snmpプロトコルは、ネットワーク攻撃とzahistuの方法です。 SNMPセキュリティ。 Ciscoが所有するDDoSSNMP増幅ガード

ゴロフナ / Zahist

ZMIST
はじめに3
1.SNMPプロトコルでの後続の攻撃方法の問題の理論的根拠
1.1必要なSNMP5攻撃方法
1.2 SNMPプロトコル:説明、目的7
2.SNMPプロトコルへの攻撃の分析と保護方法
2.1SNMPプロトコルおよび以前の11の方法に関する攻撃手法
2.2SNMPプロトコルへの攻撃方法15
VISNOVOK 20
DZHERELの勝利のリスト21

情報の断片

赤ちゃん3 -画面形状ユーティリティSoftPerfectNetworkScannerPatchesリッチフレーミングの別棟のバリアはパッチに分割されます。パッチは、システムに不整合がある場合に必要です。 このように、SNMPに向けられたmerezhіの別棟で示したので、これらの別棟の建設業者に連絡することを躊躇しないでください。そうすれば、必要なパッチの匂いが壊れていることがわかります。 WindowsオペレーティングシステムでSNMPサービスを有効にするためのアルゴリズムをガイドします。[スタート]メニュー-[コントロールパネル]-[管理]-[サービス](div。small 4)を選択します。 SNMPサービスを選択します。 サービスが開始されたら、「アップロード」ボタンをクリックし、「スタートアップの種類」-「有効」を選択します。 nalashtuvannіmіzhmerezhevihekranіv私marshrutizatorіv上vhodіのґruntuєtsya上vhodіFіltratsіya上vimknenomuSNMP.Fіltratsіyaでnavіt住人ので悪臭vikonuvalivhіdnufіltratsіyuportіvUDP 161 I 162ツェーvrazlivіpristroї中に、スコーіnіtsіyuyutsyaіzzovnіshnoїMEREZHIをzapobіgti攻撃を許可 ローカルライン。 TCPおよびUDPポート161、162、199、391、750、および1993など、S​​NMPに関連するサービスをサポートする他のポートにも、入力フィルタリングを含めることができます。 、柵から出て行くための学校。 の発信トラフィックのフィルタリング UDPポート国境の161と162では、攻撃の踏み台としてシステムを利用できます。 コンピュータシステムまたはmerezhuでのmerezhovoi攻撃)。 IDSがないと、メッシュセキュリティのインフラストラクチャは考えられなくなります。 IDSは、セキュリティルールに基づいて機能する中間画面を補完し、疑わしいアクティビティを監視および保護します。 悪臭を放つと、中間画面に侵入した自警者を明らかにし、管理者にそのことを伝えることができます。これにより、セキュリティを維持するために必要な解決策が得られます。 侵入検知方法は、システムの全体的なセキュリティを保証するものではありません。 IDSの選択の結果、次の目標が達成されます。フェンシング攻撃または侵入の検出。 弱い zabіgannyaїхvikoristannyaのシステム。 リッチな状況では、攻撃者は準備の段階を確認します。たとえば、システムの不整合を明らかにするために、境界をプローブ(スキャン)したり、別の方法でテストしたりします。 vіdomihの脅威を文書化するzdіysnennya; 偉大な折り畳みチェーンでのセキュリティ、zokremの観点からのyakіstyu管理の堅牢性。 otrimannyaは、侵入、何が行われたか、要因を復元および修正するために何が行われたか、侵入に対して何が行われたかについての貴重な情報です。 外側の境界の拡張点(外部または内部の攻撃)からの攻撃ゾーンの拡張を明らかにします。これにより、境界のノードを配置するときに正しい決定を下すことができます。 悪名高いIDSに復讐するために:対策の安全に送ることができる潜水艦に関する情報を収集するセキュリティシステム、または保護されているシステム。 疑わしい攻撃を明らかにする分析のサブシステム。 zberіgaєのようなコレクション、最初の細分化と分析の結果。 miとIDS、その結果は状況を分析するためのサブシステムによって明らかにされました。 人気のあるSNMPプロトコルの単純さが、それ自体で争いを助長する可能性があることは明らかです。 SNMPのシャードは広く植えられており、さまざまな製品での操作は致命的な結果につながる可能性があります。 SNMPプロトコルを効果的に停止するには、停止に従ってください 違う方法 zabіgannyaは攻撃し、防御の複雑なシステムになります。 VISNOVOKSNMPプロトコルの助けを借りてフェンシング協力の組織のパワーセキュリティについて研究しました。 ロボットプロセスでは、名前付きプロトコルの特性が明らかになりました。 考えられる問題ヨガvikoristannya。 問題を明確にするために、敵の攻撃の実施の高い効率を確認する統計データが引用されました。 さらに、理論的な部分は、プロトコルの構造、飲酒/飲酒のスキーム、および飲酒を脱ぐ段階に関する情報を渡すことです。 学期末レポート SNMPプロトコルに対する攻撃の可能性の分析。その中には、DoS攻撃、バッファオーバーフロー攻撃、およびフォーマット文字列の不整合があります。 明らかに、より潜在的に可能性のある脅威がありますが、同時に、それらをより深く、より広く見ています。 紛争を解決するために、それにもかかわらず、安全保障政策の策定とすべての原則に手を差し伸べた後、勝利したヨーゴについて決定が下されました。 このようにして、入り口で指定されたその式のマーキングの範囲についてのウィスプを作成することが可能です。 ロシア連邦 2006年4月27日付け N 149-FZ情報、情報技術、および情報の保護について専門的および科学的文献のリスト空白-システム管理用のEdelman D. Perl、M .: symbol-Plus、2009.-478s。BorodakiyV.Yu. MSS OGV/V.Yuに基づいて保護された情報と計算の暗闇を作成するための実践と展望。 ボロダキイ、A.Yu。 ドブロディエフ、P.A。 ナシュチョキン//ソブリン防衛、特別通信、特別情報セキュリティの技術システム開発の実際の問題:VIII全ロシア国際科学会議:資料とドポビディ(Orel、2013年2月13〜14日)。 -約10年。 パート4/一般版用。 V.V. ミゼロワ。 --Orel:ロシアのFTSアカデミー、2013年。GrisinaN.V.情報保護のための統合システムの組織。 -M .: Helios ARV、2009年。-256 p。、ダグラスR.マウロSNMPの基礎、第2版/ダグラスR.マウロ、ケビンJ.シュミット-M .: Symbol-Plus、2012年。-725p。 M.V. コンピュータシステム。 目を覚ます練習。 fakhivtsivの場合、サンクトペテルブルク:サンクトペテルブルク、2003年。-462s。Mulyukha V.A. コンピュータ情報の保護の方法と方法。 Mіzhmerezhevekranuvannya:Navchalnyposіbnik/ Mulyukha V.A.、Novopashenny A.G.、PodgurskyYu.Є.-サンクトペテルブルク:Vidavnitstvo SPbGPU、2010年。-91p。 オリファーV.G.、オリファーN.P.コンピューター対策。 原則、技術、プロトコル。 --4-それら。 -サンクトペテルブルク:ピーター、2010年。-902年代。 ローカル向けのスイッチングおよびルーティングテクノロジー コンピューターネットワーク: チーフヘルプ/スミルノバ。 代役を務める; ed。 A.V. プロレタリア。 --M .:MDTUimのビュー。 いいえ。 バウマン、2013年。-389秒。 Flenov M. Linux of Hacker's eye、St. Petersburg:BHV-St. Petersburg、2005.-544p。KhorievP.V. 情報の保護を取得する方法と方法 コンピュータシステム。 --M .:教育センター「アカデミー」、2005年。-205p。Khoroshko V.A.、Chekatkov A.A. インターネット-dzherelaIDS/IPS-侵入を検出および防止するためのシステム[電子リソース]URL:http://netconfig.ru/server/ids-ips/。2014年のrociにおけるインターネットの脅威の分析。 DDoS攻撃。 ウェブサイトのハッキング。 [電子リソース]。 URL:http://onsec.ru/resources/Internet%20threats%20in%202014.%20Overview%20by%20Qrator-Wallarm.pdfKolishchakA.フォーマット行の不一致[電子リソース]。 URL:https://securityvulns.ru/articles/fsbug.aspFirst Mile、No。04、2013[電子リソース]。 URL:http://www.lastmile.su/journal/article/3823SNMP標準ファミリ[電子リソース]。 URL:https://ua.wikibooks.org/wiki/SNMP_Standards_Land文献「CERTアドバイザリCA-2002-03:簡易ネットワーク管理プロトコル(SNMP)のBagato実装における複数の脆弱性」、2月12日。 2002年(現在2002年3月11日)

DZHERELの勝利のリスト
規制上の法的行為
1.2006年4月27日付けのロシア連邦の連邦法 N 149-FZ情報、情報技術、および情報の保護について
専門的および科学的文献のリスト
2.空白-システム管理用のEdelmanD.Perl、M:プラス記号、2009年。-478p。
3. Borodakiy V.Yu. MSS OGV/V.Yuに基づいて保護された情報と計算の暗闇を作成するための実践と展望。 ボロダキイ、A.Yu。 ドブロディエフ、P.A。 ナシュチョキン//ソブリン防衛、特別通信、特別情報セキュリティの技術システム開発の実際の問題:VIII全ロシア国際科学会議:資料とドポビディ(Orel、2013年2月13〜14日)。 -約10年。 パート4/一般版用。 V.V. ミゼロワ。 -イーグル:ロシアのFTSアカデミー、2013年。
4. GrishinaN.V.情報保護のための複雑なシステムの編成。 -M:Helios ARV、2009年。-256秒、
5.ダグラス・R・マウロSNMPの基礎、第2版/ダグラス・R・マウロ、ケビン・J・シュミット-M .: Symbol-Plus、2012年-725p。
6. Kulgin M.V. コンピュータシステム。 目を覚ます練習。 fakhivtsivの場合、サンクトペテルブルク:ピーター、2003年。-462p。
7. Mulyukha V.A. コンピュータ情報の保護の方法と方法。 Mіzhmerezhevéekranuvannya:校長/ Mulyukha V.A.、Novopashenny A.G.、PodgurskyYu.Є。 -サンクトペテルブルク:Vidavnitstvo SPbGPU、2010年。-91ページ。
8. Olifer V. G.、OliferN.P.コンピューターによる対策。 原則、技術、プロトコル。 --4-それら。 -サンクトペテルブルク:ピーター、2010年。-902年代。
9.ローカルコンピュータネットワークでのスイッチングとルーティングのテクノロジー:ガイドブック/Smirnova。 代役を務める; ed。 A.V. プロレタリア。 --M .:MDTUimのビュー。 いいえ。 バウマン、2013年。-389秒。
10. Flen M. Linux ochima Hacker、サンクトペテルブルク:BHV-サンクトペテルブルク、2005年。-544ページ。
11. Khoreev P.V. コンピュータシステムの情報を保護するための方法と技術。 -M .:ビューイングセンター「アカデミー」、2005年。-205ページ。
12. Khoroshko V. A.、Chekatkov A. A.情報の保護を取得する方法と方法、K .: Junior、2003.-504p。
インターネット-dzherela
13. IDS /IPS-侵入防止検知システム[電子リソース]URL:http://netconfig.ru/server/ids-ips/。
14.2014年のインターネット脅威の分析。 DDoS攻撃。 ウェブサイトのハッキング。 [電子リソース]。 URL:http://onsec.ru/resources/Internet%20threats%20in%202014.%20Overview%20by%20Qrator-Wallarm.pdf
15.KolishchakA.フォーマット行の変動性[電子リソース]。 URL:https://securityvulns.ru/articles/fsbug.asp
16. First Mile、No。04、2013[電子リソース]。 URL:http://www.lastmile.su/journal/article/3823
17.SNMP標準のファミリー[電子リソース]。 URL:https://ua.wikibooks.org/wiki / SNMP_Standards_Set
外国文学
18.「CERTアドバイザリCA-2002-03:簡易ネットワーク管理プロトコル(SNMP)のBagato実装における複数の脆弱性」、2月12日。 2002年(現在2002年3月11日)

上に配置 http:// www. allbest. en/

上に配置 http:// www. allbest. en/

OSIのテザリングモデルに対するテザリング攻撃の手法と対策の方法の概要

INSTUP

トロイの木馬ウイルス攻撃

情報であろうと、3つの主要な力があります。

・守秘義務。

・tsіlіsnіst。

・ 可用性。

これらの力の皮を説明してください。

機密情報-tsevіdomostі、schoはvolodіnіで見つかります、koristuvannіは、法的なosіbとposhiryuyutsyaの注文であり、yogoの心の状態までです。

情報の完全性(データの完全性)は、情報学および電気通信の理論の用語です。つまり、データは、転送であるかどうかにかかわらず、勝利した操作中にデータが変更されなかったことを意味します。税金。

情報の可用性-情報の状態(自動化されたリソース 情報システム)、どのサブジェクトでも、アクセス権があれば、中断することなく実装できます。 アクセス権:情報を読み、変更し、コピーし、削減する権利、およびリソースを変更、引用、削減する権利を作成する権利。

Іsnuyutzahistuіnformatsіїの3つの主な方法、їхноїの重要性の順にyakіraztashovanі:

・組織的な方法と情報の保護。 情報の組織的保護は、企業の機密情報を保護するグローバルシステムの「コア」と呼ばれる組織の穂軸です。 企業や組織長の家主へのソリューション全体を考慮すると、情報を保護するためのシステムの機能の有効性は損なわれます。 場所はsposobіvZahistInformácieその役割organіzatsіynogoZahistInformáciezagalnіysistemіzahodіv、spryamovanihでZahistkonfіdentsіynoїInformáciepіdpriєmstva、viznachayutsya vinyatkovoyuvazhlivіstyukerіvnitstvomsvoєchasnihそのvіrnihupravlіnskihrіshenurahuvannyamのnayavnihのための承諾の上余呉rozporyadzhennі力でzasobіv、metodіvであるosnovіは、規制chinnogoに整然とした装置。

・技術的な方法と情報の保護。 気の方法は、別棟での存在を可能にします 技術援助情報処理、特別 テクニカルソリューション、情報の管理を保護します。 さらに、私は情報を保護する方法であり、アクセスの境界設定と情報の不正使用の排除を保証するアルゴリズムとプログラムの複雑さを実現します。

エントリ

この記事は、プロトコルの機能の基本原則が与えられた資料「」の論理的な続きです。 Metoyutsієїroboti
єオーバーヘッドレベルの保護のセキュリティに必要な入り口の明確化
SNMP。 証書をされている方のために読者から歌いたい
フロント素材からの瞬間が繰り返されます-それは
もっと 周りを見てください 与えられた食べ物。 ここにワイルドキャラクターの情報
最小契約に提示されます。 短い材料の受け入れのため
rajuは最初の記事を読みました。

脅かす

SNMPプロトコルの問題は、メカニズムが最初のバージョンから始まった場合
ザイストはそのように感じませんでした。 幸運な瞬間でも、パスワードを簡単に認識できます
メジャーを聞いています。 エール、一定時間後、別のバージョンがヤキイで登場しました、
より深刻な場合は、1時間までdpovіdno
関数zahistu。 Zokrema、ヘルプMD5のハッシュ、暗号化
DESおよび。 (Div。pershuの記事)。 現時点では、SNMPの3番目のバージョンである小売業者
セキュリティのセキュリティを独り占めする主なタスクは何ですか。 ただし、すべてではありません
3番目のバージョンのセキュリティでとてもスムーズに。
SNMPには6種類の脅威があります。

  1. 情報の開示:エージェント間のデータ交換に関する情報
    値の選択方法に応じたキーステーション
  2. 仮面舞踏会
  3. 変更:架空の操作のサポートの強化
  4. ポトシアップデートの変更
  5. マージするトラフィックの分析
  6. サービス中の攻撃。

結局のところ、世界で最も保護されているSNMPの第3バージョンを見てみましょう。
これらのタイプの攻撃に対して。

SNMPv3への攻撃

  • マスカレード-許しは失われ、システム
    パッケージのレビュー
  • 変更-プロトコルは、MD5の助けを借りて整合性によって再検証されます
  • 暗号化の脅威-ヘルプDESのための暗号
  • トラフィック分析-プロトコル、以前と同様
    URASIMO
  • 稼働中のVidmova-URAZHENNYA

同時に、特定の種類の攻撃に対して3番目のバージョンの攻撃を作成することが判明しました。 で
zokrema、ucd-snmpユーティリティキットバージョン5.0.1、5.0.3、5.0.4.pre2、
SNMPデーモン、値を構成および設定するためのユーティリティが含まれています
MIB、および敵を攻撃するためのさまざまな方法での他の特性
サービス。 RazlivіstはAndrewGriffithsによって発見され、発表されました
2002年7月2日にiDEFENSEによって。
そのような計画の問題の解決策は、より定期的な更新である可能性があります
ソフトウェアのセキュリティ。

最も広まっている問題の1つは、navitdosієパスワードです。
(コミュニティ文字列)ロック用。 あなたが何を言いたいとき
ロック設定を変更する必要があります。 解決策は、そのようなファイルのマニュアルページの取得として機能することです。
snmp.conf、snmp_config、snmpcmd
SNMP構成およびロボットファイル。 Navit for シンプルなヘビによる値
「public」を折りたたみパスワードにロックすると、攻撃者はもはやできなくなります
追加の些細なユーティリティについては、システムに関する情報を表示します
snmpwalk。 匿名のmerezhevykhの別棟(スイッチ、WAN / LANルーター、モデム、および
行為 オペレーティングシステム)ロックオン用
SNMPをアクティブにし、rw access(!)からナビゲートします。 そのような不均衡の遺産
合格するのは簡単です。 Axisは、お尻、アタッチメント用の小さなリストです
ロック用のパスワード:

3comスイッチ3300(3Com SuperStack II)-プライベート
-Cray MatchBoxルーター(MR-1110MatchBoxルーター/FR2.01)-プライベート
-3com RAS(HiPer Accessルーターカード)-public
-プレステージ128/128プラス-パブリック
-COLTSOHO2.00.21-プライベート
-PRTBRIISDNルーター-パブリック
-CrossComXL2-プライベート
-WaiLAN瑪瑙700/800
-HPJ3245AHPスイッチ800T-パブリック
-ES-2810 FORE ES-2810、バージョン2.20-パブリック
-WindowsNTバージョン4.0
-Windows 98(95ではない)-パブリック
-Sun / SPARC Ultra 10(Ultra-5_10)-プライベート

ちなみに、7月16日、bugtraqのリストに新しいものが公開されました
AVAYAケイジャンへの不正アクセスに関する情報。 SNMPコミュニティ
[メール保護]! アクセスを許可します。 また、それらは誘発され、文書化されていません
フォームエントリdiag/dangerおよびmanuf/xxyyzz。 このような問題の解決策は、アクセスのフェンスであるrwアクセスのフェンシングです。
SNMP呼び出しをアクティブ化することから拡張機能に。 アクセスをブロックする必要があります
すべてのサードパーティコンピュータのSNMPポート。 仕上げるのは簡単です、
ipchains/iptablesルールの入力のハッキングを終了します。 nalashtuvannyaの喜びをください
ipchainsは、終了するのが難しいためです。 ローカルネットワークのトポロジを知る必要があり、
ホームワークステーションにはSNMPは必要ありません。

データを持っている右側にいる可能性のあるシステム管理者の場合
プロトコル、必要なプログラム、まるで彼らがSNMPでロボットに尋ねているかのように。 で
cimリンクはMRTGとSNMP::Monitorで推測できます。 パッケージの作者のアイデアについて
SNMP :: Monitor、このプログラムはMRTGとペアで転送できます(
自分で、readmeで読むことができます)。 SNMP::Monitorを設定できます
packetstormsecurity.orgにアーカイブされています。 軸はїї関数ではあまりアクティブではありません:

後処理プロセスの開始
インターフェースとデータベースへのログの保持
--nadannya グラフィックインターフェース www経由
-統計を表示する
-データアクセス制御システムを有効にする
そので。

特定のSNMPサービスにログインすることが絶対に必要です
許可されていないホストとログのさらなる分析。 なんでしょう
あなたのmerezhіの矛盾を歪めなさい、そうすればsnmpsniffは邪悪なプログラムになるでしょう、
perekhoplyuvachトラフィック。 www.packetstormsecurity.org/sniffers/snmpsniff-1.0.tar.gzから入手できます。
パスワードの強度を確認するには、snmpbrute.cをひねります。
єパスワードのスウェーデン語パーサーを使用してください。

Otzhe、このロボットIで、スキルを試したので、食べ物を食べることができます
安全なSNMPロボット。 私がそれを逃した場合、私は保証します
ヒント。 たとえば、コメントの場合、私たちは書くことを余儀なくされています
prodovzhennya。

WISNOVOK
この調査は、追加のSNMPプロトコルのネットワーク相互運用性の組織のパワーセキュリティに専念しています。 作業の過程で、指定されたプロトコルの特性とこの実験で発生する可能性のある問題が明らかになりました。 問題を明確にするために、敵の攻撃の実施の高い効率を確認する統計データが引用されました。 さらに、理論的な部分は、プロトコルの構造、飲酒/飲酒のスキーム、および飲酒を脱ぐ段階に関する情報を渡すことです。
コースワークの一環として、SNMPプロトコルに対する攻撃の可能性の分析が実行されました。その中には、DoS攻撃、バッファオーバーフロー攻撃、およびフォーマット行の不整合が見られます。 明らかに、より潜在的に可能性のある脅威がありますが、同時に、それらをより深く、より広く見ています。 にゃ。
ネットワーク内の加入者間のネットワークを防御するシステムを促進するために、SNMPプロトコルへの攻撃を防ぐ方法を検討し、koshtivの複合体をブロックすることが効果的であると判断しました。
分析に基づいて、SNMPプロトコルは物議を醸す可能性があることが明らかになりましたが、セキュリティポリシーの開発に続いて、これらの原則のすべてを達成した後、この変更について決定が下されました。
このようにして、入り口で指定されたマークの到達範囲とタスクの完了についてvisnovkiを作成できます。

INSTUP
情報技術の開発の現在の流れは、お金を節約し、データを処理および再構築するための新しい方法を開発しています。 従来の情報キャリアから、そして企業や個人のサーバーのビジョンから、グローバルインターネットを介して実装されたリモートテクノロジーに段階的に移行します。 インターネットビルのサービスは、現在の動的に発展している機能に欠かせないツールになります。 Eメール; ファイルの交換、vikoristannyaビデオによるデータの音声通知-追加。 強力なWebリソースの開発。
豊富なfahіvtsіvの考えで、フェンシングの別棟の効果的な管理の広いzastosuvannyatehnologiiインターネットvmagaєpobudovyシステム、できるツールの1つ SNMPプロトコルになります。 フェンシングの要素を攻撃できるようにするためのプロトコル全体を通じたフェンシングの別棟の管理と監視の組織であるProte。 このように、インターネットサービスの開発に照らして脅威攻撃の脅威を打ち負かす技術の力が前面に出て、普遍的な分析を支配します。 このトピックに関連しているトピックです。
豊富な作成者に電力を割り当てることにより、SNMPプロトコルへの攻撃からシステムを保護するように促しますが、セキュリティの複雑さを通じてSNMPセキュリティを実現する方法については単一の考えはありません。 そのため、Flenov M.は、彼の著書「Linux of the Hacker's Eye」で、このプロトコルのいくつかの欠点を確認し、推奨していません。 スミルノバ。 V.メインブック「ローカルコンピュータネットワークのスイッチングおよびルーティングテクノロジ」で、SNMPプロトコルを使用したネットワークのデータ転送と効果的な管理のためのさまざまなリッチアドレススキーム、および交通渋滞のセキュリティ。 専門文献とインターネットを詳しく見ると、このクエストの有効性について決定を下すために、SNMPプロトコルへの安全なロギングをさらに強化する必要があることが確認されています。 どのような決定可能性のある攻撃とその攻撃方法の有効性の分析になります。
メタフォローアップ-SNMPプロトコルに対する攻撃の可能性とそれらを防ぐ方法の一般的な分析を実施します。
目標を達成するために必要な達成は低zavdanです:
1. SNMPプロトコルに基づく安全なネットワーク協力の組織化のために、インターネット-ジェレルの文献レビューを実施します。
2.SNMPプロトコルへの攻撃方法とそれらを攻撃する方法を排除する必要性を確立します。
3.SNMPプロトコルの管理の機能を参照してください。
4.SNMPプロトコルの手法を分析します。
5.SNMPプロトコルを攻撃する方法を説明します。
フォローアップオブジェクト–SNMPプロトコル。
調査の対象は、SNMPプロトコルに対するネットワーク攻撃の方法とそれらに感染する方法です。
フォローアップの方法:分析、合成、dzherel情報の生成。
コースワークは、エントリー、2つの部門、およびvisnovkivで構成されています。 問題の理論的プライミングへの割り当ての最初の分割。 起こりうる攻撃とそれらに感染する方法の復讐分析の別の部分

ZMIST
はじめに3
1.SNMPプロトコルでの後続の攻撃方法の問題の理論的根拠
1.1必要なSNMP5攻撃方法
1.2 SNMPプロトコル:説明、目的7
2.SNMPプロトコルへの攻撃の分析と保護方法
2.1SNMPプロトコルおよび以前の11の方法に関する攻撃手法
2.2SNMPプロトコルへの攻撃方法15
VISNOVOK 20
DZHERELの勝利のリスト21

DZHERELの勝利のリスト
規制上の法的行為
1.2006年4月27日付けのロシア連邦の連邦法 N 149-FZ情報、情報技術、および情報の保護について
専門的および科学的文献のリスト
2.空白-システム管理用のEdelmanD.Perl、M:プラス記号、2009年。-478p。
3. Borodakiy V.Yu. MSS OGV/V.Yuに基づいて保護された情報と計算の暗闇を作成するための実践と展望。 ボロダキイ、A.Yu。 ドブロディエフ、P.A。 ナシュチョキン//国家保護、特別なコミュニケーションおよび特別な情報セキュリティの技術システムの開発の実際の問題:VIII全ロシア国際科学会議:材料とドポビディ(Orel、2013年2月13-14日)。 -約10年。 パート4/zag.edの場合。 V.V. ミゼロワ。 -イーグル:アカディ ミヤFSTロシア、2013年。
4. GrishinaN.V.情報保護のための複雑なシステムの編成。 -M:Helios ARV、2009年。-256秒、
5.ダグラス・R・マウロSNMPの基礎、第2版/ダグラス・R・マウロ、ケビン・J・シュミット-M .: Symbol-Plus、2012年-725p。
6. Kulgin M.V. コンピュータシステム。 目を覚ます練習。 fakhivtsivの場合、サンクトペテルブルク:ピーター、2003年。-462p。
7. Mulyukha V.A. コンピュータ情報の保護の方法と方法。 Mіzhmerezhevéekranuvannya:校長/ Mulyukha V.A.、Novopashenny A.G.、PodgurskyYu.Є。 -サンクトペテルブルク:Vidavnitstvo SPbGPU、2010年。-91ページ。
8. Olifer V. G.、OliferN.P.コンピューターによる対策。 原則、技術、プロトコル。 --4-それら。 -サンクトペテルブルク:ピーター、2010年。-902年代。
9.ローカルコンピュータネットワークでのスイッチングとルーティングのテクノロジー:ガイドブック/Smirnova。 代役を務める; ed。 A.V. プロレタリア。 --M .:MDTUimのビュー。 いいえ。 バウマン、2013年。-389p。
10. Flenov M. Linux by Hacker、St. Petersburg:BHV-St. Petersburg、2005.-544p。
11. Khoreev P.V. コンピュータシステムの情報を保護するための方法と技術。 -M:ビューイングセンター「アカデミー」、2005年。-205ページ。
12. Khoroshko V. A.、Chekatkov A. A.情報の保護を取得する方法と方法、K .: Junior、2003.-504p。
インターネット-dzherela
13. IDS /IPS-侵入防止検知システム[電子リソース]URL:http://netconfig.ru/server/ids-ips/。
14.2014年のインターネット脅威の分析。 DDoS攻撃。 ウェブサイトのハッキング。 [電子リソース]。 URL:http://onsec.ru/resources/Internet%20threats%20in%202014.%20Overview%20by%20Qrator-Wallarm.pdf
15.KolishchakA.フォーマット行の変動性[電子リソース]。 URL:https://securityvulns.ru/articles/fsbug.asp
16. First Mile、No。04、2013[電子リソース]。 URL:http://www.lastmile.su/journal/article/3823
17.SNMP標準のファミリー[電子リソース]。 URL:https://ua.wikibooks.org/wiki / SNMP_Standards_Set
外国文学
18.「CERTアドバイザリCA-2002-03:簡易ネットワーク管理プロトコル(SNMP)のBagato実装における複数の脆弱性」、2月12日。 2002年(現在2002年3月11日

やがて、ジャーナルの編集者と一緒に、私の記事「手作業でDDoSを防御する。パート3. SNMP増幅」を発行164-165(lime-serpen 2016)からジャーナル「システム管理者」の発行まで公開します。

全世界のサイバースペースの防衛への貢献を高めるため DDoS 、zovsіmはobov'yazkovoではなく道路obladnannyachiサービスを購入します。 あなたがインターネットからアクセス可能なサーバーの管理者であるかどうかにかかわらず、あなたは追加の重要な貢献、副官なしでそのような高貴な権利に参加することができます、そしてそれをほんの少しの間知っています。


Vikoristannyaサービスを使用した「増幅」タイプのDDoS攻撃を見てみましょう。 SNMP。

SNMP 増幅

攻撃の本質は、 SNMP- リクエスト 修正するパッケージの数を最小限に抑えながら、表形式のデータ検索を自動化するためのRazrobleni。バルク- 飲み始めた 効果的なツール実施 DDoS 悪行者の手による攻撃。 ヤクトーク RFC3416、GetBulkRequest、SNMPバージョン2での実装 インターネット上のサーバーが攻撃されたり、攻撃されたり、誤って構成されたりする大量のデータを要求する機能の予定。

誤って設定されたサーバー/アタッチメントのアドレスで、テーブル20000でローテーションされる行の最大数を設定する方法、およびその逆の方法:

:〜$ snmpbulkget -c public -v 2c -C r20000 192.168.10.129 1.3.6.1

このようなもののようです:

iso.3.6.1.2.1.1.1.0 = STRING:"SNMP4J-エージェント-Windows2003-x86-5.2"

< 290行がスキップされました>

iso.3.6.1.6.3.18.1.1.1.8.123.123.12.123.123.12.12.123.123.12.123.123.12 =このMIBビューに変数が残っていません(MIBの終わりを過ぎています)

tcpdumpを実行する場合 回転したパッケージのサイズを表示します。

21:41:18.185058 IP 192.168.10.128.39565> 192.168.10.129.snmp:GetBulk(25)N = 0 M = 20000 .iso.org.dod.internet

21:41:18.603553 IP 192.168.10.129.snmp> 192.168.10.128.39565:

リクエストでは、リクエストのサイズは約70バイトで、ヘッダーはサーバーで解決されます。入力は約10キロバイトで、150倍になる場合があります。 強度係数は固定されておらず、OSのタイプとアドオンの構成のパラメーターに応じて、より多く(最大1700倍)またはより少なくすることができます。 Yakshchoはそのような要求を形作るのに1時間かかりましたvikoristovuvatpіdmіnuIP- ソースのアドレスから被害者のアドレスへのダウンロードとランダムサーバーへのダウンロードの強度の高さ DDoS攻撃の準備ができています。

原因

問題の本質は、原則として、奇妙さではなく、1つのGetBulkRequestで確認できる調整された値の数ではありません。 しかし、重要なのは SNMPコミュニティ ロックの後ろにインストール:公開-読み取り専用 そうでなければ、他に何が悪いのか、プライベート-読み取り/書き込み。 SNMPプロトコル の基盤のバージョン1および2 UDP、 その管理を監視するためのvikoristovuetsya、そして、バイコリストの価値のカーニングされた所持にアクセスするための認証パラメータとしてコミュニティ、 ヤクは読むためだけに置くことができます(読み取り専用 )または書く可能性がある(読み書き )。 システムで最も一般的なのは、サービスのアクティブ化時間です SNMP ロックの値が復元されます公衆読み取り専用 プライベート読み取り/書き込み用。 攻撃を強化するためのリフレクターとして誤って構成されたサーバーを使用する可能性から抽象化する方法を学びます SNMP、 その場合、そのバージョンの新しいファームウェアにインストールされているサーバーに関する情報を奪う脅威は明らかであり、値が異なります公衆 ロックアップ用読み取り専用。 管理者の権利から別館への実質的に無制限の特権アクセスが与えられます読み取り/書き込みコミュニティ プライベート . 変更を余儀なくされないようにNavitt、プロトコルに従って集中的に飲む SNMP サーバーのリソースの数、何を学ぶか、何をサービスの品質に追加するかについて詳しく知ることができます。

Zahist

に固有 SNMP サーバーまたはエッジのセキュリティを保護する方法に関する推奨事項は、次のディレクティブに分けることができます。

1.アーキテクチャ:信頼できないネットワークからアクセスできないインターフェースでのみリクエストの処理を許可しました。

2.コミュニティを変更する より重要。

3.IP交換 キーステーションのアドレス。

4.給餌 ID、 の引き出し/変更が可能 SNMP。

5 . chivіdmovavіdwikorosの最小化コミュニティ 読み取りと書き込み用。

6.6。 SNMPへの切り替え ウィキのバージョン3 追加のパラメータ認証と暗号化。

7. SNMP配線、 yakschoはvikoristovuєtsyaではありません。

さまざまなオペレーティングシステムでqidiїをvikonateする方法は?

サービスの構成ファイルで snmp 次のパラメータを調整します。

agentAddress udp:10.0.0.1:161#IP-アドレス、プロトコルは受け入れるポートですSNMP

Yakscho Unix- サーバーは本質的にルーターであり、アーキテクチャ上いくつかのインターフェースがあります。セキュリティのために削除する必要があります SNMP これ以上のインターフェースはなく、信頼できるセグメントからの配信ですが、インターネットからのみ配信されます。 イムヤコミュニティ パラメータで設定されたアクセス用 rocommunity(読み取り専用)またはrwcommunity(読み取り/書き込み)、 アクセスが許可されているパスワードを設定することもできます。 ID、 ロボットで利用可能コミュニティ。 たとえば、10.0.0.0 / 24未満の監視システムがインターフェイスに関する情報にアクセスできるようにするために、 OID 1.3.6.1.2.1.2 )、vicorist行アクセス MaKe_It_SeCuRe 読み取り専用の権限がある場合、構成フラグメントは次のようになります。

rocommunity MaKe_It_SeCuRe10.0.0.0/24 .1.3.6.1.2.1.2

okremivipadkahvikoristannyaraznomanіtnyhで Unix- 内臓表示のシステム他のパラメータのバリエーションのレイアウトとコンポーネントの階層構造のためのいくつかの可能な変更構文 構成ファイル。 コマンドを入力すると、詳細な説明が表示されます。

man snmpd.conf

それでも、タスクはセキュリティサービスが可能な限り迅速であることを確認することです snmpd、 間違った前のステッチの数まで、あなたは作成することができます バックアップコピー snmpd.conf 新しい構成ファイルコミュニティ。 Debianの場合 次のようになります。

#CD< ディレクトリssnmpd.conf>

#mv snmpd.conf snmpd.conf.backup

#echo rocommunity MaKe_It_SeCuRe10.0.0.0/24 > snmpd.conf

#/ etc / init.d / snmpd restart

によるアクセス後 SNMP 10.0.0.0/24は、新しいサーバーの助けを借りてサーバーに少なくなりますコミュニティ、 変更されていないすべてのサーバーコミュニティ 新しいものでは、悪人のように、vіdpovіdіの飲み物を飲むのをやめてください。

ビクトリアに切り替えても安全です SNMPv3、 これには、認証のパラメーターを変更する機能があります。 さらに、vіdmіnuvіdvіdバージョン1taで 2c、SNMPv3 監視システムと制御システム間の暗号化されたトラフィックを保護できます。 トラフィックの読み取り、認証、暗号化の権限を持つkoristuvachを作成するために、構成ファイル snmpd.conf 以下を追加する必要があります。

createUser v3user SHA "some_AuThPaSs" AES some_privpass

authuser read v3user authpriv 1.3.6.1.2.1. 2

Vіdpovіdno、koristuvach v3userは読み取り専用権限を取り消します レビュー用 SNMPの場合は1.3.6.1.2.1.2。

サービスを再起動した後、構成の正確さを確認できます SNMP サーバー192.168.10.128で、クライアントで実行されたコマンドを使用して:

$ snmpwalk -v 3 -A some_AuThPaSs -X some_privpass -a SHA -x AES -u v3user -l authPriv 192.168.10.128 1

この場合、1台のサーバーから始めて、ツリー全体に依存している人に関係なく、1.3.6.1.2.1のみが許可されます。 2 、構成で設定されるように。

速度SNMPv3でSNMPv1/v2cを見てください また、構成ファイルのフラグメントを構成ファイルから削除して、それらが気にならないようにする必要があります。 SNMPv3。

SNMPはどうですか サーバー監視用勝てない、最も重要な決定はパッケージに行われます snmpd。

Cisco IOS インターフェースを選択する毎日の可能性 SNMP。 交換は追加のアクセスリストに依存しています(アクセス制御リスト、ACL)。 たとえば、10.0.0.0/24の使用が許可されます。 作成した ACL:

(config)#access-list 10 permit 10.0.0.0 0.0.0.255

その後、zastosovuetsyaをvіdpovіdnogoに SNMP v1 / v2cのコミュニティ、 このアプリケーションには、読み取り専用の権利を持つMaKe_It_SeCuReがあります:

(config)#snmp-server community MaKe_It_SeCuRe RO 10

最大SNMPOIDを交換する 助けを求めて立ち止まる見る

(config)# snmpサーバービュー IFACES 1.3.6.1.2.1. 2 含まれています

何が行われた後添付のコミュニティを表示:

(config)#snmp-server community MaKe_It_SeCuReview IFACES RO 10

勝つために SNMPv3 必要な交換で(認証と暗号化、読み取りのみ、サブディメンション10.0.0からのアクセス。 IFACESを表示) 、グループを作成する必要があります(安全) までの読書のみにアクセスできますビューIFACESからのOID 暗号化によるその必要な認証、それを以前に行われたものにリンクするアクセスリスト10:

(config)#snmp-server group SECURE v3 priv readIFACESアクセス10

その後、グループに追加します 物理的な記録 koristuvacha(v3user) 認証と暗号化、および暗号化アルゴリズムのパスワードを彼に尋ねることによって(このvipadka AES128で):

(config)#snmpサーバーユーザーv3userSECURE v3 auth sha Strong_Password priv aes 128 Priv_Password

SNMP パスワード回復のためにハッキングすることができ、セキュリティレベルのショートカットの背後にあるアクセスのパラメータを設定することで、入力するための推測しやすいパスワードと一致させることができます。 SSH。 記事で推奨事項について説明しましたが、ネットワークやサーバーへの攻撃をランダムに防御するだけでなく、リソースを容赦なく使用して他のユーザーを攻撃し、「ロシアのハッカーが攻撃した...」という派手な見出しの投稿数を最小限に抑えます。

また、SNMPプロトコルへの不正アクセスからサーバーを保護し、SNMP増幅タイプのDDoS攻撃の数を減らし、インフラストラクチャセグメントの参加を最小限に抑えることができます。これは、追加の財政的貢献を必要としない今後のもの:

    所有権管理は、企業のセグメントに委託されているよりも少ないです。 サービスをメインインターフェイスにリンクするためのヘルプまたはヘルプのための交換 アクセスリスト。

    ロックごとのSNMP値の変更(パブリックおよびプライベート) vagkovgaduvaniに.

    ひよこの交換 ID、 の引き出し/変更が可能 SNMP。

    ウィコリスターニャのみ SNMPv 認証と暗号化におけるzastosuvannyam追加パラメーターの3つ。

    Vimknennyaサービス SNMP zvydalennyamkofiguratsі-povnuvіdmovavіdについてのrazіpriynyattyaprіshennya SNMP。

そして、インターネットから利用できるサーバーの管理者の肌を壊すために、デジタルの世界は完璧に近づきます。

ディフェンダーへの貢献を高めるために DDoS攻撃タイプ、zovsіmはobov'yazkovo kupuvat road obladnannyachiservisではありません。 あなたがインターネットからアクセス可能なサーバーの管理者であるかどうかにかかわらず、あなたは追加の重要な貢献、vicoristaなしでそのような高貴な権利の運命をとることができます、そしてそれをほんの少しの間知っています。

これは、SNMP増幅DDoS攻撃中のトラフィックの様子です。

DDOS攻撃SNMP増幅

攻撃の本質は、SNMPリクエストでschobіnіtsіyuvatibagatorazovozbіlshenuvіdpovіdが行われたという事実にあります。 管理可能なパケット数を最小限に抑えながら表形式のデータ収集を自動化するために、BULKドリンクは、攻撃者の手に渡ってDDoS攻撃を実行するための効果的なツールになりました。 ヤクトーク RFC3416、GetBulkRequest、SNMPバージョン2での実装、インターネット上のサーバーの設定ミスによって攻撃される可能性のある大量のデータを要求する機能の割り当て。

誤って設定されたサーバー/アタッチメントのアドレスで、テーブル20000でローテーションされる行の最大数を設定する方法、およびその逆の方法:

$ snmpbulkget -c public -v 2c-Cr20000192.168.10.129↵1.3.6.1

$ snmpbulkget -c public -v 2c -Cr20000192.168.10.129↵1.3.6.1

このようなもののようです:

iso.3.6.1.2.1.1.1.0 = STRING: "SNMP4J-Agent Windows 2003 x865.2"<пропущено 290 строк>iso.3.6.1.6.3.18.1.1.1.8.123.123.12.123.123.12.12.123.123.12 .123.123.12 =このMIBビューに変数が残っていません(これは、

イソ。 3.6.1.2.1.1.1.0 =文字列: 「SNMP4JAgentWindows2003x865.2」

< пропущено290 строк>イソ。 3.6.1.6.3.18.1.1.1.8.123.123.12.123.123.12.12.123.123.12 . 123.123.12 =

このMIBビューに変数が残っていません(MIBツリーの終わりを過ぎています)

tcpdumpを実行するときはいつでも、パッケージサイズを表示します。

21:41:18.185058 IP192.168.10.128.39565>192.168.10.129。 snmp:GetBulk(25)N = 0 M = 20000 .iso.org.dod.internet 21:41:18.603553 IP 192.168.10.129.snmp>

21:41:18.185058 IP192.168.10.128.39565>192.168.10.129。

snmp:GetBulk(25)N = 0 M=20000。iso。 org。 国防総省。 インターネット

21:41:18.603553 IP 192.168.10.129.snmp>

192.168.10.128.39565:[len1468< asnlen10102 ]

リクエストでは、リクエストのサイズは約70バイトで、ヘッダーはサーバーで解決されます。入力は約10キロバイトで、150倍になる場合があります。 強度係数は固定されておらず、OSのタイプとアドオンの構成のパラメーターに応じて、より多く(最大1700倍)またはより少なくすることができます。 被害者のアドレスにある管理者のIPアドレスと激怒するサーバーへの攻撃の強さをvikoristovuvatyに要求するために、どのくらいの時間が必要です。 DDoS攻撃の準備ができています.

DDoS攻撃の原因

矛盾の本質は、原則として、見られる意味の確立された数ではありません。 GetBulkRequest、しかし、重要なのは SNMPコミュニティロックの後ろにインストール: 公開-読み取り専用そうでなければ、他に何が悪いのか、 プライベート-読み取り/書き込み。

プロトコルSNMPバージョン1および2は、UDPに基づいており、監視と制御のためにハッキングされ、ハッキングされた値のキャッシュされた所有物にアクセスするための認証パラメーターとして使用されます。 コミュニティ、読み取り専用に設定できます( 読み取り専用)または書き込み可能(r 読み書き)。 ほとんどの場合、アクティベーション時間のシステムでは、SNMPサービスはプロモーション値に設定されます- 読み取り専用の場合はパブリック、読み取り/書き込みの場合はプライベート。

ここで、SNMP攻撃を強化するためのリフレクターとして誤って構成されたサーバーを使用する可能性を抽象化すると、サーバーに関する情報を削除したり、新しいファームウェアにインストールしたり、ロックのためにpublicの値が異なる他のバージョンをインストールしたりする脅威は明らかです。 読み取り専用。

管理者の権利から別館への実質的に無制限の特権アクセスが与えられます 読み取り/書き込みコミュニティプライベート。ただし、サーバーリソースの数、学習内容、サービスの品質に何を使用するか、何を期待するかに影響を与える可能性のある、SNMPプロトコルに対する大きな変更や集中的な要求はありません。

SNMP増幅タイプのDDoS攻撃から防御する

物議を醸す攻撃に関する一般的な推奨事項 BCP38およびRFC2827前に説明したもの。

  • アーキテクチャ:信頼できないネットワークからアクセスできないインターフェースでのみリクエストを処理できるようにしました。
  • suspіlstvaの変更はより重要です-推測します。
  • キーステーションのIPアドレスを交換します。
  • SNMPの取得/変更に利用できるOIDキーの交換。
  • chivіdmovavіdwikorosの最小化 コミュニティ読み取りと書き込み用。
  • 認証と暗号化の追加の高度なパラメータについては、SNMPバージョン3に移行してください。
  • vikoristovuetsyaではないため、SNMPの軽減。

さまざまなシステムでvikonatiqidiїを実行するにはどうすればよいですか?

Unix用のDDoSSNMP増幅保護

SNMPサービスの構成ファイルが構成されます 不快なパラメータ:

#リクエストを受け入れるIPアドレス、プロトコル、ポートSNMP agentAddress udp:10.0.0.1:161

Unixサーバーは実際にはルーターであり、いくつかのインターフェイスを備えている場合があるため、セキュリティのために、インターネットからではなく、信頼できるセグメントからアクセスできるSNMP経由でアクセス可能なインターフェイスのみを無効にする必要があります。 イムヤ コミュニティアクセスの場合、rocommunityパラメータによって設定されます( 読み取り専用)またはrwcommunity( 読み書き)、サブディメンション、権限が許可されるアクセス、およびコミュニティ行の権限が設定されたサブディメンションに割り当てられたロボットで使用可能なOIDボックスを設定することもできます。

たとえば、外部からの監視システムを許可するには 10.0.0.0/24 インターフェイスに関する情報へのアクセス( OID 1.3.6.1.2.1.2)、vicorist行アクセス MaKe_It_SeCuRe読み取り専用の権限がある場合、構成フラグメントは次のようになります。

rocommunity MaKe_It_SeCuRe 10.0.0.0/24.1.3.6.1.2.1.2

snmpdサービスのセキュリティを可能な限り安全にするために、これは間違ったフロントのマークまでです。snmpd.confのバックアップコピーを作成し、それに応じて環境に新しい構成ファイルを追加できます。システムを監視し、コミュニティを変更します。 Debianは次のようになります:

#CD<директория с snmpd.conf>#mv snmpd.conf snmpd.conf.backup#echo rocommunity MaKe_It_SeCuRe 10.0.0.0/24> snmpd.conf#/ etc / init.d / snmpd restart

#CD<директория с snmpd.conf>

#mv snmpd.conf snmpd.conf.backup

#echo rocommunity MaKe_It_SeCuRe 10.0.0.0/24> snmpd.conf#/ etc / init.d / snmpd restart

サーバーへの次のSNMPアクセスは、次の 10.0.0.0/24 さらに、新しいコミュニティをサポートするために、コミュニティが新しいコミュニティに変更されていないすべてのサーバーは、悪意のある人のように、飲み物に関するフィードバックの受け入れを停止する必要があります。

認証のパラメータを変更できるため、代わりにSNMPv3に切り替えても安全です。 さらに、vіdmіnuvіdvіdバージョン1taで 2c SNMPv3監視システムとテスト対象の所有物との間のトラフィックの暗号化を保護できます。

構成ファイルからトラフィックを読み取り、認証し、暗号化する権限を持つkoristuvachを作成するには snmpd.conf以下を追加する必要があります。

createUser v3user SHA "some_AuThPaSs" AES some_privpass authuser read v3user authpriv 1.3.6.1.2.1.2

createUser v3user SHA "some_AuThPaSs" AES some_privpass

authuser read v3user authpriv 1.3.6.1.2.1.2

Vіdpovіdno、koristuvach v3user権利を奪う 読み取り専用レビュー用 SNMPの場合は1.3.6.1.2.1.2。

クライアントでコマンドを実行してサーバー192.168.10.128でSNMPサービスを再起動した後、構成が正しいかどうかを確認できます。

$ snmpwalk -v 3 -A some_AuThPaSs -Xsome_privpass-aSHA↵-xAES-uv3user -l authPriv 192.168.10.128 1

$ snmpwalk-v 3-A some_AuThPaSs-Xsome_privpass--SHA↵-xAES--uv3user --l authPriv 192.168.10.128 1

その場合、1から始まるツリー全体に依存しているユーザーに関係なく、サーバーは許可されなくなります。 .3.6.1.2.1.2, これは構成で設定されます。

あなたが見るとき SNMPv1 / v2c貪欲に SNMPv3また、構成ファイルのフラグメントを構成ファイルから削除して、それらが気にならないようにする必要があります。 SNMPv3。

サーバー監視用のSNMPは勝利ではありませんが、最善の解決策はパケットを削除することです。 snmpd。

Ciscoが所有するDDoSSNMP増幅ガード

Cisco IOSには、SNMPを有効にできるインターフェイスを選択する機能があります。 交換は追加のアクセスリストに依存しています( アクセス制御リスト、ACL)。 許容される、それは許容されるpіdsіtiになります 10.0.0.0/24 。 ACLを作成します。

(config)#access-list 10 permit 10.0.0.0 0.0.0.255

追加ビューのためにSNMPOIDソケットに交換します。

(config)#snmp-server viewIFACES1.3.6.1.2.1.2が含まれています

勝つために SNMPv3必要な交換(認証と暗号化、読み取りの削減、他からのアクセス) 10.0.0.0/24 IFACESビューで指定されたインターフェイスヘッダーに)、グループを作成する必要があります( 安全)最大読み取り専用へのアクセス権 OID h IFACESを表示暗号化によるその必要な認証、それを以前に行われたものにリンクする アクセスリスト10:

(config)#snmp-server group SECURE v3privreadIFACES↵access10

さらに調整を加えたSNMPv3プラクティスの再検証は、チームによって実行されます。

編集者の選択

©2022androidas.ru-Androidのすべて