درخواست های ارتباط
جستجو
لیست دوستان من
صندوق پیام
همه را دیدم
  • در حال دریافت لیست پیام ها
صندوق پیام
رویدادها
همه را دیدم
  • در حال دریافت لیست رویدادها
همه رویدادهای من
دوره های مرتبط
نصب ویندوز به روش Backup های مستقل از سخت افزار با Acronis True Image
مدرس: milad.fashi
این دوره را در 4 قسط خریداری کنید
دوره آموزشی مدیریت کلاس از راه دور و مانیتورینگ با NetOP
مدرس: emasis
این دوره را در 2 قسط خریداری کنید
آموزش جامع نصب و پیکربندی Network Monitor Cacti Server
مدرس: ptaabodi
این دوره را در 1 قسط خریداری کنید
دوره آموزشی جامع مانیتورینگ شبکه با Solarwinds و ماژول ها
مدرس: jeffar
این دوره را در 6 قسط خریداری کنید
دوره آموزشی بین المللی MCSA ویندوز سرور 2012 کد 70-410
مدرس: isaac
این دوره را در 37 قسط خریداری کنید
بهترین دوره آموزشی بین المللی +CompTIA Network در دنیا
مدرس: UNITY
این دوره را در 64 قسط خریداری کنید
دوره آموزشی تخصصی مانیتورینگ شبکه Zabbix در لینوکس
مدرس: m.asmaei
این دوره را در 25 قسط خریداری کنید
دوره آموزشی جامع نصب و راه اندازی انواع FTP سرور
مدرس: taghandiki
این دوره را در 7 قسط خریداری کنید
دوره آموزشی نرم افزار ریموت دسکتاپ Team Viewer
مدرس: emasis
این دوره را در 3 قسط خریداری کنید
دوره آموزشی راه اندازی کلیه VPN سرورهای مایکروسافت
مدرس: UNITY
این دوره را در 3 قسط خریداری کنید

امن کردن SNMP در سویچ و روتر های Cisco

0 نظرات
133 بازدیدها
سلام به دوستان خوبم

Simple Network Management Protocol یا همان SNMP پروتکل مشهور و پرکاربرد برای جمع آوری اطلاعات شبکه و مدیریت شبکه ست. از SNMP برای جمع آوری اطلاعات مربوط به کانفیگ ها و تجهیزات شبکه مثل سرورها، پرینترها، سوییچ ها و روترها، بر اساس یک IP، استفاده میشه، و یه نکته دیگه اینکهبه ساختمان داده این پروتکل MIB یا Management Information Base میگن.

در این مقاله میخوام نشون بدم چطور میشه دسترسی به SNMP را در سویچ ها و روتر های سیسکو کنترل کرد .

SNMP بطور پیشفرض از پورتهای UDP 161 برای پیام های عمومی و از پورت UDP 162 برای پیام های trap استفاده می کنه.

باید بگم متاسفانه snmp ورژن 1 بطور گسترده در حال حاضر استفاده میشه که خیلی ایمن نیست در این ورژن اطلاعات بصورت Clear-text ارسال میشه و یکی از ضعف های اصلی این ورژن است.
توصیه که ابتدا دارم اینه که اگر از سیستم های مانیتورینگ یا پروتکل SNMP استفاده نمی کنید می تونید با دستورات زیر این سرویس را غیر فعال کنید:

Switch(config)# no snmp-server community
Switch(config)# no snmp-server enable traps
Switch(config)# no snmp-server system-shutdown
Switch(config)# no snmp-server

اما اگه سرویس SNMP را واسه سویچ ها و روترهای داخل شبکه نیاز دارید بهتره مستقیم برید سراغ SNMP ورژن 3.
این ورژن خیلی امن تر از ورژن 1 است چرا که از یک رمزنگاری هش برای احراز هویت برای محافظت از community string استفاده می کنه. خوب قبل از اینکه دستورات این نسخه رو بگم و اونو فعال کنید بهتره با دستوراتی که در بالا آوردم تنظیمات ورژن قدیم پاک سازی بشه. دستوراتی که در پایین آوردم نشون میده که چطور یک مدل امنیتی برای snmp v3 ایجاد بشه

در ابتدا اکسس لیست 12 اجازه میده که فقط سیستم های خاصی سویچ را مدیریت کنند.


Switch(config)# no access-list 12
Switch(config)# access-list 12 permit 172.30.100.2
Switch(config)# access-list 12 permit 172.30.100.3

مرحله بعد تعریف یک گروه admin با با دسترسی خواندن و نوشتن MIB

Switch(config)# snmp-server group admins v3 auth read adminview write adminview

سپس یک کاربر بعنوان مثال root به این گروه با یک کلمه عبور تعریف میکنیم که می تونه قبل از ارسال هم با md5 رمز بشه
و در انتهای دستور اکسس لیست 12 به این کاربر اعمال میکنیم.

Switch(config)# snmp-server user root admins v3 auth md5 MyP@ssw0rd access 12

سر انجام میشه مشخص کرد adminview به کدام قسمت های mib دسترسی داشته باشه. بعنوان مثال در دستورات زیر دسترسی به شاخه های internet از MIB داشته باشه اما به شاخه های که آدرسهای IP و اطلاعات مسیریابی را شامل میشه نه .

Switch(config)# snmp-server view adminview internet included
Switch(config)# snmp-server view adminview ipAddrEntry excluded
Switch(config)# snmp-server view adminview ipRouteEntry excluded





خوب کار تمومه هست اما برای SNMP ورژن یکی ها!!

اگر فقط snmp ورژن 1 روی سویچ یا روتر قابل دسترس است با دستورات پایین، با یک اکسس لیست میتونیم دسترسی فقط خواندی به یه سری IP ها اعمال کنیم تا حداقل امنیت رو رعایت کرده باشیم.

Switch(config)# no access-list 12
Switch(config)# access-list 12 permit 172.30.100.2
Switch(config)# access-list 12 permit 172.30.100.3
Switch(config)# snmp-server community Hash-960301 ro 12

خوب آخر سر هم همینطور که میدونید سرویس SNMP Trap میتونه برای مدیریت سویچ بکار بره که میشه با این دستورات تنظیمش کرد :

Switch(config)# snmp-server host 172.30.100.2 traps Hash-960301
Switch(config)# snmp-server host 172.30.100.3 traps Hash-960301
Switch(config)# snmp-server trap-source Loopback0
Switch(config)# snmp-server enable traps
برچسب ها
مطالب مرتبط

در حال دریافت اطلاعات

نظرات
هیچ نظری ارسال نشده است

    برای ارسال نظر ابتدا به سایت وارد شوید

    arrow