SNMP：网络设备管理协议存在的安全问题

2023-11-04 理论教育版权反馈

【摘要】：正是由于有了上述这些特点，SNMP已经被认为是网络设备厂商、应用软件开发者及终端用户的首选管理协议。但目前SNMP中基于分区的身份验证模型被认为是很不牢靠的，存在一个严重的安全问题。只需使用一个数据包捕获工具就可把整个SNMP数据包解密，这样分区名就暴露无遗。不过这样做有一个副作用，就是只能监控数据对象的值而不能改动它们，从而限制了SNMP的可用性。

SNMP是简单网络管理协议Simple Network Management Protocol的英文缩写，它是由Internet工程任务组织（Internet Engineering Task Force）的研究小组为了解决Internet上的路由器管理问题而提出的。SNMP不但提供了一种从网络上的设备中收集网络管理信息的方法，也为设备向网络管理中心报告问题和错误提供了一种方法。

SNMP为网络管理系统提供了底层网络管理的框架。SNMP的应用范围非常广泛，诸多种类的网络设备、软件和系统中都有所采用，主要是因为SNMP有如下几个特点。

（1）相对于其他种类的网络管理体系或管理协议而言，SNMP易于实现。SNMP的管理协议、管理信息数据库（MIB）及其他相关的体系框架能够在各种不同类型的设备上运行，包括低档的个人电脑到高档的大型主机、服务器、路由器、交换器等网络设备。一个SNMP管理代理组件在运行时不需要很大的内存空间，因此也就不需要太强的计算能力。SNMP一般可以在目标系统中快速开发出来，所以它很容易在面市的新产品或升级的老产品中出现。尽管SNMP缺少其他网络管理协议的某些优点，但它设计简单、扩展灵活、易于使用，这些特点大大弥补了SNMP应用中的其他不足。

（2）SNMP是开放的免费产品。只有经过IETF的标准议程批准（IETF是IAB下设的一个组织），才可以改动SNMP；厂商们也可以私下改动SNMP，但这样做的结果很可能得不偿失，因为他们必须说服其他厂商和用户支持他们对SNMP的非标准改进，而这样做却有悖于他们的初衷。

（3）SNMP有很多详细的文档资料，网络业界对这个协议也有着较深入的理解，这些都是SNMP协议进一步发展和改进的基础。(www.chuimin.cn)

（4）SNMP可用于控制各种设备，如电话系统、环境控制设备，以及其他可接入网络且需要控制的设备等，这些非传统装备都可以使用SNMP协议。

正是由于有了上述这些特点，SNMP已经被认为是网络设备厂商、应用软件开发者及终端用户的首选管理协议。

SNMP是一种无连接协议，其无连接的意思是它不支持像Telnet或FTP这种专门的连接。通过使用请求报文和返回响应的方式，SNMP在管理代理和管理员之间传送信息。这种机制减轻了管理代理的负担，它不必非得支持其他协议及基于连接模式的处理过程。SNMP提供了一种独有的机制来处理可靠性和故障检测方面的问题。

另外，网络管理系统通常安装在一个比较大的网络环境中，其中包括大量的不同种类的网络和网络设备，为划分管理职责，应该把整个网络分成若干个用户分区。为此，我们可以把满足以下条件的网络设备归为同一个SNMP分区：它们可以提供用于实现分区所需要的安全性方面的分界线。SNMP支持这种基于分区名信息的安全模型，可以通过物理方式把它添加到选定的分区内的每个网络设备上。但目前SNMP中基于分区的身份验证模型被认为是很不牢靠的，存在一个严重的安全问题。主要原因是SNMP协议并不提供加密功能，也不保证在SNMP数据包交换过程中不能从网络中直接拷贝分区信息。只需使用一个数据包捕获工具就可把整个SNMP数据包解密，这样分区名就暴露无遗。因为这个原因，大多数站点禁止管理代理设备的设置操作。不过这样做有一个副作用，就是只能监控数据对象的值而不能改动它们，从而限制了SNMP的可用性。

SNMP：网络设备管理协议存在的安全问题

相关推荐