SNMP(Simple Network Management Protocol简单网络管理协议)是用来监视、管理和配置网络设备的协议,这种协议应用广泛,现在几乎所有的网络厂商推出的设备和网络管理系统都支持SNMP协议,包括路由器、交换机、Cable Modem、DSL Modem、网络打印机、UPS等等。
支持SNMP的网络设备、操作系统和应用程序可以通过该协议与管理软件通信,汇报其当前的行为和状态;同时,用户还可以借助SNMP来控制这些设备和产品,重定向通信流,改变通信数据包的优先级,甚至断开通信连接。因此,入侵者如果具备相应能力,他就能完全接管您的网络和设备,使系统或服务崩溃。
为了保护网络的安全,安全专家作出了以下建议:
首先,关闭SNMP功能、甚至禁用具备SNMP的设备。由于SNMP V1的漏洞,具备和允许SNMP的网络设备很容易成为黑客攻击的目标,而使整个网络系统安全性能下降。因此首先应该仔细检查网络中每台支持SNMP的路由器、交换机、集线器、服务器和打印机等,以及各个应用软件的SNMP是否关闭。当然,关闭SNMP给集中网络管理造成了障碍。
其次,为所有需要使用SNMP的设备和软件安装补丁程序。随着SNMP漏洞的揭示和安全警告的发出,各网络厂商已经开始针对此漏洞进行修补,并已有不少供应商发布了专门的补丁。在开启SNMP之前,下载并安装补丁程序是非常必要的。
第三,修改缺省的community string。网络设备在使用SNMP中都设有community string,它类似于简单的口令验证机制,用来确认是否具有可读或读写的权限。许多用户在购买设备以来,从未修改系统缺省的community string,因此非授权用户使用缺省口令就可以对重要的系统信息、设备的状态等进行修改。
第四,使用防火墙阻断外网对内网的SNMP访问。对进入网络设备的数据进行过滤,尤其是对SNMP的几个端口的访问,拒绝来自非授权地址的SNMP请求,这样能有效地阻止来自于Internet上的非法攻击。如果防火墙或防火墙以外的设备(如路由器)也开启了SNMP,用户首先应该确保它们已经安装了相应补丁程序。
第五,在分离的管理网络中使用SNMP。用户可以借助VLAN或VPN技术来安全地使用SNMP,在同一物理网络中划分出分离的虚拟网络、并将SNMP限于某个VLAN中能更大程度地增加安全性,而VPN能提供一个增强的验证机制来阻止非授权的SNMP。还有少数的网络设备(例如SVA的6000系列交换机)在硬件背板上进行了专门的设计,将管理数据与通信数据在物理上进行分离,这更好地解决了SNMP攻击的隐患。
