3.2.2 Протокол SNMP
Протокол SNMP призначений для віддаленого адміністрування хостів локальної мережі. Для хакерів протокол SNMP забезпечує великі можливості з інвентаризації мережі, на вразливостях SNMP базується багато хакреських атак. Тому розроблено безліч програм управління мережами з опорою на протокол SNMP, з яких виділимо пакет SOLARWINDS.Ці утиліти мають подвійне застосування.Системні адміністратори використовують їх для адміністрування мережі, а хакери – дляпроникнення в мережу і заволодіння її ресурсами. Отже, перейдемо до знайомства з пакетом SOLARWINDS з врахуванням завдань злому і захисту.
Протоколом SNMP є стандарт управління мережами TCP/IP (а також мережами IPX). На основі протоколу SNMP створюються програмні засоби віддаленого управління мережевими серверами, робочими станціями і іншими пристроями, що дозволяють налаштовувати роботу мережевих хостів, спостерігати за їх роботою, відстежувати збої і поточну діяльність користувачів в мережі.
Для роботи вищезгаданих програмних засобів SNMP використовуються системи управління SNMP (або консолі SNMP) і агенти SNMP, тобто служби SNMP, що збирають інформацію про вузли, і поміщають її в бази даних MIB (ManagementInformationBase - база керуючої інформації). База MIB містить таблицю запущених служб, звіт про спосіб розмежування доступу, перелік сеансів і облікових записів користувачів, набір загальних ресурсів сервера і іншу інформацію. Для проглядання бази МІВ застосовуються системи управління SNMP, наприклад, утиліта snmputil з пакету W2RK або ж спеціальне програмне забезпечення, прикладом якого є застосуванню IP Network Browser, щовходитьвпакет SOLARWINDS 2002 Engineer's Edition.Хости, наякихфункціонуютьконсолііагенти SNMP, об'єднуютьсявспівтовариства SNMP, щоідентифікуютьсяіменамиспівтовариства. Агенти SNMP кожного хосту співтовариства можуть передавати повідомлення у відповідь на запити консолей SNMP тільки «свого» співтовариства і тих співтовариств, які вказані в списку, що створюється при конфігурації служби SNMP. Для обміну інформацією використовується транспортний протокол UDP, а передача пакетів SNMP виконується через сокетиWindows з портами 161 і 162.
Якщо хакерові вдається визначити ім'я співтовариства SNMP, інвентаризація мережевих ресурсів комп'ютерів співтовариства не викликає жодних проблем. Для вирішення цього завдання можна скористатися пакетом SOLARWINDS, що включаєу себе найрізноманітніші утиліти для збору відомостей про локальну мережу.
На рис. 3.18. представлений діалог браузера MIB з пакету SolarWinds2001 Engineer’sEdition, що відображає записи бази даних MIB комп’ютера А1ех-3, що входять в розділ відомостей про облікові записи і загальні ресурси комп’ютера.
На рис. 3.18. можна відмітити, що дані, які відображаються браузером МІВ аналогічні таким, що виявлені з бази SAM за допомогою утиліти LC4 . Таким чином, база МІВ не менш інформативна, ніж база SAM, крім того, що в ній відсутні паролі облікових записів.
Існує й інша утиліта для проглядання ресурсів мережевих хостів – NetworkBrowser, яка представляє інформацію бази даних МІВ мережі, що інвентаризується в доступнішій формі ( рис. 3.19).
Проблема у використанні бази MIB для цілей інвентаризації полягає в отриманні імені співтовариства, яке по суті є паролем для доступу до інформації в базі MIB. Це завдання зовсім не безнадійне, оскільки засоби пакету SOLARWINDS 2001 Engineer's Edition включають утиліти SNMP Brute Force Attack і SNMP Dictionary Attack для злому доступу до бази МІВ підбором імені співтовариства, що виконується, відповідно, прямим перебором символів і шляхом словникової атаки.
Дуже часто для надання імен співтовариствам, SNMP адміністратори використовують встановлені за замовчуванням імена public, або private, або їх варіації. Тому утиліти SNMPBruteForceAttack і SNMPDictionaryAttack для злому доступу до співтовариства SNMP враховують таку особливість. Вони дозволяють хакерові вводити початкові імена співтовариства SNMP типу public або private в стартовий рядок пошуку з автоматичною генерацією варіантів рядків, що випробовуються. Це дозволяє швидко знаходити імена типу public2 і інші, що базуються на стандартному імені public[8].
Для захисту від атаки на протокол SNMP, слід закрити доступ до портів 161 і 162, які використовуються агентами і консоллю SNMP, вдавшись до засобів фільтрації ТСР/ІР, або засобами аплета Служби (Services) комп'ютера Windows 2000/XP, щоб відключити на хості службу SNMP. У будь-якому випадку ім'я співтовариства SNMP повинно бути достатньо складним для злому методом грубої сили, оскільки ім'я співтовариства служить фактично паролем доступу доагента SNMP.
Встановлені на мережевому хості засоби віддаленого управління, як від незалежного виробника (програма pcAnywhere). так і вбудовані (служба SNMP) можуть стати справжніми знахідками для хакера, оскільки дуже часто після інсталяції цих засобів їх система захисту не настроєтна належним чином. Це стосується практично всіх загальнопоширених програм віддаленого керування, особливо ранніх версій. Щоб виявити комп'ютер зі встановленою програмою віддаленого керування, можна скористатися засобами протоколу SNMP, що забезпечує роботу агентів і консолі SNMP управління ресурсами комп'ютера. Браузер IPNetworkBrowser, розглянутий в цьому розділі, надійно ідентифікує відкриті порти програми віддаленого управління pcAnywhere, після чого хакер може скористатися різними засобами для віддаленого злому доступу до хосту pcAnywhere.
Не слід нехтувати також можливостями SNMP для вирішення загального завдання інвентаризації систем, що атакуються. Засоби захисту агентів і консолі SNMP, вбудовані в систему Windowsне забезпечують належноїй безпеки для комп'ютерів співтовариства SNMP. Для хакера це надає обширні можливості для інвентаризації ресурсів мережевих хостів і подальших спроб злому доступу до комп'ютерів.
Для запобігання взлому, паролі доступу до хостів pcAnywhere мають бути досить складними, щоб їх не можна було зламати словниковою атакою, або простим перебором. Описаній вище атаці на хост pcAnywhere можна також запобігти, обмеживши доступ до папок комп'ютера, що зберігають інформацію для налаштування. Тому налаштування системи захисту Windows – найкращийспосіб запобігання атакам на засоби віддаленого управління[7].
3.3 Функції брандмауерів
Брандмауером називають спеціальний програмно-апаратний комплекс, що забезпечує захист локальної мережі від вторгнень з локальної або глобальної мережі, наприклад, Інтернету, в точці їх з'єднання. Брандмауери дозволяють пропускати через мережеве з'єднання тільки авторизований трафік, контролюючи тим самим мережеву взаємодію між комп'ютерами глобальної і локальної мережі. Високорозвинуті брандмауери дозволяють виконувати дуже точну настройкудоступу до мережевих служб, надаючи для цього зручний графічний інтерфейс. Добре настроєний брандмауер не просто блокує неавторизовані запити з боку зовнішніх комп'ютерів, але і намагається ідентифікувати авторів запиту разом з негайним повідомленням адміністратора системи про спроби таких запитів.
Брандмауери дозволяють управляти мережевим трафіком, що проходить усередині локальної мережі. За допомогою брандмауерів можна розділити локальну мережу на домени безпеки - групи комп'ютерів з одним рівнем захищеності. На комп'ютерах найбільш захищеного домена слід зберігати конфіденційну інформацію, наприклад, облікові записи користувачів, документи фінансової звітності, відомості про поточну виробничу діяльність і тому подібне. Розділення доступу користувачів до мережевих ресурсів різного ступеня секретності вже само по собі різко підвищує рівень безпеки мережі. Якщо до того ж набудувати брандмауер так, щоб доступ до виділеного мережевого сегменту був максимально обмеженим, то можна значною мірою забезпечити інформацію, що зберігається в сегменті, від розкриття конфіденційності[6].
У загальному випадку методика Firewall, тобто брандмауерів, реалізує наступні основні три функції:
1. Багаторівнева фільтрація мережного трафіка.
Фільтрація звичайно здійснюється на трьох рівнях OSI:
• мережному (IP);
• транспортному (TCP, UDP);
• прикладному (FTP, TELNET, HTTP, SMTP ).
Фільтрація мережевого трафіка є основною функцією систем Firewall і дозволяє адміністратору безпеки мережі централізовано здійснювати необхідну мережеву політику безпеки у виділеному сегменті IP-мережі. Тобто, настроївши відповідним чином Firewall, можна дозволити чи заборонити користувачам як доступ із зовнішньої мережі до хостів, що знаходяться в сегменті, який захищається, так і доступ користувачів із внутрішньої мережі до відповідного ресурсу зовнішньої мережі.
2. Proxy-схема з додатковою ідентифікацією й аутентифікацією користувачів на Firewall - хості.
Proxy-схема дозволяє, по-перше, при доступі до захищеного Firewall сегменту мережі здійснити на ньому додаткову ідентифікацію й аутентифікацію віддаленого користувача. По-друге, є основою для створення приватних мереж з віртуальними IP-адресами. Proxy-схема призначена для створення з'єднання з кінцевим адресатом через проміжний proxy-сервер (proxy від англ. повноважний) на хості Firewall. На цьому proxy-сервері і може здійснюватися додаткова ідентифікація абонента.
3. Створення приватних віртуальних мереж (PrivateVirtualNetwork - PVN) з "віртуальними" IP-адресами (NAT - NetworkAddressTranslation).
У випадку, якщо адміністратор безпеки мережі вважає за доцільне приховати топологію своєї внутрішньої IP-мережі, то йому необхідно використовувати системи Firewall для створення приватної мережі (PVN-мережа). Хостам у PVN-мережі призначаються будь-які "віртуальні" IP-адреси. Для адресації в зовнішню мережу (через Firewall) необхідне використання на хості Firewallproxy-серверів, або застосування спеціальних систем роутінгу (маршрутизації). Це відбувається через те, що віртуальна IP-адреса, яка використовується у внутрішній PVN-мережі , не придатна для зовнішньої адресації (зовнішня адресація - це адресація до абонентів, що знаходиться за межами PVN-мережі). Тому proxy-сервер, чи засіб роутінгу повинен здійснювати зв'язок з абонентами з зовнішньої мережі зі своєї дійсної IP-адреси. Ця схема зручна в тому випадку, якщо для створення ІР-мережі виділили недостатню кількість IP-адрес, тому для створення повноцінної IP-мережі з використанням proxy-схеми досить тільки однієї виділеної IP-адреси для proxy-сервера.