使用SNMP服务后之安全防范

　　使用SNMP服务后之安全防范！

　　默认安装带来安全漏洞

　　记得有一次在和一位网管聊天的过程中他认为自己Windows2000Server系统是不可能被入侵的。我已经把IPC＄的连接共享都，入侵者根本无法得到我系统上的账户信息了，没有问题。而经过我检查发现TCP139和445端口确实被了，但通过扫描器我却发现了一个重大漏洞UDP161D端口上的SNMP。询问管理员后得知是正在试用某公司的网络管理软件。我们知道Windows2000后续的版本都可以通过添加/删除程序管理和工具安装上SNMP，但在Windows系统中选择默认安装常不安全的。

　　默认安装SNMP的密码都是一样的。而入侵者从SNMP代理服务中会轻易的完成入侵前的准备工作。还有一点提醒各位，SNMP的消息是以形式发送的，而这些消息很容易被Microsoft网络器或者Sniffer这样的网络分析程序截取并解码。入侵者可以轻易的捕获服务的密码，以获取有关网络资源的重要信息。

　　获取SNMP服务信息非常容易

　　IPNetworkBrowser工具是SolarWinds公司出品的一个检测工具，通过该程序可以对自己的系统了如指掌。而这个工具包中还包括可以向目标系统里的MIB写入信息等功能，可以轻易更改系统的配置。

　　加固SNMP服务的方法

　　由于SNMP服务为管理员带来了很多方便，我们也不能为了相对的安全而停止使用该服务，所以对于它的安全防范至关重要，而最简单的方法就是更改服务的密码和针对IP地址提供有效服务。运行Services.msc命令，找到SNMPService，右键选择属性，切换到安全选项卡。修改CommunityStrings，也就是团体名称改写，然后添加授权访问地连接地址，如图2所示。如果是NT的操作系统就要麻烦些，修改下面注册表的键值。

　　192.168.1.1用户名另外，在入侵者利用SNMP入侵时，我们可以让系统日志记录入侵信息，Windows事件日志中的可用来创建包含这一事件的SNMP陷阱，所谓陷阱就是SNMP事件转换器的意思。由于篇幅的，这里显示出界面，细节内容可以参考日志与审核的相关帮助，如图3所示。

　　加密SNMP的通信的方法

　　除了上述关于主机加固的内容，为了不使用形式发送SNMP消息。可以利用IPSec策略SNMP服务的安全。

　　1.选择管理工具本地安全策略，右键点击IP安全策略，选择本地计算机管理IP筛选器列表和筛选器操作。

　　2.选择管理IP筛选器列表然后单击添加按钮。在IP筛选器列表中的名称栏输入SNMP的管理，去除添加向导复选框，然后点添加按钮，（一定要选择镜像。需要选择匹配具有正好相反的源和目标地址的数据包复选框。）生成策略。

　　3.根据需要在协议选项卡中配置，协议类型为UDP，端口输入161。单击到此端口，然后输入161，用同样的方法再次添加162的端口，如图4所示。

　　总结：在网络管理中，非常小的安全漏洞的疏忽将导致整个系统崩溃，细心是要求我们每位管理员必须做到的。同时，值得庆幸的是WindowsServer2003对于SNMP的默认安装作了很大改进，能够抵御到上文提到的所有手段。