佛山双线服务器提醒您,网络上运行SNMP服务了吗？

佛山双线服务器提醒您,网络上运行SNMP服务了吗？ 佛山双线服务器提醒您,网络上运行SNMP服务了吗, 博扬网络w w w . idcby . net 总结出,佛山双线服务器接入Internet的网络面临许多风险，Web服务器可能面临攻击，邮件服务器的安全也令人担忧。但除 此之外，网络上可能还存在一些隐性的漏洞。大多数网络总有一些设备运行着SNMP服务，许多时候这些SNMP服务是不必要的，但却没有引起网络管理员的重视。 根据SANS协会()的报告，对于接入Internet的主机，SNMP是威胁安全的十大首要因素之一;同时，SNMP还是Internet主机上最常见的服务之一。特别地，SNMP服务通常在位于网络边缘的设备(防火墙保护圈之外的设备)上运行，进一步加剧了SNMP带来的风险。这一切听起来出人意料，但其实事情不应该是这样的。本文提供了一些建议，帮助你正确面对SNMP服务隐藏的风险。 一、背景知识 SNMP开发于九十年代早期，其目的是简化大型网络中设备的管理和数据的获取。许多与网络有关的软件包，如HP的OpenView和Nortel Networks的Optivity Network Management System，还有Multi Router Traffic Grapher (MRTG)之类的免费软件，都用SNMP服务来简化网络的管理和维护。 由于SNMP的效果实在太好了，所以网络硬件厂商开始把SNMP加入到它们制造的每一台设备。今天，各种网络设备上都可以看到默认启用的SNMP服务，从交换机到路由器，从防火墙到网络打印机，无一例外。 仅仅是分布广泛还不足以造成威胁，问是许多厂商安装的SNMP都采用了默认的通信字符串(例如密码)，这些通信字符串是程序获取设备信息和修改配置必不可少的。采用默认通信字符串的好处是网络上的软件可以直接访问设备，无需经过复杂的配置。 通信字符串主要包含两类命令:GET命令，SET命令。GET命令从设备读取数据，这些数据通常是操作参数，例如连接状态、接口名称等。SET命令允许设置设备的某些参数，这类功能一般有限制，例如关闭某个网络接口、修改路由器参数等功能。但很显然，GET、SET命令都可能被用于拒绝服务攻击(DoS)和恶意修改网络参数。 最常见的默认通信字符串是public(只读)和private(读/写)，除此之外还有许多厂商私有的默认通信字符串。几乎所有运行SNMP的网络设备上，都可以找到某种形式的默认通信字符串。 SNMP 2.0和SNMP 1.0的安全机制比较脆弱，通信不加密，所有通信字符串和数据都以明文形式发送。攻击者一旦捕获了网络通信，就可以利用各种嗅探工具直接获取通信字符串，即使用户改变了通信字符串的默认值也无济于事。 近几年才出现的SNMP 3.0解决了一部分问题。为保护通信字符串，SNMP 3.0使用DES(Data Encryption Standard)算法加密数据通信;另外，SNMP 3.0还能够用MD5和SHA(Secure Hash Algorithm)技术验证节点的符，从而防止攻击者冒充管理节点的身份操作网络。有关SNMP 3.0的详细说明，请参见。 虽然SNMP 3.0出现已经有一段时间了，但目前还没有广泛应用。如果设备是2、3年前的产品，很可能根本不支持SNMP 3.0;甚至有些较新的设备也只有SNMP 2.0或SNMP 1.0。 即使设备已经支持SNMP 3.0，许多厂商使用的还是的通信字符串，这些字符串对黑客组织来说根本不是秘密。因此，虽然SNMP 3.0比以前的版本提供了更多的安全特性，如果配置不当，其实际效果仍旧有限。 二、禁用SNMP 要避免SNMP服务带来的安全风险，最彻底的办法是禁用SNMP。如果你没有用SNMP来管理网络，那就没有必要运行它;如果你不清楚是否有必要运行SNMP，很可能实际上不需要。即使你打算以后使用SNMP，只要现在没有用，也应该先禁用SNMP，直到确实需要使用SNMP时才启用它。 下面列出了如何在常见的平台上禁用SNMP服务。 ? Windows XP和Windows 2000 在XP和Win 2K中，右击“我的电脑”，选择“管理”。展开“服务和应用程序”、“服务”，从服务的清单中选择SNMP服务，停止该服务。然后打开服务的“属性”对话框，将启动类型该为“禁用”(按照微软的默认设置，Win 2K/XP默认不安装SNMP服务，但许多软件会自动安装该服务)。 ? Windows NT 4.0 选择“开始”?“设置”，打开服务设置程序，在服务清单中选择SNMP服务，停止该服务，然后将它的启动类型该为禁用。 ? Windows 9x 打开控制面板的网络设置程序，在“配置”页中，从已安装的组件清单中选择“Microsoft SNMP代理”，点击“删除”。检查HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServi ces和HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\Run注册键，确认不存在snmp.exe。 ? Cisco Systems硬件 对于Cisco的网络硬件，执行“no SNMP-server”命令禁用SNMP服务。如果要检查SNMP是否关闭，可执行“show SNMP”命令。这些命令只适用于运行Cisco IOS的平台;对于非IOS的Cisco设备，请参考随机文档。 ? HP硬件 对于所有使用JetDirect卡(绝大部分HP网络打印机都使用它)的HP网络设备，用telnet连接到JetDirect卡的IP地址，然后执行下面的命令: SNMP-config: 0 quit 这些命令将关闭设备的SNMP服务。但必须注意的是，禁用SNMP服务会影响服务的发现操作以及利用SNMP获取设备状态的端口监视机制。 ? Red Hat Linux 对于Red Hat Linux，可以用Linuxconf工具从自动启动的服务清单中删除SNMP，或者直接从/etc/services文件删除启动SNMP的行。对于其他Linux系统，操作方法应该也相似。 三、保障SNMP的安全 如果某些设备确实有必要运行SNMP，则必须保障这些设备的安全。首先要做的是确定哪些设备正在运行SNMP服务。除非定期对整个网络进行端口扫描，全面掌握各台机器、设备上运行的服务，否则的话，很有可能遗漏一、二个SNMP服务。特别需要注意的是，网络交换机、打印机之类的设备同样也会运行SNMP服务。确定SNMP服务的运行情况后，再采取下面的保障服务安全。 ? 加载SNMP服务的补丁 安装SNMP服务的补丁，将SNMP服务升级到2.0或更高的版本。联系设备的制造商，了解有关安全漏洞和升级补丁的情况。 ? 保护SNMP通信字符串 一个很重要的保护措施是修改所有默认的通信字符串。根据设备文档的说明，逐一检查、修改各个标准的、非标准的通信字符串，不要遗漏任何一项，必要时可以联系制造商获取详细的说明。 ? 过滤SNMP 另一个可以采用的保护措施是在网络边界上过滤SNMP通信和请求，即在防火墙或边界路由器上，阻塞SNMP请求使用的端口。标准的SNMP服务使用161和162端口，厂商私有的实现一般使用199、391、705和1993端口。禁用这些 端口通信后，外部网络访问内部网络的能力就受到了限制;另外，在内部网络的路由器上，应该编写一个ACL，只允许某个特定的可信任的SNMP管理系统操作SNMP。例如，下面的ACL只允许来自(或者走向)SNMP管理系统的SNMP通信，限制网络上的所有其他SNMP通信: access-list 100 permit ip host w.x.y any access-list 100 deny udp any any eq snmp access-list 100 deny udp any any eq snmptrap access-list 100 permit ip any any (w.x.y)。利用下面的命令可以 这个ACL的第一行定义了可信任管理系统 将上述ACL应用到所有网络接口: interface serial 0 ip access-group 100 in 总之，SNMP的发明代着网络管理的一大进步，现在它仍是高效管理大型网络的有力工具。然而，SNMP的早期版本天生缺乏安全性，即使最新的版本同样也存在问题。就象网络上运行的其他服务一样，SNMP服务的安全性也是不可忽视的。不要盲目地肯定网络上没有运行SNMP服务，也许它就躲藏在某个设备上。那些必不可少的网络服务已经有太多让人担忧的安全问题，所以最好关闭SNMP之类并非必需的服务——至少尽量设法保障其安全。