Konspekt: Bezpieczeństwo w zarządzaniu systemami i sieciami. Autorzy: Grzegorz Dębiec, Edyta Gąsior, Łukasz Krzanik, Maciej Tokarczyk DUMF



Podobne dokumenty
Konspekt: Bezpieczeństwo systemów bazodanowych. Autorzy: Grzegorz Dębiec, Edyta Gąsior, Łukasz Krzanik, Maciej Tokarczyk DUMF

MODEL WARSTWOWY PROTOKOŁY TCP/IP

ZESZYTY ETI ZESPOŁU SZKÓŁ W TARNOBRZEGU Nr 1 Seria: Teleinformatyka 2012

Wprowadzenie Management Information Base (MIB) Simple Network Management Protocol (SNMP) Polecenia SNMP Narzędzia na przykładzie MIB Browser (GUI)

Protokoły sieciowe - TCP/IP

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

System Kancelaris. Zdalny dostęp do danych

Warstwy i funkcje modelu ISO/OSI

Wybrane Zagadnienia Administrowania Sieciami. Dr inż. Robert Banasiak

Bezpieczeństwo w zarzadzaniu siecia SNMP

Celem ćwiczenia jest zapoznanie się z zarządzaniem urządzeniami sieciowymi za pomocą protokołu SNMP.

Referencyjny model OSI. 3 listopada 2014 Mirosław Juszczak 37

Metody zabezpieczania transmisji w sieci Ethernet

SMB protokół udostępniania plików i drukarek

ZAŁĄCZNIK NR 1 DO REGULAMINU SERWISU ZNANEEKSPERTKI.PL POLITYKA OCHRONY PRYWATNOŚCI

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

Marek Parfieniuk, Tomasz Łukaszuk, Tomasz Grześ. Symulator zawodnej sieci IP do badania aplikacji multimedialnych i peer-to-peer

Program szkolenia KURS SPD i PD Administrator szkolnej pracowni internetowej Kurs MD1 Kurs MD2 Kurs MD3 (dla szkół ponadgimnazjalnych)

OUTSIDE /24. dmz. outside /24. security- level /16 TRUNK 0/1 VLAN2 0/2 VLAN10 0/3-0/10 VLAN20 0/11-0/24

Wykłady z przedmiotu Sieci komputerowe podstawy Wykład 12

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

PBS. Wykład Zabezpieczenie przełączników i dostępu do sieci LAN

Bezpieczeństwo w zarzadzaniu siecia SNMP

Sieci komputerowe - opis przedmiotu

Alcatel-Lucent OmniVista 8770

Uniwersytet Mikołaja Kopernika w Toruniu Wydział Matematyki i Informatyki Wydział Fizyki, Astronomii i Informatyki Stosowanej Instytut Fizyki

Zdalne monitorowanie i zarządzanie urządzeniami sieciowymi

Rok szkolny 2015/16 Sylwester Gieszczyk. Wymagania edukacyjne w technikum

POŁĄCZENIE STEROWNIKÓW ASTRAADA ONE MIĘDZY SOBĄ Z WYKORZYSTANIEM PROTOKOŁU UDP. Sterowniki Astraada One wymieniają między sobą dane po UDP

Efektywne zarządzanie infrastrukturą IT, inwentaryzacja sprzętu i oprogramowania oraz ochrona danych przed wyciekiem dzięki wdrożeniu Axence nvesion

4. Podstawowa konfiguracja

Opracowanie protokołu komunikacyjnego na potrzeby wymiany informacji w organizacji

Temat: EasyAccess 2.0 Data: 10 Października 2014 Prowadzący: Maciej Sakowicz

SNMP PODSTAWOWE KOMPONENTY. Relacje między trzema głównymi komponentami

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych

Bazy danych 2. Wykład 1

AE/ZP-27-16/14. Oprogramowanie do wykonywania kopii zapasowych oraz zarządzania maszynami wirtualnymi

ZiMSK. VLAN, trunk, intervlan-routing 1

Simple Network Management Protocol

Kierunek: technik informatyk 312[01] Semestr: II Przedmiot: Urządzenia techniki komputerowej Nauczyciel: Mirosław Ruciński

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

ANASIL 2.2 dla MS Windows 95/98/NT/2000/XP

Podstawy Informatyki. Inżynieria Ciepła, I rok. Wykład 13 Topologie sieci i urządzenia

Replikacja kolejkowa (Q-replication) w IBM DB2

Rozwi zania Client Management Solutions i Mobile Printing Solutions. Numer katalogowy dokumentu:

Monitorowanie i zarządzanie urządzeniami sieciowymi przy pomocy narzędzi Net-SNMP

ASEM UBIQUITY PRZEGLĄD FUNKCJONALNOŚCI

ZiMSK. Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2012) 1

Axence nvision Nowe możliwości w zarządzaniu sieciami

Stos protokołów TCP/IP (ang. Transmission Control Protocol/Internet Protocol)

ZiMSK. mgr inż. Artur Sierszeń mgr inż. Łukasz Sturgulewski ZiMSK 1

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH ZESPOŁU EKONOMICZNO ADMINISTRACYJNEGO SZKÓŁ I PRZEDSZKOLA W GRĘBOCICACH

O firmie» Polityka prywatności

Tworzenie i obsługa wirtualnego laboratorium komputerowego

SZCZEGÓŁOWE OKREŚLENIE System zarządzania urządzeniami sieciowymi

Uniwersalny Konwerter Protokołów

Tomasz Greszata - Koszalin

Client Management Solutions i Mobile Printing Solutions

Projektowanie bezpieczeństwa sieci i serwerów

KARTA PRZEDMIOTU. Integracja sieci komputerowych D1_4. The integration of computer networks

Client Management Solutions i Mobile Printing Solutions

Krajowe Sympozjum Telekomunikacji i Teleinformatyki KSTiT Autorzy: Tomasz Piotrowski Szczepan Wójcik Mikołaj Wiśniewski Wojciech Mazurczyk

Konfiguracja IPSec Brama IPSec w Windows 2003 Server

ABC systemu Windows 2016 PL / Danuta Mendrala, Marcin Szeliga. Gliwice, cop Spis treści

2016 Proget MDM jest częścią PROGET Sp. z o.o.

KARTA PRZEDMIOTU. Management of networks and ICT resources

SKRÓCONA INSTRUKCJA OBSŁUGI SYSTEMU ZARZĄDZANIA OBIEGIEM INFORMACJI (SZOI)

9. System wykrywania i blokowania włamań ASQ (IPS)

Sieci bezprzewodowe WiFi

Wydział Informatyki, Elektroniki i Telekomunikacji Katedra Telekomunikacji

Sieci komputerowe : zbuduj swoją własną sieć - to naprawdę proste! / Witold Wrotek. wyd. 2. Gliwice, cop Spis treści

Instrukcja EQU Kantech

Zarządzanie infrastrukturą sieciową Modele funkcjonowania sieci

Koncepcja budowy sieci teletransmisyjnych Ethernet w podstacjach energetycznych...

Pliki cookies. Jaki rodzaj Cookies jest używany? Podczas wizyty na tej stronie używane są następujące pliki Cookies:

7. zainstalowane oprogramowanie zarządzane stacje robocze

PBS. Wykład Organizacja zajęć. 2. Podstawy obsługi urządzeń wykorzystywanych podczas laboratorium.

Wykład IV. Administrowanie szkolną siecią komputerową. dr Artur Bartoszewski

MASKI SIECIOWE W IPv4

Polityka prywatności

Pytanie 1 Z jakich protokołów korzysta usługa WWW? (Wybierz prawidłowe odpowiedzi)

Polityka prywatności 1. Definicje Administrator Cookies - Cookies Administratora - Cookies Zewnętrzne - Serwis - Urządzenie - Ustawa Użytkownik -

NETWORK Monitorowanie serwerów, urządzeń i aplikacji INVENTORY Inwentaryzacja sprzętu i oprogramowania, audyty legalności USERS Monitorowanie

EGZAMIN POTWIERDZAJĄCY KWALIFIKACJE W ZAWODZIE Rok 2018 ZASADY OCENIANIA

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

Polityka prywatności Spółdzielni Mieszkaniowej Słoneczny Stok

Windows W celu dostępu do i konfiguracji firewall idź do Panelu sterowania -> System i zabezpieczenia -> Zapora systemu Windows.

NETWORK Monitorowanie serwerów, urządzeń i aplikacji INVENTORY Inwentaryzacja sprzętu i oprogramowania, audyty legalności USERS Monitorowanie

Sieci Komputerowe Modele warstwowe sieci

POLITYKA PRYWATNOŚCI Konkurs wiedzy dermatologicznej dla lekarzy

Polityka prywatności serwisów internetowych Narodowego Instytutu Architektury i Urbanistyki (NIAiU) i plików cookies

Instrukcja obsługi Karty Zarządzającej EVER SNMP/HTTP

Ćwiczenie Nr 4 Administracja systemem operacyjnym z rodziny Microsoft Windows

Sieci Komputerowe. Wykład 1: TCP/IP i adresowanie w sieci Internet

Przesyłania danych przez protokół TCP/IP

Zarządzanie sieciami komputerowymi - wprowadzenie

ZADANIE.09 Syslog, SNMP (Syslog, SNMP) 1,5h

Bezpieczeństwo danych w sieciach elektroenergetycznych

Transkrypt:

Konspekt: Bezpieczeństwo w zarządzaniu systemami i sieciami Autorzy: Grzegorz Dębiec, Edyta Gąsior, Łukasz Krzanik, Maciej Tokarczyk DUMF

1 STRESZCZENIE Konspekt powstał na podstawie wykładu (28 maja 2002) z przedmiotu Bezpieczeństwo i ochrona informacji, prowadzonego przez dr inż. Mirosława Hajdera. Przedstawiono tutaj podstawowe zadania systemów zarządzających oraz rozwiązania takie jak SNMP i RMON.

SPIS TREŚCI 2 Streszczenie... 1 1 Wiadomości wstępne... 3 2 Zastosowanie... 4 Literatura... 7

3 1 WIADOMOŚCI WSTĘPNE Podstawowymi zadaniami systemu zarządzającego są: a) zdalna rekonfiguracja elementów systemu, b) zbieranie informacji o jego funkcjonowaniu (przepływy, błędy, alarmy). Ze względu na segmentację zarządzanie musi mieć charakter rozproszony, tj. system taki powinien składać się z 2 klas elementów: menedżera (stacji zarządzającej), agenta (zainstalowanego na obiekcie zarządzanym). Jeżeli w systemie zarządzania przesyłana informacja nie będzie chroniona to może się on stać narzędziem realizacji włamań. W chwili obecnej do zarządzania wykorzystywane są dwa konkurencyjne (wzajemnie dopełniające się) protokoły : SNMP RMON Rys. 1. Protokół SNMP Rys. 2. Narzędzia RMON

2 ZASTOSOWANIE SNMP (Simple Network Management Protocol, Simple Network Monitoring Protocol), prosty protokół zarządzania siecią, opracowany w 1988 standard zarządzania siecią obejmujący usługi, protokoły i bazy informacji związane z zarządzaniem, działający na poziomie aplikacji ponad protokołem UDP. Wersja SNMPv2, wzbogacona o środki ochrony danych, pochodzi z 1994; zawiera usługi uwierzytelniania, kontroli dostępu, udzielania pełnomocnictw i ochrony danych przed podsłuchiwaniem) Protokół SNMP został stworzony do analizy stanu urządzeń włączonych do sieci. W szczególności można było zrealizować: a) zbieranie statystyk pracy urządzeń sieci, b) bieżące informowanie o konfiguracji i statusie urządzeń, c) generowanie alarmów o przekroczeniu zdefiniowanych przed administratora stanów. Do podstawowych wad protokołu SNMPv1 należało: brak autentykacji i zabezpieczenia poufności, brak możliwości transmisji blokowej, ograniczenia w konfigurowaniu pułapek. Końcem 1994 roku pojawił się nowy standard SNMP, wersja druga (SNMPv2). W szczególności zawierał od dodatkowo: a) usługę uwierzytelniania autentykacji, b) kontrolę integralności przesyłanego pakietu c) usługę poufności. Jednak sam system SNMP stał się wówczas systemem niewystarczającym dla efektywnego zarządzania siecią. Jego następcą stał się mechanizm (protokół) RMON. Sieci i rozproszone systemy przetwarzania mają istotne i rosnące znaczenie dla biznesu, instytucji rządowych i innych organizacji. Występuje także tendencja do stosowania coraz większych i bardziej złożonych sieci, z większą liczbą aplikacji i użytkowników. W miarę wzrostu skali sieci coraz bardziej dają się we znaki dwa następujące problemy: Sieć, związane z nią zasoby i rozproszone aplikacje stają się niezbędne dla instytucji Więcej rzeczy może się zepsuć, powodując wyłączenie sieci lub jej części, lub zmniejszenie jej wydajności do niedopuszczalnie niskiego poziomu. Człowiek sam nie jest w stanie zorganizować i zarządzać dużą siecią. Złożoność takich systemów narzuca stosowanie zautomatyzowanych narzędzi zarządzania siecią. Jeśli w skład sieci wchodzi sprzęt wielu producentów, zwiększa się potrzeba stosowania takich narzędzi oraz trudności z ich zdobyciem. W odpowiedzi na tę potrzebę opracowano standardy zarzą-dzania siecią, obejmujące usługi, protokoły i bazy informacji związanych z zarządzaniem. Jak dotąd, najpowszechniej używanym standardem jest SNMP (simple network Management protocol). Od czasów opublikowania w 1988 r. SNMP znajdował zastosowanie w coraz większej licz-bie sieci i w coraz bardziej złożonych środowiskach. W miarę upowszechniania się SNMP coraz istotniejsze stawało się wprowadzenie do zarządzania sieciami elementów ochrony danych. Wyposażenie SNMP w tego rodzaju możliwości było jednym z głównych powodów stworzenia w 1993 r. wersji drugiej (SNMPv2). Podstawy SNMP Na model zarządzania siecią w SNMP składają się następujące elementy podstawowe: 1. Stacja zarządzająca jest najczęściej samodzielnym urządzeniem, może być jednak zaimplementowana w systemie wielu użytkowników. W obu przypadkach pełni ona funk- 4

cję interfejsu między administratorem sieci a systemem zarządzania siecią. Stacja zarządzająca powinna być wyposażona co najmniej w: Zestaw aplikacji służących do analizy danych, naprawiania błędów itd. Interfejs, za pośrednictwem, którego administrator sieci mógłby obserwować i kontrolować sieć. Możliwości przekładania wymagań administratora sieci na faktyczną możliwość obserwacji i kontroli odległych elementów sieci. Bazę danych zawierającą informacje pochodzące z baz informacji administracyjnych wszystkich jednostek wchodzących w skład administrowanej sieci. 2. Agent zarządzający Innym aktywnym elementem w systemie zarządzania siecią jest agent zarządzający. Główne platformy, takie jak komputery, mosty, routery i węzły (hub) mogą być wyposażone w SNMP, by można było nimi zarządzać za pośrednictwem stacji zarządzającej. Agent odpowiada na żądania informacji kierowane doń przez stację, spełnia żądania wykonania czynności oraz może asynchronicznie dostarczać stacji ważnych informacji, których stacja się nie domagała. 3. Baza informacji zasobami sieci można zarządzać traktując je jako obiekty. Każdy obiekt to w istocie zmienna, reprezentująca jeden z aspektów administrowanego agenta. Zbiór obiektów nazywamy bazą informacji administracyjnych (management information base MIB). MIB funkcjonuje jako zbiór punktów dostępu dla stacji zarządzania w obrębie agenta zarządzania. Obiekty te są standaryzowane w ramach systemów danej klasy (np. wszystkie mosty mają takie same obiekty zarządzania). Stacja zarządzająca monitoruje sieć, gromadząc wartości obiektów MIB. Stacja może spowodować wykonanie jakiejś czynności przez agenta lub zmienić ustawienia konfiguracyjne agenta, modyfikując wartości pewnych zmiennych. 4. Protokół zarządzania siecią Stacja i agenci są połączone w ramach protokołu zarządzania siecią. Protokołem stosowanym do zarządzania sieciami TCP/IP jest SNMP. Ma on następujące możliwości podstawowe: Pobieranie: możliwość uzyskiwania przez stację zarządzania od agentów wartości obiektów (obsługiwanych przez agenta). Ustawianie: możliwość ustawiania wartości obiektów przez stację zarządzania u agenta. Wychwytywanie: możliwość zawiadamiania stacji przez agenta o ważnych wydarzeniach. 5 SNMP jest z założenia protokołem działającym na poziomie aplikacji, wchodzącym w skład serii protokołów TCP/IP. Działa on ponad protokołem UDP. W przypadku samodzielnej stacji proces zarządzający kontroluje dostęp do centralnej MIB w stacji oraz zapewnia interfejs z administratorem sieci. Proces zarządzający zarządza siecią za pomocą SNMP, który jest zaimplementowany nad UDP, IP i protokołami łącza (np. Ethernet, FDDI, X.25). Każdy agent musi także używać SNMP, UDP i IP. Ponadto jest jeszcze proces agenta, który interpretuje komunikaty SNMP i kontroluje MIB agenta. Jeśli agent dysponuje innymi aplikacjami, np. FTP, konieczne są UDP oraz TCP. SNMPv2 Siłą SNMPv2 jest jego prostota. Dysponuje on podstawowym zestawem narzędzi zarządzania siecią, łatwym do zaimplementowania i skonfigurowania. Lecz w miarę, jak użytkownicy zaczęli w coraz większym stopniu opierać się na SNMP w zarządzaniu wiecznie rosnącymi sieciami z wzrastającym obciążeniem, coraz bardziej zauważalne stały się jego niedostatki. Wady te można podzielić na trzy kategorie:

Braki w dziedzinie zarządzania sieciami rozproszonymi Niedostatki funkcjonalne Niedostatki bezpieczeństwa W celu zrekompensowania tych niedostatków w 1993 r. stworzono SNMPv2. Zagrożenia, przed którymi zabezpiecza SNMPv2: 1. Ujawnienie: Przeciwnik może śledzić informacje wymieniane przez menadżera i agenta, i w ten sposób poznać wartości zarządzanych obiektów oraz dowiedzieć się o wydarzeniach. Na przykład zaobserwowanie zestawu poleceń zmieniających hasła umożliwiłoby przeciwnikowi poznanie naszych haseł. 2. Maskarada: Dana jednostka może wykonywać niedozwolone dla siebie operacje zarządzania, podszywając się pod jednostkę, dla której operacje te są dozwolone. 3. Modyfikacja treści komunikatu: Przeciwnik może modyfikować wygenerowany przez uprawnioną jednostkę komunikat w czasie przesyłania w taki sposób, by doprowadzić do wykonania nie-dozwolonych operacji zarządzania, w tym ustawiania wartości obiektów. Istotą tego zagrożenia jest możliwość zmiany przez nieuprawnioną jednostkę dowolnego parametru zarządzania, w tym parametrów związanych z konfiguracją, działaniem i zli-czaniem (accounting). 4. Modyfikacja kolejności i czasu komunikatów: W celu doprowa-dzenia do wykonania niedozwolonych operacji zarządzania przeciwnik może zmieniać kolejność, opóźniać lub przetwarzać (powielać) komunikaty SNMP. Na przykład komunikat wysłany w celu przeładowania (reboot) urządzenia może zostać skopio-wany i wysłany później. SNMPv2 nie chroni przed następującymi zagrożeniami: 1. Uniemożliwienie działania: przeciwnik może zablokować wy-mianę informacji między menedżerem a agentem. 2. Analiza przesyłu: Przeciwnik może śledzić schemat ruchu mię-dzy menedżerami a agentami. Brak środków ochrony przed zagrożeniem typu uniemożliwienie działania można uzasad-nić na dwa sposoby. Po pierwsze ataki tego rodzaju są w wielu przypadkach nieodróżnialne od pewnego rodzaju awarii sieci, z którymi musi sobie poradzić każdy samodzielny program sieciowy; po drugie ataki takie najczęściej uniemożliwiają wszelką wymianę informacji i przeciwdziałanie im jest sprawą ogólnych środków bezpieczeństwa, nie zaś tych, które wcho-dzą w skład protokołu zarządzania siecią. Wreszcie uznano, że nie warto tworzyć zabezpie-czeń przed atakami wiążącymi się z analizą przesyłu. 6 Usługi SNMPv2 SNMPv2 ma z założenia wykonywać trzy usługi związane z ochroną: zapewnienie prywatności, uwierzytelnianie i kontrolę dostępu. Zapewnianie prywatności polega na ochronie przesyłanych danych przed różnymi formami podsłuchu. Prywatność wymaga, by każdy komunikat był tak zamaskowany, by tylko odpowiedni odbiorca był w stanie uzyskać go w postaci pierwotnej. Mówimy, że komunikat, plik, dokument lub inny zbiór danych jest autentyczny, jeśli jest oryginalny i pochodzi z podanego w nim źródła. Uwierzytelnianie komunikatów jest procedurą umożliwiającą komunikującym się stronom weryfikację autentyczności otrzymywanych komunikatów. Podstawowe znaczenie ma weryfikacja, czy treść komunikatu nie została zmieniona oraz czy źródło jest autentyczne. Należy także zweryfikować poprawność czasu komunikatu (czy nie został on sztucznie opóźniony lub też powtórzony) oraz kolejność w stosunku do innych komunikatów przepływających między dwiema stronami.

Celem kontroli dostępu w kontekście zarządzania siecią jest zagwarantowanie, by tylko uprawnieni użytkownicy mieli dostęp do danej bazy informacji administracyjnych oraz by dostęp i modyfikacja danej części danych była zastrzeżona dla uprawnionych osób i progra-mów. 7 LITERATURA [1] William Stallings Ochrona danych w sieci i intersieci w teorii i praktyce WNT Warszawa, 1997, [2] Strona WWW autorów konspektu: http://city.net.pl/editha/

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres