【导语】“青子芩”通过精心收集,向本站投稿了4篇保护SNMP协议服务安全的三个步骤,下面就是小编给大家带来的保护SNMP协议服务安全的三个步骤,希望能帮助到大家!
篇1:保护SNMP协议服务安全的三个步骤
在启用了snmp协议服务情况下,我们如何来确保这个协议的安全呢?首先我们要及时更新这个协议的补丁,之后还要对这个协议的流程进行过滤,那么具体的实施情况请从下文我们来了解一下吧。
保障snmp的安全
如果某些设备确实有必要运行snmp,则必须保障这些设备的安全?首先要做的是确定哪些设备正在运行snmp服务?除非定期对整个网络进行端口扫描,全面掌握各台机器?设备上运行的服务,否则的话,很有可能遗漏一?二个snmp协议服务?特别需要注意的是,网络交换机?打印机之类的设备同样也会运行snmp服务?确定snmp服务的运行情况后,再采取下面的措施保障服务安全?
◆加载snmp服务的补丁
安装snmp协议服务的补丁,将snmp服务升级到2.0或更高的版本?联系设备的制造商,了解有关安全漏洞和升级补丁的情况?
◆保护snmp通信字符串
一个很重要的保护措施是修改所有默认的通信字符串?根据设备文档的说明,逐一检查?修改各个标准的?非标准的通信字符串,不要遗漏任何一项,必要时可以联系制造商获取详细的说明?
◆过滤snmp
另一个可以采用的保护措施是在网络边界上过滤snmp通信和请求,即在防火墙或边界路由器上,阻塞snmp请求使用的端口?标准的snmp服务使用161和162端口,厂商私有的实现一般使用199?391?705和1993端口?禁用这些端口通信后,外部网络访问内部网络的能力就受到了限制;另外,在内部网络的路由器上,应该编写一个ACL,只允许某个特定的可信任的snmp管理系统操作snmp?例如,下面的ACL只允许来自(或者走向)snmp管理系统的snmp通信,限制网络上的所有其他snmp通信:
1.access-list 100 permit ip host w.x.y any
2.access-list 100 deny udp any any eq snmp
3.access-list 100 deny udp any any eq snmptrap
4.access-list 100 permit ip any any
这个ACL的第一行定义了可信任管理系统(w.x.y)?利用下面的命令可以将上述ACL应用到所有网络接口:
1.interface serial 0
2.ip access-group 100 in
总之,snmp的发明代表着网络管理的一大进步,现在它仍是高效管理大型网络的有力工具?然而,snmp的早期版本天生缺乏安全性,即使最新的版本同样也存在问题?就象网络上运行的其他服务一样,snmp协议服务的安全性也是不可忽视的?不要盲目地肯定网络上没有运行snmp服务,也许它就躲藏在某个设备上?那些必不可少的网络服务已经有太多让人担忧的安全问题,所以最好关闭snmp之类并非必需的服务--至少尽量设法保障其安全?
篇2: 最关心的SNMP协议的安全
SNMP服务又称简单网络管理协议,是为了解决Internet上的路由器管理问题而提出的,
最关心的SNMP协议的安全
。在Windows操作系统中起着代理的作用,它会收集可以向SNMP管理站或控制台报告的信息。依靠使用SNMP服务来让系统收集数据,并且在整个网络范围内管理基于Windows 2000/XP/ 2003操作系统的计算机。
SNMP服务又称简单网络管理协议,是为了解决Internet上的路由器管理问题而提出的。在Windows操作系统中起着代理的作用,它会收集可以向SNMP管理站或控制台报告的信息。依靠使用SNMP服务来让系统收集数据,并且在整个网络范围内管理基于Windows 2000/XP/ 2003操作系统的计算机。
一般来说,SNMP消息是以明文形式发送的,而这些消息很容易被“Microsoft网络监视器”这样的网络分析程序截取并解码,
未经授权的人可以捕获社区名称,以获取有关网络资源的重要信息。因此关于SNMP这样的服务必须要注意其安全才能有效的广泛使用。
要保护我们的SNMP不被非法行为所破坏,我们需要在系统上进行一系列的安全措施,例如“IP安全协议”用来保护SNMP通信。在系统上创建保护TCP和UDP端口161和162上的通信的IP Sec策略保护SNMP服务的安全。
步骤1:选择“开始→控制面板→管理工具→本地安全策略”,右键点击左栏“IP安全策略,在本地计算机”,选“管理IP筛选器列表和筛选器操作”。
步骤2:选“管理IP筛选器列表”然后单击“添加”按钮。在“IP筛选器列表”中的名称栏输入“161/162端口”,在“描述”框中输入“161/162端口筛选器”。点击去除“添加向导”复选框,然后点“添加”按钮。在“源地址”框(位于显示的IP筛选器属性对话框的“寻址”选项卡上)中,选择“任何IP地址”。在“目标地址”区域中,选择“我的IP地址”,选择“镜像。需要选择匹配具有正好相反的源和目标地址的数据包”复选框。
步骤3:点“协议”选项卡,在“选择协议类型”选择“UDP”。在“设置IP协议端口”区域中,选择“从此端口”,输入161。单击“到此端口”,然后输入161,点击“确定”按钮,在“IP筛选器列表”对话框中,选择“添加”按钮。用同样的方法再次添加162的端口。
篇3:人在江湖安全第一使用SNMP服务的安全防范
默认安装带来安全漏洞
记得有一次在和一位网管聊天的过程中他坚持认为自己Windows2000Server系统是不可能被入侵的。“我已经把IPC$的连接共享都禁止,入侵者根本无法得到我系统上的账户信息了,保证没有问题。”而经过我检查发现TCP139和445端口确实被禁止了,但通过扫描器我却发现了一个重大漏洞--UDP161D端口上的SNMP。询问管理员后得知是正在试用某公司的网络管理软件。我们知道Windows2000后续的版本都可以通过“添加/删除程序→管理和监视工具”安装上SNMP,但在Windows系统中选择默认安装是非常不安全的。
默认安装SNMP的密码都是一样的。而入侵者从SNMP代理服务中会轻易的完成入侵前的准备工作。还有一点提醒各位,SNMP的消息是以明文形式发送的,而这些消息很容易被Microsoft网络监视器或者Sniffer这样的网络分析程序截取并解码。入侵者可以轻易的捕获服务的密码,以获取有关网络资源的重要信息。
获取SNMP服务信息非常容易
1.Snmputil命令
如果我们知道默认的SNMP服务密码,通过ResourceKit工具包里的Snmputil工具可以轻易地通过SNMP服务把Windows账户罗列出来,以便进行进一步的安全检测。语法如下:snmputilwalk.1.3.6.1.4.1.77.1.2.25,例如输入:snmputilwalk192.168.0.1××××.1.3.6.1.4.1.77.1.2.25命令后将得到所有的用户名,如图1所示。
另外通过SnmputilGetnext可以用来检测Windows2000SNMP服务内存消耗拒绝服务攻击的缺陷,有兴趣的朋友可以尝试一下。
2.图形界面的IPNetworkBrowser工具
IPNetworkBrowser工具是SolarWinds公司出品的一个检测工具,通过该程序可以对自己的系统了如指掌,
而这个工具包中还包括可以向目标系统里的MIB写入信息等功能,可以轻易更改系统的配置。
加固SNMP服务的方法
由于SNMP服务为管理员带来了很多方便,我们也不能为了相对的安全而停止使用该服务,所以对于它的安全防范至关重要,而最简单的方法就是更改服务的密码和针对IP地址提供有效服务。
运行Services.msc命令,找到SNMPService,右键选择“属性”,切换到“安全”选项卡。修改CommunityStrings,也就是“团体名称”改写,然后添加授权访问地连接地址,如图2所示。
如果是NT的操作系统就要麻烦些,修改下面注册表的键值。
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SNMP\\Parameters\\ValidCommunities]中将public改名。
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SNMP\\Parameters\\PermittedManagers]添加字符串,名称为“1”,内容为授权访问地连接地址。
另外,在入侵者企图利用SNMP入侵时,我们可以让系统日志记录入侵信息,Windows事件日志中的可用来创建包含这一事件的SNMP陷阱,所谓“陷阱”就是SNMP事件转换器的意思。由于篇幅的限制,这里显示出界面,细节内容可以参考“日志与审核”的相关帮助,如图3所示。
加密SNMP的通信的方法
除了上述关于主机加固的内容,为了不使用明文形式发送SNMP消息。可以利用IPSec策略保护SNMP服务的安全。
1.选择“管理工具→本地安全策略”,右键点击“IP安全策略”,选择“本地计算机→管理IP筛选器列表和筛选器操作”。
2.选择“管理IP筛选器列表”然后单击“添加”按钮。在“IP筛选器列表”中的名称栏输入“SNMP的管理”,去除“添加向导”复选框,然后点“添加”按钮,(一定要选择“镜像。需要选择匹配具有正好相反的源和目标地址的数据包”复选框。)生成策略。
3.根据需要在“协议”选项卡中配置,协议类型为UDP,端口输入161。单击“到此端口”,然后输入161,用同样的方法再次添加162的端口,如图4所示。
总结:在网络管理中,非常小的安全漏洞的疏忽将导致整个系统崩溃,“细心”是要求我们每位管理员必须做到的。同时,值得庆幸的是WindowsServer2003对于SNMP的默认安装作了很大改进,能够抵御到上文提到的所有攻击手段。
篇4:寄递协议服务安全管理办法下月起施行
寄递协议服务安全管理办法下月起施行
国家邮政局近日出台的寄递协议服务安全管理办法将于下月起施行,下面是相关内容,希望对大家有帮助。
国家邮政局近日发布的《邮件快件寄递协议服务安全管理办法(试行)》将于今年4月1日起正式施行。此次办法对寄递实名制提出了更高的要求
办法内容对协议服务和协议用户做出了界定,明确协议服务指提供寄递服务的企业(以下简称“寄递企业”)向协议用户提供的邮件、快件寄递服务;协议用户指委托寄递企业长期、批量提供寄递服务,并与其签订安全保障协议的法人或者其他组织。此办法对寄递实名制提出了更高的要求,寄递企业与用户签订安全保障协议前,用户应当出示可以证明其法人或其他组织身份的证件,以及法定代表人或者相关负责人的身份证件,寄递企业核对后留存证件复印件;企业用户应当对经营范围进行审查。办法还要求,寄递企业应当在安全保障协议中告知协议用户如实填写寄递详情单,包括寄件人、收件人名址和寄递物品的名称、类别、数量等;告知遵守国家关于禁止寄递、限制寄递物品的规定;在协议用户在场则当面验视交寄物品,检查是否含禁止或限制物品,物品名称、类别、数量是否与寄递详情单一致。
附:
邮件快件寄递协议服务安全管理规定(试行)
第一条【立法目的】 为规范邮件、快件寄递协议服务安全管理,保障寄递渠道安全,依据《中华人民共和国邮政法》《中华人民共和国反恐怖主义法》以及《快递市场管理办法》《邮政行业安全监督管理办法》等法律、行政法规和有关规定,制定本规定。
第二条【适用对象】 在中华人民共和国境内提供和使用邮件、快件寄递协议服务,适用本规定。
第三条【定义】 本规定所称协议服务,是指提供寄递服务的企业(以下简称寄递企业)向协议用户提供的邮件、快件寄递服务。
本规定所称协议用户,是指委托寄递企业长期、批量提供寄递服务,并与其签订安全保障协议的法人或者其他组织。
地方邮政管理部门可以根据本地实际情况,出台有关长期、批量的具体标准。
第四条【原则】 寄递企业协议服务安全管理坚持安全第一与便民高效相结合原则。
第五条【签约前的审核义务】 寄递企业与符合本规定第三条要求的用户签订安全保障协议前,应当对用户的经营范围以及用户遵守邮政法律规范的情况进行必要的审查。寄递企业发现用户生产、销售的主要产品属于禁止寄递物品的,或者曾有违法交寄行为的,以及存在可能影响寄递安全的其他情形的,不得为其提供协议服务。
第六条【寄递企业的实名登记义务】 签订安全保障协议时,寄递企业应当要求用户出示以下有效证件:
(一)用户为法人的,应当出示可以证明法人身份的有效证件,寄递企业核对后留存复印件;
(二)用户为法人以外的其他组织的,应当出示可以证明其身份的有效证件,寄递企业核对后留存证件复印件;
寄递企业可以根据法人或其他组织的类型及经营范围等,决定是否要求其出示法定代表人或者主要负责人的身份证件,并留存复印件。
用户不出示有效证件、拒绝留存复印件或者拒绝提供前述身份信息的,寄递企业不得与其签订安全保障协议和提供协议服务。
第七条【协议用户的实名义务】 签订安全保障协议时,用户应当依据第六条的规定提供真实、有效的证件以及其他证明材料。
第八条【寄递企业的填写告知义务】 寄递企业应当在安全保障协议中告知协议用户如实填写寄递详情单,包括寄件人、收件人名址和寄递物品的名称、类别、数量等。
第九条【协议用户的如实填实义务】 协议用户应当根据寄递企业的要求如实填写寄递详情单。
第十条【寄递企业的禁限寄告知义务】 寄递企业应当告知协议用户遵守国家关于禁止寄递、限制寄递物品的'规定,不得通过寄递活动危害国家安全、公共安全和公民、法人及其他组织的合法权益。
第十一条【寄递企业对协议用户的培训】 为提高寄递安全,鼓励寄递企业向协议用户提供国家关于禁止寄递、限制寄递规定的培训,特别是航空运输中关于禁止寄递的危险品、违禁品的培训。
第十二条【协议用户的安全寄递承诺】 寄递企业应当要求协议用户在协议中承诺不交寄法律、行政法规、国务院和国务院有关部门规定的禁止寄递、限制寄递的物品。
第十三条【收寄验视的义务】 寄递企业应当在协议用户在场的情况下,当面验视交寄物品,检查是否含有国家禁止或者限制寄递的物品,物品的名称、类别、数量等是否与寄递详情单所填写内容一致,以及是否属于安全保障协议约定交寄的物品范畴。
协议用户交寄的物品是批量同类物的,寄递企业可以统一登记该批物品的品名、属性、数量、该批次物品寄递详情单的号段等。
对不能确定安全性的可疑物品,寄递企业应当要求协议用户出具相关部门的安全证明原件,核对无误后,方可收寄。
第十四条【寄递企业过机安检的一般义务】 寄递企业应当依照法律、行政法规与国家有关规定,配置安检设备,对协议用户交寄的邮件、快件进行过机安检。
第十五条【批量同类物抽样安检的程序】 寄递企业对于协议用户交寄的批量同类物采取抽样方式过机安检的,应当与邮政管理部门签订安全责任书,载明抽样安检的适用对象与抽样比例等,并对抽样安检的结果承担主体责任。
对协议用户寄往重点地区、重点部位、重大活动所在地的邮件、快件,寄递企业必须全面过机安检。
第十六条【批量同类物抽样安检记录】 寄递企业应当对抽检的邮件、快件加盖安检戳记。
寄递企业应当建立每批次的批量同类物过机安检档案,档案中载明每批次同类物的品名、属性、数量、该批次物品寄递详情单的号段、抽样比例、样品寄递详情单单号等内容。
第十七条【寄递企业收件后的安全义务】 寄递企业在已经收寄的邮件、快件中发现禁寄物品的,应当立即停止发运和投递,视不同情况报告相关政府部门,并在二十四小时内报告当地邮政管理部门。
第十八条【协议用户建档与信息安全】 寄递企业应当建立协议用户档案,档案中应当包含安全保障协议、协议用户的详细信息及证明材料等。协议用户信息发生变化时,寄递企业应当及时更新档案内容。
寄递企业应当加强对协议用户档案的安全管理,落实信息安全保障措施,加强从业人员教育管理,妥善保管用户信息,确保协议用户信息安全。
第十九条【协议备案】 寄递企业应当将安全保障协议报邮政管理部门备案。协议用户发生调整的,寄递企业应当自发生调整之日起二十日内将调整后的安全保障协议报邮政管理部门备案。邮政管理部门可以根据本地行业发展的实际情况,确定备案的形式与要求。
第二十条【协议用户分级管理制度】 寄递企业可以根据协议用户遵守安全保障协议的情况,对协议用户实行分级管理,采取不同强度的安全管理措施。
第二十一条【对协议用户的检查】 邮政管理部门可以依据寄递企业报送的安全保障协议,查看协议用户档案,了解协议用户的基本情况。
寄递企业与不符合本规定要求的用户签订安全保障协议的,邮政管理部门在监督检查时,将之视为普通用户。
第二十二条【对安全保障义务的检查】 邮政管理部门应当对寄递企业落实安全保障义务的情况进行监督检查,发现寄递企业有违反本规定行为的,依照《中华人民共和国邮政法》以及《邮政行业安全监督管理办法》等法律、法规、规章的规定处理。
第二十三条【协议服务的终止】 寄递企业发现协议用户存在违反国家禁止寄递、限制寄递规定交寄物品的,应当根据本规定第五条,终止对该用户的协议服务。
邮政管理部门在监督检查中,发现协议用户存在违反国家禁止寄递、限制寄递规定的,可以将检查结果通知寄递企业,寄递企业应当根据本规定第五条,终止对该用户的协议服务。
第二十五条【生效时间】 本规定自 2017 年 4 月 1 日起施行。
★ 写简历的三个步骤
★ 数字证书服务协议
★ 服务保密协议范本
★ 版翻译服务协议
★ 安全施工协议
★ 施工安全协议
保护SNMP协议服务安全的三个步骤(整理4篇)
