SNMP漏洞威胁网络安全

本周，CERT发出警告，使用简单网络管理协议（SNMP）的网络面临被黑客入侵的威胁，在没有任何征兆的情况下，入侵者可以完全接管你的网络，控制网络的通信流，或者扰乱网络中的正常事务。幸运的是，此问题的解决方案已经公布，虽然实施过程比较单调乏味，不过修补该漏洞的过程还是相当简单的。

SNMP是TCP/IP网络中标准的管理协议，它允许网络中的各种设备和软件，包括交换机，路由器，防火墙，集线器，甚至操作系统，服务器产品和部件等，能与管理软件通信，汇报其当前的行为和状态。但是，SNMP还能被用于控制这些设备和产品，重定向通信流，改变通信数据包的优先级，甚至断开通信连接。总之，入侵者如果具备相应能力，他就能完全接管您的网络。

为了保护网络，您应该完成如下的步骤。首先，为了确保网络安全，在安装网络设备和软件供应商提供的相应补丁前，关闭SNMP，要仔细检查网络中每台运行了SNMP的路由器，交换机，集线器和服务器，以及各个应用软件的SNMP是否关闭。

第二步，在开启SNMP之前，为所有设备和软件的各个部分下载并安装补丁程序。Cisco是制造了85%的网络硬件设备的供应商，今天它已经承诺会对此漏洞进行修补，另外还有一些供应商已经发布了针对此漏洞的补丁。

第三步，确保防火墙已设置成阻断外网对内网的SNMP访问。一定要注意，可能防火墙也开启了SNMP，因此，还应该确保防火墙也安装了相应补丁程序。为了阻断外网对内网的SNMP访问，SANS Institute建议关闭外网对内网TCP和UDP端口161、162的访问，对Cisco产品来说，还应关闭外网对内网UDP端口1993的访问。如果您的企业在防火墙之外还拥有网络设备，而这些设备又必须使用SNMP（如英特网路由器），那么要首先确保这些设备都安装了相应补丁。

注意，并不是只有硬件设备才有这类SNMP漏洞。Windows （不包括XP），Linux，某些版本的Unix，某些邮件服务器和商用服务器，以及一些管理工具包括HP OpenView和 CA Unicenter等也存在这一漏洞。这意味着如果您平常使用的是网络管理工具监视和控制网络，那么，在所有设备和应用都安装了针对该漏洞的补丁之前，您可能必须要使用人工对网络进行监控。

另一方面，如果您能确保防火墙的设置是正确的，而且防火墙本身没有漏洞，那么可能您花费的时间会少一点。但您还应该监控防火墙之后的所有设备和软件以及防火墙本身，要确保您的网络不是入侵者的目标，还要确保每个可能的英特网接入点都在防火墙的保护之中。

现在是不是就可以松一口气了呢？

这绝对是不行的！对于网络安全我们时刻都不能放松警惕，解决了一个问题，还有下一个问题等着我们。