Разное

Протокол snmp методы сетевых атак и защиты: Протокол snmp методы сетевых атак и защиты. Протокол SNMP

Содержание

Протокол snmp методы сетевых атак и защиты. Протокол SNMP

СОДЕРЖАНИЕ
ВВЕДЕНИЕ 3
1. ТЕОРЕТИЧЕСКОЕ ОБОСНОВАНИЕ ПРОБЛЕМЫ ИССЛЕДОВАНИЯ МЕТОДОВ АТАК НА ПРОТОКОЛ SNMP
1.1 НЕОБХОДИМОСТЬ ИЗУЧЕНИЯ МЕТОДОВ АТАК НА ПРОТОКОЛ SNMP 5
1.2 ПРОТОКОЛ SNMP: ОПИСАНИЕ, ПРЕДНАЗНАЧЕНИЕ 7
2. АНАЛИЗ АТАК НА ПРОТОКОЛ SNMP И СПОСОБОВ ПРОТИВОДЕЙСТВИЯ
2.1 ТЕХНИКИ АТАК НА ПРОТОКОЛ SNMP И СПОСОБЫ ИХ ПРЕДОТВРАЩЕНИЯ 11
2.2 СПОСОБЫ ПРОТИВОДЕЙСТВИЯ АТАКАМ НА ПРОТОКОЛ SNMP 15
ЗАКЛЮЧЕНИЕ 20
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 21

Фрагмент для ознакомления

Рисунок 3 -Экранная форма утилиты SoftPerfectNetworkScannerЗаплаткиПроизводители многих сетевых устройств разрабатывают так называемые заплатки, использование которых необходимо при обнаружении в системе уязвимостей. Таким образом, обнаружив в сети устройства, ориентированные на SNMP, целесообразно связаться с производителями этих устройств, чтобы выяснить, разработали ли они необходимые заплатки. Отключение службы SNMPМногие специалисты склоняются к мнению, что при отсутствии необходимости в службе SNMP ее следует отключить или удалить. Приведем алгоритм отключения службы SNMP в операционной системе Windows:Выбор меню Пуск – Панель управления – Администрирование – Службы (см. рис. 4). Выбор службы SNMP. Если служба запущена, нажимаем на кнопку “Остановить”, а затем выбираем “Тип запуска” – “Отключена”.Рисунок 4 – Отключение службы SNMPСтоит заметить, что некоторые из потенциально уязвимых продуктов остаются восприимчивыми к DoS-атакам или другим нарушающим стабильность работы сети действиям даже при отключенном SNMP.Фильтрация на входеФильтрация на входе основывается на настройке межсетевых экранов и маршрутизаторов так, чтобы они выполняли входную фильтрацию портов UDP 161 и 162. Это позволит предотвратить инициируемые из внешней сети атаки на уязвимые устройства в локальной сети. Другие порты, поддерживающие службы, связанные с SNMP, в том числе порты TCP и UDP 161, 162, 199, 391, 750 и 1993, также могут потребовать входной фильтрации.

Фильтрация на выходеДля эффективной защиты возможна организация выходной фильтрации, которая направлена на управление трафиком, исходящем из сети.Фильтрация исходящего трафика на портах UDP 161 и 162 на границе сети может предотвратить использование вашей системы в качестве плацдарма для атаки.Системы обнаружения и предотвращения вторженийСистема обнаружения вторжений (СОВ) (англ. IntrusionDetectionSystem (IDS)) представляет собой программное или аппаратное средство, которое обнаруживает события несанкционированного проникновения (вторжения или сетевой атаки) в компьютерную систему или сеть .Без IDS становится немыслима инфраструктура сетевой безопасности. Дополняя межсетевые экраны, которые функционирую на основе правил безопасности, IDS осуществляют мониторинг и наблюдение за подозрительной активностью. Они позволяют выявить нарушителей, проникших за межсетевой экран, и сообщить об этом администратору, который, примет необходимое решение для поддержания безопасности. Методы выявления вторжений не гарантируют полную безопасность системы.
В результате использования IDS достигаются следующие цели:выявление сетевой атаки или вторжения;составление прогноза о вероятных будущих атаках и определение слабых мест системы для предотвращения их использования. Во многих случаях злоумышленник выполняет стадию подготовки, например, зондирует (сканирует) сеть или тестирует ее иным способом, чтобы обнаружить уязвимости системы;осуществление документирования известных угроз;слежение за качеством выполняемого администрирования с точки зрения безопасности, в частности, в крупных и сложных сетях;получение ценной информации о случившихся проникновениях, чтобы восстановить и исправить факторы, приведшие к проникновению;выявление местоположения источника атаки с точки зрения внешней сети (внешние или внутренние атаки), что позволяет принять верные решения при расстановке узлов сети.В общем случае IDS содержит:подсистему наблюдения, которая собирает информацию о событиях, имеющих отношение к безопасности защищаемой сети или системы;подсистему анализа, которая обнаруживает подозрительные действия и сетевые атаки;хранилище, которое хранит первичные события и результаты анализа;консоль управления для настройки IDS, наблюдения за состоянием защищаемой системы и IDS, изучения обнаруженных подсистемой анализа ситуаций.
Подводя итог, отме

Атаки на соединения TCP с помощью пакетов ICMP

Известно множество типов атак, направленных на нарушение работы протокола TCP. Мы не будем здесь останавливаться на рассмотрении всех этих атак и ограничимся лишь анализом воздействий на соединения TCP с помощью пакетов ICMP.

Николай Малых
по материалам
Фернандо Гонта

Протокол TCP [1] в настоящее время является основным транспортным протоколом в сетях IP и, в частности, в сети Internet. Широкое распространение этого протокола делает его привлекательным объектом атак. Известно множество типов атак, направленных на нарушение работы протокола TCP. Мы не будем здесь останавливаться на рассмотрении всех этих атак и ограничимся лишь анализом воздействий на соединения TCP с помощью пакетов ICMP, на которое обратил внимание Фернандо Гонт (Fernando Gont) из Национального технологического университета Аргентины. В серии документов IETF-draft [2] Гонт рассмотрел возможность существенного снижения скорости обмена данными и даже полного разрыва произвольных соединений TCP с помощью передачи потока специально подготовленных пакетов ICMP с удаленного хоста.

Гонт также разработал несколько программ, которые могут использоваться для исследования уязвимости соединений TCP. Исходные коды этих программ можно загрузить с сайта автора.

Первый документ был выпущен Фернандо Гонтом 2 августа 2004 года. С тех пор прошло уже более года, но для многих реализаций стека TCP/IP актуальность проблемы сохраняется. В таблице приведена свода уязвимости для продукции Cisco Systems, взятая с сайта CIAC (редакция документа от 15 июня 2005 г). Интересующиеся могут прочесть этот документ, воспользовавшись приведенной ссылкой http://www.ciac.org/ciac/bulletins/p-181.shtml.

Продукция

reset

mtu

quench

IOS

-

+

-

IOS XR

+

+

-

IP Phones

+

+

+

Cisco PIX Security Appliance

-

+

-

Catalyst 6608 and 6624

+

-

+

Cisco 11000 and 11500

-

-

+

Cisco GSS

-

-

+

MDS 9000

-

+

+

Cisco VPN 5000 Concentrator

-

+

-

Some ONS products

-

+

-

Cisco MGX-8250 and MGX-8850

+

+

+

Cisco Content Switching Module

-

-

+

Voice and IP Communication Products Using Cisco-Customized Microsoft Windows

+

+

-

Cisco ACS Solution Engine

+

+

-

Знак “+” означает наличие уязвимости, “-” ее отсутствие. Приведенные в заголовке колонок имена соответствуют суффиксам в именах тестовых программ, разработанных Фернандо Гонтом и доступных на его сайте. Информацию об уязвимости продукции Microsoft можно найти на сайте компании по ссылке http://www.microsoft.com/technet/security/Bulletin/MS05-019.mspx.

Методология атак

Протокол обмена управляющими сообщениями ICMP [3] предназначен для обнаружения ошибок и передачи информации о таких ошибках. При обнаружении тех или иных проблем промежуточные маршрутизаторы или конечные станции генерируют сообщения ICMP того или иного типа, указывая в них код ошибки, и передают отправителю исходного пакета. Протокол транспортного уровня (в частности, TCP), получая сообщения ICMP об ошибках в сети, может выполнять те или иные действия для преодоления возникших проблем. Зная детали работы транспортного протокола и протокола ICMP можно с помощью специально сформированных сообщений ICMP оказать существенное влияние на передачу данных через произвольное соединение TCP и даже разорвать такое соединение. При этом атакующему не нужно даже находиться на пути передачи пакетов между участниками соединения TCP, как это требуется для организации MITM-атак. Для организации ICMP-атак на соединения TCP может потребоваться передача достаточно большого (до нескольких десятков тысяч) числа пакетов, но повсеместное распространение широкополосных каналов доступа в Internet позволяет без проблем организовать такие атаки практически с любого домашнего компьютера.

Для протокола TCP сообщения об ошибки, информация о которых передается в сообщениях ICMP, можно разделить на две категории:

  • критические ошибки, которые могут приводить к полному разрыву соединения (reset)

  • некритические ошибки, которые могут приводить к многократному повтору передачи сегментов TCP, пока не будет получено подтверждение или не завершится время ожидания (тайм-аут).

Атаки можно разделить на два основных типа по их результатам – сброс соединений или существенное снижение скорости передачи данных через соединение. Далее эти варианта будут рассмотрены более подробно, а сейчас мы вкратце рассмотрим некоторые особенности протокола ICMP, которые обеспечивают возможность организации успешных атак на соединения TCP.

Протокол ICMP

Как уже было сказано, протокол ICMP используется, в частности, для передачи сообщений об ошибках, возникающих в сети. В соответствии со стандартом Internet “Требования к хостам” [4] сообщения о недоступности адресата (Type 3, Destination Unreachable) с кодами 2 (Protocol Unreachable), 3 (Port Unreachable) и 4 (Fragmentation needed but DF bit set) относятся к критическим ошибкам. Следовательно, любое из этих сообщений может привести к разрыву соединения TCP (Reset).

Спецификация протокола ICMP [3] включает сообщения Source Quench (тип 4, код 0), которые используются для управления потоком данных и предотвращения перегрузки. Такие сообщения передаются в адрес отправителя, если получатель или промежуточный маршрутизатор не способен обрабатывать данные с той скоростью, которую выбрал отправитель. По сути дела эти сообщения являются запросом на снижение скорости передачи данных. Отметим, что в RFC “Требования к маршрутизаторам IPv4” [5] сказано, что данный тип сообщений не обеспечивает эффективного управления потоком данных и контроля насыщения.

Сообщения ICMP используются также в механизме определения значений MTU для пути (Path MTU), описанном в RFC 1191 [6]. Для определения MTU применяются сообщения ICMP типа 3 (Destination Unreachable) с кодом 4 (Fragmentation needed but DF bit set). В силу такого использования сообщений указанного типа системы, реализующие механизмы Path MTU Discovery, не рассматривают ошибки данного типа как критические.

Обработка сообщений ICMP

В соответствии со стандартом Internet “Требования к хостам” [4] протокол TCP должен передавать информацию об ошибке, полученную в сообщении ICMP, соединению, с которым связана эта ошибка. Для определения этого соединения реализации TCP нужно проанализировать данные, содержащиеся в сообщении ICMP.

В соответствии со спецификацией протокола [3] сообщение ICMP должно содержать в себе полный заголовок IP из пакета, вызвавшего ошибку, и 64 бита (8 байтов) из пакета. Очевидно, что в эти 64 бита попадает лишь часть заголовка транспортного уровня. Для случая TCP эти 8 дополнительных байтов будут включать номера портов отправителя и получателя (по 2 байта каждый), а также порядковый номер TCP (4 байта). Требования к хостам [4] позволяют включать в сообщение ICMP дополнительную информацию из вызвавшего ошибку пакет, но не требуют такого включения. Требования к маршрутизаторам [5] говорят, что в сообщения об ошибках следует включать максимальное число байтов из вызвавшего ошибку пакета, которое не приведет к тому, что размер дейтаграммы, содержащей сообщение ICMP превысит 576 байтов. Таким образом хост или маршрутизатор, получающий сообщения ICMP об ошибке, может надеяться лишь на наличие в них первых 8 байтов заголовка транспортного уровня.

В TCP связь сообщения ICMP с тем или иным из существующих соединений определяется на основе сравнения 4 значений – 2 адресов IP (отправитель и получатель) и 2 номеров портов. Однако ни спецификация протокола ICMP [3], ни стандартные требования к хостам [4] не определяют каких-либо механизмов проверки корректности информации, содержащейся в сообщении ICMP. Благодаря отсутствию такой проверки атакующий может создать сообщение ICMP, содержащее специально подготовленную дезинформацию, реакция на которую со стороны протокола TCP (в соответствии с требованиями RFC) может привести к весьма печальным результатам вплоть до разрыва существующих соединений. Для того, чтобы сообщение ICMP оказало воздействие на интересующее соединение TCP организатор атаки кроме указания адресов IP участников соединения должен определить или угадать номера портов, через которые организовано соединение. Множество вариантов решения этой задачи рассмотрено в работе [7]. Кроме того, для многих служб в сети Internet используются стандартные номера портов, что существенно упрощает задачу подбора нужного квартета, поскольку 3 (IP-адреса и номер порта на сервер) из 4 значений можно определить достоверно без подбора. Учитывая специфику выделения номеров портов на клиентской стороне соединений TCP в различных операционных системах и приложениях, можно значительно сузить диапазон возможных значений остающегося неизвестным параметра (номер порта на клиентской стороне соединения) и ускорить подбор нужного номера. В крайнем случае, когда приходится перебирать все возможные значения номера порта на стороне клиента, число таких значений составляет 65536. Если в атакуемом соединении и сервер использует нестандартный номер порта, это может дополнительно осложнить задачу (число перебираемых значений возводится в квадрат), но такая ситуация является достаточно экзотической для современной практики в сети Internet, хотя в условиях частных IP-сетей могут применяться и нестандартные номера портов на серверах. Однако и в этом случае задача организации атаки путем подбора номеров остается вполне решаемой.

Сброс соединений (reset)

В соответствии со стандартом Internet “Требования к хостам” [4] хостам следует разрывать соответствующее соединение TCP в ответ на получение сообщения ICMP о критичной ошибке. Используя это, атакующий может вслепую сбросить соединение между парой станций, передавая одному из хостов сообщения ICMP, указывающие на такой тип ошибки. Например, можно передавать одной из сторон соединения сообщения о том, что другая сторона не поддерживает соответствующий протокол (Protocol Unreachable), от имени того самого хоста (другой стороны соединения). В таких сообщениях сложно усмотреть что-либо подозрительное, поэтому можно надеяться, что они не будут отброшены тем или иным фильтром на пути от атакующего. Необходимость выполнения атаки вслепую практически не осложняет ее организации, поскольку атакующему для успеха не требуется получать каких-либо пакетов от объекта атаки. Не требуется от атакующего и организации перехвата пакетов или изменения пути их доставки, поскольку он должен лишь направить подготовленные пакеты ICMP, содержащие код одной из критических ошибок и квартет идентификации соединения в поле данных ICMP, по адресу сервера или клиента в атакуемом соединении. В соответствии с заданной для протокола TCP политикой обработки ошибок получение сообщения ICMP, в поле данных которого содержится заголовок IP с адресами клиента и сервера, а также заголовок TCP с используемыми в данном соединении номерами портов, приведет к немедленному разрыву сообщения. При этом ни у одного из участников соединения не остается в журнальных файлах никакой информации об источнике атаки, поскольку в полученных пакетах могут использоваться (и обычно используются) подставные адреса отправителя (обычно это адрес другой стороны атакуемого соединения).

Для организации такой атаки даже не потребуется писать каких-либо программ – достаточно взять исходный код icmp-reset с сайта Фернандо Гонта.

Следует отметить, что на сегодняшний день далеко не все реализации стека TCP/IP подвержены этой уязвимости. В работе Ф. Гонта приводятся рекомендации по решению проблемы и многие разработчики уже воспользовались ими. Однако проведенные в Internet эксперименты показали, что уязвимых хостов существует достаточно много.

Снижение скорости

Кроме возможности сброса соединений TCP пакеты ICMP позволяют существенно снизить скорость передачи данных через соединения, не нарушая их работу полностью. Для выполнения такой задачи передаются сообщения ICMP о некритических ошибках (тип 3 с кодом 4 и тип 4 с кодом 0). Механизм такой атаки весьма похож на описанную выше атаку для разрыва соединений.

Следует отметить, что атаки, приводящие к снижению скорости передачи данных через соединение в некоторых случаях могут доставить даже больше хлопот, нежели полный разрыв соединений.

Для тестирования вы можете использовать программы icmp-mtu и icmp-quench, доступные на сайте Фернандо Гонта.

1.Postel, J., Transmission Control Protocol, STD 7, RFC 793, сентябрь 1981. Перевод этого документа имеется на сайте http://www.protocols.ru

2.F. Gont, ICMP attacks against TCP, декабрь 2004. http://www.gont.com.ar/drafts/draft-gont-tcpm-icmp-attacks-03.txt

3.Postel, J., Internet Control Message Protocol, STD 5, RFC 792, сентябрь 1981. Перевод этого документа имеется на сайте http://www.protocols.ru

4.Braden, R., Requirements for Internet Hosts - Communication Layers, STD 3, RFC 1122, октябрь 1989. Перевод этого стандарта имеется на сайте http://www.protocols.ru

5.Baker, F., Requirements for IP Version 4 Routers, RFC 1812, июнь 1995. Перевод этого документа имеется на сайте http://www.protocols.ru

6.Mogul, J., S. Deering, Path MTU discovery, RFC 1191, ноябрь 1990. Перевод этого документа имеется на сайте http://www.protocols.ru

7.Watson, P., "Slipping in the Window: TCP Reset Attacks", 2004 CanSecWest Conference, 2004. http://www.osvdb.org/reference/SlippingInTheWindow_v1.0.doc

"Лаборатория Касперского" - международная компания-разработчик программного обеспечения для защиты от вирусов, хакеров и спама. Продукты компании предназначены для широкого круга клиентов - от домашних пользователей до крупных корпораций. В активе "Лаборатории Касперского" 16-летний опыт непрерывного противостояния вирусным угрозам, позволивший компании накопить уникальные знания и навыки и стать признанным экспертом в области создания систем антивирусной зашиты.

Компания SoftKey – это уникальный сервис для покупателей, разработчиков, дилеров и аффилиат–партнеров. Кроме того, это один из лучших Интернет-магазинов ПО в России, Украине, Казахстане, который предлагает покупателям широкий ассортимент, множество способов оплаты, оперативную (часто мгновенную) обработку заказа, отслеживание процесса выполнения заказа в персональном разделе, различные скидки от

Академия Информационных Систем (АИС) создана в 1996 году и за время работы обучила свыше 7000 специалистов различного профиля. АИС предлагает своим партнерам десятки образовательных программ, курсов, тренингов и выездных семинаров. Сегодня АИС представлена направлениями: «Информационные технологии», «Дистанционное обучение в области ИТ», «Информационная безопасность, «Управление проектами», «Бизнес-образование», «Семинары и тренинги», «Экологические промышленные системы», «Конференции», «Консалтинг» и «Конкурентная разведка на основе Интернет». АИС является организатором конференций по информационной безопасности, которые стали общепризнанными научно-практическими мероприятиями федерального значения. Ближайшая из них - четвёртая всероссийская конференция «Обеспечение информационной безопасности. Региональные аспекты» - пройдет в Сочи с 13 по 17 сентября текущего года. http://www.infosystem.ru/longconf.php?fid=1119938331389056

Интернет-магазин www.watches.ru входит в состав крупной специализированной сети часовых салонов МОСКОВСКОЕ ВРЕМЯ, которая насчитывает более 40 торговых точек по Москве и регионам России. В нашем магазине представлены более 3000 моделей часов производства Швейцарии, Германии, Франции и Кореи. Доставка по Москве - бесплатно. Для постоянных клиентов существует гибкая система скидок и выдается накопительная дисконтная карта «Московское время».

как перехватить чужие звонки и SMS

Как мы защищаемся на сегодняшний день от различных атак, нацеленных на получение вашего пароля? Кто-то делает максимально сложные пароли, кто-то устанавливает системы защиты от брутфорса и т.д. Но самые уверенные в своей защищенности те, кто пользуется популярной сегодня услугой - двухфакторной авторизация посредством SMS. Такие услуги предоставляют банки, известные мессенджеры (viber, telegram и т.д.), социальные сети (vkontakte, odnoklassniki и т.д.), почтовые системы (gmail, yandex и т.д.) и большое количество других интернет ресурсов, требующих регистрацию. Не просто так это метод считается самым безопасным. Ведь, априори, ваш мобильный телефон всегда при вас, как кошелек и другие личные вещи, за которыми вы пристально следите. К тому же он является вторым фактором аутентификации (используется только после ввода основного пароля). Но, как известно, если вы забыли свой пароль, всегда его можно восстановить посредством SMS на ваш телефон.

И вот неожиданно настали неспокойные деньки и для пользователей SMS верификации. Уже сейчас есть возможность за небольшую сумму денег при  наличии среднего уровня мастерства получить все ваши SMS так, что вы об этом никогда не узнаете!

Список ресурсов, куда может получить доступ злоумышленник даже сложно представить (соцсети, мессенджеры, подтверждение банковских операций и т. д.).  Ведь у нас «вся жизнь» привязана к нашему номеру телефона. Неспроста была введена поправка, которая разрешает переносить номер телефона при смене оператора. Сейчас сменить номер - это как начать новую жизнь с чистого листа.

Случился такой разрыв шаблона благодаря уязвимости протокола SS7 в сетях операторов сотовой связи.

Что такое SS7?

Протокол SS7, также известный как Сигнализационная система № 7, относится к сети передачи данных и к ряду технических протоколов или правил, которые регулируют обмен данными по ним. Он был разработан в 1970-х годах для отслеживания и подключения вызовов в разных сетях операторов связи, но теперь он обычно используется для расчета биллинга сотовой связи и отправки текстовых сообщений в дополнение к маршрутизации мобильных и стационарных вызовов между операторами и региональными коммутационными центрами.

История уязвимости

Как не удивительно, но стало известно о наличии этой уязвимости еще в далекие времена. Еще всем известный Стив Джобс в своем гараже осуществил первые атаки, сделав, так называемую, бесплатную сотовую связь, используя уязвимости. С того времени часть недочетов была закрыта, но по прежнему SS7 подвержена удачным атакам.

В феврале 2014 года посол США в Украине потерпел неприятную утечку. Секретный разговор между ним и помощником госсекретаря США Викторией Нуланд был опубликован на YouTube, в котором Нуланд говорил пренебрежительно о Европейском союзе.

Разговор произошел по незашифрованным телефонам, и официальные лица США сообщили журналистам, что они подозревают, что звонок был перехвачен в Украине, но не сказали, как это было сделано. Некоторые эксперты считают, что это произошло с использованием уязвимостей в мобильной сети передачи данных, известной как SS7, которая является частью базовой инфраструктуры.

Только в декабре 2014 года телекоммуникационные компании начали рассматривать инструменты пресечения атак SS7. Именно тогда Карстен Нол из Берлинских исследовательских лабораторий по безопасности и независимый исследователь по имени Тобиас Энгель выступили с сообщениями о SS7 на Конгрессе связи Хаоса в Германии, спустя несколько месяцев после обнаружения украинского инцидента. Энгель продемонстрировал SS7-метод для отслеживания телефонов в 2008 году, но этот метод не был настолько «кричащим», как те, которые он и Нол описали в 2014 году. Последнее побудило регулирующие органы в Северной Европе потребовать, чтобы операторы начали применять меры по предотвращению атак SS7 к концу 2015 года.

Как осуществить атаку на SS7?

Злоумышленник подключается к сигнальной сети SS7 и отправляет служебную команду Send Routing Info для SM (SRI4SM) в сетевой канал, указывая номер телефона атакуемого абонента  в качестве параметра. Домашняя абонентская сеть  отправляет в ответ следующую техническую информацию: IMSI (International Mobile Subscriber Identity) и адрес MSC,  по которому в настоящее время предоставляет услуги подписчику.

После этого злоумышленник изменяет адрес биллинговой системы в профиле подписчика на адрес своей собственной псевдобиллинговой системы (например, сообщает, что абонент прилетел на отдых и в роуминге зарегистрировался на новой биллинговой системе). Как известно,  никакую проверку такая процедура не проходит. Далее атакующий вводит обновленный профиль в базу данных VLR через сообщение «Insert Subscriber Data» (ISD).

Когда атакуемый абонент совершает исходящий звонок, его коммутатор обращается к системе злоумышленника вместо фактической биллинговой системы. Система злоумышленника отправляет коммутатору команду, позволяющую перенаправить вызов третьей стороне, контролируемой злоумышленником.

В стороннем месте устанавливается конференц-связь с тремя подписчиками, две из них являются реальными (вызывающий абонент A и вызываемый B), а третий вводится злоумышленником незаконно и способен прослушивать и записывать разговор.

Соответствующим образом получаем и SMS атакуемого. Имея доступ к псевдобиллинговой системе, на которую уже зарегистрировался наш абонент, можно получить любую информацию, которая приходит или уходит с его телефона.

Как получить нелегальный доступ к SS7 сети?

Как мы увидели, имея доступ к SS7 сети, произвести атаку не составляется труда. Как же получить нелегальный доступ к сети?

Доступ продают в даркнете, а при желании можно найти и бесплатно. Такая доступность обусловлена тем, что в мало развитых государствах получить статус оператора очень просто, соответственно и получить доступ к SS7 хабам. Так же присутствуют недобросовестные работники у операторов.

Что предпринимают провайдеры и интернет ресурсы с SMS верификацией?

В данный момент операторы медленно закрывают многочисленные дыры в SS7, несмотря на то, что некоторые даже не признают их наличие. Кто-то обвиняет в разжигании паники вокруг этой проблемы, кто-то воздерживается от комментариев, кто-то говорит обтекаемые фразы, типа: «Безопасность наших клиентов стоит у нас в приоритете». Тем не менее, на сегодняшний день этому вопросу не уделяется должного внимания со стороны операторов, а доступность эксплуатации этой уязвимости, как никогда велика.

Как защититься от перехвата СМС и прослушки звонков?

Есть и хорошие новости. Представители интернет услуг, которые на самом деле заботят о своих клиентах, уже либо имеют, либо спешно готовят альтернативы SMS верификации. Например, vk.com, можно включить двухфакторную авторизацию с помощью Google Authenticator.

Компания Apple готовит новый механизм двухфакторной авторизации для защиты Apple ID. Напомним, что завладев учетными данными Apple ID можно ни много ни мало заблокировать и полностью стереть все ваши Apple устройства удаленно. К сожалению, на данный момент пароль можно восстановить через SMS, которое в свою очередь, как вы узнали, можно перехватить.

Хотелось бы выделить важный совет, который редко можно найти на просторах интернета. Он очень простой, но действенный.

Учитывая, что псевдобиллинговые системы злоумышленников в большинстве случаев представляются  иностранными операторами (сообщают, что вы в международном роуминге), то достаточно просто отключить на телефоне возможность международного роуминга. Это можно сделать у вашего оператора сотовой связи бесплатно. Если вам нет острой необходимости именно с этого телефона общаться в роуминге, то это решение сильно обезопасит вас от тех неприятностей, которые были описаны в этой статье.

Заключение

Как же складываются подобные ситуации? Протокол SS7 был создан много лет тому назад. Его безопасности просто не уделяли должного внимания на протяжении всего этого времени. В тоже время в данный момент лидеры многих развитых стран делают акцент на «кибер вооружение». Развитие кибершпионажа развивается огромными темпами. Крохи с этого стола «кибер инструментов» попадают в руки злоумышленников и тогда страдают обычные люди.

Нужно не забывать об этом и поддерживать инструменты массового использования на актуальном уровне безопасности.

Вы будете шокированы, но даже в таких критически важных местах, как авиация, до сих пор используется небезопасные способы общения между самолетами и наземными станциями. Любой хакер среднего уровня может фальсифицировать сигналы от диспетчера или борта самолета.

Данный механизм мы опишем в последующих статьях.

Следите за публикациями и будьте бдительны!

Подписывайтесь на рассылку, делитесь статьями в соцсетях и задавайте вопросы в комментариях!

Вечный параноик, Антон Кочуков.


См. также:

Протокол snmp методы сетевых атак и защиты. SNMP-удобный протокол или угроза для корпоративной сети. Модель управления SNMP

SNMP - это протокол прикладного уровня, разработанный для стека TCP/IP, хотя имеются его реализации и для других стеков, например IPX/SPX. Протокол SNMP используется для получения от сетевых устройств информации об их статусе, производительности и других характеристиках, которые хранятся в базе данных управляющей информации MIB (Management Information Base). Простота SNMP во многом определяется простотой MIB SNMP, особенно их первых версий MIB I и MIB II. Кроме того, сам протокол SNMP также весьма несложен.

Агент в протоколе SNMP - это обрабатывающий элемент, который обеспечивает менеджерам, размещенным на управляющих станциях сети, доступ к значениям переменных MIB и тем самым дает им возможность реализовывать функции по управлению и наблюдению за устройством.

Основные операции по управлению вынесены в менеджер, а агент SNMP выполняет чаще всего пассивную роль, передавая в менеджер по его запросу значения накопленных статистических переменных. При этом устройство работает с минимальными издержками на поддержание управляющего протокола. Оно использует почти всю свою вычислительную мощность для выполнения своих основных функций маршрутизатора, моста или концентратора, а агент занимается сбором статис­тики и значений переменных состояния устройства и передачей их менеджеру системы управления.

SNMP - это протокол типа «запрос-ответ» , то есть на каждый запрос, поступивший от менеджера, агент должен передать ответ. Особенностью протокола являет­ся его чрезвычайная простота - он включает в себя всего несколько команд.

    Команда Get-request используется менеджером для получения от агента значения какого-либо объекта по его имени.

    Команда GetNext-request используется менеджером для извлечения значения следующего объекта (без указания его имени) при последовательном просмотре таблицы объектов.

    С помощью команды Get-response агент SNMP передает менеджеру ответ на команды Get-request или GetNext-request.

    Команда Set используется менеджером для изменения значения какого-либо объекта. С помощью команды Set происходит собственно управление устройством. Агент должен понимать смысл значений объекта, который используется для управления устройством, и на основании этих значений выполнять реальное управляющее воздействие - отключить порт, приписать порт определенной VLAN и т. п. Команда Set пригодна также для установки условия, при выполнении которого агент SNMP должен послать менеджеру соответствующее сообщение. Может быть определена реакция на такие события, как инициализация агента, рестарт агента, обрыв связи, восстановление связи, неверная аутентификация и потеря ближайшего маршрутизатора. Если происходит любое из этих событий, то агент инициализирует прерывание.

    Команда Trap используется агентом для сообщения менеджеру о возникновении особой ситуации.

    Версия SNMP v.2 добавляет к этому набору команду GetBulk, которая позволяет менеджеру получить несколько значений переменных за один запрос.

По согласованию с редакцией журнала публикую свою статью "Защита от DDoS подручными средствами. Часть 3. SNMP Amplification" из номера 164-165 (июль-август 2016) выпуска журнала "Системный администратор" .

Чтобы сделать свой вклад в защиту всемирного киберпространства от DDoS, совсем не обязательно покупать дорогостоящее оборудование или сервис. Любой администратор сервера, доступного из Интернет, может поучаствовать в столь благородном деле без дополнительных материальных вложений, используя только знания и немного времени.


Рассмотрим DDoS-атаки типа "усиление"(amplification) с использованием сервиса SNMP .

SNMP amplification

Суть атаки заключается в том, чтобы инициировать многократно увеличенный ответ на SNMP- запрос. Изначально разработанные для автоматизации получения табличных данных при минимизации количества отправляемых пакетов BULK- запросы стали довольно эффективным инструментом проведения DDoS- атак в руках злоумышленников. Как гласит RFC3416, GetBulkRequest, р еализованный в SNMP версии 2, предназначен для возможности запросить большой объем данных, чем и пользуются атакующие, используя неправильно настроенные сервера в Интернет.

Если установить максимальное число возвращаемых строк в таблице 20000 и выполнить запрос в адрес неправильно настроенного сервера/устройства:

:~$ snmpbulkget -c public -v 2c -C r20000 192.168.10.129 1.3.6.1

ответ выдаст приблизительно следующее:

iso.3.6.1.2.1.1.1.0 = STRING: "SNMP4J-Agent - Windows 2003 - x86 - 5. 2"

пропущено 290 строк >

iso.3.6.1.6.3.18.1.1.1.8.123.123.12.123.123.12.12.123.123.12.123.123.12 = No more variables left in this MIB View (It is past the end of the MIB tree)

При этом запущенный tcpdump покажет размер возвращенного пакета:

21:41:18.185058 IP 192.168.10.128.39565 > 192.168.10.129.snmp: GetBulk(25) N=0 M=20000 .iso.org.dod.internet

21:41:18.603553 IP 192.168.10.129.snmp > 192.168.10.128.39565:

В ответ на запрос размером около 70 байт с учетом заголовков сервер возвращает ответ размером порядка 10 килобайт, то есть, почти в 150 раз больше. Коэффициент усиления не фиксирован и может принимать как большее (достигая 1700 раз), так и меньшее значение, в зависимости от типа ОС и параметров конфигурации устройства. Если при формировании подобного запроса использовать подмену IP- адреса отправителя на адрес жертвы и высокую интенсивность обращений к уязвимому серверу — DDoS- атака готова.

Причина

Суть проблемы заключается, как правило, не в уязвимости, не в настройке количества отдаваемых значений на один GetBulkRequest, а в том, что значение SNMP community установлено по умолчанию: public – read-only

SNMP [АйТи бубен]

SNMP (Simple Network Management Protocol - простой протокол управления сетью) - это протокол управления сетями связи на основе архитектуры TCP/IP, седьмого уровня (уровень приложений) семиуровневой модели OSI. SNMP дает возможность станциям управления сетью читать и изменять настройки шлюзов, маршрутизаторов, коммутаторов и других сетевых устройств. Используйте SNMP для настройки системных характеристик для правильной работы,контроля характеристик и обнаружения потенциальных проблем в коммутаторе, группе коммутаторов или сети.

Используемые порты: 161/UDP,162/UDP

Ссылки:

SNMP-trap (ловушки SNMP) Traps - это аварийные сообщения, сообщающие о событиях, происходящих в коммутаторе. События могут быть такими серьезными, как перезапуск (кто-нибудь случайно выключил коммутатор) или менее, как например, изменение статуса порта. Коммутатор создает сообщения «traps» и отправляет их к «trap» получателю (или сетевому менеджеру). Обычные «traps» содержат сообщение об ошибке аутентификации Authentication Failure , изменении топологии сети Topology Change и широковещательном шторме Broadcast\Multicast Storm.

К сожалению, наиболее часто используемая версия 1 протокола SNMP имеет довольно слабую схему аутентификации, основанную на использовании “строки сообщества”. Это связано с тем, что фиксированный пароль передается по сети в открытом виде. По возможности старайтесь использовать 2-ю версию протокола SNMP, которая поддерживает схему проверки подлинности выборки на основе алгоритма MD5 и позволяет ограничить доступ к различной управляющей информации.

Протокол SNMP версии 1 не подходит для использования в общедоступной сети Интернет по следующим причинам:

MIB файл содержит информацию о различных объектах удаленного устройства. MIB определяет текстовое имя управляемого объекта и объясняет его значение.

В агенте может быть реализовано много MIB, но во всех агентах реализована конкретная MIB, которая называется MIB-II (RFC 1213). Этот стандарт определяет переменные для таких параметров, как статистика интерфейса (скорость интерфейса, MTU, количество отправленных октетов1, количество принятых октетов и т.д.), а также различных параметров, относящихся к самой системе (местоположение системы, контактные сведения и т. д.) Основная цель MIB-II – предоставить общую управляющую информацию TCP/IP.

Управ­ляе­мые объ­ек­ты (OID) ор­га­ни­зо­ва­ны в дре­во­вид­ную ие­рар­хию. Со­сре­до­то­чим­ся на суб­де­ре­ве so(1).org(3).dod(6).in­ternet(1), ко­то­рое в фор­ме OID пред­став­ля­ет­ся как 1.3.6.1 или iso.org.dod.internet. У ка­ж­до­го управ­ляе­мо­го объ­ек­та есть циф­ро­вой иден­ти­фи­ка­тор OID и со­от­вет­ст­вую­щее тек­сто­вое имя. Обо­зна­че­ние в ви­де раз­де­лен­ных точ­ка­ми чи­сел ис­поль­зу­ет­ся для пред­став­ле­ния управ­ляе­мо­го объ­ек­та внут­ри аген­та; тек­сто­вое имя, как до­мен­ное имя, со­от­вет­ст­вую­щее IP- ад­ре­су, из­бав­ля­ет лю­дей от не­об­хо­ди­мо­сти за­по­ми­нать длин­ные, слож­ные стро­ки чи­сел.

В на­стоя­щее вре­мя в суб­де­ре­ве private(4) есть од­на ветвь enterprises(1). Она ис­поль­зу­ет­ся для то­го, что­бы пре­дос­та­вить про­из­во­ди­те­лям ап­па­рат­но­го и про­грамм­ но­го обес­пе­че­ния воз­мож­ность оп­ре­де­лить свои соб­ст­вен­ные ча­стные объ­ек­ты для лю­бо­го ти­па ап­па­рат­ных или про­грамм­ных средств, ко­то­ры­ми они хо­тят управ­лять при по­мо­щи SNMP. SMI Network Management Private Enterprise Codes: D-Link (171), Cisco(9), Microsoft (311).

Основная цель MIB-II – предоставить общую управляющую информацию TCP/IP. MIB-II – очень важ­ная груп­па управ­ле­ния, по­то­му что ка­ж­дое уст­рой­ст­во, под­дер­жи­ваю­щее SNMP, долж­но так­же под­дер­жи­вать MIB-II.

MIB-II оп­ре­де­ле­на как iso.org.dod.internet.mgmt.1, или 1.3.6.1.2.1.

Опи­са­ние групп MIB-II
Имя суб­де­ре­ваOIDОпи­са­ние
1system 1.3.6.1.2.1.1 Оп­ре­де­ля­ет спи­сок объ­ек­тов, от­но­ся­щих­ся к ра­бо­те сис­те­мы, та­ких как вре­мя ра­бо­ты сис­те­мы, кон­такт­ная ин­фор­ма­ция и имя сис­те­мы
2interfaces 1.3.6.1.2.1.2 От­сле­жи­ва­ет со­стоя­ние ка­ж­до­го ин­тер­фей­са на управ­ляе­мой сис­те­ме. Груп­па interfaces от­ сле­жи­ва­ет, ка­кие ин­тер­фей­сы ра­бо­та­ют и не ра­бо­та­ют, и та­кие па­ра­мет­ры, как ко­ли­че­ст­во от­прав­лен­ных и по­лу­чен­ных ок­те­тов, оши­бок и по­терь па­ке­тов и т. д.
3at 1.3.6.1.2.1.3 Груп­па транс­ля­ции ад­ре­сов (at) ис­клю­че­на и пре­дос­тав­ля­ет­cя толь­ко для об­рат­ной со­вмес­ти­мо­сти
4ip 1.3.6.1.2.1.4 От­сле­жи­ва­ет мно­гие ас­пек­ты IP, в том чис­ле IP-мар­шру­ти­за­цию
5icmp 1.3.6.1.2.1.5 От­сле­жи­ва­ет ошиб­ки, по­те­ри па­ке­тов ICMP и т. д.
6tcp 1.3.6.1.2.1.6 По­ми­мо про­че­го от­сле­жи­ва­ет со­стоя­ние TCP- со­еди­не­ния (на­при­мер, closed (за­кры­то), listen(порт про­слу­ши­ва­ет­ся), synSent (от­прав­лен па­кет syn) и т. д.)
7udp 1.3.6.1.2.1.7 От­сле­жи­ва­ет ста­ти­сти­ку UDP, вхо­дя­щие и ис­хо­дя­щие да­та­грам­мы и т. д.
8egp 1.3.6.1.2.1.8 От­сле­жи­ва­ет раз­лич­ную ста­ти­сти­ку про­то­ко­ла EGP (Exterior Gateway Protocol) и хра­нит таб­ли­цу со­се­дей EGP
9cmot
10transmission 1. mibs/#mibs/g' /etc/snmp/snmp.conf

Инсталляция Net-SNMP CentOS

yum install net-snmp-utils net-snmp
snmpwalk -v 2c -c public localhost

Ути­ли­та Net-SNMP snmpusm при­ме­ня­ет­ся для управ­ле­ния поль­зо­ва­те­ля­ми SNMPv3.Три ба­зо­вых опе­ра­ции SNMP – это snmpget, snmpset и snmpwalk. Их на­зна­че­ние по­нят­но из на­зва­ния: snmpget счи­ты­ва­ет зна­че­ние па­ра­мет­ра с управ­ляе­мо­го уст­рой­ст­ва, snmpset ус­та­нав­ли­ва­ет зна­че­ние па­ра­мет­ра на уст­рой­ст­ве, а snmpwalk счи­ты­ва­ет с уст­рой­ст­ва часть де­ре­ва MIB.

Чтобы при помощи языка PHP (SNMP Функции) взаимодействовать с протоколом SNMP, должны быть установлены дополнительный пакеты:

aptitude install php5-snmp php5-cli
snmp1.php
<?php
$opt = getopt("h:");
 
echo "IF-MIB::ifName - The textual name of the interface.\n";
print_r(snmp2_real_walk($opt['h'], "public", "IF-MIB::ifName"));
?>
$ php snmp1. php -h 192.168.10.11
IF-MIB::ifName - The textual name of the interface.
Array
(
    [IF-MIB::ifName.1] => STRING: lo
    [IF-MIB::ifName.2] => STRING: eth0
    [IF-MIB::ifName.3] => STRING: eth2
    [IF-MIB::ifName.4] => STRING: br0
    [IF-MIB::ifName.5] => STRING: wifi0
    [IF-MIB::ifName.6] => STRING: ath0
    [IF-MIB::ifName.7] => STRING: ath2
)

Курсовая Протокол dns. 📝 методы сетевых атак и защиты. компьютерные сети

1. Сколько стоит помощь?

Цена, как известно, зависит от объёма, сложности и срочности. Особенностью «Всё сдал!» является то, что все заказчики работают со экспертами напрямую (без посредников). Поэтому цены в 2-3 раза ниже.

2. Каковы сроки?

Специалистам под силу выполнить как срочный заказ, так и сложный, требующий существенных временных затрат. Для каждой работы определяются оптимальные сроки. Например, помощь с курсовой работой – 5-7 дней. Сообщите нам ваши сроки, и мы выполним работу не позднее указанной даты. P.S.: наши эксперты всегда стараются выполнить работу раньше срока.

3. Выполняете ли вы срочные заказы?

Да, у нас большой опыт выполнения срочных заказов.

4. Если потребуется доработка или дополнительная консультация, это бесплатно?

Да, доработки и консультации в рамках заказа бесплатны, и выполняются в максимально короткие сроки.

5. Я разместил заказ. Могу ли я не платить, если меня не устроит стоимость?

Да, конечно - оценка стоимости бесплатна и ни к чему вас не обязывает.

6. Каким способом можно произвести оплату?

Работу можно оплатить множеством способом: картой Visa / MasterCard, с баланса мобильного, в терминале, в салонах Евросеть / Связной, через Сбербанк и т.д.

7. Предоставляете ли вы гарантии на услуги?

На все виды услуг мы даем гарантию. Если эксперт не справится — мы вернём 100% суммы.

8. Какой у вас режим работы?

Мы принимаем заявки 7 дней в неделю, 24 часа в сутки.

Простой протокол сетевого управления (SNMP)

Простой протокол сетевого управления (SNMP)

Если в организации имеется 1000 устройств, то проверять все устройства, одно за другим, работают ли они правильно или нет, является сложной задачей. Чтобы облегчить это, используется простой протокол управления сетью (SNMP).

Простой протокол управления сетью (SNMP) -
SNMP - это протокол прикладного уровня, который использует номер порта UDP 161/162.SNMP используется для мониторинга сети, обнаружения сетевых сбоев и иногда даже для настройки удаленных устройств.

Компоненты SNMP -
Есть 3 компонента SNMP:

  1. SNMP Manager -
    Это централизованная система, используемая для мониторинга сети. Она также известна как Станция управления сетью (NMS).
  2. Агент SNMP -
    Это программный модуль управления программным обеспечением, установленный на управляемом устройстве. Управляемые устройства могут быть сетевыми устройствами, такими как ПК, маршрутизатор, коммутаторы, серверы и т. Д.
  3. База управляющей информации -
    MIB состоит из информации о ресурсах, которыми необходимо управлять. Эта информация организована иерархически. Он состоит из экземпляров объектов, которые по сути являются переменными.

Сообщения SNMP -
Различные переменные:

  1. GetRequest -
    Менеджер SNMP отправляет это сообщение для запроса данных от агента SNMP. Он просто используется для получения данных от агента SNMP. В ответ на это агент SNMP отправляет запрошенное значение в ответном сообщении.
  2. GetNextRequest -
    Это сообщение может быть отправлено, чтобы узнать, какие данные доступны на агенте SNMP. Менеджер SNMP может запрашивать данные непрерывно, пока не закончатся данные. Таким образом, диспетчер SNMP может получить информацию обо всех доступных данных агента SNMP.
  3. GetBulkRequest -
    Это сообщение используется для немедленного получения больших данных диспетчером SNMP от агента SNMP. Он представлен в SNMPv2c.
  4. SetRequest -
    Используется диспетчером SNMP для установки значения экземпляра объекта в агенте SNMP.
  5. Ответ -
    Это сообщение, отправленное агентом по запросу менеджера. При отправке в ответ на сообщения Get он будет содержать запрошенные данные. При отправке в ответ на сообщение Set, оно будет содержать новое установленное значение в качестве подтверждения того, что значение было установлено.
  6. Trap -
    Это сообщение, отправленное агентом без запроса менеджера. Он отправляется при возникновении неисправности.
  7. InformRequest -
    Он был введен в SNMPv2c и использовался для определения того, было ли сообщение ловушки получено менеджером или нет.Агенты могут быть настроены на установку прерывания непрерывно, пока они не получат сообщение Inform. Это то же самое, что и ловушка, но с добавлением подтверждения, которого ловушка не дает.

Уровни безопасности SNMP -
Определяет тип алгоритма безопасности, выполняемого для пакетов SNMP. Они используются только в SNMPv3. Есть 3 уровня безопасности, а именно:

  1. noAuthNoPriv -
    Этот уровень безопасности (без аутентификации, без конфиденциальности) использует строку сообщества для аутентификации и без шифрования для конфиденциальности.
  2. authNopriv - Этот уровень безопасности (аутентификация, отсутствие конфиденциальности) использует HMAC с Md5 для аутентификации, а шифрование не используется для конфиденциальности.
  3. authPriv - Этот уровень безопасности (аутентификация, конфиденциальность) использует HMAC с Md5 или SHA для аутентификации, а для шифрования используется алгоритм DES-56.

версий SNMP -
Существует 3 версии SNMP:

  1. SNMPv1 -
    Он использует строки сообщества для аутентификации и использует только UDP.
  2. SNMPv2c -
    Он использует строки сообщества для аутентификации. Он использует UDP, но может быть настроен на использование TCP.
  3. SNMPv3 -
    Он использует MAC на основе хэша с MD5 или SHA для аутентификации и DES-56 для конфиденциальности. Эта версия использует TCP. Таким образом, можно сделать вывод, что чем выше версия SNMP, тем она безопаснее.

Вниманию читателя! Не прекращайте учиться сейчас. Ознакомьтесь со всеми важными концепциями теории CS для собеседований SDE с помощью курса CS Theory Course по доступной для студентов цене и подготовьтесь к работе в отрасли.

Протоколы контролируемого доступа в компьютерной сети

Протоколы контролируемого доступа в компьютерной сети

При контролируемом доступе станции ищут информацию друг у друга, чтобы определить, какая станция имеет право отправлять. Это позволяет отправлять одновременно только один узел, чтобы избежать конфликтов сообщений на общей среде.
Три метода контролируемого доступа:

  1. Бронирование
  2. Голосование
  3. Прохождение токена

Бронирование

  • В методе резервирования станция должна выполнить резервирование перед отправкой данных.
  • На временной шкале есть два типа периодов:
    1. Интервал резервирования фиксированной продолжительности
    2. Период передачи данных переменных кадров.
  • Если имеется M станций, интервал резервирования делится на M слотов, и каждая станция имеет один слот.
  • Предположим, что если у станции 1 есть кадр для отправки, она передает 1 бит в течение интервала 1. Никакой другой станции не разрешено передавать в течение этого интервала.
  • Обычно станция i th может объявить, что у нее есть кадр для отправки, вставив 1 бит в слот i th .После проверки всех N интервалов каждая станция знает, какие станции хотят передавать.
  • Станции, которые зарезервировали свои слоты, передают свои кадры в этом порядке.
  • После периода передачи данных начинается следующий интервал резервирования.
  • Поскольку все согласны с тем, кто пойдет следующим, столкновений никогда не будет.

На следующем рисунке показана ситуация с пятью станциями и кадром резервирования с пятью временными интервалами. В первом интервале резервации сделали только станции 1, 3 и 4.Во втором интервале резервировалась только станция 1.

Голосование

  • Процесс опроса аналогичен перекличке, проводимой в классе. Как и учитель, контроллер по очереди отправляет сообщение каждому узлу.
  • В этом случае одна действует как первичная станция (контроллер), а другие - как вторичные станции. Все обмены данными должны производиться через контролера.
  • Сообщение, отправленное контроллером, содержит адрес узла, выбранного для предоставления доступа.
  • Хотя все узлы получают сообщение, но адресат отвечает на него и отправляет данные, если таковые имеются. Если данных нет, обычно возвращается сообщение «отказ в опросе» (NAK).
  • Проблемы включают высокие накладные расходы на сообщения опроса и высокую зависимость от надежности контроллера.


Эффективность
Пусть T poll будет временем для опроса, а T t будет временем, необходимым для передачи данных.Затем

 КПД = T  t  / (T  t  + T  опрос ) 

Передача жетона

  • В схеме передачи маркеров станции логически соединены друг с другом в виде кольца, и доступ станций управляется маркерами.
  • Маркер - это специальный битовый шаблон или небольшое сообщение, которое передается от одной станции к другой в некотором заранее определенном порядке.
  • В Token Ring токен передается от одной станции к другой соседней станции в кольце, тогда как в случае Token bus каждая станция
    использует шину для отправки токена на следующую станцию ​​в некотором заранее определенном порядке.
  • В обоих случаях токен представляет собой разрешение на отправку. Если у станции есть кадр в очереди на передачу, когда она получает маркер, она может отправить этот кадр до того, как она передаст маркер следующей станции. Если у него нет кадра в очереди, он просто передает токен.
  • После отправки кадра каждая станция должна дождаться, пока все N станций (включая себя) отправят маркер своим соседям, а другие N - 1 станции отправят кадр, если он у них есть.
  • Существуют проблемы, такие как дублирование токена или токен утерян, или вставка новой станции, удаление станции, которые необходимо решить для правильной и надежной работы этой схемы.

Производительность
Производительность Token Ring можно оценить по 2 параметрам: -

  1. Задержка , которая является мерой времени между готовностью пакета и его доставкой. Таким образом, среднее время (задержка), необходимое для отправки токена на следующую станцию, = a / N.
  2. Пропускная способность , которая является мерой успешного трафика.
 Пропускная способность, S = 1 / (1 + a / N) для <1 

и

 S = 1 / {a (1 + 1 / N)} для a> 1.где N = количество станций
             a = T  p  / T  t 
(T  p  = задержка распространения и T  t  = задержка передачи)
 

Вниманию читателя! Не прекращайте учиться сейчас. Ознакомьтесь со всеми важными концепциями теории CS для собеседований SDE с помощью курса CS Theory Course по доступной для студентов цене и подготовьтесь к работе в отрасли.

Протокол управляющих сообщений Интернета (ICMP)

Так как IP не имеет встроенного механизма для отправки сообщений об ошибках и управления.Это зависит от протокола управляющих сообщений Интернета (ICMP) для обеспечения контроля ошибок. Он используется для сообщения об ошибках и запросов управления. Это поддерживающий протокол, который используется сетевыми устройствами, такими как маршрутизаторы, для отправки сообщений об ошибках и оперативной информации.
например запрошенная услуга недоступна или что хост или маршрутизатор не могут быть достигнуты.

Сообщение о подавлении источника:

Сообщение блокировки источника - это запрос на снижение скорости трафика для сообщений, отправляемых на хост (пункт назначения).Или мы можем сказать, что когда принимающий хост обнаруживает, что скорость отправки пакетов (скорость трафика) ему слишком высока, он отправляет исходное сообщение о гашении источнику, чтобы замедлить скорость, чтобы ни один пакет не мог быть потерян.

ICMP берет исходный IP-адрес из отброшенного пакета и информирует источник, отправляя сообщение о блокировке источника.

Затем источник снизит скорость передачи, чтобы маршрутизатор освободился от перегрузки.


Когда маршрутизатор перегрузки находится далеко от источника, ICMP будет посылать сообщение о блокировке источника, так что каждый маршрутизатор будет снижать скорость передачи.

Проблема с параметром:

Всякий раз, когда пакеты приходят к маршрутизатору, вычисленная контрольная сумма заголовка должна быть равна полученной контрольной сумме заголовка, тогда маршрутизатор принимает только пакет.

Если есть несоответствие, пакет будет сброшен маршрутизатором.

ICMP берет исходный IP-адрес из отброшенного пакета и сообщает источнику, отправляя сообщение о проблеме с параметром.

Сообщение о превышении времени:

Когда некоторые фрагменты потеряны в сети, то удерживаемый фрагмент маршрутизатором будет отброшен, тогда ICMP возьмет исходный IP-адрес из отброшенного пакета и информирует источник об отброшенных дейтаграммах из-за того, что время жизни в поле достигает нуля, путем отправки времени превышено сообщение.



Пункт назначения недоступен:

Пункт назначения недоступен генерируется хостом или его входящим шлюзом, чтобы сообщить клиенту, что пункт назначения по какой-либо причине недоступен.

Нет необходимого условия, чтобы только маршрутизатор выдавал сообщение об ошибке ICMP некоторое время, когда хост назначения отправлял сообщение об ошибке ICMP, когда в сети происходит какой-либо тип сбоя (сбой канала, сбой оборудования, сбой порта и т. Д.).

Сообщение о перенаправлении:

Redirect запрашивает отправку пакетов данных по альтернативному маршруту.Сообщение информирует хост, чтобы он обновил свою информацию о маршрутизации (для отправки пакетов по альтернативному маршруту).

Пр. Если хост пытается отправить данные через маршрутизатор R1, а R1 отправляет данные на маршрутизатор R2, и есть прямой путь от хоста к R2. Затем R1 отправит сообщение перенаправления, чтобы сообщить хосту, что существует лучший путь к месту назначения напрямую через R2. Затем хост отправляет пакеты данных для пункта назначения непосредственно на R2.
Маршрутизатор R2 отправит исходную дейтаграмму по назначению.
Но если дейтаграмма содержит информацию о маршрутизации, то это сообщение не будет отправлено, даже если доступен лучший маршрут, поскольку перенаправления должны отправляться только шлюзами и не должны отправляться узлами Интернета.

Каждый раз, когда пакет позже пересылается в неправильном направлении, он перенаправляется в текущем направлении, тогда ICMP отправляет перенаправленное сообщение.


Автор статьи: Aman Chauhan .

Пожалуйста, напишите комментарий, если вы обнаружите что-то неправильное, или если вы хотите поделиться дополнительной информацией по теме, обсужденной выше.

Вниманию читателя! Не прекращайте учиться сейчас. Ознакомьтесь со всеми важными концепциями теории CS для собеседований SDE с помощью курса CS Theory Course по доступной для студентов цене и подготовьтесь к работе в отрасли.

Защита простого протокола сетевого управления

Этот документ предоставляет информацию о защите вашего простого протокола сетевого управления (SNMP). Защита вашего SNMP важна, особенно когда уязвимости SNMP могут многократно использоваться для создания отказа в обслуживании (DoS).

Требования

Для этого документа нет особых требований.

Используемые компоненты

Информация в этом документе основана на следующих версиях программного и аппаратного обеспечения:

Информация в этом документе была создана на устройствах в определенной лабораторной среде. Все устройства, используемые в этом документе, были запущены с очищенной (по умолчанию) конфигурацией. Если ваша сеть активна, убедитесь, что вы понимаете потенциальное влияние любой команды.

Условные обозначения

Дополнительные сведения об условных обозначениях в документах см. В разделе «Условные обозначения технических советов Cisco».

Выберите хорошую строку сообщества SNMP

Использование общедоступных только для чтения и частных в качестве строк сообщества для чтения и записи - не лучшая практика.

Настройка просмотра SNMP

Команда Setup SNMP view может заблокировать пользователя с доступом только к ограниченной базе управляющей информации (MIB).По умолчанию не существует. Запись просмотра SNMP существует . Эта команда настраивается в режиме глобальной конфигурации и впервые представлена ​​в программном обеспечении Cisco IOS версии 10.3. Он работает аналогично списку доступа в том, что если у вас есть какой-либо SNMP View на определенных деревьях MIB, любое другое дерево необъяснимо отвергается. Однако последовательность не важна, и она проходит через весь список для совпадения, прежде чем остановиться.

Чтобы создать или обновить запись представления, используйте команду snmp-server view global configuration .Чтобы удалить указанную запись просмотра сервера SNMP, используйте форму no этой команды.

Синтаксис:

  snmp-server view имя-представления oid-tree {включено | исключено} 

  no snmp-server view имя-представления 

 

Описание синтаксиса:

  • view-name - метка для записи просмотра, которую вы обновляете или создаете. Имя используется для ссылки на запись.

  • oid-tree - идентификатор объекта первой абстрактной синтаксической нотации (ASN.1) поддерево, которое нужно включить или исключить из представления. Чтобы идентифицировать поддерево, укажите текстовую строку, состоящую из чисел, например 1.3.6.2.4, или слова, например system . Замените одиночный подидентификатор на подстановочный знак звездочки (*), чтобы указать семейство поддерева; например 1.3. *. 4.

  • включены | исключено - Тип обзора. Вы должны указать либо включено, либо исключено.

Два стандартных предопределенных представления могут использоваться, когда представление требуется, вместо определения представления.Один - это все, что означает, что пользователь может видеть все объекты. Другой - с ограниченным доступом , который указывает, что пользователь может видеть три группы: system , snmpStats и snmpParties . Предопределенные представления описаны в RFC 1447.

Примечание: Первая вводимая вами команда snmp-server включает обе версии SNMP.

В этом примере создается представление, которое включает все объекты в системной группе MIB-II, за исключением sysServices (Система 7) и всех объектов для интерфейса 1 в группе интерфейсов MIB-II:

  snmp-server view agon система включена 

  snmp-server view agon system.7 исключено 

  snmp-server view agon ifEntry. *. 1 включен 

 

Это полный пример того, как применить MIB со строкой сообщества и выводом snmpwalk с view на месте. Эта конфигурация определяет представление, которое запрещает доступ SNMP для таблицы протокола разрешения адресов (ARP) ( atEntry ) и разрешает его для MIB-II и частного MIB Cisco:

  snmp-server view myview mib-2 включен 


  snmp-server view myview atEntry excluded 


  snmp-server view myview cisco включен 


  общедоступный просмотр сообщества snmp-сервера myview RO 11 


  snmp-server community приватный просмотр myview RW 11 


  snmp-сервер связаться с pvanderv @ cisco.com 
 

Это команда и вывод для группы системы MIB-II:

NMSPrompt 82%  Система от кашля snmpwalk 
system.sysDescr.0: DISPLAY STRING- (ascii): программное обеспечение межсетевой операционной системы Cisco
Программное обеспечение IOS (tm) 2500 (C2500-JS-L), версия 12.0 (1) T, ВЫПУСКНОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ (fc2)
Авторские права (c) 1986-1998, cisco Systems, Inc.
Составлено dschwart, среда, 4 ноября 1998 г., 20:37
system.sysObjectID.0: ИДЕНТИФИКАТОР ОБЪЕКТА:
   .iso.org.dod.internet.private.enterprises.cisco.ciscoProducts.cisco2520
system.sysUpTime.0: метки времени: (306588588) 35 дней, 11: 38: 05.88
system.sysContact.0: СТРОКА ДИСПЛЕЯ- (ASCII): [email protected]
system.sysName.0: СТРОКА ДИСПЛЕЯ- (ASCII): кашель
system.sysLocation.0: СТРОКА ДИСПЛЕЯ- (ASCII):
system.sysServices.0: INTEGER: 78
system.sysORLastChange.0: метки времени: (0) 0: 00: 00.00

NMSPrompt 83%

 

Это команда и вывод для локальной группы Cisco System:

NMSPrompt 83%  snmpwalk cough lsystem 

cisco.local.lsystem.romId.0: СТРОКА ДИСПЛЕЯ- (ASCII):
System Bootstrap, версия 11.0 (10c), ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ
Авторское право (c) 1986-1996, cisco Systems

cisco.local.lsystem.whyReload.0: СТРОКА ДИСПЛЕЯ- (ASCII): включение питания
cisco.local.lsystem.hostName.0: СТРОКА ДИСПЛЕЯ- (ASCII): кашель

 

Это команда и вывод для таблицы MIB-II ARP:

NMSPrompt 84%  snmpwalk cough at Таблица 

в поддереве нет объектов MIB.

NMSPrompt 85%

 

Настроить SNMP-сообщество со списком доступа

Лучшие текущие практики рекомендуют применять списки управления доступом (ACL) к строкам сообщества и гарантировать, что строки сообщества запросов не идентичны строкам сообщества уведомлений.Списки доступа обеспечивают дополнительную защиту при использовании в сочетании с другими защитными мерами.

В этом примере ACL настраивается на строку сообщества:

  список доступа 1 разрешение 1.1.1.1 

  snmp-server community string1 ro 1 
 

Использование разных строк сообщества для запросов и сообщений-ловушек снижает вероятность дальнейших атак или компрометации, если строка сообщества обнаруживается злоумышленником, будь то путем компрометации удаленного устройства или путем прослушивания сообщения-ловушки из сети без авторизации.

После включения прерывания с помощью строки сообщества эта строка может быть включена для доступа по протоколу SNMP в некотором программном обеспечении Cisco IOS. Вы должны явно отключить это сообщество.

Например:

  список доступа 10 запретить любой 
  хост snmp-сервера 1.1.1.1 mystring1 
  сообщество snmp-серверов mystring1 RO 10 

 

Настройка SNMP версии 3

SNMP версии 3 был впервые представлен в программном обеспечении Cisco IOS версии 12.0, но пока не используется широко в управлении сетью. Чтобы настроить SNMP версии 3, выполните следующие действия:

  1. Назначьте идентификатор механизма для объекта SNMP (необязательно).

  2. Определите пользователя userone , принадлежащего к группе groupone , и примените к этому пользователю noAuthentication (без пароля) и noPrivacy (без шифрования).

  3. Определите пользователя usertwo , принадлежащего к группе grouptwo , и примените noAuthentication (без пароля) и noPrivacy (без шифрования) для этого пользователя.

  4. Определите пользователя userthree , принадлежащего к группе groupthree , и примените Authentication (пароль user3passwd) и noPrivacy (без шифрования) для этого пользователя.

  5. Определите пользователя userfour , принадлежащего к группе groupfour , и примените Authentication (пароль user4passwd) и Privacy (des56 encryption) к этому пользователю.

  6. Определите группу groupone , используя модель безопасности пользователя (USM) V3 и имея доступ для чтения в представлении v1default (по умолчанию).

  7. Определите группу grouptwo , используя USM V3 и имея доступ для чтения в представлении myview .

  8. Определите группу groupthree , используя USM V3, имея доступ на чтение в представлении v1default (по умолчанию) и используя аутентификацию .

  9. Определите группу groupfour , используя USM V3, имея доступ для чтения в представлении v1default (по умолчанию) и используя Authentication и Privacy .

  10. Определите представление, myview , которое обеспечивает доступ для чтения в MIB-II и запрещает доступ для чтения в частной Cisco MIB.

    Вывод show running дает дополнительные строки для группы public из-за того, что определена строка сообщества только для чтения public .

    Вывод show running не показывает userthree .

    Пример:

      snmp-server engineID локальный 111100000000000000000000
    snmp-server пользователь userone groupone v3
    Пользователь snmp-сервера usertwo grouptwo v3
    snmp-server пользователь пользователь три группы три v3 auth md5 user3passwd
    snmp-server пользователь userfour groupfour v3 auth md5 user4passwd priv des56
      user4priv
    Группа snmp-серверов groupone v3 noauth
    группа snmp-server group grouptwo v3 noauth читать myview
    snmp-server group groupthree v3 auth
    Группа snmp-серверов groupfour v3 priv
    snmp-server view myview mib-2 включен
    просмотр snmp-сервера myview cisco исключен
    общедоступный RO сообщества snmp-server
     
     

Это команда и вывод для группы системы MIB-II с использованием пользователя userone :

NMSPrompt 94%  snmpwalk -v3 -n "" -u userone -l noAuthNoPriv неуклюжая система 
Модуль SNMPV2-TC не найден
система.sysDescr.0 = Программное обеспечение межсетевой операционной системы Cisco
Программное обеспечение IOS (TM) 4500 (C4500-IS-M), версия 12.0 (3) T, ВЫПУСКНОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ (fc1)
Авторское право (c) 1986-1999, cisco Systems, Inc.
Скомпилировано ccai, Вт 23 февраля 99 г., 03:59
system.sysObjectID.0 = OID: enterprises.9.1.14
system.sysUpTime.0 = Timeticks: (28208096) 3 дня, 6: 21: 20.96
system.sysContact.0 =
system.sysName.0 = clumsy.cisco.com
system.sysLocation.0 =
system.sysServices.0 = 78
system.sysORLastChange.0 = Метки времени: (0) 0: 00: 00.00
NMSPrompt 95%

 

Это команда и вывод для группы системы MIB-II с использованием пользователя usertwo :

NMSPrompt 95%  snmpwalk -v3 -n "" -u usertwo -l noAuthNoPriv неуклюжая система 

Модуль SNMPV2-TC не найден
система.sysDescr.0 = Программное обеспечение межсетевой операционной системы Cisco
Программное обеспечение IOS (TM) 4500 (C4500-IS-M), версия 12.0 (3) T, ВЫПУСКНОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ (fc1)
Авторское право (c) 1986-1999, cisco Systems, Inc.
Скомпилировано ccai, Вт 23 февраля 99 г., 03:59
system.sysObjectID.0 = OID: enterprises.9.1.14
system.sysUpTime.0 = Timeticks: (28214761) 3 дня, 6: 22: 27.61
system.sysContact.0 =
system.sysName.0 = clumsy.cisco.com
system.sysLocation.0 =
system.sysServices.0 = 78
system.sysORLastChange.0 = Метки времени: (0) 0: 00: 00.00

 

Это команда и выходные данные для группы Cisco Local System с использованием пользователя userone :

NMSPrompt 98%  snmpwalk -v3 -n "" -u userone -l noAuthNoPriv коряво.1.3.6.1.4.1.9.2.1 

Модуль SNMPV2-TC не найден
enterprises.9.2.1.1.0 = "..System Bootstrap, версия 5.2 (7b) [mkamson 7b],
   ВЫПУСКАТЬ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ (fc1) .. Авторское право (c) 1995, cisco Systems,
Inc ... "
enterprises.9.2.1.2.0 = "перезагрузить"
enterprises.9.2.1.3.0 = "неуклюжий"
enterprises.9.2.1.4.0 = "cisco.com"

 

Это команда и выходные данные, показывающие, что вы не можете получить группу Cisco Local System с помощью пользователя usertwo :

NMSPrompt 99%  snmpwalk -v3 -n "" -u usertwo -l noAuthNoPriv коряво.1.3.6.1.4.1.9.2.1 

Модуль SNMPV2-TC не найден
enterprises.9.2.1 = В этом представлении MIB больше не осталось переменных

NMSPrompt 100%

 

Эта команда и ее результат предназначены для настроенного tcpdump (патч для поддержки SNMP версии 3 и дополнение к printf):

NMSPrompt 102%  snmpget -v3 -n "" -u userone -l noAuthNoPriv неуклюжий system.sysName.0 

Модуль SNMPV2-TC не найден
system.sysName.0 = clumsy.cisco.com
 

Настройка ACL на интерфейсах

Функция ACL обеспечивает меры безопасности для предотвращения атак, таких как подмена IP-адреса.ACL может применяться к входящим или исходящим интерфейсам маршрутизаторов.

На платформах, которые не имеют возможности использовать ACL приема (rACL), можно разрешить трафик протокола пользовательских дейтаграмм (UDP) на маршрутизатор с доверенных IP-адресов с интерфейсными ACL.

Следующий расширенный список доступа может быть адаптирован к вашей сети. В этом примере предполагается, что маршрутизатор имеет IP-адреса 192.168.10.1 и 172.16.1.1, настроенные на его интерфейсах, что весь доступ SNMP должен быть ограничен станцией управления с IP-адресом 10.1.1.1, и что управляющая станция должна связываться только с IP-адресом 192.168.10.1:

  список доступа 101 разрешить хост udp 10.1.1.1 хост 192.168.10.1  

Список доступа затем должен быть применен ко всем интерфейсам с помощью следующих команд конфигурации:

  интерфейс Ethernet 0/0

ip-группа доступа 101 в 
 

Все устройства, которые напрямую обмениваются данными с маршрутизатором через порты UDP, должны быть указаны в приведенном выше списке доступа.Программное обеспечение Cisco IOS использует порты в диапазоне от 49152 до 65535 в качестве исходного порта для исходящих сеансов, таких как запросы системы доменных имен (DNS).

Для устройств, у которых настроено много IP-адресов или много хостов, которым необходимо связываться с маршрутизатором, это решение может быть не масштабируемым.

rACL

Для распределенных платформ, rACL может быть опцией, начиная с программного обеспечения Cisco IOS версии 12.0 (21) S2 для гигабитного коммутатора-маршрутизатора Cisco серии 12000 (GSR) и версии 12.0 (24) S для Cisco серии 7500. Списки доступа для приема защищают устройство от вредоносного трафика до того, как трафик может повлиять на процессор маршрутизации. ACL пути приема также считаются передовым методом сетевой безопасности и должны рассматриваться как долгосрочное дополнение к хорошей сетевой безопасности, а также как обходной путь для этой конкретной уязвимости. Нагрузка на ЦП распределяется между процессорами линейных карт и помогает снизить нагрузку на основной процессор маршрутизации. Технический документ под названием GSR: Receive Access Control Lists поможет идентифицировать и разрешить законный трафик на ваше устройство и отклонить все нежелательные пакеты..

ACL инфраструктуры

Хотя часто бывает сложно заблокировать трафик, проходящий через вашу сеть, можно определить трафик, которому никогда не следует разрешать нацеливаться на ваши устройства инфраструктуры, и заблокировать этот трафик на границе вашей сети. Списки контроля доступа к инфраструктуре (iACL) считаются передовым методом сетевой безопасности и должны рассматриваться как долгосрочное дополнение к хорошей сетевой безопасности, а также как обходной путь для этой конкретной уязвимости. В официальном документе, озаглавленном «Защита ядра: списки контроля доступа для защиты инфраструктуры», представлены рекомендации и рекомендуемые методы развертывания iACL..

Функция безопасности коммутатора локальной сети Cisco Catalyst

Функция списка разрешенных IP-адресов ограничивает входящий доступ Telnet и SNMP к коммутатору с неавторизованных исходных IP-адресов. Сообщения системного журнала и ловушки SNMP поддерживаются для уведомления системы управления о нарушении или несанкционированном доступе.

Комбинация функций безопасности программного обеспечения Cisco IOS может использоваться для управления маршрутизаторами и коммутаторами Cisco Catalyst. Необходимо установить политику безопасности, ограничивающую количество станций управления, способных получить доступ к коммутаторам и маршрутизаторам.

Для получения дополнительной информации о том, как повысить безопасность в IP-сетях, см. Повышение безопасности в IP-сетях.

Настройте списки ACL сообщества SNMP с ключевым словом log . Отслеживайте syslog на предмет неудачных попыток, как показано ниже.

  список доступа 10 запретить любой журнал
сообщество snmp-server общедоступное RO ​​10 
 

Когда кто-то пытается получить доступ к маршрутизатору с общедоступным сообществом, вы видите системный журнал , подобный следующему:

% SEC-6-IPACCESSLOGS: список 10 отклонен 172.16.1.15 пакет 

Этот вывод означает, что список доступа 10 отклонил пять пакетов SNMP от хоста 172.16.1.1.

Периодически проверяйте SNMP на наличие ошибок, выполняя команду show snmp , как показано здесь:

router #  show snmp Шасси: 21350479 17005 Вход пакетов SNMP 

37 Ошибки неверной версии SNMP **
15420 Неизвестное название сообщества **
0 Указана недопустимая операция для имени сообщества
1548 ошибок кодирования **
0 Количество запрошенных переменных
0 Количество измененных переменных
0 PDU получения запроса
0 Get-next PDU
0 PDU Set-request 0 Вывод пакетов SNMP
0 Слишком большие ошибки (Максимальный размер пакета 1500)
0 Нет таких ошибок в названии
0 Ошибки неверных значений
0 Общие ошибки
0 ответных PDU
0 БРП-ловушки 

Следите за счетчиками, помеченными **, на предмет неожиданного увеличения количества ошибок, которые могут указывать на попытку использования этих уязвимостей.Чтобы сообщить о любых проблемах безопасности, обратитесь к разделу «Ответ на инциденты, связанные с безопасностью продуктов Cisco».

SNMP - Cisco

В общих чертах Сеть под управлением SNMP состоит из системы управления, агентов и управляемых устройств.

Система управления выполняет приложения для мониторинга и контролирует управляемые устройства. Управление системы выполняют большую часть процессов управления и предоставляют большую часть памяти ресурсы, используемые для управления сетью.Сеть может управляться одним или несколько систем управления. Следующий рисунок иллюстрирует взаимосвязь между менеджером сети, агентом SNMP и управляемыми устройствами.

Рисунок 2. Пример Основные компоненты SNMP

Агент (например, SNMP), находящийся на каждом управляемом устройстве, транслирует локальную информацию управления данные, такие как информация о производительности или информация о событиях и ошибках, попали в программные ловушки в удобочитаемую форму для системы управления.Следующее На рисунке показаны запросы на получение агента SNMP, которые передают данные в сеть. программное обеспечение для управления.

Рисунок 3. Сбор агентов Данные из MIB и отправка ловушек менеджеру

Агент SNMP захватывает данные из MIB, которые представляют собой параметры устройства и сетевые данные репозиториев, либо из-за ошибок или ловушек изменения.

Управляемый элемент - такой в качестве маршрутизатора, сервера доступа, коммутатора, моста, концентратора, хоста компьютера или сети элемент (например, ONS 15454 ) - осуществляется доступ через агент SNMP. Управляемые устройства собирают и хранят управление информация, делая ее доступной через SNMP для других систем управления имеющий такую ​​же совместимость протокола.

Сетевые атаки

Общие сведения о сетевых атаках

Сетевая атака может быть определена как любой метод, процесс или средство, используемые для злонамеренной попытки нарушения безопасности сети.

Существует ряд причин, по которым отдельные лица захотят атаковать корпоративные сети. Лица, выполняющие сетевые атаки, обычно называются сетевыми злоумышленниками , хакерами или взломщиками.

Несколько различных типов злонамеренных действий , выполняемых сетевыми злоумышленниками и хакерами, кратко описаны здесь:

  • Незаконное использование учетных записей и прав пользователей
  • Кража оборудования
  • ПО для кражи
  • Запуск кода для повреждения систем
  • Запуск кода для повреждения и повреждения данных
  • Изменение сохраненных данных
  • Кража данных
  • Использование данных для получения финансовой выгоды или промышленного шпионажа
  • Выполнение действий, которые предотвращают доступ законных авторизованных пользователей к сетевым службам и ресурсам.
  • Выполнение действий по истощению сетевых ресурсов и пропускной способности.

Несколько причин для сетевых злоумышленников, пытающихся атаковать корпоративные сети , перечислены здесь:

  • Лица, ищущие славы или какого-то признания. Детишки-сценаристы обычно ищут какую-то форму славы, когда пытаются взломать веб-сайты и другие публичные объекты в Интернете. Детский скрипт может также искать одобрения или признания со стороны хакерского сообщества или хакеров в черной шляпе.
  • Возможные мотивы структурированных внешних угроз включают:
    • Жадность
    • Промышленный шпионаж
    • Политика
    • Терроризм
    • Расизм
    • Выплаты по уголовным делам
  • Недовольные сотрудники могут попытаться нанести ущерб данным, надежности или финансовому положению организации.
  • Есть некоторые сетевые злоумышленники, которым просто нравится пытаться взломать системы безопасности высокозащищенных сетей.Эти типы злоумышленников просто рассматривают свои действия как средство выявления существующих уязвимостей безопасности.

Сетевые атаки можно разделить на четыре типа:

  • Внутренние угрозы
  • Внешние угрозы
    • Неструктурированные угрозы
    • Структурированные угрозы

Угрозы для сети могут быть инициированы из ряда различных источников, поэтому сетевые атаки классифицируются как внешние или внутренние сетевые атаки / угрозы:

Что касается сетевых атак, основные компоненты, которые должны быть включены при разработке пользователями сетевой безопасности:

  • Предотвращение сетевых атак
  • Обнаружение сетевых атак
  • Изоляция сетевых атак
  • Восстановление после сетевой атаки

Что такое взлом?

Термин «взлом» первоначально относился к процессу поиска решений скорее технических вопросов или проблем.В наши дни под взломом понимается процесс, при котором злоумышленники злонамеренно пытаются поставить под угрозу безопасность корпоративных сетей, чтобы уничтожить, интерпретировать или украсть конфиденциальные данные или помешать работе организации.

Терминологии, относящиеся к преступному взлому:

  • Растрескивание
  • Киберпреступность
  • Кибершпионаж
  • Фрикинг

Для доступа к сетевой системе злоумышленник (хакер) выполняет ряд действий:

  • Footprinting: По сути, это первый шаг во взломе корпоративной сети.Здесь злоумышленник пытается получить как можно больше информации о целевой сети, используя источники, к которым может получить доступ публика. Цель следа - создать карту сети, чтобы определить, какие операционные системы, приложения и диапазоны адресов используются, и определить любые доступные открытые порты.
    Методы , используемые для отслеживания сети :
    • Доступ к информации, общедоступной на веб-сайте компании, для получения любой полезной информации.
    • Попытайтесь найти любые незащищенные анонимные сайты протокола передачи файлов (FTP) и интрасети.
    • Соберите информацию о доменном имени компании и используемом блоке IP-адресов.
    • Проверить наличие хостов в блоке IP-адресов сети. Обычно используются такие инструменты, как Ping или Flping.
    • Используя такие инструменты, как Nslookup, злоумышленник пытается выполнить передачу зоны системы доменных имен (DNS).
    • Инструмент, такой как Nmap, используется, чтобы узнать, какие операционные системы используются.
    • Инструменты, такие как Tracert, используются для поиска маршрутизаторов и сбора информации о подсети.
  • Сканирование портов: Сканирование портов - это когда злоумышленники собирают информацию о сетевых службах в целевой сети. Здесь злоумышленник пытается найти открытые порты в целевой системе.
    различных методов сканирования , которые используют сетевые злоумышленники:
    • Обычное сканирование / SYNC-сканирование: TCP-пакеты SYN отправляются на каждый адресный порт в попытке подключиться ко всем портам. Используются номера портов 0 - 65 535.
    • Сканирование строба: здесь злоумышленник пытается подключиться к определенному диапазону портов, которые обычно открыты на хостах на базе Windows или хостах на базе UNIX / Linux.
    • Sweep: Сканируется большой набор IP-адресов в попытке обнаружить систему с одним открытым портом.
    • Пассивное сканирование: здесь захватывается весь сетевой трафик, входящий в сеть или выходящий из нее, а затем анализируется трафик, чтобы определить, какие открытые порты находятся на хостах в сети.
    • Сканирование по протоколу дейтаграмм пользователя (UDP): пустые пакеты UDP отправляются на разные порты набора адресов, чтобы определить реакцию оператора. Закрытые порты UDP отвечают сообщением «Порт недоступен» при получении любых пустых пакетов UDP.Другие операционные системы отвечают пакетом ошибки протокола управляющих сообщений Интернета (ICMP).
    • Отказ от FTP: чтобы скрыть местонахождение злоумышленника, сканирование запускается с промежуточного сервера протокола передачи файлов (FTP).
    • FIN сканирование: пакеты TCP FIN, которые указывают, что отправитель хочет закрыть сеанс TCP, отправляются на каждый порт для диапазона IP-адресов.
  • Перечисление: Неавторизованный злоумышленник использует ряд методов для сбора информации о приложениях и хостах в сети, а также об учетных записях пользователей, используемых в сети.Перечисление особенно успешно в сетях, содержащих незащищенные сетевые ресурсы и службы:
    • Сетевые службы, которые работают, но не используются.
    • Учетные записи пользователей по умолчанию, для которых не указаны пароли.
    • Активные гостевые учетные записи.
  • Получение доступа: Атаки доступа выполняются, когда злоумышленник использует уязвимость системы безопасности, чтобы получить доступ к системе или сети. Троянские кони и программы для взлома паролей обычно используются для получения доступа к системе.Когда доступ получен, злоумышленник может изменять или удалять данные, а также добавлять, изменять или удалять сетевые ресурсы.
    Существуют различные типы атак доступа:
    • Несанкционированный доступ к системе влечет за собой практику использования уязвимостей операционных систем или выполнение сценария или программы взлома для получения доступа к системе.
    • Несанкционированное повышение привилегий - частый тип атак. Повышение привилегий происходит, когда злоумышленник пытается получить высокий уровень доступа, например административные привилегии, для получения контроля над сетевой системой.
    • Несанкционированные манипуляции с данными включает интерпретацию, изменение и удаление конфиденциальных данных.
  • Повышение привилегий: Когда злоумышленник изначально получает доступ к сети, обычно используются учетные записи низкого уровня. Повышение привилегий происходит, когда злоумышленник повышает свои привилегии для получения более высокого уровня доступа, например административных привилегий, чтобы получить контроль над сетевой системой.
    Злоумышленники используют следующие методы повышения привилегий :
    • Злоумышленник ищет в ключах реестра информацию о пароле.
    • Злоумышленник может искать в документах информацию об административных привилегиях.
    • Злоумышленник может использовать средство взлома паролей для целевых учетных записей пользователей.
    • Злоумышленник может использовать трояна, чтобы попытаться получить учетные данные учетной записи пользователя с административными привилегиями.
  • Установить бэкдоры: Хакер также может реализовать механизм, такой как некоторая форма кода предоставления доступа, с намерением использовать его на каком-то этапе в будущем.Злоумышленники обычно устанавливают лазейки, чтобы впоследствии легко получить доступ к системе. После взлома системы пользователи могут удалить любые установленные бэкдоры, переустановив систему из безопасной резервной копии.
  • Удаление свидетельств деятельности: Злоумышленники обычно пытаются удалить все свидетельства своей деятельности.

Кто такие хакеры или сетевые атакующие?

Хакер или сетевой злоумышленник - это кто-то, кто злонамеренно атакует сети, системы, компьютеры и приложения и захватывает, искажает, изменяет, крадет или удаляет конфиденциальную информацию компании.

Хакер может относиться к ряду различных лиц, которые выполняют действия, направленные на взлом систем и сетей, а также к лицам, которые выполняют действия, не имеющие ничего общего с преступной деятельностью:

  • Программисты, которые взламывают сложные технические проблемы, чтобы найти решения.
  • Сценарии для детей, которые используют доступные в Интернете инструменты для взлома систем.
  • Хакеры-преступники, крадущие или уничтожающие данные компании.
  • Протестующие активисты, которые отказывают в доступе к определенным веб-сайтам в рамках своей протестной стратегии.

В наши дни хакеров классифицируют по шляпе, которую они носят. Эта концепция проиллюстрирована ниже:

  • Хакеры в черной шляпе - это злонамеренные или преступные хакеры, которые взламывают системы и компьютеры, чтобы повредить данные, или которые пытаются помешать предприятиям предоставлять свои услуги. Некоторые хакеры в черной шляпе просто взламывают защищенные системы безопасности, чтобы завоевать авторитет в хакерском сообществе.
  • Белые хакеры - это настоящие эксперты по безопасности, которые пытаются выявить уязвимости в системе безопасности на платформах операционных систем.Мотивом хакеров в белых шляпах является повышение безопасности. Они не наносят вреда и не крадут данные компании и не ищут славы. Эти эксперты по безопасности обычно хорошо осведомлены о методах взлома, которые используют хакеры.
  • Серый хакер: Это люди, у которых есть мотивы между черными хакерами и белыми хакерами.

Распространенные типы сетевых атак

Хотя существует множество различных типов сетевых атак, некоторые из них можно рассматривать как наиболее часто выполняемые сетевые атаки.Эти сетевые атаки обсуждаются в этом разделе статьи:

  • Изменение данных или манипулирование данными относится к сетевой атаке, при которой конфиденциальные данные компании интерпретируются, удаляются или изменяются. Модификация данных успешна, когда данные изменяются без фактического уведомления отправителя о том, что они были подделаны.
    Здесь перечислены несколько методов предотвращения атак, направленных на нарушение целостности данных:
    • Используйте цифровые подписи, чтобы гарантировать, что данные не были изменены во время передачи или просто хранения.
    • Внедрите списки управления доступом (ACL), чтобы контролировать, каким пользователям разрешен доступ к вашим данным.
    • Регулярно создавайте резервные копии важных данных.
    • Включите в приложения специальный код, который может проверять ввод данных.
  • Подслушивание: Этот тип сетевой атаки происходит, когда злоумышленник отслеживает или прослушивает сетевой трафик в пути, а затем интерпретирует все незащищенные данные. В то время как пользователям необходимо специализированное оборудование и доступ к коммутационным устройствам телефонной компании для прослушивания телефонных разговоров, все, что им нужно для прослушивания в сети на основе Интернет-протокола (IP), - это технология сниффера для перехвата передаваемого трафика.В основном это связано с тем, что протокол управления передачей / Интернет-протокол (TCP / IP) является открытой архитектурой, которая передает незашифрованные данные по сети.
    Несколько методов предотвращения перехвата злоумышленниками в сети:
  • Внедрите безопасность протокола Интернета (IPSec) для защиты и шифрования IP-данных перед их отправкой по сети.
  • Реализуйте политики и процедуры безопасности, чтобы предотвратить подключение злоумышленниками сниффера к сети.
  • Установите антивирусное программное обеспечение для защиты корпоративной сети от троянов. Трояны обычно используются для обнаружения и сбора конфиденциальной ценной информации, такой как учетные данные пользователя.

  • Подмена IP-адреса / подмена IP-адреса / подмена идентичности: Подмена IP-адреса происходит, когда злоумышленник принимает исходный IP-адрес IP-пакетов, чтобы он выглядел так, как будто пакет исходит с действительного IP-адреса. Целью атаки с подделкой IP-адреса является идентификация компьютеров в сети.Большинство IP-сетей используют IP-адрес пользователя для проверки личности, а маршрутизаторы также обычно игнорируют исходные IP-адреса при маршрутизации пакетов. Маршрутизаторы используют IP-адреса назначения для пересылки пакетов в предполагаемую сеть назначения.
    Эти факторы могут позволить злоумышленнику обойти маршрутизатор и запустить ряд последующих атак, в том числе:
    • Инициирование атаки типа «отказ в обслуживании» (DoS).
    • Инициирование атак типа "человек посередине" (MITM) для перехвата сеансов.
    • Перенаправить трафик.

    Несколько методов предотвращения атак с подделкой IP-адресов:

    • Шифровать трафик между маршрутизаторами и внешними хостами
    • Определите входящие фильтры на маршрутизаторах и брандмауэрах, чтобы остановить входящий трафик, если адрес источника исходит от доверенного хоста во внутренней сети.
  • Атаки сниффером: Сниффинг - это процесс, который злоумышленники используют для захвата и анализа сетевого трафика. Содержимое пакетов в сети анализируется.Инструменты, которые злоумышленники используют для сниффинга, называются снифферами или, правильнее, анализаторами протоколов. Хотя анализаторы протоколов на самом деле являются инструментами устранения неполадок в сети, хакеры также используют их в злонамеренных целях. Снифферы отслеживают, захватывают и получают сетевую информацию, такую ​​как пароли и ценную информацию о клиентах. Когда у человека есть физический доступ к сети, он / она может легко подключить к сети анализатор протокола и затем захватывать трафик. Также можно выполнять удаленное сниффинг, и сетевые злоумышленники обычно их используют.
    Существуют анализаторы или снифферы протоколов для большинства сетевых технологий, включая:
    • Асинхронный режим передачи (ATM)
    • Ethernet
    • Fibre Channel
    • Последовательные соединения
    • Интерфейс малых компьютерных систем (SCSI)
    • Беспроводной

    Существует ряд распространенных снифферов, которые используют администраторы сетевой безопасности и злонамеренные хакеры:

    • Dsniff
    • эфирный
    • Etherpeek
    • Sniffer компании Network Associates
    • нгреп
    • Sniffit
    • Snort
    • Tcpdump
    • Windump

    Для защиты от снифферов внедрите безопасность протокола Интернета (IPSec) для шифрования сетевого трафика так, чтобы любая захваченная информация не могла быть интерпретирована.

  • Парольные атаки: Парольные атаки или взломщики паролей нацелены на угадывание пароля для системы до тех пор, пока не будет определен правильный пароль. Одна из основных слабых сторон безопасности, связанных с управлением доступом на основе пароля, заключается в том, что вся безопасность основана на используемом идентификаторе пользователя и пароле. Но кто тот человек, который использует учетные данные на клавиатуре? Некоторые из старых приложений не защищают информацию о пароле. Информация о пароле просто отправляется в виде простого или открытого текста - никакая форма шифрования не используется! Помните, что сетевые злоумышленники могут получить информацию об идентификаторе пользователя и пароле, а затем выдать себя за авторизованных пользователей и атаковать корпоративную сеть.Злоумышленники могут использовать атаки по словарю или атаки методом перебора, чтобы получить доступ к ресурсам с теми же правами, что и авторизованный пользователь. Большая угроза будет присутствовать, если у пользователя есть некоторый уровень административных прав в определенных частях сети. Еще большая угроза будет, если для всех систем будут использоваться одни и те же учетные данные с паролем. Тогда злоумышленник получит доступ к ряду систем.
    Атаки на основе пароля выполняются двумя способами:
    • Онлайн-взлом: Сетевой злоумышленник перехватывает сетевой трафик, чтобы захватить сеансы аутентификации в попытке перехватить информацию на основе пароля.Существуют инструменты, предназначенные для перехвата паролей из трафика.
    • Автономный взлом: Сетевой злоумышленник получает доступ к системе с намерением получить доступ к информации о пароле. Затем злоумышленник запускает некоторую технологию взлома паролей, чтобы расшифровать действительную информацию учетной записи пользователя.

    Атака по словарю происходит, когда все слова, обычно используемые для паролей, пытаются обнаружить совпадение паролей. Есть несколько технологий, которые могут генерировать ряд сложных словосочетаний и вариаций.
    Современные операционные системы хранят пароли только в зашифрованном виде. Чтобы получить учетные данные пароля, пользователи должны иметь учетные данные администратора для доступа к системе и информации. В наши дни операционные системы также поддерживают политики паролей. Политики паролей определяют способ управления паролями и определяют характеристики паролей, которые считаются приемлемыми.

    Параметры политики паролей могут использоваться для определения и применения ряда правил для паролей:

    • Определите, простые или сложные пароли
    • Определить, сохраняется ли история паролей
    • Определите минимальную длину паролей
    • Определите минимальный возраст пароля
    • Определите максимальный возраст пароля
    • Определите, будут ли пароли храниться с обратимым шифрованием или с необратимым шифрованием

    Политики блокировки учетных записей должны быть реализованы, если среда особенно уязвима для угроз, исходящих от угадываемых паролей.Внедрение политики блокировки учетной записи гарантирует, что учетная запись пользователя будет заблокирована после того, как человек несколько раз безуспешно пытался указать правильный пароль. Важный фактор, который следует помнить при определении политики блокировки учетной записи, заключается в том, что должна быть реализована политика, которая допускает некоторую степень ошибок пользователя, но также не позволяет хакерам использовать учетные записи пользователей.
    Следующие параметры пароля и блокировки учетной записи находятся в области «Политика блокировки учетной записи» Политики учетной записи:

    • Порог блокировки учетной записи: этот параметр определяет количество раз, после которого попытка неверного пароля приводит к тому, что учетная запись блокируется из системы.
    • Продолжительность блокировки учетной записи: этот параметр управляет продолжительностью, в течение которой заблокированная учетная запись остается заблокированной. Значение 0 означает, что администратор должен вручную разблокировать заблокированную учетную запись.
    • Сброс счетчика блокировки учетной записи после: этот параметр определяет время, которое должно пройти после неудачной попытки входа в систему до сброса счетчика блокировки учетной записи.
  • Атака грубой силой: Атака грубой силой просто пытается расшифровать шифр, пытаясь найти правильный ключ с помощью каждого возможного ключа.Этот тип сетевой атаки систематически использует все возможные комбинации буквенных, цифровых и специальных символов для поиска пароля, действительного для учетной записи пользователя. Атаки методом грубой силы также обычно используются для взлома сетей, использующих протокол простой передачи почты (SNMP). Здесь сетевой злоумышленник инициирует атаку методом перебора, чтобы найти имена сообщества SNMP, чтобы он / она мог выделить устройства и службы, работающие в сети.
    Здесь перечислены несколько методов предотвращения атак методом перебора:
    • Обеспечивает использование длинных строк паролей.
    • Для SNMP используйте длинные сложные строки для имен сообществ.
    • Внедрить систему обнаружения вторжений (IDS). Изучая шаблоны трафика, IDS способна обнаруживать, когда происходят атаки методом грубой силы.
  • Атака типа «отказ в обслуживании» (DoS): Атака типа «отказ в обслуживании» направлена ​​на предотвращение доступа авторизованных легитимных пользователей к услугам в сети. Атака DoS не направлена ​​на сбор или сбор данных. Он направлен на то, чтобы не позволить авторизованным, законным пользователям использовать компьютеры или сеть в обычном режиме.SYN-поток 1996 года был самой ранней формой DoS-атаки, в которой использовалась уязвимость протокола управления передачей (TCP). Атака DoS может быть инициирована отправкой недопустимых данных в приложения или сетевые службы до тех пор, пока сервер не зависнет или просто не выйдет из строя. Самая распространенная форма DoS-атаки - это TCP-атаки.
    DoS-атаки могут использовать любой из следующих методов для предотвращения использования авторизованными пользователями сетевых служб, компьютеров или приложений:
    • Заполняйте сеть недопустимыми данными до тех пор, пока трафик от авторизованных пользователей сети не будет обработан.
    • Заполнять сеть недопустимыми запросами сетевых служб до тех пор, пока хост, предоставляющий эту конкретную службу, не сможет обрабатывать запросы от авторизованных пользователей сети. Со временем сеть станет перегруженной.
    • Нарушить связь между хостами и клиентами одним из следующих способов:
      • Модификация конфигурации системы.
      • Физическое разрушение сети. Например, сбой маршрутизатора не позволит пользователям получить доступ к системе.

    Существует ряд инструментов, легко доступных и доступных в Интернете, которые могут инициировать DoS-атаки:

    • Бонк
    • ЗЕМЛЯ
    • Смурф
    • слеза
    • WinNuke

    Сетевой злоумышленник может увеличить масштабы DoS-атаки, инициировав атаку против одной сети с нескольких компьютеров или систем. Этот тип атаки известен как атака распределенного отказа в обслуживании (DDoS) . Сетевые администраторы могут столкнуться с большими трудностями при отражении DDoS-атак просто потому, что блокирование всех атакующих компьютеров также может привести к блокировке авторизованных пользователей.
    Для защиты сети от DoS-атак могут быть реализованы следующие меры:

    • Внедрение и обеспечение соблюдения политик надежных паролей
    • Регулярное резервное копирование данных конфигурации системы
    • Отключить или удалить все ненужные сетевые службы
    • Реализуйте дисковые квоты для учетных записей пользователей и служб.
    • Настройте фильтрацию на маршрутизаторах и исправьте операционные системы.

    Для защиты сети от DDoS-атак могут быть реализованы следующие меры:

    • Ограничьте количество пакетов ICMP и SYN на интерфейсах маршрутизатора.
    • Фильтрация частных IP-адресов с помощью списков управления доступом маршрутизатора.
    • Примените входящую и исходящую фильтрацию для всех граничных маршрутизаторов.
  • Атака «Человек посередине» (MITM): Атака «Человек посередине» (MITM) происходит, когда хакер подслушивает безопасный сеанс связи и отслеживает, перехватывает и контролирует данные, передаваемые между двумя сторонами, общающимися.

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *