• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

r3830 如何修改SNMP缺省口令

2025-08-19提问
  • 0关注
  • 0收藏,134浏览
粉丝:0人 关注:0人

问题描述:

r3830

漏扫:高危漏洞:可通过SNMP获取路由等信息

请教如何修改SNMP缺省口令?

1 个回答
粉丝:40人 关注:6人

针对漏扫报告中的SNMP高危漏洞(可通过SNMP获取路由信息等问题),请按照以下步骤排查和修复:

---

1. 漏洞原因
SNMP默认配置存在安全隐患:
- 弱团体名(Community String):默认或简单团体名(如 `public`/`private`)易被猜测。
- 未限制访问源IP:任意主机均可查询设备信息。
- 敏感信息泄露:SNMP可能暴露路由表、接口状态、设备配置等。

---

2. 修复方案
(1)加固SNMP访问控制

删除默认团体名,创建高强度团体名并绑定ACL
system-view
undo snmp-agent community read public 删除默认读权限
undo snmp-agent community write private 删除默认写权限
snmp-agent community read cipher YourStrongReadPass acl 2000 绑定ACL限制读权限
snmp-agent community write cipher YourStrongWritePass acl 2000 绑定写权限

配置ACL,仅允许可信网管IP访问
acl advanced 2000
rule 5 permit udp source 10.1.1.100 0 destination-port eq snmp 允许网管服务器IP
rule 10 deny udp destination-port eq snmp 拒绝其他所有SNMP访问


(2)启用SNMPv3(推荐)

创建SNMPv3用户,使用认证+加密
snmp-agent usm-user v3 snmpv3_user authentication-mode sha auth-pass cipher AuthPass123 privacy-mode aes128 priv-pass cipher PrivPass123
snmp-agent group v3 snmpv3_group privacy read-view iso 限制可访问的MIB视图


(3)关闭非必要SNMP服务

禁用SNMPv1/v2c(若无需兼容旧网管)
undo snmp-agent sys-info version v1 v2c
snmp-agent sys-info version v3 仅启用SNMPv3


(4)全局ACL过滤(增强防护)

全局过滤非信任IP的SNMP流量
snmp-agent acl 2000


(5)验证配置

display snmp-agent community 检查团体名和ACL绑定
display snmp-agent usm-user 确认SNMPv3用户
display snmp-agent sys-info 查看启用的SNMP版本


---

3. 关键操作说明
- 高强度凭证:团体名/密码长度≥12位,包含大小写字母、数字及符号。
- 最小化权限:读权限仅开放必要MIB节点(如通过 `read-view` 限制)。
- 日志监控:开启SNMP Trap告警,监控异常访问:

snmp-agent trap enable
snmp-agent target-host trap address udp 10.1.1.100 params securityname snmpv3_user v3 privacy


---

4. 影响评估
- 业务影响:修复后非法主机无法获取路由信息,但需确保网管服务器IP已被ACL放行。
- 兼容性:若网管系统仅支持SNMPv2c,需逐步迁移至SNMPv3。

> ⚠️ 操作建议:在业务低峰期执行变更,并提前备份配置。修改后使用漏扫工具复测确认漏洞关闭。

通过以上措施可彻底修复SNMP信息泄露漏洞,提升设备安全性。若需进一步协助,请提供设备型号及软件版本。




暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明