Контрмеры защита SNMP



Контрмеры: защита SNMP

Если вы разрешаете осуществлять SNMP-доступ через пограничный брандмауэр к какому-либо одному устройству, а в использовании протокола SNMP для доступа к остальным узлам сети нет острой необходимости, то можно просто внести соответствующие ограничения в список ACL маршрутизатора.
access-list 101 deny udp any any eq 161 log ! Блокирование трафика SNMP
Еще проще заменить строки доступа трудно угадываемыми паролями. Например, в устройствах Cisco это достигается с помощью следующей простой команды.
snmp-server community <трудно угадываемый пароль> RO
Кроме того, всегда, когда это возможно, запрещайте SNMP-доступ для чтения с возможностью записи.
Для снижения риска применения протокола SNMP можно воспользоваться также и рекомендацией самой компании Cisco (http://www.cisco.com/univercd/cc/-td/doc/cisintwk/ics/cs003.htm):
"К сожалению, строки доступа SNMP передаются по сети в виде незашифрованного текста... По этой причине отказ от использования сервера SNMP, поддерживающего передачу сообщений trap, позволит предотвратить перехват этих сообщений взломщиками (передаваемых между диспетчерами и агентами SNMP) и их использование для получения строк доступа."

Если в строке доступа вы хотите использовать символ ?, то перед ним необходимо нажать комбинацию клавиш <Ctrl-V>. Например, для того чтобы установить строку доступа, равную secret? 2me, введите secret<Ctrl-V>?2me.

В табл. 10.2 перечислены все основные разработчики сетевых устройств и строки доступа, используемые ими по умолчанию для чтения и для чтения/записи.

Содержание раздела