snmp的是一个协议,以支持网络监控和管理。 它的使用非常普遍,大多数网络监控产品依赖它。 它可以运行在udp端口161和162 ( snmp陷阱) 。
|
|
对于技术细节背后的snmp v1导联,征询rfc 1157号。 rfc 1441号决议提出的各项rfcs即弥补的snmp 2版。
一个snmp客户端认证,以一个snmp剂途经一个字符串称为一个社区的名字。 这个社区的名称作品十分像一个密码。 unix的主持人往往都配备了一个snmp代理默认被激活那么你的系统可能暴露snmp的缺陷了。 问题与默认的snmp装置包括
•默认唯读社区的名字是"公共" ,并默认读/写社会往往是"私家车" 。 硬编码的"密码"一样,这些都重建新生,它的安全,因为只要我还记得。
•如果唯读社区可以被猜中的,严重的信息披露问题,可以抓紧解决。 程度的数据披露,是依赖于管理信息库(管理信息库) 。 mibs各有不同厂商,但他们通常会包含以下类型的信息:网络接口设置,网络服务,目前的网络连接,行政人员往来和服务器的位置。 本次助攻,袭击者在映射你的网络拓扑(觉得多重主机) ,在履行流量分析(即是,谁谈谁) ,并且极有可能取得某些社会工程信息。
•如果读/写社区的名称可以被猜中的,你有没有问题,前面提到的,而且,现在,攻击者可以改变现况的网络接口,甚至重启系统。 卖主增强mibs可以让更多的破坏性行动。
•获取snmp的代理人是不能记录违约。 你不会通知认证失败。
-一些s nmp的实施,特别是s olaris系统,真正运行其他的s nmp守护进程就高编号端口。 阻挡进入一个防火墙的udp端口161可能并不足够。 solaris用户应检查出http://www.ist.uwaterloo.ca/security/howto/2000-10-04.html 。
•决定您是否需要snmp的。 如果你的网络业务团队,是不是监测服务器通过snmp和你不运行任何特殊的软件依赖于简单网络管理协议(有些聚类的实现做) ,然后禁用它。
-修改默认社会弦乐团,以勤奋尽责,以揣测,随机前瞻性的弦乐团。 使它们长期(至少10个字符) ,而且,不管你做什么,请不要使用该名字的你的网络供应商! (我见过这太多次了) 。
•配置snmp的认证陷阱。 如果有人试图猜测你的snmp社区字符串,你想知道,早通比晚通好。 由配置认证陷阱,你可以有代理人告知snmp的船长(通常是网络管理控制台)当认证失败的情况。 你可能会认为这是不大可能有人可以猜一个长期的snmp社区字符串。 这个悟性,攻击者会使用一种工具一样admsnmp ,书面,由德高望重的装束阿霉素。 检查出这个职位,以bugtraq上更多信息: http://archives.neohapsis.com/archives/bugtraq/1999_1/0759.html 。
Online: 380 users browsing the articles directory
|
|