堵住SNMP泄露之門

■

什么是SNMP安全漏洞

S N M P，即S i m p l e Network Management Protocol（簡單網(wǎng)絡管理協(xié)議），其本來的作用是管理Internet上眾多廠家生產(chǎn)的軟硬件平臺。因此，大多數(shù)網(wǎng)絡中總有一些設(shè)備運行著SNMP服務，實際上很多情況下該服務是無關(guān)緊要的，但是管理員對其卻并不在意。實際上，如果主機接入到了Internet，而且其開啟了SNMP服務的話，其對主機的安全會造成很大的威脅。因為SNMP服務通常在防火墻防護層之外的設(shè)備上運行，它帶來的風險更加嚴重。因為SNMP服務一般都采用了默認的通訊字符串（例如連接密碼等），包括“Public”和“Private”等，這雖然可以簡化配置，提高互訪的效率，但卻很容易被黑客惡意利用。

SNMP漏洞危害

例如，對于Cisco等路由器來說，可以通過SNMP代理對其進行遠程控制。方法是先在路由器上配置好SNMP代理參數(shù)，包括MIB變量訪問、MIB變量設(shè)置、SNMP中斷和SNMP團體等功能。之后可以使用基于SNMP協(xié)議的管理軟件，對其進行遠程訪問。SNMP團體字符串包括Public（代表對路由器資源的只讀權(quán)限）和Private（代表對其擁有可讀寫權(quán)限）。當黑客使用專用的工具對路由器發(fā)起掃描探測時，如果發(fā)現(xiàn)其SNMP團體字符串的權(quán)限為“private”，說明該路由器存在安全漏洞。黑客會利用該漏洞，利用特殊的下載工具獲得路由器的配置文件，對該配置文件分析后，黑客可以獲得其Console的登錄密碼，即使密碼經(jīng)過加密處理。

這樣，黑客就獲得了對該路由器的控制權(quán)。不要以為設(shè)置了足夠強的密碼就可以防止黑客破譯，黑客完全可以采取偷梁換柱的方法，對下載的路由器配置文件中的密碼進行替換，即使用已知密碼的MD5編碼替換原密碼編碼，之后通過上傳工具，利用路由器自身的SNMP漏洞，將修改后的配置文件寫入路由器中。這樣，黑客就可以使用已知的密碼連接該路由器了。而且SNMP服務通常采用的是不加密的通訊機制，所有的通訊字符串和數(shù)據(jù)均已明碼傳送。雖然在高版本的SNMP服務中采用了DES算法對通訊數(shù)據(jù)進行了加密，但是廠家通常使用標準的通訊字符串，這對于黑客來說簡直不堪一擊。

例如，使用X-Scan等掃描器，通過隨機掃描等方法，可以很容易找到很多存在SNMP弱口令的主機，進而對其SNMP中的管理信息庫進行訪問，在該庫中保存了系統(tǒng)類型、用戶列表、運行時間、進程列表等重要信息。因為SNMP服務會開啟UDP 161和162兩個端口，黑客只要掃描到這兩個端口，就可以準確定位開啟了SNMP服務的主機。當黑客掃描到目標主機的SNMP弱口令后，即使該機安裝了防火墻，黑客也可以利用各種工具（例如Snmputil等），繞過防火墻，對目標主機進行信息的刺探操作。例如，查詢其系統(tǒng)信息、了解其聯(lián)系人以及開機時間、檢測安裝的軟件信息、查詢進程列表和主機域名、獲取賬戶列表和開啟的服務信息等敏感信息。

當然，黑客還可以使用IP Browser這款專用工具，掃描指定網(wǎng)段來尋找SNMP主機，利用其圖形化界面，來更加準確地獲得系統(tǒng)信息、服務列表、軟件安裝信息、賬戶列表、進程信息、共享信息、網(wǎng)絡連接信息等內(nèi)容。即使網(wǎng)絡設(shè)備上使用了高版本的SNMP服務，采取了加密通訊手段，黑客也會利用GFI LANguard Network Security Scanner等工具，對其進行密碼破解，進而獲得更加詳細的主機信息。

通過SNMP服務漏洞洞悉了目標主機的虛實后，黑客就會蠢蠢欲動對其發(fā)起實際攻擊了，例如，通過查詢服務列表，黑客了解到了該機開啟了終端服務。通過查詢賬戶列表，確定了可以利用的目標賬戶名，就可以利用Tscrack等工具，利用精心配置的密碼字典，對目標賬戶名進行密碼暴力破解。如果其密碼設(shè)置得比較簡單，黑客就可以很輕松地將其破譯。有了賬戶名和密碼，黑客可以輕松地運行“mstsc.exe”程序，來連接該機并登錄到終端服務控制環(huán)境，將該機徹底控制起來。

禁用SNMP服務

實際上，在Windows/XP/2003/2008等系統(tǒng)中，默認并沒有安裝SNMP服務。但是，很多網(wǎng)絡軟件會自動安裝該服務，這就給系統(tǒng)造成了潛在的威脅。因此，禁用該服務，尤其是在網(wǎng)管員沒有使用SNMP管理網(wǎng)絡的情況下，是最簡單徹底的解決此類威脅的方法。例如點擊“Win+R”鍵，執(zhí)行“service.msc”程序，在服務管理器中雙擊“SNMP Service”項，在彈出窗口中的點擊“停止”按鈕，終止該服務，在“啟動類型”列表中選擇“已禁用”項，可以禁用該服務。

為了掌握哪些主機開啟了SNMP服務，可以利用掃描器對其進行掃描，來發(fā)現(xiàn)使用SNMP服務的所有主機，并對其進行適當控制。當然，在網(wǎng)絡中該存在各種網(wǎng)絡設(shè)備（例如交換機、網(wǎng)絡打印機等），這些設(shè)備同樣會運行SNMP服務，對這些設(shè)備同樣不可忽視。例如，對于Cisco設(shè)備，可以在其中運行“no SNMP-server”之類的命令，來禁用SNMP服務。對于某些網(wǎng)絡打印機來說，可以使用Telnet工具連接到其控制臺，執(zhí)行“SNMP config:0”之類的指令，來關(guān)閉其SNMP服務。不同的網(wǎng)絡設(shè)備關(guān)閉SNMP服務的指令可能存在差異，可以參閱其幫助文檔。

另外，如果想暫時恢復SNMP服務，可以采用激活SNMP Service服務，或者連接到對應的網(wǎng)絡設(shè)備上，執(zhí)行對應的激活指令，來重新啟用SNMP服務。當然，為SNMP服務打上補丁是不可缺少的，例如將SNMP服務升級到最新版本等。在不同網(wǎng)絡設(shè)備的官方網(wǎng)站上，關(guān)注與之相關(guān)的安全升級和補丁信息，及時下載并安裝各種補丁程序。

修改通訊字符串

為了提高SNMP服務的安全性，應該針對不同的網(wǎng)絡設(shè)備，有針對性地修改其默認的通信字符串，避免其被黑客輕易獲取。任何網(wǎng)絡服務的運作都離不開網(wǎng)絡端口，SNMP服務也不例外，其使用的是161，162端口，有些網(wǎng)絡設(shè)備還會使 用 199、391、705、1993 等端口，可以在防火墻上禁用這些端口，切斷其與外部網(wǎng)絡的連接。

在內(nèi)網(wǎng)中，還可以在交換機路由器等設(shè)備上，編寫相應的安全規(guī)則，只允許特定設(shè)備的SNMP服務來管理網(wǎng)絡信息。例如，可以在路由器上配置訪問控制列表ACL，來防止黑客通過SNMP進行入侵。例如在Cisco的路由配置文件中，添加“access-list 1 permit xxx.xxx.xxx.xxx”和“snmp-server community lianjiezifuchuan RO 1”等語句，來創(chuàng)建名為1的訪問控制列表項目，設(shè)置指定的IP可以對SNMP服務進行連接訪問，其中的“xxx.xxx.xxx.xxx”代表指定的IP。并設(shè)置認證字符串“l(fā)ianjiezifuchuan”與之配對，即將SNMP服務的認證字符串修改為“l(fā)ianjiezifuchuan”。當然，您可以根據(jù)需要進行修改。這樣，就避免了使用默認的“Public”和“Private”連接字符串帶來的安全風險。

圖1 為篩選器設(shè)置協(xié)議參數(shù)

某些網(wǎng)絡設(shè)備處于穩(wěn)定運行的需要，必須使用SNMP服務，這樣就無法采用禁用的方法，來屏蔽SNMP安全隱患了。為此，可以強化SNMP服務的安全性，讓這些設(shè)備安全運行。前面談到，SNMP默認使用的密碼非常簡單和脆弱，因此為其更改安全性高的密碼就極為重要了。例如，在Windows中打開SNMP Service屬性窗口，在“安全”面板中顯示其接受團體名稱為“Public”，這樣的密碼過于簡單。選擇該密碼，點擊編輯按鈕，在彈出窗口中的“團體名稱”欄中輸入復雜的密碼。為了避免無關(guān)的IP向其發(fā)送SNMP包，可以選擇“接受來自這些主機的SNMP包”項，在彈出窗口中輸入對應的IP，可以大大減少遭到黑客攻擊的可能性。

使用IP安全策略

在默認情況下，SNMP服務的通訊數(shù)據(jù)是明碼傳輸?shù)?，使用Sniffer Pro等嗅探器可以毫不費力地攔截這些通訊數(shù)據(jù)，這樣，黑客通過對其進行簡單的解密，就可以從中捕捉到對應的社區(qū)名稱信息，進而獲取更多的網(wǎng)絡資源信息。利用Windows的IP安全策略，可以對SNMP傳輸?shù)臄?shù)據(jù)進行加密處理，讓黑客只能嗅探到雜亂無章的數(shù)據(jù)。運行“secpol.msc”程序，在本地安全策略窗口中選擇“安全設(shè)置”→“IP安全策略”項，在其右鍵菜單上點擊“管理IP篩選器表和篩選器操作”項，在彈出窗口中的“管理IP篩選器列表”面板中點擊“添加”按鈕，在“IP篩選器列表”窗口中輸入其名稱（例如“加密SNMP通訊”），在“描述”欄中輸入具體的說明信息。

選擇“使用添加向?qū)А表?，點擊“添加”按鈕，在篩選器屬性窗口中的“尋址”面板中的“源地址”列表中選擇“任何IP地址”項，在“目標地址”列表中選擇“我的IP地址”項。在“協(xié)議”面板（如圖1所示）中的“選擇協(xié)議類型”列表中選擇“UDP”協(xié)議，選擇“從此端口”項，輸入端口號161。選擇“到此端口”項，輸入端口為161。點擊確定按鈕，保存該篩選器。按照同樣的方法，在IP篩選器列表窗口中分別點擊“添加”按鈕，分別針對TCP協(xié)議161端口、UDP協(xié)議162端口、TCP協(xié)議162端口添加篩選器，設(shè)置方法與上述完全相同。

之后返回本地安全設(shè)置窗口，選擇“安全設(shè)置”-“IP安全策略”項在，在其右鍵菜單上點擊“創(chuàng)建IP安全策略”項，在向?qū)Ы缑嬷休斎氚踩摬呗缘拿Q（例如“保護SNMP安全”）和描述信息，在下一步窗口中選擇“激活默認響應規(guī)則”項。之后點擊完成按鈕，在彈出的該安全策略的屬性窗口中取消“使用添加向?qū)А表椀倪x擇狀態(tài)，點擊“添加”按鈕，在新規(guī)則屬性中的“IP篩選器”面板中選擇上述SNMP篩選器名稱，例如“加密SNMP通訊”。在“篩選器操作”面板（如圖2所示）中選擇“需要安全”項，在“身份驗證方法”面板中默認選擇“Kerberos”方法。

您也可以點擊“添加”按鈕，選擇其他的身份驗證方法。在彈出窗口中選擇“使用由此證書頒發(fā)機構(gòu)（CA）頒發(fā)的證書”項，點擊瀏覽按鈕，選擇所需的安全證書，或者選擇“使用此字符串（預共享密碼）”項，輸入所需的密碼，點擊確定按鈕保存配置信息，在本地安全設(shè)置窗口，選擇“安全設(shè)置”→“IP安全策略”項，在右側(cè)窗口中選擇上述安全策略（例如“保護SNMP安全”）項，在其右鍵菜單中選擇“指派”項，激活該安全策略。按照同樣的方法，在所有使用SNMP服務的主機上都配置該安全策略，就可以有效保護其通訊的安全。

圖2 編輯安全策略規(guī)則屬性

使用SNMP陷阱

使 用SNMP陷 阱（即SNMP Trap），同樣可以保護SNMP的安全。SNMP陷阱其實指的是SNMP事件轉(zhuǎn)換器，通過一個未被請求的SNMP信息觸發(fā)，由一個SNMP代理發(fā)送給管理員，通知管理員發(fā)生了重要事件引起其注意。當黑客試圖利用SNMP服務入侵時，其行蹤會被系統(tǒng)日志記錄下來，管理員可以據(jù)此展開安全調(diào)查。在服務管理窗口中雙擊“SNMP Service”服務，在其屬性窗口中打開“代理”面板，在“聯(lián)系人”欄中輸入管理員名稱，在“位置”欄中輸入管理員的物理位置，實際上就是管理員主機的IP地址。

在“服務”欄中選擇該機提供的服務，選擇“物理”項，用來指定該機是否管理磁盤等物理設(shè)備，選擇“應用程序”項，指定該機是否使用相關(guān)的通訊軟件，選擇“數(shù)據(jù)鏈和子網(wǎng)”項，指定該機是否管理子網(wǎng)或者網(wǎng)橋等數(shù)據(jù)鏈接設(shè)備。選擇“Internet”項，指定該機是否充當路由器等IP網(wǎng)關(guān)設(shè)備，選擇“端對端”項，指定該機是否充當IP主機。點擊確定按鈕，保存配置信息。

在“陷阱”面板中的“團體名稱”列表中選擇該機將向管理員發(fā)送陷阱消息的團體名稱，點擊“添加到列表”按鈕。在“陷阱目標”列表中底部點擊“添加”按鈕，在SNMP服務配置”窗口中輸入該主機的名稱或者IP地址，點擊添加按鈕，該主機或者IP地址將出現(xiàn)在“陷阱目標”列表。按照同樣的方法，添加所有的團體名稱以及陷阱目標信息。這樣，就可以將這些陷阱引導到管理員的主機上，當黑客觸發(fā)陷阱后，管理員就會收到警告信息。