Professional Documents
Culture Documents
1
أبجد هوز حطي كلمن
د/عارف السامعي
إعداد الطالب:أحمد ملهي
في ظل األنفتاح الكبير على االنترنت وعلى الشبكات وزيادة نسبة األجهزة التى
تقوم بعملية أدارة الشبكات مثل الروترات والسويتشاتوزيادة فعاليتها يوم بعد يوم
وحتى يستطيع مهندسي الشبكات مراقبة أجهزتهم وطريقة أدائها فكان ال بد
لهم من إيجاد بروتوكول خاص للمراقبة عن بعد يعطيهم بيانات دائمة لكفاءة
عمل األجهزة على الشبكة وبما فيها كفاءة عمل المعالج والرامات وكمية نقل
البيانات ضمن الشبكة والكثير من خصائص المراقبة الهامة.
مقدمة
تم البدأ في تطوير بروتوكول الـ SNMPعام 1988ليقوم بعملية المراقبة وهو بروتوكول مطور من بروتوكول آخر تم
تطويره عام 1987أسمه SGMPأو Simple Gateway Management Protocolوجاء بعده بروتوكول آخر ظن
الجميع انه سوف يحل مكان SNMPوهو CMIP secure Common Management Information Protocol
لكن األخير لم يدوم كثيرا كون الـ SNMPأثبت فعاليته بشكل أقوى على الساحة كونه يعمل على نظاقات واسعة وقابل
للعمل مع جميع أنواع مكونات الشبكة( Network componentوفي الحقيقة بروتوكول الـ SNMPيقسم الى قسمين
القسم األول ويدعى Agentاو السيرفر وهو هنا الجهاز المراد مراقبته مثل الروتر ,السويتش ,الطابعة الخ أما القسم الثاني
NMS) Network Management Stationأو العميل وهو لجهاز الذي سوف يستلم البيانات من الـAgent
ماهو SNMP؟
هو إختصار ل Simple Network Management Protocolأو بروتوكول إدارة الشبكة البسيط وهو بروتوكول
إنترنت Standardلجمع وتنظيم ا لمعلومات حول ا ألجهزة ا لموجودة على الشبكة ويعمل في طبقة ال Application
Layerمن نموذج ال OSIولتعديل تلك ا لمعلومات وتغيير سلوك الجهاز وتشمل ا ألجهزة التي تدعم SNMPعادةً
أجهزة ا لمودم ،والراوترات ،والسويتشات ،والسيرفرات ،وأجهزة الكمبيوتر ،والطابعات
1
أبجد هوز حطي كلمن
وبشكل ٔاكثر تفصیال ،ھو ٔاحد مواثیق (بروتوكوالت) الطبقة السابعةٔ ،او طبقة التطبیقات المستخدمة من نظام ٕادارة
الشبكات لمراقبة األجھزة الموصولة بالشبكة للظروف التي تحتاج ٕالى انتباه من مدیر النظام.
فعندما يريد العميل ان يبدأ المراقبة يقوم بأرسال Get messageالى الـ Agentوهو بدوره يرسل المطلوب على شكل
Get-Responseوكما نرى من الصورة القادمة
2
أبجد هوز حطي كلمن
أما بالنسبة للرسالة Get-Nextفهي عندما يريد أن يتابع عملية المراقبة ويرغب ي الحصول على المزيد من المتغييرات
رسالة الـ Setترسل من قبل العميل لكي يطلب من الـ Agentما لشيء يتم تحديده في حال حدوث أي تغيير على
السيرفر تغيير قيمة
رسالة ال Trabترسل من قبل الـ Agentفي حال حدوث شيء ما في لجهاز المراقب مثال توقف بورت عن العمل (
Link Down/Upوهو في هذه الحالة يرسلها على البورت 162بينما باقي الرسائل ترسل على البورت 161
3
أبجد هوز حطي كلمن
Management Information Baseوبدوره يقوم الـ MIBبأرسال المعلومات المطلوبة الى العميل
SNMPv1
SNMPv2
SNMPv3
في األصدار الثاني تم استبدال Get-Nextبي Get-Bulkالتى تستطيع تحمل معلومات أكبر باألضافة لبعض أمور األمن
والسكيورتي والعديد من مميزات المراقبة وقد تم إصداره عام 1997أما األصدار الثالث وهو المستخدم في وقتنا الحالي منذ عام
2004فقد تم أضافة بعض األمور مثل
Authentication
Privacy
access control
تفاصيل البروتوكول
4
أبجد هوز حطي كلمن
يعمل SNMPفي طبقة التطبيقات الخاصة بمجموعة بروتوكوالت اإلنترنت .يتم نقل جميع رسائل SNMPعبر بروتوكول مخطط
بيانات المستخدم ( .)UDPيتلقى عامل SNMPطلبات على منفذ .UDP 161يجوز للمدير إرسال طلبات من أي منفذ مصدر
متوفر إلى المنفذ 161في الوكيل .يتم إرسال استجابة الوكيل مرة أخرى إلى المنفذ المصدر على المدير .يتلقى المدير إخطارات (
)Traps and InformRequestsعلى المنفذ .162يجوز للوكيل إنشاء إخطارات من أي منفذ متاح .عند استخدامها مع
Transport Layer Securityأو ، Datagram Transport Layer Securityيتم تلقي الطلبات على المنفذ 10161ويتم
إرسال اإلشعارات إلى المنفذ .10162
IP header UDP header version community PDU-type request-id error-status e
يحدد SNMPv1خمس وحدات بيانات بروتوكول أساسية ( .)PDUsتمت إضافة وحدتي PDUأخريين GetBulkRequest ،و
InformRequestفي SNMPv2وتمت إضافة Report PDUفي .SNMPv3يتم إنشاء جميع وحدات SNMP PDUعلى
النحو التالي:
مشاكل التنفيذ
ال يتم استخدام إمكانات الكتابة القوية لـ ، SNMPوالتي من شأنها أن تسمح بتكوين أجهزة الشبكة ،بشكل كامل من قبل العديد من
البائعين ،ويرجع ذلك جزئيًا إلى نقص األمان في إصدارات SNMPقبل ، SNMPV3وجزئيًا ألن العديد من األجهزة ببساطة غير
قادرة على التهيئة عبر األفراد يتغير كائن .MIB
تتطلب بعض قيم ( SNMPخاصة القيم المجدولة) معرفة محددة بأنظمة فهرسة الجدول ،وقيم الفهرس هذه ليست بالضرورة متسقة
عبر األنظمة األساسية .يمكن أن يتسبب ذلك في حدوث مشكالت في االرتباط عند جلب المعلومات من أجهزة متعددة قد ال تستخدم نفس
مخطط فهرسة الجدول (على سبيل المثال ،جلب مقاييس استخدام القرص ،حيث يختلف معرف قرص معين عبر األنظمة األساسية).
يميل بعض بائعي المعدات الرئيسية إلى اإلفراط في توسيع أنظمة التحكم والتكوين المركزية لواجهة سطر األوامر ( .)CLI
في فبراير ، 2002أصدر مركز تنسيق فريق االستجابة للطوارئ الحاسوبية ( )CERT-CCالتابع لمعهد كارنيجي ميلون لهندسة
البرمجيات ( )CM-SEIتقريرًا استشاريًا بشأن ، SNMPV1بعد أن أجرت مجموعة البرمجة اآلمنة بجامعة أولو تحلياًل شام ً
ال
لمعالجة رسائل .SNMPتستخدم معظم تطبيقات ، SNMPبغض النظر عن إصدار البروتوكول الذي تدعمه ،نفس رمز البرنامج
لفك تشفير وحدات بيانات البروتوكول ( )PDUوتم تحديد المشكالت في هذا الرمز .تم العثور على مشاكل أخرى مع فك تشفير رسائل
اعتراض SNMPالتي تلقتها محطة إدارة SNMPأو الطلبات التي تلقاها وكيل SNMPعلى جهاز الشبكة .كان على العديد من
البائعين إصدار تصحيحات لتطبيقات SNMPالخاصة بهم.
:اآلثار األمنية
:-أستخدام هذا البرتوكول لمهاجمة الشبكه
نظرًا ألن SNMPمصمم للسماح للمسؤولين بمراقبة أجهزة الشبكة وتكوينها عن بُعد ،يمكن أيضًا استخدامها الختراق الشبكة .يمكن
لعدد كبير من أدوات البرامج فحص الشبكة بالكامل باستخدام ، SNMPوبالتالي فإن األخطاء في تكوين وضع القراءة والكتابة يمكن أن
تجعل الشبكة عرضة للهجمات.
في عام ، 2001أصدرت CISCOمعلومات تشير إلى أنه ،حتى في وضع القراءة فقط ،فإن تنفيذ SNMPلـ CISCO IOS
معرض لهجمات رفض الخدمة .يمكن إصالح هذه المشكالت األمنية من خالل ترقية .IOS
إذا لم يتم استخدام SNMPفي الشبكة ،فيجب تعطيله في أجهزة الشبكة .عند تكوين وضع القراءة فقط لبروتوكول ، SNMPيجب
االنتباه جيدًا إلى تكوين التحكم في الوصول وعناوين IPالتي يتم قبول رسائل SNMPمنها .إذا تم تحديد خوادم SNMPبواسطة IP
الخاص بها ،فسيُسمح لـ SNMPفقط بالرد على عناوين IPهذه وسيتم رفض رسائل SNMPمن عناوين IPاألخرى .ومع ذلك ،
ال يزال انتحال عنوان IPمصدر قلق أمني.
المصادقة-:
يتوفر SNMPفي إصدارات مختلفة ،ولكل منها مشكالت أمنية خاصة به .يرسل SNMP V1كلمات المرور بنص واضح عبر
الشبكة .لذلك ،يمكن قراءة كلمات المرور باستنشاق الحزمة .يسمح SNMP V2بتجزئة كلمة المرور مع ، MD5ولكن يجب تكوين
ذلك .تدعم جميع برامج إدارة الشبكات تقريبًا ، SNMP V1ولكن ليس بالضرورة SNMP V2أو .V3تم تطوير SNMP V2
5
أبجد هوز حطي كلمن
خصيصًا لتوفير أمان البيانات ،أي المصادقة والخصوصية والتفويض ،لكن اإلصدار 2Cفقط من SNMPحصل على تأييد فريق
عمل هندسة اإلنترنت ( ، )IETFبينما فشل اإلصداران 2Uو * 2في الحصول على موافقة IETFبسبب األمان مسائل .يستخدم
SNMP V3 MD5وخوارزمية التجزئة اآلمنة ( )SHAوالخوارزميات ذات المفاتيح لتوفير الحماية ضد تعديل البيانات غير
المصرح به وهجمات االنتحال .إذا كانت هناك حاجة إلى مستوى أعلى من األمان ،فيمكن استخدام معيار تشفير البيانات ( )DES
اختياريًا في وضع تسلسل كتلة التشفير .تم تنفيذ SNMP V3على CISCO IOSمنذ اإلصدار .12.0
قد يتعرض SNMPV3للقوة الغاشمة وهجمات القاموس لتخمين مفاتيح المصادقة أو مفاتيح التشفير ،إذا تم إنشاء هذه المفاتيح من
كلمات مرور قصيرة (ضعيفة) أو كلمات مرور يمكن العثور عليها في القاموس .يسمح SNMPV3بتوفير مفاتيح تشفير موزعة
بشكل عشوائي وموحد وإنشاء مفاتيح تشفير من كلمة مرور يوفرها المستخدم .تعتمد مخاطر تخمين سالسل المصادقة من قيم التجزئة
المنقولة عبر الشبكة على وظيفة تجزئة التشفير المستخدمة وطول قيمة التجزئة .يستخدم SNMPV3بروتوكول المصادقة HMAC-
SHA-2لنموذج األمان المستند إلى المستخدم ( ]29 [ .)USMال يستخدم SNMPبروتوكول مصادقة أكثر أما ًنا لمصادقة تبادل
المعلومات( SNMPV3 .مثل إصدارات بروتوكول SNMPاألخرى) هو بروتوكول عديم الحالة ،وقد تم تصميمه بأقل قدر من
التفاعالت بين الوكيل والمدير .وبالتالي ،فإن تقديم مصافحة التحدي واالستجابة لكل أمر من شأنه أن يفرض عب ًئا على الوكيل (وربما
طا وغير مقبول. على الشبكة نفسها) يعتبره مصممو البروتوكول مفر ً
يمكن التخفيف من أوجه القصور األمنية لجميع إصدارات SNMPبواسطة آليات مصادقة IPSECوالسرية[ .بحاجة لمصدر] يمكن
أيضًا نقل SNMPبشكل آمن عبر ).DATAGRAM TRANSPORT LAYER SECURITY (DTLS
تتضمن العديد من تطبيقات SNMPنوعًا من االكتشاف التلقائي حيث يتم اكتشاف مكون شبكة جديد ،مثل المحول أو جهاز التوجيه ،
واستقصائه تلقائيًا .في SNMPV1و SNMPV2Cيتم ذلك من خالل سلسلة مجتمع يتم نقلها بنص واضح إلى أجهزة أخرى]10 [ .
تمثل كلمات مرور النص الواضح مخاطرة أمنية كبيرة .بمجرد معرفة سلسلة المجتمع خارج المنظمة ،يمكن أن تصبح هد ًفا للهجوم.
لتنبيه المسؤولين عن المحاوالت األخرى لجمع سالسل المجتمع ،يمكن تكوين SNMPلتمرير اعتراضات فشل مصادقة اسم المجتمع.
إذا تم استخدام ، SNMPV2يمكن تجنب المشكلة عن طريق تمكين تشفير كلمة المرور على وكالء SNMPألجهزة الشبكة .
التكوين االفتراضي الشائع لسالسل المجتمع هو "عام" للوصول للقراءة فقط و "خاص" للقراءة والكتابة .بسبب اإلعدادات االفتراضية
المعروفة ،تصدرت SNMPقائمة مشكالت التكوين االفتراضي الشائعة لمعهد SANSوكان رقم 10في أهم 10تهديدات ألمن
اإلنترنت من SANSلعام .2000غالبًا ال يغير مسؤولو النظام والشبكة هذه التكوينات.
سواء تم تشغيله عبر TCPأو ، UDPفإن SNMPV1و V2عرضة لهجمات انتحال .IPباستخدام االنتحال ،قد يتجاوز
المهاجمون قوائم الوصول إلى األجهزة في الوكالء التي يتم تنفيذها لتقييد وصول .SNMPتمنع آليات أمان SNMPV3مثل USM
أو TSMهجوم انتحال ناجح.
6