Marshrutlarning maksimal sonini aniqlash, m tarmoqning topologik xaritasini ikki yo‘nalishga keltirish
Download 113.74 Kb.
|
blok sxem
- Bu sahifa navigatsiya:
- Tugunlarni boshqarish usullari.
- 2.1.3.1. Tarmoq tugunlariga masofadan kirish uchun texnika va yordamchi dasturlar
|
Boshlash Marshrutlarning maksimal sonini aniqlash, M Tarmoqning topologik xaritasini ikki yo‘nalishga keltirish Faol marshrutlarning kerakli sonini oshiring Kerakli miqdordagi faol marshrutlarni belgilash, A X-BDV yordamida muqobil eng qisqa yo‘llarni olish, t t dagi barcha mumkin bo'lgan tugunlarni ishonchliga aylantirish O'zgartirilgan Dijkstra algoritmidan foydalanib ishonchli marshrutni topish t≤M Ishonchli marshrut topildi Ha Yo‘q Yo‘q Ha Topilgan ishonchli marshrutni saqlash Tamom Tugunlarni boshqarish usullari. DM - nazorat qilish (ingliz tilidan nazorat qilish - boshqarish) manfaati uchun tugunlarni masofadan boshqarishni olish yo‘llarini ko‘rib chiqing. Tutishni boshqarishni tashkil etishning mohiyati shundan iboratki, uning uskunasiga masofadan kirish, keyinchalik DM agenti yo‘riqnoma dasturiga kiritiladi. Xavfsizlik nuqtai nazaridan, asosiy uskunani masofadan boshqarish ta’minlanmaganligi sababli, uni faqat nostandart xususiyatlardan foydalangan holda olish mumkin, masalan, protokollar, dasturiy ta’minot, uskunalar sozlamalari va boshqalardagi zaifliklardan foydalangan holda. [107] - ya’ni DM ning maxsus vositalarini yaratish. 2.1.3.1. Tarmoq tugunlariga masofadan kirish uchun texnika va yordamchi dasturlar Biz Cisco marshrutizatorlari misolida (eng keng tarqalgan) telekommunikatsiya uskunalariga masofaviy "g‘ayritabiiy" kirishni amalga oshiradigan asosiy usullarni, shuningdek, bu holda boshqarish vositasi sifatida foydalanish uchun foydalaniladigan yordamchi dasturlarni o‘rganamiz. 1) SNMP trafigini ushlab turish. SNMP trafigini ushlab turish orqali kengaytirilgan xostni identifikatsiya qilish texnikasiga o‘xshab, bu paketlar kirish qatorini o‘z ichiga olishi mumkin, undan nafaqat o‘qish, balki xostdagi apparat konfiguratsiya fayllariga ma’lumotlarni yozish uchun ham foydalanish mumkin (agar bir xil satr ishlatilsa). . Tutib olish uchun Nuno Leitao [108] tomonidan ishlab chiqilgan snmpsniff.sh qobiq skripti yordam dasturidan foydalanish mumkin. Ishga tushirish misoli va yordam dasturining natijasi quyida ko‘rsatilgan: >snmpsniff.sh snmpsniffer: ethO ni tinglash (12:00:00) 192.168.0.1 (maxfiy) -" 192.168.0.2 (ReqlD: 123456789) Ko‘rib turganingizdek, yordamchi dastur 192.168.0.1 marshrutizatori uchun o‘qishga kirish qatorini belgilab qo‘ydi - maxfiy, u ham yozishga kirish qatori bo‘lishi mumkin. Bundan tashqari, bir xil kirish qatoriga ega bo‘lishi mumkin bo‘lgan 192.168.0.2 xost ochildi. Hozirgi vaqtda SNMP protokolining 3 ta versiyasi ma’lum bo‘lib, ular 3 ta xavfsizlik modelini belgilaydi. SNMPvl-da xavfsizlik xuddi SNMPv2c kabi kirish satrlariga asoslangan. Ammo SNMPv3 bilan kirish xavfsizligi tarmoq orqali uzatiladigan paketlarni autentifikatsiya qilish va shifrlash kombinatsiyasi bilan ta’minlanadi [109]. SNMPv3 xavfsizlik modellarini (foydalanuvchi va ular joylashgan guruh uchun o‘rnatilgan autentifikatsiya strategiyalari) va xavfsizlik darajalarini (xavfsizlik modelida ruxsat etilgan darajalar) qo‘llab-quvvatlaydi. Ularning kombinatsiyasi SNMP paketini qayta ishlashda qaysi xavfsizlik mexanizmi ishlatilishini aniqlaydi (2.1-jadvalga qarang). Model vl v2(c) v3 v3 v3 Xavfsizlik darajasi noAuthNoPriv noAuthNoPriv noAuthNoPriv authNoPriv authPriv Autentifikatsiya Kirish qatori Kirish qatori Foydalanuvchi nomi MD5 yoki SHA MD5 yoki SHA Shifrlash Yo‘q Yo‘q Yo‘q Yo‘q DES 2.1-jadval - SNMP protokolining modellari va xavfsizlik darajalari 2) SNMP parolining shafqatsiz kuchi SNMP uchun standart kirish satrlari o‘qish uchun "ommaviy" va yozish uchun "xususiy". Satr lug‘at orqali ham, belgilarning to‘liq ro‘yxati bilan ham mos kelishi mumkin. Lug‘at, masalan, uning veb-saytidan yoki DM usulini kengaytirilgan identifikatsiya qilish bosqichida olingan qiziqish tugunlari haqidagi ma’lumotlar asosida tuzilishi mumkin. Agar kerak bo‘lsa, standart Linux so‘z faylidagi kabi ko‘proq hajmli lug‘atlardan foydalanish mumkin. SNMP kirish satrlarini to‘g‘ridan-to‘g‘ri sanab o‘tish uchun ADMsnmp, UDC-SNMP, Solarwinds va boshqalar kabi yordamchi dasturlar mavjud.Utilitalar xostga kirishga urinib, natijalar haqida xabar berish uchun lug‘at orqali takrorlanadi. Ushbu texnikadan foydalanish uchun siz qoidalar ro‘yxati bo‘yicha filtrlashsiz SNMP agentiga kirishni ta’minlashingiz kerak bo‘lishi mumkin. 3) telnet parolining qo‘pol kuchi Telnet - bu xost bilan o‘zaro aloqa qilish uchun xavfsiz bo‘lmagan tarmoq protokoli bo‘lib, uning uskunasiga masofadan kirish uchun ishlatilishi mumkin. Buning uchun siz eng keng tarqalgan yoki lug‘atlarda mavjud bo‘lgan va belgilarning to‘liq ro‘yxati bilan yakunlangan parollarni sanab o‘tishingiz mumkin. Telnet parollarini qo‘pol majburlash uchun ko‘plab yordamchi dasturlar mavjud (shuningdek, ko‘plab boshqa xizmatlar). Protokol parolni shafqatsiz kuch bilan buzishi mumkin bo‘lsa-da, u (ishonchsizlik tufayli) ko‘pincha SSH (Secure Shell) foydasiga OS boshqaruv vositasi sifatida tark etiladi; ikkinchisi xavfsiz masofadan boshqarish uchun maxsus mo‘ljallangan [110]. 4) kengaytirilgan identifikatsiyadan foydalangan holda tarmoq haqida ma’lumot to‘plash. Kengaytirilgan identifikatsiya bosqichida to‘plangan ma’lumotlardan (2.2-bo‘limga qarang) tugunlarga to‘g‘ridan-to‘g‘ri masofaviy kirish uchun foydalanish mumkin emas. Biroq, undan masofadan kirish yo‘llarini topish, ularning haqiqatini yashirish, kengaytirilgan parol lug‘atlarini tuzish va h.k. uchun tarmoqni tahlil qilish uchun foydalanish mumkin. Masalan, CDP va SNMP tarmoq ramkalarida xost IP-lari, ularning apparat, dasturiy ta’minot versiyalari, mumkin bo‘lgan foydalanuvchi nomlari va boshqa ma’lumotlar mavjud. Ushbu texnikaning afzalligi shundaki, yarim ochiq manbalardan foydali ma’lumotlarni olish juda ahamiyatsiz. 5) Identifikatsiya xizmatlaridan foydalanuvchi nomlarini sanash Ko‘pincha xost apparati foydalanuvchi nomidan foydalangan holda kengaytirilgan autentifikatsiyani (paroldan tashqari) qo‘llab-quvvatlaydi. Bunday holda, identifikatsiya yordamida olingan foydalanuvchi nomlarini sanab o‘tish kerak bo‘ladi xizmatlar. Ushbu xizmatlardan biri barmoqdan, masofaviy kompyuter foydalanuvchilari ro‘yxatini va ular haqidagi ma’lumotlarni taqdim etish uchun mo‘ljallangan tarmoq protokolidan foydalanadi: login nomi, to‘liq ism, terminal nomi, kirish holati, bo‘sh vaqt, kirish vaqti, ish joyi, telefon raqami, va boshqalar .P. Ishga tushirish misoli va natijada olingan ma’lumotlar quyida ko‘rsatilgan: >finger@example.com Kirish nomi Bekor kirish vaqti Ofis telefoni ildiz ildizi 1:00 20 oktyabr 6:00 123-4567 foydalanuvchi Men 2:00 20 oktyabr 9:00 333-4455 Ko‘rib turganingizdek, yordamchi dastur example.com sayti foydalanuvchilari, shu jumladan ularning hisob nomlari va kirish vaqtlari haqidagi ma’lumotlarni qaytardi; bu DM nomidan kirishga urinish uchun ishlatilishi mumkin. Biroq, xavfsizlik nuqtai nazaridan barmoq xizmati odatda tarmoqda taqdim etilmaydi; va agar u mavjud bo‘lsa, parolni taxmin qilish uchun bir nechta muvaffaqiyatsiz urinishlardan so‘ng foydalanuvchi hisobini bloklash mumkin. 6) Cisco Hardware HTTP zaifligi HTTP zaifligi (HTTP Configuration Arbitrary Administrative Access Vulnerability) ko‘pchilik Cisco uskunasiga ta’sir qilishi ma’lum va ko‘pchilik zaiflik skanerlari tomonidan aniqlanadi [111]. Bu oddiy veb-brauzer yordamida maqsadli routerni masofadan boshqarish imkoniyatini beradi. Zaiflik hujumga uchragan uskunaning konfiguratsiyasini, foydalanilgan interfeyslarni, kirishni boshqarish ro‘yxatlarini (ACL-Access Control Lists), SNMP qatorlari va parollarini (aniq yoki shifrlangan) ochib beradi. Konfiguratsiya faylidagi parollar odatda quyidagi formatlarda saqlanadi: Clear Text, Vigenere va MD5. Birinchisi, ochiq joyda saqlash va uni parolini ochish uchun qo‘shimcha qadamlarni talab qilmaydi. Ikkinchisining formati polialfavit almashtirishning oddiy shakli bo‘lib, GetPass yordam dasturi yordamida shifrini ochish mumkin [112]. Parollarni saqlashning eng xavfsiz formati bir tomonlama MG)5 xeshlashdir, buning uchun dekodlash algoritmi mavjud emas. Biroq, bu holda "lug‘at hujumi" yoki to‘g‘ridan-to‘g‘ri qidiruvni amalga oshirish mumkin - buning uchun "Cain and Abel" yordam dasturidan foydalanish mumkin [113]. Garchi ushbu zaiflikdan foydalanish xost uskunasini masofadan boshqarish muammosini deyarli butunlay hal qilsa-da, ammo "to‘g‘ri" ma’muriyat bilan u birinchi navbatda tuzatiladi. 7) Cisco uskunalari DHCP xizmatining zaif tomonlari. Cisco qurilmalari manzillarni taqsimlash va xost konfiguratsiyasi sozlamalarini ta’minlashi mumkin, ya’ni ular DHCP serverlari vazifasini bajarishi mumkin. Bundan tashqari, qurilmalar DHCP va BootP paketlarini yo‘naltirishi mumkin, bu holda tarjimon sifatida ishlaydi. Odatda, DHCP paketi qabul qilinganda, u keyingi ishlov berish uchun kirish navbatiga joylashtiriladi. Etkazib bo‘lmaydigan DHCP paketlari navbatda saqlanadi. Navbat to‘lganida, qurilma ushbu tarmoqdan barcha paketlarni qabul qilishni to‘xtatadi; Buning uchun juda ko‘p noto‘g‘ri tuzilgan paketlarni yuborish kifoya - DoS hujumini amalga oshirish. Shunday qilib, hujum qilingan qurilmaga maxsus tayyorlangan paketlarni yuborish orqali uning kiruvchi trafikni qayta ishlash jarayonini butunlay blokirovka qilish mumkin. Qurilmaning funksionalligini tiklash uchun qayta ishga tushirish talab qilinadi. Qurilmalar DHCP serverlari yoki o‘rni sifatida ishlatilishidan qat'i nazar zaif bo‘lib qoladi va shuning uchun DHCP xizmatini o‘chirish uchun qurilma konfiguratsiya faylida "xizmat yo‘q dhcp" buyrug‘ini aniq kiritish talab qilinadi [111]. Ushbu buyruqning yo‘qligi xizmatni qurilma tomonidan qo‘llab-quvvatlanmasligini anglatmaydi; yuqoridagi buyruq yordamida uni aniq o‘chirib qo‘yish kerak. Qoidaga ko‘ra, bunday zaifliklar tezda tuzatiladi va yangi apparat OS versiyalariga kiritiladi. 8) Cisc uskunasining telnet xizmatining zaif tomonlari. Cisco uskunasining DHCP xizmatiga o‘xshash Telnet ham DoS hujumiga moyil. Agar hujumlar muvaffaqiyatli bo‘lsa, xizmat mavjud bo‘lmaydi. Hujum administratorning asosiy uskunaga kirishini rad etishga qaratilgan muvofiqlashtirilgan urinishning bir qismi sifatida tarmoqqa boshqa to‘g‘ridan-to‘g‘ri hujumlar bilan birlashtirilishi mumkin. Qoidaga ko‘ra, bunday zaifliklar tezda tuzatiladi va yangi apparat OS versiyalariga kiritiladi. 9) SNMP tuzog‘ining to‘lib ketishining zaifliklari. SNMP-da tarmoq ma’murini zudlik bilan aralashuvni talab qiladigan har qanday muhim hodisalar ro‘y berishi haqida xabardor qilish uchun qurilmalar tomonidan yuboriladigan maxsus signallar - "tuzoqlar" [114, 115] mavjud. Voqealar muvaffaqiyatsiz avtorizatsiya urinishidan tortib jihozni batareya quvvatiga almashtirishgacha bo‘lishi mumkin. Zaiflik shundaki, yuborilgan "tuzoqlar" soni sezilarli darajada cheklangan (har bir manzil uchun sekundiga 4 martadan ko‘p bo‘lmagan). Shunday qilib, ko‘p sonli SNMP so‘rovlarini yaratish soxta "tuzoqlar" ning yaratilishiga olib keladi, ular haqiqiylarni qayta ishlashni bloklaydi va qurilmalarga hujumlar (masalan, parolni taxmin qilish / kirish satrlari va / yoki to‘g‘ri paket manbai) manzil, qurilmani masofadan boshqarish, uni qayta ishga tushirish va boshqalar) yashirin bo‘ladi. Texnika hujum paytida ko‘p sonli noto‘g‘ri SNMP so‘rovlarini yaratishdan iborat bo‘lib, haqiqiy "tuzoqlarni" qayta ishlashga yo‘l qo‘ymaydi. Shunga ko‘ra, algoritmni amalga oshirish uchun zarur bo‘lgan yordamchi dasturlar avtomatik ravishda bunday so‘rovlar oqimini yaratishi kerak (xuddi shu yoki, masalan, parolni taxmin qilish taqlid qilish). Ular tarmoq konfiguratsiyasida cheklovlar mavjud bo‘lmaganda jarayonda hosil bo‘lgan "tuzoqlarni" blokirovka qilish orqali qurilmani avtorizatsiya qilish va masofadan boshqarish bo‘yicha muvaffaqiyatsiz urinishlarni yashirish imkonini beradi. Biroq, bu texnikaning quyidagi kamchiliklari bor. Birinchidan, bu barcha haqiqiy "tuzoqlar" bloklanishiga kafolat bera olmaydi, chunki ularning ba’zilari qayta ishlanganlar orasida bo‘lishi mumkin. Va, ikkinchidan, soxta "tuzoqlar" ning bunday ko‘p avlodi tarmoq monitoringi vositalarining va keyinchalik ma’murning e'tiborini jalb qilishi mumkin. Shunday qilib, tugunlarning jihozlariga masofadan kirishni ta’minlash uchun turli xil texnikalardan birgalikda foydalanish talab qilinadi, chunki MO ga kirishning har bir o‘ziga xos holati alohida tarzda mumkin. Download 113.74 Kb. Do'stlaringiz bilan baham: 
|