SNMPv3 网络管理协议应用解析.pdf

SNMPv3 网络管理协议应用解析 SNMPv3 网络管理协议发展及应用趋势2 Linux snmpv3 添加用户，简单理解snmpv3 安全策略5 NET-SNMP V3 版本的配置 For Windows snmp 安装包14 Net-SNMP （V3 协议）安装配置笔记（CentOS 5.2 ）17 SNMPv3 网络管理协议发展及应用趋势 目前SNMP 的发展主要包括三个版本：SNMPv1、SNMPv2 以及最新的SNMPv3 。从市 场应用来看，目前大多数厂商普遍支持的版本是SNMPv1 和v2 ，但从安全鉴别机制来看， 二者表现较差。 简单网络管理协议（SNMP ）是基于TCP/IP 的网络管理，实际上就是一群标准的集合。 80 年代末期由IETF 开发后，开始被广泛应用在各类网络设备中，成为一种网管的工业标 准。SNMP 又称之为管理者和代理之间的通信协议，包括理解SNMP 的操作、SNMP 信 息的格式及如何在应用程序和设备之间交换信息。 就概念而言，SNMP 为网管界定了管理者（Manager）和代理者(Agent，被管理设备)之间 的关系。两者之间的共同点是都运行TCP/IP 协议。管理者可对管理设备提出效能、配置、 和状态等信息的询问，透过要求与回复(request/replay)的简单机制来撷取代理者身上的信 息，而两者之间的信息主要是通过 PDU 协议数据单元来载送。SNMP 使用 UDP 作为 IP 的传输层协议。 在实现过程中，管理者会发送一个PDU 给一个代理者(可以是路由器、交换机、防火墙…… 等可支持网管的设备)，代理者收到管理者所发出内含询问信息的PDU 报文后，再透过PDU 回传给相关的管理者。在该过程中，代理者基本上只能处于被动的状态，反复进行一问一 答的模式，而唯一可由代理者自动发出的只有Trap 的不定期回报特殊状况信息。 SNMP 协议有两个基本命令模式：read 和read/write。read 是可以通过SNMP 协议观察 设备配置细节，而使用read/write 模式可以让管理者有权限修改设备配置。以当前市场流 行的大多数被网管的设备为例，如果设备的默认口令没有改变，那么攻击者就可以利用默 认的口令得到其配置文件，文件一旦被破解，攻击者就能够对设备进行远程非法的配置， 实行攻击。 目前，绝大多数的网络设备和操作系统都可以支持SNMP，如D-Link、Cisco、3Com 等 等。 SNMPv3 实现更优管理 目前SNMP 的发展主要包括三个版本：SNMPv1、SNMPv2 以及最新的SNMPv3 。从市 场应用来看，目前大多数厂商普遍支持的版本是SNMPv1 和v2 ，但从安全鉴别机制来看， 二者表现较差。而SNMPv3 采用了新的SNMP 扩展框架，在此架构下，安全性和管理上 有很大的提高。在当前的网络设备市场中，D-Link 已经率先推出了支持SNMPv3 的网络 产品，如 DES-3226S、DES-3250TG 交换机等，在安全功能和管理功能上都有良好的表 现。 总体来看，SNMPv1 和v2 版本对用户权力的惟一限制是访问口令，而没有用户和权限分 级的概念，只要提供相应的口令，就可以对设备进行read 或read/write 操作，安全性相对 来的薄弱。虽然SNMPv2 使用了复杂的加密技术，但并没有实现提高安全性能的预期目标， 尤其是在身份验证（如用户初始接入时的身份验证、信息完整性的分析、重复操作的预防）、 加密、授权和访问控制、适当的远程安全配置和管理能力等方面。 SNMPv3 是在SNMPv2 基础之上增加、完善了安全和管理机制。RFC 2271 定义的SNMPv3 体系结构体现了模块化的设计思想，使管理者可以简单地实现功能的增加和修改。其主要 特点在于适应性强，可适用于多种操作环境，不仅可以管理最简单的网络，实现基本的管 理功能，还能够提供强大的网络管理功能，满足复杂网络的管理需求。 目前，市场上的网络设备尚停留在SNMPv1/v2 的范畴，并未广泛支持SNMPv3，如何配 置设备的SNMP 服务以确保网络安全、完善管理机制呢？以下几个方面建议或许值得网管 人员一试：由于基于 SNMPv1/v2 协议本身具有不安全性，所以在管理过程中，如果没有 必要，可以不要开启 SNMP 代理程序；可以限制未授权 IP 对 SNMP 的访问，或者改变 SNMP 代理的默认口令，并使用复杂的口令；在后续采购