10、SNMP 代理配置与安全指南

SNMP 代理配置与安全指南

1. SNMP 基础与安全重要性

SNMP（Simple Network Management Protocol）在网络管理中扮演着重要角色，但也存在一定安全风险。sysLocation、sysContact 和 sysName 等对象具有读写权限，拥有读写社区字符串的人可以更改这些对象定义，甚至可能对路由表等重要部分进行恶意修改。只读社区字符串虽造成的危害相对较小，但也可能泄露网络信息。

多数设备出厂时带有默认且广为人知的社区字符串，因此及时设置社区字符串对于维护安全环境至关重要。

陷阱目标参数指定了陷阱发送的地址，许多设备支持认证失败陷阱，可用于检测非法访问尝试。部分设备还支持在陷阱中包含社区字符串，可配置网络管理站仅响应包含正确社区字符串的陷阱。

不同设备在访问和陷阱参数上有不同设置，例如 Cisco 设备允许为 MIB 的不同部分创建不同社区字符串，许多厂商允许限制可发起 SNMP 请求的主机 IP 地址。

2. SNMPv1 和 SNMPv2 的安全问题

SNMPv1 和 SNMPv2 存在严重安全隐患，其只读和读写社区字符串以明文形式传输，未进行加密。这意味着任何能使用数据包嗅探器的人，如网络中拥有 PC 并能下载相关软件的用户，都可能获取这些字符串。

为应对此问题，应像设置超级用户或管理员密码一样谨慎设置社区字符串。选择大小写字母和数字混合的字符串，避免使用字典中的单词，并定期更换社区字符串。

配置代理时，可限制能发起 SNMP 请求的设备。即便社区字符串泄露，攻击者也需伪造管理站的 IP 地址才能造成损害。但如今很多人掌握 IP 地