基于SNMP網(wǎng)絡(luò)管理系統(tǒng)安全性探討

1、基于SNMP網(wǎng)絡(luò)管理系統(tǒng)安全性探討    2011-10-31 7:02:09      作者：李艷霓1,周麗婷2   代寫論文    摘要：安全性對SNMP網(wǎng)絡(luò)管理中系統(tǒng)非常重要，為此，本位針對不同的安全隱患，從編程和網(wǎng)絡(luò)配置的角度提出了相對應(yīng)的解決方法，并且討論了通過建立安全管理模型來提高網(wǎng)絡(luò)安全的方法。關(guān)鍵詞：SNMP；網(wǎng)絡(luò)管理；緩沖區(qū)中圖分類號：TP393.07 文獻(xiàn)標(biāo)識碼：A文章編號：1007-9599 (2011)

2、 07-0000-010Network Management System Security Based on SNMPLi Yanni1,Zhou Liting2(1.Lanzhou Petrochemical Company Communication Network Center,Lanzho730060,China;2.Automation Research Institute of Lanzhou Petrochemical Company,Lanzhou730060,China)Abstract:The security of SNMP network management sys

3、tem is very important to do this,based for different safety problems,programming and network configuration from the angle of the corresponding solutions,and discussed through the establishment of security management model to improve network security Approach.Keywords:SNMP;Network management;Buffer在現(xiàn)

4、代的網(wǎng)絡(luò)管理中，安全性是其最重要的一個方面。SNMP實現(xiàn)的網(wǎng)絡(luò)管理方案，由于其簡單、低成本和容易實現(xiàn)等優(yōu)點收到編程者的喜愛。但是，正是因為SNMP的簡單性也決定了它的局限性。長期以來，安全性問題一直是SNMP應(yīng)用者的一個煩惱，也是應(yīng)用者非常關(guān)心的問題，為此本文就SNMP網(wǎng)絡(luò)管理系統(tǒng)的安全性進(jìn)行簡單介紹。一、基于SNMP網(wǎng)絡(luò)管理系統(tǒng)中存在的安全隱患目前，SNMPv1和SNMPv2使用最廣泛，但是其在安全性的缺陷上，使得他們更加容易被惡意攻擊者所利用。在實際中，攻擊者通過非法操作獲得SNMP團(tuán)體名后，就會先行通過查找設(shè)備私有的M份中是否有可以被利用的MIB項。如果獲取的團(tuán)體名通過驗證時具有讀寫權(quán)限

5、的，攻擊者就可以通過直接讀寫這些MIB項，以達(dá)到攻擊設(shè)備的目的；如果攻擊者獲得的是僅僅只有讀權(quán)限的團(tuán)體名，也會通過各種手段來嘗試尋找其他設(shè)備的Bug，以便達(dá)到越權(quán)讀寫M份項的目的。按照常規(guī)理論，我們可以把可能存在的威脅分為以下幾個方面：1.信息泄漏：針對管理者和代理之間的MIB對象值變化進(jìn)行實時觀察。2.偽裝：通過偽冒管理員的角色達(dá)到非法授權(quán)的目的。3.信息篡改：對信息進(jìn)行修改，并達(dá)到非法授權(quán)的目的。4.信息流更改：通過對信息記錄的重放，達(dá)到非法授權(quán)的目的。5.流量分析：通過對管理站與代理間的流量觀察，達(dá)到非法操作目的。6.拒絕服務(wù)：通過對管理站與代理間交換的觀察，達(dá)到非法操作目的。二、提高S

6、NMP網(wǎng)絡(luò)管理系統(tǒng)的安全性（一）防范緩沖區(qū)溢出編程者的開發(fā)水平，安全認(rèn)識，以及使用的開發(fā)包的安全性能，是開發(fā)的軟件網(wǎng)絡(luò)管理系統(tǒng)安全性的重要因素。在這里面，最大的威脅當(dāng)屬于緩沖區(qū)的一處。緩沖區(qū)溢出作為一種重要的網(wǎng)絡(luò)攻擊手段，收到眾多攻擊者的青睞，攻擊者通過往緩沖區(qū)中寫入大量的內(nèi)容，超出其接受內(nèi)容的長度，從而導(dǎo)致緩沖區(qū)的一處，破壞的堆棧，從而迫使程序轉(zhuǎn)而執(zhí)行其他的指令。防范緩沖區(qū)溢出是一種非常普遍危險也是較為普遍的一種安全漏洞。那么如何才能在我們編寫軟件的時候有效的防范緩沖區(qū)溢出呢？我們認(rèn)為應(yīng)該養(yǎng)成比較好的編程習(xí)慣和盡量使用最新的第三方開發(fā)包來避免。1.養(yǎng)成好的編程習(xí)慣：從本質(zhì)上來說，緩沖區(qū)漏洞都

7、是由于我們程序員疏忽大意的結(jié)果。作為一名程序員在寫程序的時候，一定要站在一個安全編程的角度上，考慮周全，盡可能的減少漏洞的存在，這樣就可以從源頭上遏制漏洞的發(fā)生。比如我們再C語言程序編寫的時候，一定要注意一些高危險函數(shù)的使用，比如：c語言中的strcpy函數(shù)，相關(guān)的還有sprinif，strcat等等。調(diào)用這些函數(shù)的時候，我們一定要對其詳細(xì)的測試，檢查其參數(shù)的長度，確保不會發(fā)生溢出錯誤，同時我們也可以使用一些替代性的函數(shù)，比如我們可以用strncpy代替strcpy，snprintf代替sprintf等等，這樣就可以充分的避免一些錯誤的發(fā)生，促進(jìn)系統(tǒng)的安全性。2.盡量使用最新的第三方開發(fā)包。我

8、們現(xiàn)在使用SNMP協(xié)議開發(fā)的網(wǎng)絡(luò)管理軟件，大量的使用了第三方軟件開發(fā)包，比如：WINSNMP、SNMP+等等。這些開發(fā)包都存在著一定的安全漏洞，為此，我們應(yīng)該及時的關(guān)注這些安全包的動態(tài)，及時的采用最新的開發(fā)包，來替代這些存在安全漏洞的開發(fā)包，因為這樣不僅可以彌補(bǔ)一些安全性的漏洞，而且即使最新版還存在一些漏洞，入侵者也難以及時的發(fā)現(xiàn)并加以利用。（二）提高SNMP網(wǎng)絡(luò)配置的安全性當(dāng)前，基于網(wǎng)絡(luò)的攻擊和破壞活動越來越多，網(wǎng)絡(luò)配置的重要性也就凸顯出來，安全的網(wǎng)絡(luò)配置能夠保證SNMP網(wǎng)絡(luò)管理的正常進(jìn)行，保證各網(wǎng)絡(luò)節(jié)點的安全。可以用以下方法來提高SNMP應(yīng)用中網(wǎng)絡(luò)的安全性。1.使用物理隔絕的專網(wǎng)。理論上在

9、物理隔絕的專網(wǎng)中進(jìn)行SNMP網(wǎng)絡(luò)管理是最安全的。外界根本無法訪問專網(wǎng)中的設(shè)備，進(jìn)行攻擊和破壞活動也就無從談起了。2.用SSH代替介Internet登錄遠(yuǎn)程設(shè)備。有時候我們需要登錄到遠(yuǎn)程設(shè)備（交換機(jī)、路由器等）進(jìn)行一些配置，比如說開啟或關(guān)閉SNMP功能，很多人習(xí)慣使用Telnet進(jìn)行遠(yuǎn)程登錄，但是Telnet的數(shù)據(jù)采用明文方式進(jìn)行傳送，用戶名和密碼很容易被人截獲，推薦使用更安全的SSH來代替Telnet。3.關(guān)閉不必要的Set功能。許多情況下，我們只需要對遠(yuǎn)程設(shè)備的性能進(jìn)行監(jiān)測，而不需對其進(jìn)行設(shè)置，這時可以把沒必要的Set功能予以關(guān)閉，只留下有用的Get功能，這樣即使被攻擊，也只會泄露一些信息，

10、而不會對整個系統(tǒng)帶來實質(zhì)性傷害。三、建立安全管理模型通常，管理者，被管設(shè)備就面臨著管理者身份偽裝!管理消息內(nèi)容篡改!管理消息順序改變等安全威脅。為此，需要有身份驗證!管理內(nèi)容完整性校驗以及管理者有效管理權(quán)限等安全保證。SNMP的安全管理模型本文中簡稱為SSM（Security SNMP Management），SSM采用的加密體制，可進(jìn)行多種方式的身份驗證，靈活地為系統(tǒng)管理員提供用戶訪問權(quán)限控制功能。因此，通過將SNMP管理模型轉(zhuǎn)化為SSM對象的操作模型，就可以利用SSM的安全框架來為企業(yè)網(wǎng)中的各種不同版本的SNMP設(shè)備提供管理數(shù)據(jù)的安全性保證。四、總結(jié)安全性對于SNMP網(wǎng)絡(luò)管理系統(tǒng)來說非常重要，我們必須要高度的重視，注重在實際操作中的總結(jié)，靈活運(yùn)用多種方法，切實的提高基于SNMP網(wǎng)絡(luò)管理系統(tǒng)的安全性。參考文獻(xiàn)：1蒲天銀.基于SNMP網(wǎng)絡(luò)管理的研究與應(yīng)用J.煤炭技術(shù),2011,22李信.基于SNMP網(wǎng)絡(luò)管理的研究與應(yīng)用M.北京服裝學(xué)院,2009    你可能感興趣的論文    · 基