企业新闻
当前位置:企业新闻

H3C对SNMP访问漏洞规避办法的解决方法

来源:未知 时间:2018-08-09 10:12
 

  H3C公司发现了一个和SNMP网管协议相关的漏洞,这个漏洞可能导致远程获取到某些设备信息。

  这个漏洞存在于成都H3C公司应用Comware平台的路由器、交换机等设备上。

  攻击者在猜知设备所用SNMP团体字(Community String)的情况下,通过对特定OID的SNMP访问,可以获取某些设备信息。

  H3C设备在同时满足以下条件的情况下,可能或被攻击者获取设备信息:

  1、H3C设备开启SNMP。

  2、设备SNMP没有通过ACL对访问的NMS进行限制。

  3、SNMP 团体字(Community String)被泄漏,或者采用public/private这类通用团体字。

  4、本机配置密码为明文方式。

  【规避措施/解决方案】

  用户可以通过如下配置来避免受到这个漏洞的影响:

  一、升级SNMP网络管理应用配置

  将所有基于SNMP的网络管理应用都升级到SNMPv3协议版本,并使用认证且加密的安全模型。

  通过配置SNMPv3的VACM(用户访问控制模型)功能来阻止SNMPv1/v2用户访问H3C-USER-MIB。

  如果网络管理应用仍需使用SNMPv1/v2协议版本,建议在配置SNMPv1/v2的团体字的时候避免使用"public"、"private"等常用的,且容易被猜出的单词。

  下面是一个SNMP的配置举例:

  snmp-agent mib-view include readView iso

  snmp-agent mib-view exclude readView h3cUserPassword

  snmp-agent mib-view exclude readView snmpUsmMIB

  snmp-agent mib-view exclude readView snmpVacmMIB

  snmp-agent mib-view include writeView iso

  snmp-agent mib-view exclude writeView h3cUserPassword

  snmp-agent mib-view include notifyView iso

  snmp-agent group v3 testV3ReadGroup read-view readView notify-view notifyView

  snmp-agent usm-user v3 testV3ReadUser testV3ReadGroup

  snmp-agent group v3 testV3WriteGroup read-view readView write-view writeView notify-view notifyView

  snmp-agent usm-user v3 testV3WriteUser testV3WriteGroup

  snmp-agent community read testReadCommunity mib-view readView

  snmp-agent community write testWriteCommunity mib-view writeView

  也可以通过使用ACL来进一步限制SNMP用户访问MIB。

  1)对于SNMPv1/v2协议版本,可以这样配置:

  snmp-agent community write testWriteCommunity mib-view writeView acl

  snmp-agent community read testReadCommunity mib-view readView acl

  2)对于SNMPv3协议版本,可以这样配置:

  snmp-agent group v3 testV3Group privacy read-view readView write-view writeView notify-view notifyView acl

  snmp-agent usm-user v3 testV3User testV3Group authentication-mode sha privacy-mode aes128

  ACL的配置示例如下:

  acl number 2001

  rule 1 permit source 192.168.100.0 0.0.0.255

  rule 1 permit source 192.168.100.1 0

  acl number 2002

  rule 1 permit source 192.168.100.1 0

  二、使用更安全的用户管理方案

  通过使用RADIUS或者TACACS+来替代全部的本地用户帐户,并且关闭SNMP协议。

  关于如何安全使用交换机、路由器等网络设备的安全建议:

  避免使用TFTP、FTP等不支持加密的传输协议来传输包含本地用户信息的配置文件。

  通过调整用户权限管理,限制非管理用户使用可以显示设备运行配置或者查看配置文件内容的命令行,如"display current-configuration"、"more "。


上一篇:思科发布多个高危漏洞补丁,请尽快更新
下一篇:iMC服务器授权变更被驳回的处理方法
电子标识编号:20181009000069

售前客服

售前客服

电话:028-83252151

传真:028-85259033

咨询热线:15378180513
在线客服

免责声明: 本站资料及图片来源互联网文章,本网不承担任何由内容信息所引起的争议和法律责任。所有作品版权归原创作者所有,与本站立场无关,如用户分享不慎侵犯了您的权益,请联系我们告知,我们将做删除处理!