snmp服務(wù)

   

   接入Internet的網(wǎng)絡(luò)面臨許多風(fēng)險，Web服務(wù)器可能面臨攻擊，郵件服務(wù)器的安全也令人擔(dān)憂。但除 此之外，網(wǎng)絡(luò)上可能還存在一些隱性的漏洞。大多數(shù)網(wǎng)絡(luò)總有一些設(shè)備運行著SNMP服務(wù)，許多時候這些SNMP服務(wù)是不必要的，但卻沒有引起網(wǎng)絡(luò)管理員的重視。
　　根據(jù)SANS協(xié)會（  
http://www.sans.org）的報告，對于接入Internet的主機(jī)，SNMP是威脅安全的十大首要因素之一；同時，SNMP還是Internet主機(jī)上最常見的服務(wù)之一。特別地，SNMP服務(wù)通常在位于網(wǎng)絡(luò)邊緣的設(shè)備（防火墻保護(hù)圈之外的設(shè)備）上運行，進(jìn)一步加劇了SNMP帶來的風(fēng)險。這一切聽起來出人意料，但其實事情不應(yīng)該是這樣的。本文提供了一些建議，幫助你正確面對SNMP服務(wù)隱藏的風(fēng)險。
　　一、背景知識
　　SNMP開發(fā)于九十年代早期，其目的是簡化大型網(wǎng)絡(luò)中設(shè)備的管理和數(shù)據(jù)的獲取。許多與網(wǎng)絡(luò)有關(guān)的軟件包，如HP的OpenView和Nortel Networks的Optivity Network Management System，還有Multi Router Traffic Grapher（MRTG）之類的免費軟件，都用SNMP服務(wù)來簡化網(wǎng)絡(luò)的管理和維護(hù)。
　　由于SNMP的效果實在太好了，所以網(wǎng)絡(luò)硬件廠商開始把SNMP加入到它們制造的每一臺設(shè)備。今天，各種網(wǎng)絡(luò)設(shè)備上都可以看到默認(rèn)啟用的SNMP服務(wù)，從交換機(jī)到路由器，從防火墻到網(wǎng)絡(luò)打印機(jī)，無一例外。
　　僅僅是分布廣泛還不足以造成威脅，問題是許多廠商安裝的SNMP都采用了默認(rèn)的通信字符串（例如密碼），這些通信字符串是程序獲取設(shè)備信息和修改配置必不可少的。采用默認(rèn)通信字符串的好處是網(wǎng)絡(luò)上的軟件可以直接訪問設(shè)備，無需經(jīng)過復(fù)雜的配置。
　　通信字符串主要包含兩類命令：GET命令，SET命令。GET命令從設(shè)備讀取數(shù)據(jù)，這些數(shù)據(jù)通常是操作參數(shù)，例如連接狀態(tài)、接口名稱等。SET命令允許設(shè)置設(shè)備的某些參數(shù)，這類功能一般有限制，例如關(guān)閉某個網(wǎng)絡(luò)接口、修改路由器參數(shù)等功能。但很顯然，GET、SET命令都可能被用于拒絕服務(wù)攻擊（DoS）和惡意修改網(wǎng)絡(luò)參數(shù)。
　　最常見的默認(rèn)通信字符串是public（只讀）和private（讀/寫），除此之外還有許多廠商私有的默認(rèn)通信字符串。幾乎所有運行SNMP的網(wǎng)絡(luò)設(shè)備上，都可以找到某種形式的默認(rèn)通信字符串。
　　SNMP 2.0和SNMP 1.0的安全機(jī)制比較脆弱，通信不加密，所有通信字符串和數(shù)據(jù)都以明文形式發(fā)送。攻擊者一旦捕獲了網(wǎng)絡(luò)通信，就可以利用各種嗅探工具直接獲取通信字符串，即使用戶改變了通信字符串的默認(rèn)值也無濟(jì)于事。
　　近幾年才出現(xiàn)的SNMP 3.0解決了一部分問題。為保護(hù)通信字符串，SNMP 3.0使用DES（Data Encryption Standard）算法加密數(shù)據(jù)通信；另外，SNMP 3.0還能夠用MD5和SHA（Secure Hash Algorithm）技術(shù)驗證節(jié)點的標(biāo)識符，從而防止攻擊者冒充管理節(jié)點的身份操作網(wǎng)絡(luò)。有關(guān)SNMP 3.0的詳細(xì)說明，請參見http://www.ietf.org/rfc/rfc2570.txt。
　　雖然SNMP 3.0出現(xiàn)已經(jīng)有一段時間了，但目前還沒有廣泛應(yīng)用。如果設(shè)備是2、3年前的產(chǎn)品，很可能根本不支持SNMP 3.0；甚至有些較新的設(shè)備也只有SNMP 2.0或SNMP 1.0。
　　即使設(shè)備已經(jīng)支持SNMP 3.0，許多廠商使用的還是標(biāo)準(zhǔn)的通信字符串，這些字符串對黑客組織來說根本不是秘密。因此，雖然SNMP 3.0比以前的版本提供了更多的安全特性，如果配置不當(dāng)，其實際效果仍舊有限。
　　二、禁用SNMP
　　要避免SNMP服務(wù)帶來的安全風(fēng)險，最徹底的辦法是禁用SNMP。如果你沒有用SNMP來管理網(wǎng)絡(luò)，那就沒有必要運行它；如果你不清楚是否有必要運行SNMP，很可能實際上不需要。即使你打算以后使用SNMP，只要現(xiàn)在沒有用，也應(yīng)該先禁用SNMP，直到確實需要使用SNMP時才啟用它。
　　下面列出了如何在常見的平臺上禁用SNMP服務(wù)。
　　■ Windows XP和Windows 2000
　　在XP和Win 2K中，右擊“我的電腦”，選擇“管理”。展開“服務(wù)和應(yīng)用程序”、“服務(wù)”，從服務(wù)的清單中選擇SNMP服務(wù)，停止該服務(wù)。然后打開服務(wù)的“屬性”對話框，將啟動類型該為“禁用”（按照微軟的默認(rèn)設(shè)置，Win 2K/XP默認(rèn)不安裝SNMP服務(wù)，但許多軟件會自動安裝該服務(wù)）。
　　■ Windows NT 4.0
　　選擇“開始”→“設(shè)置”，打開服務(wù)設(shè)置程序，在服務(wù)清單中選擇SNMP服務(wù)，停止該服務(wù)，然后將它的啟動類型該為禁用。
　　■ Windows 9x
　　打開控制面板的網(wǎng)絡(luò)設(shè)置程序，在“配置”頁中，從已安裝的組件清單中選擇“Microsoft SNMP代理”，點擊“刪除”。檢查HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices和HKEY_LOCAL_MACHINE SOFTWAREMicrosoftWindowsCurrentVersionRun注冊鍵，確認(rèn)不存在snmp.exe。
　　■ Cisco Systems硬件
　　對于Cisco的網(wǎng)絡(luò)硬件，執(zhí)行“no SNMP-server”命令禁用SNMP服務(wù)。如果要檢查SNMP是否關(guān)閉，可執(zhí)行“show SNMP”命令。這些命令只適用于運行Cisco IOS的平臺；對于非IOS的Cisco設(shè)備，請參考隨機(jī)文檔。
　　■ HP硬件
　　對于所有使用JetDirect卡（絕大部分HP網(wǎng)絡(luò)打印機(jī)都使用它）的HP網(wǎng)絡(luò)設(shè)備，用telnet連接到JetDirect卡的IP地址，然后執(zhí)行下面的命令：
SNMP-config: 0
quit

　　這些命令將關(guān)閉設(shè)備的SNMP服務(wù)。但必須注意的是，禁用SNMP服務(wù)會影響服務(wù)的發(fā)現(xiàn)操作以及利用SNMP獲取設(shè)備狀態(tài)的端口監(jiān)視機(jī)制。
　　■ Red Hat Linux
　　對于Red Hat Linux，可以用Linuxconf工具從自動啟動的服務(wù)清單中刪除SNMP，或者直接從/etc/services文件刪除啟動SNMP的行。對于其他Linux系統(tǒng)，操作方法應(yīng)該也相似。
　　三、保障SNMP的安全
　　如果某些設(shè)備確實有必要運行SNMP，則必須保障這些設(shè)備的安全。首先要做的是確定哪些設(shè)備正在運行SNMP服務(wù)。除非定期對整個網(wǎng)絡(luò)進(jìn)行端口掃描，全面掌握各臺機(jī)器、設(shè)備上運行的服務(wù)，否則的話，很有可能遺漏一、二個SNMP服務(wù)。特別需要注意的是，網(wǎng)絡(luò)交換機(jī)、打印機(jī)之類的設(shè)備同樣也會運行SNMP服務(wù)。確定SNMP服務(wù)的運行情況后，再采取下面的措施保障服務(wù)安全。
　　■ 加載SNMP服務(wù)的補丁
　　安裝SNMP服務(wù)的補丁，將SNMP服務(wù)升級到2.0或更高的版本。聯(lián)系設(shè)備的制造商，了解有關(guān)安全漏洞和升級補丁的情況。
　　■ 保護(hù)SNMP通信字符串
　　一個很重要的保護(hù)措施是修改所有默認(rèn)的通信字符串。根據(jù)設(shè)備文檔的說明，逐一檢查、修改各個標(biāo)準(zhǔn)的、非標(biāo)準(zhǔn)的通信字符串，不要遺漏任何一項，必要時可以聯(lián)系制造商獲取詳細(xì)的說明。
　　■ 過濾SNMP
　　另一個可以采用的保護(hù)措施是在網(wǎng)絡(luò)邊界上過濾SNMP通信和請求，即在防火墻或邊界路由器上，阻塞SNMP請求使用的端口。標(biāo)準(zhǔn)的SNMP服務(wù)使用161和162端口，廠商私有的實現(xiàn)一般使用199、391、705和1993端口。禁用這些端口通信后，外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)的能力就受到了限制；另外，在內(nèi)部網(wǎng)絡(luò)的路由器上，應(yīng)該編寫一個ACL，只允許某個特定的可信任的SNMP管理系統(tǒng)操作SNMP。例如，下面的ACL只允許來自（或者走向）SNMP管理系統(tǒng)的SNMP通信，限制網(wǎng)絡(luò)上的所有其他SNMP通信：
access-list 100 permit ip host w.x.y any
access-list 100 deny udp any any eq snmp
access-list 100 deny udp any any eq snmptrap
access-list 100 permit ip any any

　　這個ACL的第一行定義了可信任管理系統(tǒng)（w.x.y）。利用下面的命令可以將上述ACL應(yīng)用到所有網(wǎng)絡(luò)接口：
interface serial 0
ip access-group 100 in

　　總之，SNMP的發(fā)明代表著網(wǎng)絡(luò)管理的一大進(jìn)步，現(xiàn)在它仍是高效管理大型網(wǎng)絡(luò)的有力工具。然而，SNMP的早期版本天生缺乏安全性，即使最新的版本同樣也存在問題。就象網(wǎng)絡(luò)上運行的其他服務(wù)一樣，SNMP服務(wù)的安全性也是不可忽視的。不要盲目地肯定網(wǎng)絡(luò)上沒有運行SNMP服務(wù)，也許它就躲藏在某個設(shè)備上。那些必不可少的網(wǎng)絡(luò)服務(wù)已經(jīng)有太多讓人擔(dān)憂的安全問題，所以最好關(guān)閉SNMP之類并非必需的服務(wù)——至少盡量設(shè)法保障其安全。

   

• 通信詞典解釋