Протокол snmp методи мережевих атак та захисту. Безпека SNMP. Захист від DDoS SNMP Amplification на обладнанні Cisco

ЗМІСТ
ВСТУП 3
1. ТЕОРЕТИЧНЕ ОБГРУНТУВАННЯ ПРОБЛЕМИ ДОСЛІДЖЕННЯ МЕТОДІВ АТАК НА ПРОТОКОЛ SNMP
1.1 НЕОБХІДНІСТЬ ВИВЧЕННЯ МЕТОДІВ АТАК НА ПРОТОКОЛ SNMP 5
1.2 ПРОТОКОЛ SNMP: ОПИС, ПРИЗНАЧЕННЯ 7
2. АНАЛІЗ АТАК НА ПРОТОКОЛ SNMP І СПОСІБ ПРОТИДІЇ
2.1 ТЕХНІКИ АТАК НА ПРОТОКОЛ SNMP І СПОСОБИ ЇХ ПОПЕРЕДЖЕННЯ 11
2.2 СПОСОБИ ПРОТИДІЇ АТАКАМ НА ПРОТОКОЛ SNMP 15
ВИСНОВОК 20
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ 21

Фрагмент для ознайомлення

Малюнок 3 -Екранна формаутиліти SoftPerfectNetworkScannerЗаплаткиВиробники багатьох мережних пристроїв розробляють так звані латки, використання яких необхідне при виявленні в системі вразливостей. Таким чином, виявивши в мережі пристрої, орієнтовані на SNMP, доцільно зв'язатися з виробниками цих пристроїв, щоб з'ясувати, чи розробили вони необхідні латки. Наведемо алгоритм відключення служби SNMP в операційній системі Windows: Вибір меню Пуск - Панель управління - Адміністрація - Служби (див. рис. 4). Вибір служби SNMP. Якщо служба запущена, натискаємо на кнопку "Зупинити", а потім вибираємо "Тип запуску" - "Відключена". Малюнок 4 - Відключення служби SNMP Варто зауважити, що деякі з потенційно вразливих продуктів залишаються сприйнятливими до DoS-атак або іншим порушуючим стабільність роботи мережі діям навіть при відключеному SNMP.Фільтрація на входіФільтрація на вході ґрунтується на налаштуванні міжмережевих екранів і маршрутизаторів так, щоб вони виконували вхідну фільтрацію портів UDP 161 і 162. Це дозволить запобігти атаки, що ініціюються із зовнішньої мережі, на вразливі пристрої в локальної мережі. Інші порти, що підтримують служби, пов'язані з SNMP, у тому числі порти TCP і UDP 161, 162, 199, 391, 750 і 1993, також можуть вимагати вхідної фільтрації. , що виходить з мережі. Фільтрація вихідного трафіку на портах UDP 161 і 162 на межі мережі може запобігти використання вашої системи як плацдарм для атаки. мережевої атаки) в комп'ютерну систему або мережу. Без IDS стає немислима інфраструктура мережевої безпеки. Доповнюючи міжмережеві екрани, які функціонують на основі правил безпеки, IDS здійснюють моніторинг та спостереження за підозрілою активністю. Вони дозволяють виявити порушників, які проникли за міжмережевий екран, і повідомити про це адміністратора, який ухвалить необхідне рішення для підтримки безпеки. Методи виявлення вторгнень не гарантують повну безпеку системи. В результаті використання IDS досягаються такі цілі: виявлення мережевої атаки або вторгнення; слабких місцьсистеми для запобігання їх використанню. У багатьох випадках зловмисник виконує стадію підготовки, наприклад, зондує (сканує) мережу або тестує її іншим способом, щоб виявити вразливості системи; здійснення документування відомих загроз; отримання цінної інформації про проникнення, що відбулися, щоб відновити і виправити фактори, що призвели до проникнення; виявлення розташування джерела атаки з точки зору зовнішньої мережі (зовнішні або внутрішні атаки), що дозволяє прийняти правильні рішення при розстановці вузлів мережі. У загальному випадку IDS містить: підсистему спостереження, що збирає інформацію про події, що мають відношення до безпеки мережі або системи, що захищається; підсистему аналізу, яка виявляє підозрілі дії та мережеві атаки; сховище, яке зберігає первинні події та результати аналізу; Підводячи підсумок, зазначимо, що простота популярного протоколу SNMP має своїм наслідком підвищену вразливість. Оскільки SNMP застосовується дуже широко, експлуатація мереж із вразливими продуктами може призвести до згубних наслідків. Тому для ефективного застосування протоколу SNMP слід застосовувати різні способизапобігання атакам і будувати комплексну систему захисту. ВИСНОВОК Дослідження присвячене питанням забезпечення безпеки організації мережевої взаємодії за допомогою протоколу SNMP. У процесі роботи було виявлено особливості названого протоколу та можливі проблемийого використання. Для обґрунтування проблеми наведено статистичні дані, що підтверджують високу ймовірність реалізації атак мережі. Крім того, теоретична частина містить відомості про структуру протоколу, схему запитів/відгуків та етапи отримання відповідей на запити. курсової роботипроведено аналіз можливих атак на протокол SNMP, серед яких можна виділити Dos-атаки, атаки типу «Переповнення буфера» та уразливості форматного рядка. Звичайно, потенційно можливих загроз набагато більше, але їх огляд передбачає більш глибоке і всебічне дослідження. досить вразливий і, якщо все-таки прийнято рішення про його використання, слід розробити політику безпеки і дотримуватися всіх її принципів. Таким чином, можна зробити висновок про досягнення мети та вирішення завдань, визначених у запровадженні. Російської Федераціївід 27 липня 2006 р. N 149-ФЗ Про інформацію, інформаційні технології та захист інформації Список спеціалізованої та наукової літературиБланк-Едельман Д. Perl для системного адміністрування, М.: символ-Плюс, 2009.- 478с.Бородакий В.Ю. Практика та перспективи створення захищеної інформаційно-обчислювальної хмари на основі МСС ОГВ / В.Ю. Бородакій, А.Ю. Добродєєв, П.А. Нащокін // Актуальні проблеми розвитку технологічних систем державної охорони, спеціального зв'язку та спеціального інформаційного забезпечення: VIII Всеросійська міжвідомча наукова конференція: матеріали та доповіді (Орел, 13–14 лютого 2013 р.). - О 10 год. Ч.4 / За заг.ред. В.В. Мізерова. - Орел: Академія ФСТ Росії, 2013. Гришина Н. В. Організація комплексної системи захисту інформації. - М.: Геліос АРВ, 2009. - 256 с, Дуглас Р. Мауро Основи SNMP, 2-е видання / Дуглас Р. Мауро, Кевін Дж. Шмідт - М.: Символ-Плюс, 2012.-725с. М.В. Комп'ютерні мережі. Практика побудови. Для фахівців, СПб.: Пітер, 2003.-462с.Мулюха В.А. Методи та засоби захисту комп'ютерної інформації. Міжмережеве екранування: Навчальний посібник / Мулюха В.А., Новопашенный А.Г., Подгурський Ю.Є. - СПб.: Видавництво СПбГПУ, 2010. - 91 c. Оліфер В. Г., Оліфер Н. П. Комп'ютерні мережі. Принципи, технології, протоколи. - 4-те. – СПб: Пітер, 2010. -902с. Технології комутації та маршрутизації у локальних комп'ютерних мережах: навчальний посібник/ Смирнова. Ст та ін; ред. А.В. Пролетарського. - М.: Вид-во МДТУ ім. н.е. Баумана, 2013. - 389с. Фленов М. Linux очима Хакера, СПб: BHV-Санкт-Петербург, 2005. - 544 с.Хорєєв П.В. Методи та засоби захисту інформації в комп'ютерні системи. - М.: видавничий центр "Академія", 2005. -205 с.Хорошко В. А., Чекатков А. А. Методи та засоби захисту інформації, К.: Юніор, 2003. - 504с. Інтернет-джерела IDS/IPS - Системи виявлення та запобігання вторгненням [Електронний ресурс] URL: http://netconfig.ru/server/ids-ips/.Аналіз Інтернет-загроз у 2014 році. DDoS-атаки. Зламування веб-сайтів. [Електронний ресурс]. URL: http://onsec.ru/resources/Internet%20threats%20in%202014.%20Overview%20by%20Qrator-Wallarm.pdfКолищак А. Вразливість форматного рядка [Електронний ресурс]. URL: https://securityvulns.ru/articles/fsbug.aspПерша миля, № 04, 2013 [Електронний ресурс]. URL: http://www.lastmile.su/journal/article/3823 Сімейство стандартів SNMP [Електронний ресурс]. URL: https://ua.wikibooks.org/wiki /Сімейство_стандартів_SNMPІноземналітература"CERT Advisory CA-2002-03: Multiple Vulnerabilities в Багато Implementations of the Simple Network Management Protocol (SNMP)", 12 Feb. 2002, (current 11 2002 March)

СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ
Нормативно-правові акти
1. Федеральний закон Російської Федерації від 27 липня 2006 р. N 149-ФЗ Про інформацію, інформаційні технології та про захист інформації
Список спеціалізованої та наукової літератури
2. Бланк-Едельман Д. Perl для системного адміністрування, М: символ-Плюс, 2009. - 478с.
3. Бородакій В.Ю. Практика та перспективи створення захищеної інформаційно-обчислювальної хмари на основі МСС ОГВ / В.Ю. Бородакій, А.Ю. Добродєєв, П.А. Нащокін // Актуальні проблеми розвитку технологічних систем державної охорони, спеціального зв'язку та спеціального інформаційного забезпечення: VIII Всеросійська міжвідомча наукова конференція: матеріали та доповіді (Орел, 13–14 лютого 2013 р.). - О 10 год. Ч.4 / За заг.ред. В.В. Мізерова. - Орел: Академія ФСТ Росії, 2013.
4. Гришина Н. В. Організація комплексної системи захисту інформації. - М.: Геліос АРВ, 2009. - 256 с,
5. Дуглас Р. Мауро Основи SNMP, 2-е видання / Дуглас Р. Мауро, Кевін Дж. Шмідт - М.: Символ-Плюс, 2012.-725с.
6. Кульгін М.В. Комп'ютерні мережі. Практика побудови. Для фахівців, СПб.: Пітер, 2003.-462с.
7. Мулюха В.А. Методи та засоби захисту комп'ютерної інформації. Міжмережеве екранування: Навчальний посібник / Мулюха В.А., Новопашенный А.Г., Подгурський Ю.Є. - СПб.: Видавництво СПбГПУ, 2010. - 91 с.
8. Оліфер В. Г., Оліфер Н. П. Комп'ютерні мережі. Принципи, технології, протоколи. - 4-те. – СПб: Пітер, 2010. -902с.
9. Технології комутації та маршрутизації в локальних комп'ютерних мережах: навчальний посібник / Смирнова. Ст та ін; ред. А.В. Пролетарського. - М.: Вид-во МДТУ ім. н.е. Баумана, 2013. - 389с.
10. Фленов М. Linux очима Хакера, СПб: BHV-Санкт-Петербург, 2005. - 544 с.
11. Хореєв П.В. Методи та засоби захисту інформації в комп'ютерних системах. - М.: видавничий центр "Академія", 2005. -205 с.
12. Хорошко В. А., Чекатков А. А. Методи та засоби захисту інформації, К.: Юніор, 2003. – 504с.
Інтернет-джерела
13. IDS/IPS - Системи виявлення та запобігання вторгненням [Електронний ресурс] URL: http://netconfig.ru/server/ids-ips/.
14. Аналіз Інтернет-загроз у 2014 році. DDoS-атаки. Зламування веб-сайтів. [Електронний ресурс]. URL: http://onsec.ru/resources/Internet%20threats%20in%202014.%20Overview%20by%20Qrator-Wallarm.pdf
15. Коліщак А. Вразливість форматного рядка [Електронний ресурс]. URL: https://securityvulns.ru/articles/fsbug.asp
16. Перша миля, №04, 2013 [Електронний ресурс]. URL: http://www.lastmile.su/journal/article/3823
17. Сімейство стандартів SNMP [Електронний ресурс]. URL: https://ua.wikibooks.org/wiki /Сімейство_стандартів_SNMP
Іноземналітература
18. "CERT Advisory CA-2002-03: Multiple Vulnerabilities в багатьох Implementations of Simple Network Management Protocol (SNMP)", 12 Feb. 2002, (current 11 2002 March)

Розміщено на http:// www. allbest. ru/

Розміщено на http:// www. allbest. ru/

огляд технік мережевих атак на мережевому рівні моделі OSI та методи протидії

ВСТУП

мережеві атаки троянського вірусу

Будь-яка інформація має три основні властивості:

· Конфіденційність.

· Цілісність.

· Доступність.

Пояснити кожен із цих властивостей.

Конфіденційна інформація - це відомості, які знаходяться у володінні, користуванні або розпорядженні окремих фізичних або юридичних осіб та поширюються за їх бажанням відповідно до його положень умов.

Цілісність інформації (цілісність даних) - термін в інформатиці та теорії телекомунікацій, який означає, що дані повні, умова того, що дані не були змінені при виконанні будь-якої операції над ними, передача, зберігання або подання.

Доступність інформації - стан інформації (ресурсів автоматизованої інформаційної системи), у якому суб'єкти, мають права доступу, можуть реалізовувати їх безперешкодно. Права доступу: право на читання, зміну, копіювання, знищення інформації та право на зміну, використання, знищення ресурсів.

Існують три основні способи захисту інформації, які розташовані в порядку їхньої важливості:

· Організаційні методи захисту інформації. Організаційний захист інформації є організаційним початком, так званим "ядром" у загальній системі захисту конфіденційної інформації підприємства. Від повноти та якості рішення керівництвом підприємства та посадовими особами організаційних завдань залежить ефективність функціонування системи захисту інформації загалом. Роль і місце організаційного захисту інформації у загальній системі заходів, спрямованих на захист конфіденційної інформації підприємства, визначаються винятковою важливістю для прийняття керівництвом своєчасних та вірних управлінських рішень з урахуванням наявних у його розпорядженні сил, засобів, методів та способів захисту інформації та на основі чинного нормативно- методичного апарату.

· Технічні методи захисту інформації. Ці методи припускають наявність у пристроїв і технічних засобівобробки інформації, засобів спеціальних технічних рішень, що забезпечують захист та контроль інформації. І, крім того, методи захисту інформації, тобто сукупність алгоритмів та програм, що забезпечують розмежування доступу та виключення несанкціонованого використання інформації.

Вступ

Ця стаття є логічним продовженням матеріалу " ", у якому було дано базисні принципи функціонування цього протоколу. Метою цієї роботи
є висвітлення необхідних заходів для забезпечення належного рівня захисту
SNMP. Хотілося б вибачитися у читача за те, що деякі
моменти з попереднього матеріалу повторюватимуться - це необхідно для
більше повного огляду даного питання. Інформація загального характеру тут
буде представлена ​​у мінімальному обсязі; для кращого сприйняття матеріалу
раджу прочитати першу статтю.

Загрози

Проблеми з протоколом SNMP почалися з першої версії, коли механізм
захисту не було як такого. Будь-який бажаючий міг дізнатися паролі просто
прослуховування мережі. Але через деякий час вийшла друга версія, в якій,
відповідно до вимог часу, були реалізовані більш серйозні
функції захисту. Зокрема, хешування за допомогою MD5, шифрування по
DES та ін (див. першу статтю). На сьогоднішній момент останньою є третя версія SNMP, розробники
якою основним завданням вбачають забезпечення безпеки. Однак, не всі
так гладко з безпекою навіть у третьої версії.
Існує 6 видів загроз для SNMP:

1. Розкриття інформації: відстеження обміну даними між агентами та
   керуючою станцією з метою збирання значень
2. Маскарадінг
3. Модифікації: надсилання повідомлень для фіктивних операцій
4. Модифікації в потоці повідомлень
5. Аналіз мережевого трафіку
6. Атаки відмови в обслуговуванні.

Розглянемо, як здається, найбільш захищену третю версію SNMP у світлі
протидіям цих типів атак.

Атака на SNMPv3

• Маскарадінг - помилка усунена, система
  перевіряє походження пакетів
• Модифікація – протокол перевіряє цілісність за допомогою MD5
• Загроза розкриття - кріптування за допомогою DES
• Аналіз трафіку - протокол, як і раніше
  ВРАЗИМО
• Відмова в обслуговуванні - УРАЗНА

Отже, як виявилося, навіть 3 версія вразлива для деяких типів атак. У
зокрема, набір утиліт ucd-snmp версій 5.0.1, 5.0.3, 5.0.4.pre2, який
включає SNMP демон, утиліти для опитування і встановлення значень
MIB, а також інші корисні особливості вразливі для атаки відмови в
обслуговування. Вразливість було знайдено Andrew Griffiths та анонсовано
компанією iDEFENSE 2 жовтня 2002 року.
Вирішенням проблем такого плану може бути лише регулярне оновлення
програмного забезпечення.

Однією з найпоширеніших проблем навіть досі є паролі
(community strings) за замовчуванням. Вкотре хочеться відзначити, що
установки за замовчуванням НЕОБХІДНО змінювати. Рішенням послужить ретельне вивчення сторінок man за такими файлами:
snmp.conf, snmp_config, snmpcmd, в яких міститься інформація по
конфігурації SNMP та роботи файлів. Навіть при простою зміноюзначення по
замовчуванням "public" на складніший пароль, зловмисник вже не зможе
отримати інформацію про Вашу систему за допомогою тривіальної утиліти
snmpwalk. Безліч мережевих пристроїв (switches, WAN/LAN роутери, модеми, а також
деякі Операційні системи) за замовчуванням налаштовані з
активованим SNMP і навіть із rw доступом(!). Наслідки такої недбалості
передбачити нескладно. Ось невеликий список, для прикладу, пристроїв з
паролями за замовчуванням:

3com Switch 3300 (3Com SuperStack II) - private
- Cray MatchBox router (MR-1110 MatchBox Router/FR 2.01) - private
- 3com RAS (HiPer Access Router Card) - public
- Prestige 128/128 Plus - public
- COLTSOHO 2.00.21 - private
- PRT BRI ISDN router - public
- CrossCom XL 2 - private
- WaiLAN Agate 700/800
- HPJ3245A HP Switch 800T - public
- ES-2810 FORE ES-2810, Version 2.20 - public
- Windows NT Version 4.0
- Windows 98 (не 95) - public
- Sun/SPARC Ultra 10 (Ultra-5_10) - private

До речі, 16 жовтня у списку розсилки bugtraq було опубліковано нову
інформація про несанкціонований доступ до AVAYA Cajun. SNMP-community
[email protected]! дозволяє повний доступ. Також були наведені недокументовані
облікові записи diag/danger та manuf/xxyyzz. Вирішенням таких проблем стане обмеження rw доступу, заборона доступу
до пристроїв з активованим SNMP ззовні. Необхідно заборонити доступ до
SNMP порти для всіх сторонніх комп'ютерів. Здійснити це досить просто,
Достатньо використовувати набір правил ipchains/iptables. Дати пораду з налаштування
ipchains досить складно, т.к. необхідно знати топологію локальної мережі, а
для домашніх робочих станцій SNMP не потрібний.

Для будь-якого системного адміністратора, який має справу з даними
протоколом, необхідні програми, які б спрощували роботу з SNMP. У
зв'язку з цим можна згадати MRTG та SNMP::Monitor. На думку автора пакета
SNMP::Monitor, його програма має переваги в порівнянні з MRTG (які
саме, Ви можете прочитати у readme). Завантажити SNMP::Monitor можна з
архівів packetstormsecurity.org. Ось лише деякі з її функцій:

Запуск постійного процесу, який стежитиме за мережевими
інтерфейсами та вести логи до бази даних
- надання графічного інтерфейсучерез WWW
- показ статистики
- включає систему контролю доступу до даних
та ін.

Безперечно необхідно логування відмов у наданні SNMP сервісу
неавторизованим хостам та подальший аналіз журналів. Якщо ви хочете
перевірити вразливість Вашої мережі, то непоганою програмою буде snmpsniff,
перехоплювач трафіку. Завантажити її можна з www.packetstormsecurity.org/sniffers/snmpsniff-1.0.tar.gz.
Для перевірки надійності паролів можна використовувати snmpbrute.c
є досить швидким переборником паролів.

Отже, у цій роботі я спробував наскільки це можливо висвітлити питання
безпечної роботи SNMP. Якщо щось пропустив, то буду вдячний за
підказку. Дякуємо за коментарі, які наштовхнули написати
продовження.

ВИСНОВОК
Дослідження присвячене питанням безпеки організації мережевої взаємодії за допомогою протоколу SNMP. У процесі роботи було виявлено особливості названого протоколу та можливі проблеми його використання. Для обґрунтування проблеми наведено статистичні дані, що підтверджують високу ймовірність реалізації атак мережі. Крім того, теоретична частина містить відомості про структуру протоколу, схему запитів/відгуків та етапи отримання відповідей на запити.
У рамках курсової роботи проведено аналіз можливих атак на протокол SNMP, серед яких можна виділити Dos-атаки, атаки типу «Переповнення буфера» та уразливості форматного рядка. Звичайно, потенційно можливих загроз набагато більше, але їх огляд передбачає більш глибоке і всебічне дослідження. ня.
Для побудови системи захисту мережевої взаємодії абонентів мережі були розглянуті способи запобігання атакам на протокол SNMP і зазначено, що ефективним буде застосування комплексу коштів.
На основі аналізу виявлено, що протокол SNMP досить вразливий і, якщо все-таки прийнято рішення про його використання, слід розробити безпекову політику і дотримуватися всіх її принципів.
Таким чином, можна зробити висновок про досягнення мети та вирішення завдань, визначених у вступі

ВСТУП
Сучасний стрімкий розвиток інформаційних технологій висуває нові вимоги до зберігання, обробки та розповсюдження даних. Від традиційних носіїв інформації та від виділених серверів компанії та приватні особи поступово переходять до дистанційних технологій, реалізованих через глобальну мережу Інтернет. Сервіси в Інтернет здатні стати незамінними інструментами функціонування сучасної, динамічно розвивається, до яких можна віднести електронну пошту; обмін файлами, голосовими повідомленнями даних з використанням відео-додатків; розробка власних Web-ресурсів.
На думку багатьох фахівців, широке застосування технологій Інтернет вимагає побудови системи ефективного управління мережевими пристроями, одним з інструментів якої може стати протоколом SNMP. Проте, організація управління та моніторингу мережевих пристроїв через цей протокол робить уразливими для атак елементи мережі. Таким чином, питання технології запобігання мережевим атакам у світлі розвитку сервісів Інтернет виходять на перший план і вимагають всебічного аналізу. Саме тому тема дослідження є актуальною.
Питанням побудови системи захисту від атак на протокол SNMP присвячені питання багатьох авторів, але єдиної думки щодо доцільності використання SNMP через складність забезпечення безпеки немає. Так, Фленов М. у своїй книзі "Linux очима Хакера" виділив недоліки даного протоколу і не рекомендує його застосування. Смирнова. В. У навчальному посібнику «Технології комутації та маршрутизації в локальних комп'ютерних мережах» викладає відомості щодо багатоадресних схем передачі даних та ефективного управління мережевим обладнанням за допомогою протоколу SNMP, а також окремо виділяє питання безпеки його застосування. Подальший огляд спеціальної літератури та Інтернет джерел підтвердив необхідність дослідження питань безпечного застосування протоколу SNMP для ухвалення рішення про доцільність його використання. цього рішеннястане аналіз можливих атак та ефективності методів їх запобігання.
Мета дослідження – провести всебічний аналіз можливих атак на протокол SNMP та способів протидії.
Для досягнення мети необхідне вирішення низки завдань:
1. Провести огляд літератури та Інтернет-джерел з питань організації безпечної мережевої взаємодії на основі застосування протоколу SNMP.
2. Обґрунтувати необхідність вивчення методів атак на протокол SNMP та способів їх запобігання.
3. Виділити особливості управління з урахуванням протоколу SNMP.
4. Провести аналіз техніки на протокол SNMP.
5. Описати методи запобігання атакам на протокол SNMP.
Об'єкт дослідження – протокол SNMP.
Предмет дослідження – методи мережевих атак на протокол SNMP та способи їх запобігання.
Методи дослідження: аналіз, синтез, вивчення джерел інформації.
Курсова робота складається з вступу, двох розділів та висновків. Перший розділ присвячений теоретичному обґрунтуванню проблеми. Другий розділ містить аналіз можливих атак і способів їх запобігання

ЗМІСТ
ВСТУП 3
1. ТЕОРЕТИЧНЕ ОБГРУНТУВАННЯ ПРОБЛЕМИ ДОСЛІДЖЕННЯ МЕТОДІВ АТАК НА ПРОТОКОЛ SNMP
1.1 НЕОБХІДНІСТЬ ВИВЧЕННЯ МЕТОДІВ АТАК НА ПРОТОКОЛ SNMP 5
1.2 ПРОТОКОЛ SNMP: ОПИС, ПРИЗНАЧЕННЯ 7
2. АНАЛІЗ АТАК НА ПРОТОКОЛ SNMP І СПОСІБ ПРОТИДІЇ
2.1 ТЕХНІКИ АТАК НА ПРОТОКОЛ SNMP І СПОСОБИ ЇХ ПОПЕРЕДЖЕННЯ 11
2.2 СПОСОБИ ПРОТИДІЇ АТАКАМ НА ПРОТОКОЛ SNMP 15
ВИСНОВОК 20
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ 21

СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ
Нормативно-правові акти
1. Федеральний закон Російської Федерації від 27 липня 2006 р. N 149-ФЗ Про інформацію, інформаційні технології та про захист інформації
Список спеціалізованої та наукової літератури
2. Бланк-Едельман Д. Perl для системного адміністрування, М: символ-Плюс, 2009. - 478с.
3. Бородакій В.Ю. Практика та перспективи створення захищеної інформаційно-обчислювальної хмари на основі МСС ОГВ / В.Ю. Бородакій, А.Ю. Добродєєв, П.А. Нащокін // Актуальні проблеми розвитку технологічних систем державної охорони, спеціального зв'язку та спеціального інформаційного забезпечення: VIII Всеросійська міжвідомча наукова конференція: матеріали та доповіді (Орел, 13-14 лютого 2013 р.). - о 10 год. Ч.4 / За заг.ред. В.В. Мізерова. - Орел: Акаде мія ФСТ Росії, 2013.
4. Гришина Н. В. Організація комплексної системи захисту інформації. - М.: Геліос АРВ, 2009. - 256 с,
5. Дуглас Р. Мауро Основи SNMP, 2-е видання / Дуглас Р. Мауро, Кевін Дж. Шмідт - М.: Символ-Плюс, 2012.-725с.
6. Кульгін М.В. Комп'ютерні мережі. Практика побудови. Для фахівців, СПб.: Пітер, 2003.-462с.
7. Мулюха В.А. Методи та засоби захисту комп'ютерної інформації. Міжмережеве екранування: Навчальний посібник / Мулюха В.А., Новопашенный А.Г., Подгурський Ю.Є. - СПб.: Видавництво СПбГПУ, 2010. - 91 с.
8. Оліфер В. Г., Оліфер Н. П. Комп'ютерні мережі. Принципи, технології, протоколи. - 4-те. – СПб: Пітер, 2010. -902с.
9. Технології комутації та маршрутизації в локальних комп'ютерних мережах: навчальний посібник / Смирнова. Ст та ін; ред. А.В. Пролетарського. - М.: Вид-во МДТУ ім. н.е. Баумана, 2013. – 389с.
10. Фленов М. Linux очима Хакера, СПб: BHV-Санкт-Петербург, 2005. – 544 с.
11. Хореєв П.В. Методи та засоби захисту інформації в комп'ютерних системах. – М.: видавничий центр “Академія”, 2005. –205 с.
12. Хорошко В. А., Чекатков А. А. Методи та засоби захисту інформації, К.: Юніор, 2003. – 504с.
Інтернет-джерела
13. IDS/IPS - Системи виявлення та запобігання вторгненням [Електронний ресурс] URL: http://netconfig.ru/server/ids-ips/.
14. Аналіз Інтернет-загроз у 2014 році. DDoS-атаки. Зламування веб-сайтів. [Електронний ресурс]. URL: http://onsec.ru/resources/Internet%20threats%20in%202014.%20Overview%20by%20Qrator-Wallarm.pdf
15. Коліщак А. Вразливість форматного рядка [Електронний ресурс]. URL: https://securityvulns.ru/articles/fsbug.asp
16. Перша миля, №04, 2013 [Електронний ресурс]. URL: http://www.lastmile.su/journal/article/3823
17. Сімейство стандартів SNMP [Електронний ресурс]. URL: https://ua.wikibooks.org/wiki /Сімейство_стандартів_SNMP
Іноземналітература
18. "CERT Advisory CA-2002-03: Multiple Vulnerabilities в багатьох Implementations of Simple Network Management Protocol (SNMP)", 12 Feb. 2002, (current 11 2002 March

За погодженням з редакцією журналу публікую свою статтю "Захист від DDoS підручними засобами. Частина 3. SNMP Amplification" із номера 164-165 (липень-серпень 2016) випуску журналу "Системний адміністратор" .

Щоб зробити свій внесок у захист всесвітнього кіберпростору від DDoS , зовсім не обов'язково купувати дороге обладнання чи сервіс. Будь-який адміністратор сервера, доступного з Інтернету, може взяти участь у такій благородній справі без додаткових матеріальних вкладень, використовуючи лише знання та небагато часу.

Розглянемо DDoS-атаки типу "посилення"(amplification) з використанням сервісу SNMP.

SNMP amplification

Суть атаки полягає в тому, щоб ініціювати багаторазово збільшену відповідь на SNMP- запит. Спочатку розроблені для автоматизації отримання табличних даних при мінімізації кількості пакетів, що відправляються. BULK- запити стали досить ефективним інструментомпроведення DDoS- атак у руках зловмисників. Як говорить RFC3416, GetBulkRequest, реалізований у SNMP версії 2, призначений для можливості запросити великий обсяг даних, чим і користуються атакуючі, використовуючи неправильно настроєні сервери в Інтернеті.

Якщо встановити максимальну кількість рядків, що повертаються в таблиці 20000 і виконати запит на адресу неправильно налаштованого сервера/пристрою:

:~$ snmpbulkget -c public -v 2c -C r20000 192.168.10.129 1.3.6.1

відповідь видасть приблизно таке:

iso.3.6.1.2.1.1.1.0 = STRING: "SNMP4J-Agent - Windows 2003 - x86 - 5.2"

< пропущено 290 рядків>

iso.3.6.1.6.3.18.1.1.1.8.123.123.12.123.123.12.12.123.123.12.123.123.12 = Не більше variables left in this MIB View (It is past the end of the MIB)

При цьому запущений tcpdump покаже розмір повернутий пакет:

21:41:18.185058 IP 192.168.10.128.39565 > 192.168.10.129.snmp: GetBulk(25) N=0 M=20000 .iso.org.dod.internet

21:41:18.603553 IP 192.168.10.129.snmp > 192.168.10.128.39565:

У відповідь на запит розміром близько 70 байт з урахуванням заголовків сервер повертає відповідь розміром близько 10 кілобайт, тобто майже в 150 разів більше. Коефіцієнт посилення не фіксований і може приймати як більше (досягаючи 1700 разів), так і менше значення, залежно від типу ОС та параметрів конфігурації пристрою. Якщо під час формування такого запиту використовувати підміну IP- адреси відправника на адресу жертви та високу інтенсивність звернень до вразливого сервера DDoS-атака готова.

Причина

Суть проблеми полягає, як правило, не в уразливості, не в налаштуванні кількості значень, що віддаються на один GetBulkRequest, а в тому, що значення SNMP community встановлено за замовчуванням: public – read-only або, що ще гірше, private - read-write. Протокол SNMP версій 1 і 2 заснований на UDP, використовується для моніторингу та управління,а як аутентифікаційний параметр доступу до керованого обладнання використовує значення community, яке може бути поставлене тільки для читання ( read-only ) або з можливістю запису ( read-write ). Найчастіше в системах під час активації сервісу SNMP встановлюється значення за замовчуваннямpublicдля read-only та privateдля read-write. Навіть якщо абстрагуватися від можливості використання некоректно налаштованого сервера як рефлектор для посилення атак SNMP, то очевидна загроза отримання інформації про сервер, встановлений на ньому ПЗ та його версії, при використанні значенняpublic за замовчуванням для read-only. Практично безмежний привілейований доступ із правами адміністратора до пристрою дає read-write community private . Навіть якщо не буде здійснюватись шкідливих змін, інтенсивні запити з використанням протоколу SNMP можуть викликати значне навантаження на обчислювальні ресурси сервера, що опитується, чим вплинути на якість наданих їм сервісів.

Захист

Специфічні для SNMP рекомендації щодо безпеки сервера чи мережного устаткування можна поділити на такі направления:

1. Архітектурне: дозволяє обробляти запити лише на інтерфейсах, недоступних з недовірених мереж.

2. Зміна community більш важковідгадуване.

3. Обмеження IP- адрес керуючих станцій.

4. Обмеження гілки OID, доступною для отримання/зміни за SNMP.

5 . Мінімізація чи відмова від використання community на читання та запис.

6 . Перехід на SNMP версії 3 із використанням додаткових параметрівавтентифікації та шифрування.

7. Вимкнення SNMP, якщо не використовується.

Як виконати ці дії різних операційних системах?

У конфігураційному файлі сервісу snmp налаштовуються такі параметри:

agentAddress udp:10.0.0.1:161# IP-адресу, протокол та порт, що приймає запитиSNMP

Якщо Unix- сервер по суті є маршрутизатором і архітектурно має кілька інтерфейсів, для безпеки необхідно залишити SNMP лише інтерфейс, доставлений з довіреного сегмента, але з Інтернет. Ім'я community для доступу задається параметром rocommunity (read-only ) або rwcommunity (read-write), також можна задати підсітку, доступ з якої дозволено, і гілку OID, доступну для роботи зазначеної підмережі із заданими правами рядка community. Наприклад, для того, щоб дозволити системам моніторингу з підмережі 10.0.0.0/24 доступ до інформації про інтерфейси ( OID 1.3.6.1.2.1.2 ), використовуючи рядок доступу MaKe_It_SeCuRe з правами тільки для читання, конфігураційний фрагмент виглядатиме так:

rocommunity MaKe_It_SeCuRe10.0.0.0/24 .1.3.6.1.2.1.2

В окремих випадках використання різноманітних Unix- систем вищевказаний рядок може мати кілька видозмінений синтаксис за рахунок використання інших параметрів та ієрархічної структури компонентів конфігураційного файлу. Детальний опис можна знайти, набравши команду

man snmpd.conf

Але якщо завдання полягає в тому, щоб максимально швидко забезпечити безпеку сервісу snmpd, який до цього був налаштований неправильно попередником, можна створити резервну копію snmpd.conf, новий конфігураційний файл внести обмеження по підмережі систем моніторингу і змінити community. У Debian це буде виглядати так:

# cd< директорія зsnmpd.conf>

# mv snmpd.conf snmpd.conf.backup

# echo rocommunity MaKe_It_SeCuRe10.0.0.0/24 > snmpd.conf

# /etc/init.d/snmpd restart

Після цього доступ по SNMP до сервера буде лише у підмережі 10.0.0.0/24 з використанням нового community, при цьому всі сервери, на яких не змінено community на нове, перестануть отримувати відповіді запити, як і зловмисники.

Безпечнішим буде перехід на використання SNMPv3, в якому є можливість варіювання параметрів аутентифікації. Крім того, на відміну від версій 1 та 2c, SNMPv3 дозволяє забезпечити шифрування трафіку між системою моніторингу та опитуваним обладнанням. Для створення користувача з правами лише на читання, автентифікацією та шифруванням трафіку, у конфігураційний файл snmpd.conf необхідно додати:

createUser v3user SHA "some_AuThPaSs" AES some_privpass

authuser read v3user authpriv 1.3.6.1.2.1. 2

Відповідно, користувач v3user отримає права read-only для перегляду гілки 1.3.6.1.2.1.2 за SNMP.

Перевірити коректність конфігурації можна після рестарту сервісу SNMP на сервері 192.168.10.128 командою, виконаною на клієнті:

$ snmpwalk -v 3 -A some_AuThPaSs -X some_privpass -a SHA -x AES -u v3user -l authPriv 192.168.10.128 1

При цьому, незважаючи на те, що опитуватиметься все дерево, починаючи з 1, сервер віддасть лише дозволену гілку 1.3.6.1.2.1. 2 , яка буде задана у конфігурації.

У разі відмови від SNMP v1/v2c на користь SNMPv3 необхідно також видалити з конфігураційного файлу фрагменти налаштування, які не стосуються SNMPv3.

Якщо ж SNMP для моніторингу серверане використовується, найбільш вірним рішенням буде видалення пакету snmpd.

У Cisco IOS відсутня можливість вибору інтерфейсу, який оброблятиме запити SNMP. Обмеження виконується за допомогою списків доступу ( access-control list, ACL). Припустимо, що дозволеною буде підсіти 10.0.0.0/24. Створюється ACL:

(config)#access-list 10 permit 10.0.0.0 0.0.0.255

який потім застосовується до відповідного community для SNMP v1/v2c, в даному прикладі MaKe_It_SeCuRe з правом доступу лише на читання:

(config)#snmp-server community MaKe_It_SeCuRe RO 10

Обмеження до гілок SNMP OID застосовується за допомогою view

(config)# snmp-server view IFACES 1.3.6.1.2.1. 2 included

після чого до створеного view прикріплюється community:

(config)#snmp-server community MaKe_It_SeCuReview IFACES RO 10

Для того, щоб використовувати SNMPv3 з необхідними обмеженнями(автентифікація та шифрування, тільки читання, доступ з підмережі 10.0.0.0/24 до гілки інтерфейсів, позначеної в view IFACES) , необхідно створити групу(SECURE) з доступом на читання тільки до OID із view IFACES та необхідністю аутентифікації з шифруванням, прив'язавши її до створеного раніше access-list 10 :

(config)#snmp-server group SECURE v3 priv readIFACESaccess 10

потім додати до групи обліковий запискористувача(v3user) , задавши йому паролі на автентифікацію та шифрування, а також алгоритм шифрування(у даному випадку AES128):

(config)#snmp-server userv3userSECURE v3 auth sha Strong_Password priv aes 128 Priv_Password

Отже, захистити свої сервери та мережу від несанкціонованого доступу з використанням протоколу SNMP, зменшити кількість DDoS-атак типу SNMP amplification та мінімізувати участь у них свого інфраструктурного сегменту можна за допомогою наступних дій, що не потребують додаткових фінансових вкладень:

Управління обладнанням лише з довіреного сегмента мережі. Обмеження у вигляді прив'язки сервісу до певного інтерфейсу чи з допомогою списків доступу.

Зміна значень SNMP community за умовчанням (public та private) на важковідгадувані.

Обмеження гілки OID, доступною для отримання/зміни за SNMP.

Використання тільки SNMPv 3 із застосуванням додаткових параметрів аутентифікації та шифрування.

Вимкнення сервісу SNMP з видаленням кофігурації — у разі ухвалення рішення про повну відмову від SNMP.

І якщо так зробить кожен адміністратор серверів, доступних з Інтернету, цифровий світ наблизиться ще на один крок до досконалості.

Щоб зробити свій внесок у захист від DDoS атактипу , зовсім не обов'язково купувати дороге обладнання чи сервіс. Будь-який адміністратор сервера, доступного з інтернету, може взяти участь у такій благородній справі без додаткових матеріальних вкладень, використовуючи лише знання та небагато часу.

Так виглядає трафік при SNMP Amplification DDoS атаці.

DDOS атака SNMP Аmplification

Суть атаки полягає в тому, щоб ініціювати багаторазово збільшену відповідь на запит SNMP. Спочатку розроблені для автоматизації отримання табличних даних при мінімізації кількості пакетів, що відправляються, BULK-запити стали досить ефективним інструментом проведення DDoS-атак в руках зловмисників. Як говорить RFC3416, GetBulkRequest, реалізований у SNMP версії 2, призначений для можливості запросити великий обсяг даних, чим і користуються атакуючі, задіявши неправильно налаштовані сервери в Інтернеті.

Якщо встановити максимальну кількість рядків, що повертаються в таблиці 20000 і виконати запит на адресу неправильно налаштованого сервера/пристрою:

$ snmpbulkget -c public -v 2c -C r20000 192.168.10.129 ↵ 1.3.6.1

відповідь видасть приблизно таке:

iso.3.6.1.2.1.1.1.0 = STRING: "SNMP4J-Agent Windows 2003 x86 5.2"<пропущено 290 строк>iso.3.6.1.6.3.18.1.1.1.8.123.123.12.123.123.12.12.123.123.12 .123.123.12 = Не більше variables left in this MIB View (It is past the end of

При цьому запущений tcpdump покаже розмір повернутий пакет:

21:41:18.185058 IP 192.168.10.128.39565 > 192.168.10.129. snmp: GetBulk(25) N=0 M=20000.iso.org.dod.internet 21:41:18.603553 IP 192.168.10.129.snmp >

У відповідь на запит розміром близько 70 байт з урахуванням заголовків сервер повертає відповідь розміром близько 10 кілобайт, тобто майже в 150 разів більше. Коефіцієнт посилення не фіксований і може приймати як більше (досягаючи 1700 разів), так і менше значення, залежно від типу ОС та параметрів конфігурації пристрою. Якщо під час формування такого запиту використовувати підміну IP-адреси відправника на адресу жертви та високу інтенсивність звернень до вразливого сервера, DDoS-атака готова.

Причина виникнення DDoS атак

Суть уразливості полягає, як правило, не в налаштуванні кількості значень, що віддаються на один GetBulkRequest,а в тому, що значення SNMP communityвстановлено за замовчуванням: public – read-onlyабо, що ще гірше, private - readwrite.

Протокол SNMP версій 1 і 2 заснований на UDP, використовується для моніторингу та управління, а як аутентифікаційний параметр доступу до керованого обладнання використовує значення community, яке може бути задано тільки для читання ( read-only) або з можливістю запису (r ead-write). Найчастіше в системах під час активації сервісу SNMP встановлюється значення за промовчанням – public для read-only і private для read-write.

Навіть якщо абстрагуватися від можливості використання некоректно налаштованого сервера як рефлектор для посилення атак SNMP, то очевидна загроза отримання інформації про сервер, встановлений на ньому ПЗ та його версії при використанні значення public за замовчуванням read-only.

Практично безмежний привілейований доступ із правами адміністратора до пристрою дає read-write community private.Навіть якщо не будуть проводитися шкідливі зміни, інтенсивні запити з використанням протоколу SNMP можуть викликати значне навантаження на обчислювальні ресурси сервера, що опитується, чим вплинути на якість сервісів, що їм надаються.

Захист від DDoS атак типу SNMP Amplification

Загальні рекомендації для вразливих до атак з використанням заміни адреси протоколів на базі UDP надані в BCP38 та RFC2827та описані в попередніх.

• Архітектурне: дозволяє обробляти запити лише на інтерфейсах, недоступних з не довірених мереж.
• Зміна community на більш важко-вгадується.
• Обмеження IP-адрес керуючих станцій.
• Обмеження гілки OID, доступної для отримання/зміни SNMP.
• Мінімізація чи відмова від використання communityна читання та запис.
• Перехід на SNMP версії 3 за допомогою додаткових параметрів аутентифікації та шифрування.
• Вимкнення SNMP, якщо не використовується.

Як виконати ці дії на різних системах?

Захист від DDoS SNMP Amplification у Unix

У конфігураційному файлі сервісу SNMP налаштовуються наступні параметри:

# IP-адреса, протокол і порт, який приймає запити SNMP agentAddress udp:10.0.0.1:161

Якщо Unix-сервер, по суті, є маршрутизатором і має кілька інтерфейсів, для безпеки необхідно залишити доступним по SNMP тільки інтерфейс, доступний з довіреного сегмента, але не з інтернету. Ім'я communityдля доступу задається параметром rocommunity ( read-only) або rwcommunity ( read-write), також можна задати підмережу, доступ з якої дозволено, та гілку OID, доступну для роботи зазначеної підмережі із заданими правами рядка community.

Наприклад, щоб дозволити системам моніторингу з підмережі 10.0.0.0/24 доступ до інформації по інтерфейсам ( OID 1.3.6.1.2.1.2), використовуючи рядок доступу MaKe_ It_SeCuReз правами тільки для читання, конфігураційний фрагмент виглядатиме так:

rocommunity MaKe_It_SeCuRe 10.0.0.0/24 .1.3.6.1.2.1.2

Але якщо завдання полягає в тому, щоб максимально швидко забезпечити безпеку сервісу snmpd, який до цього був налаштований неправильно попередником, можна створити резервну копію snmpd.conf, новий конфігураційний файл внести обмеження по підмережі систем моніторингу і змінити community. У Debian це буде виглядати так:

# cd<директория с snmpd.conf># mv snmpd.conf snmpd.conf.backup # echo rocommunity MaKe_It_SeCuRe 10.0.0.0/24 > snmpd.conf # /etc/init.d/snmpd restart

Після цього доступ по SNMP до сервера буде лише у підмережі. 10.0.0.0/24 з використанням нової community, при цьому всі сервери, на яких не змінено community на нове, перестануть отримувати відповіді на запити, як і зловмисники.

Більш безпечним буде перехід на використання SNMPv3, де існує можливість варіювання параметрів аутентифікації. Крім того, на відміну від версій 1 та 2c SNMPv3дозволяє забезпечити шифрування трафіку між системою моніторингу та опитуваним обладнанням.

Для створення користувача з правами лише на читання, автентифікацією та шифруванням трафіку у конфігураційний файл snmpd.confнеобхідно додати:

createUser v3user SHA "some_AuThPaSs" AES some_privpass authuser read v3user authpriv 1.3.6.1.2.1.2

Відповідно, користувач v3userотримає права read-onlyдля перегляду гілки 1.3.6.1.2.1.2 за SNMP.

Перевірити коректність конфігурації можна після рестарту сервісу SNMP на сервері 192.168.10.128 командою, виконаною клієнтом:

$ snmpwalk -v 3 -A some_AuThPaSs -X some_privpass -a SHA ↵ -x AES -u v3user -l authPriv 192.168.10.128 1

При цьому, незважаючи на те, що опитуватиметься все дерево починаючи з 1, сервер віддасть тільки дозволену гілку 1 .3.6.1.2.1.2, яка буде задана у конфігурації.

При відмові від SNMP v1/v2cна користь SNMPv3необхідно також видалити з конфігураційного файлу фрагменти налаштування, які не стосуються SNMPv3.

Якщо ж SNMP для моніторингу сервера не використовується, найбільш вірним рішенням буде видалення пакета snmpd.

Захист від DDoS SNMP Amplification на обладнанні Cisco

У Cisco IOS немає можливості вибору інтерфейсу, який оброблятиме запити SNMP. Обмеження виконується за допомогою списків доступу ( access-control list, ACL). Припустимо, дозволеною буде підсіти 10.0.0.0/24 . Створюється ACL:

(config)#access-list 10 permit 10.0.0.0 0.0.0.255

Обмеження до гілок SNMP OID застосовується за допомогою view:

(config)#snmp-server view IFACES 1.3.6.1.2.1.2 included

Для того, щоб використовувати SNMPv3з необхідними обмеженнями (аутентифікація та шифрування, тільки читання, доступ з підмережі 10.0.0.0/24 до гілки інтерфейсів, позначеної у view IFACES), потрібно створити групу ( SECURE) з доступом на читання тільки до OIDз view IFACESта необхідністю аутентифікації з шифруванням, прив'язавши її до створеного раніше access-list 10:

(config)#snmp-server group SECURE v3 priv read IFACES ↵ access 10

Перевірка працездатності SNMPv3 з наведеними вище налаштуваннями проводиться командою.