孔思豪
摘要:随着泛在电力物联网战略的提出,电网运行的智能化程度逐步提高,与互联网技术的联系也越来越紧密。伴随电网建设的调度数据网及办公网络拥有庞大的网络设备基数,并且网络中存在不同固件版本、甚至不同厂家的设备,这对网络的管理和检修造成了困难。基于此,本文对SNMP协议的网络设备故障定位及自动化管理进行分析和研究,并阐述SNMP协议结构,同时分析SNMP协议及MIB对象访问的风险因素,意在为基于SNMP协议的网络设备管理提供一定的参考。
关键词:SNMP协议;自动化管理;网络设备;故障分析
前言:
21世纪以来,信息技术、互联网以及大数据的发展空间也随之提升,计算机软件工程技术也被良好的推动,且在当前时期背景下,被广泛应用于行业发展和生产中,随着时间的推移,成为社会经济发展重要的组成部分。网络管理中最为常用的管理协议就是SNMP协议,即简单网络管理协议。然而网络设备生产厂商不同,而一旦出现故障仅仅会被相应的厂商进行处理,存在不同的故障定义,从而导致的网络管理在整体上具有一定的混乱行,同时也对网络管理造成了诸多的不便之处。
一、SNMP访问对网络设备的挑战
SNMP的支持系统在网络管理中将会面临新一轮的挑战,其面临的新挑战可以从两个方面阐述。其一,SNMP作为当前是新型的网络远程安全监控的通道,其访问过程会为设备引入新的潜在突破口。其二,SNMP的设计。使用和实现过程中会存在一定的漏洞,这些漏洞会存在被恶意利用的情况,进而攻击网络设备。
(一)存在的安全问题
SNMP对网络设备的访问产生的安全问题可以分为以下几点阐述:
1.安全性存在不足。版本较低的SNMP和v2仅是以团体名为基础,对网络设备进行验证,且信息的传输是以明文形式[1]。尽管当前部分网络管理中使用了SNMPv3访问、安全性能得到了改善,但是大部分网络设备为能够满足兼容性,仍然会提供多种版本,同时,部分管理人员仍在使用版本较低的SNMP协议。
2.配置存在不足。不同网络设备厂商网络设备也存在一定的差异,大部分厂商在设备上都配有缺省的community字段,例如只读团体名public、可读写团体名private,都是常用的缺省名。大部分管理员应用的都是缺省团体名。虽然小部分管理设计了新的团体名,但是其安全强度仍然不足,例如,SNMPv3中,管理为能够有效记忆,提升记忆效率,使用相对较弱的口令。
3.软件自身存在的问题。设备厂家是保障SNMP协议实现的军机处,各个厂家存在差异也会导致SNMP协议存在不同的问题,这些漏洞的存在可能会影响服务质量。导致服务系统拒绝终端和允许攻击者获取设备的访问权限。这种漏洞的存在大可不必使用正确的口令就不能够对设备配置进行修改,当前时期,Microsoft、Sun以及Cisco等著名厂商都发生过网络设备SNMP协议漏洞问题。
4.MIB对象带来的挑战。网络设备中,只读型对象大部分都是MIB对象。其目的是为能够对设备运行状态的信息进行有效的获取[2]。一般来说。MIB能够对只读型对象的访问,进而掌握网络设备的运行状态也可以对用于对设备的故障诊断。部分MIB对象能够读写双型,还有部分对象时只写型,这部分对象可以利用get-request命令对前期进行修改,将这类对象的值进行改变。如果在这部分对象中,修改、添加或是删除指定对象的值,则会对网络设备造成严重影响。
(二)网络设备的攻击途径
网络设备在系统运行中具有重要作用,是网络信息交换的核心,尤其是核心的路由器和交换机,是数据交换的关键通道,SNMP协议的应用能够对网络设备MIB对象的访问实施网络攻击,其攻击途径可以分为以下几点进行阐述:
1.合法伪装NMS。使用SNMP协议与设备中的Agent通信,通过执行get-request命令设置MIB对象值。进而对网络设备进行全面了解。另外,攻击者还可以使用SNMP协议与设备中的Agent通信,通过执行get-request命令设置MIB对象值进而全面控制网络设备。
2.合法的NMS伪装。使用SNMP协议接收设备中Agent所发送的Trap或是Rmon信息,其中的陷阱对应设备中的故障信息,监视是管理者自定义的需要监视的内容和发送的事件。
二、MIB对象的安全性分析方法
在网络设备中,绝大部分的只读型对象都是MIB对象,只读型的MIB对象主要用于对设备运行的状态进行信息读取,通过读取这些MIB值,可以获取网络的某些信息,例如可以通过读取路由器的路由表,可以得知设备的拓扑。对于可写性MIB对象,可以修改设备的功能,例如可以设置路由器的静态路由表,从而影响路由器的功能。MIB对象的安全分析就是逐个对象检测、分析它可能给网络引入的安全威胁
SNMP协议管理的MIB对象,既可以是公用的MIB-2对象,也可以是企业自定义的MIB对象。而在企业自定的MIB对象行,可以是企业公开的MIB对象,如思科发布的最新款MIB对象cisco.v2,也可能是企业非公开的MIB对象。
(一)公开MIB对象的安全分析
公开的MIB对象一般有较为详细的说明文档,包括该MIB对象功能及含义、值的类型、支持的操作等。这些公开的MIB对象,可以对照说明进行分析和测试[3]。下载MIB-2对象以及网络设备对应的MIB文件,逐个分析、测试每个MIB对象的功能。如果是可读对象,則分析该对象可能泄漏的网络信息;如果是可写对象,则分析如何修改对象的值来影响设备功能。
(二)非公开MIB对象的安全检测
企业为能够高校管理设备和实现,可能会定义一些MIB对象而未对外公开。查找一个设备是否有非公开的MIB对象,方式可以分为以下几点进行阐述。1.可读性MIB对象枚举检测。Agent支持所有的MIB对象构成一课MIB数。其中所有可读性MIB对象可以通过get-next-request命令进行遍历,能够使用所有的可读性MIB对象。2.可写型MIB对象测试。一般来说,可写型MIB对象能够用于控制网络设备功能,所以,攻击者可以利用可写型的MIB对象对网络设备进行控制。若是想要了解设备是否具备可写型非公开的MIB对象,就必须要对其进行逐个测试。
结论:
综上所述,SNMP协议通过访问MIB对象实现对设备的管理和控制。但是读写设备的MIB对象可能会对设备造成安隐患,因此,新经济环境背景下,信息技术的应用提高了运维工作的效率;信息技术的全覆盖也为我国生产力发展提供了一定的帮助。但安全是一个不容忽视的问题,包括物理安全和网络安全,在各个层面上(包括硬件、拓扑、协议),这是一个长期工作,要做到同步规划、同步建设、同步实施。通过软件工程的研发与现代化技术应用也进一步保障其系统的安全性以及可靠性,只有注重科学技术、互联网以及信息技术,才能够实现我国的可持续发展。
参考文献
[1]陈召兵.基于Modbus和SNMP协议的集中式通信设备网络管理系统设计[J].工业控制计算机,2018,31(05):28-29.
[2]杨明光,张云飞,高博.基于SNMP协议的网络交换机监测系统设计与实现[J].信息安全与技术,2017,8(2):60-65.
[3]祁骏,王富强,樊婧雯.基于SNMP的通信网络管理系统的设计和实现[J].科学技术创新,2018(2):56-57.