接入Internet的網(wǎng)絡(luò)面臨許多風(fēng)險����,Web服務(wù)器可能面臨攻擊��,郵件服務(wù)器的安全也令人擔(dān)憂�。但除 此之外,網(wǎng)絡(luò)上可能還存在一些隱性的漏洞��。大多數(shù)網(wǎng)絡(luò)總有一些設(shè)備運行著SNMP服務(wù)��,許多時候這些SNMP服務(wù)是不必要的��,但卻沒有引起網(wǎng)絡(luò)管理員的重視���。
根據(jù)SANS協(xié)會(http://www.sans.org)的報告���,對于接入Internet的主機(jī),SNMP是威脅安全的十大首要因素之一�;同時,SNMP還是Internet主機(jī)上最常見的服務(wù)之一��。特別地����,SNMP服務(wù)通常在位于網(wǎng)絡(luò)邊緣的設(shè)備(防火墻保護(hù)圈之外的設(shè)備)上運行��,進(jìn)一步加劇了SNMP帶來的風(fēng)險����。這一切聽起來出人意料,但其實事情不應(yīng)該是這樣的。本文提供了一些建議����,幫助你正確面對SNMP服務(wù)隱藏的風(fēng)險。
一�����、背景知識
SNMP開發(fā)于九十年代早期�,其目的是簡化大型網(wǎng)絡(luò)中設(shè)備的管理和數(shù)據(jù)的獲取。許多與網(wǎng)絡(luò)有關(guān)的軟件包��,如HP的OpenView和Nortel Networks的Optivity Network Management System�����,還有Multi Router Traffic Grapher(MRTG)之類的免費軟件���,都用SNMP服務(wù)來簡化網(wǎng)絡(luò)的管理和維護(hù)��。
由于SNMP的效果實在太好了�,所以網(wǎng)絡(luò)硬件廠商開始把SNMP加入到它們制造的每一臺設(shè)備����。今天�����,各種網(wǎng)絡(luò)設(shè)備上都可以看到默認(rèn)啟用的SNMP服務(wù)��,從交換機(jī)到路由器��,從防火墻到網(wǎng)絡(luò)打印機(jī)�����,無一例外�。
僅僅是分布廣泛還不足以造成威脅���,問題是許多廠商安裝的SNMP都采用了默認(rèn)的通信字符串(例如密碼)����,這些通信字符串是程序獲取設(shè)備信息和修改配置必不可少的�����。采用默認(rèn)通信字符串的好處是網(wǎng)絡(luò)上的軟件可以直接訪問設(shè)備�����,無需經(jīng)過復(fù)雜的配置�。
通信字符串主要包含兩類命令:GET命令,SET命令��。GET命令從設(shè)備讀取數(shù)據(jù)���,這些數(shù)據(jù)通常是操作參數(shù)���,例如連接狀態(tài)、接口名稱等����。SET命令允許設(shè)置設(shè)備的某些參數(shù),這類功能一般有限制��,例如關(guān)閉某個網(wǎng)絡(luò)接口���、修改路由器參數(shù)等功能����。但很顯然����,GET�、SET命令都可能被用于拒絕服務(wù)攻擊(DoS)和惡意修改網(wǎng)絡(luò)參數(shù)�。
最常見的默認(rèn)通信字符串是public(只讀)和private(讀/寫),除此之外還有許多廠商私有的默認(rèn)通信字符串���。幾乎所有運行SNMP的網(wǎng)絡(luò)設(shè)備上��,都可以找到某種形式的默認(rèn)通信字符串�。
SNMP 2.0和SNMP 1.0的安全機(jī)制比較脆弱��,通信不加密���,所有通信字符串和數(shù)據(jù)都以明文形式發(fā)送���。攻擊者一旦捕獲了網(wǎng)絡(luò)通信,就可以利用各種嗅探工具直接獲取通信字符串�,即使用戶改變了通信字符串的默認(rèn)值也無濟(jì)于事。
近幾年才出現(xiàn)的SNMP 3.0解決了一部分問題���。為保護(hù)通信字符串�����,SNMP 3.0使用DES(Data Encryption Standard)算法加密數(shù)據(jù)通信����;另外��,SNMP 3.0還能夠用MD5和SHA(Secure Hash Algorithm)技術(shù)驗證節(jié)點的標(biāo)識符��,從而防止攻擊者冒充管理節(jié)點的身份操作網(wǎng)絡(luò)���。有關(guān)SNMP 3.0的詳細(xì)說明�����,請參見http://www.ietf.org/rfc/rfc2570.txt����。
雖然SNMP 3.0出現(xiàn)已經(jīng)有一段時間了����,但目前還沒有廣泛應(yīng)用。如果設(shè)備是2�、3年前的產(chǎn)品,很可能根本不支持SNMP 3.0���;甚至有些較新的設(shè)備也只有SNMP 2.0或SNMP 1.0�����。
即使設(shè)備已經(jīng)支持SNMP 3.0�����,許多廠商使用的還是標(biāo)準(zhǔn)的通信字符串����,這些字符串對黑客組織來說根本不是秘密。因此�����,雖然SNMP 3.0比以前的版本提供了更多的安全特性����,如果配置不當(dāng),其實際效果仍舊有限���。
二��、禁用SNMP
要避免SNMP服務(wù)帶來的安全風(fēng)險����,最徹底的辦法是禁用SNMP。如果你沒有用SNMP來管理網(wǎng)絡(luò)����,那就沒有必要運行它�����;如果你不清楚是否有必要運行SNMP���,很可能實際上不需要�。即使你打算以后使用SNMP��,只要現(xiàn)在沒有用��,也應(yīng)該先禁用SNMP�����,直到確實需要使用SNMP時才啟用它����。
下面列出了如何在常見的平臺上禁用SNMP服務(wù)。
■ Windows XP和Windows 2000
在XP和Win 2K中,右擊“我的電腦”�����,選擇“管理”�����。展開“服務(wù)和應(yīng)用程序”��、“服務(wù)”����,從服務(wù)的清單中選擇SNMP服務(wù),停止該服務(wù)��。然后打開服務(wù)的“屬性”對話框�,將啟動類型該為“禁用”(按照微軟的默認(rèn)設(shè)置,Win 2K/XP默認(rèn)不安裝SNMP服務(wù)�,但許多軟件會自動安裝該服務(wù))。
■ Windows NT 4.0
選擇“開始”→“設(shè)置”�����,打開服務(wù)設(shè)置程序����,在服務(wù)清單中選擇SNMP服務(wù)��,停止該服務(wù)����,然后將它的啟動類型該為禁用�。
■ Windows 9x
打開控制面板的網(wǎng)絡(luò)設(shè)置程序,在“配置”頁中�,從已安裝的組件清單中選擇“Microsoft SNMP代理”�����,點擊“刪除”�����。檢查HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices和HKEY_LOCAL_MACHINE SOFTWAREMicrosoftWindowsCurrentVersionRun注冊鍵�����,確認(rèn)不存在snmp.exe�。
■ Cisco Systems硬件
對于Cisco的網(wǎng)絡(luò)硬件,執(zhí)行“no SNMP-server”命令禁用SNMP服務(wù)�����。如果要檢查SNMP是否關(guān)閉,可執(zhí)行“show SNMP”命令�����。這些命令只適用于運行Cisco IOS的平臺����;對于非IOS的Cisco設(shè)備,請參考隨機(jī)文檔�。
■ HP硬件
對于所有使用JetDirect卡(絕大部分HP網(wǎng)絡(luò)打印機(jī)都使用它)的HP網(wǎng)絡(luò)設(shè)備,用telnet連接到JetDirect卡的IP地址��,然后執(zhí)行下面的命令:
SNMP-config: 0
quit
這些命令將關(guān)閉設(shè)備的SNMP服務(wù)��。但必須注意的是���,禁用SNMP服務(wù)會影響服務(wù)的發(fā)現(xiàn)操作以及利用SNMP獲取設(shè)備狀態(tài)的端口監(jiān)視機(jī)制�。
■ Red Hat Linux
對于Red Hat Linux����,可以用Linuxconf工具從自動啟動的服務(wù)清單中刪除SNMP,或者直接從/etc/services文件刪除啟動SNMP的行����。對于其他Linux系統(tǒng)�����,操作方法應(yīng)該也相似����。
三����、保障SNMP的安全
如果某些設(shè)備確實有必要運行SNMP,則必須保障這些設(shè)備的安全����。首先要做的是確定哪些設(shè)備正在運行SNMP服務(wù)�����。除非定期對整個網(wǎng)絡(luò)進(jìn)行端口掃描��,全面掌握各臺機(jī)器��、設(shè)備上運行的服務(wù)�,否則的話�,很有可能遺漏一�����、二個SNMP服務(wù)����。特別需要注意的是,網(wǎng)絡(luò)交換機(jī)�����、打印機(jī)之類的設(shè)備同樣也會運行SNMP服務(wù)����。確定SNMP服務(wù)的運行情況后,再采取下面的措施保障服務(wù)安全����。
■ 加載SNMP服務(wù)的補(bǔ)丁
安裝SNMP服務(wù)的補(bǔ)丁,將SNMP服務(wù)升級到2.0或更高的版本��。聯(lián)系設(shè)備的制造商�,了解有關(guān)安全漏洞和升級補(bǔ)丁的情況。
■ 保護(hù)SNMP通信字符串
一個很重要的保護(hù)措施是修改所有默認(rèn)的通信字符串�����。根據(jù)設(shè)備文檔的說明,逐一檢查���、修改各個標(biāo)準(zhǔn)的��、非標(biāo)準(zhǔn)的通信字符串�����,不要遺漏任何一項�,必要時可以聯(lián)系制造商獲取詳細(xì)的說明����。
■ 過濾SNMP
另一個可以采用的保護(hù)措施是在網(wǎng)絡(luò)邊界上過濾SNMP通信和請求,即在防火墻或邊界路由器上�����,阻塞SNMP請求使用的端口���。標(biāo)準(zhǔn)的SNMP服務(wù)使用161和162端口,廠商私有的實現(xiàn)一般使用199���、391�����、705和1993端口��。禁用這些端口通信后��,外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)的能力就受到了限制���;另外�,在內(nèi)部網(wǎng)絡(luò)的路由器上��,應(yīng)該編寫一個ACL�,只允許某個特定的可信任的SNMP管理系統(tǒng)操作SNMP。例如�,下面的ACL只允許來自(或者走向)SNMP管理系統(tǒng)的SNMP通信,限制網(wǎng)絡(luò)上的所有其他SNMP通信:
access-list 100 permit ip host w.x.y any
access-list 100 deny udp any any eq snmp
access-list 100 deny udp any any eq snmptrap
access-list 100 permit ip any any
這個ACL的第一行定義了可信任管理系統(tǒng)(w.x.y)�����。利用下面的命令可以將上述ACL應(yīng)用到所有網(wǎng)絡(luò)接口:
interface serial 0
ip access-group 100 in
總之�����,SNMP的發(fā)明代表著網(wǎng)絡(luò)管理的一大進(jìn)步,現(xiàn)在它仍是高效管理大型網(wǎng)絡(luò)的有力工具�。然而,SNMP的早期版本天生缺乏安全性���,即使最新的版本同樣也存在問題�����。就象網(wǎng)絡(luò)上運行的其他服務(wù)一樣�����,SNMP服務(wù)的安全性也是不可忽視的�����。不要盲目地肯定網(wǎng)絡(luò)上沒有運行SNMP服務(wù)����,也許它就躲藏在某個設(shè)備上�����。那些必不可少的網(wǎng)絡(luò)服務(wù)已經(jīng)有太多讓人擔(dān)憂的安全問題����,所以最好關(guān)閉SNMP之類并非必需的服務(wù)——至少盡量設(shè)法保障其安全。
