简单网络管理协议SNMP主要针对TCP/IP网络提出,和WWW、SMTP和FTP一样,它工作于TCP/IP模型的应用层。随着Internet的迅速发展,SNMP也成为事实上的网络管理协议,在互联网骨干设备和绝大多数厂商的网络产品中得到广泛采用。这既取决于TCP/IP 协议的主导地位,也决定于SNMP协议自身的简单易行。
最近,计算机紧急反应小组协调中心(CERT/CC)指出,在许多产品的SNMPv1实施中都存在安全隐患。该报告主要根据挪威Oulu大学的安全编程小组(OUSPG)的测试结果提出。OUSPG通过将特定测试集运用于多种厂商的相关产品,发现SNMP代理和SNMP管理站在处理Trap消息和其他请求消息方面存在安全隐患,可能会引发服务中断、DoS攻击或非法获取设备访问权限。
鉴于目前互联网络中主要使用SNMPv1协议对网络设备进行网上管理和监控,一般网络产品(如路由器、交换机、网桥、服务器、防火墙、远程访问服务器、打印服务器和工作站等)都提供SNMPv1功能,许多“可网管”的网络设备都包含SNMP代理。所以,CERT/CC报告的影响面广泛,所列出的近300家厂商名单中,有许多已给出了及时反馈。有鉴于此,网络规划和管理人员有必要采取相应措施,正确配置网络,使网络安全风险趋于最小。
一、 SNMP的工作机制
形成SNMPv1安全隐患的部分根源在协议本身,因此我们有必要了解一下其工作机制。
1.代理和管理站的模型
简单网络管理系统分2种角色:SNMP管理站和SNMP代理。代理是实际网络设备中用来实现SNMP功能的部分。代理在UDP的161端口接收NMS的读写请求消息,管理站在UDP的162端口接收代理的事件通告消息。所以,一旦获取设备的访问权限,就可以访问设备信息、改写和配置设备参数。由于采用UDP协议,不需要在代理和管理站之间保持连接。
2.SNMP的消息种类
SNMP只提供3种基本操作:获取网络设备信息(Get: 读操作)、设置网络设备参数值(Set: 写操作)和事件报告(Trap: 陷阱操作)。有5种协议数据单元(即消息)类型: Get-request、Get-Next-Request、Get-Response、Set-Request和Trap。其中,Get-request和Get-Next-Request由管理工作站发给代理,请求检索信息,代理以Get-Response响应它; 管理工作站使用Set-Request可以远程设置代理所在的网络设备的参数。这些都通过读或写管理信息库实现。在5种类型中,只有Trap是代理发起的(非请求信息),用于向管理工作站报告特定的事件,如设备的启动、关闭和其他变化等。
3.SNMP的简单认证
SNMPv1不支持加密和授权,通过包含在SNMP中的团体名提供简单的认证,其作用类似口令,SNMP代理检查消息中的团体名字段的值,符合预定值时接收和处理该消息。依据SNMPv1协议规定,大多数网络产品出厂时设定的只读操作的团体名缺省值为“Public”,读写操作的团体名缺省值为“Private”,许多情况下,网络管理人员从未修改过该值。
二、 SNMP的安全隐患
OUSPG的测试集中包含了53000个测试实例,测试发现SNMP管理工作站在解析和处理Trap消息及SNMP代理在处理请求消息时具有某些缺陷,主要原因是对SNMP消息的检查不充分,当数据包中含有异常的字段值或过长的对象识别时,引起内存耗尽、堆栈耗尽以及缓冲区溢出等致命错误,从而导致修改目标系统和执行其他代码。后果因具体设备而异,比如会形成拒绝服务攻击条件、设备不能正常工作、产生大量日志记录、系统崩溃或挂起和设备自动重启动等等。
团体名作为惟一的SNMP认证手段,也是薄弱环节之一。例如利用知名的缺省值“Public”或“Private”以及空白团体名常常能获取设备的访问权,或利用嵌入SNMPv1消息的团体名在网上以明码传输,及利用Sniff软件获取团体名。此外,还有些攻击可以绕过这一认证。
由于SNMP主要采用UDP传输,很容易进行IP源地址假冒,所以,仅仅使用访问控制列表有时也不足以防范。
大多数SNMP设备接收来自网络广播地址的SNMP消息,攻击者甚至可以不必知道目标设备的IP地址,通过发送广播SNMP数据包达到目的。
三、 建议措施
由于SNMPv1实施的广泛性,该问题涉及很多网络产品(从高端到低端),建议网络规划和管理人员检查那些“可网管的”设备,具体采取以下措施。
1.关注所用产品的改进信息,及时增打补丁,升级版本
CERT/CC的咨询报告公布后,一些知名网络厂商已做出反馈,对各自的SNMP实现方案进行了全面测试,并公布了测试结果和具体建议,用户应跟踪最新动态。
2.在不必要的情况下,关闭SNMP服务
有些中、小企业的网络较少通过网络进行网管,多采用串口和控制台对网络设备进行静态配置,可以考虑关闭SNMP功能。例如,对Cisco产品,可使用命令“No Snmp-Server”关闭,用“Show Snmp”查看,然后确认:“%SNMP agent not enabled”。
此外,OUSPG发现,个别产品即使在关闭了SNMP服务之后,仍存在DoS隐患,因此,建议和访问控制措施结合使用。
3.对进入网络的SNMP流量进行过滤
正常情况下,大多数网络对外提供访问的主要是一些服务器(如Web服务器和FTP服务器等),不可能有外部主机发起的对内部网络设备的访问,可以过滤外部主机发起的针对内部服务器和网络设备的进入流量。尤其是SNMP数据包,用户可结合IP地址和传输端口(服务类型)进行过滤。
SNMP服务常使用的端口是161/UDP和162/UDP端口,有可能用到的端口有:SNMP 161/TCP、SNMP 162/TCP、SNMP 1993/TCP、1993/UDP、Smux 199/UDP以及Smux 199/ TCP SNMP Unix Multiplexer。
由于SNMP监控程序常常绑定到所有网卡地址上,还要注意过滤来自广播地址、子网广播地址以及内部返回地址的SNMP流量。
4.对内部的未授权主机的SNMP访问控制
正常情况下,只有NMS有权发起SNMP请求,因此,可以配置SNMP代理,通过访问控制,将来自未授权主机的SNMP请求信息阻挡掉。但如前所述,该方法对UDP的源IP地址欺骗不能奏效。另外,此配置可能影响网络性能,因此需要兼顾考虑。
最后一个措施是将SNMP流量限制在特定的VLAN上。
四、 厂商的响应
CERT/CC在报告中附加了近300家厂商的名单,指出该隐患可能影响到这些厂家的产品,目前包括Cisco、3Com、HP、D-link和Nortel Networks等在内的许多厂商已经做出积极的响应。
Cisco指出,所有运行以前版本IOS的网络设备都可能受到影响,建议及时升级或关闭SNMP服务、删除缺省团体名、采取边界过滤和访问控制等措施。
HP公布了所有影响到的平台和可能的损害,建议对运行SNMPD的HP UX和OpenView产品及时打补丁和升级,并公布了其交换机、打印服务器及网络管理平台等产品的补丁程序和升级版本。
作为为数不多的宣布其产品不受影响的厂商D-Link在报告中指出,经过对其产品DES-3226、DES-3326、DES-3624i和DES-6000测试后认定,这些产品不受SNMP协议本身安全隐患的影响。由于所有支持SNMP代理功能的产品使用同样的代码基,因此,可以推论,所有其他产品也不存在SNMP安全问题。不过,D-Link仍将继续对其SNMP代理的产品进行评估和调查,并将公布全面测试结果。
国内主要网络厂商的产品也提供SNMP功能,但尚未见到反馈信息,在CERT/CC的列表中显示为Unkown状态。
为方便用户跟踪,附表列出部分常用网络产品的SNMP安全使用信息和补丁发布站点。
SNMPv1的安全机制过于薄弱,IETF于1993年提出了SNMPv2,增强了安全机制和其他功能,该版本支持认证和加密。1998年推出SNMPv3,目前最新的NMPv3文件是1999年的RFC2571,但无论SNMPv2还是SNMPv3,都停留在草案标准上,只有SNMPv1成为正式Internet标准(RFC1157)。
值得注意的是,虽然OUSPG仅对SNMPv1进行了测试,有些隐患在SNMPv2和SNMPv3的实施中仍可能存在。
附表:常用网络产品SNMP安全使用信息及补丁发布站点表
(作者地址:北京市海淀区西三旗育新花园10-1304,100096)
阅读(1595) | 评论(0) | 转发(0) |