安全方面的SNMP服務(wù)配置
SNMP服務(wù)在很多系統(tǒng)中都有所應(yīng)用。就目前而言,我們常用的還是WIN系統(tǒng),UNIX/Linux系統(tǒng)。那么接下來我們就對(duì)在Win 2003中為SNMP服務(wù)配置網(wǎng)絡(luò)安全性方面的內(nèi)容做一下介紹。
SNMP 服務(wù)起著代理的作用,它會(huì)收集可以向 SNMP 管理站或控制臺(tái)報(bào)告的信息。您可以使用 SNMP 服務(wù)來收集數(shù)據(jù),并且在整個(gè)公司網(wǎng)絡(luò)范圍內(nèi)管理基于 Windows Server 2003、Microsoft Windows XP 和 Microsoft Windows 2000 的計(jì)算機(jī)。
通常,保護(hù) SNMP 代理與 SNMP 管理站之間的通信的方法是:給這些代理和管理站指定一個(gè)共享的社區(qū)名稱。當(dāng) SNMP 管理站向 SNMP 服務(wù)發(fā)送查詢時(shí),請(qǐng)求方的社區(qū)名稱就會(huì)與代理的社區(qū)名稱進(jìn)行比較。如果匹配,則表明 SNMP 管理站已通過身份驗(yàn)證。如果不匹配,則表明 SNMP 代理認(rèn)為該請(qǐng)求是“失敗訪問”嘗試,并且可能會(huì)發(fā)送一條SNMP 陷阱消息。
SNMP 消息是以明文形式發(fā)送的。這些明文消息很容易被“Microsoft 網(wǎng)絡(luò)監(jiān)視器”這樣的網(wǎng)絡(luò)分析程序截取并解碼。未經(jīng)授權(quán)的人員可以捕獲社區(qū)名稱,以獲取有關(guān)網(wǎng)絡(luò)資源的重要信息。
“IP 安全協(xié)議”(IPSec) 可用來保護(hù) SNMP 通信。您可以創(chuàng)建保護(hù) TCP 和 UDP 端口161 和 162 上的通信的 IPSec 策略,以保護(hù) SNMP 事務(wù)。
SNMP服務(wù)配置1。創(chuàng)建篩選器列表
要?jiǎng)?chuàng)建保護(hù)SNMP 消息的 IPSec 策略,先要?jiǎng)?chuàng)建篩選器列表。方法是:
單擊開始,指向管理工具,然后單擊本地安全策略。展開安全設(shè)置,右鍵單擊“本地計(jì)算機(jī)上的 IP 安全策略”,然后單擊“管理 IP 篩選器列表和篩選器xx作”。
單擊“管理 IP 篩選器列表”選項(xiàng)卡,然后單擊添加。
在IP 篩選器列表 對(duì)話框中,鍵入 SNMP 消息 (161/162)(在名稱 框中),然后鍵入TCP 和 UDP 端口 161 篩選器(在說明 框中)。
單擊使用“添加向?qū)?rdquo; 復(fù)選框,將其清除,然后單擊添加。
在“源地址”框(位于顯示的IP 篩選器屬性 對(duì)話框的地址 選項(xiàng)卡上)中,單擊“任意IP 地址”。在“目標(biāo)地址”框中,單擊我的 IP 地址。單擊“ 鏡像。匹配具有正好相反的源和目標(biāo)地址的數(shù)據(jù)包”復(fù)選框,將其選中。
單擊協(xié)議 選項(xiàng)卡。在“選擇協(xié)議類型”框中,單擊UDP。在“設(shè)置 IP 協(xié)議端口”框中,單擊“從此端口”,然后在框中鍵入 161。單擊“到此端口”,然后在框中鍵入 161。
單擊確定。
在IP 篩選器列表 對(duì)話框中,單擊添加。
在“源地址”框(位于顯示的IP 篩選器屬性 對(duì)話框的地址 選項(xiàng)卡上)中,單擊“任意IP 地址”。在“目標(biāo)地址”框中,單擊我的 IP 地址。單擊“ 鏡像。匹配具有正好相反的源和目標(biāo)地址的數(shù)據(jù)包”復(fù)選框,將其選中。
單擊協(xié)議 選項(xiàng)卡。在“選擇協(xié)議類型框中,單擊 TCP。在“設(shè)置 IP 協(xié)議”框中,單擊“從此端口”,然后在框中鍵入 161。單擊“到此端口”,然后在框中鍵入 161。
單擊確定。
在IP 篩選器列表 對(duì)話框中,單擊添加。
在“源地址”框(位于顯示的IP 篩選器屬性 對(duì)話框的地址 選項(xiàng)卡上)中,單擊“任意IP 地址”。在“目標(biāo)地址”框中,單擊我的 IP 地址。單擊“ 鏡像。匹配具有正好相反的源和目標(biāo)地址的數(shù)據(jù)包”復(fù)選框,將其選中。
單擊協(xié)議 選項(xiàng)卡。在“選擇協(xié)議類型”框中,單擊UDP。在“設(shè)置 IP 協(xié)議”框中,單擊“從此端口”,然后在框中鍵入 162。單擊“到此端口”,然后在框中鍵入 162。
單擊確定.
在IP 篩選器列表 對(duì)話框中,單擊添加。
在“源地址”框(位于顯示的IP 篩選器屬性 對(duì)話框的地址 選項(xiàng)卡上)中,單擊“任意IP 地址”。在“目標(biāo)地址”框中,單擊我的 IP 地址。單擊“ 鏡像。匹配具有正好相反的源和目標(biāo)地址的數(shù)據(jù)包”復(fù)選框,將其選中。
單擊協(xié)議 選項(xiàng)卡。在“選擇協(xié)議類型框中,單擊 TCP。在“設(shè)置 IP 協(xié)議”框中,單擊“從此端口”,然后在框中鍵入 162。單擊“到此端口”,然后在框中鍵入 162。
單擊確定。
在 IP 篩選器列表 對(duì)話框中單擊確定 ,然后單擊“管理 IP 篩選器列表和篩選器操作”對(duì)話框中的確定 。
SNMP服務(wù)配置2。創(chuàng)建IPSec策略
要?jiǎng)?chuàng)建 IPSec 策略來對(duì)SNMP通信強(qiáng)制實(shí)施 IPSec,請(qǐng)按以下步驟操作:
右鍵單擊左窗格中“本地計(jì)算機(jī)上的 IP 安全策略”,然后單擊創(chuàng)建 IP 安全策略。
IP 安全策略向?qū)?rdquo;啟動(dòng)。
單擊下一步。
在“IP 安全策略名稱”頁(yè)上的名稱 框中鍵入 Secure SNMP。在說明 框中,鍵入
Force IPSec for SNMP Communications,然后單擊下一步。
單擊“激活默認(rèn)響應(yīng)規(guī)則”復(fù)選框,將其清除,然后單擊下一步。
在“正在完成 IP 安全策略向?qū)?rdquo;頁(yè)上,確認(rèn)“編輯屬性”復(fù)選框已被選中,然后單擊完成。
在安全 SNMP 屬性 對(duì)話框中,單擊使用“添加向?qū)?rdquo; 復(fù)選框,將其清除,然后單擊添加。
單擊IP 篩選器列表 選項(xiàng)卡,然后單擊SNMP 消息 (161/162)。
單擊篩選器xx作 選項(xiàng)卡,然后單擊需要安全。
單擊身份驗(yàn)證方法 選項(xiàng)卡。默認(rèn)的身份驗(yàn)證方法為 Kerberos。如果您需要另一種身份驗(yàn)證方法,則請(qǐng)單擊添加。在新身份驗(yàn)證方法屬性 對(duì)話框中,從下面的列表中選擇要使用的身份驗(yàn)證方法,然后單擊確定:
Active Directory 默認(rèn)值(Kerberos V5 協(xié)議)使用此字符串(預(yù)共享密鑰)
在新規(guī)則屬性 對(duì)話框中,單擊應(yīng)用,然后單擊確定。
在SNMP 屬性 對(duì)話框中,確認(rèn)SNMP 消息 (161/162) 復(fù)選框已被選中,然后單擊確定。
在“本地安全設(shè)置”控制臺(tái)的右窗格中,右鍵單擊安全 SNMP 規(guī)則,然后單擊指定。
在所有運(yùn)行 SNMP 服務(wù)的基于 Windows 的計(jì)算機(jī)上完成此過程。SNMP 管理站上也必須配置此 IPSec 策略。
