Konspekt: Bezpieczeństwo w zarządzaniu systemami i sieciami. Autorzy: Grzegorz Dębiec, Edyta Gąsior, Łukasz Krzanik, Maciej Tokarczyk DUMF

Transkrypt

1 Konspekt: Bezpieczeństwo w zarządzaniu systemami i sieciami Autorzy: Grzegorz Dębiec, Edyta Gąsior, Łukasz Krzanik, Maciej Tokarczyk DUMF

2 1 STRESZCZENIE Konspekt powstał na podstawie wykładu (28 maja 2002) z przedmiotu Bezpieczeństwo i ochrona informacji, prowadzonego przez dr inż. Mirosława Hajdera. Przedstawiono tutaj podstawowe zadania systemów zarządzających oraz rozwiązania takie jak SNMP i RMON.

3 SPIS TREŚCI 2 Streszczenie Wiadomości wstępne Zastosowanie... 4 Literatura... 7

4 3 1 WIADOMOŚCI WSTĘPNE Podstawowymi zadaniami systemu zarządzającego są: a) zdalna rekonfiguracja elementów systemu, b) zbieranie informacji o jego funkcjonowaniu (przepływy, błędy, alarmy). Ze względu na segmentację zarządzanie musi mieć charakter rozproszony, tj. system taki powinien składać się z 2 klas elementów: menedżera (stacji zarządzającej), agenta (zainstalowanego na obiekcie zarządzanym). Jeżeli w systemie zarządzania przesyłana informacja nie będzie chroniona to może się on stać narzędziem realizacji włamań. W chwili obecnej do zarządzania wykorzystywane są dwa konkurencyjne (wzajemnie dopełniające się) protokoły : SNMP RMON Rys. 1. Protokół SNMP Rys. 2. Narzędzia RMON

5 2 ZASTOSOWANIE SNMP (Simple Network Management Protocol, Simple Network Monitoring Protocol), prosty protokół zarządzania siecią, opracowany w 1988 standard zarządzania siecią obejmujący usługi, protokoły i bazy informacji związane z zarządzaniem, działający na poziomie aplikacji ponad protokołem UDP. Wersja SNMPv2, wzbogacona o środki ochrony danych, pochodzi z 1994; zawiera usługi uwierzytelniania, kontroli dostępu, udzielania pełnomocnictw i ochrony danych przed podsłuchiwaniem) Protokół SNMP został stworzony do analizy stanu urządzeń włączonych do sieci. W szczególności można było zrealizować: a) zbieranie statystyk pracy urządzeń sieci, b) bieżące informowanie o konfiguracji i statusie urządzeń, c) generowanie alarmów o przekroczeniu zdefiniowanych przed administratora stanów. Do podstawowych wad protokołu SNMPv1 należało: brak autentykacji i zabezpieczenia poufności, brak możliwości transmisji blokowej, ograniczenia w konfigurowaniu pułapek. Końcem 1994 roku pojawił się nowy standard SNMP, wersja druga (SNMPv2). W szczególności zawierał od dodatkowo: a) usługę uwierzytelniania autentykacji, b) kontrolę integralności przesyłanego pakietu c) usługę poufności. Jednak sam system SNMP stał się wówczas systemem niewystarczającym dla efektywnego zarządzania siecią. Jego następcą stał się mechanizm (protokół) RMON. Sieci i rozproszone systemy przetwarzania mają istotne i rosnące znaczenie dla biznesu, instytucji rządowych i innych organizacji. Występuje także tendencja do stosowania coraz większych i bardziej złożonych sieci, z większą liczbą aplikacji i użytkowników. W miarę wzrostu skali sieci coraz bardziej dają się we znaki dwa następujące problemy: Sieć, związane z nią zasoby i rozproszone aplikacje stają się niezbędne dla instytucji Więcej rzeczy może się zepsuć, powodując wyłączenie sieci lub jej części, lub zmniejszenie jej wydajności do niedopuszczalnie niskiego poziomu. Człowiek sam nie jest w stanie zorganizować i zarządzać dużą siecią. Złożoność takich systemów narzuca stosowanie zautomatyzowanych narzędzi zarządzania siecią. Jeśli w skład sieci wchodzi sprzęt wielu producentów, zwiększa się potrzeba stosowania takich narzędzi oraz trudności z ich zdobyciem. W odpowiedzi na tę potrzebę opracowano standardy zarzą-dzania siecią, obejmujące usługi, protokoły i bazy informacji związanych z zarządzaniem. Jak dotąd, najpowszechniej używanym standardem jest SNMP (simple network Management protocol). Od czasów opublikowania w 1988 r. SNMP znajdował zastosowanie w coraz większej licz-bie sieci i w coraz bardziej złożonych środowiskach. W miarę upowszechniania się SNMP coraz istotniejsze stawało się wprowadzenie do zarządzania sieciami elementów ochrony danych. Wyposażenie SNMP w tego rodzaju możliwości było jednym z głównych powodów stworzenia w 1993 r. wersji drugiej (SNMPv2). Podstawy SNMP Na model zarządzania siecią w SNMP składają się następujące elementy podstawowe: 1. Stacja zarządzająca jest najczęściej samodzielnym urządzeniem, może być jednak zaimplementowana w systemie wielu użytkowników. W obu przypadkach pełni ona funk- 4

6 cję interfejsu między administratorem sieci a systemem zarządzania siecią. Stacja zarządzająca powinna być wyposażona co najmniej w: Zestaw aplikacji służących do analizy danych, naprawiania błędów itd. Interfejs, za pośrednictwem, którego administrator sieci mógłby obserwować i kontrolować sieć. Możliwości przekładania wymagań administratora sieci na faktyczną możliwość obserwacji i kontroli odległych elementów sieci. Bazę danych zawierającą informacje pochodzące z baz informacji administracyjnych wszystkich jednostek wchodzących w skład administrowanej sieci. 2. Agent zarządzający Innym aktywnym elementem w systemie zarządzania siecią jest agent zarządzający. Główne platformy, takie jak komputery, mosty, routery i węzły (hub) mogą być wyposażone w SNMP, by można było nimi zarządzać za pośrednictwem stacji zarządzającej. Agent odpowiada na żądania informacji kierowane doń przez stację, spełnia żądania wykonania czynności oraz może asynchronicznie dostarczać stacji ważnych informacji, których stacja się nie domagała. 3. Baza informacji zasobami sieci można zarządzać traktując je jako obiekty. Każdy obiekt to w istocie zmienna, reprezentująca jeden z aspektów administrowanego agenta. Zbiór obiektów nazywamy bazą informacji administracyjnych (management information base MIB). MIB funkcjonuje jako zbiór punktów dostępu dla stacji zarządzania w obrębie agenta zarządzania. Obiekty te są standaryzowane w ramach systemów danej klasy (np. wszystkie mosty mają takie same obiekty zarządzania). Stacja zarządzająca monitoruje sieć, gromadząc wartości obiektów MIB. Stacja może spowodować wykonanie jakiejś czynności przez agenta lub zmienić ustawienia konfiguracyjne agenta, modyfikując wartości pewnych zmiennych. 4. Protokół zarządzania siecią Stacja i agenci są połączone w ramach protokołu zarządzania siecią. Protokołem stosowanym do zarządzania sieciami TCP/IP jest SNMP. Ma on następujące możliwości podstawowe: Pobieranie: możliwość uzyskiwania przez stację zarządzania od agentów wartości obiektów (obsługiwanych przez agenta). Ustawianie: możliwość ustawiania wartości obiektów przez stację zarządzania u agenta. Wychwytywanie: możliwość zawiadamiania stacji przez agenta o ważnych wydarzeniach. 5 SNMP jest z założenia protokołem działającym na poziomie aplikacji, wchodzącym w skład serii protokołów TCP/IP. Działa on ponad protokołem UDP. W przypadku samodzielnej stacji proces zarządzający kontroluje dostęp do centralnej MIB w stacji oraz zapewnia interfejs z administratorem sieci. Proces zarządzający zarządza siecią za pomocą SNMP, który jest zaimplementowany nad UDP, IP i protokołami łącza (np. Ethernet, FDDI, X.25). Każdy agent musi także używać SNMP, UDP i IP. Ponadto jest jeszcze proces agenta, który interpretuje komunikaty SNMP i kontroluje MIB agenta. Jeśli agent dysponuje innymi aplikacjami, np. FTP, konieczne są UDP oraz TCP. SNMPv2 Siłą SNMPv2 jest jego prostota. Dysponuje on podstawowym zestawem narzędzi zarządzania siecią, łatwym do zaimplementowania i skonfigurowania. Lecz w miarę, jak użytkownicy zaczęli w coraz większym stopniu opierać się na SNMP w zarządzaniu wiecznie rosnącymi sieciami z wzrastającym obciążeniem, coraz bardziej zauważalne stały się jego niedostatki. Wady te można podzielić na trzy kategorie:

7 Braki w dziedzinie zarządzania sieciami rozproszonymi Niedostatki funkcjonalne Niedostatki bezpieczeństwa W celu zrekompensowania tych niedostatków w 1993 r. stworzono SNMPv2. Zagrożenia, przed którymi zabezpiecza SNMPv2: 1. Ujawnienie: Przeciwnik może śledzić informacje wymieniane przez menadżera i agenta, i w ten sposób poznać wartości zarządzanych obiektów oraz dowiedzieć się o wydarzeniach. Na przykład zaobserwowanie zestawu poleceń zmieniających hasła umożliwiłoby przeciwnikowi poznanie naszych haseł. 2. Maskarada: Dana jednostka może wykonywać niedozwolone dla siebie operacje zarządzania, podszywając się pod jednostkę, dla której operacje te są dozwolone. 3. Modyfikacja treści komunikatu: Przeciwnik może modyfikować wygenerowany przez uprawnioną jednostkę komunikat w czasie przesyłania w taki sposób, by doprowadzić do wykonania nie-dozwolonych operacji zarządzania, w tym ustawiania wartości obiektów. Istotą tego zagrożenia jest możliwość zmiany przez nieuprawnioną jednostkę dowolnego parametru zarządzania, w tym parametrów związanych z konfiguracją, działaniem i zli-czaniem (accounting). 4. Modyfikacja kolejności i czasu komunikatów: W celu doprowa-dzenia do wykonania niedozwolonych operacji zarządzania przeciwnik może zmieniać kolejność, opóźniać lub przetwarzać (powielać) komunikaty SNMP. Na przykład komunikat wysłany w celu przeładowania (reboot) urządzenia może zostać skopio-wany i wysłany później. SNMPv2 nie chroni przed następującymi zagrożeniami: 1. Uniemożliwienie działania: przeciwnik może zablokować wy-mianę informacji między menedżerem a agentem. 2. Analiza przesyłu: Przeciwnik może śledzić schemat ruchu mię-dzy menedżerami a agentami. Brak środków ochrony przed zagrożeniem typu uniemożliwienie działania można uzasad-nić na dwa sposoby. Po pierwsze ataki tego rodzaju są w wielu przypadkach nieodróżnialne od pewnego rodzaju awarii sieci, z którymi musi sobie poradzić każdy samodzielny program sieciowy; po drugie ataki takie najczęściej uniemożliwiają wszelką wymianę informacji i przeciwdziałanie im jest sprawą ogólnych środków bezpieczeństwa, nie zaś tych, które wcho-dzą w skład protokołu zarządzania siecią. Wreszcie uznano, że nie warto tworzyć zabezpie-czeń przed atakami wiążącymi się z analizą przesyłu. 6 Usługi SNMPv2 SNMPv2 ma z założenia wykonywać trzy usługi związane z ochroną: zapewnienie prywatności, uwierzytelnianie i kontrolę dostępu. Zapewnianie prywatności polega na ochronie przesyłanych danych przed różnymi formami podsłuchu. Prywatność wymaga, by każdy komunikat był tak zamaskowany, by tylko odpowiedni odbiorca był w stanie uzyskać go w postaci pierwotnej. Mówimy, że komunikat, plik, dokument lub inny zbiór danych jest autentyczny, jeśli jest oryginalny i pochodzi z podanego w nim źródła. Uwierzytelnianie komunikatów jest procedurą umożliwiającą komunikującym się stronom weryfikację autentyczności otrzymywanych komunikatów. Podstawowe znaczenie ma weryfikacja, czy treść komunikatu nie została zmieniona oraz czy źródło jest autentyczne. Należy także zweryfikować poprawność czasu komunikatu (czy nie został on sztucznie opóźniony lub też powtórzony) oraz kolejność w stosunku do innych komunikatów przepływających między dwiema stronami.

8 Celem kontroli dostępu w kontekście zarządzania siecią jest zagwarantowanie, by tylko uprawnieni użytkownicy mieli dostęp do danej bazy informacji administracyjnych oraz by dostęp i modyfikacja danej części danych była zastrzeżona dla uprawnionych osób i progra-mów. 7 LITERATURA [1] William Stallings Ochrona danych w sieci i intersieci w teorii i praktyce WNT Warszawa, 1997, [2] Strona WWW autorów konspektu: