使用 OptiView 集成式网络分析仪,三个步骤即可查看您的网络是否存在受到SNMP攻击的缺陷
简单网络管理协议(SNMP)是一个广泛被采用的协议,它定义了在一个IP网络中远程管理和监测设备的标准。支持SNMP的设备或主机可以是以下两种类型之一:1)请求信息并接收主动信息的SNMP管理者2)响应请求并发送主动信息的SNMP代理。一些支持代理功能的SNMP设备还将SNMP管理者和SNMP代理结合在一起。
SNMP操作有两种类型:1)请求的操作,例如“得到”或“设置”,即SNMP管理者请求或改变SNMP代理上一个被管理的目标的值,2)主动操作,例如“陷阱”, 即SNMP代理向SNMP管理者提供主动通知或告警信息。
所有的SNMP操作都通过用户数据报协议(UDP)进行传输。请求操作通过SNMP管理者被发送至代理上的UDP目的端口161。主动操作通过SNMP代理被发送至UDP目的端口162。
不同厂商的SNMP实现中可能存在某些弱点,设备可能错误地试图去处理SNMP请求操作,也可能会遇到内存讹误,也许还需要重新启动。这些弱点的重复出现可能会导致不断错误地否认服务受到攻击、服务中断,在某些情况下还会导致攻击者有权访问受影响的设备。特殊的影响会因产品而不同。
管理网络风险,可以使用 OptiView 集成式网络分析仪来执行以下测试:
1. 识别网络上的SNMP代理
将OptiView连接至网络,先进的自动搜索功能将从有线网络端搜索出广播域中的所有设备,如果用户输入了域外的地址范围,仪器还可以搜索到广播域外的设备。搜索过程自动根据连接类型将设备分类,包括路由器和交换机、服务器、打印机以及SNMP代理。
从OptiView的首页选择“Setup”(设置)标签,然后选择“Security”(安全)标签。然后配置所有已知和旧的通信字符串,以确保您将诸如“public”、“private”、“rmon”以及“security”等字符串包含在内。
返回首页,按“Rerun”(重新测试)测试按钮。
选择“Device Discovery”(设备搜索),然后选择左侧面板中的“SNMP Agents”(SNMP代理)类。结果将显示广播域中查找到的SNMP代理。
2. 测试过滤SNMP流量的防火墙
从您的防火墙外的局域网段使用OptiView来查询网络上受保护部分的已知SNMP代理。在分析仪获取正确的IP配置后,选择“Tools”(工具)标签,输入已知SNMP代理的IP地址。分析仪将会试图去查询通过防火墙的SNMP代理。
您可能还想在防火墙保护部分上利用OptiView协议分析专家软件,查看防火墙是否可以拒绝任何以及全部通过防火墙的SNMP流量,而不仅仅是防止来自于网络外的SNMP响应。
或者您可以使用两台OptiView分析仪,防火墙两端各放置一台,即可轻松检查出这一问题。使用包捕捉和数据统计功能可以确保没有SNMP流量正从防火墙外进入。
3. 分析针对SNMP攻击的网络模型
使用OptiView,将数据包捕捉和协议统计功能结合在一起,可以用于收集SNMP攻击的证据。从首页选择“Protocol Statistics”(协议统计),然后在左侧面板中展开UDP协议,突出显示SNMP类。
从该屏幕中,选择“Top Hosts”(对话最多的主机)查看不应该发送SNMP请求的结点或对话最高者,以查看看起来不正常的SNMP流量对话双方。
最佳实践经验:
帮助您减少潜在的与SNMP相关攻击的危险。
- 确保您的外部防火墙拒绝所有进入的SNMP流量。
- 为所有SNMP设备改变默认通信字符串。审核您网络上使用“public”和“private” 以及其它被设备厂商设置为默认的通信字符串的设备。
- 针对攻击模型分析SNMP流量,从没有授权的内部主机中过滤SNMP流量。在大多数网络中,只有有限的网管系统或分析仪需要发出SNMP请求信息。因此如果可能的话,应该将SNMP代理系统配置为拒绝来自未授权设备的SNMP信息。这可以减少但并不会全部消除内部攻击的危险,但由于通过过滤器增加了负载,还可能对网络性能产生有害影响。
- 将SNMP流量隔离至单独的管理网络。限制所有SNMP仅可使用单独的、隔离的管理网络,这些通过使用VLAN来将流量隔离至同一物理网络而不能公开访问。注意VLAN并不能严格地预防那些利用这些弱点的攻击者,但却可以给攻击造成困难。对于远程站点另一个方式就是限定SNMP流量到需要严格认证的单独的VPN中。