Descriere Protocol SNMP (protocol simplu de gestionare a rețelei) - surse delphi faq

Dupa 20 de ani de la grădiniță (sau copii de chat) băiat întreabă fata: - A în ceea ce părinții tăi chat întâlni?

Toate sistemele majore de gestionare a rețelei utilizate pentru protocolul de lucru simplu de gestionare a rețelei (Simple Network Management Protocol, SNMP). De fapt, SNMP - nu este doar un protocol, și întreaga tehnologie concepută pentru a oferi un management și controlul dispozitivelor și aplicațiilor de pe rețea. Acesta poate fi folosit pentru a controla absolut orice dispozitive conectate la rețea, de exemplu, senzori de stingere sau chiar semafoare. Desigur, SNMP poate fi utilizat (și este de a face în mod activ) pentru gestionarea componentelor de rețea: .. Butuci, servere, routere, etc. Folosind informațiile SNMP (cum ar fi un indice al numărului de pachete pe secundă și de eroare de rețea rată), administratorii de rețea pot gestiona mai ușor performanța rețelei și de a detecta și de a rezolva problemele de rețea.







Trei componente ale tehnologiei SNMP: structura de gestionare a informațiilor (Structura Management Information, SMI) MIB-uri (Information Management Base, MIB), protocolul SNMP în sine

SNMP Modelul de management

Agenți SNMP sunt în module software care ruleaza pe dispozitivele gestionate. Agenții colectează informații despre dispozitivele gestionate în care operează și aceste informații pentru sistemele de management al rețelei (sisteme de management al rețelei - NSM) folosind protocolul SNMP.

protocolul SNMP v1

SNMP este pus în aplicare în 1988, în aproape toate mediile de rețea comune :. TCP / IP, IPX / SPX, AppleTalk, etc. Conceptul de bază al protocolului este că toate cele necesare pentru a controla dispozitivul de informații sunt stocate pe dispozitiv - fie că este vorba un server, router sau modem - în așa-numita bază de date administrative (MIB - Management Information Base). protocol de rețea SNMP direct oferă doar un set de comenzi pentru lucrul cu variabile MIB. Acest set include următoarele etape:

  • get-cerere este utilizat pentru a solicita unul sau mai mulți parametri MIB
  • get-next-cerere este utilizat pentru valori secvențiale de citire. În mod normal, folosit pentru a citi valorile din tabel. După primul șir de interogare folosind get-cerere get-next-cerere sunt folosite pentru citirea rândurile rămase din tabel
  • set-cerere este utilizat pentru a seta valoarea unuia sau mai multor variabile MIB
  • get-răspuns Returnează răspunsul la o cerere get-cerere, get-next-cerere și set-cerere
  • capcană mesaj de notificare cu privire la evenimente, cum ar fi restartarea rece sau cald, sau „picătură“ unele link'a.

Pentru a controla funcționarea unui dispozitiv de rețea, trebuie doar să-l accesați MIB, care este actualizată în mod constant de către dispozitiv, și să analizeze unele dintre variabile.

Mesajele SNMP este format din 2 parti: numele (numele comunitare) și date (date). nume de comunitate atribuie un mediu de acces pentru un set de NMS, care folosesc acest nume. Partea de informații a mesajului conține anumite operații SNMP (get, set, etc.) și operanzi asociate. Operanzi se referă obiect punerea în aplicare cunoscute, care sunt încorporate tranzacție SNMP.

Structura Managment Informații. RFC 1208

Managment Informații de bază (MIB, MIB-II). RFC 1213

MIB este un set de variabile ce caracterizează starea obiectului de control. Aceste variabile pot reflecta parametrii, cum ar fi numărul de pachete procesate de dispozitiv, starea interfețelor sale în timpul funcționării dispozitivului, etc. Fiecare producător de echipamente de rețea, în plus față de variabilele standard din MIB includ orice parametri specifici dispozitivului (în întreprindere privată subramificație).

În structura sa, MIB este un element derevo.Kazhdomu corespunde unui identificator numeric și simbolic. Numele variabilelor includ calea completă la ea din rădăcina elementului rădăcină.

De exemplu, în timpul funcționării dispozitivului, deoarece repornire este stocată într-o variabilă care este în secțiunea sistem numărul 3 și se numește sysUpTime. Prin urmare, numele variabilei va include tot felul: iso (1) .org (3) .dod (6) .internet (1) .mgmt (2) .mib-2 (1) .system (1) .sysUpTime (3) ; sau în limba numerelor: 1.3.6.1.2.1.1.3. Trebuie remarcat faptul că în timp ce nodurile de arbori sunt separate prin puncte.

Există o ramură a standardului MIB, referitoare la secțiunea de control Manag, care este de obicei acceptat de toate dispozitivele de rețea.

Testarea rețelei folosind SNMP

Când utilizați SNMP, puteți efectua o varietate de teste funcționalitatea dispozitivelor de rețea, din nou, definite pe dispozitivele în sine. Acest lucru este util, pentru că doar uitam statisticile de multe ori nu oferă o imagine completă a ceea ce se întâmplă.

De exemplu, pentru secțiunea referitoare la interfețele Ethernet definite TDR de testare (domeniul timp reflectometry), care permite să se determine distanța aproximativă la defect în cablul coaxial. Pentru a începe testul TDR trebuie setat la ifExtnsTestType variabilă (1.3.6.1.2.1.12.2.1.4) care conține tipul de test executabil, astfel încât acesta conținea identificatorul de test TDR în MIB: 1.3.6.1.2.1.10.7.6.1.

Rezultatul testului este, în primul rând, valoarea ifExtnsTestResult (1.3.6.1.2.1.12.2.1.5), caracterizând rezultatul testului:

  • lipsa de rezultate
  • succes
  • efectuat
  • nu este acceptată
  • nu poate rula
  • încheiată
  • nereușit

Și în al doilea rând ifExtnsTestCode valoarea (1.3.6.1.2.1.12.2.1.6) va conține MIB identificator variabilă, care cuprinde un test rezultat. Rezultatul testului este definit ca un canal de timp în unități de 100 de nanosecunde între începutul transmisiei pachetului de testare și detectarea coliziunii în purtător. În principiu, pe baza acestei valori se poate determina distanța necesară.

Noutatea fundamentală în SNMPv2 este faptul că elementul de gestionare a rețelei poate funcționa ca un administrator sau un manager de agent și agent simultan. Acest concept permite utilizatorilor să folosească SNMP într-o structură ierarhică, în care managerii locali sunt responsabili pentru managerii de mijloc, care, la rândul său, este controlat de un manager de nivel superior. O mulțime de spațiu este dat probleme de securitate SNMP, probabil, cele mai vulnerabile puncte ale protocolului.







de securitate SNMP. RFC 1352.

Una dintre cele mai importante deficiențe SNMP v1 - lipsa unui sistem dezvoltat de protecție a datelor la un nivel necesar pentru rețelele de întreprindere.

În cuvintele lui Mike Warfield: „SNMP standuri pentru securitate nu problema mea“.

În protecția SNMPv1 informații de ordin administrativ a fost interpretat prea simplist: sa bazat pe utilizarea denumirii colective (Nume comunitar), care, fiind în titlu SNMP efectuate cu el toate caracteristicile de securitate de mesagerie. Acest instrument (cunoscut ca un protocol trivială) este necesar ca managerul de program agent identificat și același nume colectiv înainte de a continua cu operațiunile de gestionare a rețelei. Ca urmare, mulți administratori de rețea au fost limitate în activitatea lor funcțiile de monitorizare numai prin inhibarea eliberării comenzii SET, capabil de a schimba setările configurației dispozitivului la distanță. Acest lucru a condus la faptul că utilizatorii evita comenzi SET: un mijloc primitiv de protecție, ca nume colectiv, ar putea permite persoanelor care nu abilitate să facă, pentru a schimba parametrii ceea ce utilizatorii ar putea să nu știu. În plus, toate informațiile critice sunt transmise în clar, astfel încât Internetul este disponibil chiar sniffer snmp

Standardele de metode de autentificare de protecție sunt definite SNMPv2 (DAP - Digest Authentication Protocol) și confidențialitate (SPP protocol de confidențialitate simetrici Ci) informații de ordin administrativ. Ea se bazează pe conceptul de partid (partid) - un set unic de setări de securitate, care pot include o locație de rețea, protocoale de autentificare și confidențialitate, utilizate între agent și manager.

Problemele legate de aplicarea SNMPv2

SNMPv2 oferă beneficii în ceea ce privește securitatea și performanța, ceea ce este important pentru utilizatori. Dar unele companii oferă cu siguranță propriile lor idei, în special în ceea ce privește protecția și relațiilor dintre manageri. În plus, firma a extins funcționalitatea bazei sale de date MIB în medii cu SNMPv1, este puțin probabil să se grăbească să elibereze produse pentru SNMPv2.

O altă opțiune - un manager bilingv care suportă simultan ambele protocoale (SNMPv1 și SNMPv2) și nu necesită transformări. Managerul SNMP bilingv determină care operează agent de format - versiunea 1 sau versiunea 2, și comunică la dialectul corespunzător. Astfel, alegerea versiunilor de protocol ar trebui să fie transparente pentru dispozitivul gazdă.

Din păcate, a doua versiune a SNMP nu a aprobat încă, astfel încât lagărul de gestionare a rețelei există confuzie si ezitarilor.

Agenți disponibile de punere în aplicare și manageri

Epilog oferă software-ul care oferă suport pentru SNMP, inclusiv:

  • Trimisului, soluție Epilog lui compact, rapid, portabil SNMP pentru OEM
  • Emisarul, un compilator SNMP MIB, care permite implementatori SNMP pentru a extinde variabile SNMP standard, pentru a sprijini extensii MIBS în fiecare dispozitiv gestionat;
  • Ambasador, o punere în aplicare completă, portabil a agentului de monitorizare de la distanță RMON (FastEthernet).
  • IBM AIX Netview pentru caracteristica de SystemView oferă distribuite sau administrare retele eterogene mari centralizate.
  • ACE * COMM WinSNMP suportă SNMPv1 SNMPv2u în v2.0 implementarilor sale de vârf din industrie Win16 si Win32 WinSNMP.
  • Digital Unix POLYCENTER Manager pe NetView oferă un management client / server de rețele de întreprinderi multivendor.
  • PowerFlag instrument - agent pentru compania UPS MIB UPS Victron B.V.
  • WS_Ping PROPACK v.2.10 vă permite să vizualizați tabele MIB indică subarbori. Pentru skachavaniya proaspete server de versiuni Ipswitch, puteți utiliza următoarele date:
    • Nume utilizator: 0000037181
    • Parola: CQWSC
    • Serial Number: WP-101333
  • Implementari-o manieră deschisă disponibile
  • agent SNMP UMC (sursa)
    • un agent care să sprijine atât SNMPv1 și SNMPv2u
    • o linie de comandă număr de aplicații bazate pe care suportă atât SNMPv1 și SNMPv2u.
    • Carnegie-Mellon University SNMP Development Kit de sprijin SNMPv1 / v2
  • NetSCARF este o facilitate de rețea de colectare de statistici și raportare. Acesta permite ISP să colecteze și să raporteze date cu privire la partea lor a Internetului, suportă atât SNMP versiunea 1 și uSec.
  • Scotty este o extensie de gestionare a rețelei pentru comanda Language Tool (Tcl), care include o implementare portabila a protocolului SNMPv1, SNMPv2c și SNMPv2u. Extensia Scotty Tcl include platforma de management al rețelei (Tkined), care oferă un browser MIB, o rețea de hartă editor precum și monitorizarea stării de depanare, descoperirea rețelei și script-uri de evenimente de filtrare.
    • v1.3 snmptcp este o platforma extensibila pentru aplicatii de management care implementează seemlessly SNMPv1, SNMPv2c și SNMPv2u.
    • Pachetul ruleaza sub X Window System pe UNIX și este construit din Command Tool Language (Tcl7.3 / Tk3.6) .În plus față de un compilator MIB, pachetul conține unele aplicații minime pentru un număr de module standard MIB.

Atacul asupra Windows SNMP.

Tuning de lucru pe aceste porturi UDP (/ etc / servicii)

  • 161 snmp / snmp udp
  • snmp-capcană 162 / snmp udp

SMI interesante de management al rețelei Coduri Private Enterprise:

  • 2 IBM
  • 4 Unix
  • 9 cisco
  • 32 Santa Cruz Funcționare
  • 42 Sun Microsystems

răspândit scanere mici de porturi UDP sub Windows, manageri SNMP, precum și lipsa de cunoștințe despre protocolul în sine este, aparent, singurul motiv pentru numărul mic de atacuri pe dispozitivele de gestionare a v1 SNMP, deoarece punerea în aplicare a acestui protocol, în unele sisteme de operare făcut greșeli grave. Dovada acestui fapt fiecare acum și apoi apar în lista de discuții BugTraq

Vulnerabilitate în konfirugatsii de servicii standard pentru Windows NT SNMP.

Vă permite să configurați de la distanță paramerty de rețea care afectează siguranța și buna funcționare a sistemului (în cazul în care administratorul care a început serviciul SNMP)

În configurația implicită, serviciul SNMP răspunde la comunitate standard (nume) „public“, care are dreptul să citească și să scrie. Comunitară - acesta este un nume care are aceleași caracteristici ca și parola de conectare.

Protocolul SNMP oferă două niveluri de autoritate. read-only și citire-scriere, dar înainte de SP4 Windows NT SNMP serviciu de ieșire nu este permis să configureze comunitățile altor acces decât citire-scriere!

Datorită configurat implicit de serviciu Windows NT SNMP, putem învăța de la managerul SNMP următoarele informații.

  • numele domeniului LAN Manager de
  • o listă de utilizatori
  • o listă de acțiuni
  • o listă de servicii care rulează

Așa cum se recomandă în scanner'e ISS, puteți dezactiva această porțiune SNMP MIB-uri în acest fel:

  1. Deschideți HKLM \ System \ CurrentControlSet \ Services \ SNMP \ Parameters \ ExtensionAgents
  2. pentru a găsi o valoare care conține SOFTWARE \ Microsoft \ LANManagerMIB2Agent \ CurrentVersion
  3. și scoateți-l.
  • o listă de conexiuni TCP active,
  • o listă de conexiuni UDP active,
  • o listă de interfețe de rețea și adresele lor IP și hardware asociate
  • tabelul de rutare IP și tabela ARP precum și un număr de rețele statisticile de performanță.

Prin setarea piroliza de variabile pot modifica tabelul de roaming, tabelul ARP, opriți interfețele de rețea, pentru a aduce în jos setările de rețea esențiale, cum ar fi IP standard, timpul de a trăi (TTL), IP forwarding (permite biscuiti pentru a redirecționa traficul de rețea). Acest lucru este deosebit de periculos dacă mașina țintă este un firewall.

Exemplele nu sunt departe de a căuta, de exemplu, în cazul în care aparatul este un controler de domeniu sau un server, dar pentru a obține o listă a tuturor utilizatorilor din domeniu poate comanda C: \ NTRESKIT> snmputil de mers publice .1.3.6.1.4.1.77.1.2.25

Dacă doriți să ștergeți toate înregistrările din baza de date WINS (ceea ce va duce la eșecul complet al WinNT), atunci trebuie să efectueze

$ Snmpset -v 1192.178.16.2 publice .1.3.6.1.4.1.311.1.2.5.3.0 un 192.178.16.2 din setul UMC SNMP kit-ul de dezvoltare sub Unix.

Există, de asemenea, este un foarte interesant nume de comunitate SNMP detaliu la instalarea în Windows NT 4.0 (SP3). Dacă serviciul este activat, iar numele nu au fost configurate, orice nume va fi dat privilegii de citire / scriere. După cum sa dovedit, acest lucru este indicat chiar și în caietul de sarcini SNMP (RFC 1157)!

Al patrulea pachet de service (SP4) oferă următoarea soluție: adăugarea unui control al accesului comunității ca doar pentru citire, Citire sau Reade CREATE. Cu toate acestea, în mod implicit se instalează SP4 CITIRE crearea unui acces care încă vă permite să atace aparatul. în mod evident, Microsoft pasă de comoditatea pentru hackeri WinNT :)

Cel mai bun mod de protecție la recomandarea M $: dezactivare acces SNMP la firewall'e.

Problema în versiunile Solaris OS înainte de 2.6.

Pentru a accesa informațiile de MIB-există un ascuns „șir de caractere comunitate fără acte“, care permite unui atacator să schimbe majoritatea parametrilor de sistem.

Din păcate, acest lucru foarte comunitate nu este cunoscută, cu toate acestea, ISS Internet Scanner și în timp real de detectare a intruziunilor ISS RealSecure poate detecta această problemă, și anume, le puteți vedea în codul sursă