snmp

shijiang1130

简单性是
SNMP
标准取得成功的主要原因。因为在大型的、多厂商产品构成的复杂网络中,
管理
协议
的明晰是至关重要的，但同时这又是
SNMP
的缺陷所在——为了使
协议
简单易行,
SNMP
简化了不少功能，如：g5h黑色海岸线网络安全资讯站
g5h黑色海岸线网络安全资讯站没有提供成批存取机制，对大块数据进行存取效率很低；
没有提供足够的
安全
机制，
安全
性很差；g5h黑色海岸线网络安全资讯站
只在
TCP
/IP
协议
上运行，不支持别的网络
协议
；g5h黑色海岸线网络安全资讯站
没有提供manager与manager之间通信的机制，只适合集中式
管理
，而不利于进行分布式
管理
；g5h黑色海岸线网络安全资讯站
只适于监测网络设备,不适于监测网络本身。g5h黑色海岸线网络安全资讯站
针对这些问题,对它的改进工作一直在进行。如1991年11月,推出了RMON(RemoteNetworkMonitoring)MIB,加强
SNMP
对网络本身的
管理
能力。它使得
SNMP
不仅可
管理
网络设备,还能收集局域网和互联网上的数据流量等信息。1992年7月,针对
SNMP
缺乏
安全
性的弱点,又公布了S-
SNMP
(Secure
SNMP
)草案。g5h黑色海岸线网络安全资讯站
到1993年初,又推出了
SNMP
Version2即
SNMP
v2(推出了
SNMP
v2以后,
SNMP
就被称为
SNMP
v1)。SNM-Pv2包容了以前对
SNMP
所做的各项改进工作,并在保持了
SNMP
清晰性和易于实现的特点以外,功能更强,
安全
性更好,具体表现为:g5h黑色海岸线网络安全资讯站
提供了验证机制、加密机制、时间同步机制等，
安全
性大大提高，g5h黑色海岸线网络安全资讯站
g5h黑色海岸线网络安全资讯站提供了一次取回大量数据的能力，效率大大提高；
增加了manager和manager之间的信息交换机制,从而支持分布式
管理
结构。由中间(intermediate)manager来分担主manager的任务,增加了远地站点的局部自主性。g5h黑色海岸线网络安全资讯站
可在多种网络
协议
上运行,如OSI、Appletalk和
IPX
等,适用多
协议
网络环境(但它的缺省网络
协议
仍是
UDP
)。g5h黑色海岸线网络安全资讯站
根据Carnegie-Mellin大学(
SNMP
v2标准的制定者之一)的StevenWaldbusser测试结果,
SNMP
v2的处理能力明显强于
SNMP
v1,大约是
SNMP
v1的15倍。g5h黑色海岸线网络安全资讯站
SNMP
v2一共由12份
协议
文本组成(
RFC
1441-
RFC
1452),已被作为Internet的推荐标准予以公布。g5h黑色海岸线网络安全资讯站
可看出它支持分布式
管理
。一些站点可以既充当manager又充当agent,同时扮演两个角色。作为agent,它们接受更高一级
管理
站的请求命令,这些请求命令中一部分与agent本地的数据有关,这时直接应答即可;另一部分则与远地agent上的数据有关。这时agent就以manager的身份向远地agent请求数据,再将应答传给更高一级的
管理
站。在后一种情况下,它们起的是proxy(代理)的作用。
接入Internet的网络面临许多风险，Web服务器可能面临攻击，邮件服务器的安全也令人担忧。但除 此之外，网络上可能还存在一些隐性的漏洞。大多数网络总有一些设备运行着SNMP服务，许多时候这些SNMP服务是不必要的，但却没有引起网络管理员的重视。
　　根据SANS协会（
http://www.sans.org
）
的报告，对于接入Internet的主机，SNMP是威胁安全的十大首要因素之一；同时，SNMP还是Internet主机上最常见的服务之一。特别地，
SNMP服务通常在位于网络边缘的设备（防火墙保护圈之外的设备）上运行，进一步加剧了SNMP带来的风险。这一切听起来出人意料，但其实事情不应该是这
样的。本文提供了一些建议，帮助你正确面对SNMP服务隐藏的风险。
　　一、背景知识
　　SNMP开发于九十年代早
期，其目的是简化大型网络中设备的管理和数据的获取。许多与网络有关的软件包，如HP的OpenView和Nortel
Networks的Optivity Network Management System，还有Multi Router Traffic
Grapher（MRTG）之类的免费软件，都用SNMP服务来简化网络的管理和维护。
　　由于SNMP的效果实在太好了，所以网络硬件厂商开始把SNMP加入到它们制造的每一台设备。今天，各种网络设备上都可以看到默认启用的SNMP服务，从交换机到路由器，从防火墙到网络打印机，无一例外。
　　仅仅是分布广泛还不足以造成威胁，问题是许多厂商安装的SNMP都采用了默认的通信字符串（例如密码），这些通信字符串是程序获取设备信息和修改配置必不可少的。采用默认通信字符串的好处是网络上的软件可以直接访问设备，无需经过复杂的配置。
　
　通信字符串主要包含两类命令：GET命令，SET命令。GET命令从设备读取数据，这些数据通常是操作参数，例如连接状态、接口名称等。SET命令允许
设置设备的某些参数，这类功能一般有限制，例如关闭某个网络接口、修改路由器参数等功能。但很显然，GET、SET命令都可能被用于拒绝服务攻击
（DoS）和恶意修改网络参数。
　　最常见的默认通信字符串是public（只读）和private（读/写），除此之外还有许多厂商私有的默认通信字符串。几乎所有运行SNMP的网络设备上，都可以找到某种形式的默认通信字符串。
　　SNMP 2.0和SNMP 1.0的安全机制比较脆弱，通信不加密，所有通信字符串和数据都以明文形式发送。攻击者一旦捕获了网络通信，就可以利用各种嗅探工具直接获取通信字符串，即使用户改变了通信字符串的默认值也无济于事。
　
　近几年才出现的SNMP 3.0解决了一部分问题。为保护通信字符串，SNMP 3.0使用DES（Data Encryption
Standard）算法加密数据通信；另外，SNMP 3.0还能够用MD5和SHA（Secure Hash
Algorithm）技术验证节点的标识符，从而防止攻击者冒充管理节点的身份操作网络。有关SNMP 3.0的详细说明，请参见
http://www.ietf.org/rfc/rfc2570.txt
。
　　虽然SNMP 3.0出现已经有一段时间了，但目前还没有广泛应用。如果设备是2、3年前的产品，很可能根本不支持SNMP 3.0；甚至有些较新的设备也只有SNMP 2.0或SNMP 1.0。
　　即使设备已经支持SNMP 3.0，许多厂商使用的还是标准的通信字符串，这些字符串对黑客组织来说根本不是秘密。因此，虽然SNMP 3.0比以前的版本提供了更多的安全特性，如果配置不当，其实际效果仍旧有限。
               
               
               

本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u/15010/showart_246285.html