学习如何来保障SNMP服务的安全

运维 系统运维
我们来学习如何确定哪些设备正在运行SNMP服务。如果某些设备确实有必要运行SNMP,我们要必须保障这些设备的安全。

在我们使用SNMP服务的时候,对它的安全很注意。所以在操作中,保障SNMP服务的安全也就是我们这次学习的重点。如果某些设备确实有必要运行SNMP,则必须保障这些设备的安全。

首先要做的是确定哪些设备正在运行SNMP服务。除非定期对整个网络进行端口扫描,全面掌握各台机器、设备上运行的服务,否则的话,很有可能遗漏一、二个SNMP服务。

特别需要注意的是,网络交换机、打印机之类的设备同样也会运行SNMP服务。确定SNMP服务的运行情况后,再采取下面的措施保障服务安全。

■ 加载SNMP服务的补丁
安装SNMP服务的补丁,将SNMP服务升级到2.0或更高的版本。联系设备的制造商,了解有关安全漏洞和升级补丁的情况。

■ 保护SNMP通信字符串
一个很重要的保护措施是修改所有默认的通信字符串。根据设备文档的说明,逐一检查、修改各个标准的、非标准的通信字符串,不要遗漏任何一项,必要时可以联系制造商获取详细的说明。

■ 过滤SNMP
另一个可以采用的保护措施是在网络边界上过滤SNMP通信和请求,即在防火墙或边界路由器上,阻塞SNMP请求使用的端口。标准的SNMP服务使用161和162端口,厂商私有的实现一般使用199、391、705和1993端口。

禁用这些端口通信后,外部网络访问内部网络的能力就受到了限制;另外,在内部网络的路由器上,应该编写一个ACL,只允许某个特定的可信任的SNMP管理系统操作SNMP。例如,下面的ACL只允许来自(或者走向)SNMP管理系统的SNMP通信,限制网络上的所有其他SNMP通信:
 

  1. access-list 100 permit ip host w.x.y any   
  2. access-list 100 deny udp any any eq snmp   
  3. access-list 100 deny udp any any eq snmptrap  
  4. access-list 100 permit ip any any 

这个ACL的***行定义了可信任管理系统(w.x.y)。利用下面的命令可以将上述ACL应用到所有网络接口:
 

  1. interface serial 0   
  2. ip access-group 100 in 

总之,SNMP的发明代表着网络管理的一大进步,现在它仍是高效管理大型网络的有力工具。

然而,SNMP的早期版本天生缺乏安全性,即使***的版本同样也存在问题。就象网络上运行的其他服务一样,SNMP服务的安全性也是不可忽视的。不要盲目地肯定网络上没有运行SNMP服务,也许它就躲藏在某个设备上。

那些必不可少的网络服务已经有太多让人担忧的安全问题,所以***关闭SNMP服务之类并非必需的服务——至少尽量设法保障其安全。

【编辑推荐】

  1. 讲解SNMP协议网络管理的功能
  2. 走进SNMP协议与SNMP报文的知识
  3. 深度探析SNMP协议的背后秘密
  4. 关于管理信息的基本方式SNMP命令
  5. 关于SNMP协议与管理代理的讲解
责任编辑:小霞
相关推荐

2010-05-24 19:28:59

SNMP服务

2019-08-01 14:44:31

云存储安全网络

2010-11-03 15:39:19

2013-11-12 09:56:03

系统服务安全TCP wrapper企业安全

2010-07-16 12:10:15

2010-06-29 16:33:46

SNMP服务

2013-12-20 10:40:02

开源系统服务安全chroot开源安全

2012-01-18 11:25:36

服务器优化

2010-11-29 09:49:59

2022-09-08 15:36:07

物联网安全物联网网络

2010-07-01 15:06:23

SNMP服务配置

2016-04-13 14:03:38

2013-12-02 15:54:34

2021-01-05 18:32:12

物联网安全

2010-05-19 19:30:47

2023-06-30 17:18:09

2023-05-23 12:28:04

2024-04-11 09:45:31

2017-11-16 15:14:54

2010-10-09 21:42:13

SNMP网络安全
点赞
收藏

51CTO技术栈公众号