ХАРАКТЕРИСТИКА SNMPv3

Проблема в OS Solaris версії до 2.6.

Виходячи з ISS Security Advisory (November 2nd, 1998), в агенті SNMP, який за замовчуванням запущений в цій системі, існують реальні загрози отримати доступ на рівні рута, маніпулювати процесами і параметрами машини.

Для доступу до MIB-інформації існує прихована "undocumented community string", яка дозволить атакуючому змінити більшість системних параметрів.

На жаль, саме це community не називається, проте ISS Internet Scanner і ISS RealSecure real-time intrusion detection можуть детектувати ці проблеми, тобто подивитися можна в їх кодах.

Як не дивно, але те, що в мережевих технологіях колись було названо простим, сьогодні має досить складний пристрій. Так сталося, наприклад, з протоколом SNMP (Simple Network Management Protocol). Проте саме завдяки його новій модульної архітектурі, засобів управління безпекою та здібності шифрувати керуючий трафік, що з'явилися в третій версії даного протоколу, область його застосування значно розширилася. При цьому він забезпечує зворотну сумісність з попередніми версіями, тобто може керувати пристроями, що підтримують SNMP версій 1 і 2.

У той же час на шляху його використання в корпоративних мережах ще залишилися деякі перепони, і головна з них - неможливість скористатися SNMP-командами для початкового завдання ідентифікатора і пароля користувача, щоб організувати захист керованого пристрою засобами SNMPv3. Значить, ідентифікатор та пароль користувача на маршрутизаторах і комутаторах доведеться конфігурувати вручну або за допомогою сценаріїв засобами інтерфейсу командного рядка. Що ж стосується додатків управління, то знову-таки доведеться вводити, зберігати і супроводжувати синхронізовані пари ідентифікаторів і паролів користувачів для всіх мережевих пристроїв, якими цей додаток буде керувати.

Проте недосконалість версії 3 не завадили кільком основним постачальникам включити у свої продукти підтримку цього протоколу. Всі провідні постачальники маршрутизаторів і комутаторів вже не один рік підтримують SNMP. Так, наприклад, Cisco забезпечує повну підтримку SNMPv3 у своїй операційній системі IOS, починаючи з її версії 12.0. Це ж відноситься і до виробників мережевих платформ управління. Програмні системи Spectrum компанії Aprisma, Patrol компанії BMC Software, Unicenter компанії Computer Associates, OpenView компанії Hewlett-Packard, Tivoli компанії IBM і InCharge компанії Smarts - всі вони підтримують SNMPv3. І навіть ПО SNMPc компанії Castle Rock Computing і MIB Browser компанії MG-Soft включають підтримку SNMPv3.

SNMP-сутності та виконавче ядро.

Протокол SNMPv3 увібрав в себе всі функції своїх попередніх версій і розширив їх. Тепер нові функції можна додавати як модулі, які не переписуючи сам протокол. Так, якщо буде розроблена нова модель доступу для версії 3 протоколи, то вона просто замінить існуючу до неї, не впливаючи на інші складові частини протоколу.

Це гарна новина для мережевих адміністраторів - адже їм не доведеться повністю переписувати наявне у вас ПО SNMP, і нове ПЗ версії 3 зможе працювати разом з ПЗ попередніх версій. Хоча перша і друга версії протоколу повністю покладаються на прості рядкові паролі доступу (community strings) і не можуть використовувати кошти аутентифікації і шифрування, наявні у версії 3, ви все ж зумієте керувати пристроями, що підтримують перші версії засобами SNMPv3. Ну а постачальники зможуть повторно використовувати програмний код і модернізувати набори функцій, не вдаючись до повної переробці свого керуючого ПО.

У SNMPv3 не застосовуються традиційні для SNMP терміни "агент" і "менеджер". Мовою версії 3 пристрої і компоненти управління називаються "сутностями" (entities). Одна сутність (раніше відома як агент) знаходиться на маршрутизаторі, а інша (минулого менеджер) - займається опитуванням додатків. Терміни, може, і змінилися, але от функції залишилися колишніми. Кожна сутність має SNMP-ядро і додаток (див. малюнок). Ядро SNMP складають чотири функції: контроль доступу, безпека, обробка повідомлень і диспетчер. У модулі процесора повідомлень і диспетчера включені також функції версій SNMPv1 і 2, в тому числі для обробки команд set і get, і для форматування блоків даних SNMP або PDU (protocol data unit).

Розглянемо, як працює ядро SNMPv3: диспетчер виконує роль воротаря, тобто всі вхідні / вихідні повідомлення проходять через нього. Обробляючи SNMP-повідомлення, диспетчер визначає, до якої версії протоколу воно належить, і відсилає його відповідному модулю-процесору для аналізу. Якщо диспетчер не може визначити версію, наприклад через некоректне формату пакета, він реєструє помилку.

Процесор повідомлень пересилає повідомлення підсистемі безпеки або підсистемі контролю доступу, а потім відсилає назад диспетчеру, який і передає його SNMP-додатків. Не будучи додатками в традиційному значенні (під якими ми звикли розуміти програми, що відповідають за обробку транзакцій або запитів до баз даних), вони всього лише ініціюють SNMP-запити або видають відповіді на них. Так, системи мережевого управління активують додатки - генератори команд для збору інформації з маршрутизаторів, комутаторів і хостів.

Додаток ж респондент - це "відповідна частина" генератора команд: працює воно на маршрутизаторах, комутаторах і хостах і реагує, наприклад, на команду get. Додаток-відправник і додаток - одержувач повідомлень відповідно відсилають і одержують переривання trap, а проксі-додаток переадресації переправляє SNMP-повідомлення між керуючими і керованими сутностями, якщо пряма підтримка SNMP недоступна.

Читайте також:

<== попередня сторінка	\|	наступна сторінка ==>
Проблеми безпеки протоколу SNMP v1/2	\|	Відмінності SNMPv3

Не знайшли потрібну інформацію? Скористайтесь пошуком google:

Генерація сторінки за: 0.016 сек.