آسیب پذیری SNMP چیست و چگونه جلوی آن را بگیریم؟

در دنیای شبکه های کامپیوتری، پروتکل SNMP یا Simple Network Management Protocol یکی از پرکاربردترین ابزارها برای مدیریت و نظارت بر دستگاه هایی مانند روترها، سوئیچ ها، فایروال ها و سرورها است. این پروتکل به دلیل طراحی ساده و کارآمد خود، سال هاست که در زیرساخت های IT مورد استفاده قرار می گیرد.

اما همین سادگی می تواند به نقطه ضعفی جدی در امنیت شبکه تبدیل شود. در صورت پیکربندی نادرست یا استفاده از نسخه های قدیمی SNMP، این پروتکل می تواند به هکرها اجازه دهد به اطلاعات حساس دسترسی پیدا کنند، تنظیمات شبکه را تغییر دهند یا حتی کنترل کامل بر دستگاه ها داشته باشند.

در این مقاله جامع، ابتدا با نحوه عملکرد SNMP آشنا می شویم، سپس انواع آسیب پذیری های رایج در این پروتکل را بررسی می کنیم و در نهایت، راهکارهای امنیتی موثر برای پیشگیری و مقابله با این تهدیدات را ارائه می دهیم تا بتوانید امنیت شبکه خود را به صورت حرفه ای ارتقا دهید.

SNMP چیست و چرا اهمیت دارد؟

SNMP یا Simple Network Management Protocol یک پروتکل استاندارد در لایه Application مدل OSI است که برای مدیریت و نظارت بر تجهیزات شبکه مانند روترها، سوییچ ها، سرورها، چاپگرها و سایر دستگاه ها استفاده می شود. این پروتکل امکان جمع آوری اطلاعات، کنترل، پیکربندی و مانیتورینگ دستگاه های شبکه را برای مدیران فراهم می کند تا در صورت بروز مشکل، بتوانند سریعا واکنش نشان دهند.

SNMP چگونه کار می‌کند؟

SNMP از یک معماری ساده مبتنی بر مدیر (Manager) و عامل (Agent) تشکیل شده است:

• عامل SNMP (Agent):نرم افزاری است که روی دستگاه های شبکه نصب شده و اطلاعات مربوط به وضعیت، سلامت و ترافیک شبکه را جمع آوری می کند. این اطلاعات در ساختاری به نام MIB (پایگاه اطلاعات مدیریت) ذخیره می شود.
• مدیر SNMP (Manager):نرم افزاری در سمت مدیر شبکه است که از طریق ارسال درخواست ها به Agent، اطلاعات را دریافت کرده و می تواند تنظیمات شبکه را مشاهده یا حتی تغییر دهد.
• MIB (Management Information Base):مجموعه ای از متغیرهاست که ساختار داده های شبکه را تعریف می کند و توسط Agent پر شده و به Manager ارسال می شود.

نسخه های مختلف SNMP

SNMP در سه نسخه اصلی ارائه شده است:

• SNMPv1:نسخه ابتدایی و ساده، بدون امنیت بالا
• SNMPv2c:نسخه بهبود یافته از نظر عملکرد، اما همچنان بدون رمزنگاری
• SNMPv3:نسخه ای امن تر که از احراز هویت، رمزنگاری و کنترل دسترسی پشتیبانی می کند.

آسیب‌پذیری SNMP چیست؟

اگر SNMP به‌درستی پیکربندی نشود، به‌ویژه در نسخه های ناامن‌تر مانند v1 و v2c یا در صورت استفاده از Community Stringهای پیش فرض مانند public و private، می تواند به یک نقطه ضعف امنیتی جدی تبدیل شود. این آسیب پذیری ها می توانند منجر به موارد زیر شوند:

• دسترسی غیرمجاز به اطلاعات حساسمانند نام دستگاه، وضعیت حافظه، ترافیک شبکه و IPها
• تغییر پیکربندی دستگاه ها(در صورت فعال بودن دسترسی نوشتن)
• استفاده در حملات DDoS یا دست کاری ترافیک SNMP
• افشای اطلاعات از طریق شنود (Sniffing)به دلیل نبود رمزنگاری در نسخه های قدیمی

بنابراین، انتخاب نسخه مناسب (ترجیحا SNMPv3)، غیرفعال سازی مقادیر پیش فرض و محدود کردن دسترسی از طریق فایروال و ACLها، از مهم ترین اقدامات برای جلوگیری از سوءاستفاده از این پروتکل هستند.

مهم ترین آسیب پذیری های SNMP

با وجود اینکه SNMP یکی از پرکاربردترین پروتکل ها در مدیریت و مانیتورینگ شبکه است، در صورت پیکربندی نادرست یا استفاده از نسخه های قدیمی، می تواند به یک نقطه ضعف جدی امنیتی تبدیل شود. در ادامه، برخی از رایج ترین و مهم ترین آسیب پذیری های مرتبط با SNMP را بررسی می کنیم:

1. استفاده از Community Stringهای پیش فرض

در نسخه های SNMPv1 و SNMPv2c، احراز هویت با استفاده از رشته هایی به نام Community Strings انجام می شود که نقش رمز عبور را دارند. بسیاری از دستگاه ها به صورت پیش فرض از مقادیری مانند public (برای خواندن) و private (برای نوشتن) استفاده می کنند که قابل حدس و فاقد امنیت هستند.

2. عدم رمزنگاری و احراز هویت قوی

نسخه های قدیمی SNMP داده ها را به صورت متن ساده (Plain Text) منتقل می کنند و فاقد رمزنگاری یا مکانیزم احراز هویت قوی هستند. این ضعف باعث می‌شود مهاجمان بتوانند به‌راحتی با ابزارهایی مانند Wireshark ترافیک SNMP را شنود کرده و اطلاعات حساسی همچون رمزها، وضعیت حافظه و تنظیمات شبکه را استخراج کنند.

3. دسترسی باز از همه IPها

بسیاری از دستگاه ها به‌طور پیش فرض اجازه می دهند که هر کلاینتی از هر IP به سرویس SNMP متصل شود. این مساله سطح حمله را گسترش داده و مهاجمان می توانند بدون محدودیت به دستگاه ها متصل شوند.

4. حملات Brute Force برای کشف Community String

در نبود مکانیزم های امنیتی قوی، هکرها می توانند با حملات Brute Force (حدس زدن رشته های انجمن با آزمون و خطا) کنترل کامل برخی از دستگاه ها را به دست بگیرند.

5. آسیب پذیری های نرم افزاری و Zero-Day

پیاده سازی های مختلف SNMP ممکن است شامل باگ هایی باشند که به مهاجم اجازه می دهد کد مخرب اجرا کرده، سطح دسترسی خود را افزایش دهد یا سرویس دستگاه را مختل کند (DoS). برای نمونه:

• CVE-2017-6736:آسیب پذیری بحرانی در Cisco SNMP Subsystem
• CVE-2020-10731:نقص در Net-SNMP مربوط به مدیریت رمزهای طولانی

چگونه از آسیب پذیری های SNMP جلوگیری کنیم؟

برای محافظت از شبکه در برابر تهدیدات SNMP، باید مجموعه ای از اقدامات امنیتی و پیکربندی های مناسب را اعمال کنید. در ادامه، مهم ترین راهکارهای پیشگیرانه برای افزایش امنیت SNMP آورده شده است:

1. استفاده از نسخه امن‌تر SNMPv3

SNMPv3 تنها نسخه ای است که از رمزنگاری، احراز هویت قوی و کنترل دسترسی پیشرفته پشتیبانی می کند. اگر تجهیزات شبکه شما از این نسخه پشتیبانی می کنند، فورا از نسخه های قدیمی مهاجرت کنید.

نمونه پیکربندی در لینوکس:

snmpd -v3 -a SHA -A “StrongPassword” -x AES -X “EncryptionKey” -l authPriv

2. تغییر Community Stringهای پیش فرض

اگر مجبور به استفاده از SNMPv2c هستید، بلافاصله مقادیر پیش فرض public و private را با رشته های قوی و غیرقابل حدس جایگزین کنید.

مثال در روتر سیسکو:

snmp-server community MySecureROCommunity RO
snmp-server community MySecureRWCommunity RW

3. محدودسازی دسترسی با IP

دسترسی به پورت SNMP (UDP 161) را فقط به آدرس های IP قابل اعتماد مانند سرورهای مدیریتی محدود کنید. این کار را می توانید با استفاده از ACL، فایروال یا iptables انجام دهید.

مثال در iptables لینوکس:

iptables -A INPUT -p udp –dport 161 -s 192.168.1.100 -j ACCEPT
iptables -A INPUT -p udp –dport 161 -j DROP

4. غیرفعال سازی SNMP در صورت عدم نیاز

اگر از SNMP استفاده نمی کنید، بهتر است آن را به طور کامل غیرفعال کنید تا سطح حمله کاهش یابد.

در سیسکو:

no snmp-server

در لینوکس:

sudo systemctl stop snmpd
sudo systemctl disable snmpd

5. فیلتر کردن پورت های SNMP در فایروال

پورت های UDP 161 و 162 را در فایروال محدود کنید تا از دسترسی ناخواسته جلوگیری شود.

6. مانیتورینگ ترافیک SNMP

استفاده از ابزارهایی مانند Zabbix، PRTG، SolarWinds یا ELK برای مانیتورینگ SNMP به شناسایی فعالیت های مشکوک و حملات کمک می کند.

همچنین بررسی لاگ ها در لینوکس:

grep snmp /var/log/syslog

7. به روزرسانی منظم Firmware و نرم افزارها

همواره از آخرین نسخه های فریمور و پچ های امنیتی روی سوئیچ ها، روترها و سرورها استفاده کنید تا آسیب پذیری های شناخته شده برطرف شوند.

8. استفاده از ابزارهای امنیتی (IDS/IPS)

ابزارهایی مانند Snort، Suricata، Cisco Firepower یا سایر سیستم های تشخیص نفوذ می توانند تلاش های مخرب SNMP را شناسایی و مسدود کنند.

9. آموزش تیم فنی

کارکنان شبکه را درباره خطرات SNMP، نحوه تنظیم امن آن و روش شناسایی فعالیت های غیرعادی آموزش دهید.

ابزارهایی برای تست و تحلیل آسیب پذیری SNMP

در ادامه چند ابزار رایج جهت بررسی و تست امنیت SNMP معرفی می شود:

امنیت SNMP را دست کم نگیرید

SNMP یکی از ابزارهای کلیدی در مدیریت و مانیتورینگ شبکه است، اما در صورت پیکربندی نادرست، می تواند به نقطه ضعف بزرگی در ساختار امنیتی تبدیل شود. نسخه های قدیمی این پروتکل مانند SNMPv1 و SNMPv2c فاقد رمزنگاری و احراز هویت قوی هستند و می توانند راه نفوذی آسان برای مهاجمان فراهم کنند.

خبر خوب اینکه با رعایت چند اصل ساده ولی موثر می توانید خطرات را به حداقل برسانید:

• استفاده از SNMPv3برای رمزنگاری و احراز هویت امن
• تغییر Community Stringهای پیش فرضبه رشته های پیچیده و غیرقابل حدس
• اعمال محدودیت دسترسی IPو بستن پورت های غیرضروری
• غیرفعال سازی SNMPدر دستگاه هایی که به آن نیازی ندارند
• به روزرسانی منظم نرم افزارها و فریمور دستگاه ها

 امنیت شبکه تصادفی نیست، حاصل تصمیم گیری های آگاهانه و مستمر است.
اگر مسئولیت مدیریت شبکه را بر عهده دارید، همین امروز تنظیمات SNMP را بررسی و ایمن سازی آن را در اولویت قرار دهید.