SNMP
SNMP(Simple Network Management Protocol,簡單網(wǎng)絡(luò)管理協(xié)議)的前身是簡單網(wǎng)關(guān)監(jiān)控協(xié)議(SGMP),用來對通信線路進行管理。隨后,人們對SGMP進行了很大的修改,特別是加入了符合Internet定義的SMI和MIB:體系結(jié)構(gòu),改進后的協(xié)議就是著名的SNMP。SNMP的目標(biāo)是管理互聯(lián)網(wǎng)Internet上眾多廠家生產(chǎn)的軟硬件平臺,因此SNMP受Internet標(biāo)準網(wǎng)絡(luò)管理框架的影響也很大?,F(xiàn)在SNMP已經(jīng)出到第三個版本的協(xié)議,其功能較以前已經(jīng)大大地加強和改進了。
目錄
基本簡介
【SNMP風(fēng)險】
【SNMP數(shù)據(jù)】
【SNMP發(fā)展】
【管理信息庫】
【SNMP的運行過程】
【SNMP的常用程序開發(fā)】
基本簡介
SNMP的體系結(jié)構(gòu)是圍繞著以下四個概念和目標(biāo)進行設(shè)計的:保持管理代理(agent)的軟件成本盡可能低;最大限度地保持遠程管理的功能,以便充分SNMP工作原理利用Internet的網(wǎng)絡(luò)資源;體系結(jié)構(gòu)必須有擴充的余地;保持SNMP的獨立性,不依賴于具體的計算機、網(wǎng)關(guān)和網(wǎng)絡(luò)傳輸協(xié)議。在最近的改進中,又加入了保證SNMP體系本身安全性的目標(biāo)。
【SNMP風(fēng)險】
接入Internet的網(wǎng)絡(luò)面臨許多風(fēng)險,Web服務(wù)器可能面臨攻擊,郵件服務(wù)器的安全也令人擔(dān)憂。但除 此之外,網(wǎng)絡(luò)上可能還存在一些隱性的漏洞。大多數(shù)網(wǎng)絡(luò)總有一些設(shè)備運行著SNMP服務(wù),許多時候這些SNMP服務(wù)是不必要的,但卻沒有引起網(wǎng)絡(luò)管理員的重視。
根據(jù)SANS協(xié)會的報告,對于接入Internet的主機,SNMP是威脅安全的十大首要因素之一;同時,SNMP還是Internet主機上最常見的服務(wù)之一。特別地,SNMP服務(wù)通常在位于網(wǎng)絡(luò)邊緣的設(shè)備(防火墻保護圈之外的設(shè)備)上運行,進一步加劇了SNMP帶來的風(fēng)險。這一切聽起來出人意料,但其實事情不應(yīng)該是這樣的。
〖一、背景知識〗
SNMP開發(fā)于九十年代早期,其目的是簡化大型網(wǎng)絡(luò)中設(shè)備的管理和數(shù)據(jù)的獲取。許多與網(wǎng)絡(luò)有關(guān)的軟件包,如HP的OpenView和Nortel Networks的Optivity Network Management System,還有Multi Router Traffic Grapher(MRTG)之類的免費軟件,都用SNMP服務(wù)來簡化網(wǎng)絡(luò)的管理和維護。
由于SNMP的效果實在太好了,所以網(wǎng)絡(luò)硬件廠商開始把SNMP加入到它們制造的每一臺設(shè)備。今天,各種網(wǎng)絡(luò)設(shè)備上都可以看到默認啟用的SNMP服務(wù),從交換機到路由器,從防火墻到網(wǎng)絡(luò)打印機,無一例外。僅僅是分布廣泛還不足以造成威脅,問題是許多廠商安裝的SNMP都采用了默認的通信字符串(例如密碼),這些通信字符串是程序獲取設(shè)備信息和修改配置必不可少的。采用默認通信字符串的好處是網(wǎng)絡(luò)上的軟件可以直接訪問設(shè)備,無需經(jīng)過復(fù)雜的配置。
通信字符串主要包含兩類命令:GET命令,SET命令。GET命令從設(shè)備讀取數(shù)據(jù),這些數(shù)據(jù)通常是操作參數(shù),例如連接狀態(tài)、接口名稱等。SET命令允許設(shè)置設(shè)備的某些參數(shù),這類功能一般有限制,例如關(guān)閉某個網(wǎng)絡(luò)接口、修改路由器參數(shù)等功能。但很顯然,GET、SET命令都可能被用于拒絕服務(wù)攻擊(DoS)和惡意修改網(wǎng)絡(luò)參數(shù)。
最常見的默認通信字符串是public(只讀)和private(讀/寫),除此之外還有許多廠商私有的默認通信字符串。幾乎所有運行SNMP的網(wǎng)絡(luò)設(shè)備上,都可以找到某種形式的默認通信字符串。
SNMP 2.0和SNMP 1.0的安全機制比較脆弱,通信不加密,所有通信字符串和數(shù)據(jù)都以明文形式發(fā)送。攻擊者一旦捕獲了網(wǎng)絡(luò)通信,就可以利用各種嗅探工具直接獲取通信字符串,即使用戶改變了通信字符串的默認值也無濟于事。
近幾年才出現(xiàn)的SNMP 3.0解決了一部分問題。為保護通信字符串,SNMP 3.0使用DES(Data Encryption Standard)算法加密數(shù)據(jù)通信;另外,SNMP 3.0還能夠用MD5和SHA(Secure Hash Algorithm)技術(shù)驗證節(jié)點的標(biāo)識符,從而防止攻擊者冒充管理節(jié)點的身份操作網(wǎng)絡(luò)。
雖然SNMP 3.0出現(xiàn)已經(jīng)有一段時間了,但目前還沒有廣泛應(yīng)用。如果設(shè)備是2、3年前的產(chǎn)品,很可能根本不支持SNMP 3.0;甚至有些較新的設(shè)備也只有SNMP 2.0或SNMP 1.0。即使設(shè)備已經(jīng)支持SNMP 3.0,許多廠商使用的還是標(biāo)準的通信字符串,這些字符串對黑客組織來說根本不是秘密。因此,雖然SNMP 3.0比以前的版本提供了更多的安全特性,如果配置不當(dāng),其實際效果仍舊有限。
〖二、禁用SNMP〗
要避免SNMP服務(wù)帶來的安全風(fēng)險,最徹底的辦法是禁用SNMP。如果你沒有用SNMP來管理網(wǎng)絡(luò),那就沒有必要運行它;如果你不清楚是否有必要運行SNMP,很可能實際上不需要。即使你打算以后使用SNMP,只要現(xiàn)在沒有用,也應(yīng)該先禁用SNMP,直到確實需要使用SNMP時才啟用它。
下面列出了如何在常見的平臺上禁用SNMP服務(wù)。
■ Windows XP和Windows 2000 在XP和Win 2K中,右擊“我的電腦”,選擇“管理”。展開“服務(wù)和應(yīng)用程序”、“服務(wù)”,從服務(wù)的清單中選擇SNMP服務(wù),停止該服務(wù)。然后打開服務(wù)的“屬性”對話框,將啟動類型該為“禁用”(按照微軟的默認設(shè)置,Win 2K/XP默認不安裝SNMP服務(wù),但許多軟件會自動安裝該服務(wù))。
■ Windows NT 4.0 選擇“開始”→“設(shè)置”,打開服務(wù)設(shè)置程序,在服務(wù)清單中選擇SNMP服務(wù),停止該服務(wù),然后將它的啟動類型該為禁用。
■ Windows 9x 打開控制面板的網(wǎng)絡(luò)設(shè)置程序,在“配置”頁中,從已安裝的組件清單中選擇“Microsoft SNMP代理”,點擊“刪除”。檢查HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices和HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\Run注冊鍵,確認不存在snmp.exe。
■ Cisco Systems硬件 對于Cisco的網(wǎng)絡(luò)硬件,執(zhí)行“no SNMP-server”命令禁用SNMP服務(wù)。如果要檢查SNMP是否關(guān)閉,可執(zhí)行“show SNMP”命令。這些命令只適用于運行Cisco IOS的平臺;對于非IOS的Cisco設(shè)備,請參考隨機文檔。
■ HP硬件 對于所有使用JetDirect卡(絕大部分HP網(wǎng)絡(luò)打印機都使用它)的HP網(wǎng)絡(luò)設(shè)備,用telnet連接到JetDirect卡的IP地址,然后執(zhí)行下面的命令:SNMP-config: 0 quit這些命令將關(guān)閉設(shè)備的SNMP服務(wù)。但必須注意的是,禁用SNMP服務(wù)會影響服務(wù)的發(fā)現(xiàn)操作以及利用SNMP獲取設(shè)備狀態(tài)的端口監(jiān)視機制。
■ Red Hat Linux 對于Red Hat Linux,可以用Linuxconf工具從自動啟動的服務(wù)清單中刪除SNMP,或者直接從/etc/services文件刪除啟動SNMP的行。對于其他Linux系統(tǒng),操作方法應(yīng)該也相似。
〖三、保障SNMP的安全〗
如果某些設(shè)備確實有必要運行SNMP,則必須保障這些設(shè)備的安全。首先要做的是確定哪些設(shè)備正在運行SNMP服務(wù)。除非定期對整個網(wǎng)絡(luò)進行端口掃描,全面掌握各臺機器、設(shè)備上運行的服務(wù),否則的話,很有可能遺漏一、二個SNMP服務(wù)。特別需要注意的是,網(wǎng)絡(luò)交換機、打印機之類的設(shè)備同樣也會運行SNMP服務(wù)。確定SNMP服務(wù)的運行情況后,再采取下面的措施保障服務(wù)安全。
■ 加載SNMP服務(wù)的補丁
安裝SNMP服務(wù)的補丁,將SNMP服務(wù)升級到2.0或更高的版本。聯(lián)系設(shè)備的制造商,了解有關(guān)安全漏洞和升級補丁的情況。
■ 保護SNMP通信字符串
一個很重要的保護措施是修改所有默認的通信字符串。根據(jù)設(shè)備文檔的說明,逐一檢查、修改各個標(biāo)準的、非標(biāo)準的通信字符串,不要遺漏任何一項,必要時可以聯(lián)系制造商獲取詳細的說明。
■ 過濾SNMP
另一個可以采用的保護措施是在網(wǎng)絡(luò)邊界上過濾SNMP通信和請求,即在防火墻或邊界路由器上,阻塞SNMP請求使用的端口。標(biāo)準的SNMP服務(wù)使用161和162端口,廠商私有的實現(xiàn)一般使用199、391、705和1993端口。禁用這些端口通信后,外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)的能力就受到了限制;另外,在內(nèi)部網(wǎng)絡(luò)的路由器上,應(yīng)該編寫一個ACL,只允許某個特定的可信任的SNMP管理系統(tǒng)操作SNMP。例如,下面的ACL只允許來自(或者走向)SNMP管理系統(tǒng)的SNMP通信,限制網(wǎng)絡(luò)上的所有其他SNMP通信:access-list 100 permit ip host w.x.y any access-list 100 deny udp any any eq snmp access-list 100 deny udp any any eq snmptrap access-list 100 permit ip any any 這個ACL的第一行定義了可信任管理系統(tǒng)(w.x.y)。利用下面的命令可以將上述ACL應(yīng)用到所有網(wǎng)絡(luò)接口:interface serial 0 ip access-group 100 in
總之,SNMP的發(fā)明代表著網(wǎng)絡(luò)管理的一大進步,現(xiàn)在它仍是高效管理大型網(wǎng)絡(luò)的有力工具。然而,SNMP的早期版本天生缺乏安全性,即使最新的版本同樣也存在問題。就象網(wǎng)絡(luò)上運行的其他服務(wù)一樣,SNMP服務(wù)的安全性也是不可忽視的。不要盲目地肯定網(wǎng)絡(luò)上沒有運行SNMP服務(wù),也許它就躲藏在某個設(shè)備上。那些必不可少的網(wǎng)絡(luò)服務(wù)已經(jīng)有太多讓人擔(dān)憂的安全問題,所以最好關(guān)閉SNMP之類并非必需的服務(wù)——至少盡量設(shè)法保障其安全。
【SNMP數(shù)據(jù)】
SNMP 1.0規(guī)定了5種協(xié)議數(shù)據(jù)單元PDU(也就是SNMP報文),用來在管理進程和代理之間的交換。
get-request操作:從代理進程處提取一個或多個參數(shù)值get-next-request操作:從代理進程處提取緊跟當(dāng)前參數(shù)值的下一個參數(shù)值set-request操作:設(shè)置代理進程的一個或多個參數(shù)值get-response操作:返回的一個或多個參數(shù)值。這個操作是由代理進程發(fā)出的,它是前面三種操作的響應(yīng)操作。trap操作:代理進程主動發(fā)出的報文,通知管理進程有某些事情發(fā)生。
圖1 SNMP的5種報文操作
前面的3種操作是由管理進程向代理進程發(fā)出的,后面的2個操作是代理進程發(fā)給管理進程的,為了簡化起見,前面3個操作今后叫做get、get-next和set操作。圖1描述了SNMP的這5種圖2 SNMP報文格式報文操作。請注意,在代理進程端是用熟知端口161來接收get或set報文,而在管理進程端是用熟知端口162來接收trap報文。
圖2是封裝成UDP數(shù)據(jù)報的5種操作的SNMP報文格式。
可見一個SNMP報文共有三個部分組成,即公共SNMP首部、get/set首部trap首部、變量綁定。
〖公共SNMP首部〗
■ 版本
寫入版本字段的是版本號減1,對于SNMP(即SNMPV1)則應(yīng)寫入0。
■共同體(community)
共同體就是一個字符串,作為管理進程和代理進程之間的明文口令,常用的是6個字符“public”。
表1 PDU類型
〖PDU類型〗 根據(jù)PDU的類型,填入0~4中的一個數(shù)字,其對應(yīng)關(guān)系如表1所示意圖。
〖get/set首部〗
■請求標(biāo)識符(request ID)
這是由管理進程設(shè)置的一個整數(shù)值。代理進程在發(fā)送get-response報文時也要返回此請求標(biāo)識符。管理進程可同時向許多代理發(fā)出get報文,這些報文都使用UDP傳送,先發(fā)送的有可能后到達。設(shè)置了請求標(biāo)識符可使管理進程能夠識別返回的響應(yīng)報文對于哪一個請求報文。
表2 差錯狀態(tài)描述
■差錯狀態(tài)(error status)
由代理進程回答時填入0~5中的一個數(shù)字,見表2的描述。
■ 差錯索引(error index)
當(dāng)出現(xiàn)noSuchName、badValue或readOnly的差錯時,由代理進程在回答時設(shè)置的一個整數(shù),它指明有差錯的變量在變量列表中的偏移。
〖trap首部〗
■企業(yè)(enterprise)
填入trap報文的網(wǎng)絡(luò)設(shè)備的對象標(biāo)識符。此對象標(biāo)識符肯定是在圖3的對象命名樹上的enterprise結(jié)點{1.3.6.1.4.1}下面的一棵子表3 trap類型樹上。
表3 trap類型
〖trap類型〗
此字段正式的名稱是generic-trap,共分為表3中的7種。
類型2、3、5時,在報文后面變量部分的第一個變量應(yīng)標(biāo)識響應(yīng)的接口。
■特定代碼(specific-code) 指明代理自定義的時間(若trap類型為6),否則為0。
■ 時間戳(timestamp) 指明自代理進程初始化到trap報告的事件發(fā)生所經(jīng)歷的時間,單位為ms。例如時間戳為1908表明在代理初始化后1908ms發(fā)生了該事件。
■變量綁定(variable-bindings) 指明一個或多個變量的名和對應(yīng)的值。在get或get-next報文中,變量的值應(yīng)忽略。
【SNMP發(fā)展】
簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)是目前TCP/IP網(wǎng)絡(luò)中應(yīng)用最為廣泛的網(wǎng)絡(luò)管理協(xié)議。1990年5月,RFC1157定義了SNMP(simplenetworkmanagementprotocol)的第一個版本SNMPv1。RFC1157和另一個關(guān)于管理信息的文件RFC1155一起,提供了一種監(jiān)控和管理計算機網(wǎng)絡(luò)的系統(tǒng)方法。因此,SNMP得到了廣泛應(yīng)用,并成為網(wǎng)絡(luò)管理的事實上的標(biāo)準。
SNMP在90年代初得到了迅猛發(fā)展,同時也暴露出了明顯的不足,如,難以實現(xiàn)大量的數(shù)據(jù)傳輸,缺少身份驗證(Authentication)和加密(Privacy)機制。因此,1993年發(fā)布了SNMPv2,具有以下特點:支持分布式網(wǎng)絡(luò)管理、擴展了數(shù)據(jù)類型、可以實現(xiàn)大量數(shù)據(jù)的同時傳輸,提高了效率和性能、豐富了故障處理能力、增加了集合處理功能、加強了數(shù)據(jù)定義語言。
【管理信息庫】
圖3 管理信息庫的對象命名舉例
管理信息庫MIB指明了網(wǎng)絡(luò)元素所維持的變量(即能夠被管理進程查詢和設(shè)置的信息)。MIB給出了一個網(wǎng)絡(luò)中所有可能的被管理對象的集合的數(shù)據(jù)結(jié)構(gòu)。SNMP的管理信息庫采用和域名系統(tǒng)DNS相似的樹型結(jié)構(gòu),它的根在最上面,根沒有名字。圖3畫的是管理信息庫的一部分,它又稱為對象命名(objectnamingtree)。
對象命名樹的頂級對象有三個,即ISO、ITU-T和這兩個組織的聯(lián)合體。在ISO的下面有4個結(jié)點,其中的一個(標(biāo)號3)是被標(biāo)識的組織。在其下面有一個美國國防部(Department of Defense)的子樹(標(biāo)號是6),再下面就是Internet(標(biāo)號是1)。在只討論Internet中的對象時,可只畫出Internet以下的子樹(圖中帶陰影的虛線方框),并在Internet結(jié)點旁邊標(biāo)注上{1.3.6.1}即可。表4 最初的結(jié)點mib管理的信息類別 在Internet結(jié)點下面的第二個結(jié)點是mgmt(管理),標(biāo)號是2。再下面是管理信息庫,原先的結(jié)點名是mib。1991年定義了新的版本MIB-II,故結(jié)點名現(xiàn)改為mib-2,其標(biāo)識為{1.3.6.1.2.1},或{Internet(1) .2.1}。這種標(biāo)識為對象標(biāo)識符。
表4 最初的結(jié)點mib管理的信息類別
最初的結(jié)點mib將其所管理的信息分為8個類別,見表4?,F(xiàn)在de mib-2所包含的信息類別已超過40個。應(yīng)當(dāng)指出,MIB的定義與具體的網(wǎng)絡(luò)管理協(xié)議無關(guān),這對于廠商和用戶都有利。廠商可以在產(chǎn)品(如路由器)中包含SNMP代理軟件,并保證在定義新的MIB項目后該軟件仍遵守標(biāo)準。用戶可以使用同一網(wǎng)絡(luò)管理客戶軟件來管理具有不同版本的MIB的多個路由器。當(dāng)然,一個沒有新的MIB項目的路由器不能提供這些項目的信息。這里要提一下MIB中的對象{1.3.6.1.4.1},即enterprises(企業(yè)),其所屬結(jié)點數(shù)已超過3000。例如IBM為11.3.6.1.4.1.2},Cisco為{1.3.6.1.4.1.9},Novell為{1.3.6.1.4.1.23}等。
【SNMP的運行過程】
駐留在被管設(shè)備上的AGENT從UDP端口161接受來自網(wǎng)管站的串行化報文,經(jīng)解碼、團體名驗證、分析得到管理變量在MIB樹中對應(yīng)的節(jié)點,從相應(yīng)的模塊中得到管理變量的值,再形成響應(yīng)報文,編碼發(fā)送回網(wǎng)管站。網(wǎng)管站得到響應(yīng)報文后,再經(jīng)同樣的處理,最終顯示結(jié)果。
下面根據(jù)RFC1157詳細介紹Agent接受到報文后采取的動作:首先解碼生成用內(nèi)部數(shù)據(jù)結(jié)構(gòu)表示的報文,解碼依據(jù)ASN.1的基本編碼規(guī)則,如果在此過程中出現(xiàn)錯誤導(dǎo)致解碼失敗則丟棄該報文,不做進一步處理。第二步:將報文中的版本號取出,如果與本Agent支持的SNMP版本不一致,則丟棄該報文,不做進一步處理。當(dāng)前北研的數(shù)據(jù)通信產(chǎn)品只支持SNMP版本1。第三步:將報文中的團體名取出,此團體名由發(fā)出請求的網(wǎng)管站填寫。如與本設(shè)備認可的團體名不符,則丟棄該報文,不做進一步處理,同時產(chǎn)生一個陷阱報文。SNMPv1只提供了較弱的安全措施,在版本3中這一功能將大大加強。第四步:從通過驗證的ASN.1對象中提出協(xié)議數(shù)據(jù)單元PDU,如果失敗,丟棄報文,不做進一步處理。否則處理PDU,結(jié)果將產(chǎn)生一個報文,該報文的發(fā)送目的地址應(yīng)同收到報文的源地址一致。
【SNMP的常用程序開發(fā)】
Agent:NetSNMP 、Agent++ 、 MG-soft、solarwind 管理端: winsnmp—windows自帶的SNMP庫;
snmp4j— JAVA版本的SNMP協(xié)議棧;
ObjectSNMP—面向?qū)ο蟮膉ava snmp開發(fā)包;O/M Mapping技術(shù)。
Linux/Unix下的Snmp工具包:net-snmp
內(nèi)容來自百科網(wǎng)