H3C公司发现了一个和SNMP网管协议相关的漏洞,这个漏洞可能导致远程获取到某些设备信息。
这个漏洞存在于成都H3C公司应用Comware平台的路由器、交换机等设备上。
攻击者在猜知设备所用SNMP团体字(Community String)的情况下,通过对特定OID的SNMP访问,可以获取某些设备信息。
H3C设备在同时满足以下条件的情况下,可能或被攻击者获取设备信息:
1、H3C设备开启SNMP。
2、设备SNMP没有通过ACL对访问的NMS进行限制。
3、SNMP 团体字(Community String)被泄漏,或者采用public/private这类通用团体字。
4、本机配置密码为明文方式。
【规避措施/解决方案】
用户可以通过如下配置来避免受到这个漏洞的影响:
一、升级SNMP网络管理应用配置
将所有基于SNMP的网络管理应用都升级到SNMPv3协议版本,并使用认证且加密的安全模型。
通过配置SNMPv3的VACM(用户访问控制模型)功能来阻止SNMPv1/v2用户访问H3C-USER-MIB。
如果网络管理应用仍需使用SNMPv1/v2协议版本,建议在配置SNMPv1/v2的团体字的时候避免使用"public"、"private"等常用的,且容易被猜出的单词。
下面是一个SNMP的配置举例:
snmp-agent mib-view include readView iso
snmp-agent mib-view exclude readView h3cUserPassword
snmp-agent mib-view exclude readView snmpUsmMIB
snmp-agent mib-view exclude readView snmpVacmMIB
snmp-agent mib-view include writeView iso
snmp-agent mib-view exclude writeView h3cUserPassword
snmp-agent mib-view include notifyView iso
snmp-agent group v3 testV3ReadGroup read-view readView notify-view notifyView
snmp-agent usm-user v3 testV3ReadUser testV3ReadGroup
snmp-agent group v3 testV3WriteGroup read-view readView write-view writeView notify-view notifyView
snmp-agent usm-user v3 testV3WriteUser testV3WriteGroup
snmp-agent community read testReadCommunity mib-view readView
snmp-agent community write testWriteCommunity mib-view writeView
也可以通过使用ACL来进一步限制SNMP用户访问MIB。
1)对于SNMPv1/v2协议版本,可以这样配置:
snmp-agent community write testWriteCommunity mib-view writeView acl
snmp-agent community read testReadCommunity mib-view readView acl
2)对于SNMPv3协议版本,可以这样配置:
snmp-agent group v3 testV3Group privacy read-view readView write-view writeView notify-view notifyView acl
snmp-agent usm-user v3 testV3User testV3Group authentication-mode sha
ACL的配置示例如下:
acl number 2001
rule 1 permit source 192.168.100.0 0.0.0.255
rule 1 permit source 192.168.100.1 0
acl number 2002
rule 1 permit source 192.168.100.1 0
二、使用更安全的用户管理方案
通过使用RADIUS或者TACACS+来替代全部的本地用户帐户,并且关闭SNMP协议。
关于如何安全使用交换机、路由器等网络设备的安全建议:
避免使用TFTP、FTP等不支持加密的传输协议来传输包含本地用户信息的配置文件。
通过调整用户权限管理,限制非管理用户使用可以显示设备运行配置或者查看配置文件内容的命令行,如"display current-configuration"、"more