Групповая строка является паролем, по которому происходит доступ к агенту SNMP.
Для каждой группы устройств формируется отдельная строка.
При формировании групповой строки можно учитывать следующие параметры:
• Стандартный список доступа с IP-адресами NMS, которые могут использовать данную групповую строку для получения доступа к агенту.
• Установка доступа чтения/записи или только чтения для объектов MIB.
Для настройки групповой строки в режиме глобальной конфигурации надо ввести команду snmp-server community.
Для удаления групповых строк используется команда no snmp-server community.
Для обеспечения безопасности, маршрутизатор должен отсылать прерывания SNMP и информационные запросы SNMP только легальным узлам NMS.
Это осуществляется с помощью команды режима глобальной конфигурации snmp-server host.
Для отмены отправления прерываний используется команда no snmp trap link-status в подрежиме конфигурации интерфейса.
router(config)# snmp-server community string [ro | rw] [number]
string | символьная строка доступа |
ro | разрешает доступ к MIB только для чтения |
rw | разрешает доступ ко всем объектам MIB для чтения и записи |
number | номер стандартного списка доступа |
Конфигурация отправки SNMP прерываний.
|
|
snmp-server host ip-address trap
Конфигурация отправки SNMP сообщений.
snmp-server host ip-address informs
ip-address – адрес узла NMS
Защита связи между маршрутизаторами
Диалог между маршрутизаторами можно прослушать с целью изменения параметров маршрутизации. Изменение параметров маршрутизации позволяет злоумышленнику получать информационный поток из атакуемой сети или ее части. Злоумышленник может перехватить файлы конфигурации, передаваемые по протоколу TFTP, получить доступ к маршрутизатору по протоколу HTTP.
Для уменьшения вероятности вредоносных действий по этим направлениям необходимо выполнить ряд мероприятий.
• Настроить аутентификацию протокола маршрутизации.
• Настроить защиту конфигурационных файлов.
• Настроить управление потоком данных с помощью списков контроля доступа (ACL).
• Запретить отправки обновлений маршрутизации.
• Установить фильтрацию входящего сетевого трафика.