基于SNMP協(xié)議的自動化故障管理及安全性分析

孔思豪

摘要：隨著泛在電力物聯(lián)網(wǎng)戰(zhàn)略的提出，電網(wǎng)運行的智能化程度逐步提高，與互聯(lián)網(wǎng)技術(shù)的聯(lián)系也越來越緊密。伴隨電網(wǎng)建設(shè)的調(diào)度數(shù)據(jù)網(wǎng)及辦公網(wǎng)絡(luò)擁有龐大的網(wǎng)絡(luò)設(shè)備基數(shù)，并且網(wǎng)絡(luò)中存在不同固件版本、甚至不同廠家的設(shè)備，這對網(wǎng)絡(luò)的管理和檢修造成了困難?；诖?，本文對SNMP協(xié)議的網(wǎng)絡(luò)設(shè)備故障定位及自動化管理進行分析和研究，并闡述SNMP協(xié)議結(jié)構(gòu)，同時分析SNMP協(xié)議及MIB對象訪問的風(fēng)險因素，意在為基于SNMP協(xié)議的網(wǎng)絡(luò)設(shè)備管理提供一定的參考。

關(guān)鍵詞：SNMP協(xié)議;自動化管理;網(wǎng)絡(luò)設(shè)備;故障分析

前言：

21世紀(jì)以來，信息技術(shù)、互聯(lián)網(wǎng)以及大數(shù)據(jù)的發(fā)展空間也隨之提升，計算機軟件工程技術(shù)也被良好的推動，且在當(dāng)前時期背景下，被廣泛應(yīng)用于行業(yè)發(fā)展和生產(chǎn)中，隨著時間的推移，成為社會經(jīng)濟發(fā)展重要的組成部分。網(wǎng)絡(luò)管理中最為常用的管理協(xié)議就是SNMP協(xié)議，即簡單網(wǎng)絡(luò)管理協(xié)議。然而網(wǎng)絡(luò)設(shè)備生產(chǎn)廠商不同，而一旦出現(xiàn)故障僅僅會被相應(yīng)的廠商進行處理，存在不同的故障定義，從而導(dǎo)致的網(wǎng)絡(luò)管理在整體上具有一定的混亂行，同時也對網(wǎng)絡(luò)管理造成了諸多的不便之處。

一、SNMP訪問對網(wǎng)絡(luò)設(shè)備的挑戰(zhàn)

SNMP的支持系統(tǒng)在網(wǎng)絡(luò)管理中將會面臨新一輪的挑戰(zhàn)，其面臨的新挑戰(zhàn)可以從兩個方面闡述。其一，SNMP作為當(dāng)前是新型的網(wǎng)絡(luò)遠程安全監(jiān)控的通道，其訪問過程會為設(shè)備引入新的潛在突破口。其二，SNMP的設(shè)計。使用和實現(xiàn)過程中會存在一定的漏洞，這些漏洞會存在被惡意利用的情況，進而攻擊網(wǎng)絡(luò)設(shè)備。

（一）存在的安全問題

SNMP對網(wǎng)絡(luò)設(shè)備的訪問產(chǎn)生的安全問題可以分為以下幾點闡述：

1.安全性存在不足。版本較低的SNMP和v2僅是以團體名為基礎(chǔ)，對網(wǎng)絡(luò)設(shè)備進行驗證，且信息的傳輸是以明文形式[1]。盡管當(dāng)前部分網(wǎng)絡(luò)管理中使用了SNMPv3訪問、安全性能得到了改善，但是大部分網(wǎng)絡(luò)設(shè)備為能夠滿足兼容性，仍然會提供多種版本，同時，部分管理人員仍在使用版本較低的SNMP協(xié)議。

2.配置存在不足。不同網(wǎng)絡(luò)設(shè)備廠商網(wǎng)絡(luò)設(shè)備也存在一定的差異，大部分廠商在設(shè)備上都配有缺省的community字段，例如只讀團體名public、可讀寫團體名private，都是常用的缺省名。大部分管理員應(yīng)用的都是缺省團體名。雖然小部分管理設(shè)計了新的團體名，但是其安全強度仍然不足，例如，SNMPv3中，管理為能夠有效記憶，提升記憶效率，使用相對較弱的口令。

3.軟件自身存在的問題。設(shè)備廠家是保障SNMP協(xié)議實現(xiàn)的軍機處，各個廠家存在差異也會導(dǎo)致SNMP協(xié)議存在不同的問題，這些漏洞的存在可能會影響服務(wù)質(zhì)量。導(dǎo)致服務(wù)系統(tǒng)拒絕終端和允許攻擊者獲取設(shè)備的訪問權(quán)限。這種漏洞的存在大可不必使用正確的口令就不能夠?qū)υO(shè)備配置進行修改，當(dāng)前時期，Microsoft、Sun以及Cisco等著名廠商都發(fā)生過網(wǎng)絡(luò)設(shè)備SNMP協(xié)議漏洞問題。

4.MIB對象帶來的挑戰(zhàn)。網(wǎng)絡(luò)設(shè)備中，只讀型對象大部分都是MIB對象。其目的是為能夠?qū)υO(shè)備運行狀態(tài)的信息進行有效的獲取[2]。一般來說。MIB能夠?qū)χ蛔x型對象的訪問，進而掌握網(wǎng)絡(luò)設(shè)備的運行狀態(tài)也可以對用于對設(shè)備的故障診斷。部分MIB對象能夠讀寫雙型，還有部分對象時只寫型，這部分對象可以利用get-request命令對前期進行修改，將這類對象的值進行改變。如果在這部分對象中，修改、添加或是刪除指定對象的值，則會對網(wǎng)絡(luò)設(shè)備造成嚴(yán)重影響。

（二）網(wǎng)絡(luò)設(shè)備的攻擊途徑

網(wǎng)絡(luò)設(shè)備在系統(tǒng)運行中具有重要作用，是網(wǎng)絡(luò)信息交換的核心，尤其是核心的路由器和交換機，是數(shù)據(jù)交換的關(guān)鍵通道，SNMP協(xié)議的應(yīng)用能夠?qū)W(wǎng)絡(luò)設(shè)備MIB對象的訪問實施網(wǎng)絡(luò)攻擊，其攻擊途徑可以分為以下幾點進行闡述：

1.合法偽裝NMS。使用SNMP協(xié)議與設(shè)備中的Agent通信，通過執(zhí)行g(shù)et-request命令設(shè)置MIB對象值。進而對網(wǎng)絡(luò)設(shè)備進行全面了解。另外，攻擊者還可以使用SNMP協(xié)議與設(shè)備中的Agent通信，通過執(zhí)行g(shù)et-request命令設(shè)置MIB對象值進而全面控制網(wǎng)絡(luò)設(shè)備。

2.合法的NMS偽裝。使用SNMP協(xié)議接收設(shè)備中Agent所發(fā)送的Trap或是Rmon信息，其中的陷阱對應(yīng)設(shè)備中的故障信息，監(jiān)視是管理者自定義的需要監(jiān)視的內(nèi)容和發(fā)送的事件。

二、MIB對象的安全性分析方法

在網(wǎng)絡(luò)設(shè)備中，絕大部分的只讀型對象都是MIB對象，只讀型的MIB對象主要用于對設(shè)備運行的狀態(tài)進行信息讀取，通過讀取這些MIB值，可以獲取網(wǎng)絡(luò)的某些信息，例如可以通過讀取路由器的路由表，可以得知設(shè)備的拓?fù)洹τ诳蓪懶訫IB對象，可以修改設(shè)備的功能，例如可以設(shè)置路由器的靜態(tài)路由表，從而影響路由器的功能。MIB對象的安全分析就是逐個對象檢測、分析它可能給網(wǎng)絡(luò)引入的安全威脅

SNMP協(xié)議管理的MIB對象，既可以是公用的MIB-2對象，也可以是企業(yè)自定義的MIB對象。而在企業(yè)自定的MIB對象行，可以是企業(yè)公開的MIB對象，如思科發(fā)布的最新款MIB對象cisco.v2，也可能是企業(yè)非公開的MIB對象。

（一）公開MIB對象的安全分析

公開的MIB對象一般有較為詳細的說明文檔，包括該MIB對象功能及含義、值的類型、支持的操作等。這些公開的MIB對象，可以對照說明進行分析和測試[3]。下載MIB-2對象以及網(wǎng)絡(luò)設(shè)備對應(yīng)的MIB文件，逐個分析、測試每個MIB對象的功能。如果是可讀對象，則分析該對象可能泄漏的網(wǎng)絡(luò)信息;如果是可寫對象，則分析如何修改對象的值來影響設(shè)備功能。

（二）非公開MIB對象的安全檢測

企業(yè)為能夠高校管理設(shè)備和實現(xiàn)，可能會定義一些MIB對象而未對外公開。查找一個設(shè)備是否有非公開的MIB對象，方式可以分為以下幾點進行闡述。1.可讀性MIB對象枚舉檢測。Agent支持所有的MIB對象構(gòu)成一課MIB數(shù)。其中所有可讀性MIB對象可以通過get-next-request命令進行遍歷，能夠使用所有的可讀性MIB對象。2.可寫型MIB對象測試。一般來說，可寫型MIB對象能夠用于控制網(wǎng)絡(luò)設(shè)備功能，所以，攻擊者可以利用可寫型的MIB對象對網(wǎng)絡(luò)設(shè)備進行控制。若是想要了解設(shè)備是否具備可寫型非公開的MIB對象，就必須要對其進行逐個測試。

結(jié)論：

綜上所述，SNMP協(xié)議通過訪問MIB對象實現(xiàn)對設(shè)備的管理和控制。但是讀寫設(shè)備的MIB對象可能會對設(shè)備造成安隱患，因此，新經(jīng)濟環(huán)境背景下，信息技術(shù)的應(yīng)用提高了運維工作的效率;信息技術(shù)的全覆蓋也為我國生產(chǎn)力發(fā)展提供了一定的幫助。但安全是一個不容忽視的問題，包括物理安全和網(wǎng)絡(luò)安全，在各個層面上（包括硬件、拓?fù)?、協(xié)議），這是一個長期工作，要做到同步規(guī)劃、同步建設(shè)、同步實施。通過軟件工程的研發(fā)與現(xiàn)代化技術(shù)應(yīng)用也進一步保障其系統(tǒng)的安全性以及可靠性，只有注重科學(xué)技術(shù)、互聯(lián)網(wǎng)以及信息技術(shù)，才能夠?qū)崿F(xiàn)我國的可持續(xù)發(fā)展。

參考文獻

[1]陳召兵.基于Modbus和SNMP協(xié)議的集中式通信設(shè)備網(wǎng)絡(luò)管理系統(tǒng)設(shè)計[J].工業(yè)控制計算機，2018，31（05）：28-29.

[2]楊明光，張云飛，高博.基于SNMP協(xié)議的網(wǎng)絡(luò)交換機監(jiān)測系統(tǒng)設(shè)計與實現(xiàn)[J].信息安全與技術(shù)，2017，8（2）：60-65.

[3]祁駿，王富強，樊婧雯.基于SNMP的通信網(wǎng)絡(luò)管理系統(tǒng)的設(shè)計和實現(xiàn)[J].科學(xué)技術(shù)創(chuàng)新，2018（2）：56-57.