-
Інвентаризація snmp
При отключенной службе SMB, т.е. заблокированном доступе к TCP-портам 139 и 445, возможно, тем не менее, получение информации через 161 UDP-порт в случае функционирования агента SNMP.
SNMP (англ. Simple Network Management Protocol — простой протокол управления сетью) — это протокол управления сетями связи на основе архитектуры TCP/IP.
Также это технология, призванная обеспечить управление и контроль за устройствами и приложениями в сети связи путём обмена управляющей информацией между агентами, располагающимися на сетевых устройствах, и менеджерами, расположенными на станциях управления. SNMP определяет сеть как совокупность сетевых управляющих станций и элементов сети (главные машины, шлюзы и маршрутизаторы, терминальные серверы), которые совместно обеспечивают административные связи между сетевыми управляющими станциями и сетевыми агентами.
Обычно при использовании SNMP присутствуют управляемые и управляющие системы. В состав управляемой системы входит компонент, называемый агентом, который отправляет отчёты управляющей системе. По существу SNMP агенты передают управленческую информацию на управляющие системы как переменные (такие как «свободная память», «имя системы», «количество работающих процессов»).
Управляющая система может получить информацию через операции протокола GET, GETNEXT и GETBULK. Агент может самостоятельно без запроса отправить данные, используя операцию протокола TRAP или INFORM. Управляющие системы могут также отправлять конфигурационные обновления или контролирующие запросы, используя операцию SET для непосредственного управления системой. Операции конфигурирования и управления используются только тогда, когда нужны изменения в сетевой инфраструктуре. Операции мониторинга обычно выполняются на регулярной основе.
Переменные, доступные через SNMP, организованы в иерархии. Эти иерархии и другие метаданные (такие, как тип и описание переменной) описываются Базами Управляющей Информации (англ. Management Information Bases (MIBs)).
По умолчанию протокол SNMP не устанавливается на системах семейства Windows NT, но его легко можно добавить через пункт панели управления Add/Remove Programs (Установка и удаление программ). Протокол SNMP широко используется во многих организациях для обмена данными в локальных сетях.
В системе Windows 2000 и более ранних версиях Windows по умолчанию строке доступа (приблизительный эквивалент пароля для доступа к службе) присвоено значение "public". Информация, которую можно извлечь из систем Windows с помощью агента SNMP.
В системы Windows Server 2003 внесены коренные изменения в настройки по умолчанию для протокола SNMP, которые позволяют предотвратить все рассмотренные далее атаки. Следующие описания атак (кроме отдельно указанных случаев) подходят только для систем Windows 2000.
Использование
утилиты snmputil
|
Популярность |
8 |
|
Простота |
7 |
|
Опасность |
5 |
|
Степень риска |
7 |
Если на атакуемой системе задана легко угадываемая строка доступа, то с помощью утилиты snmputil из пакета Resource Kit получение данных об учетных записях систем Windows через протокол SNMP становится возможным. В следующем примере показано, как с удаленной машины получить фрагмент информации из базы данных MIB LANManager, используя строку доступа "public" с правом чтения.
Листинг 1. Использование возможностей протокола SNMP
Последняя переменная в вызове программы snmputil, ".1.3. 6.1.4.1.77.1.2.25" — это идентификатор объекта (OID — Object Identifier), который указывает ветвь базы Microsoft enterprise Management Information Base (MIB) определенной в протоколе SNMP. База данных MIB имеет иерархическую структуру, поэтому "поднимаясь" по дереву (используя меньшие значения OID, например, .1.3.6.1.4.1.77), можно собрать больше информации. Все эти числа трудно запомнить, поэтому взломщики пользуются их текстовыми эквивалентами. В табл. 1 перечислены некоторые сегменты базы MIB, из которых можно извлечь что-нибудь полезное.
Таблица 1. Идентификаторы объектов базы данных SNMP MIB, которые можно использовать для получения важной информации о системе
Получение
данных по SNMP
с помощью программ SolarWinds
|
Популярность |
8 |
|
Простота |
7 |
|
Опасность |
5 |
|
Степень риска |
7 |
Конечно, чтобы не набирать все эти строки, можно загрузить отличный графический браузер для SNMP, который называется IP Network Browser из набора утилит SolarWinds Professional Plus. Цена набора программ Professional Plus — 695 долл.
Утилита IP Network Browser позволяет хакеру просматривать всю информацию в "живом виде". На рис. 2 показано окно программы IP Network Browser во время проверки компьютера под управлением Windows 2000 с запущенным агентом SNMP и установленной по умолчанию строкой доступа "public".
Все становится еще хуже, если удается выяснить строку доступа с помощью программы IP Network Browser. Используя программу Update System MIB (рис. 3) из набора SolarWinds Professional Plus Toolset, при наличии правильной строки доступа можно записывать значения в базу System MIB, включая имя системы, расположение и контактную информацию.
Рис. 2. Утилита IP Network Browser из пакета Solar Winds выводит информацию, доступную через агенты SNMP, при известной строке доступа. В данном случае использована строка доступа по умолчанию: "public"
Рис. 3. Программа Update System MiB из набора SolarWinds записывает значение в базу МIВ удаленной системы
Меры
противодействия вредоносному использованию
SNMP
Простейший способ предупредить подобные действия — удалить агент SNMP или отключить службу SNMP, открыв компонент Services (Службы) через панель управления (файл services.msc).
Если отключить протокол SNMP нельзя, то, по меньшей мере, его необходимо правильно настроить и заменить стандартную строку доступа на уникальную (заменить используемые по умолчанию значения "public" или "private" в системах Windows 2000), чтобы хост отвечал только по указанным IP-адресам. Это типичная конфигурация для окружения, в котором используется одна управляющая рабочая станция для сбора SNMP-информации от всех устройств. Для задания этих настроек откройте элемент Services (Службы) панели управления, который находится в оснастке Administrative Tools (Администрирование), затем щелкните правой кнопкой на SMTP Service (служба SNMP) и выберите команду Properties (Свойства), откройте вкладку Security (Безопасность) и измените следующие значения:
-
Accepted Community Names (Приемлемые имена сообществ)
-
Accept SNMP Packets From These Hosts (Принимать пакеты SNMP только от этих узлов)
-
Укажите уникальную, трудную для угадывания строку доступа
-
Введите IP-адрес своей рабочей станции по управлению протоколом SNMP
На рис. 4 показаны значения параметров безопасности, установленные по умолчанию дли агентов SNMP в системах Windows Server 2003. В этой конфигурации по умолчанию не задано никаких строк доступа и доступ к SNMP-агенту ограничен только локальным хостом. Это еще один пример инициативы Microsoft по обеспечению надежных вычислений "Secure by Default" ("Безопасность по умолчанию"). Безусловно, большинство администраторов изменят эти значения для поддержки SNMP-служб, но опасная конфигурация теперь по умолчанию отключена.
Рис. 4. Для агента SNMP в системах Windows Server 2003 па умолчанию не задано никаких строк доступа, и доступ ограничен только локальным доступом
Конечно же, если протокол SNMP используется для управления сетью, необходимо заблокировать доступ к TCP- и UDP-порту 161 (SNMP GET/SET) на всех сетевых устройствах, установленных по периметру сети. Нельзя допускать утечку внутренней информации SNMP в сети общего пользования.
Более опытные администраторы могут отредактировать реестр, чтобы разрешить только подтвержденный доступ к службе SNMP Community Name и запретить отправку сведений об ученых записях. Для этого нужно запустить программу regedit32 и перейти в раздел HKLM\System\CurrentControlSet\Services\SHMP\Parameters\ValidCommunities. Выберите параметр Security\Permissions и разрешите доступ только для проверенных пользователей. Затем перейдите в раздел HKLM\System\CurrentControlSet\Services\ SNMP\Parameters\ExtensionAgents и удалите параметр, который содержит строку "LANManagerMIB2Agent", а остальные параметры переименуйте, чтобы сохранить последовательность. Например, если был удален параметр 1,то параметры 2, 3 и т.д. необходимо переименовать таким образом, чтобы последовательность начиналась с 1 и заканчивалась значением, равным числу значений в списке.