بروتوكول إدارة الشبكات البسيطة تجميعيه

في هذه الأيام ، فإن معظم أجهزة الشبكة استخدام تجميعيه لرصد والتكوين عن بعد. تجميعيه هو بروتوكول بسيطة تستخدم عادة لإنشاء رصد البرمجيات التي يمكن استرجاع المعلومات مثل شبكة المرور ، وحدة المعالجة المركزية تحميل ، تحميل القرص ، الخ ، وأيضا لتعديل تكوين الأجهزة مثل أجهزة اللاسلكي ، والموجهات واسع النطاق ، وما إلى ذلك.
معظم تجميعيه تطبيقات على تلك الأنواع من أجهزة الشبكة استخدام الإصدار 1 أو الإصدار 2 ، التي لديها ضعيفة جدا طريقة التوثيق. تجميعيه الإصدار 1 يحتوي على مجموعة من الأخطاء في الشراك وتجميعيه الطريق ويتم التعامل مع رسائل تطلب فك الشفرة والتي يمكن استغلالها في نواح كثيرة ، من الحرمان من الخدمة لإعادة كتابة التكوين.
تجميعيه الإصدارات 1 و 2 استخدام سلاسل المجتمع للمصادقة.

هذه هي التي أرسلت في UDP المنفذ 161 غير مشفرة ، لذا فإنه من السهل جدا بالنسبة لرجل في منتصف لشم سلاسل المجتمع. عندما تقوم بإعداد تجميعيه على جهاز (بما في ذلك صندوق لينكس) ، يجب أن تقوم بإعداد سلسلتين المجتمع : واحدة لديها للقراءة فقط والوصول الافتراضي هو "الجمهور" ، واحدة لديها للقراءة والكتابة والوصول الافتراضي هو "القطاع الخاص". إذا كنت لا تغيير في المجتمعات المحلية لتجميعيه لتمكين الأجهزة ، فإنه من السهل جدا في ظل عدم وجود جدار الحماية للاطلاع على تكوين وتغييره.
هذا امر خطير للغاية بالنسبة للأجهزة وشبكة ، لذا هنا ما عليك أن تحاول أن تفعله :

ليس محاولة لاستخدام تجميعيه ، إلا إذا كان لديك.
كلما كان ذلك ممكنا ، استخدام تجميعيه الإصدار 3 ، الذي وضع المستخدم مصادقة ويمكن أن يفعله التشفير.
في أي حال ، إذا كنت تستخدم تجميعيه ، وتغيير المجتمعات الافتراضية.
إنشاء جدار الحماية المناسبة على الجهاز أو على جهاز أمامه ، والسماح فقط للاتصال موثوق تستضيف باستخدام تجميعيه.

على سبيل المثال ، وهو موجه سيسكو يشغل تجميعيه مع السلسلة المجتمع "عامة" تكشف عن تشغيل كامل التكوين ، بما في ذلك المستخدمين وكلمات السر ، وكذلك تمكين السري وكلمة المرور. إذا كان جهاز التوجيه المجتمع تجميعيه "الخاص" للوصول الكتابة ، يمكنك تعديل كل شيء على الإطلاق في التكوين. أكثر من ذلك ، فإن معظم سيسكو الموجهات لها تجميعيه تمكين افتراضيا مع المجتمعات الافتراضية ودون مرشحات.

فتح طبقة المقابس الآمنة (OpenSSL)

مكتبة OpenSSL هو الخيار الأكثر شعبية بالنسبة للتطبيقات التي تحتاج إلى دعم التشفير في شبكة الاتصالات. وهذه التطبيقات اباتشي (المتشعب اتصالات آمنة) ، تنسخ ، OpenLDAP ، OpenSSH ، الخ.
نقاط الضعف في نسخة واحدة من المكتبات OpenSSL تؤثر على جميع التطبيقات التي يستخدمونها ، ويمكن استغلالها من خلال تلك. اعتمادا على الوظائف المستخدمة من قبل التطبيق ، ويمكن استغلال نقاط الضعف في OpenSSL يكون من خلال تطبيق لتنفيذ قانون تعسفي على الخادم أو حتى للحصول على امتيازات الجذر.
OpenSSL لديه بعض نقاط الضعف في الماضي التي لم الكثير من الضرر لتشغيل خوادم التطبيقات المترجمة مع OpenSSL الدعم ، ولا سيما اباتشي ، تنسخ والمفتوح. في حالة تنسخ ، واستغلال ذلك أعطى المهاجم امتيازات الجذر قد نشر في القوائم البريدية الأمن.
البقاء المحمية ، والنظر في ما يلي :

تعريف إصدار OpenSSL على كل من الملقمات التي لديها مكتبات مثبتة. تحقق لمعرفة ما إذا كان لديك إصدار أحدث وإذا كان لديك نسخة من OpenSSL وبعد استغلال نقاط الضعف.
ترقية مكتبة OpenSSL إلى الإصدار الأحدث من موقع OpenSSL في http://www.openssl.org.
تحديد التطبيقات التي تستخدم في مكتبة OpenSSL ، وإذا كانت تحتاج إلى إعادة تصنيف بسبب الترقية ، ترجمة عليها لاستخدام مكتبات جديدة.

إذا كانت التطبيقات التي تستخدم OpenSSL لا تتطلب اتصالات من الجميع ، وإنشاء جدار الحماية المناسبة للسماح للاتصالات فقط من المواقع الموثوق بها.

حماية تشغيل الخدمات العامة مناقشة

وقال مدير الشبكة في العمل هو الحفاظ على تشغيل الشبكة وآمنة. وهناك الخدمات التي لا تعتمد على له أو لها ، على سبيل المثال خادم الويب يمكن أن تدار من قبل مدير الموقع. الخطوات المذكورة هنا من شأنه أن يجعلك تشعر أكثر أمنا. نحن سوف نتابع هذا العمل من قبل اختبار الواقع خارج هذه الخطوات على صندوق لينكس ، بحيث يمكنك الحصول على فكرة أفضل.
1. تحديد الخدمات التي يتم تشغيلها على كل نظام. الأهم من ذلك ، التعرف على فتح الموانئ والخدمات التي فتحت لهم.
2. التحقق من كل تشغيل الخدمة في النسخة الحالية. التحديث إلى أحدث نسخة للبرنامج. البحث عن نقاط الضعف لهذه الخدمة في جلسته الرئيسية وعند http://nvd.nist.gov/.
3. تحقق من تكوينات ، وعندما تستطيع ، وإنشاء البرامج المستندة إلى قوائم الوصول للسماح فقط موثوق يستضيف لاستخدام هذه الخدمة. حاول تغيير أسماء المستخدمين وكلمات السر بشكل افتراضي في كل مرة. اذا كنت لا يمكن تشغيل البرنامج في سجن استجذار ، أن تفعل ذلك.
4. إذا كانت هذه الخدمة لا تتطلب من الوصول إلى كل مكان ، وإنشاء جدار الحماية للحد من الوصول إلا إلى المضيفين موثوق به.
5. مراجعة الشبكة! في محاولة لتقتحم الشبكة الخاصة بك. الاتصال بشبكة الاتصال كشخص من الخارج واختبار كافة الخدمات التي يتم تشغيلها على مآثر معروفة. البحث عن أدوات القراصنة واستخدامها ضد شبكتك الخاصة لنرى ماذا سيحدث.
6. إنشاء سجلات لطلبات المصادقة. أيضا محاولة تشغيل شبكة نظام كشف التسلل مثل الشخير ، وهي متاحة على http://www.snort.org ، التي تنتج فعلا جيدة ملفات السجل.

ليست كل الخطوات المطلوبة لخدمة كل تشغيله في الشبكة الخاصة بك ، على سبيل المثال ، هناك بعض الخدمات التي تتيح لك اتصالات من المضيف المحلي فقط وهذا كل شيء.
دعونا نلقي نظرة على واحدة من خانات لينكس في شبكة بلدي. لأسباب أمنية ، وسوف تبادل عناوين بروتوكول الإنترنت من العالم الحقيقي مع عناوين بروتوكول الإنترنت محفوظة.

1. أول وسأحدد فتح الموانئ برنامج التعاون الفني على الخادم :

@ الجذر التوجيه : ~ # [نتستت ل-
وصلات الانترنت بالموقع (الخوادم والمنشأة)
بروتو تلقي - سؤال - أرسل سؤال العنوان المحلي الخارجية العنوان الدولة
برنامج التعاون الفني 0 0 0.0.0.0 :2601 0.0.0.0 : * الاستماع
برنامج التعاون الفني 0 0 0.0.0.0 :2605 0.0.0.0 : * الاستماع
برنامج التعاون الفني 0 0 0.0.0.0 :179 0.0.0.0 : * الاستماع

لذلك ، لدينا الموانئ برنامج التعاون الفني 179 ، 2601 ، 2605 ، والاستماع. بالنسبة لي ، وتلك هي غاية المنافذ المعروفة ، ولكن إذا كنت ننساهم ، ونحن بحاجة الى ان نرى ما هي الخدمات فتحت تلك الموانئ :

@ الجذر التوجيه : ~ # فوزر برنامج التعاون الفني ن 2601 2605 179
2601/tcp : 1520
2605/tcp : 1521
179/tcp : 1521
@ الجذر التوجيه : ~ # ملاحظة الفأس | [غرب] هاء "(1520 | 1521)"

حمار وحشي لينكس هو توجيه البرامج التي يعرف بروتوكولات التوجيه مثل BGP ، سبف ، RIPv1 ، وRIPv2. في هذه الحالة ، وأنا استخدم BGP حمار وحشي للاتصالات. bgpd هو عملية لصنع BGP اتصالات ، وهذه العملية هي المسؤولة عن حمار وحشي واضاف الطرق التي وردت من الدول المجاورة في نواة لينكس.

دعنا تحديد الإصدارات :

@ الجذر التوجيه : ~ # حمار وحشي الى الخامس
حمار وحشي النسخة 0.95 ()
حقوق التأليف والنشر 1996-2001 ، Kunihiro ايشيجورو
@ الجذر التوجيه : ~ # bgpd الى الخامس
bgpd النسخة 0.95 ()
حقوق التأليف والنشر 1996-2001 ، Kunihiro ايشيجورو

نقاط الضعف الاخير لزيبرا كانوا في إصدار 0.93b ؛ حتى لا knownvulnerabilities هنا.
3. والخطوة التالية هي لتكوين البرامج. لزيبرا ، 2601 هو المنفذ لواجهة سطر الأوامر ، والتي تشبه الى حد بعيد موجه سيسكو. نفس الشيء مع BGP لميناء 2605.

BGP جهاز التوجيه لديه اتصالات مع 10.10.10.1 ، 10.10.11.13 ، ومع 10.10.15.1. ما نريد أن نفعله هو أن ننكر حصول على برنامج التعاون الفني الميناء 179 ، والذي يستخدم للاتصالات BGP ، إلى أي شخص فيما عدا تلك عناوين بروتوكول الإنترنت. أيضا ، ونحن نريد لمضاعفة الحماية أنشأنا مع البرنامج القائم على قوائم الوصول للحمار وحشي وbgpd ، وتسمح فقط للمضيف محلي للاتصال زيبرا وبروتوكول التوجيه في VTYs.
5. لأن ليس لدينا برامج تعرف على نقاط الضعف ، ما يمكننا القيام به هو اختبار ومعرفة ما اذا كان لدينا يعمل جدار الحماية :

@ الجذر التوجيه : ~ # التلنت 127.0.0.1 2601
تحاول 127.0.0.1...
متصلا 127.0.0.1.
حرف الهروب هو '^]'.
مرحبا ، وهذا هو حمار وحشي (النسخة 0.95).
حقوق التأليف والنشر 1996-2004 Kunihiro ايشيجورو.
وصول المستخدم للتحقق
كلمة السر :
@ الجذر التوجيه : ~ # التلنت 127.0.0.1 2605
تحاول 127.0.0.1...
متصلا 127.0.0.1.
حرف الهروب هو '^]'.
مرحبا ، وهذا هو حمار وحشي (النسخة 0.95).
حقوق التأليف والنشر 1996-2004 Kunihiro ايشيجورو.
وصول المستخدم للتحقق
كلمة السر :

نرى اذا كنا نستطيع القيام بذلك من مواقع أخرى :

راوتر - 2 : ~ # التلنت 10.10.10.22 2601
تحاول 10.10.10.22...
التلنت : غير قادر على الاتصال المضيف البعيد : رفض الاتصال
راوتر - 2 : ~ # التلنت 10.10.10.22 2605
تحاول 10.10.10.22...
التلنت : غير قادر على الاتصال المضيف البعيد : رفض الاتصال

جيد! نحن لا يمكن الاتصال من أي مكان ما عدا مضيف محلي على مؤشرها للحمار وحشي وbgpd. الآن ، ينبغي لنا أن نحاول الاتصال على برنامج التعاون الفني الميناء 179 من واحد من جيران BGP :

راوتر - 2 : ~ # التلنت 10.10.10.22 179
تحاول 10.10.10.22...
متصلا 10.10.10.22.
حرف الهروب هو '^]'.

مقال مقدم من فيليب وكلير

تنويه :موقعنا على الانترنت ليست مسؤولة عن محتوى هذه المادة. Webarticles هو حر للمعلومات.
المهم : هذا المقال "بروتوكول إدارة الشبكات البسيطة تجميعيه وقد ترجم" عن طريق البرامج أوتوماتيكيا. نشعر بالاسف من اجل أي الأخطاء الإملائية التي قد حدث. شكرا لتفهمكم.