基于SNMP協議的自動化故障管理及安全性分析

孔思豪

摘要：隨著泛在電力物聯網戰略的提出，電網運行的智能化程度逐步提高，與互聯網技術的聯系也越來越緊密。伴隨電網建設的調度數據網及辦公網絡擁有龐大的網絡設備基數，并且網絡中存在不同固件版本、甚至不同廠家的設備，這對網絡的管理和檢修造成了困難。基于此，本文對SNMP協議的網絡設備故障定位及自動化管理進行分析和研究，并闡述SNMP協議結構，同時分析SNMP協議及MIB對象訪問的風險因素，意在為基于SNMP協議的網絡設備管理提供一定的參考。

關鍵詞：SNMP協議;自動化管理;網絡設備;故障分析

前言：

21世紀以來，信息技術、互聯網以及大數據的發展空間也隨之提升，計算機軟件工程技術也被良好的推動，且在當前時期背景下，被廣泛應用于行業發展和生產中，隨著時間的推移，成為社會經濟發展重要的組成部分。網絡管理中最為常用的管理協議就是SNMP協議，即簡單網絡管理協議。然而網絡設備生產廠商不同，而一旦出現故障僅僅會被相應的廠商進行處理，存在不同的故障定義，從而導致的網絡管理在整體上具有一定的混亂行，同時也對網絡管理造成了諸多的不便之處。

一、SNMP訪問對網絡設備的挑戰

SNMP的支持系統在網絡管理中將會面臨新一輪的挑戰，其面臨的新挑戰可以從兩個方面闡述。其一，SNMP作為當前是新型的網絡遠程安全監控的通道，其訪問過程會為設備引入新的潛在突破口。其二，SNMP的設計。使用和實現過程中會存在一定的漏洞，這些漏洞會存在被惡意利用的情況，進而攻擊網絡設備。

（一）存在的安全問題

SNMP對網絡設備的訪問產生的安全問題可以分為以下幾點闡述：

1.安全性存在不足。版本較低的SNMP和v2僅是以團體名為基礎，對網絡設備進行驗證，且信息的傳輸是以明文形式[1]。盡管當前部分網絡管理中使用了SNMPv3訪問、安全性能得到了改善，但是大部分網絡設備為能夠滿足兼容性，仍然會提供多種版本，同時，部分管理人員仍在使用版本較低的SNMP協議。

2.配置存在不足。不同網絡設備廠商網絡設備也存在一定的差異，大部分廠商在設備上都配有缺省的community字段，例如只讀團體名public、可讀寫團體名private，都是常用的缺省名。大部分管理員應用的都是缺省團體名。雖然小部分管理設計了新的團體名，但是其安全強度仍然不足，例如，SNMPv3中，管理為能夠有效記憶，提升記憶效率，使用相對較弱的口令。

3.軟件自身存在的問題。設備廠家是保障SNMP協議實現的軍機處，各個廠家存在差異也會導致SNMP協議存在不同的問題，這些漏洞的存在可能會影響服務質量。導致服務系統拒絕終端和允許攻擊者獲取設備的訪問權限。這種漏洞的存在大可不必使用正確的口令就不能夠對設備配置進行修改，當前時期，Microsoft、Sun以及Cisco等著名廠商都發生過網絡設備SNMP協議漏洞問題。

4.MIB對象帶來的挑戰。網絡設備中，只讀型對象大部分都是MIB對象。其目的是為能夠對設備運行狀態的信息進行有效的獲取[2]。一般來說。MIB能夠對只讀型對象的訪問，進而掌握網絡設備的運行狀態也可以對用于對設備的故障診斷。部分MIB對象能夠讀寫雙型，還有部分對象時只寫型，這部分對象可以利用get-request命令對前期進行修改，將這類對象的值進行改變。如果在這部分對象中，修改、添加或是刪除指定對象的值，則會對網絡設備造成嚴重影響。

（二）網絡設備的攻擊途徑

網絡設備在系統運行中具有重要作用，是網絡信息交換的核心，尤其是核心的路由器和交換機，是數據交換的關鍵通道，SNMP協議的應用能夠對網絡設備MIB對象的訪問實施網絡攻擊，其攻擊途徑可以分為以下幾點進行闡述：

1.合法偽裝NMS。使用SNMP協議與設備中的Agent通信，通過執行get-request命令設置MIB對象值。進而對網絡設備進行全面了解。另外，攻擊者還可以使用SNMP協議與設備中的Agent通信，通過執行get-request命令設置MIB對象值進而全面控制網絡設備。

2.合法的NMS偽裝。使用SNMP協議接收設備中Agent所發送的Trap或是Rmon信息，其中的陷阱對應設備中的故障信息，監視是管理者自定義的需要監視的內容和發送的事件。

二、MIB對象的安全性分析方法

在網絡設備中，絕大部分的只讀型對象都是MIB對象，只讀型的MIB對象主要用于對設備運行的狀態進行信息讀取，通過讀取這些MIB值，可以獲取網絡的某些信息，例如可以通過讀取路由器的路由表，可以得知設備的拓撲。對于可寫性MIB對象，可以修改設備的功能，例如可以設置路由器的靜態路由表，從而影響路由器的功能。MIB對象的安全分析就是逐個對象檢測、分析它可能給網絡引入的安全威脅

SNMP協議管理的MIB對象，既可以是公用的MIB-2對象，也可以是企業自定義的MIB對象。而在企業自定的MIB對象行，可以是企業公開的MIB對象，如思科發布的最新款MIB對象cisco.v2，也可能是企業非公開的MIB對象。

（一）公開MIB對象的安全分析

公開的MIB對象一般有較為詳細的說明文檔，包括該MIB對象功能及含義、值的類型、支持的操作等。這些公開的MIB對象，可以對照說明進行分析和測試[3]。下載MIB-2對象以及網絡設備對應的MIB文件，逐個分析、測試每個MIB對象的功能。如果是可讀對象，則分析該對象可能泄漏的網絡信息;如果是可寫對象，則分析如何修改對象的值來影響設備功能。

（二）非公開MIB對象的安全檢測

企業為能夠高校管理設備和實現，可能會定義一些MIB對象而未對外公開。查找一個設備是否有非公開的MIB對象，方式可以分為以下幾點進行闡述。1.可讀性MIB對象枚舉檢測。Agent支持所有的MIB對象構成一課MIB數。其中所有可讀性MIB對象可以通過get-next-request命令進行遍歷，能夠使用所有的可讀性MIB對象。2.可寫型MIB對象測試。一般來說，可寫型MIB對象能夠用于控制網絡設備功能，所以，攻擊者可以利用可寫型的MIB對象對網絡設備進行控制。若是想要了解設備是否具備可寫型非公開的MIB對象，就必須要對其進行逐個測試。

結論：

綜上所述，SNMP協議通過訪問MIB對象實現對設備的管理和控制。但是讀寫設備的MIB對象可能會對設備造成安隱患，因此，新經濟環境背景下，信息技術的應用提高了運維工作的效率;信息技術的全覆蓋也為我國生產力發展提供了一定的幫助。但安全是一個不容忽視的問題，包括物理安全和網絡安全，在各個層面上（包括硬件、拓撲、協議），這是一個長期工作，要做到同步規劃、同步建設、同步實施。通過軟件工程的研發與現代化技術應用也進一步保障其系統的安全性以及可靠性，只有注重科學技術、互聯網以及信息技術，才能夠實現我國的可持續發展。

參考文獻

[1]陳召兵.基于Modbus和SNMP協議的集中式通信設備網絡管理系統設計[J].工業控制計算機，2018，31（05）：28-29.

[2]楊明光，張云飛，高博.基于SNMP協議的網絡交換機監測系統設計與實現[J].信息安全與技術，2017，8（2）：60-65.

[3]祁駿，王富強，樊婧雯.基于SNMP的通信網絡管理系統的設計和實現[J].科學技術創新，2018（2）：56-57.