`
avery_leo
  • 浏览: 387908 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类
最新评论

SNMP的风险及防范

阅读更多

接入Internet的网络面临许多风险,Web服务器可能面临攻击,邮件服务器的安全也令人担忧。但除 此之外,网络上可能还存在一些隐性的漏洞。大多数网络总有一些设备运行着SNMP服务,许多时候这些SNMP服务是不必要的,但却没有引起网络管理员的重视。

  根据SANS协会(http://www.sans.org)的报告,对于接入Internet的主机,SNMP是威胁安全的十大首要因素之一;同时,SNMP还是Internet主机上最常见的服务之一。特别地,SNMP服务通常在位于网络边缘的设备(防火墙保护圈之外的设备)上运行,进一步加剧了SNMP带来的风险。这一切听起来出人意料,但其实事情不应该是这样的。本文提供了一些建议,帮助你正确面对SNMP服务隐藏的风险。

  一、背景知识

  SNMP开发于九十年代早期,其目的是简化大型网络中设备的管理和数据的获取。许多与网络有关的软件包,如HP的OpenView和Nortel Networks的Optivity Network Management System,还有Multi Router Traffic Grapher(MRTG)之类的免费软件,都用SNMP服务来简化网络的管理和维护。

  由于SNMP的效果实在太好了,所以网络硬件厂商开始把SNMP加入到它们制造的每一台设备。今天,各种网络设备上都可以看到默认启用的SNMP服务,从交换机到路由器,从防火墙到网络打印机,无一例外。

  仅仅是分布广泛还不足以造成威胁,问题是许多厂商安装的SNMP都采用了默认的通信字符串(例如密码),这些通信字符串是程序获取设备信息和修改配置必不可少的。采用默认通信字符串的好处是网络上的软件可以直接访问设备,无需经过复杂的配置。

  通信字符串主要包含两类命令:GET命令,SET命令。GET命令从设备读取数据,这些数据通常是操作参数,例如连接状态、接口名称等。SET命令允许设置设备的某些参数,这类功能一般有限制,例如关闭某个网络接口、修改路由器参数等功能。但很显然,GET、SET命令都可能被用于拒绝服务攻击(DoS)和恶意修改网络参数。

  最常见的默认通信字符串是public(只读)和private(读/写),除此之外还有许多厂商私有的默认通信字符串。几乎所有运行SNMP的网络设备上,都可以找到某种形式的默认通信字符串。

  SNMP 2.0和SNMP 1.0的安全机制比较脆弱,通信不加密,所有通信字符串和数据都以明文形式发送。攻击者一旦捕获了网络通信,就可以利用各种嗅探工具直接获取通信字符串,即使用户改变了通信字符串的默认值也无济于事。

  近几年才出现的SNMP 3.0解决了一部分问题。为保护通信字符串,SNMP 3.0使用DES(Data Encryption Standard)算法加密数据通信;另外,SNMP 3.0还能够用MD5和SHA(Secure Hash Algorithm)技术验证节点的标识符,从而防止攻击者冒充管理节点的身份操作网络。有关SNMP 3.0的详细说明,请参见http://www.ietf.org/rfc/rfc2570.txt

  虽然SNMP 3.0出现已经有一段时间了,但目前还没有广泛应用。如果设备是2、3年前的产品,很可能根本不支持SNMP 3.0;甚至有些较新的设备也只有SNMP 2.0或SNMP 1.0。

  即使设备已经支持SNMP 3.0,许多厂商使用的还是标准的通信字符串,这些字符串对黑客组织来说根本不是秘密。因此,虽然SNMP 3.0比以前的版本提供了更多的安全特性,如果配置不当,其实际效果仍旧有限。

  二、禁用SNMP

  要避免SNMP服务带来的安全风险,最彻底的办法是禁用SNMP。如果你没有用SNMP来管理网络,那就没有必要运行它;如果你不清楚是否有必要运行SNMP,很可能实际上不需要。即使你打算以后使用SNMP,只要现在没有用,也应该先禁用SNMP,直到确实需要使用SNMP时才启用它。

  下面列出了如何在常见的平台上禁用SNMP服务。

  ■ Windows XP和Windows 2000

  在XP和Win 2K中,右击“我的电脑”,选择“管理”。展开“服务和应用程序”、“服务”,从服务的清单中选择SNMP服务,停止该服务。然后打开服务的“属性”对话框,将启动类型该为“禁用”(按照微软的默认设置,Win 2K/XP默认不安装SNMP服务,但许多软件会自动安装该服务)。

  ■ Windows NT 4.0

  选择“开始”→“设置”,打开服务设置程序,在服务清单中选择SNMP服务,停止该服务,然后将它的启动类型该为禁用。

  ■ Windows 9x

  打开控制面板的网络设置程序,在“配置”页中,从已安装的组件清单中选择“Microsoft SNMP代理”,点击“删除”。检查HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices和HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\Run注册键,确认不存在snmp.exe。

  ■ Cisco Systems硬件

  对于Cisco的网络硬件,执行“no SNMP-server”命令禁用SNMP服务。如果要检查SNMP是否关闭,可执行“show SNMP”命令。这些命令只适用于运行Cisco IOS的平台;对于非IOS的Cisco设备,请参考随机文档。

  ■ HP硬件

  对于所有使用JetDirect卡(绝大部分HP网络打印机都使用它)的HP网络设备,用telnet连接到JetDirect卡的IP地址,然后执行下面的命令:

SNMP-config: 0
quit


  这些命令将关闭设备的SNMP服务。但必须注意的是,禁用SNMP服务会影响服务的发现操作以及利用SNMP获取设备状态的端口监视机制。

  ■ Red Hat Linux

  对于Red Hat Linux,可以用Linuxconf工具从自动启动的服务清单中删除SNMP,或者直接从/etc/services文件删除启动SNMP的行。对于其他Linux系统,操作方法应该也相似。

  三、保障SNMP的安全

  如果某些设备确实有必要运行SNMP,则必须保障这些设备的安全。首先要做的是确定哪些设备正在运行SNMP服务。除非定期对整个网络进行端口扫描,全面掌握各台机器、设备上运行的服务,否则的话,很有可能遗漏一、二个SNMP服务。特别需要注意的是,网络交换机、打印机之类的设备同样也会运行SNMP服务。确定SNMP服务的运行情况后,再采取下面的措施保障服务安全。

  ■ 加载SNMP服务的补丁

  安装SNMP服务的补丁,将SNMP服务升级到2.0或更高的版本。联系设备的制造商,了解有关安全漏洞和升级补丁的情况。

  ■ 保护SNMP通信字符串

  一个很重要的保护措施是修改所有默认的通信字符串。根据设备文档的说明,逐一检查、修改各个标准的、非标准的通信字符串,不要遗漏任何一项,必要时可以联系制造商获取详细的说明。

  ■ 过滤SNMP

  另一个可以采用的保护措施是在网络边界上过滤SNMP通信和请求,即在防火墙或边界路由器上,阻塞SNMP请求使用的端口。标准的SNMP服务使用161和162端口,厂商私有的实现一般使用199、391、705和1993端口。禁用这些端口通信后,外部网络访问内部网络的能力就受到了限制;另外,在内部网络的路由器上,应该编写一个ACL,只允许某个特定的可信任的SNMP管理系统操作SNMP。例如,下面的ACL只允许来自(或者走向)SNMP管理系统的SNMP通信,限制网络上的所有其他SNMP通信:

access-list 100 permit ip host w.x.y any
access-list 100 deny udp any any eq snmp
access-list 100 deny udp any any eq snmptrap
access-list 100 permit ip any any


  这个ACL的第一行定义了可信任管理系统(w.x.y)。利用下面的命令可以将上述ACL应用到所有网络接口:

interface serial 0
ip access-group 100 in


  总之,SNMP的发明代表着网络管理的一大进步,现在它仍是高效管理大型网络的有力工具。然而,SNMP的早期版本天生缺乏安全性,即使最新的版本同样也存在问题。就象网络上运行的其他服务一样,SNMP服务的安全性也是不可忽视的。不要盲目地肯定网络上没有运行SNMP服务,也许它就躲藏在某个设备上。那些必不可少的网络服务已经有太多让人担忧的安全问题,所以最好关闭SNMP之类并非必需的服务——至少尽量设法保障其安全。

分享到:
评论

相关推荐

    基于SNMP的ARP欺骗监控研究

    3. **网络设备配置**:在网络交换机上配置端口安全策略,限制可以连接到特定端口的MAC地址数量,以降低ARP欺骗的风险。 4. **ARP欺骗检测工具**:使用专门的工具来定期检查网络中的ARP表,及时发现异常情况。 #### ...

    SNMP卡网络监控的技术方案.docx

    SNMP卡网络监控的技术方案是针对数据中心和信息系统机房动力...综上所述,SNMP卡网络监控技术方案通过集成化和智能化手段,实现了对数据中心环境和设备的全方位监控,提高了运营效率,降低了风险,并确保了数据的安全。

    华为 ME60 V800R010C10SPC500 配置指南 - ME设备安全风险评估

    - 风险抑制:加强运营商IT管理,配置速率限制,防范过载。 8. 人员不慎: - 原因:设备复杂性导致配置错误,对网络拓扑震荡和环路的处理能力不足。 - 风险评估:中 - 风险抑制:加强人员培训,配置环路检测抑制...

    PDF-EssentialSnmp2ndEditionBook-英文版.rar

    7. **安全管理**:讨论SNMP的安全风险和防范措施,包括设置正确的访问控制、使用安全的通信协议等。 8. **案例研究**:可能包含多个实际网络管理场景,演示如何使用SNMP解决具体问题。 9. **最佳实践**:提供在...

    华为 ME60 V800R011C10 配置指南 - ME设备安全风险评估

    然而,设备自身的脆弱性及网络环境的不安全性可能导致一系列的安全风险。本配置指南旨在帮助用户识别这些风险,并提供相应的抑制措施,以保障设备和网络的安全。 **安全隐患一:拒绝服务** ME设备的控制和管理平面...

    浅谈路由器的安全威胁与防范对策.pdf

    因此,了解路由器所面临的安全威胁并采取有效的防范措施,是确保网络安全的一个重要方面。 首先,我们来分析路由器面临的主要安全威胁: 1. 物理安全威胁:路由器的物理安全主要涉及其部署环境的物理安全。包括...

    snmpb安装包下载

    避免在公共网络上启用SNMP,以降低被攻击的风险。 8. **更新和维护**:定期检查SNMPB和网络设备的更新,以获取最新的功能和安全修复。保持软件的最新状态有助于防范潜在的安全威胁。 总之,SNMPB是一个实用的网络...

    xxxx无线网络安全风险评估报告.doc

    【xxxx 无线网络安全风险评估报告】是对xxxx 有限公司无线网络进行全面安全审查的文档,旨在识别并解决潜在的安全问题,确保信息网络和重要...这些改进将有助于防范潜在的网络安全风险,保障公司信息系统的正常运行。

    XX银行H3C交换机安全基线配置 (2).pdf

    - 关闭未使用的SNMP协议和RW权限:减少暴露的风险,防止未经授权的读写操作。 - 关闭不必要的服务:减少不必要的服务可以降低被攻击的面,只开启必要的网络服务。 - 防源地址欺骗攻击:配置策略防止IP源地址被...

    数据库审计系统基本原理与部署方式.pdf

    数据库审计系统是保护数据安全的重要工具,其基本原理在于记录并分析数据库的访问行为,确保合规性和防范潜在风险。数据库审计系统(DBAudit)能够实时监控网络上的数据库活动,对SQL语句进行细粒度审计,对异常行为...

    鲲鹏服务器主板IBMC 使用手册

    * 了解 iBMC 的安全特性和风险防范措施。 * 了解 iBMC 的管理接口和操作方法。 * 了解服务器的安全配置和访问控制。 * 了解服务器的日志和事件记录等功能。 鲲鹏服务器主板IBMC 使用手册提供了一个详细的指导手册,...

    网络管理和网络安全.ppt

    ISO的OSI系统管理标准包括OSI管理框架、公共管理信息服务、公共管理信息协议、管理信息结构等,定义了网络管理的五个关键功能:配置管理、性能管理、故障管理、安全管理及计费管理。 【故障管理】 故障管理是网络...

    论文研究-面向网络态势感知的多源安全信息融合研究 .pdf

    这一技术对防范网络攻击、发现安全漏洞和进行风险评估具有关键性作用,是现代网络安全防护不可或缺的一环。 随着网络技术的飞速发展,网络规模不断扩大,网络结构日趋复杂,网络安全面临的风险也越来越多。为了准确...

    XX银行H3C交换机安全基线配置 (2).docx

    - 远程连接源地址限制:为了防止非法源地址发起的远程连接,银行要求限制只允许特定IP地址或IP段进行远程管理,以减少被恶意攻击的风险。 2. 安全审计 - 开启设备的日志功能:开启日志功能,记录设备的所有操作,...

    服务器安全技术详解.pptx

    处理器集成的安全特性,如ASLR、Nx-bit等,从硬件层面防范安全风险。 最后,通过与第三方安全公司的合作,进行渗透测试和安全评估,制定Web Security、System Security和Management Security等规范,不断提升服务器...

    园区网络安全设计.docx

    在防火墙上进行设置告警策略,利用灵活多样的告警响应手段(E-mail、日志、SNMP 陷阱等),实现攻击行为的告警,有效监控网络应用; 启动防火墙日志功能,利用防火墙的日志记录能力,详细完整的记录日志和统计报表...

    Huawei路由安全配置基线

    4.1.4 关闭未使用的SNMP协议及未使用RW权限:停用不必要的网络管理协议,限制只读权限,减少攻击面。 4.1.5 Community默认通行字应符合口令强度要求:确保SNMP社区字符串的安全性,遵循口令复杂度规则。 综上所述,...

Global site tag (gtag.js) - Google Analytics