На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Инвентаризация SNMP

Мы часто вспоминаем одну из наших любимых поучительных историй о том, как упря­мый системный администратор хоста клиента (проверяемого хоста) утверждал, что его систе­мы под управлением Windows NT нельзя взломать. Он говорил: "Я заблокировал протокол NetBIOS, поэтому на моих Windows-системах никак нельзя получить имена учетных записей. Это вас остановит".
Конечно, доступ к ТСР-портам 139 и 445 был заблокирован, то есть была отключена служба SMB. Однако проведенное ранее сканирование портов показало, что доступен не менее привле­кательный агент протокола SNMP (Simple Network Management Protocol — упрощенный прото­кол сетевого управления) через UDP-nopr 161. По умолчанию протокол SNMP не устанавлива­ется на системах семейства Windows NT, но его легко можно добавить через пункт панели управления Add/Remove Programs (Установка и удаление программ). Протокол SNMP ши­роко используется во многих организациях для обмена данными в локальных сетях.
В системе Windows 2000 и более ранних версиях Windows по умолчанию строке доступа (приблизительный эквивалент пароля для доступа к службе) присвоено значение "public". Инфор­мация, которую можно извлечь из систем Windows с помощью агента SNMP, может разрушить все, о чем мы говорили на протяжении этой главы. Как же разочарован был наш системный админист­ратор! Далее читайте отом, что мы сделали с его машинами, и не повторяйте эту ошибку.
НДВАМЕТНУ
В системы Windows Server 2003 внесены коренные изменения в настройки по умолчанию для протокола SNMP, которые позволяют предотвратить все рас­смотренные далее атаки. Следующие описания атак (кроме отдельно указан­ных случаев) подходят только для систем Windows 2000.
Использование утилиты snmputil


Популярность

1 8

 

 

 

Простота Опасность

7 5

 

 

Степень риска

7

 

 

Если на атакуемой системе задана легко угадываемая строка доступа, то с помощью ути­литы snmputil из пакета Resource Kit получение данных об учетных записях систем Windows через протокол SNMP становится простым и приятным занятием. В следующем примере по­казано, как с удаленной машины получить фрагмент информации из базы данных MIB LANManager, используя строку доступа "public" с правом чтения (12).
C:\>*nn«iutil walk 192 .1SS.202 . 33 public .1.3.6.1.4.1.77.1.2.25
Variable - .iso.org.dod.internet.private.enterprises.lanmanager.
lanmgr-2.server.svUserTable.svUserEntry.svDserName.5.
71.117.101.115.116 Value       = OCTET STRING - Guest
Variable = .iso.org.dod.internet.private.enterprises.lanmanager.
lanmgr-2.server. svUserTable.svUserEntry.svUserName.13.
65.100.109.105.110.105.115.116.114.97.116-111.114 Value       = OCTET STRING - Administrator
End of MIB subtree.
Последняя переменная в вызове программы snmputil, ".1.3.6.1.4.1.77.1.2.25" — это идентификатор объекта (OID — Object Identifier), который указывает ветвь базы Microsoft enterprise Management Information Base (МГВ) в соответствии с определенной в протоколе SNMP. База данных MIB имеет иерархическую структуру, поэтому "поднимаясь" по дереву (используя меньшие значения OID. например, .1.3.6.1.4.1.77), можно собрать больше информации. Вес эти числа трудно запомнить, поэтому взломщики пользуются их текстовы­ми эквивалентами. В табл. 4.6 перечислены некоторые сегменты базы MIB, из которых мож­но извлечь что-нибудь полезное.
Таблица 4.6. Идентификаторы объектов базы данных SNMPJMiB, которые м использовать для получения важной информации о системе
SNMP MIB (эту строку необходимо добавить к строке .iso.org.dod.internet- private. е nte rp rises. lanman ager. la rung г2)
Полезная информация
. se rver. svSvclable. svSvcEntry.svSvcName . server. s\£hareTable. svShare En Iry.SvShare Name . server. svShareTable. svS hare Entry .si/Share Path .server.svShareTa ble. svS hare Entry .svSh areCo mment
. se rve r.svUserTabte. svUserEntry. svll serName .domain.domPrimaryDomain
Запущенные службы
Совместно используемые ресурсы
Пути к совместно используемым ресурсам
Комментарии к совместно используемым ре­сурсам
Имена пользователей Имя домена
Получение данных по SNMP с помощью программ SolarWinds


Популярность

8

Простота

7

Опасность

5

Степень риска

7

Конечно, чтобы не набирать все эти строки, можно загрузить отличный графический брау­зер для SNMP, который называется IP Network Browser из набора утилит SolarWinds Professional Plus (ссылка на эту программу есть в разделе "Дополнительная литература и ссылки"). Цена на­бора программ Professional Plus — 695 долл., но он того стоит.
Утилита IP Network Browser позволяет хакеру просматривать всю информацию в "живом виде". На 6 показано окно программы IP Network Browser во время проверки компью­тера под управлением Windows 2000 с запущенным агентом SNMP и установленной по умол­чанию строкой доступа "public".
Все становится еще хуже, если удается выяснить строку доступа с помощью программы 1Р Network Browser. Используя программу Update System MIB (7) из набора SolarWinds Professional Plus Toolset, при наличии правильной строки доступа можно записывать значения в базу System MIB, включая имя системы, расположение и контактную информацию.
Меры противодействия вредоносному использованию SNMP
Простейший способ предупредить подобные действия — удалить агент SNMP или отклю­чить службу SNMP, открыв компонент Services (Службы) через панель управления (файл services . msc).
Если отключить протокол SNMP нельзя, то, по меньшей мере, его необходимо правильно настроить И заменить стандартную строку доступа на уникальную (заменить используемые по умолчанию значения "public" или "private" в системах Windows 2000). чтобы хост отвечал только по указанным IP-адресам. Это типичная конфигурация для окружения, в котором используется одна управляющая рабочая станция для сбора SNMP-информации от всех устройств. Для зада­ния этих настроек откройте элемент Services (Службы) панели управления, который находится в оснастке Administrative Tools (Администрирование), затем щелкните правой кнопкой на SMTP Service (служба SNMP) и выберите команду Properties (Свойства), откройте вкладку Security (Безопасность) и измените следующие значения:


Accepted Community Names (Приемлемые имена сообществ)

Укажите уникальную, трудную для угады­вания стро ку доступ а

Accept SNMP Packets From These Hosts (Принимать пакеты SNMP только от этих узлов)

Введите IP-адрес своей рабочей станции по управлению протоколом SNMP

На 8 показаны значения параметров безопасности, установленные по умолчанию для агентов SNMP в системах Windows Server2003. Мы счастливы сообщить, что в этой кон­фигурации по умолчанию не задано никаких строк доступа и доступ к SNMP-агснту ограни­чен только локальным хостом. Это еще один пример инициативы Microsoft по обеспечению надежных вычислений "Secure by Default" ("Безопасность по умолчанию"). Безусловно, большинство администраторон изменят эти значения для поддержки SNMP-служб, но опас­ная конфигурация теперь по умолчанию отключена.
Кончено же, если протокол SNMP используется для управления сетью, необходимо заблоки­ровать доступ к TCP- и UDP-порту 161 (SNMP GET/SET) на всех сетевых устройствах, установ­ленных по периметру сети. Как будет показано в этой и других главах, нельзя допускать утечку внутренней информации SNMP в сети общего пользования.
Более опытные администраторы могут отредактировать реестр, чтобы разрешить только подтвержденный доступ к службе SNMP Community Name и запретить отправку сведений об ученых записях . Для этого нужно запустить программу regedit32 и перейти в раздел
\ Sy s tem \ Cur г entContr о 1S et \ S Выберите параметр Security\Permissions и разрешите доступ только для проверенных пользователей. Затем перейдите в раздел 7^KLM\System\CurrentControlSet\Services\ SNMP\Parameters\ExtensionAgents и удалите параметр, который содержит строку "LAMManagerMIB2AgenC", а остальные параметры переименуйте, чтобы сохранить последова­тельность. Например, если был удален параметр I, то параметры 2, 3 и т.д. необходимо переиме­новать таким образом, чтобы последовательность начиналась с 1 и заканчивалась значением, равным числу значений в списке.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика