-
SNMP Config
mikhastam bedoonam chetori SNMP ro too router config konam ke moshkeli az halaze amniat nadashte bashe...mikham az halate RW dar biyad..
موضوعات مشابه:
-
نام حقيقي:
Reza ARYAGOHAR
مدیر بازنشسته
بزارش تو مود ReadOnly يعني RO
-
alan config-e router injooriye
snmp-server community public RO 15
snmp-server community snmp-black RO 16
in kafiye vase inke moshkele amniayti nadashte bashe?
-
نام حقيقي:
Reza ARYAGOHAR
مدیر بازنشسته
براي Kill كردن كاربرها به يك RW نياز داري.
-
نام حقيقي:
Sadjad Seyed-Ahmadian
عضو غیر فعال
براي اينكه مشكل امنيتي پيش نياد همونطور كه خودت ست كردي snmp community رو با اكسس ليستها ( تو ستينگ تو اكسس ليست شماره 15 و 16 ) فقط به سرورهايي با ادرسهاي خاص اختصاص بدين.
-
نام حقيقي:
Reza ARYAGOHAR
مدیر بازنشسته
آقا اصلا snmp با community public تعريف نكن.
-
نام حقيقي:
Sadjad Seyed-Ahmadian
عضو غیر فعال
آقا رضا چاكريم. دقيقا درست ميفرمائيد. من هواسم نبود اين دوستمون public community هم ايجاد كرده. community يه چيزي تو مايه هاي پسورد باشه كه به راحتي دست هر كس و ناكسي نيوفته
-
عضو غیر فعال
Cisco SNMP & Security
As long as you are using access lists, then no matter what your SNMP-Community is you are safe!
just make sure you have the IP's allowd to use the snmp are there!
Router# conf t {start conf }
Router (config)# no access-list 15 { delete any old acl 15 }
Router (config)# access-list 15 permit m.y.i.p { make new acl 15 with your ip }
Router (config)# no access-list 16
Router (config)# access-list 16 permit m.y.i.p
Router (config)# snmp-server community public ro 15 { well provide read only for ip in acl 15 }
Router (config)# snmp-server community private rw 16 { well provide read-write for ip in acl 16}
Router (config)# Ctrl/z { to end configuration mode}
Router#wr { this well save your conf }
Good Luck!
-
من بابرنامه mrtg تونستم کع فقط ترافیک ورودی/خروجی را بصورت نمودار دربیارم ولی
میخوام که نموداری از تعداد خطوط فعال، پروسس سیستم و ... داشته باشم.
برای اینکار تنظیمات snmp یا mrtg را چی باید بگذارم؟
ممنون
-
عضو غیر فعال
Why don't you read a little bit about MRTG!!!
-
نام حقيقي:
Reza ARYAGOHAR
مدیر بازنشسته
همه اين كارا قابل انجامه. ولي همون طور كه آقاي خياط گفت راهنماي MRTG رو بخون حله.
در مورد access-list هاي كه نت مستر عزيز گفتن. درسته كه با اين تنظيمات قبول دستورات رو فقط از طرف همون IP ممكن ميشه ولي اين باعث نميشه كه SNMP شما به حمله جواب نده. خيلي راحت تمام اطلاعات رو در اختيار مي زاره
بهترين راه حل
براي ورژن هاي IOS كمتر از 12.2 , حتي Communty Public RO هم تنظيم نكنيد. چون به سادگي Break ميشه وCommunity با قابليت RW رو در اختيار سيستم حمله كننده قرار ميده.
-
نام حقيقي:
محمد حکیمی
Administrator
رضا جان کمی با دقت بيشتر بنويس،
يعنی چی که قبول دستورات فقط از همون IP ممکن ميشه ولی باعث نميشه SNMP به حمله پاسخ نده؟!!
وقتی ACL ميگذاری يعنی مدخل رو بستی، وقتی با ACL جلوی رسيدن درخواست به SNMP Service روی Cisco رو گرفتی چطور ميخواد بهش حمله صورت بگيره و اون هم اطلاعات رو در اختيار قرار بده؟!!
-
نام حقيقي:
Reza ARYAGOHAR
مدیر بازنشسته
امتحان كن.
از نظر تئوري نبايد بشه. ولي نمي دونم چرا تو ورژنهاي پايينتر از 12.2 جواب ميده.
-
عضو غیر فعال
Vulnerabilities in SNMP Message Processing
Dear Riza,
Don't be so afaid, ACL in proper installation is more than enough to protect SNMP public community, it is better to have strong names ( &^%$#@__) and so on, but you should know that this vulnerabilities applies even to 12 3 ios
Since using the ACL's and ristrecting access to lan interfaces are best way to work around, administrator should not leave his router exposed with unused ports opened, and should exsamin his logs more often on hourly bases (large or ISP networks) using log at the end of the acl command
eg. access-list 101 deny udp any any eq snmp log
you well find more info on protecting your router:
here is another eg.
The following extended access-list can be adapted to your network. This example assumes that the router has IP addresses 192.168.10.1 and 172.16.1.1 configured on its interfaces, that all SNMP access is to be restricted to a management station with the IP address of 10.1.1.1, and that the management station need only communicate with IP address 192.168.10.1:
access-list 101 permit udp host 10.1.1.1 host 192.168.10.1 range 161 162 log
access-list 101 permit udp host 10.1.1.1 host 192.168.10.1 range 49152 65535 log
access-list 101 deny udp any host 192.168.10.1 range 161 162 log
access-list 101 deny udp any host 192.168.10.1 range 49152 65535 log
access-list 101 deny udp any host 172.16.1.1 range 161 162 log
access-list 101 deny udp any host 172.16.1.1 range 49152 65535 log
access-list 101 permit ip any any
The access-list must then be applied to all interfaces using the following configuration commands:
interface ethernet 0/0
ip access-group 101 in
ویرایش توسط NetMaster : 2004-08-26 در ساعت 06:03 PM
-
نام حقيقي:
Reza ARYAGOHAR
مدیر بازنشسته
خيلي ممنون
خيلي استفاده بردم. در مورد SNMP دقيقا همين كارو كردم از اسم هاي خفن استفاده مي كنم. ولي در مورد log گرفتن.
يه مقداري بار رو زياد مي كنه مخصوصا اگه روتر زياد قوي نباشه مثل 2600
ممنون
کلمات کلیدی در جستجوها:
برچسب برای این موضوع
مجوز های ارسال و ویرایش
- شما نمی توانید موضوع جدید ارسال کنید
- شما نمی توانید به پست ها پاسخ دهید
- شما نمی توانید فایل پیوست ضمیمه کنید
- شما نمی توانید پست های خود را ویرایش کنید
-
قوانین انجمن