在啟用了SNMP協(xié)議服務(wù)情況下,我們?nèi)绾蝸?lái)確保這個(gè)協(xié)議的安全呢?首先我們要及時(shí)更新這個(gè)協(xié)議的補(bǔ)丁�����,之后還要對(duì)這個(gè)協(xié)議的流程進(jìn)行過(guò)濾。
保障SNMP的安全
如果某些設(shè)備確實(shí)有必要運(yùn)行SNMP,則必須保障這些設(shè)備的安全?首先要做的是確定哪些設(shè)備正在運(yùn)行SNMP服務(wù)?除非定期對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行端口掃描,全面掌握各臺(tái)機(jī)器?設(shè)備上運(yùn)行的服務(wù),否則的話,很有可能遺漏一?二個(gè)SNMP協(xié)議服務(wù)?特別需要注意的是,網(wǎng)絡(luò)交換機(jī)?打印機(jī)之類的設(shè)備同樣也會(huì)運(yùn)行SNMP服務(wù)?確定SNMP服務(wù)的運(yùn)行情況后,再采取下面的措施保障服務(wù)安全?
加載SNMP服務(wù)的補(bǔ)丁
安裝SNMP協(xié)議服務(wù)的補(bǔ)丁,將SNMP服務(wù)升級(jí)到2.0或更高的版本?聯(lián)系設(shè)備的制造商,了解有關(guān)安全漏洞和升級(jí)補(bǔ)丁的情況?
保護(hù)SNMP通信字符串
一個(gè)很重要的保護(hù)措施是修改所有默認(rèn)的通信字符串?根據(jù)設(shè)備文檔的說(shuō)明,逐一檢查?修改各個(gè)標(biāo)準(zhǔn)的?非標(biāo)準(zhǔn)的通信字符串,不要遺漏任何一項(xiàng),必要時(shí)可以聯(lián)系制造商獲取詳細(xì)的說(shuō)明?
過(guò)濾SNMP
另一個(gè)可以采用的保護(hù)措施是在網(wǎng)絡(luò)邊界上過(guò)濾SNMP通信和請(qǐng)求,即在防火墻或邊界路由器上,阻塞SNMP請(qǐng)求使用的端口?標(biāo)準(zhǔn)的SNMP服務(wù)使用161和162端口,廠商私有的實(shí)現(xiàn)一般使用199?391?705和1993端口?禁用這些端口通信后,外部網(wǎng)絡(luò)訪問(wèn)內(nèi)部網(wǎng)絡(luò)的能力就受到了限制;另外,在內(nèi)部網(wǎng)絡(luò)的路由器上,應(yīng)該編寫一個(gè)ACL,只允許某個(gè)特定的可信任的SNMP管理系統(tǒng)操作 SNMP?例如,下面的ACL只允許來(lái)自(或者走向)SNMP管理系統(tǒng)的SNMP通信,限制網(wǎng)絡(luò)上的所有其他SNMP通信:
1.access-list 100 permit ip host w.x.y any
2.access-list 100 deny udp any any eq snmp
3.access-list 100 deny udp any any eq snmptrap
4.access-list 100 permit ip any any
這個(gè)ACL的第一行定義了可信任管理系統(tǒng)(w.x.y)?利用下面的命令可以將上述ACL應(yīng)用到所有網(wǎng)絡(luò)接口:
1.interface serial 0
2.ip access-group 100 in
總之,SNMP的發(fā)明代表著網(wǎng)絡(luò)管理的一大進(jìn)步,現(xiàn)在它仍是高效管理大型網(wǎng)絡(luò)的有力工具?然而,SNMP的早期版本天生缺乏安全性,即使最新的版本同樣也存在問(wèn)題?就象網(wǎng)絡(luò)上運(yùn)行的其他服務(wù)一樣,SNMP協(xié)議服務(wù)的安全性也是不可忽視的?不要盲目地肯定網(wǎng)絡(luò)上沒(méi)有運(yùn)行SNMP服務(wù),也許它就躲藏在某個(gè)設(shè)備上?那些必不可少的網(wǎng)絡(luò)服務(wù)已經(jīng)有太多讓人擔(dān)憂的安全問(wèn)題,所以最好關(guān)閉SNMP之類并非必需的服務(wù)--至少盡量設(shè)法保障其安全?
