- •Формальные модели шифров
- •Математическая модель шифра замены
- •Шифры, не распространяющие искажений типа «замена знаков»
- •Шифры, не распространяющие искажений типа «пропуск-вставка знаков»
- •Последовательность атаки
- •Переполнение буфера
- •Что такое переполнение буфера
- •Принцип действия
- •Виды переполнения буфера
- •Почему так много уязвимых программ
- •Способ защиты
- •Десять примеров переполнения буфера
- •Что такое netcat?
- •Способ применения
- •Эксплоиты для взлома nt
- •Брешь в безопасности rds службы iis
- •Совместно используемые ресурсы
- •Взлом с помощью относительного пути
- •Захват dsn с использованием утилит odbc Datasource
- •Поглощение ресурсов процессора с использованием mstask.Exe и Microsoft Internet Explorer
- •Запуск программ с помощью ie 5.X или Outlook
- •Запуск команд на Web-сервере с помощью iis 5.0
- •Возможность подмены контроллера домена в wins
- •Методы взлома unix
- •Что такое cgi-программа?
- •Принцип работы
- •Подробное описание
- •Способ применения
- •Симптомы атаки
- •Методы защиты
- •Подробное описание
- •Способ применения
- •Симптомы атаки
- •Методы защиты
- •Версия ос
- •XTest позволяет клиенту переправлять события другому клиенту. Такими событиями могут быть нажатия клавиш. При этом событие через сервер может пересьиаться другому клиенту в
- •Дополнительная информация
- •Люки и троянские кони
- •Подмена системных утилит
- •Подмена на уровне файлов
- •Защита от подмены на файловом уровне
- •Наборы утилит для nt
- •Эксплоит Brown Orifice
- •Программы слияния
- •Сокрытие следов
- •Как скрыть следы
- •Файлы журналов
- •Файлы журналов Linux
- •Взгляд со стороны взломщика
- •Invisible.С — прячет все следы работы взломщика от имени пользователя root в системе.
- •Защита файлов журналов в unix
- •Регулярное проведение резервного копирования
- •Использование одноразовых носителей
- •Кодирование
- •Регулярный просмотр файлов журналов
- •Ведение журналов в nt
- •Взгляд со стороны взломщика
- •Защита файлов журналов в nt
- •Защита от изменений информации о файле
- •Дополнительные файлы
- •Защита от размещения дополнительных файлов
- •Сокрытие следов в сети
- •Общая картина
- •Сценарии взлома
- •Сканеры телефонных линий
- •Другие типы взлома
- •Переполнение буфера в bind 8.2
- •Взлом с помощью cookie
- •Области доступа snmp
- •Анализ сетевых пакетов и dsniff
- •Взлом pgp adk
- •Уязвимость паролей cisco ios
- •1. Получить файлы настройки через snmp
- •Вклинивание в процесс передачи ключа
- •Взлом с нттр-туннелированием
Области доступа snmp
Протокол SNMP (Simple Network Management Protocol — простой протокол управления сетью) обычно используется для мониторинга сетей и управления. Протокол SNMP включает в себя возможности опроса сетевых устройств, слежения за состоянием сети, в том числе использованием сети и ошибками. Кроме того, существует возможность изменения сетевых настроек компьютера с помощью SNMP. Данный протокол использует понятие области доступа (community) для аутентификации клиента SNMP агентом, установленным на устройстве управления. По умолчанию выбирается область public, для которой предоставляется доступ для чения основных параметров состояния и конфигурации системы. Для измененш данных и управления системой часто используется область доступа private. Таким образом, взломщик может получить сведения о системе, воспользовавшись областью доступа public, а затем производить запись или изменять системные настройки, используя область доступ private. Удобство этого метода заключаться в том, что протокол SNMP часто устанавливается в систему по умолчанию без ведома администратора.
Протокол SNMP использует архитектуру клиент/сервер и для аутентификации использует строку текста, которая называется областью доступа. Связь между клиентом и сервером осуществляется посредством сообщения, которое называется единицей данных протокола (protocol data unit— PDU). Существует четыре наиболее часто используемых сообщения PDU: запрос get, запрос get next, запрос set и запрос trap.
Запрос get используется для получения указанного значения, которое сохраняется в таблице данных на сервере. Эта таблица называется базой управляющей информации (Management Information Base— MIB). Обращение к содержимому MIB осуществляется за счет пересылки целочисленных значений, разделенных точками. Например, запрос к переменной MIB 1.3.6.1.2.1.1.1 приведет к пересылке информации с описанием сетевого устройства. Запрос get next приводит к пересылке следующей переменной после той, которая была запрошена в последний раз. Это позволяет клиенту обрабатывать все переменные таблицы MIB и получать всю доступную информацию о сетевом устройстве. Запрос set позволяет клиенту установить элемент таблицы MIB в заданное значение. С помощью этого запроса можно изменить настройку удаленной машины, в том числе параметры сетевого интерфейса. Это очень мощная функция, и для ее использования нужно знать название области доступа, которое позволяет проводить запись в систему. Запрос trap посылается сетевым устройством клиенту. Данный запрос может устанавливаться для уведомления о том, что определенное событие произошло. Этот PDU отличается от остальных трех, поскольку пересылается от сервера к клиенту без запроса.
Аутентификация SNMP
Заголовок аутентификации содержит два элемента: номер версии и имя области доступа. Область доступа формируется агентом SNMP из произвольного набора записей SNMP. Каждая область доступа имеет имя. Если элемент SNMP получает сообщение от диспетчера SNMP, а номер версии, область доступа и IP-адрес отправителя соответствуют указанным в настройках агента, такое PDU-сообщение обрабатывается.
Существуют два уровня доступа. Для области доступа может быть установлено разрешение только для чтения или для чтения и записи. Область с доступом только для чтения позволяет обрабатывать лишь запросы типа Get, а область доступа, для которой установлено разрешение на чтение и запись, позволяет выполнять запросы типа Get или Set. Имена областей доступа пересылаются в виде обычного текста. Областями по умолчанию в большинстве версий SNMP являются public (с доступом только для чтения) и private (с доступом для чтения и записи). Многие устройства по умолчанию используют такие области доступа, и многие администраторы работают с ними. Как мы увидим в следующем разделе, это дает взломщикам отличную возможность проникать в сетевые устройства.
Принцип работы
Протокол SNMP разрабатывался в те времена, когда количество компьютеров в Internet было довольно небольшим. В документе RFC 1157, который определяет SNMP, в разделе "Безопасность" написано следующее: "Вопросы безопасности в данной статье не обсуждаются". Это в общем показывает отношение к безопасности в 80-х и начале 90-х годов.
Поскольку имя области доступа является текстовым полем, а многие SNMP-устройства не ведут журнал получения некорректных SNMP-пакетов, можно воспользоваться обычными методами подбора этих имен. Более того, многие сетевые устройства работают с областями доступа, установленными по умолчанию. За исключением некоторых упоминаний о классах Network Management в середине 90-х годов, нигде более не поднимался вопрос использования нестандартных областей доступа. В инструкциях для администраторов и примерах всегда используются стандартные имена, поэтому многие администраторы используют их.
Только представьте себе, что может сделать взломщик после получения имен областей доступа с помощью анализатора пакетов, или использовав метод подбора. Лишь несколько запросов понадобится ему, чтобы узнать практически все о вашей сети. Подменив IP-адрес диспетчера, злоумышленник может даже изменить настройки ваших сетевых устройств, использовав для этого PDU SetRequest. В некоторых случаях взломщик сможет полностью изменить файл настройки маршрутизатора или другого устройства. И все эти действия останутся незамеченными для сканеров сети и систем обнаружения взлома.
Взломщик может получить имя области доступа и дополнительную информацию, и не используя метод подбора. Если взломщику удастся запустить анализатор сетевых пакетов в локальной сети жертвы, он сможет отследить SNMP-сообщения и узнать не только имя области доступа и IP-адрес диспетчера и агента, но и прочесть все сообщение в виде обычного текста. Просто перехватывая сообщения SNMP, можно получить много информации, передаваемой от диспетчера к агенту.
Существует много коммерческих, и довольно дорогих, программ, которые позволяют управлять устройствами SNMP. Среди них HP Openview, Tivoli и Unicenter используются наиболее широко. Любая разновидность UNIX/Linux содержит в себя утилиты работы с устройствами SNMP. Одна из наиболее простых утилит работы с SNMP входит в состав пакета Windows NT 4.0 Resource Kit
Утилиты snmpwalk и snmpset
Утилиты snmpwalk и snmpset изначально входили в состав пакета, разработанного в Меллонском институте Карнеги (Carnegie Mellon University). Эти утилиты могут запускаться на многих системах UNIX, Linux и Windows. Программа snmpwalk использует запрос get-next протокола SNMP, чтобы последовательно считывать значения таблицы MIB из системы SNMP.
Утилита snmpset позволяет выполнять запросы типа set, чтобы изменить значение переменных MIB. Таким образом, можно провести DoS-атаку, изменив настройку сетевого интерфейса. Можно воспользоваться утилитой snmpwalk для получения информации о сетевом интерфейсе. Для этого нужно выполнить команду snmpwalk target public interfaces.if Table.if Entry
Набор WS ping pro
Пакет WS Ping Pro является программой под Windows, которая имеет удобный интер фейс пользователя и позволяет очень легко собирать SNMP-информацию.
Симптомы атаки
Взлом с помощью SNMP можно засечь, если отслеживать неавторизированные SNMP-запросы к компьютерам вашей сети. Эти запросы обычно проводятся к порту UDP 161.
Существуют системы, которые собирают статистику посредством SNMP. Это системы управления внутренней сетью —Tivoli производства IBM, Nethealth производства Concord или Router РМ производства Network Associates. Данные системы определяют эффективность и загруженность сетевых устройств посредством SNMP.
Методы защиты
Для максимальной защиты от взлома с помощью SNMP нужно отключить его использование на всех устройствах. Поскольку это не всегда возможно во многих компаниях и сетях, есть несколько рекомендаций, которые позволят свести опасность к минимуму.
Относитесь ко всем областям доступа, как к паролям и применяйте к ним ту же политику, что и к паролям.
1. Установите минимальное количество символов для имени области доступа — не менее восьми символов, но лучше больше.
-
Имя области доступа должно состоять из буквенных, цифровых и специальных символов.
-
Изменяйте имя области доступа каждые 60-90 дней.
-
Проверяйте безопасность имен областей доступа с помощью snmputil или схожих программ.
-
Избегайте использования областей доступа с правами записи.
-
Не используйте одинаковое имя области доступа на разных устройствах.
-
Блокируйте SNMP-пакеты на всех внешних брандмауэрах.
5. Запретите доступ ко всем SNMP-устройствам на маршрутизаторах и остальных устройствах, где это возможно. Право использования SNMP должна иметь только станция управления SNMP.
6. Узнайте, на каких из ваших сетевых устройств используется SNMP, и какие их настройки.
Кроме того, для обеспечения дополнительной безопасности выполните следующие действия.
-
Просканируйте свою сеть на наличие сетевых карт, запущенных в беспорядочном режиме.
-
Постоянно обновляйте все программы в вашей сети. Регулярно посещайте Web-узлы разработчиков в поисках обновлений, заплат и бюллетней.
-
Следите за системными, сетевыми и всеми остальными журналами. Внимательно просматривайте все, что касается SNMP.