vk_logo twitter_logo facebook_logo googleplus_logo youtube_logo telegram_logo telegram_logo

#289 SNMP и безопасность

Дата публикации: 12.11.2006
Количество просмотров: 8243

Герои нужны, когда опасно,
в остальное время опасны они.

 

SNMP и безопасность.

Все же некоторый эффект от Уральского ГосУниверситета есть. Представляю небольшую статью студентов Д.А Симонова, И.В. Зеленчука, Н.Н. Журавлева, надеюсь это станет традицией (а качество материалов вообще поднимется на неизмеримую высоту). :-)

Простой протокол управления сетью SNMP был разработан для эффективного управления локальной сетью, при этом оборудование в сети может быть от разных производителей. Способ работы протокола полностью отражается в части названия - простой. Это было обязательным условием при разработке, т.к. в 90-х гг. коммутаторы и маршрутизаторы были очень слабыми и встраивать поддержку сложного протокола было просто невозможно.

На данный момент разработано 3-и версии SNMP протокола, но в большинстве случаев используется первая. Раньше SNMP в основном встраивался в коммутирующие и маршрутизирующие устройства, а в последствии сфера действия протокола охватила и другие сетевые элементы, такие как хабы, шлюзы, принтеры, терминальные сервера, пользовательские компьютеры и даже конверторы. Сейчас, при помощи SNMP администратор может легко следить за состоянием сети, работой маршрутизаторов и принтеров, изменять их настройки, а также знать доступные ресурсы на машинах пользователя. Все это позволяет ему эффективно управлять своей локальной сетью.

Протокол SNMP работает по архитектуре клиент-сервер, только в данном случае их принято называть агент и менеджер. Устройство содержит MIB (management information base) базу, в которой содержится вся необходимая для управления устройством информация об объектах (ip адрес, текущее значение MTU, таблица маршрутизации и т.д.). Обслуживает эту базу SNMP агент, который получает запросы на 161 UDP порт от SNMP менеджера и отвечает на них.

Для аутентификации используется строка сообщества (community string), которая делит агентов на сообщества с определенными правами. Наиболее часто используются такие строки как public, monitor и private. Первые две чаще используются для мониторинга систем, а последняя для внесение изменений в конфигурацию.

В середине июня 2006г. командой "ХакерДом" УрГУ было произведено исследование 38 IP сетей класса "A" по всему миру на поиск SNMP устройств, отвечающих на стандартные строки сообщества: public и private. Целью сканирования являлось определить степень защищенности таких устройств от внешних атак. Для сканирования сети была написана программа на языке perl. Методика сканирования и определения устройств следующая:

  • Посылается запрос на чтение информации об устройстве (description).
  • В случае успеха, считывается текущее значение TTL. При успешном считывании TTL, устройство помечалось как доступное на чтение.
  • Затем устанавливается новое значение TTL. При успешной смене, устройство помечалось как доступное на запись, после чего значение TTL восстанавливалось.
  • Все данные записывались в удобный для чтения лог файл :)
В результате на SNMP запрос откликнулось 1 742 773 устройств (примерно каждое 364 устройство в сети Internet), из которых 866 882 устройств позволяли изменять текущую конфигурацию IP. Среди них были маршрутизаторы крупных сетей, свичи, хабы, беспроводные точки доступа и устройства бесперебойного питания. Особенный интерес, конечно же, был проявлен к сетям местных провайдеров и к большим мировым корпорациям, таким как Microsoft, Google, CISCO, IBM, 3Com, HP, RedHat, Intel и Sun. Результаты следующие:

Название Доступно на чтение Доступно на запись
Microsoft 0 0
Google 0 0
CISCO 0 0
IBM Около 100 0
3Com 0 0
HP 0 0
RedHat 0 0
Intel 0 0
Sun 0 0

Результат сканирование корпоративных сетей на SNMP.

Название Доступно на чтение Доступно на запись
УТК 30 4
Telenet (KabInet) 26 4
Сеть Цифровых Каналов 7 1
Инсис 87 39
Экстрим 8 1
Телеграф 14 1
ТК Урал 7 1
Олимпус 97 0
Голден Телеком 7 2
УрО РАН 33 11
УралРелком 113 31
Урал ВЭС 28 6
Форатек 81 19
Корус 25 12

Результат сканирование сетей городских провайдеров г. Екатеринбург на SNMP (данные об IP сетях брались: http://ural.net/ex/).

Каждое публично доступное на запись устройство представляет собой большую угрозу безопасности локальной сети. Ведь любой пользователь может нарушить работу устройства или изменить его конфигурацию для своих нужд (изменить таблицу маршрутизации, отключить сетевые интерфейсы, распечатать на принтере любое сообщения, просматривать закрытые телеконференции или просто отключить UPS).

Ниже представлен пример изменения значения TTL на коммутаторе одного из Екатеринбургских провайдеров:

До смены TTL.

До смены TTL.

После смены TTL

После смены TTL.

Как видно, хоть корпорации и отдельные провайдеры имеют хорошо защищенные сети, все равно, общая картина неблагоприятна. Практически любой пользователь Интернета может контролировать работу многих сетей масштаба города.

Разное

Как это будет по-русски? Безлимитный интернет с ограничением по трафику! Маркетологи всего мира воют от зависти...

Безлимитный интернет с ограничением по трафику...

Прислал Vitaly Korol


Небольшая ссылка в тему: Решения по обеспечению безопасности для коммутаторов Nortel семейств ES и ERS. Но применимо и к любым другим коммутаторам.
Еще немного по технике - замечательная статья по настройке БГП.
И обсуждение на тему pptp vs pppoe. Немного, но забавно.

Итоги финансово-хозяйственной деятельности ОАО "Сибирьтелеком" за 9 месяцев 2006 года. Провайдерская часть (если отбросить PR), влезла в один абзац:
...пользователей ШД составило более 27 тыс. абонентов, по итогам 3 квартала 2006 года – более 40 тыс. абонентов, до конца 2006 года – более 60 тыс. ШД абонентов. К концу 2007 года мы прогнозируем, что абонентская база ШД пользователей составит примерно 200 тыс.абонентов. Мы не ограничиваемся использовать только технологии xDSL. В ближайшее время "Сибирьтелеком" выводит ряд новых услуг проводного/беспроводного широкополосного доступа (ETTH, WI FI, WI MAX). Запуск безлимитных тарифных планов мы планируем на перспективу.

С одной стороны, конечно, много. С другой - можно видеть, что за квартал подключается около 13 тыс. абонентов, или чуть более 4 000 абонентов в месяц. Это по всему СТК, т.е. всего по таким городам как Новосибирск, Красноярск, Иркутск, Кемерово, Омск, Томск, и т.п.

На фоне действий альтернативных операторов - смотрится более чем бледно. Впрочем, повода расслабляться нет, МРК еще не показали всех своих возможностей.

Кстати, СТК сообщает, что интернетизация школ в Сибири качественно ускоряется. Правда, порой с забавными опечатками (если не подумать более плохого).

-----Original Message-----
From: krskstate.ru
Sent: Thursday, November 09, 2006
Subject: В администрации Красноярского края

ИНТЕРНЕТизация школ ускоряется!

Агентство образования

Набирает темп реализация направления "Информатизация образования" приоритетного национального проекта "Образование". Центр телекоммуникаций ОАО "Сибирьтелеком" (исполнитель направления нацпроекта на территории Красноярского края) на 1 ноября подключил к тонковолокнистому Интернету 155 школ края, что превысило плановые показатели на 9 школ...

 

Еще более забавно, что многие веб-издания привели эту новость в первозданном виде. Про тонковолокнистый интернет можно прочитать, например, тут


Продолжение истории с инициативой московской мэрии:
Мэр Москвы Юрий Лужков подписал распоряжение, согласно которому частная компания "Мостелеком" имеет льготное право на развитие и поддержание кабельных сетей в столице. "Мостелекому" должны помогать префектуры, жилищные организации и даже ГУВД. Другие игроки кабельного рынка обратились с жалобой в ФАС

Какое там право, законы... Власть вполне может наплевать и забыть про такие мелочи.


В Перми продают машинку для укладки П-296. Неожиданно серьезный и продуманный аппарат.


Большая Морская 18 - одна из комнат SPBIX во время наводнения.

наводнение на BM-18

Узел пришлось срочно переносить на этаж выше. Пока варили оптику, все держалось на насосах и мешках с песком. Перерыв в работе составил несколько часов...

Прислал Vlad Brusov


В Анадыре местный альтернативный провайдер просто глумится над абонентами.
В связи с перегруженностью радиосети, ООО "Питон" подключает новых клиентов только при отказе от обслуживания одного из действующих клиентов.
В Анадыре население - 10 тысяч 500 человек по переписи 2002 года. И три провайдера интернет - Чукоткасвязьинформ, Арктикрегионсвязь и Питон.

Дешевых прямых каналов на Москву нет и быть не может - она с другой стороны глобуса.


Новое в мире технологий: АДСЛ без проводов. Что бы долго не гадать, ак это делается, можно сразу заглянуть в спецификацию оборудования. Там значатся Радиомаршрутизаторы R5000...

Прислал Андрей


И немного задержавшееся письмо про покупку и продажу домашних сетей.

Сейчас выходим на рынок Тамбова, - из серьезных игроков только Центртелеком. Остальные домашние сети, с небольших, либо средним финансированием. C одним очень большим "НО!". Никто строить не умеет.

Пытался поинтересоваться покупкой нескольких домонетов, но, посмотрев на пару сетей, пришел в ужас, зачем покупать то, что надо будет перестраивать. Один оператор вообще не смог сказать что у них есть, сколько клиентов и сколько они хотят. Бросают все, от оптики, по Пэхи, при этом только воздушки везде где придется - по крышам, по столбам (чужим), деревьям!

Пришел в ужас. Сейчас начинаем экспансию с нуля. Отдельно хочется пожелать всем им удачи, я скоро еду.

Прислал Сергей

 

 


Обновление в разделах:


Еще немного забавного. Прислали скан корпоративной газеты СЗТ "Связист Северо-Запада". В ней, кроме победной статьи об установке в деревне на деревянной доске очередного универсального таксофона, была замечена заметка про "Наш ракетоносец".

Реклама

Для справки:
Ту-22М3 (Backfire) - тактический сверхзвуковой бомбардировщик. Основное вооружение - крылатые ракеты, бомбы. Способен нести ядерное оружие.

Первые шаги во взрослую жизнь

Автор - Max Tulyev.

Жила-была домашняя сетка. Хорошо жила. И потому вскоре выросла в настоящего оператора...

А что такое собственно настоящий полноценный оператор связи в Интернет? Как бы не хотелось некоторым, но это увы не собственная лицензия на предоставление телеком услуг. И не офис в крутом месте. И не отдельный от аплинка биллинг своих абонентов и свой собственный счет в банке. А это собственный блок адресов и своя автономная система, позволяющая иметь одновременно несколько каналов, как поставщиков коннективити, так и межсетевых пирингов.

За распределение уникальных мировых IP-адресов и номеров автономных систем сети Интернет в европейском регионе (включая Россию и все республики бывшего СССР) отвечает организация, именуемая RIPE. Ее офис расположен в Нидерландах, в Амстердаме. Туда-то нам и предстоит обратиться. RIPE является бесприбыльной ассоциацией европейских операторов, оказывающей своим участникам разнообразные полезные услуги, которые кстати не ограничиваются только распределением адресного пространства и номеров AS.

Существует два способа стать автономной системой Интернета. Первый – провайдрско-классический, стать локальной Интернет-регистратурой (статус LIR), то есть фактически соучредителем RIPE. При этом за Вами будет закреплен блок адресов размером от 4096 и более штук – столько, сколько нужно. Сначала эти адреса будут просто закреплены, но не выданы Вам (статус ALLOCATED PA). По правилам RIPE, все клиентские сети размером более 4 адресов должны быть зарегистрированы в базе данных RIPE. Также нужно зарегистрировать блок непосредственно для своей инфраструктуры: роутеров, серверов, интерфейсных адресов, клиентов, имеющих менее 4 адресов, например диалапщиков. Зарегистрированные блоки получают статус ASSIGNED PA – присвоен. Такая система чем-то напоминает работу регистратора доменов. Единственная разница в том, что если каждый новый домен регистратор проводит через администрацию домена, то в случае с LIR за ним закрепляется нераспределенный блок под дальнейшую раздачу пользователям. Это позволяет экономить ресурсы в мировом масштабе, так как весь этот закрепленный блок аннонсируется LIR'ом в мировую таблицу маршрутизации одной строчкой.

Но существует и другой путь. И путь этот – использование провайдеро-независимого блока адресов (PI – provider independent) совместно со своей автономной системой (AS). PI адреса были придуманы для тех, кому нужна автономность, наличие нескольких одновременных подключений и собственная маршрутизация, но при этом владелец таких адресов формально является их конечным пользователем, ему не требуется раздавать адреса дальше с регистрацией такой раздачи в базе данных RIPE. Как правило, это подразумевает достаточно малый размер сети (до 1024 адресов), хотя формальных ограничений на максимальный размер PI сети нет. Примером типичного пользователя PI может быть фирма, которой требуется очень надежный и стабильный доступ в Интернет с многократным резервированием, локальная сеть, государственная организация.

Например, украинский аналог ФСБ – Служба Безопасности Украины работает через собственную провайдеро-независимую сеть 193.29.204.0/24. Хостинг-операторы также могут получить PI сеть с мотивацией, что иначе при переходе от провайдера к провайдеру придется менять настройки тысяч доменов, что неприемлемо для бизнеса. Однако, формально PI адреса имеют несколько ограничений. Первое – такие адреса даются определенной фирме под определенную задачу. Если фирма или задача меняется – необходимо получать новый блок. Второе – нельзя регистрировать в базе данных (БД) RIPE выделение более мелких сетей для клиентов. Третье – теоретическая негарантированная достижимость из любой точки Интернет. Последнее связано с тем, что некоторые провайдеры для экономии памяти своих маршрутизаторов не принимают анонсы мелких сетей. На практике такую проблему имеют сети размером не более 128 адресов.

Сравним оба пути. Достоинствами варианта с LIR можно считать потенциальное практически неограниченное расширение размера сети в любое время, возможность (точнее, необходимость) регистрирования клиентов в БД RIPE, возможность управлять работой RIPE NCC (избирать совет директоров, влиять на биллинговую политику и т.д.). Недостатками LIR является относительно большая цена (около 2000EUR в год), необходимость платежей зарубеж и валютного контроля фирмы по этой причине, необходимость содержания грамотных сотрудников, проходящих регулярное обучение в RIPE (к счастью, бесплатное для LIR'ов). Достоинствами варианта с PI является небольшая стоимость (около $1000), однократная а не ежегодная оплата, возможность получить PI сеть через местные юридические лица (теоретически – обратившись к любому LIR'у), не прибегая к платежам зарубеж, нетребовательность к наличию тренированных в RIPE сотрудников. Недостатками – отсутствие расширяемости, возможности регистрировать своих клиентов в БД RIPE, у мелких сеток, в дикой природе не встречающихся – проблемы с глобальной маршрутизацией.

Теперь подойдем к самому интересному. Европейская демократическая бюрократия – это конечно предмет отдельного фельетона, но на самом деле все, а особенно в нашем варианте действительности, совсем не так. Как же дело обстоит на практике?

Сейчас в России при необходимости получения собственных адресов просто получают статус LIR для дальнейшего его варварского с точки зрения документов RIPE использования. Действительно, что такое каких-то там 2000 Евро в год за адреса в сравнении с той же неофициальной стоимостью сдачи узла связи ГСН? Но опустим финансовый вопрос. Почему таки варварской? Потому что получив те самые нераспределенные, а только закрепленные за LIR адреса (ALLOCATED PA), начинают аннонсировать и использовать по собственному усмотрению фактически все еще чужие адреса, ничуть не заботясь об обязательной фиксации их распределения (часто – и обязательности подтверждения легитимности каждого такого распределения от RIPE).

С одной стороны, этому способствует техническая неграмотность персонала, нежелание понять и вникнуть в саму идею локальных регистратур. С другой – боязнь публиковать контактные данные своих клиентов в открытых источниках, таких как БД RIPE. А попытки переманить клиентов, используя эту контактную информацию, увы далеко не редкость. Но самое главное – отсутствие должного контроля и надзора над LIR'ами со стороны RIPE. По информации персонала RIPE, силовым методом не было забрано ни одной сети, и более того, RIPE вообще не имеет такой процедуры! Есть процедуры добровольного закрытия LIR, покидающего бизнес. А вот силовым методом – никак. Особенно интересна тут ситуация с PI, которые не привязаны ни к выдававшим их LIR'ам, ни к самому RIPE ни ежегодными платежами, ни фактически вообще ничем этому RIPE не обязаны. Поэтому скопилось множество зависших, неиспользуемых более PI сетей, которые можно было бы использовать, но увы их владельцы не освободили эти сети, так как поленились послать соответствующую бесплатную заявку или же просто не знают, как это сделать. Вопрос введения хотя-бы минимальной оплаты за PI именно с целью возвращения неиспользуемых более сетей обсуждается, но в этом году к консенсусу прийти так и не удалось.

Второй вопрос: управление RIPE. В этом году количество российских LIR'ов вышло на первое место среди других стран региона RIPE. Еще чуть-чуть – и число российских LIR'ов превысит суммарное число других LIR'ов в RIPE вообще. После этого будет возможна хоть полная смена руководства RIPE. И выборы Буркова в этом году – первый к тому шаг. Хотя, уверен, RIPE держит в запасе ходы против такого сценария. Например, согласно уже имеющимся правилам провести проверки соответствия этим самым правилам российских LIR'ов (LIR audit procedure), после чего своих сетей потенциально могут лишиться чуть ли не 90% российских провайдеров. С другой стороны, несмотря на численность LIR'ов на последнем собрании акционеров от СНГ присутствовало всего трое человек: один от Украины (NetAssist.kiev.ua) и два от России (оба от Вымпелкома)...

А что же провайдеры других стран СНГ и восточной Европы? Они выбирают PI сети. Среди лидеров по числу полученных PI сетей – Украина и Польша.

Какой вариант выбрать вам – решать вам! Одно на мой взгляд важно: в наших условиях независимость, резервирование и паритетные каналы стали теми тремя китами, на которых держится даже самый мелкий ISP...

Анонс

  • Оптимизация трафика от аплинков (автоматизация BGP);
  • "Опять про видео" - тема явный хит сезона;
  • Фото кабелей в Турции;
  • Первые шаги в взрослую жизнь (AS);
  • Немного о послегрозовом ремонте коммутаторов (уже 100%);
  • Традиционный пункт - ссылки на интересные места Сети. Присылайте письма - они очень нужны для обзоров. Обязательно сообщайте, нужна ли Ваша подпись, ссылка, или лучше обойтись без нее;
  • В "ужастиках" - почему не работает модем.
Долгострой:
  • Пример настройки сервера для терминирования PPPoE (перенесен в долгострой);

От редакции: если у вас есть чем поделиться с коллегами по отрасли, приглашаем к сотрудничеству
Ссылка на материал, для размещения на сторонних ресурсах
/articles/reviews/15594/snmp-i-bezopasnost.html

Обсудить на форуме

Оставлять комментарии могут только зарегистрированные пользователи

Зарегистрироваться