广告：
网页制作参考
千千学园
雨路开发频道
雨路技术文档
技术问答
编程技术

编者按：snmp(simple net-work management protocol)服务又称简单网络管理协议，我们经常用它来解决网络当中的路由器管理问题。在windows操作系统中他又起着代理的作用，它会收集可以向snmp管理站或控制台报告的信息。依靠使用snmp服务来让系统收集数据，并且在整个网络范围内管理基于windows 2000/xp/server 2003操作系统的计算机。非常多的网络管理软件依托在snmp的基础实现管理网络的功能。
默认安装带来安全漏洞
记得有一次在和一位网管聊天的过程中他坚持认为自己windows 2000 server系统是不可能被入侵的。“我已经把ipc＄的连接共享都禁止，入侵者根本无法得到我系统上的账户信息了，保证没有问题。”而经过我检查发现tcp 139和445端口确实被禁止了，但通过扫描器我却发现了一个重大漏洞--udp 161d端口上的snmp。询问管理员后得知是正在试用某公司的网络管理软件。我们知道windows 2000后续的版本都可以通过“添加/删除程序→管理和监视工具”安装上snmp，但在windows系统中选择默认安装是非常不安全的。
默认安装snmp的密码都是一样的。而入侵者从snmp代理服务中会轻易的完成入侵前的准备工作。还有一点提醒各位，snmp的消息是以明文形式发送的，而这些消息很容易被microsoft网络监视器或者sniffer这样的网络分析程序截取并解码。入侵者可以轻易的捕获服务的密码，以获取有关网络资源的重要信息。
获取snmp服务信息非常容易
1．snmputil命令
如果我们知道默认的snmp服务密码，通过resource kit工具包里的snmputil工具可以轻易地通过snmp服务把windows账户罗列出来，以便进行进一步的安全检测。语法如下：snmputil walk .1.3.6.1.4.1.77.1.2.25，例如输入：snmputil walk 192.168.0.1 ××××.1.3.6.1.4.1.77.1.2.25 命令后将得到所有的用户名，如图1所示。
screen.width-300)this.width=screen.width-300 border=0 alt=click to open in new window>

另外通过snmputil getnext可以用来检测 windows 2000 snmp服务内存消耗拒绝服务攻击的缺陷，有兴趣的朋友可以尝试一下。
2．图形界面的ip network browser工具
ip network browser工具是solar winds公司出品的一个检测工具，通过该程序可以对自己的系统了如指掌。而这个工具包中还包括可以向目标系统里的mib写入信息等功能，可以轻易更改系统的配置。
加固snmp服务的方法
由于snmp服务为管理员带来了很多方便，我们也不能为了相对的安全而停止使用该服务，所以对于它的安全防范至关重要，而最简单的方法就是更改服务的密码和针对ip地址提供有效服务。
运行services.msc命令，找到snmp service，右键选择“属性”，切换到“安全”选项卡。修改community strings，也就是 “团体名称”改写，然后添加授权访问地连接地址，如图2所示。
screen.width-300)this.width=screen.width-300 border=0 alt=click to open in new window>

如果是nt的操作系统就要麻烦些，修改下面注册表的键值。
[hkey_local_machine\system\currentcontrolset\services\snmp\parameters\validcommunities ] 中将public改名。
[hkey_local_machine\system\currentcontrolset\services\snmp\parameters\permittedmanagers ] 添加字符串，名称为“1”，内容为授权访问地连接地址。
另外，在入侵者企图利用snmp入侵时，我们可以让系统日志记录入侵信息，windows事件日志中的可用来创建包含这一事件的snmp陷阱，所谓“陷阱”就是snmp 事件转换器的意思。由于篇幅的限制，这里显示出界面，细节内容可以参考“日志与审核”的相关帮助，如图3所示。
screen.width-300)this.width=screen.width-300 border=0 alt=click to open in new window>

加密snmp的通信的方法
除了上述关于主机加固的内容，为了不使用明文形式发送snmp消息。可以利用ip sec策略保护snmp服务的安全。
1. 选择“管理工具→本地安全策略”，右键点击“ip安全策略”，选择“本地计算机→管理ip筛选器列表和筛选器操作”。
2. 选择“管理ip筛选器列表”然后单击“添加”按钮。在“ip筛选器列表”中的名称栏输入“snmp的管理”，去除“添加向导”复选框，然后点“添加”按钮，(一定要选择“镜像。需要选择匹配具有正好相反的源和目标地址的数据包”复选框。)生成策略。
3. 根据需要在“协议”选项卡中配置，协议类型为udp，端口输入161。单击“到此端口”，然后输入161，用同样的方法再次添加162的端口，如图4所示。
screen.width-300)this.width=screen.width-300 border=0 alt=click to open in new window>

总结：在网络管理中，非常小的安全漏洞的疏忽将导致整个系统崩溃，“细心”是要求我们每位管理员必须做到的。同时，值得庆幸的是windows server 2003对于snmp的默认安装作了很大改进，能够抵御到上文提到的所有攻击手段。

（）