本周，CERT發(fā)出警告，使用簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）的網(wǎng)絡(luò)面臨被黑客入侵的威脅，在沒有任何征兆的情況下，入侵者可以完全接管你的網(wǎng)絡(luò)，控制網(wǎng)絡(luò)的通信流，或者擾亂網(wǎng)絡(luò)中的正常事務(wù)。幸運(yùn)的是，此問題的解決方案已經(jīng)公布，雖然實(shí)施過程比較單調(diào)乏味，不過修補(bǔ)該漏洞的過程還是相當(dāng)簡單的。

SNMP是TCP/IP網(wǎng)絡(luò)中標(biāo)準(zhǔn)的管理協(xié)議，它允許網(wǎng)絡(luò)中的各種設(shè)備和軟件，包括交換機(jī)，路由器，防火墻，集線器，甚至操作系統(tǒng)，服務(wù)器產(chǎn)品和部件等，能與管理軟件通信，匯報(bào)其當(dāng)前的行為和狀態(tài)。但是，SNMP還能被用于控制這些設(shè)備和產(chǎn)品，重定向通信流，改變通信數(shù)據(jù)包的優(yōu)先級，甚至斷開通信連接?？傊肭终呷绻邆湎鄳?yīng)能力，他就能完全接管您的網(wǎng)絡(luò)。

為了保護(hù)網(wǎng)絡(luò)，您應(yīng)該完成如下的步驟。首先，為了確保網(wǎng)絡(luò)安全，在安裝網(wǎng)絡(luò)設(shè)備和軟件供應(yīng)商提供的相應(yīng)補(bǔ)丁前，關(guān)閉SNMP，要仔細(xì)檢查網(wǎng)絡(luò)中每臺運(yùn)行了SNMP的路由器，交換機(jī)，集線器和服務(wù)器，以及各個(gè)應(yīng)用軟件的SNMP是否關(guān)閉。

第二步，在開啟SNMP之前，為所有設(shè)備和軟件的各個(gè)部分下載并安裝補(bǔ)丁程序。Cisco是制造了85%的網(wǎng)絡(luò)硬件設(shè)備的供應(yīng)商，今天它已經(jīng)承諾會對此漏洞進(jìn)行修補(bǔ)，另外還有一些供應(yīng)商已經(jīng)發(fā)布了針對此漏洞的補(bǔ)丁。

第三步，確保防火墻已設(shè)置成阻斷外網(wǎng)對內(nèi)網(wǎng)的SNMP訪問。一定要注意，可能防火墻也開啟了SNMP，因此，還應(yīng)該確保防火墻也安裝了相應(yīng)補(bǔ)丁程序。為了阻斷外網(wǎng)對內(nèi)網(wǎng)的SNMP訪問，SANS Institute建議關(guān)閉外網(wǎng)對內(nèi)網(wǎng)TCP和UDP端口161、162的訪問，對Cisco產(chǎn)品來說，還應(yīng)關(guān)閉外網(wǎng)對內(nèi)網(wǎng)UDP端口1993的訪問。如果您的企業(yè)在防火墻之外還擁有網(wǎng)絡(luò)設(shè)備，而這些設(shè)備又必須使用SNMP（如英特網(wǎng)路由器），那么要首先確保這些設(shè)備都安裝了相應(yīng)補(bǔ)丁。

注意，并不是只有硬件設(shè)備才有這類SNMP漏洞。Windows （不包括XP），Linux，某些版本的Unix，某些郵件服務(wù)器和商用服務(wù)器，以及一些管理工具包括HP OpenView和 CA Unicenter等也存在這一漏洞。這意味著如果您平常使用的是網(wǎng)絡(luò)管理工具監(jiān)視和控制網(wǎng)絡(luò)，那么，在所有設(shè)備和應(yīng)用都安裝了針對該漏洞的補(bǔ)丁之前，您可能必須要使用人工對網(wǎng)絡(luò)進(jìn)行監(jiān)控。

另一方面，如果您能確保防火墻的設(shè)置是正確的，而且防火墻本身沒有漏洞，那么可能您花費(fèi)的時(shí)間會少一點(diǎn)。但您還應(yīng)該監(jiān)控防火墻之后的所有設(shè)備和軟件以及防火墻本身，要確保您的網(wǎng)絡(luò)不是入侵者的目標(biāo)，還要確保每個(gè)可能的英特網(wǎng)接入點(diǎn)都在防火墻的保護(hù)之中。

現(xiàn)在是不是就可以松一口氣了呢？

這絕對是不行的！對于網(wǎng)絡(luò)安全我們時(shí)刻都不能放松警惕，解決了一個(gè)問題，還有下一個(gè)問題等著我們。

最新評論