网络技术是从1990年代中期发展起来的新技术,它把互联网上分散的资源融为有机整体,实现资源的全面共享和有机协作,使人们能够透明地使用资源的整体能力并按需获取信息。资源包括高性能计算机、存储资源、数据资源、信息资源、知识资源、专家资源、大型数据库、网络、传感器等。 当前的互联网只限于信息共享,网络则被认为是互联网发展的第三阶段。
本周,CERT发出警告,使用简单
网络管理协议(SNMP)的
网络面临被黑客入侵的威胁,在没有任何征兆的情况下,入侵者可以完全接管你的
网络,控制
网络的通信流,或者扰乱
网络中的正常事务。幸运的是,此问题的解决方案已经公布,虽然实施过程比较单调乏味,不过修补该漏洞的过程还是相当简单的。
SNMP是TCP/IP
网络中标准的管理协议,它允许
网络中的各种设备和软件,包括交换机,路由器,
防火墙,集线器,甚至
操作系统,服务器产品和部件等,能与管理软件通信,汇报其当前的行为和状态。但是,SNMP还能被用于控制这些设备和产品,重定向通信流,改变通信数据包的优先级,甚至断开通信连接。总之,入侵者如果具备相应能力,他就能完全接管您的
网络。
为了保护
网络,您应该完成如下的步骤。首先,为了确保
网络安全,在安装
网络设备和软件供应商提供的相应补丁前,关闭SNMP,要仔细检查
网络中每台运行了SNMP的路由器,交换机,集线器和服务器,以及各个应用软件的SNMP是否关闭。
第二步,在开启SNMP之前,为所有设备和软件的各个部分下载并安装补丁程序。Cisco是制造了85%的
网络硬件设备的供应商,今天它已经承诺会对此漏洞进行修补,另外还有一些供应商已经发布了针对此漏洞的补丁。
第三步,确保防火墙已设置成阻断外网对内网的SNMP访问。一定要注意,可能防火墙也开启了SNMP,因此,还应该确保防火墙也安装了相应补丁程序。为了阻断外网对内网的SNMP访问,SANS Institute建议关闭外网对内网TCP和UDP端口161、162的访问,对Cisco产品来说,还应关闭外网对内网UDP端口1993的访问。如果您的企业在防火墙之外还拥有
网络设备,而这些设备又必须使用SNMP(如英特网路由器),那么要首先确保这些设备都安装了相应补丁。
注意,并不是只有硬件设备才有这类SNMP漏洞。
Windows (不包括XP),Linux,某些版本的Unix,某些邮件服务器和商用服务器,以及一些管理工具包括HP OpenView和 CA Unicenter等也存在这一漏洞。这意味着如果您平常使用的是
网络管理工具监视和控制
网络,那么,在所有设备和应用都安装了针对该漏洞的补丁之前,您可能必须要使用人工对
网络进行监控。
另一方面,如果您能确保防火墙的设置是正确的,而且防火墙本身没有漏洞,那么可能您花费的时间会少一点。但您还应该监控防火墙之后的所有设备和软件以及防火墙本身,要确保您的
网络不是入侵者的目标,还要确保每个可能的英特网接入点都在防火墙的保护之中。
现在是不是就可以松一口气了呢?
这绝对是不行的!对于
网络安全我们时刻都不能放松警惕,解决了一个问题,还有下一个问题等着我们。
网络的神奇作用吸引着越来越多的用户加入其中,正因如此,网络的承受能力也面临着越来越严峻的考验―从硬件上、软件上、所用标准上......,各项技术都需要适时应势,对应发展,这正是网络迅速走向进步的催化剂。
关键词:SNMP漏洞威胁网络安全