安全方面的SNMP服務配置
SNMP服務在很多系統中都有所應用。就目前而言,我們常用的還是WIN系統,UNIX/Linux系統。那么接下來我們就對在Win 2003中為SNMP服務配置網絡安全性方面的內容做一下介紹。
SNMP 服務起著代理的作用,它會收集可以向 SNMP 管理站或控制臺報告的信息。您可以使用 SNMP 服務來收集數據,并且在整個公司網絡范圍內管理基于 Windows Server 2003、Microsoft Windows XP 和 Microsoft Windows 2000 的計算機。
通常,保護 SNMP 代理與 SNMP 管理站之間的通信的方法是:給這些代理和管理站指定一個共享的社區名稱。當 SNMP 管理站向 SNMP 服務發送查詢時,請求方的社區名稱就會與代理的社區名稱進行比較。如果匹配,則表明 SNMP 管理站已通過身份驗證。如果不匹配,則表明 SNMP 代理認為該請求是“失敗訪問”嘗試,并且可能會發送一條SNMP 陷阱消息。
SNMP 消息是以明文形式發送的。這些明文消息很容易被“Microsoft 網絡監視器”這樣的網絡分析程序截取并解碼。未經授權的人員可以捕獲社區名稱,以獲取有關網絡資源的重要信息。
“IP 安全協議”(IPSec) 可用來保護 SNMP 通信。您可以創建保護 TCP 和 UDP 端口161 和 162 上的通信的 IPSec 策略,以保護 SNMP 事務。
SNMP服務配置1。創建篩選器列表
要創建保護SNMP 消息的 IPSec 策略,先要創建篩選器列表。方法是:
單擊開始,指向管理工具,然后單擊本地安全策略。展開安全設置,右鍵單擊“本地計算機上的 IP 安全策略”,然后單擊“管理 IP 篩選器列表和篩選器xx作”。
單擊“管理 IP 篩選器列表”選項卡,然后單擊添加。
在IP 篩選器列表 對話框中,鍵入 SNMP 消息 (161/162)(在名稱 框中),然后鍵入TCP 和 UDP 端口 161 篩選器(在說明 框中)。
單擊使用“添加向導” 復選框,將其清除,然后單擊添加。
在“源地址”框(位于顯示的IP 篩選器屬性 對話框的地址 選項卡上)中,單擊“任意IP 地址”。在“目標地址”框中,單擊我的 IP 地址。單擊“ 鏡像。匹配具有正好相反的源和目標地址的數據包”復選框,將其選中。
單擊協議 選項卡。在“選擇協議類型”框中,單擊UDP。在“設置 IP 協議端口”框中,單擊“從此端口”,然后在框中鍵入 161。單擊“到此端口”,然后在框中鍵入 161。
單擊確定。
在IP 篩選器列表 對話框中,單擊添加。
在“源地址”框(位于顯示的IP 篩選器屬性 對話框的地址 選項卡上)中,單擊“任意IP 地址”。在“目標地址”框中,單擊我的 IP 地址。單擊“ 鏡像。匹配具有正好相反的源和目標地址的數據包”復選框,將其選中。
單擊協議 選項卡。在“選擇協議類型框中,單擊 TCP。在“設置 IP 協議”框中,單擊“從此端口”,然后在框中鍵入 161。單擊“到此端口”,然后在框中鍵入 161。
單擊確定。
在IP 篩選器列表 對話框中,單擊添加。
在“源地址”框(位于顯示的IP 篩選器屬性 對話框的地址 選項卡上)中,單擊“任意IP 地址”。在“目標地址”框中,單擊我的 IP 地址。單擊“ 鏡像。匹配具有正好相反的源和目標地址的數據包”復選框,將其選中。
單擊協議 選項卡。在“選擇協議類型”框中,單擊UDP。在“設置 IP 協議”框中,單擊“從此端口”,然后在框中鍵入 162。單擊“到此端口”,然后在框中鍵入 162。
單擊確定.
在IP 篩選器列表 對話框中,單擊添加。
在“源地址”框(位于顯示的IP 篩選器屬性 對話框的地址 選項卡上)中,單擊“任意IP 地址”。在“目標地址”框中,單擊我的 IP 地址。單擊“ 鏡像。匹配具有正好相反的源和目標地址的數據包”復選框,將其選中。
單擊協議 選項卡。在“選擇協議類型框中,單擊 TCP。在“設置 IP 協議”框中,單擊“從此端口”,然后在框中鍵入 162。單擊“到此端口”,然后在框中鍵入 162。
單擊確定。
在 IP 篩選器列表 對話框中單擊確定 ,然后單擊“管理 IP 篩選器列表和篩選器操作”對話框中的確定 。
SNMP服務配置2。創建IPSec策略
要創建 IPSec 策略來對SNMP通信強制實施 IPSec,請按以下步驟操作:
右鍵單擊左窗格中“本地計算機上的 IP 安全策略”,然后單擊創建 IP 安全策略。
IP 安全策略向導”啟動。
單擊下一步。
在“IP 安全策略名稱”頁上的名稱 框中鍵入 Secure SNMP。在說明 框中,鍵入
Force IPSec for SNMP Communications,然后單擊下一步。
單擊“激活默認響應規則”復選框,將其清除,然后單擊下一步。
在“正在完成 IP 安全策略向導”頁上,確認“編輯屬性”復選框已被選中,然后單擊完成。
在安全 SNMP 屬性 對話框中,單擊使用“添加向導” 復選框,將其清除,然后單擊添加。
單擊IP 篩選器列表 選項卡,然后單擊SNMP 消息 (161/162)。
單擊篩選器xx作 選項卡,然后單擊需要安全。
單擊身份驗證方法 選項卡。默認的身份驗證方法為 Kerberos。如果您需要另一種身份驗證方法,則請單擊添加。在新身份驗證方法屬性 對話框中,從下面的列表中選擇要使用的身份驗證方法,然后單擊確定:
Active Directory 默認值(Kerberos V5 協議)使用此字符串(預共享密鑰)
在新規則屬性 對話框中,單擊應用,然后單擊確定。
在SNMP 屬性 對話框中,確認SNMP 消息 (161/162) 復選框已被選中,然后單擊確定。
在“本地安全設置”控制臺的右窗格中,右鍵單擊安全 SNMP 規則,然后單擊指定。
在所有運行 SNMP 服務的基于 Windows 的計算機上完成此過程。SNMP 管理站上也必須配置此 IPSec 策略。
