作者:
ecsun
鏈接:
http://papa.javaeye.com/blog/220526
發(fā)表時(shí)間: 2008年07月28日
聲明:本文系JavaEye網(wǎng)站發(fā)布的原創(chuàng)博客文章,未經(jīng)作者書(shū)面許可,嚴(yán)禁任何網(wǎng)站轉(zhuǎn)載本文,否則必將追究法律責(zé)任!
接入Internet的網(wǎng)絡(luò)面臨許多風(fēng)險(xiǎn),Web服務(wù)器可能面臨攻擊,郵件服務(wù)器的安全也令人擔(dān)憂(yōu)。但除 此之外,網(wǎng)絡(luò)上可能還存在一些隱性的漏洞。大多數(shù)網(wǎng)絡(luò)總有一些設(shè)備運(yùn)行著SNMP服務(wù),許多時(shí)候這些SNMP服務(wù)是不必要的,但卻沒(méi)有引起網(wǎng)絡(luò)管理員的重視。
根據(jù)SANS協(xié)會(huì)(http://www.sans.org)的報(bào)告,對(duì)于接入Internet的主機(jī),SNMP是威脅安全的十大首要因素之一;同時(shí),SNMP還是Internet主機(jī)上最常見(jiàn)的服務(wù)之一。特別地,SNMP服務(wù)通常在位于網(wǎng)絡(luò)邊緣的設(shè)備(防火墻保護(hù)圈之外的設(shè)備)上運(yùn)行,進(jìn)一步加劇了SNMP帶來(lái)的風(fēng)險(xiǎn)。這一切聽(tīng)起來(lái)出人意料,但其實(shí)事情不應(yīng)該是這樣的。本文提供了一些建議,幫助你正確面對(duì)SNMP服務(wù)隱藏的風(fēng)險(xiǎn)。
一、背景知識(shí)
SNMP開(kāi)發(fā)于九十年代早期,其目的是簡(jiǎn)化大型網(wǎng)絡(luò)中設(shè)備的管理和數(shù)據(jù)的獲取。許多與網(wǎng)絡(luò)有關(guān)的軟件包,如HP的OpenView和Nortel Networks的Optivity Network Management System,還有Multi Router Traffic Grapher(MRTG)之類(lèi)的免費(fèi)軟件,都用SNMP服務(wù)來(lái)簡(jiǎn)化網(wǎng)絡(luò)的管理和維護(hù)。
由于SNMP的效果實(shí)在太好了,所以網(wǎng)絡(luò)硬件廠(chǎng)商開(kāi)始把SNMP加入到它們制造的每一臺(tái)設(shè)備。今天,各種網(wǎng)絡(luò)設(shè)備上都可以看到默認(rèn)啟用的SNMP服務(wù),從交換機(jī)到路由器,從防火墻到網(wǎng)絡(luò)打印機(jī),無(wú)一例外。
僅僅是分布廣泛還不足以造成威脅,問(wèn)題是許多廠(chǎng)商安裝的SNMP都采用了默認(rèn)的通信字符串(例如密碼),這些通信字符串是程序獲取設(shè)備信息和修改配置必不可少的。采用默認(rèn)通信字符串的好處是網(wǎng)絡(luò)上的軟件可以直接訪(fǎng)問(wèn)設(shè)備,無(wú)需經(jīng)過(guò)復(fù)雜的配置。
通信字符串主要包含兩類(lèi)命令:GET命令,SET命令。GET命令從設(shè)備讀取數(shù)據(jù),這些數(shù)據(jù)通常是操作參數(shù),例如連接狀態(tài)、接口名稱(chēng)等。SET命令允許設(shè)置設(shè)備的某些參數(shù),這類(lèi)功能一般有限制,例如關(guān)閉某個(gè)網(wǎng)絡(luò)接口、修改路由器參數(shù)等功能。但很顯然,GET、SET命令都可能被用于拒絕服務(wù)攻擊(DoS)和惡意修改網(wǎng)絡(luò)參數(shù)。
最常見(jiàn)的默認(rèn)通信字符串是public(只讀)和private(讀/寫(xiě)),除此之外還有許多廠(chǎng)商私有的默認(rèn)通信字符串。幾乎所有運(yùn)行SNMP的網(wǎng)絡(luò)設(shè)備上,都可以找到某種形式的默認(rèn)通信字符串。
SNMP 2.0和SNMP 1.0的安全機(jī)制比較脆弱,通信不加密,所有通信字符串和數(shù)據(jù)都以明文形式發(fā)送。攻擊者一旦捕獲了網(wǎng)絡(luò)通信,就可以利用各種嗅探工具直接獲取通信字符串,即使用戶(hù)改變了通信字符串的默認(rèn)值也無(wú)濟(jì)于事。
近幾年才出現(xiàn)的SNMP 3.0解決了一部分問(wèn)題。為保護(hù)通信字符串,SNMP 3.0使用DES(Data Encryption Standard)算法加密數(shù)據(jù)通信;另外,SNMP 3.0還能夠用MD5和SHA(Secure Hash Algorithm)技術(shù)驗(yàn)證節(jié)點(diǎn)的標(biāo)識(shí)符,從而防止攻擊者冒充管理節(jié)點(diǎn)的身份操作網(wǎng)絡(luò)。有關(guān)SNMP 3.0的詳細(xì)說(shuō)明,請(qǐng)參見(jiàn)http://www.ietf.org/rfc/rfc2570.txt。
雖然SNMP 3.0出現(xiàn)已經(jīng)有一段時(shí)間了,但目前還沒(méi)有廣泛應(yīng)用。如果設(shè)備是2、3年前的產(chǎn)品,很可能根本不支持SNMP 3.0;甚至有些較新的設(shè)備也只有SNMP 2.0或SNMP 1.0。
即使設(shè)備已經(jīng)支持SNMP 3.0,許多廠(chǎng)商使用的還是標(biāo)準(zhǔn)的通信字符串,這些字符串對(duì)黑客組織來(lái)說(shuō)根本不是秘密。因此,雖然SNMP 3.0比以前的版本提供了更多的安全特性,如果配置不當(dāng),其實(shí)際效果仍舊有限。
二、禁用SNMP
要避免SNMP服務(wù)帶來(lái)的安全風(fēng)險(xiǎn),最徹底的辦法是禁用SNMP。如果你沒(méi)有用SNMP來(lái)管理網(wǎng)絡(luò),那就沒(méi)有必要運(yùn)行它;如果你不清楚是否有必要運(yùn)行SNMP,很可能實(shí)際上不需要。即使你打算以后使用SNMP,只要現(xiàn)在沒(méi)有用,也應(yīng)該先禁用SNMP,直到確實(shí)需要使用SNMP時(shí)才啟用它。
下面列出了如何在常見(jiàn)的平臺(tái)上禁用SNMP服務(wù)。
■ Windows XP和Windows 2000
在XP和Win 2K中,右擊“我的電腦”,選擇“管理”。展開(kāi)“服務(wù)和應(yīng)用程序”、“服務(wù)”,從服務(wù)的清單中選擇SNMP服務(wù),停止該服務(wù)。然后打開(kāi)服務(wù)的“屬性”對(duì)話(huà)框,將啟動(dòng)類(lèi)型該為“禁用”(按照微軟的默認(rèn)設(shè)置,Win 2K/XP默認(rèn)不安裝SNMP服務(wù),但許多軟件會(huì)自動(dòng)安裝該服務(wù))。
■ Windows NT 4.0
選擇“開(kāi)始”→“設(shè)置”,打開(kāi)服務(wù)設(shè)置程序,在服務(wù)清單中選擇SNMP服務(wù),停止該服務(wù),然后將它的啟動(dòng)類(lèi)型該為禁用。
■ Windows 9x
打開(kāi)控制面板的網(wǎng)絡(luò)設(shè)置程序,在“配置”頁(yè)中,從已安裝的組件清單中選擇“Microsoft SNMP代理”,點(diǎn)擊“刪除”。檢查HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices和HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\Run注冊(cè)鍵,確認(rèn)不存在snmp.exe。
■ Cisco Systems硬件
對(duì)于Cisco的網(wǎng)絡(luò)硬件,執(zhí)行“no SNMP-server”命令禁用SNMP服務(wù)。如果要檢查SNMP是否關(guān)閉,可執(zhí)行“show SNMP”命令。這些命令只適用于運(yùn)行Cisco IOS的平臺(tái);對(duì)于非IOS的Cisco設(shè)備,請(qǐng)參考隨機(jī)文檔。
■ HP硬件
對(duì)于所有使用JetDirect卡(絕大部分HP網(wǎng)絡(luò)打印機(jī)都使用它)的HP網(wǎng)絡(luò)設(shè)備,用telnet連接到JetDirect卡的IP地址,然后執(zhí)行下面的命令:
SNMP-config: 0
quit
這些命令將關(guān)閉設(shè)備的SNMP服務(wù)。但必須注意的是,禁用SNMP服務(wù)會(huì)影響服務(wù)的發(fā)現(xiàn)操作以及利用SNMP獲取設(shè)備狀態(tài)的端口監(jiān)視機(jī)制。
■ Red Hat Linux
對(duì)于Red Hat Linux,可以用Linuxconf工具從自動(dòng)啟動(dòng)的服務(wù)清單中刪除SNMP,或者直接從/etc/services文件刪除啟動(dòng)SNMP的行。對(duì)于其他Linux系統(tǒng),操作方法應(yīng)該也相似。
三、保障SNMP的安全
如果某些設(shè)備確實(shí)有必要運(yùn)行SNMP,則必須保障這些設(shè)備的安全。首先要做的是確定哪些設(shè)備正在運(yùn)行SNMP服務(wù)。除非定期對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行端口掃描,全面掌握各臺(tái)機(jī)器、設(shè)備上運(yùn)行的服務(wù),否則的話(huà),很有可能遺漏一、二個(gè)SNMP服務(wù)。特別需要注意的是,網(wǎng)絡(luò)交換機(jī)、打印機(jī)之類(lèi)的設(shè)備同樣也會(huì)運(yùn)行SNMP服務(wù)。確定SNMP服務(wù)的運(yùn)行情況后,再采取下面的措施保障服務(wù)安全。
■ 加載SNMP服務(wù)的補(bǔ)丁
安裝SNMP服務(wù)的補(bǔ)丁,將SNMP服務(wù)升級(jí)到2.0或更高的版本。聯(lián)系設(shè)備的制造商,了解有關(guān)安全漏洞和升級(jí)補(bǔ)丁的情況。
■ 保護(hù)SNMP通信字符串
一個(gè)很重要的保護(hù)措施是修改所有默認(rèn)的通信字符串。根據(jù)設(shè)備文檔的說(shuō)明,逐一檢查、修改各個(gè)標(biāo)準(zhǔn)的、非標(biāo)準(zhǔn)的通信字符串,不要遺漏任何一項(xiàng),必要時(shí)可以聯(lián)系制造商獲取詳細(xì)的說(shuō)明。
■ 過(guò)濾SNMP
另一個(gè)可以采用的保護(hù)措施是在網(wǎng)絡(luò)邊界上過(guò)濾SNMP通信和請(qǐng)求,即在防火墻或邊界路由器上,阻塞SNMP請(qǐng)求使用的端口。標(biāo)準(zhǔn)的SNMP服務(wù)使用161和162端口,廠(chǎng)商私有的實(shí)現(xiàn)一般使用199、391、705和1993端口。禁用這些端口通信后,外部網(wǎng)絡(luò)訪(fǎng)問(wèn)內(nèi)部網(wǎng)絡(luò)的能力就受到了限制;另外,在內(nèi)部網(wǎng)絡(luò)的路由器上,應(yīng)該編寫(xiě)一個(gè)ACL,只允許某個(gè)特定的可信任的SNMP管理系統(tǒng)操作SNMP。例如,下面的ACL只允許來(lái)自(或者走向)SNMP管理系統(tǒng)的SNMP通信,限制網(wǎng)絡(luò)上的所有其他SNMP通信:
access-list 100 permit ip host w.x.y any
access-list 100 deny udp any any eq snmp
access-list 100 deny udp any any eq snmptrap
access-list 100 permit ip any any
這個(gè)ACL的第一行定義了可信任管理系統(tǒng)(w.x.y)。利用下面的命令可以將上述ACL應(yīng)用到所有網(wǎng)絡(luò)接口:
interface serial 0
ip access-group 100 in
總之,SNMP的發(fā)明代表著網(wǎng)絡(luò)管理的一大進(jìn)步,現(xiàn)在它仍是高效管理大型網(wǎng)絡(luò)的有力工具。然而,SNMP的早期版本天生缺乏安全性,即使最新的版本同樣也存在問(wèn)題。就象網(wǎng)絡(luò)上運(yùn)行的其他服務(wù)一樣,SNMP服務(wù)的安全性也是不可忽視的。不要盲目地肯定網(wǎng)絡(luò)上沒(méi)有運(yùn)行SNMP服務(wù),也許它就躲藏在某個(gè)設(shè)備上。那些必不可少的網(wǎng)絡(luò)服務(wù)已經(jīng)有太多讓人擔(dān)憂(yōu)的安全問(wèn)題,所以最好關(guān)閉SNMP之類(lèi)并非必需的服務(wù)——至少盡量設(shè)法保障其安全。
已有 0 人發(fā)表留言,猛擊->>這里<<-參與討論
JavaEye推薦