科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道使用SNMP服务后的安全防范讲解(1)

使用SNMP服务后的安全防范讲解(1)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

记得有一次在和一位网管聊天的过程中他坚持认为自己Windows 2000 Server系统是不可能被入侵的,但通过扫描器我却发现了一个重大漏洞—UDP 161D端口上的SNMP,在Windows系统中选择默认安装是非常不安全的。

作者:51CTO.COM 2007年10月31日

关键字: SNMP入侵 ip筛选器 SNMP服务

  • 评论
  • 分享微博
  • 分享邮件

  记得有一次在和一位网管聊天的过程中他坚持认为自己Windows 2000 Server系统是不可能被入侵的。“我已经把IPC$的连接共享都禁止,入侵者根本无法得到我系统上的账户信息了,保证没有问题。”而经过我检查发现TCP 139和445端口确实被禁止了,但通过扫描器我却发现了一个重大漏洞——UDP 161D端口上的SNMP。询问管理员后得知是正在试用某公司的网络管理软件。我们知道Windows 2000后续的版本都可以通过“添加/删除程序→管理和监视工具”安装上SNMP,但在Windows系统中选择默认安装是非常不安全的。

  默认安装SNMP的密码都是一样的。而入侵者从SNMP代理服务中会轻易的完成入侵前的准备工作。还有一点提醒各位,SNMP的消息是以明文形式发送的,而这些消息很容易被Microsoft网络监视器或者Sniffer这样的网络分析程序截取并解码。入侵者可以轻易的捕获服务的密码,以获取有关网络资源的重要信息。

  获取SNMP服务信息非常容易

  1.Snmputil命令

  如果我们知道默认的SNMP服务密码,通过Resource Kit工具包里的Snmputil工具可以轻易地通过SNMP服务把Windows账户罗列出来,以便进行进一步的安全检测。语法如下:snmputil walk .1.3.6.1.4.1.77.1.2.25,例如输入:snmputil walk 192.168.0.1 ××××.1.3.6.1.4.1.77.1.2.25 命令后将得到所有的用户名,如图1所示。

  另外通过Snmputil Getnext可以用来检测 Windows 2000 SNMP服务内存消耗拒绝服务攻击的缺陷,有兴趣的朋友可以尝试一下。

  2.图形界面的IP Network Browser工具

  IP Network Browser工具是Solar Winds公司出品的一个检测工具,通过该程序可以对自己的系统了如指掌。而这个工具包中还包括可以向目标系统里的MIB写入信息等功能,可以轻易更改系统的配置。

  加固SNMP服务的方法

  由于SNMP服务为管理员带来了很多方便,我们也不能为了相对的安全而停止使用该服务,所以对于它的安全防范至关重要,而最简单的方法就是更改服务的密码和针对IP地址提供有效服务。

  运行Services.msc命令,找到SNMP Service,右键选择“属性”,切换到“安全”选项卡。修改Community Strings,也就是 “团体名称”改写,然后添加授权访问地连接地址,如图2所示。

  如果是NT的操作系统就要麻烦些,修改下面注册表的键值。

  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\ValidCommunities ] 中将public改名。

  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\PermittedManagers ] 添加字符串,名称为“1”,内容为授权访问地连接地址。

  另外,在入侵者企图利用SNMP入侵时,我们可以让系统日志记录入侵信息,Windows事件日志中的可用来创建包含这一事件的SNMP陷阱,所谓“陷阱”就是SNMP 事件转换器的意思。由于篇幅的限制,这里显示出界面,细节内容可以参考“日志与审核”的相关帮助,如图3所示。

 

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章