三、 SNMP协议应用的注意点。

在使用SNMP解决方案来收集被管设备的运行信息时,最主要的问题就是要注意其安全方面的漏洞。因为非法攻击者可以使用SNMP协议了解被管设备配置以及内部网络拓扑结构。甚至还可以对网络设备的配置进行更改,以满足他们进一步入侵的需要。另外,非法攻击者还可以通过SNMP的一些辅助工具,如SNMP发现工具或者通过捕获SNMP报文,来访问管理信息库,从而掌握一些下一步攻击所需要的基本信息。

所以,网络管理员在享受SNMP所带来便利的时候,也需要关注其可能会导致的安全漏洞。针对这个安全问题,笔者有如下建议。

一是利用SNMPv2版本代替SNMPv1版本。现在简单网络管理协议(SNMP)有两个版本。其第一个版本安全性比较差,如通过明文形式传递数据等等。而以明文形式在网络上传递数据的话,则非法攻击者可以利用一些黑客工具,轻易捕获SNMP报文,从而收集一些可用的信息。而第二个版本的网络管理协议,则在这方面有了改进。最重要的变化,就是把明文传输改为了密文传输。如此,非法攻击这若想通过网络侦听等手段非法获取SNMP报文,就变得没有意义。因为他们及时取得这个报文,报文的内容也是加密过的,他们无法读取。所有到手的SNMP报文也就一文不值。另外,第二个版本的网络管理简单协议也增强了一些操作上的内容,如改善了Inform命令的操作方式等等。所以,无论从安全上还是从管理上,第二个版本的简单网络管理协议都比第一个版本的要好的多。为此,在有条件的情况下,网络管理员最好采用第二个版本。

二是利用独立的身份验证机制,来进行身份验证。因为SNMP协议本身并没有身份鉴别能力,这就在安全威胁面前暴露了严重的脆弱性。所以,一个未经授权的实体可以假借授权管理实体的身份来进行操作。如未经授权的用户可能试图改变由授权的管理员用户所产生的SNMP报文等等。如果未经授权的用户录制、延时或者复制并重放了由授权用户所产生的保温,则报文的序列和时间就会被修改。所以,若没有给SNMP协议配备身份验证机制的话,对于企业网络的安全是一个很大的挑战。笔者认为,无论在何时,管理的便利性与安全性都是同等重要的。

三是合理选择访问模式。众所周知,思科的路由器提供了两种访问模式,分别为用户级模式与特权级模式。其中用户模式之能够查看路由器的一些基本信息,而不能够更改其配置。而在利用简单网络管理协议收集管理路由器的时候,其也可以选择访问模式。路由器上的SNMP代理能够使得用户未用户访问模式与特权访问模式配置不同的字符串,从而进行访问模式的控制。例如,要SNMP代理以特权模式的方式访问路由器的华,则可以在命令后面加入RW选项;而如果以用户模式进行访问的话,则可以加入RO参数。在一般情况下,建议用户采用用户模式进行访问。而只有在用户模式下不能够完成任务的时候,才使用特权模式。这个访问模式的控制,可以在很大程度上提高SNMP解决方案的安全系数。


共3页: 上一页123下一页

相关内容

    暂无相关文章