论坛: 菜鸟乐园 标题: 这个漏洞是什么来的? 复制本贴地址    
作者: lizh_84 [lizh_84]    论坛用户   登录
漏洞 snmp (161/udp)

地主 发表时间: 04-08-21 16:43

回复: zhong [zhong]   见习版主   登录
SNMP是用于监视和管理网络设备的协议,其中消息使用UDP来对SNMP代理和管理器之间进行通信。Cisco IOS SNMP服务在处理特殊SNMP消息时不正确,可引起设备重载。

一般SNMP操作使用161/udp和162/udp端口,另外除了这些知名端口,Cisco IOS使用随机选择的范围在49152及59152/udp之间的UDP端口监听其他类型的SNMP消息。特殊构建的畸形SNMPv1和SNMPv2可触发此漏洞,而且更危险的是任何SNMPv3"恳谈"操作发感到此类端口可引起内存破坏而使设备重载,造成拒绝服务。

受影响系统:
Cisco IOS 12.3 (6)
Cisco IOS 12.3 (5b)
Cisco IOS 12.3 (5a)b
Cisco IOS 12.3 (5a)
Cisco IOS 12.3 (5)
Cisco IOS 12.3 (4)XD1
Cisco IOS 12.3 (4)XD
Cisco IOS 12.3 (4)T3
Cisco IOS 12.3 (4)T2
Cisco IOS 12.3 (4)T1
Cisco IOS 12.3 (4)T
Cisco IOS 12.3 (2)XC2
Cisco IOS 12.3 (2)XC1
Cisco IOS 12.3 (2)T3
Cisco IOS 12.2 (23)
Cisco IOS 12.2 (21a)
Cisco IOS 12.2 (21)
Cisco IOS 12.2 (20)S1
Cisco IOS 12.2 (20)S
Cisco IOS 12.2 (12h)
Cisco IOS 12.2 (12g)
Cisco IOS 12.1(20)EO
Cisco IOS 12.1 (20)EW1
Cisco IOS 12.1 (20)EW
Cisco IOS 12.1 (20)EC1
Cisco IOS 12.1 (20)EC
Cisco IOS 12.1 (20)EA1
Cisco IOS 12.1 (20)E2
Cisco IOS 12.1 (20)E1
Cisco IOS 12.1 (20)E
Cisco IOS 12.0 (27)SV1
Cisco IOS 12.0 (27)SV
Cisco IOS 12.0 (27)S
Cisco IOS 12.0 (26)S1
Cisco IOS 12.0 (24)S5
Cisco IOS 12.0 (24)S4
Cisco IOS 12.0 (23)S5
Cisco IOS 12.0 (23)S4
Cisco ONS 15454 Optical Transport Platform 4.1 (3)
Cisco ONS 15454 Optical Transport Platform 4.1 (2)
Cisco ONS 15454 Optical Transport Platform 4.1 (1)
Cisco ONS 15454 Optical Transport Platform 4.1
Cisco ONS 15454 Optical Transport Platform 4.0 (2)
Cisco ONS 15454 Optical Transport Platform 4.0 (1)
Cisco ONS 15454 Optical Transport Platform 4.0
Cisco ONS 15454 Optical Transport Platform 3.4
Cisco ONS 15454 Optical Transport Platform 3.3
Cisco ONS 15454 Optical Transport Platform 3.2.0
Cisco ONS 15454 Optical Transport Platform 3.1.0
Cisco ONS 15454 Optical Transport Platform 3.0
不受影响系统:
Cisco IOS 12.3 (9)
Cisco IOS 12.3 (7.7)
Cisco IOS 12.3 (7)T
Cisco IOS 12.3 (6a)
Cisco IOS 12.3 (5c)
Cisco IOS 12.3 (5)B1
Cisco IOS 12.3 (4)XQ
Cisco IOS 12.3 (4)XK
Cisco IOS 12.3 (4)XH
Cisco IOS 12.3 (4)XG1
Cisco IOS 12.3 (4)XD2
Cisco IOS 12.3 (4)T4
Cisco IOS 12.3 (4)EO1
Cisco IOS 12.3 (2)XC3
Cisco IOS 12.2 (24)
Cisco IOS 12.2 (23a)
Cisco IOS 12.2 (23.6)
Cisco IOS 12.2 (22)S
Cisco IOS 12.2 (21b)
Cisco IOS 12.2 (20)S2
Cisco IOS 12.2 (12i)
Cisco IOS 12.1 (22)E1
Cisco IOS 12.1 (20)EW2
Cisco IOS 12.1 (20)EC2
Cisco IOS 12.1 (20)EA1a
Cisco IOS 12.1 (20)E3
Cisco IOS 12.0 (27)SV2
Cisco IOS 12.0 (27)S1
Cisco IOS 12.0 (26)S2
Cisco IOS 12.0 (24)S6
Cisco IOS 12.0 (23)S6


B1层 发表时间: 04-08-21 16:46

回复: lizh_84 [lizh_84]   论坛用户   登录
如何把这个SNMP这个漏洞给禁止啊!

B2层 发表时间: 04-08-21 17:14

回复: zhong [zhong]   见习版主   登录
禁止SNMP服务
CNNS建议您禁止所有不必要运行的服务,包括SNMP。不幸的是,有些产品在SNMP服务被禁止的情况下会有意外情况发生或者拒绝服务。如果是这样的话,必须执行更高级的安全设置。

、隔离SNMP包
从网络管理的角度,用隔离措施可以降低SNMP攻击的风险。
包括物理隔离、VLAN逻辑隔离和VPN方式的隔离。注意通过交换机做VLAN隔离将加大攻击者攻击难度,但理论上并不能完全杜绝这类攻击

如何禁止我就不太清楚了!不过可以隔离跟过滤

B3层 发表时间: 04-08-21 17:21

回复: lizh_84 [lizh_84]   论坛用户   登录
过滤可以是禁止一样吧?

B4层 发表时间: 04-08-21 17:34

回复: zhong [zhong]   见习版主   登录
你就试下吧

我是在这里看到资料的 http://www.eci.com.cn/aqltnew/2003040201.htm

[此贴被 稻草人(zhong) 在 08月21日17时38分 编辑过]

B5层 发表时间: 04-08-21 17:36

回复: lizh_84 [lizh_84]   论坛用户   登录
谢谢
你可以教下我如何过滤吗?

B6层 发表时间: 04-08-21 17:38

回复: zhong [zhong]   见习版主   登录


如何保�o系�y避免受�@��漏洞的影��

Trap �c Request ��理的弱�c:
如果不是�^�π枰� SNMP,�P�]它。
��可能在��息�J�C上使用 SNMPv3 的安全模型,�K�� protocol data unit 加密。
假使您必需使用 SNMPv1 或 v2,�_定您用的是�S商最新修正�^的版本。CERT Advisory CA-2002-03 的附�� A 是取得�S商�Y��的好的起�c。
如果不是�^�π枰��耐獠烤W路管理�W路�b置,在�W路入口���^�V SNMP (port 161 TCP/UDP �c 162 TCP/UDP)。
在您的 SNMP 代理系�y上�裥幸灾��C�榛��A(host-based)的存取控制。��管�@功能可能受限於 SNMP 代理者作�I系�y的能力,�s可以控制你的代理者接受�碜院蜗到y的要求。大部分的 UNIX 系�y都可以透�^ TCP-Wrappers 或 Xinetd configuration �_成。以代理者�榛��A(agent-based)的封包�^�V防火��也可以用�碜��喽囵N的 SNMP 要求。
�P於�A�O及易猜�y字串的弱�c:
如果不是�^�π枰� SNMP,�P�]它。
��可能在��息�J�C上使用 SNMPv3 的安全模型,�K�� protocol data unit 加密。
假使您必需使用 SNMPv1 或 v2,在 community names 的�x�裆希�使用和密�a一�拥牟呗浴4_�J它是不容易猜�y或破解的,�K且可以定期更�Q它。
使用 snmpwalk �z查 community names 使之生效。您可以在 http://www.zend.com/manual/function.snmpwalk.php   找到更����的�Y��。http://www.sans.org/newlook/resources/IDFAQ/SNMP.htm 有�@��工具不�e的介�B。
如果不是�^�π枰��耐獠烤W路管理�W路�b置,在�W路入口���^�V SNMP (port 161 TCP/UDP �c 162 TCP/UDP)。
在任何地方,��可能�� MIB �O�槲ㄗx。您可以在 http://www.cisco.com/univercd/cc/td/doc/cisintwk/ito_doc/snmp.htm#xtocid210315   找到更����的�Y��。




[此贴被 稻草人(zhong) 在 08月21日17时48分 编辑过]

B7层 发表时间: 04-08-21 17:46

回复: zhong [zhong]   见习版主   登录
禁用SNMP

  要避免SNMP服务带来的安全风险,最彻底的办法是禁用SNMP。如果你没有用SNMP来管理网络,那就没有必要运行它;如果你不清楚是否有必要运行SNMP,很可能实际上不需要。即使你打算以后使用SNMP,只要现在没有用,也应该先禁用SNMP,直到确实需要使用SNMP时才启用它。

  下面列出了如何在常见的平台上禁用SNMP服务。

  ■ Windows XP和Windows 2000

  在XP和Win 2K中,右击“我的电脑”,选择“管理”。展开“服务和应用程序”、“服务”,从服务的清单中选择SNMP服务,停止该服务。然后打开服务的“属性”对话框,将启动类型该为“禁用”(按照微软的默认设置,Win 2K/XP默认不安装SNMP服务,但许多软件会自动安装该服务)。

  ■ Windows NT 4.0

  选择“开始”→“设置”,打开服务设置程序,在服务清单中选择SNMP服务,停止该服务,然后将它的启动类型该为禁用。

  ■ Windows 9x

  打开控制面板的网络设置程序,在“配置”页中,从已安装的组件清单中选择“Microsoft SNMP代理”,点击“删除”。检查HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices和HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\Run注册键,确认不存在snmp.exe。

  ■ Cisco Systems硬件

  对于Cisco的网络硬件,执行“no SNMP-server”命令禁用SNMP服务。如果要检查SNMP是否关闭,可执行“show SNMP”命令。这些命令只适用于运行Cisco IOS的平台;对于非IOS的Cisco设备,请参考随机文档。

  ■ HP硬件

  对于所有使用JetDirect卡(绝大部分HP网络打印机都使用它)的HP网络设备,用telnet连接到JetDirect卡的IP地址,然后执行下面的命令:

SNMP-config: 0
quit


  这些命令将关闭设备的SNMP服务。但必须注意的是,禁用SNMP服务会影响服务的发现操作以及利用SNMP获取设备状态的端口监视机制。

  ■ Red Hat Linux

  对于Red Hat Linux,可以用Linuxconf工具从自动启动的服务清单中删除SNMP,或者直接从/etc/services文件删除启动SNMP的行。对于其他Linux系统,操作方法应该也相似。

  三、保障SNMP的安全

  如果某些设备确实有必要运行SNMP,则必须保障这些设备的安全。首先要做的是确定哪些设备正在运行SNMP服务。除非定期对整个网络进行端口扫描,全面掌握各台机器、设备上运行的服务,否则的话,很有可能遗漏一、二个SNMP服务。特别需要注意的是,网络交换机、打印机之类的设备同样也会运行SNMP服务。确定SNMP服务的运行情况后,再采取下面的措施保障服务安全。

  ■ 加载SNMP服务的补丁

  安装SNMP服务的补丁,将SNMP服务升级到2.0或更高的版本。联系设备的制造商,了解有关安全漏洞和升级补丁的情况。

  ■ 保护SNMP通信字符串

  一个很重要的保护措施是修改所有默认的通信字符串。根据设备文档的说明,逐一检查、修改各个标准的、非标准的通信字符串,不要遗漏任何一项,必要时可以联系制造商获取详细的说明。

  ■ 过滤SNMP

  另一个可以采用的保护措施是在网络边界上过滤SNMP通信和请求,即在防火墙或边界路由器上,阻塞SNMP请求使用的端口。标准的SNMP服务使用161和162端口,厂商私有的实现一般使用199、391、705和1993端口。禁用这些端口通信后,外部网络访问内部网络的能力就受到了限制;另外,在内部网络的路由器上,应该编写一个ACL,只允许某个特定的可信任的SNMP管理系统操作SNMP。例如,下面的ACL只允许来自(或者走向)SNMP管理系统的SNMP通信,限制网络上的所有其他SNMP通信:

access-list 100 permit ip host w.x.y any
access-list 100 deny udp any any eq snmp
access-list 100 deny udp any any eq snmptrap
access-list 100 permit ip any any


  这个ACL的第一行定义了可信任管理系统(w.x.y)。利用下面的命令可以将上述ACL应用到所有网络接口:

interface serial 0
ip access-group 100 in


B8层 发表时间: 04-08-21 17:48

回复: lizh_84 [lizh_84]   论坛用户   登录
这位大哥
多谢了

B9层 发表时间: 04-08-22 09:49

回复: NickJ [jiangxiao]   论坛用户   登录
呵呵 不错嘛...我对这个不是很懂...嘿嘿学到不少

B10层 发表时间: 04-08-22 11:15

论坛: 菜鸟乐园

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号