SNMP

Протокол SNMP (Simple Network Management Protocol) призначений для полегшення роботи адміністратора по управлінню пристроями мережі. Проте величезною проблемою протоколу SNMP версії 1 (Snmpvl) завжди була абсолютна незахищеність вузла, на якому працювали засоби підтримки цього протоколу. У початковій версії використовувався тільки один механізм забезпечення безпеки, заснований на використанні специачьних паролів, званих рядками доступу (community string). У відповідь на скарги про наявність слабких місць в системі забезпечення безпеки була швидко розроблена значно покращувана версія SNMP (Snmfv2). У цій версії для аутентифікації повідомлень, передаваних між серверами і клієнтами SNMP, використовується алгоритм хешування Md5. Це дозволяє забезпечити як цілісність даних, що пересилаються, так і можливість перевірки їх достовірності. Крім того, Snmpv2 допускає шифрування передаваних даних. Це обмежує можливості зловмисників по прослуховуванню трафіку мережі і отриманню рядків доступу. Проте в той же час ніщо не заважає адміністраторам використовувати на маршрутизаторах прості паролі.
Третя версія протоколу SNMP (Snmpv3)  є поточним стандартом і дозволяє досягти необхідного рівня безпеки пристроїв, але його ухвалення, мабуть, затягнеться на досить тривалий час. Досить вивчити типову мережу, щоб переконатися в тому, що більшість пристроїв працюють під управлінням навіть не Snmpv2, а Snmpvl! Докладніша інформація про протокол Snmpv3 знаходиться за адресою http://www.ietf.org/ html.charters/snmpv3-charter.html . Проте жодна з версій протоколу SNMP не обмежує можливості використання адміністраторами рядків доступу, пропонованих розробниками. Як правило, для них встановлюються легко вгадувані паролі, які добре відомі всім, хто хоч трохи цікавиться подібними питаннями.
Ще гірше те, що в багатьох організаціях протокол SNMP практично не враховується в політиці безпеки, що реалізовується. Можливо, це відбувається через те, що протокол SNMP працює поверх UDP (який, як правило, відсутній в стеку протоколів), або тому, що про його можливості відомо лише небагатьом адміністраторам. У будь-якому випадку необхідно констатувати, що питання забезпечення безпеки при використанні протоколу SNMP часто вислизають з поля зору, що нерідко дає можливість зломщикам проникнути в мережу.
Проте перед тим, як перейти до докладного розгляду вад протоколу SNMP, давайте коротко познайомимося з основними поняттями, які з ним пов'язані. Рядки доступу можуть бути одного з двох типів — що дозволяють тільки читання (тип read) і що дозволяють як читання, так і запис (read/write). При використанні рядків доступу SNMP, що дозволяють тільки читання, можна лише переглядати зведення про конфігурацію пристрою, такі як опис системи, TCP- і UDP-соединения, мережеві адаптери і так далі Рядки доступу, що надають права читання і запису, забезпечують адміністраторові (і, звичайно, зловмисникові) можливість записувати інформацію в пристрій. Наприклад, з використанням всього однієї команди SNMP адміністратор може змінити контактну системну інформацію, snmpset 10.12.45.2 private .1.3.6.1.2.1.1 s Smith

Маршрутизатори Ascend

За умовчанням маршрутизатори Ascend забезпечують доступ по протоколу SNMP за допомогою рядків доступу public (для читання — read) і writ: спавши читання і записи — read/write). Вада в системі захисту, пов'язаний з SNMP-доступом для читання і запису, вперше був виявлений фахівцями з Network Associates. Inc.

Контрзаходи: захист маршрутизаторів Ascend

Для того, щоб змінити встановлені за умовчанням рядки доступу на маршрутизаторі Ascend, просто скористайтеся командою меню Ethernet>modconflg>snmp Options.

Маршрутизатори Bay

Маршрутизатори компанії Bay NT за умовчанням надають доступ по протоколу SNMP, контрольований на рівні користувачів як для читання, так і для запису. Для того, щоб скористатися цією можливістю, досить спробувати використовувати встановлене за умовчанням призначене для користувача ім'я User без пароля. У командному рядку маршрутизатора введіть команду  show snmp comm types
Ця команда дозволяє проглядати наявні рядки доступу. Те ж саме за допомогою диспетчера Site Manager може виконати будь-який користувач (команда меню Protocols>ip>snmp>communities).

Контрзаходи: захист маршрутизаторів Bay

У диспетчерові Site Manager, який входить до складу програмного забезпечення маршрутизаторів компанії Bay Networks, виберіть команду меню Protocols>ilp1* Snmpocommunities. Після цього виберіть команду Community>edit Community і зміните рядки доступу.

Контрзаходи: захист SNMP

Якщо ви дозволяєте здійснювати SNMP-доступ через прикордонний брандмауер до якого-небудь одному пристрою, а у використанні протоколу SNMP для доступу до решти вузлів мережі немає гострої необхідності, то можна просто внести відповідні обмеження до списку ACL маршрутизатора.
access-list 101 deny udp any any eq 161 log ! Блокування трафіку SNMP
Ще простіше замінити рядки доступу важко вгадуваними паролями. Наприклад, в пристроях Cisco це досягається за допомогою наступної простий команди.
snmp-server community <важко вгадуваний пароль> RO
Крім того, завжди, коли це можливо, забороняйте SNMP-доступ для читання з можливістю запису.
Для зниження риски застосування протоколу SNMP можна скористатися також і рекомендацією самій компанії Cisco (http://www.cisco.com/univercd/cc/-td/doc/cisintwk/ics/cs003.htm):
"На жаль, рядки доступу SNMP передаються по мережі у вигляді незашифрованого тексту... З цієї причини відмова від використання сервера SNMP, що підтримує передачу повідомлень trap, дозволить запобігти перехопленню цих повідомлень зломщиками (передаваних між диспетчерами і агентами SNMP) і їх використанню для отримання рядків доступу."

Якщо в рядку доступу ви хочете використовувати символ ?, то перед ним необхідно натиснути комбінацію клавіш <CTRL-V>. Наприклад, для того, щоб встановити рядок доступу, рівну secret? 2me, введіть secret<ctrl-v>?2me.

Таблиця 10.2. Використовувані за умовчанням паролі мережевих пристроїв

•  public
•  private
•  secret
•  world
•  read
•  network
•  community
•  write
•  cisco
•  all private
•  admin
•  default
•  password
•  tivoli
•  openview
•  monitor
•  manager
•  security