如何安全地使用SNMP

支持SNMP的网络设备、 *** 作系统和应用程序可以通过该协议与管理软件通信，汇报其当前的行为和状态；同时，用户还可以借助SNMP来控制这些设备和产品，重定向通信流，改变通信数据包的优先级，甚至断开通信连接。因此，入侵者如果具备相应能力，他就能完全接管您的网络和设备，使系统或服务崩溃。为了保护网络的安全，安全专家作出了以下建议：首先，关闭SNMP功能、甚至禁用具备SNMP的设备。由于SNMP V1的漏洞，具备和允许SNMP的网络设备很容易成为黑客攻击的目标，而使整个网络系统安全性能下降。因此首先应该仔细检查网络中每台支持SNMP的路由器、交换机、集线器、服务器和打印机等，以及各个应用软件的SNMP是否关闭。当然，关闭SNMP给集中网络管理造成了障碍。其次，为所有需要使用SNMP的设备和软件安装补丁程序。随着SNMP漏洞的揭示和安全警告的发出，各网络厂商已经开始针对此漏洞进行修补，并已有不少供应商发布了专门的补丁。在开启SNMP之前，下载并安装补丁程序是非常必要的。第三，修改缺省的community string。网络设备在使用SNMP中都设有community string，它类似于简单的口令验证机制，用来确认是否具有可读或读写的权限。许多用户在购买设备以来，从未修改系统缺省的community string，因此非授权用户使用缺省口令就可以对重要的系统信息、设备的状态等进行修改。第四，使用防火墙阻断外网对内网的SNMP访问。对进入网络设备的数据进行过滤，尤其是对SNMP的几个端口的访问，拒绝来自非授权地址的SNMP请求，这样能有效地阻止来自于Internet上的非法攻击。如果防火墙或防火墙以外的设备（如路由器）也开启了SNMP，用户首先应该确保它们已经安装了相应补丁程序。第五，在分离的管理网络中使用SNMP。用户可以借助VLAN或技术来安全地使用SNMP，在同一物理网络中划分出分离的虚拟网络、并将SNMP限于某个VLAN中能更大程度地增加安全性，而能提供一个增强的验证机制来阻止非授权的SNMP。

在使用防火墙之前，需要对防火墙进行一些必要的初始化配置。出厂配置的防火墙需要根据实际使用场景和组网来配置管理IP、登陆方式、用户名/密码等。下面以我配置的华为USG防火墙为例，说明一下拿到出厂的防火墙之后应该怎么配置。
1 设备配置连接
一般首次登陆，我们使用的是Console口登陆。只需要使用串口网线连接防火墙和PC，使用串口连接工具即可。从串口登陆到防火墙之后，可以配置用户，密码，登陆方式等。这些配置在后面有记录。
直接使用一根网线连接PC和设备的管理口。管理口是在设备面板上一个写着MGMT的一个网口，一般默认配置了IP，如19216801/24。我们在对端PC上配置同网段的IP，如192168010/24，我们就可以通过PC上的telnet客户端登陆到防火墙设备上。
登陆到设备之后，默认是在防火墙的用户视图下。可以使用system-view进入系统视图，interface GigabitEthernet 0/0/0进入接口视图，diagnose进入诊断视图，security-policy进入安全策略视图，firewall zone trust进入trust安全区域视图，aaa进入aaa视图等。
2 Telnet配置
配置VTY界面：
user-interface vty 0 4
authentication-mode aaa
user privilege level 3
protocol inbound all
配置aaa用户：
manager-user admin
password cipher admin@123
service-type telnet
level 15
使能telnet服务：
telnet server enable
3 FTP配置
在aaa里配置：
manager-user admin
password cipher admin@123
service-type ftp
level 15
ftp-directory cfcard:/
使能ftp服务：
ftp server enable
4 SFTP配置
配置VTY界面：
user-interface vty 0 4
authentication-mode aaa
user privilege level 3
protocol inbound ssh
配置aaa用户：
manager-user admin
password cipher admin@123
service-type ftp ssh
level 15
ftp-directory cfcard:/
使能sftp服务：
sftp server enable
配置Password认证方式 ：
ssh user admin authentication-type password
ssh user admin service-type sftp
ssh user admin sftp-directory cfcard:/
5 SNMP配置
SNMPv1、SNMPv2c：
snmp-agent community write Admin@123
snmp-agent sys-info version v1 v2c
SNMPv3：
snmp-agent sys-info version v3
snmp-agent group v3 admingroup authentication read-view iso write-view iso notify-view iso
snmp-agent mib-view included iso iso
snmp-agent usm-user v3 admin
snmp-agent usm-user v3 admin group admingroup
snmp-agent usm-user v3 admin authentication-mode sha cipher Admin@123
6 Web配置
配置aaa用户：
manager-user admin
password cipher admin@123
service-type web
level 15
使能web服务：
web-manager enable
配置完Web之后，其他配置就可以登陆到Web页面进行可视化配置了。

1) 安装SNMP
略，请参阅LINUX系统SNMP安装说明，一般情况下Linux中 的均已经自动安装了SNMP服务。以下命令可以检测SNMP服务是否安装以及安装的文件包。
[root@idc ~]# rpm -qa |grep snmp
net-snmp-libs-512-11EL47
net-snmp-512-11EL47
2) 配置SNMP
按照如下方式修改/etc/snmp/snmpdconf文件
A、修改默认的community string（SUM中SNMP读值密码）
com2sec notConfigUser default public
将public修改为你才知道的字符串
将“default”改为你想哪台机器可以看到你 的snmp信息,比如SUM所在IP为：10101010， 就改成这个IP。不改表示所有机器充许。
B、把下面的#号去掉
#view mib2 included isoorgdodinternetmgmtmib-2 fc
启用全部功能可以使用如下一行（如果没有可以加入一行）：
view all included 1 80
C、把下面的语句
access notConfigGroup "" any noauth exact systemview none none
改成：
access notConfigGroup "" any noauth exact mib2 none none
或是：
access notConfigGroup "" any noauth exact all none none
3) 启动与停止SNMP
一般使用：service snmpd start|stop|restart命令。或是：
#/etc/rcd/initd/snmpd restart
4) 防火墙
如果Linux启动了防火墙，请开放UDP的161端 口。确保Linux的iptables防火墙对SUM监控服务器开放 了udp 161端口的访问权限
可使用iptables L n 查看当前iptables规则
可编辑/etc/sysconfig/iptables文 件来修改iptables规则。

---