Прикладной уровень стека протоколов системы управления ip-cemu

Прикладной уровень стека протоколов TCP/IP системы управления реализует функции формирования в ЦУС и маршрутизаторах сообщений, содержащих информацию управления, на основе протоколов SNMP, FTP, Telnet и др. Информационной единицей протоколов прикладного уровня стека TCP/IP является блок данных. В качестве базового протокола управления используется протокол сетевого управления SNMP (Simple Network Management Protocol), описание которого приведено ниже.

Протокол SNMP был разработан в соответствии со стандартом TMN (Telecommunication Management Network), определённым в Рекомендациях МСЭ-Т серии «М». Основой стандарта TMN является функциональное разделение системы управления любой ГСПД на два уровня: уровень элементов ГСПД (Network Elements Layer) и уровень управления элементами ГСПД (Network Elements Management Layer).

Уровень элементов ГСПД включает в себя управляемые ресурсы ГСПД, такие как коммутаторы, маршрутизаторы, ЦКП и др. На уровне управления элементами ГСПД расположен орган управления ГСПД, т.е. ЦУС. Взаимодействие между двумя уровнями TMN осуществляется согласно модели «агент-менеджер». В рамках этой модели агент представляет собой программный модуль, установленный на управляемом ресурсе ГСПД, а менеджер - модуль управления этим ресурсом, установленный в ЦУС. Процесс управления реализуется при помощи анализа и изменения менеджером набора параметров, хранящихся на стороне агента, т.е. на управляемом устройстве. Набор таких параметров называется базой данных управляющей информации MIB (Management Information Base). Так, например, база данных MIB маршрутизатора может включать в себя следующие параметры: количество портов, их тип, таблицу маршрутизации, количество дейтаграмм, прошедших через маршрутизатор, коэффициент ошибок и др. Содержимое базы данных MIB периодически обновляется управляемым устройством ГСПД. Схематично структура системы управления ГСПД, построенной в соответствии со стандартом TMN, показана на рис. 11.10.

Рисунок 11.10 – Структура системы управления ГСПД

Модель «агент-менеджер», определённая в стандарте TMN, позволяет создавать иерархические системы управления ГСПД, включающие в себя несколько взаимодействующих подсистем управления (рис. 11.11).

Протокол SNMP прикладного уровня стека протоколов TCP/IP базируется на стандарте TMN, согласно которому в качестве SNMP-менеджера выступает ЦУС, а SNMP-агента - маршрутизаторы IP-сети. Блоки данных, сформированные на основе протокола SNMP, могут содержать пять типов базовых команд, описание которых приведено в табл. 11.4.

Рисунок 11.11 - Иерархическая система управления ГСПД

Таблица 11.4. Команды протокола SNMP

Тип команды	Описание команды
Get-request	Данная команда используется SNMP-менеджером для запроса одного или более параметров базы данных MIB SNMP-агента
Get-next-request	Команда используется SNMP-менеджером для последовательного чтения значений таблиц базы данных MIB. После запроса первой строки таблицы базы данных MIB при помощи команды get-request команда get-next-request используется для чтения значений из оставшихся строк таблицы
Set-request	Команда применяется SNMP-менеджером для изменения значения одной или более переменных базы данных MIB
Get-response	Команда возвращает ответ SNMP-агента на команды-запросы get-request, get-next-request иди set-request, сформированные SNMP-менеджером
Trap	Команда используется SNMP-агентом для сообщения SNMP-менеджеру о возникновении ошибок в процессе передачи команд SNMP

Необходимо также отметить, что протокол SNMP может быть использован не только в IP-сетях, но и в сетях, построенных на базе технологий Х.25, Frame Relay и АТМ.

Кроме протокола SNMP на прикладном уровне стека протоколов TCP/IP для управления маршрутизаторами могут также использоваться такие протоколы, как Telnet и FTP. Протокол передачи файлов FTP (File Transmission Protocol) используется ЦУС для обновления программного обеспечения маршрутизаторов IP-сети, а протокол Telnet (Telecommunication Network Protocol) - для удалённого выполнения программ на стороне маршрутизаторов.

Воздействия нарушителя на прикладном уровне стека протоколов TCP/IP

ВН на прикладном уровне стека протоколов TCP/IP направлены на активизацию уязвимостей протоколов SNMP, FTP и Telnet. В качестве основного протокола системы управления IP-сети, используемого на прикладном уровне, выступает протокол SNMP, описание которого было приведено ранее. В настоящее время существует три различные версии протокола SNMP, причём первая из них не предусматривает никаких средств защиты от ВН. Тем не менее, несмотря на это, именно первая версия протокола SNMP, в настоящее время поддерживается в большинстве типов маршрутизаторов IP-сети. Ниже приведены примеры ВН, направленных на активизацию уязвимостей первой версии протокола SNMP.

Воздействия нарушителя, направленные на блокирование процесса передачи сообщений, содержащих информацию управления

ВН, направленные на блокирование процесса передачи сообщений, содержащих информацию управления, могут быть реализованы путём нарушения целостности пакетов данных SNMP, посредством которых передаются эти сообщения. Нарушение целостности пакетов данных может включать в себя: несанкционированное искажение заголовка или поля данных пакета SNMP путём внесения обнаруживаемых и необнаруживаемых ошибок, а также несанкционированное удаление пакета данных. Нарушение целостности пакетов данных SNMP аналогично рассмотренному выше нарушению целостности IP-дейтаграмм и ТСР-сегментов.

Воздействия нарушителя, направленные на получение НСД к содержимому базы данных управляющей информации маршрутизаторов

ВН, направленные на получение НСД к содержимому базы данных управляющей информации маршрутизаторов, реализуются путём ложной аутентификации нарушителя. В качестве аутентификационных параметров протокол SNMP использует пароли или так называемые «общие имена» (community strings). Общие имена передаются в IP-сети в открытом незашифрованном виде и применяются для разделения агентов и менеджеров системы управления IP-сети на различные группы. При этом агенты взаимодействуют только с теми менеджерами, которые входят вместе с ними в одну группу, т.е. с менеджерами, которые указывают в своих пакетах данных SNMP общее имя, совпадающее с именем, хранящимся в памяти агента. Каждому общему имени соответствует один из двух типов прав доступа: права доступа на чтение информации и права доступа на чтение/запись информации в базу данных MIB маршрутизатора. Таким образом, для получения НСД к содержимому базы данных MIB маршрутизатора нарушителю необходимо получить значение общего имени. Для этого нарушитель может воспользоваться полным перебором всех возможных значений общего имени или осуществить перехват пакета данных SNMP, содержащего искомое значение общего имени, в процессе его передачи через IP-сеть.

Таблица 11.5. Общие имена, используемые по умолчанию

Производитель маршрутизатора	Общее имя, соответствующее правам доступа на чтение информации	Общее имя, соответствующее правам доступа на чтение информации
Ascend	public	write
Bay	public	private
Cisco	public	private
3Com	public, monitor	manager, security

Ещё одним способом получения НСД к базе данных MIB маршрутизатора является использование общих имён, применяемых по умолчанию в маршрутизаторах различных производителей. Перечень таких имён представлен в табл. 11.5.

104

<<< < Предыдущая 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 2930 / 3030

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]

#
02.06.201519.52 Кб29Лабораторная работа №5.docx
#
02.06.2015337.41 Кб13Лабораторная работа №8_ТЭС.doc
#
11.11.2019373.25 Кб6Лабораторные по КГ для бакалавров.doc
#
14.08.2019701.95 Кб3Лабораторные частная микробиология.doc
#
30.10.20183.91 Mб55Лейст - История политических и правовых учений.doc
#
21.11.20184.65 Mб36лекции 1 (от него).docx
#
21.11.20183.38 Mб23лекции 2 (от него).docx
#
19.09.201976.26 Кб16Лекции Геополитика.docx
#
23.09.201947.24 Кб26лекции геополитика.docx
#
02.06.20152.92 Mб268Лекции Диагностика и надежность АСУ.doc
#
02.06.20151.2 Mб115Лекции Инженерная графика (спец. У, ВМ).doc