Eenvoudig netwerkbeheerprotocol beveiligen
Inhoud
Inleiding
Dit document bevat informatie over het beveiligen van uw Simple Network Management Protocol (SNMP). Het beveiligen van uw SNMP is belangrijk, vooral wanneer de kwetsbaarheden van SNMP herhaaldelijk kunnen worden gebruikt om een ontkenning van de dienst (DoS) te produceren.
Voorwaarden
Vereisten
Er zijn geen specifieke vereisten van toepassing op dit document.
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
-
SNMP View-Cisco IOS® softwarerelease 10.3 of hoger.
-
SNMP versie 3 — Inleiding in Cisco IOS-softwarerelease 12.0(3)T.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Conventies
Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.
Strategieën voor het beveiligen van SNMP
Een goede SNMP-community-string kiezen
Het is geen goede praktijk om het publiek te gebruiken als alleen-lezen en privé-koorden voor het lezen.
SNMP-weergave instellen
De opdracht Setup SNMP kan de gebruiker blokkeren met alleen toegang tot de beperkte Management Information Base (MIB). Standaard bestaat er geen SNMP-weergave. Deze opdracht wordt ingesteld in de mondiale configuratiemodus en voor het eerst geïntroduceerd in Cisco IOS-softwarerelease 10.3. Het werkt net als toegangslijst in die zin dat als u een SNMP-weergave hebt op bepaalde MIB-bomen, elke andere boom onverklaarbaar wordt ontkend. De sequentie is echter niet belangrijk en gaat voor een match door de gehele lijst voordat ze stopt.
Om een ViewMail te creëren of bij te werken gebruikt u de opdracht globale configuratie configuratie van de SNMP-server. Om de gespecificeerde SNMP de ingang van de serverweergave te verwijderen, gebruik de geen vorm van deze opdracht.
Syntaxis:
snmp-server view view-name oid-tree {included | excluded}
no snmp-server view view-name
Synthetisch Beschrijving:
-
view-naam-etiket voor het zicht record dat u bijwerkt of maakt. De naam wordt gebruikt om naar het record te verwijzen.
-
oid-tree—Object identifier van de Abstract Syntax notatie 1 (ASN.1) subboom die in de weergave moet worden opgenomen of uitgesloten. Om de subboom te identificeren, specificeert u een tekstreeks die uit getallen bestaat, zoals 1.3.6.2.4, of een woord, zoals systeem. Vervang één enkele subidentificator met de sterretkaart (*) om een subboomfamilie te specificeren; Bijvoorbeeld 1.3.*.4.
-
inbegrepen | uitgesloten—type weergave. U moet aangeven of opgenomen of uitgesloten is.
Er kunnen twee standaard vooraf gedefinieerde weergaven worden gebruikt als er een weergave nodig is, in plaats van een weergave te definiëren. Het ene is alles, wat aangeeft dat de gebruiker alle objecten kan zien. Het andere is beperkt, wat aangeeft dat de gebruiker drie groepen kan zien: systeem, snmpStats, en snmpparties. De vooraf gedefinieerde gezichtspunten worden beschreven in RFC 1447.
Opmerking: de eerste snmp-server opdracht die u invoert, maakt beide versies van SNMP mogelijk.
Dit voorbeeld maakt een weergave die alle objecten in de MIB-II systeemgroep behalve sysServices (Systeem 7) en alle voorwerpen voor interface 1 in de MIB-II interfacegroep omvat:
snmp-server view agon system included snmp-server view agon system.7 excluded snmp-server view agon ifEntry.*.1 included
Dit is een compleet voorbeeld van hoe de MIB moet worden toegepast met een gemeenschapsstring en de output van de tussenstappen met een oogje in de pas te lopen. Deze configuratie definieert een weergave die de SNMP-toegang ontzegt voor de tabel Adreventie Protocol (ARP) (bijEntry) en die voor MIB-II en Cisco Private MIB toestaat:
snmp-server view myview mib-2 included snmp-server view myview atEntry excluded snmp-server view myview cisco included snmp-server community public view myview RO 11 snmp-server community private view myview RW 11 snmp-server contact pvanderv@cisco.com
Dit is de opdracht en de uitvoer voor de MIB-II systeemgroep:
NMSPrompt 82 % snmpwalk cough system system.sysDescr.0 : DISPLAY STRING- (ascii):Cisco Internetwork Operating System Software IOS (tm) 2500 Software (C2500-JS-L), Version 12.0(1)T,RELEASE SOFTWARE (fc2) Copyright (c) 1986-1998 by cisco Systems, Inc. Compiled Wed 04-Nov-98 20:37 by dschwart system.sysObjectID.0 : OBJECT IDENTIFIER: .iso.org.dod.internet.private.enterprises.cisco.ciscoProducts.cisco2520 system.sysUpTime.0 : Timeticks: (306588588) 35 days, 11:38:05.88 system.sysContact.0 : DISPLAY STRING- (ASCII):pvanderv@cisco.com system.sysName.0 : DISPLAY STRING- (ASCII):cough system.sysLocation.0 : DISPLAY STRING- (ASCII): system.sysServices.0 : INTEGER: 78 system.sysORLastChange.0 : Timeticks: (0) 0:00:00.00 NMSPrompt 83 %
Dit is de opdracht en de uitvoer voor de lokale Cisco-systeemgroep:
NMSPrompt 83 % snmpwalk cough lsystem cisco.local.lsystem.romId.0 : DISPLAY STRING- (ASCII): System Bootstrap, Version 11.0(10c), SOFTWARE Copyright (c) 1986-1996 by cisco Systems cisco.local.lsystem.whyReload.0 : DISPLAY STRING- (ASCII):power-on cisco.local.lsystem.hostName.0 : DISPLAY STRING- (ASCII):cough
Dit is het commando en de output voor de MIB-II ARP tabel:
NMSPrompt 84 % snmpwalk cough atTable no MIB objects contained under subtree. NMSPrompt 85 %
SNMP-community met toegangslijst
De beste huidige praktijken adviseren het toepassen van Toegangscontrolelijsten (ACL's) op gemeenschapskoorden en het verzekeren dat de verzoeken gemeenschapskoorden niet identiek zijn aan notificaties gemeenschapskoorden. Toegangslijsten bieden verdere bescherming bij gebruik in combinatie met andere beschermende maatregelen.
Dit voorbeeld stelt ACL in aan gemeenschapskoord:
access-list 1 permit 1.1.1.1 snmp-server community string1 ro 1
Het gebruiken van verschillende community strings voor verzoeken en valsberichten vermindert de waarschijnlijkheid van verdere aanvallen of compromissen als de community string wordt ontdekt door een aanvaller, of dat nu is door het in gevaar brengen van een extern apparaat of door het besnuffelen van een valbericht van het netwerk zonder toestemming.
Zodra u val met een string toelaat, kan de string voor SNMP toegang krijgen in bepaalde Cisco IOS software. U moet deze gemeenschap expliciet uitschakelen.
Bijvoorbeeld:
access-list 10 deny any snmp-server host 1.1.1.1 mystring1 snmp-server community mystring1 RO 10
SNMP versie 3
SNMP versie 3 werd eerst geïntroduceerd in Cisco IOS-softwarerelease 12.0, maar wordt nog niet vaak gebruikt in netwerkbeheer. Voltooi de volgende stappen om SNMP versie 3 te configureren:
-
Pas een Engine-id aan voor de SNMP-entiteit (optioneel).
-
Defineer een gebruiker, gebruiker, die tot de groep groepsgewijs behoort, en pas noVerificatie (geen wachtwoord) en NoPrivacy (geen encryptie) op deze gebruiker toe.
-
Defineer een gebruiker, gebruiker, twee, die tot de groep groep behoort en pas noVerificatie (geen wachtwoord) en NoPrivacy (geen encryptie) op deze gebruiker toe.
-
Defineer een gebruiker, gebruiker 3, die tot de groep groep drie behoort, en pas Verificatie (het wachtwoord is gebruiker3passwd) en NoPrivacy (geen encryptie) op deze gebruiker toe.
-
Defineert een gebruiker, gebruiker four, die tot de groep groep vier behoort en past verificatie (wachtwoord is gebruiker4passwd) en Privacy (des56-encryptie) op deze gebruiker toe.
-
Defineer een groep, groep, met behulp van gebruikersbeveiligingsmodel (USM) V3 en nadat u toegang hebt gelezen in de v1default-weergave (de standaardinstelling).
-
Defineer een groep, groep twee, gebruik USM V3 en heb toegang tot de weergave gelezen.
-
Defineer een groep, groep drie, met behulp van USM V3, na toegang te hebben gelezen in de v1default weergave (de standaard), en door verificatie te gebruiken.
-
Defineer een groep, groep vier, met behulp van USM V3, na toegang te hebben gelezen in de v1default-weergave (de standaard), en met behulp van verificatie en privacy.
-
Defineer een weergave, myview, die leestoegang op MIB-II verschaft en toegang op de privé MIB van Cisco ontkent.
De show run output geeft extra regels voor de groep publiek, vanwege het feit dat er een community string Read-Only publiek is die is gedefinieerd.
De show run output laat de gebruiker 3 niet zien.
Voorbeeld:
snmp-server engineID local 111100000000000000000000 snmp-server user userone groupone v3 snmp-server user usertwo grouptwo v3 snmp-server user userthree groupthree v3 auth md5 user3passwd snmp-server user userfour groupfour v3 auth md5 user4passwd priv des56 user4priv snmp-server group groupone v3 noauth snmp-server group grouptwo v3 noauth read myview snmp-server group groupthree v3 auth snmp-server group groupfour v3 priv snmp-server view myview mib-2 included snmp-server view myview cisco excluded snmp-server community public RO
Dit is de opdracht en de uitvoer voor de MIB-II systeemgroep die gebruikmaakt van gebruikersgebruikersnaam:
NMSPrompt 94 % snmpwalk -v3 -n "" -u userone -l noAuthNoPriv clumsy system Module SNMPV2-TC not found system.sysDescr.0 = Cisco Internetwork Operating System Software IOS (TM) 4500 Software (C4500-IS-M), Version 12.0(3)T,RELEASE SOFTWARE (fc1) Copyright (c) 1986-1999 by cisco Systems, Inc. Compiled Tue 23-Feb-99 03:59 by ccai system.sysObjectID.0 = OID: enterprises.9.1.14 system.sysUpTime.0 = Timeticks: (28208096) 3 days, 6:21:20.96 system.sysContact.0 = system.sysName.0 = clumsy.cisco.com system.sysLocation.0 = system.sysServices.0 = 78 system.sysORLastChange.0 = Timeticks: (0) 0:00:00.00 NMSPrompt 95 %
Dit is de opdracht en de uitvoer voor de MIB-II systeemgroep met behulp van gebruikersgebruiker twee:
NMSPrompt 95 % snmpwalk -v3 -n "" -u usertwo -l noAuthNoPriv clumsy system Module SNMPV2-TC not found system.sysDescr.0 = Cisco Internetwork Operating System Software IOS (TM) 4500 Software (C4500-IS-M), Version 12.0(3)T,RELEASE SOFTWARE (fc1) Copyright (c) 1986-1999 by cisco Systems, Inc. Compiled Tue 23-Feb-99 03:59 by ccai system.sysObjectID.0 = OID: enterprises.9.1.14 system.sysUpTime.0 = Timeticks: (28214761) 3 days, 6:22:27.61 system.sysContact.0 = system.sysName.0 = clumsy.cisco.com system.sysLocation.0 = system.sysServices.0 = 78 system.sysORLastChange.0 = Timeticks: (0) 0:00:00.00
Dit is de opdracht en de uitvoer voor de Cisco Local System-groep die gebruikmaakt van een gebruikersinterface:
NMSPrompt 98 % snmpwalk -v3 -n "" -u userone -l noAuthNoPriv clumsy .1.3.6.1.4.1.9.2.1 Module SNMPV2-TC not found enterprises.9.2.1.1.0 = "..System Bootstrap, Version 5.2(7b) [mkamson 7b], RELEASE SOFTWARE (fc1)..Copyright (c) 1995 by cisco Systems, Inc..." enterprises.9.2.1.2.0 = "reload" enterprises.9.2.1.3.0 = "clumsy" enterprises.9.2.1.4.0 = "cisco.com"
Dit is de opdracht en de uitvoer die tonen dat u de Cisco Local System groep niet kunt krijgen met gebruikers twee:
NMSPrompt 99 % snmpwalk -v3 -n "" -u usertwo -l noAuthNoPriv clumsy .1.3.6.1.4.1.9.2.1 Module SNMPV2-TC not found enterprises.9.2.1 = No more variables left in this MIB View NMSPrompt 100 %
Deze opdracht en de resulterende uitvoer zijn voor een aangepaste tcpdf-pomp (lapje voor SNMP versie 3 ondersteuning en addendum of printf):
NMSPrompt 102 % snmpget -v3 -n "" -u userone -l noAuthNoPriv clumsy system.sysName.0 Module SNMPV2-TC not found system.sysName.0 = clumsy.cisco.com
ACL-interfaces instellen
De functie ACL biedt beveiligingsmaatregelen ter voorkoming van aanvallen zoals IP-spoofing. ACL kan op inkomende of uitgaande interfaces op routers worden toegepast.
Op platforms die niet de optie hebben om ACL’s (rACL’s) te gebruiken, is het mogelijk om User Datagram Protocol (UDP)-verkeer naar de router van vertrouwde IP-adressen met interface-ACL’s toe te staan.
De volgende uitgebreide toegangslijst kan aan uw netwerk worden aangepast. Dit voorbeeld veronderstelt dat de router IP-adressen 192.168.10.1 en 172.16.1.1 op zijn interfaces heeft geconfigureerd, dat alle SNMP-toegang moet worden beperkt tot een beheerstation met het IP-adres van 10.1.1.1 en dat het beheerstation alleen hoeft te communiceren met IP-adres 192.160 1.1:
access-list 101 permit udp host 10.1.1.1 host 192.168.10.1
De toegangslijst moet vervolgens op alle interfaces worden toegepast met behulp van deze configuratieopdrachten:
interface ethernet 0/0 ip access-group 101 in
Alle apparaten die direct met de router op UDP-poorten communiceren zullen specifiek in de bovenstaande toegangslijst moeten worden vermeld. Cisco IOS-software gebruikt poorten in het bereik 49152 tot 65535 als bronpoort voor uitgaande sessies zoals Domain Name System (DNS)-vragen.
Voor apparaten die veel IP adressen hebben gevormd, of veel hosts die met de router moeten communiceren, kan dit geen schaalbare oplossing zijn.
rACL’s
Voor gedistribueerde platforms kunnen rACL’s een optie zijn die begint in Cisco IOS-softwarerelease 12.0(21)S2 voor Cisco 12000 Series Gigabit Switch-router (GSR) en release 12.0(24)S voor Cisco 7500 Series. Ontvang toegangslijsten beschermen het apparaat tegen schadelijk verkeer alvorens het verkeer de routeprocessor kan beïnvloeden. Ontvang pad-ACL’s worden ook beschouwd als best practice voor netwerkbeveiliging en dienen te worden beschouwd als een langetermijntoevoeging aan goede netwerkbeveiliging, evenals een tijdelijke oplossing voor deze specifieke kwetsbaarheid. De CPU-lading wordt verdeeld over de lijnkaartprocessors en helpt de belasting op de hoofdrouteprocessor te verlichten. Het witboek getiteld GSR: Ontvang Toegangscontrolelijsten zullen helpen om legaal verkeer naar uw apparaat te identificeren en toe te staan en ontken alle ongewenste pakketten.
Infrastructuur ACL’s
Hoewel het vaak moeilijk is om verkeer door uw netwerk te blokkeren, is het mogelijk om verkeer te identificeren dat nooit zou moeten worden toegestaan om uw infrastructurele apparaten te richten en dat verkeer aan de grens van uw netwerk te blokkeren. Infrastructuur-ACL’s (iACL’s) worden beschouwd als de beste praktijk op het gebied van netwerkbeveiliging en moeten worden beschouwd als een aanvulling op de goede netwerkbeveiliging op lange termijn en als een oplossing voor deze specifieke kwetsbaarheid. Het witboek getiteld Protect Your Core: Toegangscontrolelijsten voor bescherming van de infrastructuur bieden richtlijnen en aanbevolen inzettechnieken voor iACL’s.
Functie voor Cisco Catalyst LAN-Switch
De optie IP-toegangslijst beperkt de toegang tot het inkomende telnet en SNMP tot de switch van onbevoegde bron-IP-adressen. Syslogberichten en SNMP-traps worden ondersteund om een beheersysteem te informeren wanneer er sprake is van een schending of ongeautoriseerde toegang.
Een combinatie van de Cisco IOS-softwarefuncties kan worden gebruikt om routers en Cisco Catalyst-switches te beheren. Er moet een beveiligingsbeleid worden vastgesteld dat het aantal beheerscentra beperkt dat in staat is om toegang te krijgen tot de switches en routers.
Voor meer informatie over hoe u de beveiliging op IP-netwerken kunt verhogen, raadpleeg Verhoogde beveiliging op IP-netwerken.
SNMP-fouten controleren
Configureer de SNMP-community ACL’s met het logtrefwoord. Monitorsysteem voor mislukte pogingen, zoals hieronder wordt getoond.
access-list 10 deny any log snmp-server community public RO 10
Wanneer iemand de router met het publiek van de gemeenschap probeert te bereiken, zie je een syslog gelijkend op het volgende:
%SEC-6-IPACCESSLOGS: list 10 denied 172.16.1.15packet
Deze output betekent dat de toegang-lijst 10 vijf SNMP pakketten van de gastheer 172.16.1.1 heeft ontkend.
Controleer SNMP periodiek op fouten door een show SNMP opdracht uit te voeren, zoals hier wordt getoond:
router#show snmp Chassis: 21350479 17005 SNMP packets input 37 Bad SNMP version errors** 15420 Unknown community name** 0 Illegal operation for community name supplied 1548 Encoding errors** 0 Number of requested variables 0 Number of altered variables 0 Get-request PDUs 0 Get-next PDUs 0 Set-request PDUs 0 SNMP packets output 0 Too big errors (Maximum packet size 1500) 0 No such name errors 0 Bad values errors 0 General errors 0 Response PDUs 0 Trap PDUs
Bekijk de tellers die gemarkeerd zijn ** voor onverwachte stijgingen in foutenpercentages die erop kunnen duiden dat deze kwetsbaarheden proberen te benutten. Raadpleeg de respons op Cisco-productbeveiliging om beveiligingsproblemen te melden.
Feedback