1、,然后选择添加/删除Windows组件,随之出现一个对话框,在其中选择管理和监视工具,最后点击下一步,依照提示安装,安装完成后, Win2K就可以通过SNMP来远程访问了.三、对snmp信息的刺探方法以WIN2K来说,一旦安装并启动了简单网络管理协议SNMP,系统将打开UDP 161 snmpUDP 162 snmptrap两个端口。具体做什么我们不去细究。需要注意的是,这里使用的是UDP端口,而不是TCP端口。同时,WIN2K系统支持初始的“查询密码”community strings 为:public我们只要通过一款Resource Kit里面的工具snmputil,就可以方便的获得非常多
2、的信息。(snmputil进程网上可免费下载)snmputil.exe提供基本的、低级的SNMP功能,通过使用不同的参数和变量,可以显示设备情况以及管理设备。snmputil,就是程序名。get,就理解成获取一个信息。getnext,就理解成获取下一个信息。walk,就理解成获取一堆信息agent,具体某台机器。community,就是 “community strings”“查询密码”。oid,是物件识别代码(Object Identifier)。可以把oid理解成MIB管理信息库中各种信息分类存放树资源的一个数字标识。1、Snmputil get 下面我们在命令行状态下使用Win2K资源工
3、具箱中的程序snmputil.exe 来获取安装了SNMP的Win2K机器的网络接口数目,命令参数是get: 前提是对方snmp口令是public 下面来看看这个例子都包含了哪些参数和变量:最后一个参数是SNMP变量,值为1.3.6.1.2.1.2.1.0,被称为物件识别代码OID(object identifier)。OID有对应的字符串表达式,也就是在SNMPUTIL输出内容的第一行,在这个例子中,即是interfaces.ifNumber.0。这个字符串对于用户来说,就要易记易读多了。你可以发现,这种对应关系与DNS类似。第二个参数指定将SNMP请求发送给哪个设备,在这里是localho
4、st,即本地主机。第三个参数指定使用哪个共同体(即验证字符串或口令),在这里是public。在每个发送到被管理设备的SNMP UDP信息包中,这个口令是以纯文本形式传输的。当一个Win2K设备安装上SNMP支持后,缺省的SNMP共同体名称为 public,这表明允许用户读取现有的所有变量。因为即便是设备中的网络接口数目也是一个敏感数据,所以这就成为第一个安全问题。2、Snmputil getnext 接着,我们试一试snmputil的另一个命令参数getnext:getnext的功能是获取指定SNMP变量的下一个变量的值及其OID。因为一个设备的所有SNMP变量都是规则排列的, 所以使用get
5、next命令参数就可以获取一个设备中的所有变量值及OID,而不需要事先知道它们的准确OID值。另外Snmputil getnext可以用来测试 Windows 2K SNMP内存消耗拒绝服务攻击缺陷 具体方法:snmputil getnext localhost public .1.3.6.1.4.1.77.1.2.28.0 3、snmputil walk 知道了next指令的用途,我们可以编写一个程序自动获取一个设备的所有OID及其数值,而不用一行行地敲入那么长的命令。但幸运的是,snmputil的walk指令帮助我们实现了这个想法。在命令行状态下敲入下面的命令,将显示出本地机器几乎所有的变
6、量:C: snmputil walk localhost public .1.3 你会看到一行行的文字在黑白窗口中不停地滚动 . 直到最后出现End of MIB subtree开始刺探信息:尝试获得对方机器当前进程列表snmputil.exe walk 对方ip public .1.3.6.1.2.1.25.4.2.1.2尝试获得对方机器系统用户列表 snmputil walk 对方ip public .1.3.6.1.4.1.77.1.2.25.1.1 (如下图)当然,这样的命令还可以做很多(祥见附录)四、如何提高Win2K SNMP的安全性 1:首先需要注意的是,snmp服务的通讯端口是
7、UDP端口,这也就是大部分网络管理人员很容易忽略的地方。往往某些网管配置服务器阻断了NetBIOS空会话的建立,就认为系统安全有了相当的保障,可由于安装 了SNMP服务,不知不觉中,就给系统带去了极大的隐患。最方便和容易的解决方法,就是关闭SNMP服务,或者卸载掉该服务。如果关掉SNMP服务不方便的话,那么可以通过修改注册表或者直接修改图形界面的SNMP服务属性 进行安全配置。开始程序管理工具服务SNMP Service属性安全 在这个配置界面中,可以修改community strings,也就是微软所说的团体名称,也就是所说的查询密码。或者可以配置是否从某些安全主机上才允许SNMP查询。不过
8、NT4环境下的朋友就必须修改注册表了。修改community strings,在 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSNMPParametersValidCommunities 下,将public的名称修改成其它的名称就可以了。如果要限定允许的ip才可以进行SNMP查询,可以进入 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSNMPParametersPermittedManagers 添加字符串,名称为1,内容为要允许的主机IP。当然,如果允许多台机器的话,就要名称沿用2、3
9、、4等名称了2:在Win2K中,事件日志中的任何事件都可用来创建包含这一事件的SNMP陷阱,Microsoft将这称为SNMP 事件转换器。可以对一些Win2K设备进行配置,使得当有人试图登录它或者对其共享而未成功时,让这些设备能够发送一个SNMP陷阱信息。把这些陷阱引导到我们自己的工作站,并设置当收到陷阱信息,用应用程序播放一个报警音调,这样就可以初步建立一个多媒体安全管理工作站。配置这些陷阱信息所需要的工具有evntwin.exe和evntcmd.exe,二者都是Win2K标准安装后的一部分:用evntwin.exe对一些重要事件建立陷阱,然后在管理工作站上启动snmputil.exe:
10、snmputil trap 附Snmp入侵方式:1.snmputil walk 对方ip public .1.3.6.1.2.1.25.4.2.1.2 列出系统进程 这样就可以使入侵者在入侵之前就知道你系统运行的软件,有没有装杀毒软件, 从而知己知彼,百战不殆!2.snmputil walk 对方ip public .1.3.6.1.4.1.77.1.2.25.1.1 列系统用户列表 有了这个更好了,入侵者可以根据你的用户表编一个密码表进行探测, 减少了入侵的盲目性。3.snmputil get 对方ip public .1.3.6.1.4.1.77.1.4.1.0 列出域名 这个可以列出系统
11、的域名,是入侵者得到了主机名,可以根据此设置探测的密码字典,增加了成功率。4.snmputil walk 对方ip public .1.3.6.1.2.1.25.6.3.1.2 列出安装的软件 用这个入侵者可以看你装的sp是什么,有没有装防火墙等信息,可以据此判断应该有的系统漏洞,增加了入侵的成功率。5.snmputil walk 对方ip public .1.3.6.1.2.1.1 列出系统信息 这个可以使入侵者了解系统状况以及主机的稳定性,可以从主机的uptime里得知你系统开机了多长时间,从而确定是否入侵。附:保护SNMP通常,保护SNMP代理与SNMP管理站之间的通信的方法是:给这些代
12、理和管理站指定一个共享的社区名称。当SNMP管理站向SNMP服务发送查询时,请求方的社区名称就会与代理的社区名称进行比较。如果匹配,则表明SNMP管理站已通过身份验证。如果不匹配,则表明SNMP代理认为该请求是“失败访问” 尝试,并且可能会发送一条SNMP陷阱消息。SNMP消息是以明文形式发送的。这些明文消息很容易被“Microsoft网络监视器”这样的网络分析程序截取并解码。XX的人员可以捕获社区名称,以获取有关网络资源的重要信息。“IP安全协议”(IP Sec)可用来保护SNMP通信。您可以创建保护TCP和UDP端口161和162上的通信的IP Sec策略,以保护SNMP事务。创建筛选器列
13、表 要创建保护SNMP消息的IP Sec策略,先要创建筛选器列表。方法是:单击开始,指向管理工具,然后单击本地安全策略。展开安全设置,右键单击“本地计算机上的IP安全策略”,然后单击“管理IP筛选器列表和筛选器操作”。单击“管理IP筛选器列表”选项卡,然后单击添加。在IP筛选器列表对话框中,键入SNMP消息(161/162)(在名称框中),然后键入TCP和UDP端口161筛选器(在说明框中)。单击使用“添加向导”复选框,将其清除,然后单击添加。在“源地址”框(位于显示的IP筛选器属性对话框的地址选项卡上)中,单击“任意IP地址”。在“目标地址”框中,单击我的IP地址。单击“镜像。匹配具有正好相
14、反的源和目标地址的数据包”复选框,将其选中。单击协议选项卡。在“选择协议类型”框中,选择UDP。在“设置IP协议端口”框中,选择“从此端口”,然后在框中键入161。单击“到此端口”,然后在框中键入161。单击确定。在IP筛选器列表对话框中,选择添加。选中“镜像、匹配具有正好相反的源和目标地址的数据包”复选框。在“选择协议类型框中,单击TCP。在“设置IP协议”框中,单击“从此端口”,然后在框中键入161。在IP筛选器列表对话框中,单击添加。单击“镜像,匹配具有正好相反的源和目标地址的数据包”复选框,将其选中。在“选择协议类型”框中,单击UDP。在“设置IP协议”框中,单击“从此端口”,然后在框
15、中键入162。单击“到此端口”,然后在框中键入162。单击确定,在IP筛选器列表对话框中,单击添加。单击确定 在IP筛选器列表对话框中单击确定,然后单击“管理IP筛选器列表和筛选器操作”对话框中的确定。创建IPSec策略 要创建IPSec策略来对SNMP通信强制实施IPSec,请按以下步骤操作:右键单击左窗格中“本地计算机上的IP安全策略”,然后单击创建IP安全策略。“IP安全策略向导”启动。单击下一步。在“IP安全策略名称”页上的名称框中键入Secure SNMP。在说明框中,键入Force IPSec for SNMP Communications,然后单击下一步。单击“激活默认响应规则”
16、复选框,将其清除,然后单击下一步。在“正在完成IP安全策略向导”页上,确认“编辑属性”复选框已被选中,然后单击完成。在安全“NMP属性”对话框中,单击使用“添加向导”复选框,将其清除,然后单击添加。单击IP“筛选器列表”选项卡,然后单击SNMP消息(161/162)。单击筛选器操作选项卡,然后单击需要安全。单击身份验证方法选项卡。默认的身份验证方法为Kerberos。如果您需要另一种身份验证方法,则请单击添加。在新身份验证方法属性对话框中,从下面的列表中选择要使用的身份验证方法,然后单击确定:ActiveDirectory默认值(KerberosV5协议) 使用此字符串(预共享密钥) 在新规则属性对话框中,单击应用,然后单击确定。在SNMP“属性”对话框中,确认SNMP“消息(161/162)”复选框已被选中,然后单击确定。在“本地安全设置”控制台的右窗格中,右键单击安全SNMP规则,然后单击指定。在所有运行SNMP服务的基于Windows的计算机上完成此过程。SNMP管理站上也必须配置此IPSec策略。
copyright@ 2008-2023 冰点文库 网站版权所有
经营许可证编号:鄂ICP备19020893号-2