1、1SNMP 是一个协议用来管理网络上的节点, (包括工作站,路由器,交换机,集线器和其他的外围设备) 。SNMP 是一个应用协议,使用 UDP 封装进行传输。UDP 是一个无连接的传输层协议,在 OSI 模型中为第四层协议,提供简单的可靠的传输服务。SNMP 使网络管理者能够管理网络性能,发现和解决网络问题,规划网络的增长。 当前,定义了三个版本的网络管理协议,SNMP v1,SNMP v2,SNMP v3。SNMP v1,v2 有很多共同的特征,SNMP v3 在先前的版本地基础上增加了 安全和远程配置能力 。为了解决不同版本的兼容性问题,RFC3584 定义了共存策略。SNMP v1 是最
2、初实施 SNMP 协议。SNMPv1 运行在像 UDP,IP,OSI 无连接网络服务(CLNS) ,DDP(AppTalk Datagram-Delivery),IPX(Novell Internet Packet Exchange)之上.SNMPv1 广泛使用成为因特网上实际的网络管理协议。SNMP 是一种简单的 request/response 协议。网络管理系统发出一个请求,被管理设备返回相应。这些行为由四种协议操作组成:Get,GetNext,Set 和 Trap。Get 操作使用 NMS 来获取 agent 的一个或多个对象实例。如果 agent 返回 get 操作不能提供列表所有对
3、象实例的值,就不能提供任何值。GetNext 操作是 NMS 用来从 agent 表中获取表中下一个对象实例。Set 操作 NMS 用来设置 agent 对象实例的值。trap 操作用于 agent 向 NMS 通告有意义的事件。SNMP v2 是 1993 年设计的,是 v1 版的演进版。Get,GetNext 和 Set 操作相同于 SNMPv1。然而,SNMPv2 增加和加强了一些协议操作。在 SNMPv2 中,如果再 get-request 中需要多个请求值,如果有一个不存在,请求照样会被正常执行。而在 SNMPv1 种将响应一个错误消息。在 v1,Trap 消息和其他几个操作消息的
4、PDU 不同。v2 版本简化了 trap 消息,使 trap 和其他的 get 和 set 消息格式相同。SNMPv2 还定义了两个新的协议操作:GetBulk 和 Inform。GetBulk 操作被用于 NMS 高效的获取大量的块数据,如表中一行中的多行(一个 UDP 数据包应答) 。GetBulk 将请求返回的响应消息尽量多的返回。Inform 操作允许一个 NMS 来发送 trap 消息给其他的 NMS,再接收响应。在 SNMPv2,如果 agent 响应 GetBulk 操作不能提供 list 中全部的变量的值,则提供部分的结果。SNMP v2 在安全策略演变时存在多个变种,实际存在
5、多个 SNMP v2 的消息格式。SNMPv2 各个变种之间的不同在于安全的实施。因而各个 SNMP v2 变种之间的 PDU 都有相同的格式,而总的消息格式又都不同。现在,SNMP v3 在前面的版本上增加了安全能力和远程配置能力, SNMPv3 结构为消息安全和VACM(View-based Access Control Model)引入了 USM(User-based Security Model) 。这个结构支持同时使用不同的安全机制,接入控制,消息处理模型。SNMP v3 也引入使用 SNMP SET 命令动态配置SNMP agent 而不失 MIB 对象代表 agent 配置。这些
6、动态配置支持能够增加,删除,修改和配置远程或本地实体。有三个可能的安全级别: noAuthNoPriv, authNoPriv, 和 authPriv.noAuthNoPriv 级别指明了没有认证或私密性被执行 . authNoPriv 级别指明了认证被执行但没有私密性被执行. authPriv 级别指明了认证和私密性都被执行 .auth-认证 支持 MD5 or SHA;priv-加密 支持 DES or RSA;通用的 SNMPv3 消息格式遵循相同的消息封装格式包含一个头和一个被封装 PDU。 头部区域,被分成两个部分,一部分处理安全,和另外一部份与安全无关的部分。与安全无关部分所有的S
7、NMPv3 部分是相同的,而使用安全相关部分被设计成各种的 SNMPv3 安全模型,被 SNMP 内的安全模型处理。SNMPv1 只使用一种安全策略,团体名。团体名和密码相似。Agent 能够被设置回答那些团体名能够被接2受的 Manager 的查询。在很容易让人截取得到团体名或密码。SNMPv2 增加了不少额外的安全。首先所有的包信息除了目的地址,其他都被加密。在加密的数据中包括团体名和源 IP 地址。Agent 能够解开加密包并使用收到的团体名和源 IP 地址使请求有效。SNMPv3 提供三重的安全机制。最高层是认证和私密。中间层提供认证而没有私密和底层没有任何的认证机制和私密SNMPV1
8、,V2 均采用 明文传送,SNMPV3 采用加密传送,也就是说对应 SNMPV1,V2 用抓包工具能在数据包中直接看到团体名。如下团体名为:snmpv2, 显然抓包可以抓到SNMP 协议工作原理以及版本的区别简单网络管理协议(SNMP)是基于 TCP/IP 的网络管理,实际上就是一群标准的集合。 80 年代末期由IETF 开发后,开始被广泛应用在各类网络设备中,成为一种网管的工业标准。SNMP 又称之为管理者和代理之间的通信协议,包括理解 SNMP 的操作、SNMP 信息的格式及如何在应用程序和设备之间交换信息。 更多有关 SNMP 协议的内容可参见 http:/ 为网管界定了管理者(Mana
9、ger)和代理者(Agent,被管理设备) 之间的关系。两者之间的共同点是都运行 TCP/IP 协议。管理者可对管理设备提出效能、配置、和状态等信息的询问,透过要求与回复(request/replay)的简单机制来撷取代理者身上的信息,而两者之间的信息主要是通过 PDU 协议数据单元来载送。SNMP 使用 UDP 作为 IP 的传输层协议。 在实现过程中,管理者会发送一个 PDU 给一个代理者(可以是路由器、交换机、防火墙等可支持网管的设备),代理者收到管理者所发出内含询问信息的 PDU 报文后,再透过 PDU 回传给相关的管理者。在该过程中,代理者基本上只能处于被动的状态,反复进行一问一答的
10、模式,而唯一可由代理者自动发出的只有 Trap 的不定期回报特殊状况信息。 SNMP 协议有两个基本命令模式:read 和 read/write。read 是可以通过 SNMP 协议观察设备配置细节,而使用 read/write 模式可以让管理者有权限修改设备配置。以当前市场流行的大多数被网管的设备为例,如果设备的默认口令没有改变,那么攻击者就可以利用默认的口令得到其配置文件,文件一旦被破解,攻击者就能够对设备进行远程非法的配置,实行攻击。 目前,绝大多数的网络设备和操作系统都可以支持 SNMP,如 D-Link、Cisco、3Com 等等。 3SNMPv3 实现更优管理 目前 SNMP 的发
11、展主要包括三个版本:SNMPv1、SNMPv2 以及最新的 SNMPv3。从市场应用来看,目前大多数厂商普遍支持的版本是 SNMPv1 和 v2,但从安全鉴别机制来看,二者表现较差。而 SNMPv3采用了新的 SNMP 扩展框架,在此架构下,安全性和管理上有很大的提高。在当前的网络设备市场中,D-Link 已经率先推出了支持 SNMPv3 的网络产品,如 DES-3226S、DES-3250TG 交换机等,在安全功能和管理功能上都有良好的表现。 总体来看,SNMPv1 和 v2 版本对用户权力的惟一限制是访问口令,而没有用户和权限分级的概念,只要提供相应的口令,就可以对设备进行 read 或
12、read/write 操作,安全性相对来的薄弱。虽然 SNMPv2 使用了复杂的加密技术,但并没有实现提高安全性能的预期目标,尤其是在身份验证(如用户初始接入时的身份验证、信息完整性的分析、重复操作的预防) 、加密、授权和访问控制、适当的远程安全配置和管理能力等方面。 SNMPv3 是在 SNMPv2 基础之上增加、完善了安全和管理机制。RFC 2271 定义的 SNMPv3 体系结构体现了模块化的设计思想,使管理者可以简单地实现功能的增加和修改。其主要特点在于适应性强,可适用于多种操作环境,不仅可以管理最简单的网络,实现基本的管理功能,还能够提供强大的网络管理功能,满足复杂网络的管理需求。
13、目前,市场上的网络设备尚停留在 SNMPv1/v2 的范畴,并未广泛支持 SNMPv3,如何配置设备的 SNMP服务以确保网络安全、完善管理机制呢?以下几个方面建议或许值得网管人员一试:由于基于SNMPv1/v2 协议本身具有不安全性,所以在管理过程中,如果没有必要,可以不要开启 SNMP 代理程序;可以限制未授权 IP 对 SNMP 的访问,或者改变 SNMP 代理的默认口令,并使用复杂的口令;在后续采购设备中,尽可能选用支持 SNMPv3 的设备产品。 综合 SNMP 的不同版本,显然 SNMPv3 的应用推广势在必行,必然会以突出的优势成为新的应用趋势。一些市场反应敏捷的网络设备制造商已经推出了相关产品。据了解,D-Link 在新一代产品推出时,已将此技术列入基本的协议支持,包括 DES-3226S、DES-3250TG 在内的多款交换机已经率先支持SNMPv3。
