r3830
漏扫:高危漏洞:可通过SNMP获取路由等信息
请教如何修改SNMP缺省口令?
(0)
针对漏扫报告中的SNMP高危漏洞(可通过SNMP获取路由信息等问题),请按照以下步骤排查和修复:
---
1. 漏洞原因
SNMP默认配置存在安全隐患:
- 弱团体名(Community String):默认或简单团体名(如 `public`/`private`)易被猜测。
- 未限制访问源IP:任意主机均可查询设备信息。
- 敏感信息泄露:SNMP可能暴露路由表、接口状态、设备配置等。
---
2. 修复方案
(1)加固SNMP访问控制
删除默认团体名,创建高强度团体名并绑定ACL
system-view
undo snmp-agent community read public 删除默认读权限
undo snmp-agent community write private 删除默认写权限
snmp-agent community read cipher YourStrongReadPass acl 2000 绑定ACL限制读权限
snmp-agent community write cipher YourStrongWritePass acl 2000 绑定写权限
配置ACL,仅允许可信网管IP访问
acl advanced 2000
rule 5 permit udp source 10.1.1.100 0 destination-port eq snmp 允许网管服务器IP
rule 10 deny udp destination-port eq snmp 拒绝其他所有SNMP访问
(2)启用SNMPv3(推荐)
创建SNMPv3用户,使用认证+加密
snmp-agent usm-user v3 snmpv3_user authentication-mode sha auth-pass cipher AuthPass123 privacy-mode aes128 priv-pass cipher PrivPass123
snmp-agent group v3 snmpv3_group privacy read-view iso 限制可访问的MIB视图
(3)关闭非必要SNMP服务
禁用SNMPv1/v2c(若无需兼容旧网管)
undo snmp-agent sys-info version v1 v2c
snmp-agent sys-info version v3 仅启用SNMPv3
(4)全局ACL过滤(增强防护)
全局过滤非信任IP的SNMP流量
snmp-agent acl 2000
(5)验证配置
display snmp-agent community 检查团体名和ACL绑定
display snmp-agent usm-user 确认SNMPv3用户
display snmp-agent sys-info 查看启用的SNMP版本
---
3. 关键操作说明
- 高强度凭证:团体名/密码长度≥12位,包含大小写字母、数字及符号。
- 最小化权限:读权限仅开放必要MIB节点(如通过 `read-view` 限制)。
- 日志监控:开启SNMP Trap告警,监控异常访问:
snmp-agent trap enable
snmp-agent target-host trap address udp 10.1.1.100 params securityname snmpv3_user v3 privacy
---
4. 影响评估
- 业务影响:修复后非法主机无法获取路由信息,但需确保网管服务器IP已被ACL放行。
- 兼容性:若网管系统仅支持SNMPv2c,需逐步迁移至SNMPv3。
> ⚠️ 操作建议:在业务低峰期执行变更,并提前备份配置。修改后使用漏扫工具复测确认漏洞关闭。
通过以上措施可彻底修复SNMP信息泄露漏洞,提升设备安全性。若需进一步协助,请提供设备型号及软件版本。
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论