SNMP
Блокирование трафика SNMP
Еще проще заменить строки доступа трудно угадываемыми паролями. Например, в устройствах Cisco это достигается с помощью следующей простой команды.
snmp-server community <трудно угадываемый пароль> RO
Кроме того, всегда, когда это возможно, запрещайте SNMP-доступ для чтения с возможностью записи.
Для снижения риска применения протокола SNMP можно воспользоваться также и рекомендацией самой компании Cisco (http://www.cisco.com/univercd/cc/-td/doc/cisintwk/ics/cs003.htm):
"К сожалению, строки доступа SNMP передаются по сети в виде незашифрованного текста… По этой причине отказ от использования сервера SNMP, поддерживающего передачу сообщений trap, позволит предотвратить перехват этих сообщений взломщиками (передаваемых между диспетчерами и агентами SNMP) и их использование для получения строк доступа."
Если в строке доступа вы хотите использовать символ?, то перед ним необходимо нажать комбинацию клавиш CTRL + V. Например, для того чтобы установить строку доступа, равную secret?2me, введите:
secret<CTRL + V>?2me
В табл. 10.2 перечислены все основные разработчики сетевых устройств и строки доступа, используемые ими по умолчанию для чтения и для чтения/записи.
Таблица 10.2. Используемые по умолчанию пароли сетевых устройств.
| Компания-разработчик | Строка доступа для чтения | Строка доступа для чтения/записи |
|---|---|---|
| Ascend | public | write |
| Bay | public | private |
| Cisco | public | private |
| 3Com | public, monitor | manager, security |
Ниже приведен список часто встречаемых строк доступа.
- public
- private
- secret
- world
- read
- network
- community
- write
- cisco
- all private
- admin
- default
- password
- tivoli
- openview
- monitor
- manager
- security
Помимо перечисленных строк доступа, используемых по умолчанию, многие компании в качестве таковых используют собственное название. Например, руководствуясь этим принципом, издательство Osborne может использовать в качестве строки доступа слово osborne (но это только по секрету).