科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道安全管理SNMP安全:对于风险管理是有价值的

SNMP安全:对于风险管理是有价值的

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

在本文中,作者着眼于现今网络的实际情况对简单网络管理协议(SNMP)的应用状况进行了介绍,指出了其面临的风险,并且说明如何利用最新的硬件设计发挥其作用。

作者:ZDNet安全频道 来源:ZDNet安全频道【原创】 2010年5月31日

关键字: 安全 SNMP 网络管理 网络

  • 评论
  • 分享微博
  • 分享邮件

 ZDNet安全频道原创翻译 转载请注明作者以及出处

在本文中,作者着眼于现今网络的实际情况对简单网络管理协议(SNMP)的应用状况进行了介绍,指出了其面临的风险,并且说明如何利用最新的硬件设计发挥其作用。


在过去几年里,关于健康保险问题大家一直在进行着激烈的争论,其中一个焦点话题就是如何对风险进行管理。是不是应该强迫所有市民都通过购买保险的方式来管理风险,还是应该允许他们通过自己认为合适的其它手段来进行管理?对于网络管理领域的讨论来说,这是一个非常合适的类比。通过将网络迁移到云中,在设备管理方面的需求就进一步减少。但从另一角度来看,由于云本身规模的扩大,它也会逐渐成为越来越有吸引力的目标。

举例来说,通过大楼里的光纤进行连接的云与广域网连接相比,在遇到整体计算机资源出现单点故障时发生的情况是完全不同的。因此,我们可以得出这样的结论:风险管理必须属于网络规划的一个组成部分。

在最近发表的一篇文章中,我提出了这样的观点,即对于大型网络来说,SNMP是一种非常重要的监测工具。在较小规模的网络中,SNMP并不能完全发挥其作用。考虑到这种情况,你不得不在容忍低可用性和扩大网络但有可能导致复杂性增加之间进行选择。这是现实的问题,但更大的顾虑可能来自2002年以前由于SNMP缺陷造成的故障的相关报道。

是的,SNMP非常老(诞生于1988年)。也经历过几次重大更新(三次),并且一直是各种黑客关注的重点。关于针对SNMP的各种攻击,赛门铁克公司提供了一个非常有趣的例子,专家展示了一种通过中间人攻击破坏SSL和SSH加密协议的技术。为了防范这种特殊的攻击方式,就需要在路由器的普通文件传输协议(TFTP)中加入访问控制列表(ACL)并且利用高质量的密码取代随意的团体名称。

这些担忧,加上周边通过用户数据报协议(UDP)传输数据带来的忧虑不是没有根据的,已经可以让不少管理员加入不信任SNMP的行列。表一提供的内容就是有效的,但绝非最终出发点的SNMP强化战略。

表一

SNMP安全:对于风险管理是有价值的

再加上由于不了解实际情况而产生的不信任气氛,一些软件在没有提供对SNMP v3版本支持的情况下就发布了(举例来说,2009年新发布的Glassfish)。这导致已经部署的大量设备只能支持SNMPv1和SNMPv2,至少有部分企业应用不能支持SNMPv3。在这里,成本可能不是主要原因:图A显示的是一台支持SNMPv3的低成本接入点设备,它的价格仅仅是二百美元。

图A

SNMP安全:对于风险管理是有价值的

抛弃它选择重新开始?

如同人体健康一样,网络健康需要利用该系统进行限制性管理,因此,没有理由选择抛弃SNMP的。考虑到它在分布式管理任务组(DMTF)公共信息模型(CIM)中起的作用。 而CIM的数据元素又是Windows管理规范和其他管理工具层的一部分,原因就是显而易见的了。设备管理信息库(MIBs)和CIM的价值在于,可以协助建立标准的网络语义环境。它们是配置管理和许多其它用途的直接基础。DMTF对CIM值得推广优点的描述就是"通过定义单一的管理信息和服务语义模式可以派生出所有目标和用户设备的能力——即相对于这种模式来说,所有位置之间都是有联系的。"如果没有这些标准,对象模型的抽象化开发将变得难以执行。CIM和SNMP之间也许可以脱钩,但这将耗费为期十年相当长的时间。

不明朗的市场前景

SNMP是有价值的,并且也是非常重要的,但在现代硬件设计中它应该发挥什么样的作用呢?举例来说,在思科统一计算系统(UCS)的监测设备中它应该采用什么规则对于设备制造商来说,它们不关心SNMP是因为不存在这方面的需求?一个来自新蛋网关于"SNMP"的库存搜索并不一定是什么确凿的证据,但在未来包含了SNMP功能的设备数字将达到几百台,而且有几十家厂商选择支持SNMPv3,应该能说明一定的问题。这或许反映出在实际环境中,它并没有得到充分利用,尽管SNMP经常被列在设备功能的在线目录上,但是却并没有说明它支持的是V1,V2或V3版本。一张典型网络中可能存在几百台值得利用SNMP监测的设备,因此,通过简单的硬件更新来实现SNMP安全是不可忽视的事情。

未来的传感器和意义建构

将SNMP的最终目标想象为一张可以支持交互操作的大型传感器框架网络是非常明智的。为了成为普遍意义上说的综合传感器系统就需要获取更多的信息,一个典型的例子就是开放地理空间联盟提供的传感器建模语言(SensorML)。SensorML支持的不仅仅是地理方面的设备,也包含了很多其它类型设备的控制管理和决策。SensorML的处理过程是"发现并执行。"让它安全,就意味着你可以获得健康网络的生活。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章