上班时,您是否锁上前门?当您将车停在城市街道上时,您是否将钥匙从点火装置中取出?邮寄信封时,您会盖章吗?

We’非常确定这些问题的答案是,是和是。即使您住在一个安全的社区,在一条安静的街道上停放或者认为您的个人生活不足以让某人想要阅读您的邮件,但如果不采取阻止盗窃或窃听所需的最低限度的步骤,那将很愚蠢。 。

但是您可以对您管理的网络说同样的话吗?您是否至少采取基本的预防措施来确保所管理设备之间的登录和通信安全?

证据表明,对最后两个问题的答案是否定的。那’的原因是,成千上万的服务器,路由器和交换机运行的是根本上不安全的服务(即Telnet和SNMP版本1和2),这比攻击者使用暴力登录凭据或嗅探您的数据要容易得多。

不安全协议的问题

“根本不安全”是一个强有力的术语,所以让我们解释一下我们的意思。

可以肯定的是,在设备上运行Telnet或SNMPv1 / 2不会’并不意味着黑客一定可以马上走进来。’仍然受到登录凭据的保护。另外,如果您的设备位于防火墙后面或专用网络上,则它们’攻击者很难找到。

那 said, Telnet and SNMPv1/2 both have deep flaws.

对于Telnet,这些包括以纯文本形式传递登录凭据。这意味着在您的网络上运行嗅探器的任何人都可以通过监听Telnet登录会话,在几秒钟内找到控制设备所需的信息。

那’不是全部。由于Telnet不会加密会话,因此第三方可以轻松读取通过协议传递的所有数据,而不仅仅是登录信息。

SNMPv1 / 2中缺少加密也是一个问题,SNMPv1 / 2依赖社区名称作为登录凭据。这些通常可以使用数据包嗅探器进行拦截。即使他们可以’t,除非管理员更改配置,否则SNMPv1 / 2会使用默认社区名称,这使攻击者可以轻而易举地尝试猜测进入系统的方式。

鉴于这些安全问题-以及如下所述的更好的替代品的现成事实-’如果可以提供帮助,则根本不值得在网络上运行Telnet或SNMPv1 / 2。

这些协议的存在’t guarantee you’会被黑客入侵,但是-如开锁的门或未密封的信封- 使你容易成为目标 由于某些原因,您很容易避免。

开放式安全网络协议

照片: 艾伦·斯坦顿,在Flickr上

野外不安全的协议

野外服务不安全的问题到底有多严重?要实时了解这些协议的流行程度,以及对使用它们查找设备的人们来说非常容易,请在以下位置运行快速查询 Shodan,该搜索引擎被称为“黑客专用Google”。

目前,Shodan展示了超过260,000台运行Telnet的面向Internet的计算机,该站点报告它是排名第六的最受欢迎的网络服务。 SNMPv1 / 2的实例总数仅约7,000个,这一数字虽然不算惊人,但仍然是恶意黑客攻击的主要目标。

请记住,具有Telnet和SNMP服务的大量设备可能正在防火墙后面或专用网络上运行,Shodan可以’没看到。但这不’并不意味着这些设备无需担心。黑客仍然可以通过从外部进入您的网络来利用它们。

更糟的是,像 保留网络访问权限的前员工 他不应该’没有,谁可能确切知道在组织中哪里可以找到不安全的设备’的网络,可能会使用安全性较弱的服务来造成各种破坏。

刚刚赢得的协议’t die

如果是1995年,我们不会’对Telnet和SNMPv1 / 2如此挑剔。两十年前,当还没有针对这些服务的更安全的替代方案时,它们是管理员拥有的最好的工具之一。

但是,闪到现在,还有很多更好的资源可供我们使用。 SSH-2 允许您以与Telnet几乎相同的方式远程管理设备,但没有纯文本身份验证并且没有数据加密。

至于SNMP,该协议的更现代版本(特别是SNMPv3和更高版本)提供了比SNMPv1 / 2更好的加密,以及其他安全改进。

在很大程度上,更安全的协议并未完全取代旧的协议并不是网络管理员的错。

在许多情况下,由于供应商的影响,从Telnet和SNMPv1 / 2过渡仍然很困难 继续运送设备 旨在使用这些不安全的服务,通常是因为它们比更安全的替代方案更易于配置和部署。不完全了解安全风险的用户更喜欢易用性,而不是坚如磐石的安全性。

随着物联网的扩展,在网络上越来越多的设备需要简单的登录方式,该问题将继续增长。

网络管理员可以做什么

安全挂锁链安全网络通信

照片: 迭戈·托雷斯·西尔维斯特,在Flickr上

管理员可以采取两个主要步骤来减轻与不安全通信协议相关的安全风险。

首先也是最明显的发现是找到运行诸如Telnet和SNMPv1 / 2之类的服务的设备,并将其替换为更安全的选项。借助网络操作系统,可以轻松找到此类设备 跟踪正在运行的端口和服务 在哪些设备上。

一旦您’我们确定了不安全的设备,用SSH-2替换了Telnet,并用SNMPv3升级了SNMPv1和SNMPv2的安装,这比以前的版本安全得多。

当然,在某些情况下’无法切换到更安全的协议。您可能有旧设备无法’支持SSH-2(尽管看起来不太可能,因为SSH-2已经存在了几十年)或SNMPv3。否则您的组织可能出于某些原因而需要较旧的协议’t change.

在这种情况下,您仍然应该尽力确保您的服务配置得尽可能安全。

对于Telnet,这意味着 设置复杂的密码 攻击者可以’蛮力。同样,如果您绝对必须使用SNMPv1 / 2,请确保更改默认的登录凭据。

您还可以在网络上部署IPsec或类似的解决方案,以加密所有连接上的数据。即使信息通过Telnet和SNMP交换,这也将使攻击者更难嗅探登录凭据和私人信息。

最后但并非最不重要的一点是,请确保您知道哪些设备需要打补丁,并且要定期应用更新。如果您运行的是带有已知代码缺陷的过时版本,那么即使是像SSH-2一样强大的协议也可能成为安全隐患。 2008年的Debian SSH惨败 明确了。

最后,如果有违规行为,请记住 更改您的安全密钥.