記得有一次在和一位網管聊天的過程中他堅持認爲自己Windows 2000 Server系統是不可能被***的。“我已經把IPC$的連接共享都禁止,***者根本無法得到我係統上的賬戶信息了,保證沒有問題。”而經過我檢查發現TCP 139和445端口確實被禁止了,但通過掃描器我卻發現了一個重大漏洞——UDP 161D端口上的SNMP。詢問管理員後得知是正在試用某公司的網絡管理軟件。我們知道Windows 2000後續的版本都可以通過“添加/刪除程序→管理和監視工具”安裝上SNMP,但在Windows系統中選擇默認安裝是非常不安全的。
默認安裝SNMP的密碼都是一樣的。而***者從SNMP代理服務中會輕易的完成***前的準備工作。還有一點提醒各位,SNMP的消息是以明文形式發送的,而這些消息很容易被Microsoft網絡監視器或者Sniffer這樣的網絡分析程序截取並解碼。***者可以輕易的捕獲服務的密碼,以獲取有關網絡資源的重要信息。
獲取SNMP服務信息非常容易
1.Snmputil命令
如果我們知道默認的SNMP服務密碼,通過Resource Kit工具包裏的Snmputil工具可以輕易地通過SNMP服務把Windows賬戶羅列出來,以便進行進一步的安全檢測。語法如下:snmputil walk.1.3.6.1.4.1.77.1.2.25,例如輸入:snmputil walk 192.168.0.1 ××××.1.3.6.1.4.1.77.1.2.25 命令後將得到所有的用戶名,如圖1所示。
另外通過Snmputil Getnext可以用來檢測 Windows 2000 SNMP服務內存消耗拒絕服務***的缺陷,有興趣的朋友可以嘗試一下。
2.圖形界面的IP Network Browser工具
IP Network Browser工具是Solar Winds公司出品的一個檢測工具,通過該程序可以對自己的系統瞭如指掌。而這個工具包中還包括可以向目標系統裏的MIB寫入信息等功能,可以輕易更改系統的配置。
加固SNMP服務的方法
由於SNMP服務爲管理員帶來了很多方便,我們也不能爲了相對的安全而停止使用該服務,所以對於它的安全防範至關重要,而最簡單的方法就是更改服務的密碼和針對IP地址提供有效服務。
運行Services.msc命令,找到SNMP Service,右鍵選擇“屬性”,切換到“安全”選項卡。修改Community Strings,也就是 “團體名稱”改寫,然後添加授權訪問地連接地址,如圖2所示。
如果是NT的操作系統就要麻煩些,修改下面註冊表的鍵值。
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\ValidCommunities ] 中將public改名。
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\PermittedManagers ] 添加字符串,名稱爲“1”,內容爲授權訪問地連接地址。
另外,在***者企圖利用SNMP***時,我們可以讓系統日誌記錄***信息,Windows事件日誌中的可用來創建包含這一事件的SNMP陷阱,所謂“陷阱”就是SNMP 事件轉換器的意思。由於篇幅的限制,這裏顯示出界面,細節內容可以參考“日誌與審覈”的相關幫助,如圖3所示。
加密SNMP的通信的方法
除了上述關於主機加固的內容,爲了不使用明文形式發送SNMP消息。可以利用IP Sec策略保護SNMP服務的安全。
1. 選擇“管理工具→本地安全策略”,右鍵點擊“IP安全策略”,選擇“本地計算機→管理IP篩選器列表和篩選器操作”。
2. 選擇“管理IP篩選器列表”然後單擊“添加”按鈕。在“IP篩選器列表”中的名稱欄輸入“SNMP的管理”,去除“添加嚮導”複選框,然後點“添加”按鈕,(一定要選擇“鏡像。需要選擇匹配具有正好相反的源和目標地址的數據包”複選框。)生成策略。
3. 根據需要在“協議”選項卡中配置,協議類型爲UDP,端口輸入161。單擊“到此端口”,然後輸入161,用同樣的方法再次添加162的端口,如圖4所示。
總結:在網絡管理中,非常小的安全漏洞的疏忽將導致整個系統崩潰,“細心”是要求我們每位管理員必須做到的。同時,值得慶幸的是Windows Server 2003對於SNMP的默認安裝作了很大改進,能夠抵禦到上文提到的所有***手段。
![]()
圖1 顯示Windows賬戶列表
![]()
圖2 添加授權訪問連接地址
![]()
圖3 創建SNMP陷阱連接地
![]()
圖4 管理IP篩選
默認安裝SNMP的密碼都是一樣的。而***者從SNMP代理服務中會輕易的完成***前的準備工作。還有一點提醒各位,SNMP的消息是以明文形式發送的,而這些消息很容易被Microsoft網絡監視器或者Sniffer這樣的網絡分析程序截取並解碼。***者可以輕易的捕獲服務的密碼,以獲取有關網絡資源的重要信息。
獲取SNMP服務信息非常容易
1.Snmputil命令
如果我們知道默認的SNMP服務密碼,通過Resource Kit工具包裏的Snmputil工具可以輕易地通過SNMP服務把Windows賬戶羅列出來,以便進行進一步的安全檢測。語法如下:snmputil walk
另外通過Snmputil Getnext可以用來檢測 Windows 2000 SNMP服務內存消耗拒絕服務***的缺陷,有興趣的朋友可以嘗試一下。
2.圖形界面的IP Network Browser工具
IP Network Browser工具是Solar Winds公司出品的一個檢測工具,通過該程序可以對自己的系統瞭如指掌。而這個工具包中還包括可以向目標系統裏的MIB寫入信息等功能,可以輕易更改系統的配置。
加固SNMP服務的方法
由於SNMP服務爲管理員帶來了很多方便,我們也不能爲了相對的安全而停止使用該服務,所以對於它的安全防範至關重要,而最簡單的方法就是更改服務的密碼和針對IP地址提供有效服務。
運行Services.msc命令,找到SNMP Service,右鍵選擇“屬性”,切換到“安全”選項卡。修改Community Strings,也就是 “團體名稱”改寫,然後添加授權訪問地連接地址,如圖2所示。
如果是NT的操作系統就要麻煩些,修改下面註冊表的鍵值。
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\ValidCommunities ] 中將public改名。
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\PermittedManagers ] 添加字符串,名稱爲“1”,內容爲授權訪問地連接地址。
另外,在***者企圖利用SNMP***時,我們可以讓系統日誌記錄***信息,Windows事件日誌中的可用來創建包含這一事件的SNMP陷阱,所謂“陷阱”就是SNMP 事件轉換器的意思。由於篇幅的限制,這裏顯示出界面,細節內容可以參考“日誌與審覈”的相關幫助,如圖3所示。
加密SNMP的通信的方法
除了上述關於主機加固的內容,爲了不使用明文形式發送SNMP消息。可以利用IP Sec策略保護SNMP服務的安全。
1. 選擇“管理工具→本地安全策略”,右鍵點擊“IP安全策略”,選擇“本地計算機→管理IP篩選器列表和篩選器操作”。
2. 選擇“管理IP篩選器列表”然後單擊“添加”按鈕。在“IP篩選器列表”中的名稱欄輸入“SNMP的管理”,去除“添加嚮導”複選框,然後點“添加”按鈕,(一定要選擇“鏡像。需要選擇匹配具有正好相反的源和目標地址的數據包”複選框。)生成策略。
3. 根據需要在“協議”選項卡中配置,協議類型爲UDP,端口輸入161。單擊“到此端口”,然後輸入161,用同樣的方法再次添加162的端口,如圖4所示。
總結:在網絡管理中,非常小的安全漏洞的疏忽將導致整個系統崩潰,“細心”是要求我們每位管理員必須做到的。同時,值得慶幸的是Windows Server 2003對於SNMP的默認安裝作了很大改進,能夠抵禦到上文提到的所有***手段。
圖1 顯示Windows賬戶列表
圖2 添加授權訪問連接地址
圖3 創建SNMP陷阱連接地
圖4 管理IP篩選