SNMP弱口令防范扫描检测工具.docVIP

SNMP弱口令防范扫描检测工具 　　【摘 要】随着SNMP的大规模使用都是基于v3以下版本，因为明文传输等缺陷也明显存在，造成数据泄露、更改、丢失，存在极大的风险。为解决此问题，通过扫描工具手动设置定期或非定期进行弱口令扫描，在一定程度上提升了安全性，保障了网络系统的安全，但存在一定的操作延缓性和复杂性。因此，我公司不断钻研专业知识，克服重重困难，深入研究公司的网络拓扑真实情况，总结前期的经验和教训，自主研发出了SNMP弱口令自动扫描工具，经过反复测试和实际实验，在很大程度上解决了当前现状存在的缺点，改变IP/IP单地址为段地址扫描，提高扫描效率的同时也提高了工作效率，达到了网络管理的创新。 　　【关键词】SNMP 弱口令 监测 　　1 引言 　　简单网络管理协议是目前最常用的环境管理协议。SNMP是一系列协议组和规范，提供从网络上的设备中收集网络管理信息的技术原理，SNMP同时为设备向网络管理工作站报告问题和错误提供了一种技术支持。目前，网络设备生产厂家基本上都实现了对SNMP的支持，但因SNMP的大规模使用都是基于v3以下的版本，存在明文传输缺点，能够被抓包、嗅探等手段获取数据包，很容易造成数据泄露、更改、丢失等隐患[1]。 　　针对SNMP协议的明文传输特性，当前很多网络主机服务器等设备都采用了扫描工具对其进行针对性的定期或非定期扫描，以消除存在的弱口令等隐患。目前，大多数的SNMP弱口令扫描工具都是基于人工手动设置扫描程序，存在一定的操作迟缓性和复杂性，自主研发出了SNMP弱口令自动扫描工具，能够克服手动扫描的缺点，改变IP/IP单地址为地址段的扫描，扫描提高扫描效率。 　　2 SNMP弱口令防范与检测工具研制 　　弱口令通常认为容易被别人猜测到或被破解工具破解的口令均为弱口令，本身没有严格和准确的定义。常用弱口令例如“0000”、“aaaa”等，指的是仅包含简单数字和字母的口令。这样的口令很容易被别人破解，从而使终端用户的计算机面临风险，所以不推荐用户使用[2]。在SNMP弱口令扫描监测工具中，我们预先设置好可能存在的弱口令，然后对弱口令自动进行SNMP逐条扫描。并将扫描结果通知网络管理人员，方便网络管理人员对极可能存在的弱口令的交换机进行实时的管理和维护。通过弱口令扫描监测工具的使用，在一定程度上防止了SNMP弱口令的产生，也便于网络管理人员统一集中管理认证凭据，及时废弃弱口令密码[2]。如图1所示。 　　工具功能如下： 　　2.1 密码维护 　　在口令维护输入口令，点击+即可将口令添加到口令库中去，密码维护列表数据是可能存在的传统的弱口令的集合。网络运维管理人员可以方便快捷的根据实际的网络拓扑情况对密码快速维护，扫描工具会工具已维护的密码进行弱口令扫描。如图2所示。 　　2.2 添加IP或者IP地址段 　　弱口令扫描监测工具是基于存在的弱口令进行的扫描，在前面我们已经维护好弱口令列表数据了。在实时扫描界面中，输入IP或者IP地址段，点击添加扫描，即可对IP或者地址段进行扫描，扫描结果显示在右边的结果框中。在扫描的过程中我们主要是基于SNMP的弱口令扫描，对局域网所有交换机逐个进行弱口令集合扫描，一旦发现问题，就会及时通知网络运维管理人员。如图3所示。 　　2.3 查看告警记录 　　扫描工具在经过SNMP的快速扫描后，将已存在的弱口令数据展示在界面上，点击扫描记录可以查看被扫描到的SNMP读、写串弱口令的设备。告警的目的是为了提高网络运维管理人员的防范意思，根据实际需要决定是否修改弱口令数据，增强网络安全，保障网络通畅。 　　3 总结与展望 　　自主研发的SNMP弱口令扫描工具很好的解决了网络设备、主机等软硬件的弱口令扫描问题。因扫描工具是通过密码库来匹配SNMP弱口令信息的，故需要先添加密码库之后，再进行IP/IP段扫描。针对密码库的添加，需要做细致周全分析，并且要把每一次扫描结果出来的弱口令添加进去。 　　目前，SNMP弱口令扫描工具是基于v1、v2版本开发的，后期针对v3版本也正在做针对性尝试研发，或升级开发包版本或禁止JVM执行外部命令，尽早发现完善SNMP弱口令扫描工具的功能，实现漏洞的早发现、早处理，降低该漏洞带来的安全风险[2]。 　　那么对于弱口令，我们如何有效防范呢？一般情况下，我们需要培训员工禁止使用简单的字母和数字作为口令密码；同时不使用空口令或者系统缺省的口令；在正常情况下，口令密码由字母、数字和下划线等特殊符号构成，并且长度不少于8个字符；在设置弱口令的时候，更不应该为连续的某个字符货重复某些字符的组合；正常安全口令密码应该为以下四类字符的组合，大写字母（A-Z）、小写字母（a-z）、数字（0-9）和特殊字符。每类字符至少包含一个。如果某类字符只