Иллюстрированный самоучитель по Secure Web


Анализ пакетов на коммутаторе сети - часть 5


[root@kramer snmpsniff-0.9b]# ./snmpsniff.sh

snmpsniffer: listening or. ethO

(05:46:12) 172.31.50.100(secret)-» 172.31.50.2 (ReqID:1356392156)

GET:

<.iso.org.dod.internet.ragmt.mib-2.system.1.0>(NULL)

= NULL (05:46:12) 172.31.50.2(secret)-» 172.31.50.100
(ReqID:1356392156)

RESPONSE (Err:0): <.iso.org.dod.internet.mgmt.mib-2.system.1.0>

(Octet String) = OCTET STRING- (ascii) : Cisco Internetwork

Operating System Software ..IOS (tin) 3000 Software (IGS-I-L),

Version 11.0(16), RELEASE SOFTWARE (fcl)..Copyright (c) 1986-1997

by Cisco Systems, Inc...Compiled

Tue 24-Jun-97 12:20 by jaturner

Как видно из приведенного выше фрагмента, злоумышленнику удалось узнать одну из строк доступа (secret), которая может оказаться строкой доступа, позволяющей не только получать, но и записывать данные на маршрутизатор 172.31.50.2 с помощью SNMP. Теперь злоумышленник сможет получить доступ не только к устройствам вашей сети, но и попробовать взломать еще одну "жертву" — компьютер с IP-адресом 172.31.50.100.

Контрмеры: защита трафика ЗММР


Одна из защитных мер, позволяющих предотвратить перехват трафика SNMP, заключается в его шифровании. В обоих версиях этого протокола, SNMP\2 и SNMPvS, имеется возможность применения алгоритмов шифрования и стандарта DES для шифрования конфиденциальной информации. Альтернативный подход заключается в реализации защищенного канала на базе частной виртуальной сети (VPN — Virtual Private Network). При использовании клиентского программного обеспечения VPN, разработанного компанией Entrust (http://www.entrust.com) или компанией NortelNetworks (http://www.nortelnetworks.com), гарантируется шифрование трафика между клиентским узлом и концом канала VPN.

Ложные пакеты RIP


После успешной идентификации маршрутизаторов вашей сети, опытный взломщик наверняка предпримет попытку найти те из них, которые поддерживают протокол маршрутизации RIP (Routing Information Protocol) версии 1 (RFC 1058) или 2 (RFC 1723). Почему? Дело в том, что с его помощью легко сгенерировать ложные пакеты. Объясняется это следующими причинами.



Начало  Назад  Вперед