Студопедия
Новини освіти і науки:
МАРК РЕГНЕРУС ДОСЛІДЖЕННЯ: Наскільки відрізняються діти, які виросли в одностатевих союзах


РЕЗОЛЮЦІЯ: Громадського обговорення навчальної програми статевого виховання


ЧОМУ ФОНД ОЛЕНИ ПІНЧУК І МОЗ УКРАЇНИ ПРОПАГУЮТЬ "СЕКСУАЛЬНІ УРОКИ"


ЕКЗИСТЕНЦІЙНО-ПСИХОЛОГІЧНІ ОСНОВИ ПОРУШЕННЯ СТАТЕВОЇ ІДЕНТИЧНОСТІ ПІДЛІТКІВ


Батьківський, громадянський рух в Україні закликає МОН зупинити тотальну сексуалізацію дітей і підлітків


Відкрите звернення Міністру освіти й науки України - Гриневич Лілії Михайлівні


Представництво українського жіноцтва в ООН: низький рівень культури спілкування в соціальних мережах


Гендерна антидискримінаційна експертиза може зробити нас моральними рабами


ЛІВИЙ МАРКСИЗМ У НОВИХ ПІДРУЧНИКАХ ДЛЯ ШКОЛЯРІВ


ВІДКРИТА ЗАЯВА на підтримку позиції Ганни Турчинової та права кожної людини на свободу думки, світогляду та вираження поглядів



Контакти
 


Тлумачний словник
Авто
Автоматизація
Архітектура
Астрономія
Аудит
Біологія
Будівництво
Бухгалтерія
Винахідництво
Виробництво
Військова справа
Генетика
Географія
Геологія
Господарство
Держава
Дім
Екологія
Економетрика
Економіка
Електроніка
Журналістика та ЗМІ
Зв'язок
Іноземні мови
Інформатика
Історія
Комп'ютери
Креслення
Кулінарія
Культура
Лексикологія
Література
Логіка
Маркетинг
Математика
Машинобудування
Медицина
Менеджмент
Метали і Зварювання
Механіка
Мистецтво
Музика
Населення
Освіта
Охорона безпеки життя
Охорона Праці
Педагогіка
Політика
Право
Програмування
Промисловість
Психологія
Радіо
Регилия
Соціологія
Спорт
Стандартизація
Технології
Торгівля
Туризм
Фізика
Фізіологія
Філософія
Фінанси
Хімія
Юриспунденкция






ХАРАКТЕРИСТИКА SNMPv3

Проблема в OS Solaris версії до 2.6.

Виходячи з ISS Security Advisory (November 2nd, 1998), в агенті SNMP, який за замовчуванням запущений в цій системі, існують реальні загрози отримати доступ на рівні рута, маніпулювати процесами і параметрами машини.

Для доступу до MIB-інформації існує прихована "undocumented community string", яка дозволить атакуючому змінити більшість системних параметрів.

На жаль, саме це community не називається, проте ISS Internet Scanner і ISS RealSecure real-time intrusion detection можуть детектувати ці проблеми, тобто подивитися можна в їх кодах.

Як не дивно, але те, що в мережевих технологіях колись було названо простим, сьогодні має досить складний пристрій. Так сталося, наприклад, з протоколом SNMP (Simple Network Management Protocol). Проте саме завдяки його новій модульної архітектурі, засобів управління безпекою та здібності шифрувати керуючий трафік, що з'явилися в третій версії даного протоколу, область його застосування значно розширилася. При цьому він забезпечує зворотну сумісність з попередніми версіями, тобто може керувати пристроями, що підтримують SNMP версій 1 і 2.

У той же час на шляху його використання в корпоративних мережах ще залишилися деякі перепони, і головна з них - неможливість скористатися SNMP-командами для початкового завдання ідентифікатора і пароля користувача, щоб організувати захист керованого пристрою засобами SNMPv3. Значить, ідентифікатор та пароль користувача на маршрутизаторах і комутаторах доведеться конфігурувати вручну або за допомогою сценаріїв засобами інтерфейсу командного рядка. Що ж стосується додатків управління, то знову-таки доведеться вводити, зберігати і супроводжувати синхронізовані пари ідентифікаторів і паролів користувачів для всіх мережевих пристроїв, якими цей додаток буде керувати.

Проте недосконалість версії 3 не завадили кільком основним постачальникам включити у свої продукти підтримку цього протоколу. Всі провідні постачальники маршрутизаторів і комутаторів вже не один рік підтримують SNMP. Так, наприклад, Cisco забезпечує повну підтримку SNMPv3 у своїй операційній системі IOS, починаючи з її версії 12.0. Це ж відноситься і до виробників мережевих платформ управління. Програмні системи Spectrum компанії Aprisma, Patrol компанії BMC Software, Unicenter компанії Computer Associates, OpenView компанії Hewlett-Packard, Tivoli компанії IBM і InCharge компанії Smarts - всі вони підтримують SNMPv3. І навіть ПО SNMPc компанії Castle Rock Computing і MIB Browser компанії MG-Soft включають підтримку SNMPv3.

SNMP-сутності та виконавче ядро.

Протокол SNMPv3 увібрав в себе всі функції своїх попередніх версій і розширив їх. Тепер нові функції можна додавати як модулі, які не переписуючи сам протокол. Так, якщо буде розроблена нова модель доступу для версії 3 протоколи, то вона просто замінить існуючу до неї, не впливаючи на інші складові частини протоколу.

Це гарна новина для мережевих адміністраторів - адже їм не доведеться повністю переписувати наявне у вас ПО SNMP, і нове ПЗ версії 3 зможе працювати разом з ПЗ попередніх версій. Хоча перша і друга версії протоколу повністю покладаються на прості рядкові паролі доступу (community strings) і не можуть використовувати кошти аутентифікації і шифрування, наявні у версії 3, ви все ж зумієте керувати пристроями, що підтримують перші версії засобами SNMPv3. Ну а постачальники зможуть повторно використовувати програмний код і модернізувати набори функцій, не вдаючись до повної переробці свого керуючого ПО.

У SNMPv3 не застосовуються традиційні для SNMP терміни "агент" і "менеджер". Мовою версії 3 пристрої і компоненти управління називаються "сутностями" (entities). Одна сутність (раніше відома як агент) знаходиться на маршрутизаторі, а інша (минулого менеджер) - займається опитуванням додатків. Терміни, може, і змінилися, але от функції залишилися колишніми. Кожна сутність має SNMP-ядро і додаток (див. малюнок). Ядро SNMP складають чотири функції: контроль доступу, безпека, обробка повідомлень і диспетчер. У модулі процесора повідомлень і диспетчера включені також функції версій SNMPv1 і 2, в тому числі для обробки команд set і get, і для форматування блоків даних SNMP або PDU (protocol data unit).

Розглянемо, як працює ядро ​​SNMPv3: диспетчер виконує роль воротаря, тобто всі вхідні / вихідні повідомлення проходять через нього. Обробляючи SNMP-повідомлення, диспетчер визначає, до якої версії протоколу воно належить, і відсилає його відповідному модулю-процесору для аналізу. Якщо диспетчер не може визначити версію, наприклад через некоректне формату пакета, він реєструє помилку.

Процесор повідомлень пересилає повідомлення підсистемі безпеки або підсистемі контролю доступу, а потім відсилає назад диспетчеру, який і передає його SNMP-додатків. Не будучи додатками в традиційному значенні (під якими ми звикли розуміти програми, що відповідають за обробку транзакцій або запитів до баз даних), вони всього лише ініціюють SNMP-запити або видають відповіді на них. Так, системи мережевого управління активують додатки - генератори команд для збору інформації з маршрутизаторів, комутаторів і хостів.

Додаток ж респондент - це "відповідна частина" генератора команд: працює воно на маршрутизаторах, комутаторах і хостах і реагує, наприклад, на команду get. Додаток-відправник і додаток - одержувач повідомлень відповідно відсилають і одержують переривання trap, а проксі-додаток переадресації переправляє SNMP-повідомлення між керуючими і керованими сутностями, якщо пряма підтримка SNMP недоступна.


Читайте також:

  1. I. Загальна характеристика політичної та правової думки античної Греції.
  2. II. ВИРОБНИЧА ХАРАКТЕРИСТИКА ПРОФЕСІЇ
  3. II. Морфофункціональна характеристика відділів головного мозку
  4. Аварії на хімічно-небезпечних об’єктах та характеристика зон хімічного зараження.
  5. Автобіографія. Резюме. Характеристика. Рекомендаційний лист
  6. Автокореляційна характеристика системи
  7. Амплітудно-частотна характеристика, смуга пропускання і загасання
  8. Аплікація як вид образотворчої діяльності дошкільнят, його характеристика.
  9. Архітектура СЕП та характеристика АРМ-1, АРМ-2, АРМ-3
  10. Афіксальні морфеми. Загальна характеристика
  11. Банківська система України і її характеристика
  12. Банківські ризики та їх характеристика




Переглядів: 600

<== попередня сторінка | наступна сторінка ==>
Проблеми безпеки протоколу SNMP v1/2 | Відмінності SNMPv3

Не знайшли потрібну інформацію? Скористайтесь пошуком google:

 

© studopedia.com.ua При використанні або копіюванні матеріалів пряме посилання на сайт обов'язкове.


Генерація сторінки за: 0.004 сек.