H3C公司发现了一个和SNMP网管协议相关的漏洞，这个漏洞可能导致远程获取到某些设备信息。

　　这个漏洞存在于成都H3C公司应用Comware平台的路由器、交换机等设备上。

　　攻击者在猜知设备所用SNMP团体字(Community String)的情况下，通过对特定OID的SNMP访问，可以获取某些设备信息。

　　H3C设备在同时满足以下条件的情况下，可能或被攻击者获取设备信息：

　　1、H3C设备开启SNMP。

　　2、设备SNMP没有通过ACL对访问的NMS进行限制。

　　3、SNMP 团体字(Community String)被泄漏，或者采用public/private这类通用团体字。

　　4、本机配置密码为明文方式。

　　【规避措施/解决方案】

　　用户可以通过如下配置来避免受到这个漏洞的影响：

　　一、升级SNMP网络管理应用配置

　　将所有基于SNMP的网络管理应用都升级到SNMPv3协议版本，并使用认证且加密的安全模型。

　　通过配置SNMPv3的VACM(用户访问控制模型)功能来阻止SNMPv1/v2用户访问H3C-USER-MIB。

　　如果网络管理应用仍需使用SNMPv1/v2协议版本，建议在配置SNMPv1/v2的团体字的时候避免使用"public"、"private"等常用的，且容易被猜出的单词。

　　下面是一个SNMP的配置举例：

　　snmp-agent mib-view include readView iso

　　snmp-agent mib-view exclude readView h3cUserPassword

　　snmp-agent mib-view exclude readView snmpUsmMIB

　　snmp-agent mib-view exclude readView snmpVacmMIB

　　snmp-agent mib-view include writeView iso

　　snmp-agent mib-view exclude writeView h3cUserPassword

　　snmp-agent mib-view include notifyView iso

　　snmp-agent group v3 testV3ReadGroup read-view readView notify-view notifyView

　　snmp-agent usm-user v3 testV3ReadUser testV3ReadGroup

　　snmp-agent group v3 testV3WriteGroup read-view readView write-view writeView notify-view notifyView

　　snmp-agent usm-user v3 testV3WriteUser testV3WriteGroup

　　snmp-agent community read testReadCommunity mib-view readView

　　snmp-agent community write testWriteCommunity mib-view writeView

　　也可以通过使用ACL来进一步限制SNMP用户访问MIB。

　　1)对于SNMPv1/v2协议版本，可以这样配置：

　　snmp-agent community write testWriteCommunity mib-view writeView acl

　　snmp-agent community read testReadCommunity mib-view readView acl

　　2)对于SNMPv3协议版本，可以这样配置：

　　snmp-agent group v3 testV3Group privacy read-view readView write-view writeView notify-view notifyView acl

　　snmp-agent usm-user v3 testV3User testV3Group authentication-mode sha privacy-mode aes128

　　ACL的配置示例如下：

　　acl number 2001

　　rule 1 permit source 192.168.100.0 0.0.0.255

　　rule 1 permit source 192.168.100.1 0

　　acl number 2002

　　rule 1 permit source 192.168.100.1 0

　　二、使用更安全的用户管理方案

　　通过使用RADIUS或者TACACS+来替代全部的本地用户帐户，并且关闭SNMP协议。

　　关于如何安全使用交换机、路由器等网络设备的安全建议：

　　避免使用TFTP、FTP等不支持加密的传输协议来传输包含本地用户信息的配置文件。

　　通过调整用户权限管理，限制非管理用户使用可以显示设备运行配置或者查看配置文件内容的命令行，如"display current-configuration"、"more "。