SNMP服務弱口令安全漏洞防范

引言：很多操作系統或者網絡設備的SNMP代理服務都存在默認口令。如果沒有修改這些默認口令或者口令為弱口令，遠程攻擊者就可以通過SNMP代理獲取系統的很多細節信息。如果攻擊者得到了可寫口令，它甚至可以修改系統文件或者執行系統命令。

很多操作系統或者網絡設備的SNMP代理服務都存在默認口令。如果用戶沒有修改這些默認口令或者將這些口令設置為弱口令，遠程攻擊者就可以通過SNMP代理獲取系統的很多細節信息。如果攻擊者得到了可寫口令，其甚至可以修改系統文件或者執行系統命令。

建議修改SNMP默認口令或者禁止SNMP服務，其過程為:

對于像Windows系統，可以參考以下方法來關閉SNMP服務(以Windows 2000為例)：

打開控制面板，雙擊“添加或刪除程序”，選擇“添加/刪除Windows組件”，選中“管理和監視工具”，雙擊打開，取消“簡單網絡管理協議”復選框，點擊“確定”，然后按照提示完成操作。

在Cisco路由器上可以使用如下方式來修改、刪除SNMP口令：

1. 通過telnet程序或者通過串口登錄進入Cisco路由器。

2. 進入enable口令：

3. 顯示路由器上當前的snmp配置情況：

4. 進入配置模式：

可以選用下面三種方法中的一種或者結合使用：

1.如果不需要通過SNMP進行管理，可以禁止SNMP Agent服務：

將所有的只讀、讀寫口令刪除后，SNMP Agent服務就將被禁止。

a.刪除只讀(RO)口令：

2.如果用戶仍需要使用SNMP，可以選擇修改SNMP口令，使其不易被猜測。

a. 刪除原先的只讀或者讀寫口令：

b. 設置新的只讀和讀寫口令，口令強度應該足夠，不易被猜測：

3.只允許信任主機通過SNMP口令訪問(以對只讀口令“public”為例 )。

a.創建一個訪問控制列表(假設名為66):

b.禁止任何人訪問public口令：

c.設置允許使用public口令進行訪問的可信主機(1.2.3.4)：

對于讀寫口令的訪問限制同上。

在對SNMP口令進行修改、刪除等操作之后，需要執行write memory命令保存設置：

如果有防火墻設備，用戶也可以在防火墻上過濾掉對內部網絡UDP 161端口的訪問。