SNMP漏洞规避措施配置指导

1      AR产品临时规避措施:

1.      华为设备默认关闭SNMP功能;不建议使用本地用户,可使用RADIUSHWTACACS等远端用户。

查询SNMP agent的状态是关闭的:

[HUAWEI]display snmp-agent  sys-info

2.      华为设备使能SNMP时,默认使用SNMP V3版本。不建议使用V1V2版本。

l  查询SNMP状态

[HUAWEI]display snmp-agent  sys-info

l  如果查询结果显示:

SNMP version running in the system: 

SNMPv1 SNMPv2c SNMPv3

l  配置关闭SNMP V1/V2协议:

[HUAWEI]undo  snmp-agent  sys-info version  v1 v2c

3.      如果必须使用SNMP V1/V2,建议关闭SNMP V1/V2 mib的查询用户账号节点。

建议配置:

[HUAWEI] snmp-agent mib-view include userinfo internet

[HUAWEI] snmp-agent mib-view excluded userinfo snmpUsmMIB

[HUAWEI] snmp-agent mib-view excluded userinfo snmpVacmMIB

[HUAWEI] snmp-agent mib-view excluded userinfo hwLocalUserTable

[HUAWEI] snmp-agent community read public mib-view userinfo 

[HUAWEI] snmp-agent community write private mib-view userinfo

 

2      交换机产品临时规避措施:

1.      华为设备默认关闭SNMP功能;不建议使用本地用户,可使用RADIUSHWTACACS等远端用户。

查询SNMP agent的状态是关闭的:

[HUAWEI]display snmp-agent  sys-info

2.      华为设备使能SNMP时,默认使用SNMP V3版本。不建议使用V1V2版本。

l  查询SNMP状态

[HUAWEI]display snmp-agent  sys-info

l  如果查询结果显示:

SNMP version running in the system: 

SNMPv1 SNMPv2c SNMPv3

l  配置关闭SNMP V1/V2协议:

[HUAWEI]undo  snmp-agent  sys-info version  v1 v2c

3.      在使用SNMPv1/v2协议的情况下,通过增加访问控制列表或防火墙来限制对SNMP v1/v2的访问

配置举例:

[HUAWEI] acl 2001

[HUAWEI-acl-basic-2001] rule 5 permit source 1.1.1.2 0.0.0.0

[HUAWEI-acl-basic-2001] rule 6 deny source 1.1.1.1 0.0.0.0

[HUAWEI-acl-basic-2001] quit

[HUAWEI] snmp-agent community read cipher security-read mib-view userinfo acl 2001

[HUAWEI] snmp-agent community write cipher security-write mib-view userinfo acl 2001

注:以上所有配置举例中的参数仅做参考,需要根据客户网络情况进行实际配置。

4.      在使用SNMPv1/v2协议的情况下,建议屏蔽能够查询用户帐户信息的特定MIB节点;

配置举例:

[HUAWEI] snmp-agent mib-view include userinfo internet

[HUAWEI] snmp-agent mib-view excluded userinfo snmpUsmMIB

[HUAWEI] snmp-agent mib-view excluded userinfo snmpVacmMIB

[HUAWEI] snmp-agent mib-view excluded userinfo hwLocalUserTable

[HUAWEI] snmp-agent mib-view excluded userinfo hwCfgOperateTable

[HUAWEI] snmp-agent mib-view excluded userinfo hwCollectTable

[HUAWEI] snmp-agent community read cipher security-read mib-view userinfo

[HUAWEI] snmp-agent community write cipher security-write mib-view userinfo

请和网管NMS提供商确认关闭这些MIB节点是否对网管NMS的业务有影响若存在影响建议对有影响的MIB节点不执行snmp-agent mib-view excluded userinfo xxx操作。

上述规避措施34仅适用于以下交换机产品和版本:

1)        S2300&S3300&S2700&S3700  V100R005V100R006C00版本

2)        S5300&S5700 V100R005V100R006版本

3)        S6300&S6700 V100R006版本

4)        S7700 V100R003V100R006版本

5)      S9300 V100R003V100R006版本

 

3      Eudemon/USG/SRG /SVN /EGW规避措施:

1.      华为设备关闭SNMP功能(默认情况下未使能SNMP功能)。或者不使用本地用户的认证方式,而使用RADIUS或者HWTACACS认证。

查询SNMP状态是否为关闭:
[HUAWEI]display snmp-agent sys-info

2.     华为设备在SNMP使能时,默认使用SNMPv3版本,不建议使用SNMPv1/v2

查询SNMP状态:

[HUAWEI]display snmp-agent sys-info

如果查询结果显示设备已经使能SNMPv1/v2  

SNMP version running in the system: 
SNMPv1 SNMPv2c SNMPv3

取消SNMPv1/v2的配置:

[HUAWEI]undo snmp-agent sys-info version v1 v2c

3.     在使用SNMPv1/v2协议的情况下,通过增加访问控制列表或防火墙来限制对SNMP v1/v2的访问。

配置举例:
[HUAWEI] acl 2001
[HUAWEI-acl-basic-2001] rule 5 permit source 1.1.1.2 0.0.0.0
[HUAWEI-acl-basic-2001] rule 6 deny source 1.1.1.1 0.0.0.0
[HUAWEI-acl-basic-2001] quit
[HUAWEI] snmp-agent community read cipher security-read mib-view userinfo acl 2001
[HUAWEI] snmp-agent community write cipher security-write mib-view userinfo acl 2001

注:部分产品版本不支持cipher关键字,可以不用关注;以上所有配置举例中的参数仅做参考,需要根据客户网络情况进行实际配置。

4.   在使用SNMPv1/v2协议的情况下,建议屏蔽能够查询用户帐户信息的特定MIB节点。

配置举例:
[HUAWEI] snmp-agent mib-view include userinfo internet
[HUAWEI] snmp-agent mib-view excluded userinfo snmpUsmMIB
[HUAWEI] snmp-agent mib-view excluded userinfo snmpVacmMIB
[HUAWEI] snmp-agent mib-view excluded userinfo hwLocalUserTable
[HUAWEI] snmp-agent mib-view excluded userinfo hwCfgOperateTable
[HUAWEI] snmp-agent mib-view excluded userinfo hwCollectTable
[HUAWEI] snmp-agent community read cipher security-read mib-view userinfo
[HUAWEI] snmp-agent community write cipher security-write mib-view userinfo

注:

1)   部分产品版本不支持cipher关键字,可以不用关注;

2)   若某些节点屏蔽失败,说明设备不支持此节点,可以不用关注。

3)   请和网管(NMS)提供商确认,关闭这些MIB节点是否对网管(NMS)的业务有影响,若存在影响,建议对有影响的MIB节点,不执行”snmp-agent mib-view excluded userinfo xxx”操作;

4      NIP产品规避措施:

1.   查看 SNMP 版本号。

在设备 SWeb 上“系统 > 配置 > 第三方网管”页面可查看所使用的 SNMP 版本号。不建议采用 SNMPv1V2c 进行通信:

 

2.   如果确实需要使用 SNMPv1v2c,请使用访问控制功能

在设备 SWeb 上“系统 > 访问控制 > 受信主机”中配置“访问控制范围”为“使用受信主机列表”,并将需要访问设备 SNMP 服务的主机添加到“受信主机列表”中。

 

5      GGSN/ UGW /PDSN/HA/WASN产品规避措施配置:

1.      华为设备关闭SNMP功能(默认情况下未使能SNMP功能)。或者不使用本地用户的认证方式,而使用RADIUS或者HWTACACS认证。

查询SNMP状态是否为关闭:

[HUAWEI]display snmp-agent  sys-info

2.      华为设备在SNMP使能时,默认使用SNMPv3版本,不建议使用SNMPv1/v2

l  查询SNMP状态:

[HUAWEI]display snmp-agent  sys-info

l  如果查询结果显示设备已经使能SNMPv1/v2  

SNMP version running in the system: 

SNMPv1 SNMPv2c SNMPv3

l  取消SNMPv1/v2的配置:

[HUAWEI]undo  snmp-agent  sys-info version  v1 v2c

3.      如果必须使用SNMP V1/V2,需要使用接口控制或防火墙功能进行控制;

对于以下产品版本:

1) GGSN9811 V900R007C01/C02/C03V900R008C00/C01

2) UGW9811 V900R001C03/C05

3) HA9661 V900R007C06

4) PDSN9660 V900R007C02/C03/C05/C06

5) WASN9770 V300R003 C02

配置举例如下:

 [HUAWEI] acl 2001

[HUAWEI-acl-basic-2001] rule 5 permit source 1.1.1.2 0.0.0.0

[HUAWEI-acl-basic-2001] rule 6 deny source 1.1.1.1 0.0.0.0

[HUAWEI-acl-basic-2001] quit

[HUAWEI] snmp-agent community read security-read mib-view userinfo acl 2001

[HUAWEI] snmp-agent community write security-write mib-view userinfo acl 2001

 

以下产品版本,

1) UGW9811 V900R009C00/C01/C02

配置举例如下:

[HUAWEI] acl 2001

[HUAWEI-acl-basic-2001] rule 5 permit source 1.1.1.2 0.0.0.0

[HUAWEI-acl-basic-2001] rule 6 deny source 1.1.1.1 0.0.0.0

[HUAWEI-acl-basic-2001] quit

[HUAWEI] snmp-agent community read cipher security-read mib-view userinfo acl 2001

    [HUAWEI] snmp-agent community write cipher security-write mib-view userinfo acl 2001

4.      如果必须使用SNMP V1/V2,建议屏蔽能够查询用户帐户信息的特定MIB节点。

对于以下产品版本:

:在执行步骤4前,请和网管NMS提供商确认关闭这些MIB节点是否对网管NMS的业务有影响若存在影响建议对有影响的MIB节点不执行snmp-agent mib-view excluded userinfo xxx操作。

1) GGSN9811 V900R007C01/C02V900R008C00/C01

2) UGW9811 V900R001C03/C05

3) HA9661          V900R007C06

4) PDSN9660 V900R007C02/C03/C05/C06

5) WASN9770 V300R003 C02

配置举例如下:

[HUAWEI] snmp-agent mib-view include userinfo internet

[HUAWEI] snmp-agent mib-view excluded userinfo snmpUsmMIB

[HUAWEI] snmp-agent mib-view excluded userinfo snmpVacmMIB

[HUAWEI] snmp-agent community read security-read mib-view userinfo

[HUAWEI] snmp-agent community write security-write mib-view userinfo

 

对于以下产品版本:

GGSN9811 V900R007C03

配置举例如下:

[HUAWEI] snmp-agent mib-view include userinfo internet

[HUAWEI] snmp-agent community read security-read mib-view userinfo

[HUAWEI] snmp-agent community write security-write mib-view userinfo

 

以下产品版本:

1)       UGW9811 V900R009C00/C01/C02

配置举例如下:

[HUAWEI] snmp-agent mib-view include userinfo internet

[HUAWEI] snmp-agent mib-view excluded userinfo snmpUsmMIB

[HUAWEI] snmp-agent mib-view excluded userinfo snmpVacmMIB

[HUAWEI] snmp-agent mib-view excluded userinfo hwLocalUserTable

[HUAWEI] snmp-agent mib-view excluded userinfo hwCollectTable

[HUAWEI] snmp-agent community read cipher security-read mib-view userinfo

[HUAWEI] snmp-agent community write cipher security-write mib-view userinfo

注:以上所有配置举例中的参数仅做参考,需要根据客户网络情况进行实际配置。

 

6      USN/SGSN/CG产品规避措施配置:

6.1      SMM单板组网介绍

ATCA体系架构中SMM单板完成业务单板管理功能,在USN9810 V900R001C03USN9810 V900R001C05 SMM单板需要接入到OM网络。

SMM单板接入到OM网络后,华为公司发现框内使用的SNMP组件存在安全风险,外部攻击可能导致SMM单板停止服务,影响设备正常运行。在新版本USN9810 V900R011C01组网时SMM单板不接入OM网络,保证USN设备安全。

6.2      解决方法和操作指导

隔离SMM单板与OM网络连接。按照如下操作13执行后SMM单板不直接提供远程操作功能,用户使用LMT来完成SMM单板提供的维护工作。

1.      通过Putty工具登录到SMM单板:

a)      使用IE工具登录到SMM单板。在IE的地址栏中输入SMM Board IP 例如 http://smm单板ip地址

b)      删除Eth0网口的IP地址。

 

2.      拔掉SMM单板前插板的网线。

3.      继续使用IE工具尝试登录SMM单板(IE地址栏中输入SMM单板的IP地址),如果无法登录说明SMM单板已断开连接。