H3C公司發(fā)現(xiàn)了一個和SNMP網(wǎng)管協(xié)議相關(guān)的漏洞�����,這個漏洞可能導(dǎo)致遠程獲取到某些設(shè)備信息���。
這個漏洞存在于成都H3C公司應(yīng)用Comware平臺的路由器、交換機等設(shè)備上�。
攻擊者在猜知設(shè)備所用SNMP團體字(Community String)的情況下,通過對特定OID的SNMP訪問��,可以獲取某些設(shè)備信息�。
H3C設(shè)備在同時滿足以下條件的情況下,可能或被攻擊者獲取設(shè)備信息:
1��、H3C設(shè)備開啟SNMP�。
2、設(shè)備SNMP沒有通過ACL對訪問的NMS進行限制。
3��、SNMP 團體字(Community String)被泄漏���,或者采用public/private這類通用團體字。
4��、本機配置密碼為明文方式�。
【規(guī)避措施/解決方案】
用戶可以通過如下配置來避免受到這個漏洞的影響:
一、升級SNMP網(wǎng)絡(luò)管理應(yīng)用配置
將所有基于SNMP的網(wǎng)絡(luò)管理應(yīng)用都升級到SNMPv3協(xié)議版本�,并使用認證且加密的安全模型。
通過配置SNMPv3的VACM(用戶訪問控制模型)功能來阻止SNMPv1/v2用戶訪問H3C-USER-MIB�����。
如果網(wǎng)絡(luò)管理應(yīng)用仍需使用SNMPv1/v2協(xié)議版本����,建議在配置SNMPv1/v2的團體字的時候避免使用"public"、"private"等常用的���,且容易被猜出的單詞�。
下面是一個SNMP的配置舉例:
snmp-agent mib-view include readView iso
snmp-agent mib-view exclude readView h3cUserPassword
snmp-agent mib-view exclude readView snmpUsmMIB
snmp-agent mib-view exclude readView snmpVacmMIB
snmp-agent mib-view include writeView iso
snmp-agent mib-view exclude writeView h3cUserPassword
snmp-agent mib-view include notifyView iso
snmp-agent group v3 testV3ReadGroup read-view readView notify-view notifyView
snmp-agent usm-user v3 testV3ReadUser testV3ReadGroup
snmp-agent group v3 testV3WriteGroup read-view readView write-view writeView notify-view notifyView
snmp-agent usm-user v3 testV3WriteUser testV3WriteGroup
snmp-agent community read testReadCommunity mib-view readView
snmp-agent community write testWriteCommunity mib-view writeView
也可以通過使用ACL來進一步限制SNMP用戶訪問MIB��。
1)對于SNMPv1/v2協(xié)議版本,可以這樣配置:
snmp-agent community write testWriteCommunity mib-view writeView acl
snmp-agent community read testReadCommunity mib-view readView acl
2)對于SNMPv3協(xié)議版本���,可以這樣配置:
snmp-agent group v3 testV3Group privacy read-view readView write-view writeView notify-view notifyView acl
snmp-agent usm-user v3 testV3User testV3Group authentication-mode sha privacy-mode aes128
ACL的配置示例如下:
acl number 2001
rule 1 permit source 192.168.100.0 0.0.0.255
rule 1 permit source 192.168.100.1 0
acl number 2002
rule 1 permit source 192.168.100.1 0
二��、使用更安全的用戶管理方案
通過使用RADIUS或者TACACS+來替代全部的本地用戶帳戶��,并且關(guān)閉SNMP協(xié)議�����。
關(guān)于如何安全使用交換機�����、路由器等網(wǎng)絡(luò)設(shè)備的安全建議:
避免使用TFTP�����、FTP等不支持加密的傳輸協(xié)議來傳輸包含本地用戶信息的配置文件�。
通過調(diào)整用戶權(quán)限管理��,限制非管理用戶使用可以顯示設(shè)備運行配置或者查看配置文件內(nèi)容的命令行�,如"display current-configuration"、"more "�����。
