基于SNMP協(xié)議的自動(dòng)化故障管理及安全性分析

孔思豪

摘要：隨著泛在電力物聯(lián)網(wǎng)戰(zhàn)略的提出，電網(wǎng)運(yùn)行的智能化程度逐步提高，與互聯(lián)網(wǎng)技術(shù)的聯(lián)系也越來越緊密。伴隨電網(wǎng)建設(shè)的調(diào)度數(shù)據(jù)網(wǎng)及辦公網(wǎng)絡(luò)擁有龐大的網(wǎng)絡(luò)設(shè)備基數(shù)，并且網(wǎng)絡(luò)中存在不同固件版本、甚至不同廠家的設(shè)備，這對(duì)網(wǎng)絡(luò)的管理和檢修造成了困難。基于此，本文對(duì)SNMP協(xié)議的網(wǎng)絡(luò)設(shè)備故障定位及自動(dòng)化管理進(jìn)行分析和研究，并闡述SNMP協(xié)議結(jié)構(gòu)，同時(shí)分析SNMP協(xié)議及MIB對(duì)象訪問的風(fēng)險(xiǎn)因素，意在為基于SNMP協(xié)議的網(wǎng)絡(luò)設(shè)備管理提供一定的參考。

關(guān)鍵詞：SNMP協(xié)議;自動(dòng)化管理;網(wǎng)絡(luò)設(shè)備;故障分析

前言：

21世紀(jì)以來，信息技術(shù)、互聯(lián)網(wǎng)以及大數(shù)據(jù)的發(fā)展空間也隨之提升，計(jì)算機(jī)軟件工程技術(shù)也被良好的推動(dòng)，且在當(dāng)前時(shí)期背景下，被廣泛應(yīng)用于行業(yè)發(fā)展和生產(chǎn)中，隨著時(shí)間的推移，成為社會(huì)經(jīng)濟(jì)發(fā)展重要的組成部分。網(wǎng)絡(luò)管理中最為常用的管理協(xié)議就是SNMP協(xié)議，即簡單網(wǎng)絡(luò)管理協(xié)議。然而網(wǎng)絡(luò)設(shè)備生產(chǎn)廠商不同，而一旦出現(xiàn)故障僅僅會(huì)被相應(yīng)的廠商進(jìn)行處理，存在不同的故障定義，從而導(dǎo)致的網(wǎng)絡(luò)管理在整體上具有一定的混亂行，同時(shí)也對(duì)網(wǎng)絡(luò)管理造成了諸多的不便之處。

一、SNMP訪問對(duì)網(wǎng)絡(luò)設(shè)備的挑戰(zhàn)

SNMP的支持系統(tǒng)在網(wǎng)絡(luò)管理中將會(huì)面臨新一輪的挑戰(zhàn)，其面臨的新挑戰(zhàn)可以從兩個(gè)方面闡述。其一，SNMP作為當(dāng)前是新型的網(wǎng)絡(luò)遠(yuǎn)程安全監(jiān)控的通道，其訪問過程會(huì)為設(shè)備引入新的潛在突破口。其二，SNMP的設(shè)計(jì)。使用和實(shí)現(xiàn)過程中會(huì)存在一定的漏洞，這些漏洞會(huì)存在被惡意利用的情況，進(jìn)而攻擊網(wǎng)絡(luò)設(shè)備。

（一）存在的安全問題

SNMP對(duì)網(wǎng)絡(luò)設(shè)備的訪問產(chǎn)生的安全問題可以分為以下幾點(diǎn)闡述：

1.安全性存在不足。版本較低的SNMP和v2僅是以團(tuán)體名為基礎(chǔ)，對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行驗(yàn)證，且信息的傳輸是以明文形式[1]。盡管當(dāng)前部分網(wǎng)絡(luò)管理中使用了SNMPv3訪問、安全性能得到了改善，但是大部分網(wǎng)絡(luò)設(shè)備為能夠滿足兼容性，仍然會(huì)提供多種版本，同時(shí)，部分管理人員仍在使用版本較低的SNMP協(xié)議。

2.配置存在不足。不同網(wǎng)絡(luò)設(shè)備廠商網(wǎng)絡(luò)設(shè)備也存在一定的差異，大部分廠商在設(shè)備上都配有缺省的community字段，例如只讀團(tuán)體名public、可讀寫團(tuán)體名private，都是常用的缺省名。大部分管理員應(yīng)用的都是缺省團(tuán)體名。雖然小部分管理設(shè)計(jì)了新的團(tuán)體名，但是其安全強(qiáng)度仍然不足，例如，SNMPv3中，管理為能夠有效記憶，提升記憶效率，使用相對(duì)較弱的口令。

3.軟件自身存在的問題。設(shè)備廠家是保障SNMP協(xié)議實(shí)現(xiàn)的軍機(jī)處，各個(gè)廠家存在差異也會(huì)導(dǎo)致SNMP協(xié)議存在不同的問題，這些漏洞的存在可能會(huì)影響服務(wù)質(zhì)量。導(dǎo)致服務(wù)系統(tǒng)拒絕終端和允許攻擊者獲取設(shè)備的訪問權(quán)限。這種漏洞的存在大可不必使用正確的口令就不能夠?qū)υO(shè)備配置進(jìn)行修改，當(dāng)前時(shí)期，Microsoft、Sun以及Cisco等著名廠商都發(fā)生過網(wǎng)絡(luò)設(shè)備SNMP協(xié)議漏洞問題。

4.MIB對(duì)象帶來的挑戰(zhàn)。網(wǎng)絡(luò)設(shè)備中，只讀型對(duì)象大部分都是MIB對(duì)象。其目的是為能夠?qū)υO(shè)備運(yùn)行狀態(tài)的信息進(jìn)行有效的獲取[2]。一般來說。MIB能夠?qū)χ蛔x型對(duì)象的訪問，進(jìn)而掌握網(wǎng)絡(luò)設(shè)備的運(yùn)行狀態(tài)也可以對(duì)用于對(duì)設(shè)備的故障診斷。部分MIB對(duì)象能夠讀寫雙型，還有部分對(duì)象時(shí)只寫型，這部分對(duì)象可以利用get-request命令對(duì)前期進(jìn)行修改，將這類對(duì)象的值進(jìn)行改變。如果在這部分對(duì)象中，修改、添加或是刪除指定對(duì)象的值，則會(huì)對(duì)網(wǎng)絡(luò)設(shè)備造成嚴(yán)重影響。

（二）網(wǎng)絡(luò)設(shè)備的攻擊途徑

網(wǎng)絡(luò)設(shè)備在系統(tǒng)運(yùn)行中具有重要作用，是網(wǎng)絡(luò)信息交換的核心，尤其是核心的路由器和交換機(jī)，是數(shù)據(jù)交換的關(guān)鍵通道，SNMP協(xié)議的應(yīng)用能夠?qū)W(wǎng)絡(luò)設(shè)備MIB對(duì)象的訪問實(shí)施網(wǎng)絡(luò)攻擊，其攻擊途徑可以分為以下幾點(diǎn)進(jìn)行闡述：

1.合法偽裝NMS。使用SNMP協(xié)議與設(shè)備中的Agent通信，通過執(zhí)行g(shù)et-request命令設(shè)置MIB對(duì)象值。進(jìn)而對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行全面了解。另外，攻擊者還可以使用SNMP協(xié)議與設(shè)備中的Agent通信，通過執(zhí)行g(shù)et-request命令設(shè)置MIB對(duì)象值進(jìn)而全面控制網(wǎng)絡(luò)設(shè)備。

2.合法的NMS偽裝。使用SNMP協(xié)議接收設(shè)備中Agent所發(fā)送的Trap或是Rmon信息，其中的陷阱對(duì)應(yīng)設(shè)備中的故障信息，監(jiān)視是管理者自定義的需要監(jiān)視的內(nèi)容和發(fā)送的事件。

二、MIB對(duì)象的安全性分析方法

在網(wǎng)絡(luò)設(shè)備中，絕大部分的只讀型對(duì)象都是MIB對(duì)象，只讀型的MIB對(duì)象主要用于對(duì)設(shè)備運(yùn)行的狀態(tài)進(jìn)行信息讀取，通過讀取這些MIB值，可以獲取網(wǎng)絡(luò)的某些信息，例如可以通過讀取路由器的路由表，可以得知設(shè)備的拓?fù)洹?duì)于可寫性MIB對(duì)象，可以修改設(shè)備的功能，例如可以設(shè)置路由器的靜態(tài)路由表，從而影響路由器的功能。MIB對(duì)象的安全分析就是逐個(gè)對(duì)象檢測(cè)、分析它可能給網(wǎng)絡(luò)引入的安全威脅

SNMP協(xié)議管理的MIB對(duì)象，既可以是公用的MIB-2對(duì)象，也可以是企業(yè)自定義的MIB對(duì)象。而在企業(yè)自定的MIB對(duì)象行，可以是企業(yè)公開的MIB對(duì)象，如思科發(fā)布的最新款MIB對(duì)象cisco.v2，也可能是企業(yè)非公開的MIB對(duì)象。

（一）公開MIB對(duì)象的安全分析

公開的MIB對(duì)象一般有較為詳細(xì)的說明文檔，包括該MIB對(duì)象功能及含義、值的類型、支持的操作等。這些公開的MIB對(duì)象，可以對(duì)照說明進(jìn)行分析和測(cè)試[3]。下載MIB-2對(duì)象以及網(wǎng)絡(luò)設(shè)備對(duì)應(yīng)的MIB文件，逐個(gè)分析、測(cè)試每個(gè)MIB對(duì)象的功能。如果是可讀對(duì)象，則分析該對(duì)象可能泄漏的網(wǎng)絡(luò)信息;如果是可寫對(duì)象，則分析如何修改對(duì)象的值來影響設(shè)備功能。

（二）非公開MIB對(duì)象的安全檢測(cè)

企業(yè)為能夠高校管理設(shè)備和實(shí)現(xiàn)，可能會(huì)定義一些MIB對(duì)象而未對(duì)外公開。查找一個(gè)設(shè)備是否有非公開的MIB對(duì)象，方式可以分為以下幾點(diǎn)進(jìn)行闡述。1.可讀性MIB對(duì)象枚舉檢測(cè)。Agent支持所有的MIB對(duì)象構(gòu)成一課MIB數(shù)。其中所有可讀性MIB對(duì)象可以通過get-next-request命令進(jìn)行遍歷，能夠使用所有的可讀性MIB對(duì)象。2.可寫型MIB對(duì)象測(cè)試。一般來說，可寫型MIB對(duì)象能夠用于控制網(wǎng)絡(luò)設(shè)備功能，所以，攻擊者可以利用可寫型的MIB對(duì)象對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行控制。若是想要了解設(shè)備是否具備可寫型非公開的MIB對(duì)象，就必須要對(duì)其進(jìn)行逐個(gè)測(cè)試。

結(jié)論：

綜上所述，SNMP協(xié)議通過訪問MIB對(duì)象實(shí)現(xiàn)對(duì)設(shè)備的管理和控制。但是讀寫設(shè)備的MIB對(duì)象可能會(huì)對(duì)設(shè)備造成安隱患，因此，新經(jīng)濟(jì)環(huán)境背景下，信息技術(shù)的應(yīng)用提高了運(yùn)維工作的效率;信息技術(shù)的全覆蓋也為我國生產(chǎn)力發(fā)展提供了一定的幫助。但安全是一個(gè)不容忽視的問題，包括物理安全和網(wǎng)絡(luò)安全，在各個(gè)層面上（包括硬件、拓?fù)洹f(xié)議），這是一個(gè)長期工作，要做到同步規(guī)劃、同步建設(shè)、同步實(shí)施。通過軟件工程的研發(fā)與現(xiàn)代化技術(shù)應(yīng)用也進(jìn)一步保障其系統(tǒng)的安全性以及可靠性，只有注重科學(xué)技術(shù)、互聯(lián)網(wǎng)以及信息技術(shù)，才能夠?qū)崿F(xiàn)我國的可持續(xù)發(fā)展。

參考文獻(xiàn)

[1]陳召兵.基于Modbus和SNMP協(xié)議的集中式通信設(shè)備網(wǎng)絡(luò)管理系統(tǒng)設(shè)計(jì)[J].工業(yè)控制計(jì)算機(jī)，2018，31（05）：28-29.

[2]楊明光，張?jiān)骑w，高博.基于SNMP協(xié)議的網(wǎng)絡(luò)交換機(jī)監(jiān)測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].信息安全與技術(shù)，2017，8（2）：60-65.

[3]祁駿，王富強(qiáng)，樊婧雯.基于SNMP的通信網(wǎng)絡(luò)管理系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)[J].科學(xué)技術(shù)創(chuàng)新，2018（2）：56-57.