实验一snmp安装信息刺探以及安全策略Word格式文档下载.docx
《实验一snmp安装信息刺探以及安全策略Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《实验一snmp安装信息刺探以及安全策略Word格式文档下载.docx(11页珍藏版)》请在冰点文库上搜索。
,然后选择"
添加/删除Windows组件"
,随之出现一个对话框,在其中选择"
管理和监视工具"
,最后点击"
下一步"
,依照提示安装,安装完成后,Win2K就可以通过SNMP来远程访问了.
三、对snmp信息的刺探方法
以WIN2K来说,一旦安装并启动了简单网络管理协议SNMP,系统将打开
UDP161snmp
UDP162snmptrap
两个端口。
具体做什么我们不去细究。
需要注意的是,这里使用的是UDP端口,而不是TCP端口。
同时,WIN2K系统支持初始的“查询密码”communitystrings为:
public
我们只要通过一款ResourceKit里面的工具snmputil,就可以方便的获得非常多的信息。
(snmputil进程网上可免费下载)
snmputil.exe提供基本的、低级的SNMP功能,通过使用不同的参数和变量,可以显示设备情况以及管理设备。
snmputil,就是程序名。
get,就理解成获取一个信息。
getnext,就理解成获取下一个信息。
walk,就理解成获取一堆信息
agent,具体某台机器。
community,就是“communitystrings”“查询密码”。
oid,是物件识别代码(ObjectIdentifier)。
可以把oid理解成MIB管理信息库中各种信息分类存放树资源的一个数字标识。
1、Snmputilget
下面我们在命令行状态下使用Win2K资源工具箱中的程序snmputil.exe
来获取安装了SNMP的Win2K机器的网络接口数目,命令参数是get:
前提是对方snmp口令是public
下面来看看这个例子都包含了哪些参数和变量:
●最后一个参数是SNMP变量,值为1.3.6.1.2.1.2.1.0,被称为物件识别代码OID(objectidentifier)。
OID有对应的字符串表达式,也就是在SNMPUTIL输出内容的第一行,在这个例子中,即是interfaces.ifNumber.0。
这个字符串对于用户来说,就要易记易读多了。
你可以发现,这种对应关系与DNS类似。
●第二个参数指定将SNMP请求发送给哪个设备,在这里是localhost,即本地主机。
●第三个参数指定使用哪个共同体(即验证字符串或口令),在这里是public。
在每个发送到被管理设备的SNMPUDP信息包中,这个口令是以纯文本形式传输的。
当一个Win2K设备安装上SNMP支持后,缺省的SNMP共同体名称为public,这表明允许用户读取现有的所有变量。
因为即便是设备中的网络接口数目也是一个敏感数据,所以这就成为第一个安全问题。
2、Snmputilgetnext
接着,我们试一试snmputil的另一个命令参数getnext:
getnext的功能是获取指定SNMP变量的下一个变量的值及其OID。
因为一个设备的所有SNMP变量都是规则排列的,
所以使用getnext命令参数就可以获取一个设备中的所有变量值及OID,而不需要事先知道它们的准确OID值。
另外Snmputilgetnext可以用来测试Windows2KSNMP内存消耗拒绝服务攻击缺陷
具体方法:
snmputilgetnextlocalhostpublic.1.3.6.1.4.1.77.1.2.28.0
3、snmputilwalk
知道了next指令的用途,我们可以编写一个程序自动获取一个设备的所有OID及其数值,而不用一行行地敲入那么长的命令。
但幸运的是,snmputil的walk指令帮助我们实现了这个想法。
在命令行状态下敲入下面的命令,将显示出本地机器几乎所有的变量:
C:
\>
snmputilwalklocalhostpublic.1.3
你会看到一行行的文字在黑白窗口中不停地滚动......直到最后出现"
EndofMIBsubtree
开始刺探信息:
尝试获得对方机器当前进程列表
snmputil.exewalk对方ippublic.1.3.6.1.2.1.25.4.2.1.2
尝试获得对方机器系统用户列表
snmputilwalk对方ippublic.1.3.6.1.4.1.77.1.2.25.1.1(如下图)
当然,这样的命令还可以做很多(祥见附录)
四、如何提高Win2KSNMP的安全性
1:
首先需要注意的是,snmp服务的通讯端口是UDP端口,这也就是大部分网络管理人员很容易忽略的地方。
往往某些网管配置服务器阻断了NetBIOS空会话的建立,就认为系统安全有了相当的保障,可由于安装了SNMP服务,不知不觉中,就给系统带去了极大的隐患。
最方便和容易的解决方法,就是关闭SNMP服务,或者卸载掉该服务。
如果关掉SNMP服务不方便的话,那么可以通过修改注册表或者直接修改图形界面的SNMP服务属性进行安全配置。
开始——程序——管理工具——服务——SNMPService——属性——安全
在这个配置界面中,可以修改communitystrings,也就是微软所说的"
团体名称"
,也就是所说的"
查询密码"
。
或者可以配置是否从某些安全主机上才允许SNMP查询。
不过NT4环境下的朋友就必须修改注册表了。
修改communitystrings,在
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\ValidCommunities]
下,将public的名称修改成其它的名称就可以了。
如果要限定允许的ip才可以进行SNMP查询,可以进入
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\PermittedManagers]
添加字符串,名称为"
1"
,内容为要允许的主机IP。
当然,如果允许多台机器的话,就要名称沿用"
2、3、4"
等名称了
2:
在Win2K中,事件日志中的任何事件都可用来创建包含这一事件的SNMP陷阱,Microsoft将这称为SNMP事件转换器。
可以对一些Win2K设备进行配置,使得当有人试图登录它或者对其共享而未成功时,让这些设备能够发送一个SNMP陷阱信息。
把这些陷阱引导到我们自己的工作站,并设置当收到陷阱信息,用应用程序播放一个报警音调,这样就可以初步建立一个多
媒体安全管理工作站。
配置这些陷阱信息所需要的工具有evntwin.exe和evntcmd.exe,二者都是Win2K标准安装后的一部分:
用evntwin.exe对一些重要事件建立陷阱,然后在管理工作站上启动snmputil.exe:
snmputiltrap
附Snmp入侵方式:
1.snmputilwalk对方ippublic.1.3.6.1.2.1.25.4.2.1.2列出系统进程
这样就可以使入侵者在入侵之前就知道你系统运行的软件,有没有装杀毒软件,
从而知己知彼,百战不殆!
2.snmputilwalk对方ippublic.1.3.6.1.4.1.77.1.2.25.1.1列系统用户列表
有了这个更好了,入侵者可以根据你的用户表编一个密码表进行探测,
减少了入侵的盲目性。
3.snmputilget对方ippublic.1.3.6.1.4.1.77.1.4.1.0列出域名
这个可以列出系统的域名,是入侵者得到了主机名,可以根据此设置探测的密码字典,增加了成功率。
4.snmputilwalk对方ippublic.1.3.6.1.2.1.25.6.3.1.2列出安装的软件
用这个入侵者可以看你装的sp是什么,有没有装防火墙等信息,可以据此判断应该有的系统漏洞,增加了入侵的成功率。
5.snmputilwalk对方ippublic.1.3.6.1.2.1.1列出系统信息
这个可以使入侵者了解系统状况以及主机的稳定性,可以从主机的uptime里得知你系统开机了多长时间,从而确定是否入侵。
附:
保护SNMP
通常,保护SNMP代理与SNMP管理站之间的通信的方法是:
给这些代理和管理站指定一个共享的社区名称。
当SNMP管理站向SNMP服务发送查询时,请求方的社区名称就会与代理的社区名称进行比较。
如果匹配,则表明SNMP管理站已通过身份验证。
如果不匹配,则表明SNMP代理认为该请求是“失败访问”尝试,并且可能会发送一条SNMP陷阱消息。
SNMP消息是以明文形式发送的。
这些明文消息很容易被“Microsoft网络监视器”这样的网络分析程序截取并解码。
XX的人员可以捕获社区名称,以获取有关网络资源的重要信息。
“IP安全协议”(IPSec)可用来保护SNMP通信。
您可以创建保护TCP和UDP端口161和162上的通信的IPSec策略,以保护SNMP事务。
创建筛选器列表
要创建保护SNMP消息的IPSec策略,先要创建筛选器列表。
方法是:
单击开始,指向管理工具,然后单击本地安全策略。
展开安全设置,右键单击“本地计算机上的IP安全策略”,然后单击“管理IP筛选器列表和筛选器操作”。
单击“管理IP筛选器列表”选项卡,然后单击添加。
在IP筛选器列表对话框中,键入SNMP消息(161/162)(在名称框中),然后键入TCP和UDP端口161筛选器(在说明框中)。
单击使用“添加向导”复选框,将其清除,然后单击添加。
在“源地址”框(位于显示的IP筛选器属性对话框的地址选项卡上)中,单击“任意IP地址”。
在“目标地址”框中,单击我的IP地址。
单击“镜像。
匹配具有正好相反的源和目标地址的数据包”复选框,将其选中。
单击协议选项卡。
在“选择协议类型”框中,选择UDP。
在“设置IP协议端口”框中,选择“从此端口”,然后在框中键入161。
单击“到此端口”,然后在框中键入161。
单击确定。
在IP筛选器列表对话框中,选择添加。
选中“镜像、匹配具有正好相反的源和目标地址的数据包”复选框。
在“选择协议类型框中,单击TCP。
在“设置IP协议”框中,单击“从此端口”,然后在框中键入161。
在IP筛选器列表对话框中,单击添加。
单击“镜像,匹配具有正好相反的源和目标地址的数据包”复选框,将其选中。
在“选择协议类型”框中,单击UDP。
在“设置IP协议”框中,单击“从此端口”,然后在框中键入162。
单击“到此端口”,然后在框中键入162。
单击确定,在IP筛选器列表对话框中,单击添加。
单击确定在IP筛选器列表对话框中单击确定,然后单击“管理IP筛选器列表和筛选器操作”对话框中的确定。
创建IPSec策略
要创建IPSec策略来对SNMP通信强制实施IPSec,请按以下步骤操作:
右键单击左窗格中“本地计算机上的IP安全策略”,然后单击创建IP安全策略。
“IP安全策略向导”启动。
单击下一步。
在“IP安全策略名称”页上的名称框中键入SecureSNMP。
在说明框中,键入ForceIPSecforSNMPCommunications,然后单击下一步。
单击“激活默认响应规则”复选框,将其清除,然后单击下一步。
在“正在完成IP安全策略向导”页上,确认“编辑属性”复选框已被选中,然后单击完成。
在安全“NMP属性”对话框中,单击使用“添加向导”复选框,将其清除,然后单击添加。
单击IP“筛选器列表”选项卡,然后单击SNMP消息(161/162)。
单击筛选器操作选项卡,然后单击需要安全。
单击身份验证方法选项卡。
默认的身份验证方法为Kerberos。
如果您需要另一种身份验证方法,则请单击添加。
在新身份验证方法属性对话框中,从下面的列表中选择要使用的身份验证方法,然后单击确定:
ActiveDirectory默认值(KerberosV5协议)
使用此字符串(预共享密钥)
在新规则属性对话框中,单击应用,然后单击确定。
在SNMP“属性”对话框中,确认SNMP“消息(161/162)”复选框已被选中,然后单击确定。
在“本地安全设置”控制台的右窗格中,右键单击安全SNMP规则,然后单击指定。
在所有运行SNMP服务的基于Windows的计算机上完成此过程。
SNMP管理站上也必须配置此IPSec策略。
升级会员 