Иллюстрированный самоучитель по Secure Web
         

В диспетчере Site Manager, который


В диспетчере Site Manager, который входит в состав программного обеспечения маршрутизаторов компании Bay Networks, выберите команду меню Protocols>IlP1* SNMPoCommunities. После этого выберите команду Community>Edit Community и измените строки доступа.

Контрмеры: защита SNMP

Если вы разрешаете осуществлять SNMP-доступ через пограничный брандмауэр к какому-либо одному устройству, а в использовании протокола SNMP для доступа к остальным узлам сети нет острой необходимости, то можно просто внести соответствующие ограничения в список ACL маршрутизатора.

access-list 101 deny udp any any eq 161 log ! Блокирование трафика SNMP

Еще проще заменить строки доступа трудно угадываемыми паролями. Например, в устройствах Cisco это достигается с помощью следующей простой команды.

snmp-server community <трудно угадываемый пароль> RO

Кроме того, всегда, когда это возможно, запрещайте SNMP-доступ для чтения с возможностью записи.

Для снижения риска применения протокола SNMP можно воспользоваться также и рекомендацией самой компании Cisco (http://www.cisco.com/univercd/cc/-td/doc/cisintwk/ics/cs003.htm):

"К сожалению, строки доступа SNMP передаются по сети в виде незашифрованного текста... По этой причине отказ от использования сервера SNMP, поддерживающего передачу сообщений trap, позволит предотвратить перехват этих сообщений взломщиками (передаваемых между диспетчерами и агентами SNMP) и их использование для получения строк доступа."

Если в строке доступа вы хотите использовать символ ?, то перед ним необходимо нажать комбинацию клавиш <Ctrl-V>. Например, для того чтобы установить строку доступа, равную secret? 2me, введите secret<Ctrl-V>?2me.

В табл. 10.2 перечислены все основные разработчики сетевых устройств и строки доступа, используемые ими по умолчанию для чтения и для чтения/записи.

Таблица 10.2. Используемые по умолчанию пароли сетевых устройств























































Компания-разработчик



Строка доступа для чтения



Строка доступа для чтения/записи



Ascend



public



write



Bay



public



private



Cisco



public



private



3Com



public, monitor



manager, security



Ниже приведен список часто встречаемых строк доступа.

  •  public


  •  private


  •  secret


  •  world


  •  read


  •  network


  •  community


  •  write


  •  cisco


  •  all private


  •  admin


  •  default


  •  password


  •  tivoli


  •  openview


  •  monitor


  •  manager


  •  security


    • Помимо перечисленных строк доступа, используемых по умолчанию, многие компании в качестве таковых используют собственное название. Например, руководствуясь этим принципом, издательство Osborne может использовать в качестве строки доступа слово osborne (но это только по секрету).


    Содержание  Назад  Вперед