МАРК РЕГНЕРУС ДОСЛІДЖЕННЯ: Наскільки відрізняються діти, які виросли в одностатевих союзах
РЕЗОЛЮЦІЯ: Громадського обговорення навчальної програми статевого виховання ЧОМУ ФОНД ОЛЕНИ ПІНЧУК І МОЗ УКРАЇНИ ПРОПАГУЮТЬ "СЕКСУАЛЬНІ УРОКИ" ЕКЗИСТЕНЦІЙНО-ПСИХОЛОГІЧНІ ОСНОВИ ПОРУШЕННЯ СТАТЕВОЇ ІДЕНТИЧНОСТІ ПІДЛІТКІВ Батьківський, громадянський рух в Україні закликає МОН зупинити тотальну сексуалізацію дітей і підлітків Відкрите звернення Міністру освіти й науки України - Гриневич Лілії Михайлівні Представництво українського жіноцтва в ООН: низький рівень культури спілкування в соціальних мережах Гендерна антидискримінаційна експертиза може зробити нас моральними рабами ЛІВИЙ МАРКСИЗМ У НОВИХ ПІДРУЧНИКАХ ДЛЯ ШКОЛЯРІВ ВІДКРИТА ЗАЯВА на підтримку позиції Ганни Турчинової та права кожної людини на свободу думки, світогляду та вираження поглядів Контакти
Тлумачний словник |
|
|||||||
ХАРАКТЕРИСТИКА SNMPv3Проблема в OS Solaris версії до 2.6. Виходячи з ISS Security Advisory (November 2nd, 1998), в агенті SNMP, який за замовчуванням запущений в цій системі, існують реальні загрози отримати доступ на рівні рута, маніпулювати процесами і параметрами машини. Для доступу до MIB-інформації існує прихована "undocumented community string", яка дозволить атакуючому змінити більшість системних параметрів. На жаль, саме це community не називається, проте ISS Internet Scanner і ISS RealSecure real-time intrusion detection можуть детектувати ці проблеми, тобто подивитися можна в їх кодах. Як не дивно, але те, що в мережевих технологіях колись було названо простим, сьогодні має досить складний пристрій. Так сталося, наприклад, з протоколом SNMP (Simple Network Management Protocol). Проте саме завдяки його новій модульної архітектурі, засобів управління безпекою та здібності шифрувати керуючий трафік, що з'явилися в третій версії даного протоколу, область його застосування значно розширилася. При цьому він забезпечує зворотну сумісність з попередніми версіями, тобто може керувати пристроями, що підтримують SNMP версій 1 і 2. У той же час на шляху його використання в корпоративних мережах ще залишилися деякі перепони, і головна з них - неможливість скористатися SNMP-командами для початкового завдання ідентифікатора і пароля користувача, щоб організувати захист керованого пристрою засобами SNMPv3. Значить, ідентифікатор та пароль користувача на маршрутизаторах і комутаторах доведеться конфігурувати вручну або за допомогою сценаріїв засобами інтерфейсу командного рядка. Що ж стосується додатків управління, то знову-таки доведеться вводити, зберігати і супроводжувати синхронізовані пари ідентифікаторів і паролів користувачів для всіх мережевих пристроїв, якими цей додаток буде керувати. Проте недосконалість версії 3 не завадили кільком основним постачальникам включити у свої продукти підтримку цього протоколу. Всі провідні постачальники маршрутизаторів і комутаторів вже не один рік підтримують SNMP. Так, наприклад, Cisco забезпечує повну підтримку SNMPv3 у своїй операційній системі IOS, починаючи з її версії 12.0. Це ж відноситься і до виробників мережевих платформ управління. Програмні системи Spectrum компанії Aprisma, Patrol компанії BMC Software, Unicenter компанії Computer Associates, OpenView компанії Hewlett-Packard, Tivoli компанії IBM і InCharge компанії Smarts - всі вони підтримують SNMPv3. І навіть ПО SNMPc компанії Castle Rock Computing і MIB Browser компанії MG-Soft включають підтримку SNMPv3. SNMP-сутності та виконавче ядро. Протокол SNMPv3 увібрав в себе всі функції своїх попередніх версій і розширив їх. Тепер нові функції можна додавати як модулі, які не переписуючи сам протокол. Так, якщо буде розроблена нова модель доступу для версії 3 протоколи, то вона просто замінить існуючу до неї, не впливаючи на інші складові частини протоколу. Це гарна новина для мережевих адміністраторів - адже їм не доведеться повністю переписувати наявне у вас ПО SNMP, і нове ПЗ версії 3 зможе працювати разом з ПЗ попередніх версій. Хоча перша і друга версії протоколу повністю покладаються на прості рядкові паролі доступу (community strings) і не можуть використовувати кошти аутентифікації і шифрування, наявні у версії 3, ви все ж зумієте керувати пристроями, що підтримують перші версії засобами SNMPv3. Ну а постачальники зможуть повторно використовувати програмний код і модернізувати набори функцій, не вдаючись до повної переробці свого керуючого ПО. У SNMPv3 не застосовуються традиційні для SNMP терміни "агент" і "менеджер". Мовою версії 3 пристрої і компоненти управління називаються "сутностями" (entities). Одна сутність (раніше відома як агент) знаходиться на маршрутизаторі, а інша (минулого менеджер) - займається опитуванням додатків. Терміни, може, і змінилися, але от функції залишилися колишніми. Кожна сутність має SNMP-ядро і додаток (див. малюнок). Ядро SNMP складають чотири функції: контроль доступу, безпека, обробка повідомлень і диспетчер. У модулі процесора повідомлень і диспетчера включені також функції версій SNMPv1 і 2, в тому числі для обробки команд set і get, і для форматування блоків даних SNMP або PDU (protocol data unit). Розглянемо, як працює ядро SNMPv3: диспетчер виконує роль воротаря, тобто всі вхідні / вихідні повідомлення проходять через нього. Обробляючи SNMP-повідомлення, диспетчер визначає, до якої версії протоколу воно належить, і відсилає його відповідному модулю-процесору для аналізу. Якщо диспетчер не може визначити версію, наприклад через некоректне формату пакета, він реєструє помилку. Процесор повідомлень пересилає повідомлення підсистемі безпеки або підсистемі контролю доступу, а потім відсилає назад диспетчеру, який і передає його SNMP-додатків. Не будучи додатками в традиційному значенні (під якими ми звикли розуміти програми, що відповідають за обробку транзакцій або запитів до баз даних), вони всього лише ініціюють SNMP-запити або видають відповіді на них. Так, системи мережевого управління активують додатки - генератори команд для збору інформації з маршрутизаторів, комутаторів і хостів. Додаток ж респондент - це "відповідна частина" генератора команд: працює воно на маршрутизаторах, комутаторах і хостах і реагує, наприклад, на команду get. Додаток-відправник і додаток - одержувач повідомлень відповідно відсилають і одержують переривання trap, а проксі-додаток переадресації переправляє SNMP-повідомлення між керуючими і керованими сутностями, якщо пряма підтримка SNMP недоступна. Читайте також:
|
||||||||
|