‫نـوــفمبر‪14 2021 ،‬‬

‫)‪Simple Network Management Protocol (SNMP‬‬

‫برـوـتوـكول ٕادـارـة الشبكة البسیط‬

‫‪1‬‬
‫أبجد هوز حطي كلمن‬

‫د‪/‬عارف السامعي‬
‫إعداد الطالب‪:‬أحمد ملهي‬

‫في ظل األنفتاح الكبير على االنترنت وعلى الشبكات وزيادة نسبة األجهزة التى‬
‫تقوم بعملية أدارة الشبكات مثل الروترات والسويتشاتوزيادة فعاليتها يوم بعد يوم‬
‫وحتى‪  ‬يستطيع مهندسي الشبكات مراقبة أجهزتهم وطريقة أدائها‪  ‬فكان ال بد‬
‫لهم من إيجاد بروتوكول خاص للمراقبة عن بعد يعطيهم‪  ‬بيانات دائمة لكفاءة‬
‫عمل األجهزة على الشبكة وبما فيها كفاءة عمل المعالج والرامات وكمية نقل‬
‫البيانات ضمن الشبكة والكثير من خصائص‪  ‬المراقبة الهامة‪.‬‬

‫مقدمة‬
‫تم البدأ في تطوير بروتوكول الـ ‪ SNMP‬عام ‪ 1988‬ليقوم بعملية المراقبة وهو بروتوكول مطور من بروتوكول آخر تم‬
‫تطويره عام ‪ 1987‬أسمه ‪ SGMP‬أو‪ Simple Gateway Management Protocol‬وجاء بعده بروتوكول آخر ظن‬
‫الجميع ‪ ‬انه سوف يحل مكان ‪SNMP‬وهو ‪CMIP secure Common Management Information Protocol‬‬
‫لكن األخير لم يدوم كثيرا كون الـ ‪ SNMP‬أثبت فعاليته بشكل أقوى على الساحة كونه يعمل على نظاقات واسعة وقابل‬
‫للعمل مع جميع أنواع مكونات الشبكة(‪ Network component‬وفي الحقيقة بروتوكول الـ ‪ SNMP‬يقسم الى قسمين‬
‫القسم األول ويدعى ‪ Agent‬او السيرفر وهو هنا الجهاز المراد مراقبته مثل الروتر‪ ,‬السويتش‪ ,‬الطابعة الخ أما القسم الثاني‬
‫‪ NMS) Network Management Station‬أو العميل وهو لجهاز الذي سوف يستلم البيانات من الـ‪Agent‬‬

‫ماهو ‪SNMP‬؟‬
‫هو إختصار ل ‪ Simple Network Management Protocol‬أو بروتوكول إدارة الشبكة البسيط وهو بروتوكول‬
‫إنترنت ‪ Standard‬لجمع وتنظيم ا لمعلومات حول ا ألجهزة ا لموجودة على الشبكة ويعمل في طبقة ال ‪Application‬‬
‫‪ Layer‬من نموذج ال ‪ OSI‬ولتعديل تلك ا لمعلومات وتغيير سلوك الجهاز وتشمل ا ألجهزة التي تدعم ‪ SNMP‬عادةً‬
‫أجهزة ا لمودم ‪ ،‬والراوترات ‪ ،‬والسويتشات‪ ،‬والسيرفرات ‪ ،‬وأجهزة الكمبيوتر ‪ ،‬والطابعات‬

‫وهو جزء من حزمة بروتوكوالت اإلنترنت بحسب تعریف ‪.IETF‬‬

‫‪1‬‬
‫أبجد هوز حطي كلمن‬

‫وبشكل ٔاكثر تفصیال‪ ،‬ھو ٔاحد مواثیق (بروتوكوالت) الطبقة السابعة‪ٔ ،‬او طبقة التطبیقات المستخدمة من نظام ٕادارة‬
‫الشبكات لمراقبة األجھزة الموصولة بالشبكة للظروف التي تحتاج ٕالى انتباه من مدیر النظام‪.‬‬

‫كيف يعمل الـ ‪ SNMP‬؟‬

‫لنتفق أوال على األشياء االساسية التى يجب ان نعرفها وهي أن هذا البروتوكول هو أحد بروتوكوالت الطبقة السابعة‬
‫‪ Application Layer‬ويستخدم الـ ‪ UDP/IP‬لألرسال ومن خالل البورت ‪ 162 & 161‬وهو ستخدم خمس أنواع من‬
‫الرسائل للتواصل بين السرفر والعميل وهي ‪GET, GET-NEXT, GET-RESPONSE, SET, and TRAP‬‬

‫فعندما يريد العميل ان يبدأ المراقبة يقوم بأرسال ‪ Get message‬الى الـ ‪ Agent‬وهو بدوره يرسل المطلوب على شكل‬
‫‪ Get-Response‬وكما نرى من الصورة القادمة‬

‫‪2‬‬
‫أبجد هوز حطي كلمن‬

‫أما بالنسبة للرسالة ‪ Get-Next‬فهي عندما يريد أن يتابع عملية المراقبة ويرغب ي الحصول على المزيد من المتغييرات‬

‫رسالة الـ ‪ Set‬ترسل من قبل العميل لكي يطلب من الـ ‪  Agent‬ما لشيء يتم تحديده في حال حدوث أي تغيير على‬
‫السيرفر تغيير قيمة‬

‫رسالة ال ‪ Trab‬ترسل من قبل الـ ‪ Agent‬في حال حدوث شيء ما في لجهاز المراقب مثال توقف بورت عن العمل (‬
‫‪ Link Down/Up‬وهو في هذه الحالة يرسلها على البورت ‪ 162‬بينما باقي الرسائل ترسل على البورت ‪161‬‬

‫‪3‬‬
‫أبجد هوز حطي كلمن‬

‫والصورة القادمة تشرح لنا كيف يعمل الـ ‪ SNMP‬من الدأخل‬

‫ويتضح لنا أن الـ ‪ Agent‬يأخذ الطلب من العميل ويضعه في ‪MIB‬‬

‫‪ Management Information Base‬وبدوره يقوم الـ ‪ MIB‬بأرسال المعلومات المطلوبة الى العميل‬

‫وللـ ‪ SNMP‬ثالث أصدارات مختلفة‬

‫‪SNMPv1‬‬

‫‪SNMPv2‬‬

‫‪SNMPv3‬‬

‫في األصدار الثاني تم استبدال ‪ Get-Next‬بي ‪ Get-Bulk‬التى تستطيع تحمل معلومات أكبر باألضافة لبعض أمور األمن‬
‫والسكيورتي والعديد من مميزات المراقبة وقد تم إصداره عام ‪ 1997‬أما األصدار الثالث وهو المستخدم في وقتنا الحالي منذ عام‬
‫‪ 2004‬فقد تم أضافة بعض األمور مثل‬

‫‪Authentication‬‬

‫‪Privacy‬‬

‫‪access control‬‬

‫تفاصيل البروتوكول‬

‫‪4‬‬
‫أبجد هوز حطي كلمن‬

‫يعمل ‪ SNMP‬في طبقة التطبيقات الخاصة بمجموعة بروتوكوالت اإلنترنت‪ .‬يتم نقل جميع رسائل ‪ SNMP‬عبر بروتوكول مخطط‬
‫بيانات المستخدم (‪ .)UDP‬يتلقى عامل ‪ SNMP‬طلبات على منفذ ‪ .UDP 161‬يجوز للمدير إرسال طلبات من أي منفذ مصدر‬
‫متوفر إلى المنفذ ‪ 161‬في الوكيل‪ .‬يتم إرسال استجابة الوكيل مرة أخرى إلى المنفذ المصدر على المدير‪ .‬يتلقى المدير إخطارات (‬
‫‪ )Traps and InformRequests‬على المنفذ ‪ .162‬يجوز للوكيل إنشاء إخطارات من أي منفذ متاح‪ .‬عند استخدامها مع‬
‫‪ Transport Layer Security‬أو ‪ ، Datagram Transport Layer Security‬يتم تلقي الطلبات على المنفذ ‪ 10161‬ويتم‬
‫إرسال اإلشعارات إلى المنفذ ‪.10162‬‬

‫‪IP header‬‬ ‫‪UDP header‬‬ ‫‪version‬‬ ‫‪community‬‬ ‫‪PDU-type‬‬ ‫‪request-id‬‬ ‫‪error-status‬‬ ‫‪e‬‬
‫يحدد ‪ SNMPv1‬خمس وحدات بيانات بروتوكول أساسية (‪ .)PDUs‬تمت إضافة وحدتي ‪ PDU‬أخريين ‪ GetBulkRequest ،‬و‬
‫‪ InformRequest‬في ‪ SNMPv2‬وتمت إضافة ‪ Report PDU‬في ‪ .SNMPv3‬يتم إنشاء جميع وحدات ‪ SNMP PDU‬على‬
‫النحو التالي‪:‬‬

‫مشاكل التنفيذ‬
‫ال يتم استخدام إمكانات الكتابة القوية لـ ‪ ، SNMP‬والتي من شأنها أن تسمح بتكوين أجهزة الشبكة ‪ ،‬بشكل كامل من قبل العديد من‬
‫البائعين ‪ ،‬ويرجع ذلك جزئيًا إلى نقص األمان في إصدارات ‪ SNMP‬قبل ‪ ، SNMPV3‬وجزئيًا ألن العديد من األجهزة ببساطة غير‬
‫قادرة على التهيئة عبر األفراد يتغير كائن ‪.MIB‬‬
‫تتطلب بعض قيم ‪( SNMP‬خاصة القيم المجدولة) معرفة محددة بأنظمة فهرسة الجدول ‪ ،‬وقيم الفهرس هذه ليست بالضرورة متسقة‬
‫عبر األنظمة األساسية‪ .‬يمكن أن يتسبب ذلك في حدوث مشكالت في االرتباط عند جلب المعلومات من أجهزة متعددة قد ال تستخدم نفس‬
‫مخطط فهرسة الجدول (على سبيل المثال ‪ ،‬جلب مقاييس استخدام القرص ‪ ،‬حيث يختلف معرف قرص معين عبر األنظمة األساسية‪).‬‬

‫يميل بعض بائعي المعدات الرئيسية إلى اإلفراط في توسيع أنظمة التحكم والتكوين المركزية لواجهة سطر األوامر ( ‪.)CLI‬‬

‫في فبراير ‪ ، 2002‬أصدر مركز تنسيق فريق االستجابة للطوارئ الحاسوبية ( ‪ )CERT-CC‬التابع لمعهد كارنيجي ميلون لهندسة‬
‫البرمجيات ( ‪ )CM-SEI‬تقريرًا استشاريًا بشأن ‪ ، SNMPV1‬بعد أن أجرت مجموعة البرمجة اآلمنة بجامعة أولو تحلياًل شام ً‬
‫ال‬
‫لمعالجة رسائل ‪ .SNMP‬تستخدم معظم تطبيقات ‪ ، SNMP‬بغض النظر عن إصدار البروتوكول الذي تدعمه ‪ ،‬نفس رمز البرنامج‬
‫لفك تشفير وحدات بيانات البروتوكول ( ‪ )PDU‬وتم تحديد المشكالت في هذا الرمز‪ .‬تم العثور على مشاكل أخرى مع فك تشفير رسائل‬
‫اعتراض ‪ SNMP‬التي تلقتها محطة إدارة ‪ SNMP‬أو الطلبات التي تلقاها وكيل ‪ SNMP‬على جهاز الشبكة‪ .‬كان على العديد من‬
‫البائعين إصدار تصحيحات لتطبيقات ‪ SNMP‬الخاصة بهم‪.‬‬

‫‪:‬اآلثار األمنية‬
‫‪:-‬أستخدام هذا البرتوكول لمهاجمة الشبكه‬
‫نظرًا ألن ‪ SNMP‬مصمم للسماح للمسؤولين بمراقبة أجهزة الشبكة وتكوينها عن بُعد ‪ ،‬يمكن أيضًا استخدامها الختراق الشبكة‪ .‬يمكن‬
‫لعدد كبير من أدوات البرامج فحص الشبكة بالكامل باستخدام ‪ ، SNMP‬وبالتالي فإن األخطاء في تكوين وضع القراءة والكتابة يمكن أن‬
‫تجعل الشبكة عرضة للهجمات‪.‬‬
‫في عام ‪ ، 2001‬أصدرت ‪ CISCO‬معلومات تشير إلى أنه ‪ ،‬حتى في وضع القراءة فقط ‪ ،‬فإن تنفيذ ‪ SNMP‬لـ ‪CISCO IOS‬‬
‫معرض لهجمات رفض الخدمة‪ .‬يمكن إصالح هذه المشكالت األمنية من خالل ترقية ‪.IOS‬‬
‫إذا لم يتم استخدام ‪ SNMP‬في الشبكة ‪ ،‬فيجب تعطيله في أجهزة الشبكة‪ .‬عند تكوين وضع القراءة فقط لبروتوكول ‪ ، SNMP‬يجب‬
‫االنتباه جيدًا إلى تكوين التحكم في الوصول وعناوين ‪ IP‬التي يتم قبول رسائل ‪ SNMP‬منها‪ .‬إذا تم تحديد خوادم ‪ SNMP‬بواسطة ‪IP‬‬
‫الخاص بها ‪ ،‬فسيُسمح لـ ‪ SNMP‬فقط بالرد على عناوين ‪ IP‬هذه وسيتم رفض رسائل ‪ SNMP‬من عناوين ‪ IP‬األخرى‪ .‬ومع ذلك ‪،‬‬
‫ال يزال انتحال عنوان ‪ IP‬مصدر قلق أمني‪.‬‬

‫المصادقة‪-:‬‬
‫يتوفر ‪ SNMP‬في إصدارات مختلفة ‪ ،‬ولكل منها مشكالت أمنية خاصة به‪ .‬يرسل ‪ SNMP V1‬كلمات المرور بنص واضح عبر‬
‫الشبكة‪ .‬لذلك ‪ ،‬يمكن قراءة كلمات المرور باستنشاق الحزمة‪ .‬يسمح ‪ SNMP V2‬بتجزئة كلمة المرور مع ‪ ، MD5‬ولكن يجب تكوين‬
‫ذلك‪ .‬تدعم جميع برامج إدارة الشبكات تقريبًا ‪ ، SNMP V1‬ولكن ليس بالضرورة ‪ SNMP V2‬أو ‪ .V3‬تم تطوير ‪SNMP V2‬‬

‫‪5‬‬
‫أبجد هوز حطي كلمن‬

‫خصيصًا لتوفير أمان البيانات ‪ ،‬أي المصادقة والخصوصية والتفويض ‪ ،‬لكن اإلصدار ‪ 2C‬فقط من ‪ SNMP‬حصل على تأييد فريق‬
‫عمل هندسة اإلنترنت ( ‪ ، )IETF‬بينما فشل اإلصداران ‪ 2U‬و ‪ * 2‬في الحصول على موافقة ‪ IETF‬بسبب األمان مسائل‪ .‬يستخدم‬
‫‪ SNMP V3 MD5‬وخوارزمية التجزئة اآلمنة ( ‪ )SHA‬والخوارزميات ذات المفاتيح لتوفير الحماية ضد تعديل البيانات غير‬
‫المصرح به وهجمات االنتحال‪ .‬إذا كانت هناك حاجة إلى مستوى أعلى من األمان ‪ ،‬فيمكن استخدام معيار تشفير البيانات ( ‪)DES‬‬
‫اختياريًا في وضع تسلسل كتلة التشفير‪ .‬تم تنفيذ ‪ SNMP V3‬على ‪ CISCO IOS‬منذ اإلصدار ‪.12.0‬‬
‫قد يتعرض ‪ SNMPV3‬للقوة الغاشمة وهجمات القاموس لتخمين مفاتيح المصادقة أو مفاتيح التشفير ‪ ،‬إذا تم إنشاء هذه المفاتيح من‬
‫كلمات مرور قصيرة (ضعيفة) أو كلمات مرور يمكن العثور عليها في القاموس‪ .‬يسمح ‪ SNMPV3‬بتوفير مفاتيح تشفير موزعة‬
‫بشكل عشوائي وموحد وإنشاء مفاتيح تشفير من كلمة مرور يوفرها المستخدم‪ .‬تعتمد مخاطر تخمين سالسل المصادقة من قيم التجزئة‬
‫المنقولة عبر الشبكة على وظيفة تجزئة التشفير المستخدمة وطول قيمة التجزئة‪ .‬يستخدم ‪ SNMPV3‬بروتوكول المصادقة ‪HMAC-‬‬
‫‪ SHA-2‬لنموذج األمان المستند إلى المستخدم ( ‪ ]29 [ .)USM‬ال يستخدم ‪ SNMP‬بروتوكول مصادقة أكثر أما ًنا لمصادقة تبادل‬
‫المعلومات‪( SNMPV3 .‬مثل إصدارات بروتوكول ‪ SNMP‬األخرى) هو بروتوكول عديم الحالة ‪ ،‬وقد تم تصميمه بأقل قدر من‬
‫التفاعالت بين الوكيل والمدير‪ .‬وبالتالي ‪ ،‬فإن تقديم مصافحة التحدي واالستجابة لكل أمر من شأنه أن يفرض عب ًئا على الوكيل (وربما‬
‫طا وغير مقبول‪.‬‬ ‫على الشبكة نفسها) يعتبره مصممو البروتوكول مفر ً‬
‫يمكن التخفيف من أوجه القصور األمنية لجميع إصدارات ‪ SNMP‬بواسطة آليات مصادقة ‪ IPSEC‬والسرية‪[ .‬بحاجة لمصدر] يمكن‬
‫أيضًا نقل ‪ SNMP‬بشكل آمن عبر )‪.DATAGRAM TRANSPORT LAYER SECURITY (DTLS‬‬
‫تتضمن العديد من تطبيقات ‪ SNMP‬نوعًا من االكتشاف التلقائي حيث يتم اكتشاف مكون شبكة جديد ‪ ،‬مثل المحول أو جهاز التوجيه ‪،‬‬
‫واستقصائه تلقائيًا‪ .‬في ‪ SNMPV1‬و ‪ SNMPV2C‬يتم ذلك من خالل سلسلة مجتمع يتم نقلها بنص واضح إلى أجهزة أخرى‪]10 [ .‬‬
‫تمثل كلمات مرور النص الواضح مخاطرة أمنية كبيرة‪ .‬بمجرد معرفة سلسلة المجتمع خارج المنظمة ‪ ،‬يمكن أن تصبح هد ًفا للهجوم‪.‬‬
‫لتنبيه المسؤولين عن المحاوالت األخرى لجمع سالسل المجتمع ‪ ،‬يمكن تكوين ‪ SNMP‬لتمرير اعتراضات فشل مصادقة اسم المجتمع‪.‬‬
‫إذا تم استخدام ‪ ، SNMPV2‬يمكن تجنب المشكلة عن طريق تمكين تشفير كلمة المرور على وكالء ‪ SNMP‬ألجهزة الشبكة ‪.‬‬
‫التكوين االفتراضي الشائع لسالسل المجتمع هو "عام" للوصول للقراءة فقط و "خاص" للقراءة والكتابة‪ .‬بسبب اإلعدادات االفتراضية‬
‫المعروفة ‪ ،‬تصدرت ‪ SNMP‬قائمة مشكالت التكوين االفتراضي الشائعة لمعهد ‪ SANS‬وكان رقم ‪ 10‬في أهم ‪ 10‬تهديدات ألمن‬
‫اإلنترنت من ‪ SANS‬لعام ‪ .2000‬غالبًا ال يغير مسؤولو النظام والشبكة هذه التكوينات‪.‬‬
‫سواء تم تشغيله عبر ‪ TCP‬أو ‪ ، UDP‬فإن ‪ SNMPV1‬و ‪ V2‬عرضة لهجمات انتحال ‪ .IP‬باستخدام االنتحال ‪ ،‬قد يتجاوز‬
‫المهاجمون قوائم الوصول إلى األجهزة في الوكالء التي يتم تنفيذها لتقييد وصول ‪ .SNMP‬تمنع آليات أمان ‪ SNMPV3‬مثل ‪USM‬‬
‫أو ‪ TSM‬هجوم انتحال ناجح‪.‬‬

‫‪6‬‬