Студопедия
Новини освіти і науки:
МАРК РЕГНЕРУС ДОСЛІДЖЕННЯ: Наскільки відрізняються діти, які виросли в одностатевих союзах


РЕЗОЛЮЦІЯ: Громадського обговорення навчальної програми статевого виховання


ЧОМУ ФОНД ОЛЕНИ ПІНЧУК І МОЗ УКРАЇНИ ПРОПАГУЮТЬ "СЕКСУАЛЬНІ УРОКИ"


ЕКЗИСТЕНЦІЙНО-ПСИХОЛОГІЧНІ ОСНОВИ ПОРУШЕННЯ СТАТЕВОЇ ІДЕНТИЧНОСТІ ПІДЛІТКІВ


Батьківський, громадянський рух в Україні закликає МОН зупинити тотальну сексуалізацію дітей і підлітків


Відкрите звернення Міністру освіти й науки України - Гриневич Лілії Михайлівні


Представництво українського жіноцтва в ООН: низький рівень культури спілкування в соціальних мережах


Гендерна антидискримінаційна експертиза може зробити нас моральними рабами


ЛІВИЙ МАРКСИЗМ У НОВИХ ПІДРУЧНИКАХ ДЛЯ ШКОЛЯРІВ


ВІДКРИТА ЗАЯВА на підтримку позиції Ганни Турчинової та права кожної людини на свободу думки, світогляду та вираження поглядів



ХАРАКТЕРИСТИКА SNMPv3

Проблема в OS Solaris версії до 2.6.

Виходячи з ISS Security Advisory (November 2nd, 1998), в агенті SNMP, який за замовчуванням запущений в цій системі, існують реальні загрози отримати доступ на рівні рута, маніпулювати процесами і параметрами машини.

Для доступу до MIB-інформації існує прихована "undocumented community string", яка дозволить атакуючому змінити більшість системних параметрів.

На жаль, саме це community не називається, проте ISS Internet Scanner і ISS RealSecure real-time intrusion detection можуть детектувати ці проблеми, тобто подивитися можна в їх кодах.

Як не дивно, але те, що в мережевих технологіях колись було названо простим, сьогодні має досить складний пристрій. Так сталося, наприклад, з протоколом SNMP (Simple Network Management Protocol). Проте саме завдяки його новій модульної архітектурі, засобів управління безпекою та здібності шифрувати керуючий трафік, що з'явилися в третій версії даного протоколу, область його застосування значно розширилася. При цьому він забезпечує зворотну сумісність з попередніми версіями, тобто може керувати пристроями, що підтримують SNMP версій 1 і 2.

У той же час на шляху його використання в корпоративних мережах ще залишилися деякі перепони, і головна з них - неможливість скористатися SNMP-командами для початкового завдання ідентифікатора і пароля користувача, щоб організувати захист керованого пристрою засобами SNMPv3. Значить, ідентифікатор та пароль користувача на маршрутизаторах і комутаторах доведеться конфігурувати вручну або за допомогою сценаріїв засобами інтерфейсу командного рядка. Що ж стосується додатків управління, то знову-таки доведеться вводити, зберігати і супроводжувати синхронізовані пари ідентифікаторів і паролів користувачів для всіх мережевих пристроїв, якими цей додаток буде керувати.

Проте недосконалість версії 3 не завадили кільком основним постачальникам включити у свої продукти підтримку цього протоколу. Всі провідні постачальники маршрутизаторів і комутаторів вже не один рік підтримують SNMP. Так, наприклад, Cisco забезпечує повну підтримку SNMPv3 у своїй операційній системі IOS, починаючи з її версії 12.0. Це ж відноситься і до виробників мережевих платформ управління. Програмні системи Spectrum компанії Aprisma, Patrol компанії BMC Software, Unicenter компанії Computer Associates, OpenView компанії Hewlett-Packard, Tivoli компанії IBM і InCharge компанії Smarts - всі вони підтримують SNMPv3. І навіть ПО SNMPc компанії Castle Rock Computing і MIB Browser компанії MG-Soft включають підтримку SNMPv3.

SNMP-сутності та виконавче ядро.

Протокол SNMPv3 увібрав в себе всі функції своїх попередніх версій і розширив їх. Тепер нові функції можна додавати як модулі, які не переписуючи сам протокол. Так, якщо буде розроблена нова модель доступу для версії 3 протоколи, то вона просто замінить існуючу до неї, не впливаючи на інші складові частини протоколу.

Це гарна новина для мережевих адміністраторів - адже їм не доведеться повністю переписувати наявне у вас ПО SNMP, і нове ПЗ версії 3 зможе працювати разом з ПЗ попередніх версій. Хоча перша і друга версії протоколу повністю покладаються на прості рядкові паролі доступу (community strings) і не можуть використовувати кошти аутентифікації і шифрування, наявні у версії 3, ви все ж зумієте керувати пристроями, що підтримують перші версії засобами SNMPv3. Ну а постачальники зможуть повторно використовувати програмний код і модернізувати набори функцій, не вдаючись до повної переробці свого керуючого ПО.

У SNMPv3 не застосовуються традиційні для SNMP терміни "агент" і "менеджер". Мовою версії 3 пристрої і компоненти управління називаються "сутностями" (entities). Одна сутність (раніше відома як агент) знаходиться на маршрутизаторі, а інша (минулого менеджер) - займається опитуванням додатків. Терміни, може, і змінилися, але от функції залишилися колишніми. Кожна сутність має SNMP-ядро і додаток (див. малюнок). Ядро SNMP складають чотири функції: контроль доступу, безпека, обробка повідомлень і диспетчер. У модулі процесора повідомлень і диспетчера включені також функції версій SNMPv1 і 2, в тому числі для обробки команд set і get, і для форматування блоків даних SNMP або PDU (protocol data unit).

Розглянемо, як працює ядро ​​SNMPv3: диспетчер виконує роль воротаря, тобто всі вхідні / вихідні повідомлення проходять через нього. Обробляючи SNMP-повідомлення, диспетчер визначає, до якої версії протоколу воно належить, і відсилає його відповідному модулю-процесору для аналізу. Якщо диспетчер не може визначити версію, наприклад через некоректне формату пакета, він реєструє помилку.

Процесор повідомлень пересилає повідомлення підсистемі безпеки або підсистемі контролю доступу, а потім відсилає назад диспетчеру, який і передає його SNMP-додатків. Не будучи додатками в традиційному значенні (під якими ми звикли розуміти програми, що відповідають за обробку транзакцій або запитів до баз даних), вони всього лише ініціюють SNMP-запити або видають відповіді на них. Так, системи мережевого управління активують додатки - генератори команд для збору інформації з маршрутизаторів, комутаторів і хостів.

Додаток ж респондент - це "відповідна частина" генератора команд: працює воно на маршрутизаторах, комутаторах і хостах і реагує, наприклад, на команду get. Додаток-відправник і додаток - одержувач повідомлень відповідно відсилають і одержують переривання trap, а проксі-додаток переадресації переправляє SNMP-повідомлення між керуючими і керованими сутностями, якщо пряма підтримка SNMP недоступна.


Читайте також:

  1. I. Загальна характеристика політичної та правової думки античної Греції.
  2. II. ВИРОБНИЧА ХАРАКТЕРИСТИКА ПРОФЕСІЇ
  3. II. Морфофункціональна характеристика відділів головного мозку
  4. Аварії на хімічно-небезпечних об’єктах та характеристика зон хімічного зараження.
  5. Автобіографія. Резюме. Характеристика. Рекомендаційний лист
  6. Автокореляційна характеристика системи
  7. Амплітудно-частотна характеристика, смуга пропускання і загасання
  8. Аплікація як вид образотворчої діяльності дошкільнят, його характеристика.
  9. Архітектура СЕП та характеристика АРМ-1, АРМ-2, АРМ-3
  10. Афіксальні морфеми. Загальна характеристика
  11. Банківська система України і її характеристика
  12. Банківські ризики та їх характеристика




Переглядів: 659

<== попередня сторінка | наступна сторінка ==>
Проблеми безпеки протоколу SNMP v1/2 | Відмінності SNMPv3

Не знайшли потрібну інформацію? Скористайтесь пошуком google:

  

© studopedia.com.ua При використанні або копіюванні матеріалів пряме посилання на сайт обов'язкове.


Генерація сторінки за: 0.012 сек.