SNMP的安全性配置说课材料

1、Good is good, but better carries it.精益求精，善益求善。SNMP的安全性配置-实验8SNMP的安全性配置实验目的掌握Windows操作系统的SNMP服务的安装；理解SNMP协议的工作原理；理解SNMP协议的作用实验环境装有windows2003操作系统的计算机实验原理1什么是网络管理？网络管理分为两类。第一类是网络应用程序、用户帐号（例如文件的使用）和存取权限（许可）的管理。它们都是与软件有关的网络管理问题。网络管理的第二类是由构成网络的硬件所组成。这一类包括工作站、HYPERLINK/t_blank服务器、网卡、HYPERLINK/List_6.htmlt

2、_blank路由器、网桥和集线器等等。通常情况下这些设备都离你所在的地方很远。正是由于这个原因，如果当设备有问题发生时网络管理员可以自动地被通知的话，那么一切事情都好办。但是你的路由器不会象你的用户那样，当有一个应用程序问题发生时就可以打电话通知你，而当路由器拥挤时它并不能够通知你。为了解决这个问题，厂商们已经在一些设备中设立了网络管理的功能，这样你就可以远程地询问它们的状态，同样能够让它们在有一种特定类型的事件发生时能够向你发出警告。这些设备通常被称为智能设备。网络管理通常被分为四类：当设计和构造网络管理的基础结构时，你需要记住下列两条网络管理的原则：1.由于管理信息而带来的通信量不应明显的

3、增加网络的通信量。2.被管理设备上的HYPERLINK/List_11.htmlt_blank协议代理不应明显得增加系统处理的额外开销，以致于该设备的主要功能都被削弱了。2什么是SNMP？简单网络管理HYPERLINK/List_11.htmlt_blank协议(SNMP)首先是由Internet工程任务组织(InternetEngineeringTaskForce)(IETF)的研究小组为了解决Internet上的路由器管理问题而提出的。许多人认为SNMP在IP上运行的原因是Internet运行的是TCP/IP协议，然而事实并不是这样。SNMP被设计成与协议无关，所以它可以在IP，IPX，A

4、ppleTalk，OSI以及其他用到的传输协议上被使用。SNMP是一系列协议组和规范（见下表），它们提供了一种从网络上的设备中收集网络管理信息的方法。SNMP也为设备向网络管理工作站报告问题和错误提供了一种方法。名字说明MIB管理信息库SMI管理信息的结构和标识SNMP简单网络管理协议从被管理设备中收集数据有两种方法：一种是只轮询（polling-only）的方法，另一种是基于中断（interrupt-based）的方法。如果你只使用只轮询的方法，那么网络管理工作站总是在控制之下。而这种方法的缺陷在于信息的实时性，尤其是错误的实时性。你多久轮询一次，并且在轮询时按照什么样的设备顺序呢？如果轮询

5、间隔太小，那么将产生太多不必要的通信量。如果轮询间隔太大，并且在轮询时顺序不对，那么关于一些大的灾难性的事件的通知又会太馒。这就违背了积极主动的网络管理目的。当有异常事件发生时，基于中断的方法可以立即通知网络管理工作站（在这里假设该设备还没有崩溃，并且在被管理设备和管理工作站之间仍有一条可用的通信途径）。然而，这种方法也不是没有他的缺陷的，首先，产生错误或自陷需要系统资源。如果自陷必须转发大量的信息，那么被管理设备可能不得不消耗更多的时间和系统资源来产生自陷，从而影响了它执行主要的功能（违背了网络管理的原则2）。而且，如果几个同类型的自陷事件接连发生，那么大量网络带宽可能将被相同的信息所占用（

6、违背了网络管理的原则1）。尤其是如果自陷是关于网络拥挤问题的时候，事情就会变得特别糟糕。克服这一缺陷的一种方法就是对于被管理设备来说，应当设置关于什么时候报告问题的阈值（threshold）。但不幸的是这种方法可能再一次违背了网络管理的原则2，因为设备必须消耗更多的时间和系统资源，来决定一个自陷是否应该被产生。结果，以上两种方法的结合：面向自陷的轮询方法（trap-directedpolling）可能是执行网络管理最为有效的方法了。一般来说，网络管理工作站轮询在被管理设备中的代理来收集数据，并且在控制台上用数字或图形的表示方式来显示这些数据。这就允许网络管理员分析和管理设备以及网络通信量了。被

7、管理设备中的代理可以在任何时候向网络管理工作站报告错误情况，例如预制定阈值越界程度等等。代理并不需要等到管理工作站为获得这些错误情况而轮询他的时候才会报告。这些错误情况就是众所周知的SNMP自陷（trap）。在这种结合的方法中，当一个设备产生了一个自陷时，你可以使用网络管理工作站来查询该设备（假设它仍然是可到达的），以获得更多的信息。3什么是被管理设备？你可能听说过许多关于“SNMP可管理设备”、“与SNMP兼容的设备”或者“被SNMP管理的设备”的说法。但是它们到底什么？它们与“智能设备”又是怎么区别的呢？简单地说，以上所有说法的意思都是“一个包含网络管理代理实现的HYPERLINK/t_b

8、lank网络设备”。这些话也意味着这种代理支持SNMP协议来进行信息HYPERLINK/List_7.htmlt_blank交换。正如前面所提到的，一个智能设备可能并不需要使用或支持SNMP协议。那么什么是一个代理呢？代理管理代理（agent）是一种特殊的软件（或固件），它包含了关于一个特殊设备和/或该设备所处环境的信息。当一个代理被安装到一个设备上时，上述的设备就被列为“被管理的”。换句话说，代理就是一个数据库。数据库中所包含的数据随被安装设备的不同而不同。举例来说，在一个路由器上，代理将包含关于路由选择表、接收和发送包的总数等信息。而对于一个网桥来说，数据库可能包含关于转发包数目和过滤表等

9、信息。代理是与网络管理控制台通信的软件或固件。在这个控制台的“链路”上可以执行以下任务：网络管理工作站可以从代理中获得关于设备的信息。网络管理工作站可以修改、增加或者删除代理中的表项，例如在由代理所维护的数据库中的路由选择表表项。网络管理工作站可以为一个特定的自陷设置阈值。可以向网络管理工作站发送自陷。请记住，在被管理设备中的代理并不是自愿提供信息的，除非当有一个阈值被超过的事件发生时。在一些偶然的情况下，在一个特定的设备上可能因为系统资源的缺乏，或者因为该设备不支持SNMP代理所需要的传输协议，而不能实现一个SNMP代理。这是否就意味着你不能监视这个设备呢？答案并不是这样的，在这种情况下并不

10、是完全没有办法的。你可以使用受托代理（proxyagent），它相当于外部设备（foreigndevice）。受托代理并非在被管理的外部设备上运行，而是在另一个设备上运行。网络管理工作站首先与受托代理联系，并且指出（通过某种方法）受托代理与外部设备的一致性。然后受托代理把它接收到的协议命令翻译成任何一种外部设备所支持的管理协议。在这种情况下，受托代理就被称为应用程序网关（applicationgateway）。如果外部设备不支持任何管理协议，那么受托代理必须使用一些被动的方法来监视这个设备。举例来说，一个令牌环网桥的受托代理可以监视它的性能，并且如果它检测到任何由网桥所报告的拥挤错误时，它就会

11、产生自陷。幸运的是，目前大多数网际互联设备类型都是支持SNMP可管理设备的，所以你可以很容易地使用一个SNMP可管理设备，例如集线器、网桥和路由器。有一些厂商甚至还在他们的网卡上提供SNMP代理。MIB我们通常很少把在一个被管理设备中的数据库称为一个数据库。在SNMP术语中它通常被称为管理信息库（MIB）。一个MIB描述了包含在数据库中的对象或表项。每一个对象或表项都有以下四个属性：对象类型（ObjectType）语法（Syntax）存取（Access）状态（Status）在SNMP规范之一的管理信息结构与标识（SMI；RFC1155/1065）规范中定义了这些属性。SMI对于MIB来说就相当

12、于模式对于数据库。SMI定义了每一个对象“看上去象什么”。对象类型这个属性定义了一个特定对象的名字，例如sysUpTime。它只不过是一个标记。在表示数据时，SMI使用了ASN.1(AbstractSyntaxNotationOne)。对象必须被“标识”。对于HYPERLINK/t_blank互联网络管理MIB来说，用ASN.1记法来表示的标识符开头如下：internetOBJECTIDENTIFIER:=isoorg(3)dod(6)1或者用一种简单的格式：这是从ASN.1文档中抽取的。它为标识符定义了一个树形的格式。该树是由一个根及与之相连接的许多被标记的节点组成。每一个节点由一个非负整数

13、值和尽可能简明的文字说明所标识。每一个节点可能也拥有同样被标记的子节点。当描述一个对象标识符（OBJECTINDENTIFIER）时，你可以使用几种格式，最简单的格式是列出由根开始到所讨论的对象遍历该树所找到的整数值。从根一级开始，这里有三个节点（如图）：ccitt(0)iso(1)joint-iso-cci四、实验步骤：1、snmp的安装详细步骤参考课本P180。2、snmp的网管代理设置详细步骤参考课本P182。3、snmp的安全性配置Windows2003SNMP充当着一个代理，它会将可以报告给SNMP管理站或控制台的信息收集起来。可以使用SNMP服务在整个企业网络中收集数据和管理基于W

14、indows2000的计算机。通过将共享的社区名称分配给代理和管理站，通常可以保护SNMP代理和SNMP管理站之间的通讯。当SNMP管理站将查询发送到SNMP服务时，会将请求者的社区名称与代理的社区名称进行比较。如果这两个名称是匹配的，则表明SNMP管理站通过了身份验证。如果这两个名称不匹配，则SNMP代理会认为该请求是失败的访问尝试，并可能发送SNMP陷阱消息。SNMP消息是以明文发送的。“Microsoft网络监视器”这样的网络分析程序很容易截取这些明文消息并将它解码。未经授权的人员可以捕获和使用社区名称，以获得有关网络资源的重要信息。IPSec可用于保护SNMP通讯。您可以创建IPSec

15、策略以保护TCP和UDP端口161和162上的通讯，从而保护SNMP事务。（1）创建筛选器列表要创建IPSec策略以保护SNMP消息，首先执行以下步骤来创建筛选器列表：单击开始，指向管理工具，然后单击本地安全策略。展开安全设置，右键单击“IP安全策略，在本地计算机上”，然后单击“管理IP筛选器表和筛选器操作”。单击“管理IP筛选器列表”选项卡，然后单击添加。在IP筛选器列表对话框的名称框中键入SNMP消息(161/162)，然后在描述框中键入TCP和UDP端口161筛选器。单击以清除使用“添加向导”复选框，然后单击添加。在出现的IP筛选器属性对话框的地址选项卡上，在“源地址”框中单击“任何IP

16、地址”。在“目标地址”框中单击我的IP地址。单击以选中“镜像。同时与源地址和目标地址正好相反的数据包相匹配”复选框。单击协议选项卡。在“选择协议类型”框中，单击UDP。在“设置IP协议端口”框中，单击“从此端口”，然后在框中键入161。单击“到此端口”，然后在框中键入161。单击确定。在IP筛选器列表对话框中，单击添加。在出现的IP筛选器属性对话框的地址选项卡上，在“源地址”框中单击“任何IP地址”。在“目标地址”框中单击我的IP地址。单击以选中“镜像。同时与源地址和目标地址正好相反的数据包相匹配”复选框。单击协议选项卡。在“选择协议类型”框中，单击TCP。在“设置IP协议”框中，单击“从此端

17、口”，然后在框中键入161。单击“到此端口”，然后在框中键入161。单击确定。在IP筛选器列表对话框中，单击添加。在出现的IP筛选器属性对话框的地址选项卡上，在“源地址”框中单击“任何IP地址”。在“目标地址”框中单击我的IP地址。单击以选中“镜像。同时与源地址和目标地址正好相反的数据包相匹配”复选框。单击协议选项卡。在“选择协议类型”框中，单击UDP。在“设置IP协议”框中，单击“从此端口”，然后在框中键入162。单击“到此端口”，然后在框中键入162。单击确定。在IP筛选器列表对话框中，单击添加。在出现的IP筛选器属性对话框的地址选项卡上，在“源地址”框中单击“任何IP地址”。在“目标地址

18、”框中单击我的IP地址。单击以选中“镜像。同时与源地址和目标地址正好相反的数据包相匹配”复选框。单击协议选项卡。在“选择协议类型”框中，单击TCP。在“设置IP协议”框中，单击“从此端口”，然后在框中键入162。单击“到此端口”，然后在框中键入162。单击确定。在IP筛选器列表对话框中单击确定，然后在“管理IP筛选器列表和筛选器操作”对话框中单击确定。（2）创建IPSec策略创建对SNMP通信强制实施IPSec的IPSec策略：右键单击左窗格中的“IP安全策略，在本地计算机上”，然后单击创建IP安全策略。IP安全策略向导启动。单击下一步。在“IP安全策略名称”页上的名称框中键入安全SNMP。在描述框中，键入对SNMP通信强制实施IPSec，然后单击下一步。单击以清除“激活默认响应规则”复选框，然后单击下一步。在“正在完成IP安全策略向导”页上，验证“编辑属性”复选框已被选中，然后单击完成。在安全SNMP属性对话框中，单击以清除使用“添加向导”复选框，然后单击添加。单击IP筛选器列表选项卡，然后单击SNMP消息(161/162)。单击筛选器操作选项卡，然后单击需要安全。单击身份验证方法选项卡。默认的身份验证方法为Kerb