網(wǎng)管必知的SNMP簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議
在網(wǎng)絡(luò)協(xié)議中,我們現(xiàn)在通常都會(huì)使用SNMP簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議。那么對(duì)于這個(gè)協(xié)議的一些基本情況我們就來(lái)簡(jiǎn)單討論一下。首先還是對(duì)這個(gè)協(xié)議的基本概況做一下介紹。SNMP(Simple Network Management Protocol,簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議)的前身是簡(jiǎn)單網(wǎng)關(guān)監(jiān)控協(xié)議(SGMP),用來(lái)對(duì)通信線路進(jìn)行管理。隨后,人們對(duì)SGMP進(jìn)行了很大的修改,特別是加入了符合Internet定義的SMI和MIB:體系結(jié)構(gòu),改進(jìn)后的協(xié)議就是著名的SNMP簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議。SNMP的目標(biāo)是管理互聯(lián)網(wǎng)Internet上眾多廠家生產(chǎn)的軟硬件平臺(tái),因此SNMP簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議受Internet標(biāo)準(zhǔn)網(wǎng)絡(luò)管理框架的影響也很大。現(xiàn)在SNMP已經(jīng)出到第三個(gè)版本的協(xié)議,其功能較以前已經(jīng)大大地加強(qiáng)和改進(jìn)了。
基本簡(jiǎn)介
SNMP的體系結(jié)構(gòu)是圍繞著以下四個(gè)概念和目標(biāo)進(jìn)行設(shè)計(jì)的:保持管理代理(agent)的軟件成本盡可能低;最大限度地保持遠(yuǎn)程管理的功能,以便充分SNMP工作原理利用Internet的網(wǎng)絡(luò)資源;體系結(jié)構(gòu)必須有擴(kuò)充的余地;保持SNMP的獨(dú)立性,不依賴于具體的計(jì)算機(jī)、網(wǎng)關(guān)和網(wǎng)絡(luò)傳輸協(xié)議。在最近的改進(jìn)中,又加入了保證SNMP體系本身安全性的目標(biāo)。
接入Internet的網(wǎng)絡(luò)面臨許多風(fēng)險(xiǎn),Web服務(wù)器可能面臨攻擊,郵件服務(wù)器的安全也令人擔(dān)憂。但除 此之外,網(wǎng)絡(luò)上可能還存在一些隱性的漏洞。大多數(shù)網(wǎng)絡(luò)總有一些設(shè)備運(yùn)行著SNMP服務(wù),許多時(shí)候這些SNMP服務(wù)是不必要的,但卻沒有引起網(wǎng)絡(luò)管理員的重視。
根據(jù)SANS協(xié)會(huì)的報(bào)告,對(duì)于接入Internet的主機(jī),SNMP是威脅安全的十大首要因素之一;同時(shí),SNMP還是Internet主機(jī)上最常見的服務(wù)之一。特別地,SNMP服務(wù)通常在位于網(wǎng)絡(luò)邊緣的設(shè)備(防火墻保護(hù)圈之外的設(shè)備)上運(yùn)行,進(jìn)一步加劇了SNMP簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議帶來(lái)的風(fēng)險(xiǎn)。這一切聽起來(lái)出人意料,但其實(shí)事情不應(yīng)該是這樣的。#p#
背景知識(shí)
SNMP開發(fā)于九十年代早期,其目的是簡(jiǎn)化大型網(wǎng)絡(luò)中設(shè)備的管理和數(shù)據(jù)的獲取。許多與網(wǎng)絡(luò)有關(guān)的軟件包,如HP的OpenView和Nortel Networks的Optivity Network Management System,還有Multi Router Traffic Grapher(MRTG)之類的免費(fèi)軟件,都用SNMP服務(wù)來(lái)簡(jiǎn)化網(wǎng)絡(luò)的管理和維護(hù)。
由于SNMP簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議的效果實(shí)在太好了,所以網(wǎng)絡(luò)硬件廠商開始把SNMP加入到它們制造的每一臺(tái)設(shè)備。今天,各種網(wǎng)絡(luò)設(shè)備上都可以看到默認(rèn)啟用的SNMP服務(wù),從交換機(jī)到路由器,從防火墻到網(wǎng)絡(luò)打印機(jī),無(wú)一例外。
僅僅是分布廣泛還不足以造成威脅,問題是許多廠商安裝的SNMP都采用了默認(rèn)的通信字符串(例如密碼),這些通信字符串是程序獲取設(shè)備信息和修改配置必不可少的。采用默認(rèn)通信字符串的好處是網(wǎng)絡(luò)上的軟件可以直接訪問設(shè)備,無(wú)需經(jīng)過復(fù)雜的配置。
通信字符串主要包含兩類命令:GET命令,SET命令。GET命令從設(shè)備讀取數(shù)據(jù),這些數(shù)據(jù)通常是操作參數(shù),例如連接狀態(tài)、接口名稱等。SET命令允許設(shè)置設(shè)備的某些參數(shù),這類功能一般有限制,例如關(guān)閉某個(gè)網(wǎng)絡(luò)接口、修改路由器參數(shù)等功能。但很顯然,GET、SET命令都可能被用于拒絕服務(wù)攻擊(DoS)和惡意修改網(wǎng)絡(luò)參數(shù)。
最常見的默認(rèn)通信字符串是public(只讀)和private(讀/寫),除此之外還有許多廠商私有的默認(rèn)通信字符串。幾乎所有運(yùn)行SNMP簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議的網(wǎng)絡(luò)設(shè)備上,都可以找到某種形式的默認(rèn)通信字符串。
SNMP 2.0和SNMP 1.0的安全機(jī)制比較脆弱,通信不加密,所有通信字符串和數(shù)據(jù)都以明文形式發(fā)送。攻擊者一旦捕獲了網(wǎng)絡(luò)通信,就可以利用各種嗅探工具直接獲取通信字符串,即使用戶改變了通信字符串的默認(rèn)值也無(wú)濟(jì)于事。
近幾年才出現(xiàn)的SNMP 3.0解決了一部分問題。為保護(hù)通信字符串,SNMP 3.0使用DES(Data Encryption Standard)算法加密數(shù)據(jù)通信;另外,SNMP 3.0還能夠用MD5和SHA(Secure Hash Algorithm)技術(shù)驗(yàn)證節(jié)點(diǎn)的標(biāo)識(shí)符,從而防止攻擊者冒充管理節(jié)點(diǎn)的身份操作網(wǎng)絡(luò)。
雖然SNMP 3.0出現(xiàn)已經(jīng)有一段時(shí)間了,但目前還沒有廣泛應(yīng)用。如果設(shè)備是2、3年前的產(chǎn)品,很可能根本不支持SNMP 3.0;甚至有些較新的設(shè)備也只有SNMP 2.0或SNMP 1.0。
即使設(shè)備已經(jīng)支持SNMP 3.0,許多廠商使用的還是標(biāo)準(zhǔn)的通信字符串,這些字符串對(duì)黑客組織來(lái)說根本不是秘密。因此,雖然SNMP 3.0比以前的版本提供了更多的安全特性,如果配置不當(dāng),其實(shí)際效果仍舊有限。
