Раздел «Security». Меню «Port Security»

Данное меню предназначено для настройки безопасности на уровне индивидуального порта. Внешний вид меню представлен на рисунке 61.

Рисунок 61. Окно раздела «Security» меню «Port Security»

Могут быть выставлены следующие параметры:

- From/To – задаёт диапазон портов, для которых выполняются настройки;

- Admin State – активирует (Enabled) или деактивирует (Disabled) функцию безопасности, то есть блокирует таблицу коммутации для выбранных портов;

- Max. Addr (0-10) – задаёт максимальное количество аппаратных адресов, которые будут занесены в таблицу коммутации для выбранной группы портов;

- Lock Address Mode – режим блокировки – позволяет выбрать, каким образом будет реализовано блокирование таблицы коммутации:

-- Permanent – заблокированные адреса НЕ будут устаревать (удаляться) по прошествии таймаута (времени их жизни);

-- DeleteOnTimeout – заблокированные адреса будут устаревать (удаляться) по прошествии таймаута, то есть как и обычно;

-- DeleteOnReset – заблокированные адреса будут удаляться только после перезагрузки коммутатора.

Протокол snmPv3

В этой версии существенно расширена функциональность, разработана новая система безопасности.

Протокол обмена данными

Ниже на рисунке 4 приведена временная диаграмма, на которой в общем виде представлен протокол обмена SNMP-сообщениями. Для своей работы протокол SNMP использует транспортный протокол UDP, в основном 161 порт. Но для trap-сообщений используется 162 порт. Возможные команды протокола SNMPv3 приведены в таблице.

Рисунок 4 - Временная диаграмма протокола обмена SNMP-сообщениями

Таблица - Основные команды протокола SNMPv3

Формат SNMP-сообщения

Полное описание формата сообщения протокола SNMPv3 дано в документе RFC-3412.

SNMP-сообщение логически разделено на три части:

1. Часть, которая формируются отправителем в рамках модели обработки сообщений и обрабатываются получателем.

2. Часть, отвечающая за функции безопасности.

3. Собственно поле данных.

Формат сообщения представлен на рисунке 5.

Рисунок 5 - Формат сообщения протокола SNMPv3

Для реализации модели обработки сообщений используются следующие поля:

1. msgVersion. Версия протокола. Для протокола SNMPv3 значение в поле равно 3.

2. msgID. Уникальный идентификатор, используемый SNMP-сущностями для установления соответствия между запросом и откликом. Значение msgID лежит в диапазоне 0 - (2³¹-1).

3. msgMaxSize. Максимальный размер сообщения в октетах, поддерживаемый отправителем. Его значение лежит в диапазоне 484 - (2³¹-1) и равно максимальному размеру сегмента, который может воспринять отправитель.

4. msgFlags. Однобайтовая строка, содержащая три флага в младших битах:

- reportableFlag. Если reportableFlag=1, то должно быть прислано сообщение с отчётом (команда Report). Флаг reportableFlag устанавливается отправителем во всех сообщениях запроса (команды Get, Set, Inform). Флаг устанавливается равным нулю в откликах и Trap-уведомлениях;

- privFlag;

- authFlag.

Флаги privFlag и authFlag устанавливаются отправителем для индикации уровня безопасности для данного сообщения. Для privFlag=1 используется шифрование, а для authFlag=0 - аутентификация. Допустимы любые комбинации значений флагов кроме privFlag=1 AND authFlag=0 (шифрование без аутентификации).

5. msgSecurityModel. Идентификатор со значением в диапазоне 0 - (2³¹-1), который указывает на модель безопасности, используемую при формировании данного сообщения. Зарезервированы значения 1 – для SNMPv1, 2 и 3 – для SNMPv3.

5. Безопасность протокола snmPv3

Модели безопасности протоколов SNMPv1-v3

Перечислим модели безопасности, применяющиеся в соответствующих версиях протокола SNMP:

1. SNMPv1

SNMPv1 – Community-based Security Model

2. SNMPv2

SNMPv2p – Party-based Security Model

SNMPv2c – Community-based Security Model

SNMPv2u – User-based Security Model

3. SNMPv3

SNMPv3 – USM User-based Security Model

Модель безопасности на основе сообществ

Модель безопасности на основе сообществ (Community-based Security Model) была первой, самой простой и самой небезопасной. Она подразумевает лишь аутентификацию на основе «строки сообщества», фактически, пароля, передаваемого по сети в теле сообщения SNMP в открытом тексте. Эта модель безопасности не в состоянии бороться ни с одной из угроз информационной безопасности. Тем не менее, она часто используется до сих пор в связи со своей простотой, а также благодаря наличию внешних, не связанных с SNMP систем безопасности, например, межсетевых экранов.

Модель безопасности на основе сторон

Модель безопасности на основе сторон (Party-based Security Model) подразумевает введение понятие стороны. Сторона — это виртуальное окружение исполнения, в котором набор допустимых операций ограничен административно. Сущность SNMP при обработке сообщения действует как сторона, поэтому ограничена операциями, определёнными для этой стороны. Сторона определяется следующими параметрами:

1. Уникальный идентификатор стороны.

2. Логический сетевой адрес (адрес транспортного протокола).

3. Протокол аутентификации и параметры, требующиеся для аутентификации всех сообщений стороны

4. Протокол шифрования и параметры, требующиеся для шифрования всех сообщений стороны.

Могут использоваться различные алгоритмы для протоколов аутентификации и шифрования. Обычно в качестве алгоритма для протокола аутентификации используют хэш-функцию Message Digest 5 (MD5), а для протокола шифрования — алгоритм Data Encryption Standard (DES) в режиме Cipher Block Chaining (CBC). При использовании соответствующих протоколов аутентификации и шифрования модель успешно справляется с большинством угроз безопасности. Данная модель безопасности не была широко принята, поскольку показалась многим слишком сложной и запутанной.

Модель безопасности на основе пользователей

Модель безопасности на основе пользователей (User-based Security Model) вводит понятие пользователя, от имени которого действует сущность SNMP. Этот пользователь характеризуется именем пользователя, используемыми протоколами аутентификации и шифрования, а также закрытым ключом аутентификации и шифрования. Аутентификация и шифрование являются необязательными. Модель безопасности во многом похожа на модель на основе сторон, но она упрощает идентификацию пользователей, распределение ключей и протокольные операции.

Модель безопасности USM

Модель безопасности USM (User-Based Security Model) использует концепцию авторизованного сервера (authoritative Engene). При любой передаче сообщения одна или две сущности, передатчик или приемник, рассматриваются в качестве авторизованного SNMP-сервера. Это делается согласно следующим правилам:

1. Когда SNMP-сообщение содержит поле данных, которое предполагает отклик (например, Get, GetNext, GetBulk, Set или Inform), получатель такого сообщения считается авторизованным.

2. Когда SNMP-сообщение содержит поле данных, которое не предполагает посылку отклика (например, SNMPv2-Trap, Response или Report), тогда отправитель такого сообщения считается авторизованным.

Таким образом, сообщения, посланные генератором команд, и сообщения Inform, посланные отправителем уведомлений, получатель является авторизованным. Для сообщений, посланных обработчиком команд или отправителем уведомлений Trap, отправитель является авторизованным. Такой подход имеет две цели:

1. Своевременность сообщения определяется с учетом показания часов авторизованного сервера. Когда авторизованный сервер посылает сообщение (Trap, Response, Report), оно содержит текущее показание часов, так что неавторизованный получатель может синхронизовать свои часы. Когда неавторизованный сервер посылает сообщение (Get, GetNext, GetBulk, Set, Inform), он помещает туда текущую оценку показания часов места назначения, позволяя получателю оценить своевременность прихода сообщения.

2. Процесс локализации ключа, описанный ниже, устанавливает единственного принципала, который может владеть ключом. Ключи могут храниться только в авторизованном сервере, исключая хранение нескольких копий ключа в разных местах.

Когда исходящее сообщение передается процессором сообщений в USM, USM заполняет поля параметров безопасности в заголовке сообщения. Когда входное сообщение передается обработчиком сообщений в USM, обрабатываются значения параметров безопасности, содержащихся в заголовке сообщения. В параметрах безопасности содержатся следующие поля:

- msgAuthoritativeEngeneID. Идентификатор авторизованного сервера, участвующего в обмене. Это значение идентификатора отправителя для Trap, Response или Report или адресата для Get, GetNext, GetBulk, Set или Inform.

- msgAuthoritativeEngeneBoots. snmpEngeneBoots авторизованного сервера, участвующего в обмене. Объект snmpEngeneBoots содержит целочисленные значения в диапазоне 0 - (2³¹-1). Это поле содержит число, показывающее сколько раз SNMP-сервер был перезагружен с момента конфигурирования.

- msgAuthoritativeEngeneTime. Время работы авторизованного сервера, участвующего в обмене. Значение этого поля лежит в диапазоне 0 - (2³¹-1). Это поле характеризует число секунд, которое прошло с момента последней перезагрузки сервера. Каждый авторизованный сервер должен инкрементировать это поле один раз в секунду.

- msgUserName.

Имя пользователя, который послал сообщение.

- msgAuthenticationParameters. Поле содержит ноль, если при обмене не используется аутентификация. В противном случае данное поле содержит аутентификационный параметр.

- msgPrivacyParameters. Поле содержит ноль, если не требуется соблюдения конфиденциальности. В противном случае данное поле содержит параметр безопасности. В действующей модели USM используется алгоритм шифрования DES.

Механизм аутентификации в SNMPv3 предполагает, что полученное сообщение действительно послано пользователем, имя которого содержится в заголовке сообщения, и это имя не было модифицировано во время доставки сообщения. Для реализации аутентификации каждый из пользователей, участвующих в обмене должен иметь секретный ключ аутентификации, общий для всех участников (определяется на фазе конфигурации системы). В посылаемое сообщение отправитель должен включить код, который является функцией содержимого сообщения и секретного ключа. Одним из принципов USM является проверка своевременности сообщения, что делает маловероятной атаку с использованием копий сообщения.

Модель управления доступом

Система конфигурирования агентов позволяет обеспечить разные уровни доступа к базе MIB для различных SNMP-менеджеров. Это делается путем ограничения доступа некоторым агентам к определенным частям MIB, а также с помощью ограничения перечня допустимых операций для заданной части MIB. Такая схема управления доступом называется VACM (View-Based Access Control Model). В процессе управления доступом анализируется контекст (vacmContextTable), а также специализированные таблицы vacmSecurityToGroupTable, vacmTreeFamilyTable и vacmAccessTable.

Ping

Используется для проверки соединения с удаленным узлом. Утилита Ping использует пакеты эхо-запроса (echo request) и эхо-ответа (echo reply) протокола ICMP (Internet Control Message Protocol) для проверки доступности и работоспособности определенного узла TCP/IP. Действует посредством посылки ICMP пакетов и ожидания ответа в течение 1 секунды (значение по умолчанию). На экран выводится время в миллисекундах, затраченное на ожидание отклика.

Синтаксис командной строки:

ping IP-address или DNS-имя удаленного хоста

Рисунок 6 - Пример окна утилиты Ping

В поле time указывается, за какое время (в миллисекундах) посланный пакет доходит до удаленного узла и возвращается на ваш узел. Поле ttl указывает время жизни пакета. После приостановки выполнения утилиты она выдает статистику: сколько пакетов послано, сколько получено и утеряно, время задержки (минимальное, среднее и максимальное).

Вместо IP-адреса хоста может быть указан широковещательный адрес. В этом случае результатом работы утилиты будет список узлов, откликнувшихся на запрос. Откликнутся все узлы сети, активные в настоящий момент и имеющие IP-адрес, соответствующий указанной маске 255.255.255.32.

Рисунок 7 - Пример окна утилиты Ping

Tcpdump

Одним из мощных средств анализа всей сетевой активности является утилита tcpdump. Она переводит сетевой интерфейс в режим приема всех пакетов (promiscuous) и выводит информацию на экран. В Linux такое переключение возможно только для суперпользователя, то есть для полноценного использования tcpdump необходимо зарегистрироваться под пользователем root. На других системах требования немного другие и они представлены в документации к tcpdump.

Синтаксис командной строки tcpdump следующий:

tcpdump [< опции...> ] < выражение фильтра>

Наиболее используемые опции tcpdump:

-c < число пакетов>

Сколько пакетов считать. После считывания последнего пакета, tcpdump завершает работу. Например, «tcpdump -c 50» считывает только 50 пакетов

-i < интерфейс>

На каком интерфейсе осуществлять съём информации. Например, «tcpdump -i eth1» осуществляет съём данных на втором ethernet-интерфейсе eth1. Данная опция полезна, когда на используемом компьютере имеются 2 и более сетевых карт.

-s < число байт>

Сколько байт начала каждого пакета считывать. По умолчанию используется значение 68 байт. Этого должно хватать для расшифровки данных из заголовков пакетов большинства протоколов, однако может возникнуть необходимость использовать большее значение.

-w < имя файла>

Записывать содержимое пакетов в файл. Полезно для съёма информации в неурочное время или при больших объёмах передаваемой информации.

-r < имя файла>

Анализ информации записанной с помощью опции –w.

< выражение фильтра> позволяет отсеивать явно ненужную информацию, захватывая лишь пакеты, которые удовлетворяют условиям этого выражения. Полный синтаксис выражений можно найти в документации по tcpdump.

Рисунок 8. Пример окна утилиты tcpdump

На экран выведены имя «слушающего» сетевого интерфейса, время с точностью до микросекунд, имя отправляющего узла и имя назначения.

ARP

Для проверки ARP-таблиц, содержащих соответствие между IP-адресом и МАС-адресом, используется утилита ARP. В некоторых случаях бывает полезно просмотреть или изменить содержание ARP-таблицы, например, когда вы подозреваете, что двойной адрес является причиной сетевой неустойчивости. Одна из проблем, которая может потребовать, чтобы вы вручную добавили IP-адрес к ARP-таблице, это когда по некоторым причинам ARP-запросы для удаленного хоста не доходят, например, когда есть сбой ARP-драйвера, или имеется другой хост в сети, который ошибочно опознает себя с IP-адресом другого хоста. Твердая установка IP-адреса в ARP-таблице также является мерой защиты себя от хостов в вашем Ethernet, которые выдают себя за кого-то другого.

Синтаксис командной строки:

arp [-v] [-t hwtype] -a [hostname]

arp [-v] [-t hwtype] -s hostname hwaddr

arp [-v] -d hostname [hwaddr]

Аргумент hostname может быть как именем, так и IP адресом. Первая строка отображает ARP-запись для IP-адреса, указанного хоста или всех известных хостов, если hostname не задается.

Рисунок 9 Пример окна утилиты ARP

При использовании опции -t вы увидите информацию только о том типе аппаратных средств, который укажете. Это могут быть:

- ether

- ax25

- pronet (Ethernet 10Mbps)

- AMPR AX.25

- IEEE 802.5

Опция -s используется, чтобы добавить Ethernet-адрес хоста к ARP-таблицам.

Аргумент hwaddr определяет адрес аппаратных средств, который по умолчанию предполагается Ethernet-адресом, указанным как шесть шестнадцатеричных байт, разделяемых двоеточиями. Вы можете также устанавливать адреса для других типов аппаратных средств, используя опцию -t.

Вызов arp с использованием ключа -d удаляет все ARP-записи, касающиеся данного хоста. Это может быть необходимо, чтобы вынудить интерфейс повторно получить Ethernet-адрес для данного IP. Это полезно, когда переконфигурированная система имеет неправильную ARP-информацию.

 

⇐ Предыдущая123456

Поделиться: