配置mib-view,view名是iso-view,可访问iso为根的子树下的节点
配置mib-view,view名是iso-view,可访问iso为根的子树下的节点
SNMP
SNMP是用于管理网络设备的协议。网络管理员需要从设备获取数据或向设备执行设置操作,都可以通过SNMP来完成。SNMP还提供了Trap操作,当设备的重要状态发生改变时,可以向网管通报事件的发生。
安全策略介绍
对于SNMPv1、v2v、v3,SNMP有不同的安全策略。
SNMPv1、v2为不安全协议,支持ACL和VACM(基于视图的访问控制)。通过给团体名关联acl和mib-view,将允许访问设备的网管和允许访问的节点限定在一定范围内。从而在一定程度上提供了系统安全的保护。
对于SNMPV3,增加了支持USM(基于用户的安全模型)的安全机制,当前支持md5/sha鉴权、DES、和AES加密算法。通过对通信的数据进行鉴别和加密,解决消息被伪装、篡改、泄密等安全问题。
攻击方法介绍
SNMP常见的攻击,一般有:
攻击者通过改变发送报文的源IP,获取到授权用户的权限,从而执行未经授权的管理操作。
拦截管理站和SNMP代理间的通信,获取到用户名、密码,团体名等信息,获取非法授权。
拦截SNMP消息,进行重排序、延迟、重发,从而影响正常操作,直到攻击者获得非法的未授权访问权限。
SNMP的USM安全模型中对数据的鉴别和加密,可以有效的降低或防御这种攻击。
鉴权:对数据整体性和数据发送源鉴别,保证消息是由该发送源发送的,不是别人伪造的数据包、传输过程中没有被篡改过。使用MD5、SHA这些算法对数据进行摘要,从而鉴别数据有没有被篡改。
加密:对数据进行加密,保证不能使用网络数据包截获技术将包拦截而直接解读。使用DES或AES来加密数据,即保证了加解密的功率,又保证了足够的强度。
配置维护方法
出于安全考虑,建议配置鉴权加密的v3用户,并使用v3鉴权加密方式来管理设备,并通过给用户关联ACL,mib-view限制用户的访问权限。
(1)配置ACL规则ACL 2001,允许或拒绝某些IP。
<HUAWEI> system-view
[HUAWEI] acl 2001
[HUAWEI-acl-basic-2001] rule 5 deny source 10.138.20.123 0
[HUAWEI-acl-basic-2001] rule 10 permit source 10.138.90.111 0
[HUAWEI-acl-basic-2001] quit
(2)配置SNMP的访问控制列表,基于SNMP Agent对用户进行过滤,限制访问设备的网管,从而提高安全性。
[HUAWEI] snmp-agent acl 2001
(3)配置mib-view,view名是iso-view,可访问iso为根的子树下的节点。
[HUAWEI] snmp-agent mib-view included iso-view iso
(4)配置v3组,组名是v3group,关联的读视图、写视图、通知视图都为iso-view,并关联ACL 2001,基于用户组进行过滤。
[HUAWEI] snmp-agent group v3 v3group privacy read-view iso-view write-view iso-view notify-view iso-view acl 2001
(5)配置一个snmp v3用户,用户名为v3user,归属于v3group组。该用户的鉴权方式为sha,密码为hello1234,加密方式为aes128,密码为hello2012,关联ACL 2001,基于用户和用户组进行过滤。
[HUAWEI] snmp-agent usm-user v3 v3user group v3group
[HUAWEI] snmp-agent usm-user v3 v3user group v3group acl 2001
[HUAWEI] snmp-agent usm-user v3 v3user authentication-mode sha
Please configure the authentication password (8-64)
Enter Password:
Confirm Password:
[HUAWEI] snmp-agent usm-user v3 v3user privacy-mode aes256
Please configure the privacy password (8-64)
Enter Password:
Confirm Password:
(6)查看当前的SNMP配置。
[HUAWEI] display current-configuration | include snmp
snmp-agent
snmp-agent acl 2001
snmp-agent local-engineid 800007DB03781DBACA875F
snmp-agent sys-info version v3
snmp-agent group v3 v3group privacy read-view iso-view write-view iso-view notify-view iso-view acl 2001
snmp-agent mib-view included iso-view iso
snmp-agent usm-user v3 v3user
snmp-agent usm-user v3 v3user group v3group
snmp-agent usm-user v3 v3user authentication-mode sha cipher %^%#odaJ7R)/O7k$pwQx0qfD0\`u*'GI1(|;ZQXHtzrN%^%#
snmp-agent usm-user v3 v3user privacy-mode aes256 cipher %^%#f*K3/|E6d"SJes9)5naXPIqCTpR"}BUC=yW;!(f9%^%#
snmp-agent usm-user v3 v3user acl 2001
配置维护建议
(1)对于SNMPv1、v2c团体字配置,采用了加密存储的方式。
(2)对于SNMPv3用户,配置用户鉴权、加密密码时,采用密码二次确认的方式,配置的密码不进行回显,且密文存储。
(3)团体名、用户密码的密文存储,有效的从配置上防止配置团体名、用户密码泄露。
SNMP(列表、list、全)SNMPlist
http://www.zh-cjh.com/wenzhangguilei/1562.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » 配置mib-view,view名是iso-view,可访问iso为根的子树下的节点
作者: cjh
手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm