mikhastam bedoonam chetori SNMP ro too router config konam ke moshkeli az halaze amniat nadashte bashe...mikham az halate RW dar biyad..
Printable View
mikhastam bedoonam chetori SNMP ro too router config konam ke moshkeli az halaze amniat nadashte bashe...mikham az halate RW dar biyad..
بزارش تو مود ReadOnly يعني RO
alan config-e router injooriye
snmp-server community public RO 15
snmp-server community snmp-black RO 16
in kafiye vase inke moshkele amniayti nadashte bashe?
براي Kill كردن كاربرها به يك RW نياز داري.
براي اينكه مشكل امنيتي پيش نياد همونطور كه خودت ست كردي snmp community رو با اكسس ليستها ( تو ستينگ تو اكسس ليست شماره 15 و 16 ) فقط به سرورهايي با ادرسهاي خاص اختصاص بدين.
آقا اصلا snmp با community public تعريف نكن.
آقا رضا چاكريم. دقيقا درست ميفرمائيد. من هواسم نبود اين دوستمون public community هم ايجاد كرده. community يه چيزي تو مايه هاي پسورد باشه كه به راحتي دست هر كس و ناكسي نيوفته :)
As long as you are using access lists, then no matter what your SNMP-Community is you are safe!
just make sure you have the IP's allowd to use the snmp are there!
Router# conf t {start conf }
Router (config)# no access-list 15 { delete any old acl 15 }
Router (config)# access-list 15 permit m.y.i.p { make new acl 15 with your ip }
Router (config)# no access-list 16
Router (config)# access-list 16 permit m.y.i.p
Router (config)# snmp-server community public ro 15 { well provide read only for ip in acl 15 }
Router (config)# snmp-server community private rw 16 { well provide read-write for ip in acl 16}
Router (config)# Ctrl/z { to end configuration mode}
Router#wr { this well save your conf }
Good Luck!
من بابرنامه mrtg تونستم کع فقط ترافیک ورودی/خروجی را بصورت نمودار دربیارم ولی
میخوام که نموداری از تعداد [B]خطوط فعال[/B]، پروسس سیستم و ... داشته باشم.
برای اینکار تنظیمات snmp یا mrtg را چی باید بگذارم؟
ممنون
Why don't you read a little bit about MRTG!!!
همه اين كارا قابل انجامه. ولي همون طور كه آقاي خياط گفت راهنماي MRTG رو بخون حله.
در مورد access-list هاي كه نت مستر عزيز گفتن. درسته كه با اين تنظيمات قبول دستورات رو فقط از طرف همون IP ممكن ميشه ولي اين باعث نميشه كه SNMP شما به حمله جواب نده. خيلي راحت تمام اطلاعات رو در اختيار مي زاره
بهترين راه حل
براي ورژن هاي IOS كمتر از 12.2 , حتي Communty Public RO هم تنظيم نكنيد. چون به سادگي Break ميشه وCommunity با قابليت RW رو در اختيار سيستم حمله كننده قرار ميده.
رضا جان کمی با دقت بيشتر بنويس،
يعنی چی که قبول دستورات فقط از همون IP ممکن ميشه ولی باعث نميشه SNMP به حمله پاسخ نده؟!!
وقتی ACL ميگذاری يعنی مدخل رو بستی، وقتی با ACL جلوی رسيدن درخواست به SNMP Service روی Cisco رو گرفتی چطور ميخواد بهش حمله صورت بگيره و اون هم اطلاعات رو در اختيار قرار بده؟!!
امتحان كن.
از نظر تئوري نبايد بشه. ولي نمي دونم چرا تو ورژنهاي پايينتر از 12.2 جواب ميده.
Dear Riza,
Don't be so afaid, ACL in proper installation is more than enough to protect SNMP public community, it is better to have strong names ( &^%$#@__) and so on, but you should know that this vulnerabilities applies even to 12 3 ios :(
Since using the ACL's and ristrecting access to lan interfaces are best way to work around, administrator should not leave his router exposed with unused ports opened, and should exsamin his logs more often on hourly bases (large or ISP networks) using log at the end of the acl command
eg. access-list 101 deny udp any any eq snmp [B]log[/B]
you well find more info on protecting your router:
here is another eg.
The following extended access-list can be adapted to your network. This example assumes that the router has IP addresses 192.168.10.1 and 172.16.1.1 configured on its interfaces, that all SNMP access is to be restricted to a management station with the IP address of 10.1.1.1, and that the management station need only communicate with IP address 192.168.10.1:
access-list 101 permit udp host 10.1.1.1 host 192.168.10.1 range 161 162 log
access-list 101 permit udp host 10.1.1.1 host 192.168.10.1 range 49152 65535 log
access-list 101 deny udp any host 192.168.10.1 range 161 162 log
access-list 101 deny udp any host 192.168.10.1 range 49152 65535 log
access-list 101 deny udp any host 172.16.1.1 range 161 162 log
access-list 101 deny udp any host 172.16.1.1 range 49152 65535 log
access-list 101 permit ip any any
The access-list must then be applied to all interfaces using the following configuration commands:
interface ethernet 0/0
ip access-group 101 in
خيلي ممنون
خيلي استفاده بردم. در مورد SNMP دقيقا همين كارو كردم از اسم هاي خفن استفاده مي كنم. ولي در مورد log گرفتن.
يه مقداري بار رو زياد مي كنه مخصوصا اگه روتر زياد قوي نباشه مثل 2600
ممنون