صفحه 1 از 2 1 2 آخرینآخرین
نمایش نتایج: از شماره 1 تا 15 از مجموع 19

موضوع: SNMP Config

  
  1. #1


    عضو غیر فعال
    تاریخ عضویت
    Jul 2004
    محل سکونت
    Iran-Ahvaz
    نوشته
    28
    سپاسگزاری شده
    0
    سپاسگزاری کرده
    0

    SNMP Config

    mikhastam bedoonam chetori SNMP ro too router config konam ke moshkeli az halaze amniat nadashte bashe...mikham az halate RW dar biyad..



    موضوعات مشابه:

  2. #2
    نام حقيقي: Reza ARYAGOHAR

    مدیر بازنشسته شناسه تصویری aryagohar
    تاریخ عضویت
    Jul 2003
    محل سکونت
    Sydney ,Australia
    نوشته
    3,056
    سپاسگزاری شده
    943
    سپاسگزاری کرده
    215
    بزارش تو مود ReadOnly يعني RO



  3. #3


    عضو غیر فعال
    تاریخ عضویت
    Jul 2004
    محل سکونت
    Iran-Ahvaz
    نوشته
    28
    سپاسگزاری شده
    0
    سپاسگزاری کرده
    0
    alan config-e router injooriye
    snmp-server community public RO 15
    snmp-server community snmp-black RO 16
    in kafiye vase inke moshkele amniayti nadashte bashe?



  4. #4
    نام حقيقي: Reza ARYAGOHAR

    مدیر بازنشسته شناسه تصویری aryagohar
    تاریخ عضویت
    Jul 2003
    محل سکونت
    Sydney ,Australia
    نوشته
    3,056
    سپاسگزاری شده
    943
    سپاسگزاری کرده
    215
    براي Kill كردن كاربرها به يك RW نياز داري.



  5. #5
    نام حقيقي: Sadjad Seyed-Ahmadian

    عضو غیر فعال شناسه تصویری ssa1357
    تاریخ عضویت
    Nov 2003
    محل سکونت
    Tehran-Iran
    نوشته
    306
    سپاسگزاری شده
    1
    سپاسگزاری کرده
    0
    براي اينكه مشكل امنيتي پيش نياد همونطور كه خودت ست كردي snmp community رو با اكسس ليستها ( تو ستينگ تو اكسس ليست شماره 15 و 16 ) فقط به سرورهايي با ادرسهاي خاص اختصاص بدين.



  6. #6
    نام حقيقي: Reza ARYAGOHAR

    مدیر بازنشسته شناسه تصویری aryagohar
    تاریخ عضویت
    Jul 2003
    محل سکونت
    Sydney ,Australia
    نوشته
    3,056
    سپاسگزاری شده
    943
    سپاسگزاری کرده
    215
    آقا اصلا snmp با community public تعريف نكن.



  7. #7
    نام حقيقي: Sadjad Seyed-Ahmadian

    عضو غیر فعال شناسه تصویری ssa1357
    تاریخ عضویت
    Nov 2003
    محل سکونت
    Tehran-Iran
    نوشته
    306
    سپاسگزاری شده
    1
    سپاسگزاری کرده
    0
    آقا رضا چاكريم. دقيقا درست ميفرمائيد. من هواسم نبود اين دوستمون public community هم ايجاد كرده. community يه چيزي تو مايه هاي پسورد باشه كه به راحتي دست هر كس و ناكسي نيوفته



  8. #8


    عضو غیر فعال شناسه تصویری NetMaster
    تاریخ عضویت
    Jun 2004
    نوشته
    376
    سپاسگزاری شده
    5
    سپاسگزاری کرده
    0

    Cisco SNMP & Security

    As long as you are using access lists, then no matter what your SNMP-Community is you are safe!
    just make sure you have the IP's allowd to use the snmp are there!

    Router# conf t {start conf }
    Router (config)# no access-list 15 { delete any old acl 15 }
    Router (config)# access-list 15 permit m.y.i.p { make new acl 15 with your ip }
    Router (config)# no access-list 16
    Router (config)# access-list 16 permit m.y.i.p
    Router (config)# snmp-server community public ro 15 { well provide read only for ip in acl 15 }
    Router (config)# snmp-server community private rw 16 { well provide read-write for ip in acl 16}
    Router (config)# Ctrl/z { to end configuration mode}
    Router#wr { this well save your conf }

    Good Luck!



  9. #9


    عضو عادی
    تاریخ عضویت
    May 2004
    محل سکونت
    Tehran
    نوشته
    193
    سپاسگزاری شده
    9
    سپاسگزاری کرده
    40
    من بابرنامه mrtg تونستم کع فقط ترافیک ورودی/خروجی را بصورت نمودار دربیارم ولی
    میخوام که نموداری از تعداد خطوط فعال، پروسس سیستم و ... داشته باشم.
    برای اینکار تنظیمات snmp یا mrtg را چی باید بگذارم؟

    ممنون



  10. #10


    عضو غیر فعال شناسه تصویری NetMaster
    تاریخ عضویت
    Jun 2004
    نوشته
    376
    سپاسگزاری شده
    5
    سپاسگزاری کرده
    0
    Why don't you read a little bit about MRTG!!!



  11. #11
    نام حقيقي: Reza ARYAGOHAR

    مدیر بازنشسته شناسه تصویری aryagohar
    تاریخ عضویت
    Jul 2003
    محل سکونت
    Sydney ,Australia
    نوشته
    3,056
    سپاسگزاری شده
    943
    سپاسگزاری کرده
    215
    همه اين كارا قابل انجامه. ولي همون طور كه آقاي خياط گفت راهنماي MRTG رو بخون حله.

    در مورد access-list هاي كه نت مستر عزيز گفتن. درسته كه با اين تنظيمات قبول دستورات رو فقط از طرف همون IP ممكن ميشه ولي اين باعث نميشه كه SNMP شما به حمله جواب نده. خيلي راحت تمام اطلاعات رو در اختيار مي زاره

    بهترين راه حل

    براي ورژن هاي IOS كمتر از 12.2 , حتي Communty Public RO هم تنظيم نكنيد. چون به سادگي Break ميشه وCommunity با قابليت RW رو در اختيار سيستم حمله كننده قرار ميده.



  12. #12
    نام حقيقي: محمد حکیمی

    Administrator شناسه تصویری Hakimi
    تاریخ عضویت
    Dec 2002
    محل سکونت
    تهران
    نوشته
    6,549
    سپاسگزاری شده
    6798
    سپاسگزاری کرده
    1035
    نوشته های وبلاگ
    4
    رضا جان کمی با دقت بيشتر بنويس،
    يعنی چی که قبول دستورات فقط از همون IP ممکن ميشه ولی باعث نميشه SNMP به حمله پاسخ نده؟!!
    وقتی ACL ميگذاری يعنی مدخل رو بستی، وقتی با ACL جلوی رسيدن درخواست به SNMP Service روی Cisco رو گرفتی چطور ميخواد بهش حمله صورت بگيره و اون هم اطلاعات رو در اختيار قرار بده؟!!



  13. #13
    نام حقيقي: Reza ARYAGOHAR

    مدیر بازنشسته شناسه تصویری aryagohar
    تاریخ عضویت
    Jul 2003
    محل سکونت
    Sydney ,Australia
    نوشته
    3,056
    سپاسگزاری شده
    943
    سپاسگزاری کرده
    215
    امتحان كن.

    از نظر تئوري نبايد بشه. ولي نمي دونم چرا تو ورژنهاي پايينتر از 12.2 جواب ميده.



  14. #14


    عضو غیر فعال شناسه تصویری NetMaster
    تاریخ عضویت
    Jun 2004
    نوشته
    376
    سپاسگزاری شده
    5
    سپاسگزاری کرده
    0

    Vulnerabilities in SNMP Message Processing

    Dear Riza,
    Don't be so afaid, ACL in proper installation is more than enough to protect SNMP public community, it is better to have strong names ( &^%$#@__) and so on, but you should know that this vulnerabilities applies even to 12 3 ios
    Since using the ACL's and ristrecting access to lan interfaces are best way to work around, administrator should not leave his router exposed with unused ports opened, and should exsamin his logs more often on hourly bases (large or ISP networks) using log at the end of the acl command
    eg. access-list 101 deny udp any any eq snmp log
    you well find more info on protecting your router:

    here is another eg.

    The following extended access-list can be adapted to your network. This example assumes that the router has IP addresses 192.168.10.1 and 172.16.1.1 configured on its interfaces, that all SNMP access is to be restricted to a management station with the IP address of 10.1.1.1, and that the management station need only communicate with IP address 192.168.10.1:

    access-list 101 permit udp host 10.1.1.1 host 192.168.10.1 range 161 162 log
    access-list 101 permit udp host 10.1.1.1 host 192.168.10.1 range 49152 65535 log
    access-list 101 deny udp any host 192.168.10.1 range 161 162 log
    access-list 101 deny udp any host 192.168.10.1 range 49152 65535 log
    access-list 101 deny udp any host 172.16.1.1 range 161 162 log
    access-list 101 deny udp any host 172.16.1.1 range 49152 65535 log
    access-list 101 permit ip any any

    The access-list must then be applied to all interfaces using the following configuration commands:

    interface ethernet 0/0
    ip access-group 101 in


    ویرایش توسط NetMaster : 2004-08-26 در ساعت 06:03 PM

  15. #15
    نام حقيقي: Reza ARYAGOHAR

    مدیر بازنشسته شناسه تصویری aryagohar
    تاریخ عضویت
    Jul 2003
    محل سکونت
    Sydney ,Australia
    نوشته
    3,056
    سپاسگزاری شده
    943
    سپاسگزاری کرده
    215
    خيلي ممنون

    خيلي استفاده بردم. در مورد SNMP دقيقا همين كارو كردم از اسم هاي خفن استفاده مي كنم. ولي در مورد log گرفتن.

    يه مقداري بار رو زياد مي كنه مخصوصا اگه روتر زياد قوي نباشه مثل 2600

    ممنون



صفحه 1 از 2 1 2 آخرینآخرین

کلمات کلیدی در جستجوها:

تنضیمات شبکه

برچسب برای این موضوع

مجوز های ارسال و ویرایش

  • شما نمی توانید موضوع جدید ارسال کنید
  • شما نمی توانید به پست ها پاسخ دهید
  • شما نمی توانید فایل پیوست ضمیمه کنید
  • شما نمی توانید پست های خود را ویرایش کنید
  •