...
...
...

SNMP и безопасность

Простой протокол управления сетью SNMP был разработан для эффективного управления локальной сетью, при этом оборудование в сети может быть от разных производителей. Способ работы протокола полностью отражается в части названия - простой. Это было обязательным условием при разработке, так как в 90-х годах коммутаторы и маршрутизаторы были очень слабыми, и встраивать в них поддержку сложного протокола было просто невозможно.

На данный момент разработано 3-и версии SNMP-протокола, но в большинстве случаев используется первая. Раньше SNMP в основном встраивался в коммутирующие и маршрутизирующие устройства, а в последствии сфера действия протокола охватила и другие сетевые элементы, такие как хабы, шлюзы, принтеры, терминальные серверы, пользовательские компьютеры и даже конверторы. Сейчас, при помощи SNMP администратор может легко следить за состоянием сети, работой маршрутизаторов и принтеров, изменять их настройки, а также знать доступные ресурсы на машинах пользователя. Все это позволяет ему эффективно управлять своей локальной сетью.

Протокол SNMP работает по архитектуре клиент-сервер, только в данном случае их принято называть агент и менеджер. Устройство содержит MIB (Management Information Base) - базу, в которой содержится вся необходимая для управления устройством информация об объектах (IP-адрес, текущее значение MTU, таблица маршрутизации и т.д.). Обслуживает эту базу SNMP-агент, который получает запросы на 161 UDP порт от SNMP-менеджера и отвечает на них.

Для аутентификации используется строка сообщества (community string), которая делит агентов на сообщества с определенными правами. Наиболее часто используются такие строки, как public, monitor и private. Первые две чаще используются для мониторинга систем, а последняя - для внесения изменений в конфигурацию.

В середине июня 2006 г. командой "ХакерДом" УрГУ было произведено исследование 38 IP-сетей класса A по всему миру на предмет выявления поддерживающих SNMP устройств, отвечающих на стандартные строки сообщества: public и private. Целью было определить степень защищенности таких устройств от внешних атак. Для сканирования сети была написана программа на языке perl. Методика сканирования и определения устройств следующая: 1. Посылается запрос на чтение информации об устройстве (description).

2. В случае успеха, считывается текущее значение TTL. При успешном считывании TTL, устройство помечалось как доступное на чтение.

3. Затем устанавливается новое значение TTL. При успешной смене, устройство помечалось как доступное на запись, после чего значение TTL восстанавливалось.

4. Все данные записывались в удобный для чтения лог файл :)

В результате на SNMP-запрос откликнулось 1742773 устройств (примерно каждое 364-е устройство в сети Internet), из которых 866882 устройств позволяли изменять текущую конфигурацию. Среди них были маршрутизаторы крупных сетей, свичи, беспроводные точки доступа и устройства бесперебойного питания. Особенный интерес, конечно же, был проявлен к сетям местных провайдеров и к большим мировым корпорациям, таким как Microsoft, Google, Cisco, IBM, 3Com, HP, RedHat, Intel и Sun. Результаты приведены в таблицах 1 и 2.

Таблица 1. Результаты сканирования корпоративных сетей.


НазваниеДоступно на чтениеДоступно на запись
Microsoft00
Google00
Cisco00
IBMОколо 1000
3Com00
HP00
RedHat00
Intel00
Sun00


Таблица 2. Результаты сканирования сетей городских провайдеров.


НазваниеДоступно на чтениеДоступно на запись
УТК304
Telenet (KabInet)264
Сеть Цифровых Каналов71
Инсис8739
Экстрим81
Телеграф141
ТК Урал71
Олимпус970
Голден Телеком72
УрО РАН3311
УралРелком11331
Урал ВЭС286
Форатек8119
Корус2512


Каждое публично доступное на запись устройство представляет собой большую угрозу безопасности локальной сети. Ведь любой пользователь может нарушить работу устройства или изменить его конфигурацию для своих нужд (изменить таблицу маршрутизации, отключить сетевые интерфейсы, распечатать на принтере любое сообщение, просматривать закрытые телеконференции или просто отключить UPS).

Как видно, хоть корпорации и отдельные провайдеры имеют хорошо защищенные сети, общая картина остается неблагоприятной. Практически любой пользователь Интернета может контролировать работу многих сетей масштаба города.



Д.А Симонова, И.В. Зеленчука, Н.Н. Журавлева, Уральский Государственный Университет


© Сетевые решения