周坤++劉昌界++魯美艷

【摘 要】隨著SNMP的大規(guī)模使用都是基于v3以下版本，因?yàn)槊魑膫鬏數(shù)热毕菀裁黠@存在，造成數(shù)據(jù)泄露、更改、丟失，存在極大的風(fēng)險(xiǎn)。為解決此問(wèn)題，通過(guò)掃描工具手動(dòng)設(shè)置定期或非定期進(jìn)行弱口令掃描，在一定程度上提升了安全性，保障了網(wǎng)絡(luò)系統(tǒng)的安全，但存在一定的操作延緩性和復(fù)雜性。因此，我公司不斷鉆研專(zhuān)業(yè)知識(shí)，克服重重困難，深入研究公司的網(wǎng)絡(luò)拓?fù)湔鎸?shí)情況，總結(jié)前期的經(jīng)驗(yàn)和教訓(xùn)，自主研發(fā)出了SNMP弱口令自動(dòng)掃描工具，經(jīng)過(guò)反復(fù)測(cè)試和實(shí)際實(shí)驗(yàn)，在很大程度上解決了當(dāng)前現(xiàn)狀存在的缺點(diǎn)，改變IP/IP單地址為段地址掃描，提高掃描效率的同時(shí)也提高了工作效率，達(dá)到了網(wǎng)絡(luò)管理的創(chuàng)新。

【關(guān)鍵詞】SNMP 弱口令 監(jiān)測(cè)

1 引言

簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議是目前最常用的環(huán)境管理協(xié)議。SNMP是一系列協(xié)議組和規(guī)范，提供從網(wǎng)絡(luò)上的設(shè)備中收集網(wǎng)絡(luò)管理信息的技術(shù)原理，SNMP同時(shí)為設(shè)備向網(wǎng)絡(luò)管理工作站報(bào)告問(wèn)題和錯(cuò)誤提供了一種技術(shù)支持。目前，網(wǎng)絡(luò)設(shè)備生產(chǎn)廠家基本上都實(shí)現(xiàn)了對(duì)SNMP的支持，但因SNMP的大規(guī)模使用都是基于v3以下的版本，存在明文傳輸缺點(diǎn)，能夠被抓包、嗅探等手段獲取數(shù)據(jù)包，很容易造成數(shù)據(jù)泄露、更改、丟失等隱患[1]。

針對(duì)SNMP協(xié)議的明文傳輸特性，當(dāng)前很多網(wǎng)絡(luò)主機(jī)服務(wù)器等設(shè)備都采用了掃描工具對(duì)其進(jìn)行針對(duì)性的定期或非定期掃描，以消除存在的弱口令等隱患。目前，大多數(shù)的SNMP弱口令掃描工具都是基于人工手動(dòng)設(shè)置掃描程序，存在一定的操作遲緩性和復(fù)雜性，自主研發(fā)出了SNMP弱口令自動(dòng)掃描工具，能夠克服手動(dòng)掃描的缺點(diǎn)，改變IP/IP單地址為地址段的掃描，掃描提高掃描效率。

2 SNMP弱口令防范與檢測(cè)工具研制

弱口令通常認(rèn)為容易被別人猜測(cè)到或被破解工具破解的口令均為弱口令，本身沒(méi)有嚴(yán)格和準(zhǔn)確的定義。常用弱口令例如“0000”、“aaaa”等，指的是僅包含簡(jiǎn)單數(shù)字和字母的口令。這樣的口令很容易被別人破解，從而使終端用戶的計(jì)算機(jī)面臨風(fēng)險(xiǎn)，所以不推薦用戶使用[2]。在SNMP弱口令掃描監(jiān)測(cè)工具中，我們預(yù)先設(shè)置好可能存在的弱口令，然后對(duì)弱口令自動(dòng)進(jìn)行SNMP逐條掃描。并將掃描結(jié)果通知網(wǎng)絡(luò)管理人員，方便網(wǎng)絡(luò)管理人員對(duì)極可能存在的弱口令的交換機(jī)進(jìn)行實(shí)時(shí)的管理和維護(hù)。通過(guò)弱口令掃描監(jiān)測(cè)工具的使用，在一定程度上防止了SNMP弱口令的產(chǎn)生，也便于網(wǎng)絡(luò)管理人員統(tǒng)一集中管理認(rèn)證憑據(jù)，及時(shí)廢棄弱口令密碼[2]。如圖1所示。

工具功能如下：

2.1 密碼維護(hù)

在口令維護(hù)輸入口令，點(diǎn)擊+即可將口令添加到口令庫(kù)中去，密碼維護(hù)列表數(shù)據(jù)是可能存在的傳統(tǒng)的弱口令的集合。網(wǎng)絡(luò)運(yùn)維管理人員可以方便快捷的根據(jù)實(shí)際的網(wǎng)絡(luò)拓?fù)淝闆r對(duì)密碼快速維護(hù)，掃描工具會(huì)工具已維護(hù)的密碼進(jìn)行弱口令掃描。如圖2所示。

2.2 添加IP或者IP地址段

弱口令掃描監(jiān)測(cè)工具是基于存在的弱口令進(jìn)行的掃描，在前面我們已經(jīng)維護(hù)好弱口令列表數(shù)據(jù)了。在實(shí)時(shí)掃描界面中，輸入IP或者IP地址段，點(diǎn)擊添加掃描，即可對(duì)IP或者地址段進(jìn)行掃描，掃描結(jié)果顯示在右邊的結(jié)果框中。在掃描的過(guò)程中我們主要是基于SNMP的弱口令掃描，對(duì)局域網(wǎng)所有交換機(jī)逐個(gè)進(jìn)行弱口令集合掃描，一旦發(fā)現(xiàn)問(wèn)題，就會(huì)及時(shí)通知網(wǎng)絡(luò)運(yùn)維管理人員。如圖3所示。

2.3 查看告警記錄

掃描工具在經(jīng)過(guò)SNMP的快速掃描后，將已存在的弱口令數(shù)據(jù)展示在界面上，點(diǎn)擊掃描記錄可以查看被掃描到的SNMP讀、寫(xiě)串弱口令的設(shè)備。告警的目的是為了提高網(wǎng)絡(luò)運(yùn)維管理人員的防范意思，根據(jù)實(shí)際需要決定是否修改弱口令數(shù)據(jù)，增強(qiáng)網(wǎng)絡(luò)安全，保障網(wǎng)絡(luò)通暢。

3 總結(jié)與展望

自主研發(fā)的SNMP弱口令掃描工具很好的解決了網(wǎng)絡(luò)設(shè)備、主機(jī)等軟硬件的弱口令掃描問(wèn)題。因掃描工具是通過(guò)密碼庫(kù)來(lái)匹配SNMP弱口令信息的，故需要先添加密碼庫(kù)之后，再進(jìn)行IP/IP段掃描。針對(duì)密碼庫(kù)的添加，需要做細(xì)致周全分析，并且要把每一次掃描結(jié)果出來(lái)的弱口令添加進(jìn)去。

目前，SNMP弱口令掃描工具是基于v1、v2版本開(kāi)發(fā)的，后期針對(duì)v3版本也正在做針對(duì)性嘗試研發(fā)，或升級(jí)開(kāi)發(fā)包版本或禁止JVM執(zhí)行外部命令，盡早發(fā)現(xiàn)完善SNMP弱口令掃描工具的功能，實(shí)現(xiàn)漏洞的早發(fā)現(xiàn)、早處理，降低該漏洞帶來(lái)的安全風(fēng)險(xiǎn)[2]。

那么對(duì)于弱口令，我們?nèi)绾斡行Х婪赌?？一般情況下，我們需要培訓(xùn)員工禁止使用簡(jiǎn)單的字母和數(shù)字作為口令密碼；同時(shí)不使用空口令或者系統(tǒng)缺省的口令；在正常情況下，口令密碼由字母、數(shù)字和下劃線等特殊符號(hào)構(gòu)成，并且長(zhǎng)度不少于8個(gè)字符；在設(shè)置弱口令的時(shí)候，更不應(yīng)該為連續(xù)的某個(gè)字符貨重復(fù)某些字符的組合；正常安全口令密碼應(yīng)該為以下四類(lèi)字符的組合，大寫(xiě)字母（A-Z）、小寫(xiě)字母（a-z）、數(shù)字（0-9）和特殊字符。每類(lèi)字符至少包含一個(gè)。如果某類(lèi)字符只包含一個(gè)，那么該字符不應(yīng)為首字符或尾字符；口令不應(yīng)該為用數(shù)字或符號(hào)代替某些字母的單詞；定期更換一次口令，防止未被發(fā)現(xiàn)的入侵者繼續(xù)使用該口令。

參考文獻(xiàn)

[1]李紅友.網(wǎng)絡(luò)弱口令的防范與應(yīng)用[J].湖北電力，2010（2）.

[2]肖明斌.基于SNMP的智能變電站交換機(jī)運(yùn)行狀態(tài)監(jiān)測(cè)[J].電力信息與通信技術(shù)，2015（10）.

[3]夏福成，弱口令，杜不絕的難題的可行性應(yīng)用研究[J].江蘇通信技術(shù)，2013（6）.