问

H3C交换机SNMP默认共同体名称漏洞及SNMP弱口令

SNMP

3天前提问

0关注
0收藏，89浏览

zhiliao_hC0ANO

zhiliao_hC0ANO 零段

粉丝：0人关注：1人

问题描述：

H3C交换机SNMP默认共同体名称漏洞及SNMP弱口令。怎么修改漏洞

4 个回答

按时间按赞数

zhiliao_sEUyB

zhiliao_sEUyB 九段

粉丝：90人关注：10人

漏洞cve发一下

暂无评论

Xcheng

Xcheng 九段

粉丝：136人关注：3人

弱口令修改交换机侧snmp配置呗

如果有网管/监控平台需要同步修正

漏洞就要看具体漏洞代码了，通常升级版本能解决

暂无评论

有飞不起的鸟

有飞不起的鸟八段

粉丝：18人关注：0人

修改方法：删除默认共同体+设置强口令
核心目标
删除或禁用默认的public/private共同体；
配置自定义强共同体名称（复杂字符串，含大小写字母、数字、特殊符号，长度≥8位）；
限制共同体访问权限（仅允许可信IP访问，优先使用SNMPv3增强安全）。
步骤1：登录设备并进入系统视图
<H3C> system-view # 从用户视图进入系统视图
[H3C] # 系统视图提示符
步骤2：删除默认共同体（关键！）
华三设备默认可能已启用public（RO）和private（RW），需先删除：
# 删除默认只读共同体（public）
[H3C] undo snmp-agent community read public

# 删除默认读写共同体（private）
[H3C] undo snmp-agent community write private
注：若提示“% Community string does not exist”，说明默认共同体已被删除或未启用，可跳过。
步骤3：配置自定义强共同体（SNMPv1/v2c）
若需保留SNMPv1/v2c（兼容性考虑），配置自定义RO/RW共同体，并绑定ACL限制访问源IP（强烈建议）：
3.1 创建ACL限制可信IP（如只允许网管服务器192.168.1.100访问）
[H3C] acl basic 2000 # 创建基本ACL 2000
[H3C-acl-ipv4-basic-2000] rule permit source 192.168.1.100 0 # 允许网管服务器IP
[H3C-acl-ipv4-basic-2000] rule deny source any # 拒绝其他所有IP
[H3C-acl-ipv4-basic-2000] quit
3.2 配置自定义共同体（RO/RW分离，强口令）
# 配置只读共同体（RO）：名称设为"H3C_SNMP_RO_2024!"（强口令示例），绑定ACL 2000
[H3C] snmp-agent community read H3C_SNMP_RO_2024! acl 2000

# 配置读写共同体（RW）：名称设为"H3C_SNMP_RW_2024@"（强口令示例），绑定ACL 2000
[H3C] snmp-agent community write H3C_SNMP_RW_2024@ acl 2000
强口令建议：长度≥12位，包含大小写字母（A-Za-z）、数字（0-9）、特殊符号（如!@#$%^&），避免字典词或连续字符。*
步骤4：（推荐）升级到SNMPv3（更安全，替代v1/v2c）
SNMPv3支持认证（Authentication）和加密（Privacy），彻底解决共同体名称弱口令问题，是长期安全方案。
4.1 创建SNMPv3用户（含认证和加密）
# 创建认证用户（MD5/SHA算法，密码设为"AuthPass123!"）
[H3C] snmp-agent usm-user v3 snmp_admin authentication-mode md5 AuthPass123!

# 为该用户配置加密（DES/AES算法，密码设为"PrivPass456@"）
[H3C] snmp-agent usm-user v3 snmp_admin privacy-mode aes128 PrivPass456@
*参数说明：
v3：指定SNMP版本；
snmp_admin：用户名（自定义，如“网管员账号”）；
authentication-mode：认证算法（MD5/SHA，推荐SHA更安全）；
privacy-mode：加密算法（DES/AES，推荐AES128/AES256）。*
4.2 配置用户访问权限（RO/RW）
# 授予用户只读权限（关联视图，如默认视图"ViewDefault"）
[H3C] snmp-agent usm-user v3 snmp_admin group read-view ViewDefault

# 若需读写权限，改为"read-write-view ViewDefault"
# [H3C] snmp-agent usm-user v3 snmp_admin group read-write-view ViewDefault
4.3 限制用户访问源IP（同步骤3.1的ACL 2000）
[H3C] snmp-agent usm-user v3 snmp_admin acl 2000
步骤5：保存配置并验证
[H3C] save # 保存配置到Flash
The current configuration will be written to the device. Are you sure? [Y/N]:y

# 验证SNMP配置（确认默认共同体已删除，新配置生效）
[H3C] display snmp-agent community # 查看共同体配置（应无public/private）
[H3C] display snmp-agent usm-user # 查看SNMPv3用户（若配置了v3）
[H3C] display snmp-agent acl # 查看绑定的ACL规则
三、安全加固补充建议
禁用不必要的SNMP版本
若已全面使用SNMPv3，可禁用v1/v2c（减少攻击面）：
[H3C] undo snmp-agent protocol v1 # 禁用SNMPv1
[H3C] undo snmp-agent protocol v2c # 禁用SNMPv2c
限制SNMP访问端口
默认SNMP使用UDP 161（查询）和162（陷阱），可通过ACL限制端口访问（需结合防火墙或端口安全策略）。
定期更换共同体名称/密码
建议每3~6个月更换一次SNMPv1/v2c共同体名称或SNMPv3密码，避免长期使用同一凭证。
启用SNMP陷阱（Trap）监控异常
配置设备主动向网管服务器发送异常事件（如登录失败、配置变更），及时发现攻击：
[H3C] snmp-agent target-host trap address udp-domain 192.168.1.100 params securityname snmp_admin v3 privacy # 向网管服务器发送加密陷阱
升级设备固件
华三定期发布Comware系统补丁，修复SNMP协议栈漏洞（如CVE-2017-17215等），需及时升级至最新稳定版。
四、验证修复效果
使用工具扫描测试
在网管服务器上用snmpwalk命令测试（需安装net-snmp工具）：
# 测试默认共同体（应返回"Timeout"或"No Such Object"）
snmpwalk -v2c -c public 交换机IP 1.3.6.1.2.1.1.1