SNMP服務是什么怎么配置網絡安全性
SNMP服務起著代理的作用,它會收集可以向SNMP管理站或控制臺報告的信息。您可以使用SNMP服務來收集數據,并且在整個公司網絡范圍內管理基于Windows Server 2003、Microsoft windows xp和Microsoft windows 2000的計算機。那么如何為“簡單網絡管理協議”(SNMP)服務配置網絡安全性,一起看看!
方法步驟
通常,保護SNMP代理與SNMP管理站之間的通信的方法是:給這些代理和管理站指定一個共享的社區名稱。當SNMP管理站向SNMP服務發送查詢時,請求方的社區名稱就會與代理的社區名稱進行比較。如果匹配,則表明SNMP管理站已通過身份驗證。如果不匹配,則表明SNMP代理認為該請求是“失敗訪問”嘗試,并且可能會發送一條SNMP陷阱消息。
SNMP消息是以明文形式發送的。這些明文消息很容易被“Microsoft網絡監視器”這樣的網絡分析程序截取并解碼。未經授權的人員可以捕獲社區名稱,以獲取有關網絡資源的重要信息。
“IP安全協議”(IP Sec)可用來保護SNMP通信。您可以創建保護TCP和UDP端口161和162上的通信的IP Sec策略,以保護SNMP事務。
創建篩選器列表
要創建保護SNMP消息的IP Sec策略,先要創建篩選器列表。方法是:
單擊開始,指向管理工具,然后單擊本地安全策略。
展開安全設置,右鍵單擊“本地計算機上的IP安全策略”,然后單擊“管理IP篩選器列表和篩選器操作”。
單擊“管理IP篩選器列表”選項卡,然后單擊添加。
在IP篩選器列表對話框中,鍵入SNMP消息(161/162)(在名稱框中),然后鍵入TCP和UDP端口161篩選器(在說明框中)。
單擊使用“添加向導”復選框,將其清除,然后單擊添加。
在“源地址”框(位于顯示的IP篩選器屬性對話框的地址選項卡上)中,單擊“任意IP地址”。在“目標地址”框中,單擊我的IP地址。單擊“鏡像。匹配具有正好相反的源和目標地址的數據包”復選框,將其選中。
單擊協議選項卡。在“選擇協議類型”框中,選擇UDP。在“設置IP協議端口”框中,選擇“從此端口”,然后在框中鍵入161。單擊“到此端口”,然后在框中鍵入161。
單擊確定。
在IP篩選器列表對話框中,選擇添加。
在“源地址”框(位于顯示的IP篩選器屬性對話框的地址選項卡上)中,單擊“任意IP地址”。在“目標地址”框中,單擊我的IP地址。選中“鏡像、匹配具有正好相反的源和目標地址的數據包”復選框。
單擊協議選項卡。在“選擇協議類型框中,單擊TCP。在“設置IP協議”框中,單擊“從此端口”,然后在框中鍵入161。單擊“到此端口”,然后在框中鍵入161。
單擊確定。
在IP篩選器列表對話框中,單擊添加。
在“源地址”框(位于顯示的IP篩選器屬性對話框的地址選項卡上)中,單擊“任意IP地址”。在“目標地址”框中,單擊我的IP地址。單擊“鏡像,匹配具有正好相反的源和目標地址的數據包”復選框,將其選中。
單擊協議選項卡。在“選擇協議類型”框中,單擊UDP。在“設置IP協議”框中,單擊“從此端口”,然后在框中鍵入162。單擊“到此端口”,然后在框中鍵入162。
單擊確定,在IP篩選器列表對話框中,單擊添加。
在“源地址”框(位于顯示的IP篩選器屬性對話框的地址選項卡上)中,單擊“任意IP地址”。在“目標地址”框中,單擊我的IP地址。單擊“鏡像。匹配具有正好相反的源和目標地址的數據包”復選框,將其選中。
單擊協議選項卡。在“選擇協議類型框中,單擊TCP。在“設置IP協議”框中,單擊“從此端口”,然后在框中鍵入162。單擊“到此端口”,然后在框中鍵入162。
單擊確定。
在IP篩選器列表對話框中單擊確定,然后單擊“管理IP篩選器列表和篩選器操作”對話框中的確定。
創建IPSec策略
要創建IPSec策略來對SNMP通信強制實施IPSec,請按以下步驟操作:
右鍵單擊左窗格中“本地計算機上的IP安全策略”,然后單擊創建IP安全策略。
“IP安全策略向導”啟動。
單擊下一步。
在“IP安全策略名稱”頁上的名稱框中鍵入Secure SNMP。在說明框中,鍵入Force IPSec for SNMP Communications,然后單擊下一步。
單擊“激活默認響應規則”復選框,將其清除,然后單擊下一步。
在“正在完成IP安全策略向導”頁上,確認“編輯屬性”復選框已被選中,然后單擊完成。
在安全“NMP屬性”對話框中,單擊使用“添加向導”復選框,將其清除,然后單擊添加。
單擊IP“篩選器列表”選項卡,然后單擊SNMP消息(161/162)。
單擊篩選器操作選項卡,然后單擊需要安全。
單擊身份驗證方法選項卡。默認的身份驗證方法為Kerberos。如果您需要另一種身份驗證方法,則請單擊添加。在新身份驗證方法屬性對話框中,從下面的列表中選擇要使用的身份驗證方法,然后單擊確定:
ActiveDirectory默認值(KerberosV5協議)
使用此字符串(預共享密鑰)
在新規則屬性對話框中,單擊應用,然后單擊確定。
在SNMP“屬性”對話框中,確認SNMP“消息(161/162)”復選框已被選中,然后單擊確定。
在“本地安全設置”控制臺的右窗格中,右鍵單擊安全SNMP規則,然后單擊指定。
在所有運行SNMP服務的基于Windows的計算機上完成此過程。SNMP管理站上也必須配置此IPSec策略。
補充:校園網安全維護技巧
校園網絡分為內網和外網,就是說他們可以上學校的內網也可以同時上互聯網,大學的學生平時要玩游戲購物,學校本身有自己的服務器需要維護;
在大環境下,首先在校園網之間及其互聯網接入處,需要設置防火墻設備,防止外部攻擊,并且要經常更新抵御外來攻擊;
由于要保護校園網所有用戶的安全,我們要安全加固,除了防火墻還要增加如ips,ids等防病毒入侵檢測設備對外部數據進行分析檢測,確保校園網的安全;
外面做好防護措施,內部同樣要做好防護措施,因為有的學生電腦可能帶回家或者在外面感染,所以內部核心交換機上要設置vlan隔離,旁掛安全設備對端口進行檢測防護;
內網可能有ddos攻擊或者arp病毒等傳播,所以我們要對服務器或者電腦安裝殺毒軟件,特別是學校服務器系統等,安全正版安全軟件,保護重要電腦的安全;
對服務器本身我們要安全server版系統,經常修復漏洞及更新安全軟件,普通電腦一般都是撥號上網,如果有異常上層設備監測一般不影響其他電腦。做好安全防范措施,未雨綢繆。
相關閱讀:2018網絡安全事件:
一、英特爾處理器曝“Meltdown”和“Spectre漏洞”
2018年1月,英特爾處理器中曝“Meltdown”(熔斷)和“Spectre” (幽靈)兩大新型漏洞,包括AMD、ARM、英特爾系統和處理器在內,幾乎近20年發售的所有設備都受到影響,受影響的設備包括手機、電腦、服務器以及云計算產品。這些漏洞允許惡意程序從其它程序的內存空間中竊取信息,這意味著包括密碼、帳戶信息、加密密鑰乃至其它一切在理論上可存儲于內存中的信息均可能因此外泄。
二、GitHub 遭遇大規模 Memcached DDoS 攻擊
2018年2月,知名代碼托管網站 GitHub 遭遇史上大規模 Memcached DDoS 攻擊,流量峰值高達1.35 Tbps。然而,事情才過去五天,DDoS攻擊再次刷新紀錄,美國一家服務提供商遭遇DDoS 攻擊的峰值創新高,達到1.7 Tbps!攻擊者利用暴露在網上的 Memcached 服務器進行攻擊。網絡安全公司 Cloudflare 的研究人員發現,截止2018年2月底,中國有2.5萬 Memcached 服務器暴露在網上 。
三、蘋果 iOS iBoot源碼泄露
2018年2月,開源代碼分享網站 GitHub(軟件項目托管平臺)上有人共享了 iPhone 操作系統的核心組件源碼,泄露的代碼屬于 iOS 安全系統的重要組成部分——iBoot。iBoot 相當于是 Windows 電腦的 BIOS 系統。此次 iBoot 源碼泄露可能讓數以億計的 iOS 設備面臨安全威脅。iOS 與 MacOS 系統開發者 Jonathan Levin 表示,這是 iOS 歷史上最嚴重的一次泄漏事件。
四、韓國平昌冬季奧運會遭遇黑客攻擊
2018年2月,韓國平昌冬季奧運會開幕式當天遭遇黑客攻擊,此次攻擊造成網絡中斷,廣播系統(觀眾不能正常觀看直播)和奧運會官網均無法正常運作,許多觀眾無法打印開幕式門票,最終未能正常入場。
五、加密貨幣采礦軟件攻擊致歐洲廢水處理設施癱瘓
2018年2月中旬,工業網絡安全企業 Radiflow 公司表示,發現四臺接入歐洲廢水處理設施運營技術網絡的服務器遭遇加密貨幣采礦惡意軟件的入侵。該惡意軟件直接拖垮了廢水處理設備中的 HMI 服務器 CPU,致歐洲廢水處理服務器癱瘓 。
Radiflow 公司稱,此次事故是加密貨幣惡意軟件首次對關鍵基礎設施運營商的運營技術網絡展開攻擊。由于受感染的服務器為人機交互(簡稱HMI)設備,之所以導致廢水處理系統癱瘓,是因為這種惡意軟件會嚴重降低 HMI 的運行速度。
snmp服務相關文章: