‘壹’ snmpv3定义了哪些安全特性
1、SNMP早期版本的安全机制及其缺陷
SNMPv1存在一些明显的缺陷,其中之一就是忽视了安全问题。SNMPv1只提出了基于团体(community)的安全机制。一个SNMP团体是一个SNMP代理和任意一组SNMP管理站之间的一种关系,它定义了认证和访问控制的特性。
团体是定义在代理上的一个本地概念。代理为每一个必要的认证和访问控制的联合建立一个团体,每个团体拥有唯一一个名字。团体之中的管理站必须使用该团体的团体名进行Get和Set操作。
(1)认证服务
认证服务用于保证通信是可信的。在SNMP消息中,认证服务将向消息接收者保证该消息的确是从它所声明的来源出发的。SNMP仅提供了一种很简单的认证方式:从管理站发往代理的每个消息都包括一个团体名,起口令的作用。如果该团体名存在于代理已知的团体名列表中,则该消息被认为是可信的,接收该消息;否则,消息不可信,丢弃该消息。
(2)访问控制策略
通过定义团体,代理可以限制它的MIB只能被选定的一组管理站访问。而通过定义多于一个的团体,代理能够为不同的管理站提供不同的MIB访问权限。
但是,团体名通常以明文形式随SNMP报文传输。对于熟悉SNMP的人来说,可以很容易地从网络上捕获的SNMP报文中分析得到团体名,从而盗用某些权限、进行非法的操作。
2、SNMP面临的安全威胁
在实际中广泛使用的SNMPv1/v2c采用以明文传输的团体名作为认证手段。这种脆弱的保护机制使得SNMP面临着一系列安全威胁。这些威胁包括:
(1)伪装(masquerade [ˌmæskəˈreɪd])
一些未授权的实体可以伪装为已授权实体的身份,去执行只有授权实体才可以执行的管理操作,从而获得额外的特权。
(2)信息更改(Modification of Information)
一个实体可以更改由另一授权实体产生的正在传输的报文,从而导致越权的管理操作。这种威胁的本质就是未授权的实体可以修改任何管理参数,包括配置、操作和计费方面的参数。
(3)信息泄露(Disclosure [dɪs'kləʊʒə(r)] of Information)
实体可以观测管理者与代理之间的信息交换,从而获得管理对象的值,并获知所报告的事件。例如,通过观测更改口令的Set命令,可以使攻击者获知新口令的内容。
(4)消息流更改(Message Stream Modification)
SNMP被设计成在无连接的协议上运行。因此,SNMP消息有可能被重排、延迟或者重放(复制),从而导致越权的管理操作。例如,一个重新启动设备的消息可能被复制,并在将来的某一时刻重放,导致非授权的操作。
(5)拒绝服务(Denial [dɪ'naɪəl] of Service)
阻止管理者与代理之间的信息交换,或阻止通信设备的正常使用和管理。这种攻击或者是阻止所有发往特定目的站点的消息、或者是对网络进行破坏使其不能运行、或者是发送大量消息使网络过载从而降低其性能。
(6)流量分析(Traffic Analysis)
分析管理者和代理之间信息交换的一般模式。
‘贰’ 有关snmp的get,getnext,getbulk操作的问题
关于snmp编程的资料其实很多。我建议你下载net-snmp开发包,看看里面的代码!他是用C语言编写的,编译后可以linux系统上测试。现成api是没有,不过你可以在这个开发包找到很多有用的函数。你可以重点看一下asn.c(有关ber编码文件)snmp_api.c(解析封装snmp包的)。你把这些文件好好整理一下,就可以得到自己的api,这就是最好的列子。
我自己动手写过snmp协议,实现get、getnext、set、snmptrap命令。代码不会很长,只有几千行。
如果有问题发邮件到[email protected]进行交流
‘叁’ windows 2008 怎么执行 snmp 命令
注:snmputil.exe是snmp协议进行探测windows命令行工具,网上可以下到。
@echo off
setlocal enableDelayedExpansion
for /f %%i in (%1%) do (
for /f "delims=" %%t in ('snmputil get %%i public .1.3.6.1.2.1.1.5.0') do set var=%%t
if "!var!" == "error on SnmpMgrRequest 40" (
echo "%%i : 失败[var=!var!]" >>"失败%1%"
) else (
echo "%%i : 正确[var=!var!]" >>"正确%1%"
)
)
echo THE END
pause>nul
‘肆’ windows server2008r2 系统设置本地策略安全选项中有哪些
相信很多用户在安装配置的时候都遇到过各种各样的问题。如:安装Windows Server 2008 R2系统,并且建了域环境,在添加新用户的时候,发现用简单的密码时域安全策略提示密码复杂度不够,于是就想在域安全策略里面把密码复杂度降低一点,但发现,在Windows Server 2008域的默认“管理工具”中,根本没有域安全策略这个选项(注:“域安全策略”在Windows Server 2003以前的系统默认在“管理工具”里面),只有一个本地安全策略, 当用户打开本地安全策略时,会发现无论是账户策略还是本地策略,里面的项目都是灰色不可修改。 解决方法是,用户需将Windows Server 2008 R2系统升级为域控制器,那么域会自动把本地安全策略的某些功能锁定。现在,Windows Server 2008 R2的域安全策略应如何启动和打开呢? 一、方法步骤如下: 1、点击“开始”-“程序”-“管理工具”-点击“组策略管理”。 2、在打开的组策略管理,一次“林”-“域”-“sayms-组策略对象(Domain.com是指您的域名)”。 3、右键点击Default Domain Policy然后选择“编辑”。 4、到“计算机配置-策略-Windows 设置- 安全设置-账户策略- 密码策略”。 5、您可以在右边的窗口中定义密码相关的策略,此策略会应用于整个域中的所有账户。
‘伍’ 如何关闭华为,H3C,CISCO交换机的SNMP功能
有人有详细的各类交换机的SNMPv3配置的文档吗(包含但不限于思科、华为、H3CC.设置OID值的方法。采用snmpset命令 注意配置的用户是可读写的v3代理用户。
‘陆’ 请问SNMP有什么作用
snmp是TCP/IP协议族里的一个协议,完整名称是简单网络管理协议,用来网络设备管理协议的,像网卡netcard之类的东东
‘柒’ 在snmpv1中 get get nex set 报文分别由哪些部分组成
SNMPV1 是一种简单的请求 / 响应协议。网络管理系统发出一个请求,管理器则返回一个响应。这一行为的实现是通过使用四种协议操作中的其中任一种完成的。这四种操作分别是 GET 、 GETNEXT 、 SET 和 TRAP 。 NMS 通过 GET 操作,从 SNMP 代理处得到一个或更多的对象(实例)值。如果代理处不能提供请求列表中所有的对象(实例)值,它也就不提供任何值。 NMS 使用 GETNEXT 操作请求代理从请求列表或对象列表中取出下一个对象实例值。 NMS 通过 SET 操作向 SNMP 代理发送命令,要求对对象值重新配置。 SNMP 代理通过 TRAP 操作不定时的通知 NMS 所发生的特定事件。
‘捌’ SNMP的通信过程
一 SNMP协议介绍 简单网络管理协议(SNMP:Simple Network Management Protocol)是由互联网工程任务组(IETF:Internet Engineering Task Force )定义的一套网络管理协议。该协议基于简单网关监视协议(SGMP:Simple Gateway Monitor Protocol)。利用SNMP,一个管理工作站可以远程管理所有支持这种协议的网络设备,包括监视网络状态、修改网络设备配置、接收网络事件警告等。虽然SNMP开始是面向基于IP的网络管理,但作为一个工业标准也被成功用于电话网络管理。 1. SNMP基本原理 SNMP采用了Client/Server模型的特殊形式:代理/管理站模型。对网络的管理与维护是通过管理工作站与SNMP代理间的交互工作完成的。每个SNMP从代理负责回答SNMP管理工作站(主代理)关于MIB定义信息的各种查询。下图10是NMS公司网络产品中SNMP协议的实现模型。 图10 SNMP代理和管理站通过SNMP协议中的标准消息进行通信,每个消息都是一个单独的数据报。SNMP使用UDP(用户数据报协议)作为第四层协议(传输协议),进行无连接操作。SNMP消息报文包含两个部分:SNMP报头和协议数据单元PDU。数据报结构如下图11。 图11 版本识别符(version identifier):确保SNMP代理使用相同的协议,每个SNMP代理都直接抛弃与自己协议版本不同的数据报。 团体名(Community Name):用于SNMP从代理对SNMP管理站进行认证;如果网络配置成要求验证时,SNMP从代理将对团体名和管理站的IP地址进行认证,如果失败,SNMP从代理将向管理站发送一个认证失败的Trap消息(见后); 协议数据单元(PDU):其中PDU指明了SNMP的消息类型及其相关参数。 2. 管理信息库MIB IETF规定的管理信息库MIB(由中定义了可访问的网络设备及其属性,由对象识别符(OID:Object Identifier)唯一指定。MIB是一个树形结构,SNMP协议消息通过遍历MIB树形目录中的节点来访问网络中的设备。 下图给出了NMS系统中SNMP可访问网络设备的对象识别树(OID:Object Identifier)结构。 图12 下图13给出了对一个DS1线路状态进行查询的OID设置例子。 图13 图14中左图给出了RFC2495对DS1/E1中继线的MIB信息树图,右图是NMS系统中对机架Chassis管理MIB约定。 点击查看 图14 3. SNMP的五种消息类型 SNMP中定义了五种消息类型:Get-Request、Get-Response、Get-Next-Request、Set-Request、Trap。 Get-Request 、Get-Next-Request与Get-Response SNMP管理站用Get-Request消息从拥有SNMP代理的网络设备中检索信息,而SNMP代理则用Get-Response消息响应。Get-Next-Request用于和Get-Request组合起来查询特定的表对象中的列元素。如: 首先通过下面的原语获得所要查询的设备的接口数: {iso org(3) dod(6) internet(1) mgmt(2) mib(1) interfaces(2) ifNumber(2)} 然后再通过下面的原语,进行查询(其中第一次用Get-Request,其后用Get-Next-Request): {iso org(3) dod(6) internet(1) mgmt(2) mib(1) interfaces(2) ifTable(2)} Set-Request SNMP管理站用Set-Request 可以对网络设备进行远程配置(包括设备名、设备属性、删除设备或使某一个设备属性有效/无效等)。 Trap SNMP代理使用Trap向SNMP管理站发送非请求消息,一般用于描述某一事件的发生。 可查看链接: http://ke..com/view/2899.html?wtp=tt
‘玖’ FREEBSD的防火墙配置问题。高手进!!!
1、常识问题,FREEBSD是UNIX,不是LINUX
2、打开主机的161.162端口,这是SNMP协议使用的传输端口;或是在防火墙规则中写入。
scokstat可以查看已打开端口
3、SNMPSET 是主机自己执行的,加allow udp from me to me 试
‘拾’ 如何通过get,getnext,set,trap几种操作访问mib对象的值
Snmputil是一个命令行下的软件,使用语法如下: usage: snmputil get|getnext|walk] agent community oid [oid ...] snmputil trap
其中agent表示代理进程的IP地址,community表示团体名,oid表示MIB对象ID。
举例说明:
1)查看本地计算机(IP地址为192.168.0.176)的系统信息
通过对系统组的MIB对象的查阅,我们知道系统信息所对应的MIB对象为.1.3.6.1.2.1.1.1(参看系统组对象),我们使用get参数来查询:
C:>snmputil get 192.168.0.176 public .1.3.6.1.2.1.1.1.0 Variable = system.sysDescr.0
Value = String Hardware: x86 Family 15 Model 2 Stepping 7 AT/AT COMPATIBLE -
Software: Windows 2000 Version 5.1 (Build 2600 Uniprocessor Free)
其中public是192.168.0.3计算机上的团体名,.1.3.6.1.2.1.1.1.0是对象实例,注意对象ID前面要加一个点".",后面还要加一个"0"。如果不在对象ID末尾加上一个0,那么用get参数查询就会出错。从查询结果中我们能够看出操作系统版本和CPU类型。
2)查询计算机连续开机多长时间
C:>snmputil get 192.168.0.176 public .1.3.6.1.2.1.1.3.0
Variable = system.sysUpTime.0
Value = TimeTicks 447614
如果我们在对象ID后面不加0,使用getnext参数能得到同样的效果:
C:>snmputil getnext 192.168.0.176 public .1.3.6.1.2.1.1.3
Variable = system.sysUpTime.0
Value = TimeTicks 476123
3)查询计算机的联系人
C:>snmputil get 192.168.0.176 public .1.3.6.1.2.1.1.4.0
Variable = system.sysContact.0
Value = String administrator
以上简单介绍了用snmputil查询代理进程的方法,由于在命令行下使用,可能大家感到颇为不方便,但命令行的一个好处就是可以促进大家主动查阅MIB对象,加深对SNMP网络管理的认识。
4)使用walk查询设备上所有正在运行的进程:
C:>snmputil walk 192.168.0.176 public .1.3.6.1.2.1.25.4.2.1.2 Variable = host.hrSWRun.hrSWRunTable.hrSWRunEntry. hrSWRunName.1 Value = String System Idle Process
Variable = host.hrSWRun.hrSWRunTable.hrSWRunEntry. hrSWRunName.4 Value = String System
Variable = host.hrSWRun.hrSWRunTable.hrSWRunEntry. hrSWRunName.292
- 1 -
snmputil使用方法
SWRun.hrSWRunTable.hrSWRunEntry. hrSWRunName.308 Value = String RavTimer.exe
Variable = host.hrSWRun.hrSWRunTable.hrSWRunEntry. hrSWRunName.336 Value = String RavMon.exe
限于篇幅笔者就不把所有进程列出来,大家可以在自己的计算机上面实验,以加强感性认识。
5)查询计算机上面的用户列表
C:>snmputil walk 192.168.0.176 public .1.3.6.1.4.1.77.1.2.25.1.1
Variable = .iso.org.dod.internet.private.enterprises. lanmanager.lanmgr-2.server. svUserTable.svUserEntry.svUserName.4.117.115.101.114
Value = String user
Variable = .iso.org.dod.internet.private.enterprises. lanmanager.lanmgr-2.server. svUserTable.svUserEntry.svUserName.5.71.117.101.115.116
Value = String Guest
Variable = .iso.org.dod.internet.private.enterprises. lanmanager.lanmgr-2.server.svUserTable.svUserEntry. svUserName.13.65.100.109.105.110. 105.115.116.114.97.116.111.114
Value = String Administrator
从中我们可以得知该计算机共有三个用户,它们分别为user、guest和administrator。
Snmputil还有一个trap的参数,主要用来陷阱捕捉,它可以接受代理进程上主动发来的信息。如果我们在命令行下面输入snmputil trap后回车,然后用错误的团体名来访问代理进程,这时候就能收到代理进程主动发回的报告。
在MIBII中总共有175个对象,每个对象均有其不同的含义,我们只有通过查阅MIB才能知道它们各自的作用。MIB对象是SNMP网络管理中的核心内容,只有深入了解MIB对象的含义我们才有可能知道如何去驾驭SNMP网络管理。