2020-04-12
240
Протокол сетевого управления (SNMP – simple network management protocol) был разработан для управления узлами сети, такими как коммутаторы, маршрутизаторы, рабочие станции, сервера. Этот протокол обеспечивает обмен управляющей информацией между сетевыми устройствами.
Существует несколько версий SNMP.
SNMPv1 и SNMPv2 строятся на базе трех компонентов
• Управляемые сетевые устройства - маршрутизаторы или коммутаторы.
• Размещаемые на управляемых устройствах Агенты SNMP и базы MIB (management information base), поддерживающие управление.
• Сетевая управляющая система (network management systems - NMS), которая представляет собой приложение-диспетчер SNMP вместе с компьютером, на котором оно установлено.
Агенты SNMP обеспечивают доступ к MIB устройств. В MIB содержится информация о ресурсах и загрузке сетевого устройства.
С помощью NMS можно получать информацию от агентов, изменять ее, а так же изменять конфигурационные параметры сетевого устройства. Например, можно перезагрузить маршрутизатор, загрузить на него новый конфигурационный файл или скачать имеющийся.
Такие возможности представляют большой интерес для злоумышленников.
С помощью средств протокола сетевого управления SNMP злоумышленник может внедриться в сеть. Для этого достаточно получить доступ к базам.
SNMP агенты принимают команды и запросы от системы управления SNMP только, если правильно настроена групповая строка (community string). Групповая строка SNMP представляет собой текстовую строку, с помощью которой может выполняться аутентификация для доступа к MIBs.
Существует два типа групповых строк:
Строка – «Только чтение» (Read-only – ro) – разрешает доступ к MIB только для чтения.
Строка – «Чтение/запись» (Read-write – rw) - разрешает доступ ко всем объектам MIB для чтения и записи.
Получение доступа в режиме чтение/запись эквивалентно доступу к маршрутизатору в привилегированном режиме.
По умолчанию в системах SNMP используется групповая строка "public". Для обеспечения безопасности, эту строку необходимо заменить на новую – индивидуальную. Но при этом, уязвимость остается при обмене строками, так как они передаются открытым текстом. Исходя из этого, рекомендуется настраивать SNMP только ан получение информации от устройств (использовать строку - ro).
Передавать SNMP сообщения необходимо только в управляемом сегменте.
Разработана новая версия SNMP - SNMPv3. В данной версии устранены недостатки предыдущих по аутентификации, privacy(секретности) и контролю доступа.
В SNMPv3 применяется сочетание аутентификации и шифрования пакетов. Таким образом, в данной версии обеспечивается безопасность по таким направлениям как:
Целостность сообщения – пакеты не будут изменены при прохождении через сеть.
Аутентификация – идентифицирует отправителя сообщения.
Шифрование – шифрует содержимое для предотвращения неавторизованного просмотра.
