Иллюстрированный самоучитель по Secure Web


SNMP - часть 3



В диспетчере Site Manager, который входит в состав программного обеспечения маршрутизаторов компании Bay Networks, выберите команду меню Protocols>IlP1* SNMPoCommunities. После этого выберите команду Community>Edit Community и измените строки доступа.

Контрмеры: защита SNMP


Если вы разрешаете осуществлять SNMP-доступ через пограничный брандмауэр к какому-либо одному устройству, а в использовании протокола SNMP для доступа к остальным узлам сети нет острой необходимости, то можно просто внести соответствующие ограничения в список ACL маршрутизатора.

access-list 101 deny udp any any eq 161 log ! Блокирование трафика SNMP

Еще проще заменить строки доступа трудно угадываемыми паролями. Например, в устройствах Cisco это достигается с помощью следующей простой команды.

snmp-server community <трудно угадываемый пароль> RO

Кроме того, всегда, когда это возможно, запрещайте SNMP-доступ для чтения с возможностью записи.

Для снижения риска применения протокола SNMP можно воспользоваться также и рекомендацией самой компании Cisco (http://www.cisco.com/univercd/cc/-td/doc/cisintwk/ics/cs003.htm):

"К сожалению, строки доступа SNMP передаются по сети в виде незашифрованного текста... По этой причине отказ от использования сервера SNMP, поддерживающего передачу сообщений trap, позволит предотвратить перехват этих сообщений взломщиками (передаваемых между диспетчерами и агентами SNMP) и их использование для получения строк доступа."

Если в строке доступа вы хотите использовать символ ?, то перед ним необходимо нажать комбинацию клавиш <Ctrl-V>. Например, для того чтобы установить строку доступа, равную secret? 2me, введите secret<Ctrl-V>?2me.

В табл. 10.2 перечислены все основные разработчики сетевых устройств и строки доступа, используемые ими по умолчанию для чтения и для чтения/записи.

Таблица 10.2. Используемые по умолчанию пароли сетевых устройств

Компания-разработчик

Строка доступа для чтения

Строка доступа для чтения/записи

Ascend

public

write

Bay

public

private

Cisco

public

private

3Com

public, monitor

manager, security

Ниже приведен список часто встречаемых строк доступа.

  •  public
  •  private
  •  secret
  •  world
  •  read
  •  network
  •  community
  •  write
  •  cisco
  •  all private
  •  admin
  •  default
  •  password
  •  tivoli
  •  openview
  •  monitor
  •  manager
  •  security

Помимо перечисленных строк доступа, используемых по умолчанию, многие компании в качестве таковых используют собственное название. Например, руководствуясь этим принципом, издательство Osborne может использовать в качестве строки доступа слово osborne (но это только по секрету).





Начало  Назад  Вперед