在啟用了snmp協(xié)議服務情況下，我們如何來確保這個協(xié)議的安全呢?首先我們要及時更新這個協(xié)議的補丁，之后還要對這個協(xié)議的流程進行過濾。那么具體的實施情況請從下文我們來了解一下吧。

保障snmp的安全

如果某些設備確實有必要運行snmp,則必須保障這些設備的安全?首先要做的是確定哪些設備正在運行snmp服務?除非定期對整個網絡進行端口掃描,全面掌握各臺機器?設備上運行的服務,否則的話,很有可能遺漏一?二個snmp協(xié)議服務?特別需要注意的是,網絡交換機?打印機之類的設備同樣也會運行snmp服務?確定snmp服務的運行情況后,再采取下面的措施保障服務安全?

◆加載snmp服務的補丁

安裝snmp協(xié)議服務的補丁,將snmp服務升級到2.0或更高的版本?聯(lián)系設備的制造商,了解有關安全漏洞和升級補丁的情況?

◆保護snmp通信字符串

一個很重要的保護措施是修改所有默認的通信字符串?根據設備文檔的說明,逐一檢查?修改各個標準的?非標準的通信字符串,不要遺漏任何一項,必要時可以聯(lián)系制造商獲取詳細的說明?

◆過濾snmp

另一個可以采用的保護措施是在網絡邊界上過濾snmp通信和請求,即在防火墻或邊界路由器上,阻塞snmp請求使用的端口?標準的snmp服務使用161和162端口,廠商私有的實現一般使用199?391?705和1993端口?禁用這些端口通信后,外部網絡訪問內部網絡的能力就受到了限制;另外,在內部網絡的路由器上,應該編寫一個ACL,只允許某個特定的可信任的snmp管理系統(tǒng)操作snmp?例如,下面的ACL只允許來自(或者走向)snmp管理系統(tǒng)的snmp通信,限制網絡上的所有其他snmp通信:

1.access-list 100 permit ip host w.x.y any

2.access-list 100 deny udp any any eq snmp

3.access-list 100 deny udp any any eq snmptrap

4.access-list 100 permit ip any any

這個ACL的***行定義了可信任管理系統(tǒng)(w.x.y)?利用下面的命令可以將上述ACL應用到所有網絡接口:

1.interface serial 0

2.ip access-group 100 in

總之,snmp的發(fā)明代表著網絡管理的一大進步,現在它仍是高效管理大型網絡的有力工具?然而,snmp的早期版本天生缺乏安全性,即使***的版本同樣也存在問題?就象網絡上運行的其他服務一樣,snmp協(xié)議服務的安全性也是不可忽視的?不要盲目地肯定網絡上沒有運行snmp服務,也許它就躲藏在某個設備上?那些必不可少的網絡服務已經有太多讓人擔憂的安全問題,所以***關閉snmp之類并非必需的服務--至少盡量設法保障其安全?

【編輯推薦】

1. Win 2003中配置SNMP服務的網絡安全
2. APC SmartSlot Web/SNMP管理卡默認密碼漏洞