команд: працює воно на маршрутизаторах, комутаторах і хостах і реагує, наприклад, на команду get. Додаток-відправник і додаток - одержувач повідомлень відповідно відсилають і одержують переривання trap, а проксі-додаток переадресації переправляє SNMP-повідомлення між керуючими і керованими сутностями, якщо пряма підтримка SNMP недоступна.