::
關於我們
::
服務範圍
::
相關連結
::
 
 
2017 中文版 | 2017 English             2009 中文版 | 2009 English
學生 | 教職員工 | 單位   VPN
IP/網路 狀態查詢 . . .   
 
     
 

Open SNMP server 的問題

  • {{wiki:notice.png}} 2019/11/27 網路協進會報告,預定2020/02/11(二),比照 open DNS 的處理,若偵測為 open SNMP server 將自動阻斷其IP,請使用者務必修正問題,以免屆時網路遭阻斷。阻斷處理,詳「不當網路資訊」
  • 為幫助本校使用者防治 open SNMP server 的問題,2019/10/16 本頁面上線,以提供更多相關資料。
  • 由於軟體及設備種類繁多,歡迎知悉某特定軟體或設備其修正方法者,能不吝提供資料,嘉惠眾人,詳:資訊設備
    • 若不會用到 SNMP,建議可直接關閉此服務。
    • 若要用 SNMP,請設定 Access Control List 限制內網存取,或將預設的 community public 改掉,以避免遭濫用。

問題概述

  • Open SNMP server 指伺服器(或資訊設備)對外公開且不限使用對象提供 SNMP 服務,可能產生以下問題:
  1. 暴露於外界,容易被攻擊或平白損耗系統及網路資源
  2. 容易被外界利用,成為發動 DDoS 網路攻擊的一員
  3. 系統資訊揭露,衍生入侵問題

偵測系統

{{wiki:new.png}}為防治 open SNMP server 問題,協助處理校園內電腦或資訊設備,因設定不慎而可能遭攻擊者利用來發動網路攻擊,故本組建置 open SNMP server 偵測系統,並將偵測結果提供各單位網管,以便轉知其使用者參考建議作法來修正設定及自行檢測問題是否解決,藉以減少本校網路內 open SNMP server 的數量。

最近七天內偵測結果

  • {{wiki:notice.png}} 若已存在本清單的 IP 地址,至少需等待至隔日系統重新偵測,通過後時才會移除,故擬移出本清單者,請先用下方的「即時檢測服務」,檢查確認該 IP 地址已無問題後,隔日應可自清單中移除。
更新時間:Thu Dec 05 16:45:01 2019 Asia/Taipei
序號單位IP 位址偵測時間備註
1化工系140.114.46.xxx2019/12/05 00:13:36
2化工系140.114.46.xxx2019/12/05 00:13:36
3化工系140.114.46.xxx2019/12/05 01:50:04
4化工系140.114.46.xxx2019/12/05 00:13:35
5化工系140.114.47.xxx2019/12/05 15:20:05
6化工系140.114.47.xxx2019/12/05 00:13:49
7化工系140.114.47.xxx2019/12/05 02:00:02
8化工系140.114.47.xxx2019/12/05 00:30:13
9化工系140.114.129.xxx2019/12/05 00:30:12
10化工系140.114.129.xxx2019/12/04 23:30:05
11化工系140.114.129.xxx2019/12/05 01:40:02
12化工系140.114.129.xxx2019/12/05 00:30:12
13化工系140.114.129.xxx2019/12/05 01:10:04
1反應器/同位素組140.114.102.xxx2019/12/05 00:14:32
2反應器/同位素組140.114.102.xxx2019/12/05 01:40:02
1加速器館140.114.103.xxx2019/12/05 00:14:51
2加速器館140.114.103.xxx2019/12/03 00:13:56
1光電中心-高能光電實驗館140.114.179.xxx2019/12/05 00:14:25
1行政大樓140.114.48.xxx2019/12/05 09:10:02
2行政大樓140.114.48.xxx2019/12/05 12:40:05
3行政大樓140.114.48.xxx2019/12/05 12:30:04
4行政大樓140.114.48.xxx2019/12/05 12:40:03
5行政大樓140.114.48.xxx2019/12/05 01:30:04
6行政大樓140.114.48.xxx2019/12/05 07:40:04
7行政大樓140.114.49.xxx2019/12/04 03:30:05
8行政大樓140.114.49.xxx2019/12/04 02:10:03
1奈微與材料科學中心140.114.50.xxx2019/12/05 00:13:35
2奈微與材料科學中心140.114.50.xxx2019/12/03 00:14:24
1保健物理組140.114.104.xxx2019/12/04 09:30:05
2保健物理組140.114.104.xxx2019/12/05 00:13:36
3保健物理組140.114.104.xxx2019/12/05 00:14:26
4保健物理組140.114.104.xxx2019/12/05 01:20:05
1教務處-綜合二館1、2、6樓140.114.182.xxx2019/12/05 12:30:04
1清華學院140.114.40.xxx2019/12/05 02:00:02
2清華學院140.114.40.xxx2019/12/05 00:50:05
3清華學院140.114.40.xxx2019/12/05 00:20:04
4清華學院140.114.40.xxx2019/12/05 00:14:38
1清華學院-綜二館140.114.41.xxx2019/12/05 00:14:38
1數學系140.114.32.xxx2019/12/04 15:20:08
1課指組-活動中心140.114.186.xxx2019/12/05 00:40:06
2課指組-活動中心140.114.186.xxx2019/12/05 01:40:03
3課指組-活動中心140.114.186.xxx2019/12/05 01:10:04
4課指組-活動中心140.114.186.xxx2019/12/05 01:40:03
5課指組-活動中心140.114.186.xxx2019/12/05 01:40:03
1課指組-湖邊社團大禮堂140.114.187.xxx2019/12/05 00:40:06
1駐警隊140.114.185.xxx2019/12/05 01:40:03
1學生宿舍-鴻齋140.114.203.xxx2019/12/05 00:14:26
1學資中心7樓行政中樞140.114.148.xxx2019/12/05 00:40:06
1體育館140.114.184.xxx2019/12/05 00:14:25
2體育館140.114.184.xxx2019/12/05 01:40:03
總計摘 50 筆記錄

即時檢測服務

{{wiki:new.png}}為方便本校使用者自行檢測其電腦或網路設備是否具有 open SNMP server 的問題,特建置此即時的檢測服務,目前限由本校 IP 位址來進行檢測。(2019/10/02上線試用)

檢測 open SNMP server IP 位址: . . .  
  • {{wiki:notice.png}}檢測前請先確認目標 IP 位址的電腦或設備狀態為開機且網路連線正常,以免影響檢測結果。

檢測說明

  • 採用 http://opensnmpproject.org/ 的偵測方法,若有類似以下輸出結果,則表具有 open SNMP server 問題
    • 不應回覆 SNMP 查詢
      Check open snmp for the target IP 140.114.XX.XX
      Time: Wed Oct 2 09:40:32 2019
      
      check_open_snmp: 140.114.XX.XX
      check open snmp server with (140.114.XX.XX,,)
      
      Command: /bin/snmpwalk -v 1 -c public 140.114.XX.XX .1.3.6.1.2.1.1
      
      STDOUT: 6
       SNMPv2-MIB::sysDescr.0 = STRING: HP ETHERNET MULTI-ENVIRONMENT,ROM R.22.01,JETDIRECT,JD95,EEPROM R.24.06,CIDATE 10/17/2002
       SNMPv2-MIB::sysObjectID.0 = OID: SNMPv2-SMI::enterprises.11.2.3.9.1
       DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (109520430) 12 days, 16:13:24.30
       SNMPv2-MIB::sysContact.0 = STRING: 
       SNMPv2-MIB::sysName.0 = STRING: NPI97XXXX
       SNMPv2-MIB::sysLocation.0 = STRING: 
       SNMPv2-MIB::sysServices.0 = INTEGER: 64
      
      STDERR: -1
      
      Is 140.114.XX.XX an open snmp server? 
      ANSWER: YES for 140.114.XX.XX
      
  • 若類似以下輸出結果,表不具有 open SNMP server 問題
    1. 無 SNMP 回應,若電腦已開且網路已通,則此機無問題。
      Check open snmp for the target IP 140.114.63.252
      Time: Wed Oct 2 09:45:36 2019
      
      check_open_snmp: 140.114.63.252
      check open snmp server with (140.114.63.252,,)
      
      Command: /bin/snmpwalk -v 1 -c public 140.114.63.252 .1.3.6.1.2.1.1
      
      STDOUT: -1
      
      STDERR: 0
      Timeout: No Response from 140.114.63.252
      
      Is 140.114.63.252 an open snmp server? 
      ANSWER: NO for 140.114.63.252

建議作法

  • 若不會用到 SNMP,建議可直接關閉此服務。
  • 若要用 SNMP,至少將預設的 community public 改掉,以避免遭濫用。

防火牆作法

  • 以防火牆來限制 SNMP 查詢,預設攔阻 161/udp 的封包,再針對開放服務範圍的 IP 位址來開放服務,這種作法效益最好。
    • {{wiki:notice.png}}外部閘道型防火牆來保護內部所有資訊設備的方法甚為簡便,但考慮到閘道型防火牆總有需 bypass 或下線的時候,所以平時最好還是將每部資訊設備本身的安全防護做好來。

SNMP 軟體

  • 若不會用到 SNMP,建議可直接關閉此服務。
  • 若要用 SNMP,至少將預設的 community public 改掉,以避免遭濫用。
    • 例如: net-snmp 設定檔 snmpd.conf,將以下預設值
      rocommunity public

      修改 public 為 xxxxxx (自訂不要外流),並限定 140.114.63.0/24 才能連線。

      rocommunity xxxxxx 140.114.63.0/24

資訊設備

{{wiki:notice.png}}有些資訊設備(如:網路印表機、無線網路閘道器、IP分享器、或路由器)本身可能具有 open SNMP server 問題,需適當調整設定或以防火牆來處理,由於資訊設備的類型繁多,若您知悉某裝置該如何處理,歡迎提供設備廠牌、型號、軟(韌)體版本、及其設定方式的畫面,寄至 mucheng :AT: cc.nthu.edu.tw,以利製成以下網頁,嘉惠眾人,格式及文字可參考以下作法,謝謝!

DELL 遠端存取控制器

  • {{wiki:new.png}} DELL 伺服器的 iDRAC 9 (Integrated Dell Remote Access Controller 9) 遠端存取控制器:避免 open SNMP resolver 問題之設定方式請參考下圖(2019/10/18)。
    • 進入 Configuration > System Settings > SNMP Traps Configuration > SNMP Settings,將 Community String 的預設值 public 改掉。

HP 網路印表機

  • {{wiki:new.png}} HP LaserJet M506 網路印表機:避免 open SNMP resolver 問題之設定方式請參考下圖,本資料感謝醫環系黃竫雯小姐提供(2019/10/25)
    • 進入 網路 > 網路設定 > SNMP,不要「啟動」SNMPv1/v2 及 SNMPv3。

Fuji Xerox 網路印表機

  • {{wiki:new.png}} Fuji Xerox DocuCentre-VI C3370 網路印表機:避免 open SNMP resolver 問題之設定方式請參考下圖,本資料感謝醫環系黃竫雯小姐提供(2019/10/25)
    • 進入 內容 > 通訊協定設定 > SNMP,不要「啟動」。

  • {{wiki:new.png}} Fuji Xerox DocuPrint CM305 df 網路印表機:避免 open SNMP resolver 問題之設定方式請參考下圖(2019/10/18)。
    • 進入 Properties > Protocol Settings > SNMP,再 Edit SNMP properties,將所有的 Community Name 預設值 public 改掉。

參考資料

 
上一次變更:: 2019/12/03 10:49
 
     
   
FAIL: (the browser should render some flash content, not this).
FAIL: (the browser should render some flash content, not this).
::上一頁 | 下一頁 | 更新 | 列印 | 回首頁 | 清華大學 | 計算機與通訊中心
Copyright (c) 2008-2010 National Tsing Hua University ALL RIGHTS RESERVED
瀏覽次數:1188
 
 
關閉