我遇到了我的思科路由器1900系列的问题,路由器有时会停止路由数据包,当我login到它,并显示running-config我看到没有IP路由执行IP路由命令不能解决问题,我不得不重新启动路由器使其重新工作。 我以为这是一个攻击,但即使更改所有密码,问题仍然存在,并且每个事件之间的时间间隔非常随机! somtimes 15分somtimes几小时或几天。
我在 6天前看到了有关cisco支持论坛的讨论,这个论坛出乎意料地开始了,(我的问题也是最近的,大概2个星期)
直到现在他们没有解决,我想要你的意见和想法,在某些情况下可以路由器或由于某些原因禁用他的路由? 你有没有经历过这样的问题? 你是怎么解决的?
谢谢!
思科支持论坛主线现在有答案。 这是你的SNMPconfiguration,容易猜测社区string和RW访问。
http://www.cisco.com/c/en/us/support/docs/ip/access-lists/13608-21.html#anc50
这是思科支持论坛的答案,以防链路中断。 显然这与SNMPconfiguration有关,应该更安全。
加强简单networkingpipe理协议
本节重点介绍几种可用于保证在IOS设备中部署SNMP的方法。 为了保护networking数据和数据通过的networking设备的机密性,完整性和可用性,SNMP的安全性至关重要。 SNMP为您提供了大量有关networking设备运行状况的信息。 应该保护这些信息免受恶意用户利用这些数据来对networking进行攻击。
社区string是应用于IOS设备的密码,用于限制对设备上的SNMP数据的只读和读写访问权限。 与所有密码一样,这些社区string应仔细select,以确保它们不是微不足道的。 应定期更改社区string,并根据networking安全策略进行更改。 例如,当networkingpipe理员更改angular色或离开公司时,应该更改string。
这些configuration行configurationREADONLY的只读社区string和READWRITE的读写社区string:
! snmp-server community READONLY RO snmp-server community READWRITE RW ! 注意 :为了清楚地解释这些string的使用,已经select了以前的社区string示例。 对于生产环境,社区string应谨慎select,应由一系列字母,数字和非字母数字符号组成。 有关select非重要密码的更多信息,请参阅创build强密码的build议。
有关此function的更多信息,请参阅IOS SNMP命令参考。
除了社区string之外,还应该使用ACL,以进一步限制SNMP访问选定的一组源IP地址。 此configuration将SNMP只读访问限制为驻留在192.168.100.0/24地址空间中的terminal主机设备,并将SNMP读写访问限制为仅限于192.168.100.1处的terminal主机设备。
注意 :这些ACL允许的设备需要正确的社区string才能访问请求的SNMP信息。
! access-list 98 permit 192.168.100.0 0.0.0.255 access-list 99 permit 192.168.100.1 ! snmp-server community READONLY RO 98 snmp-server community READWRITE RW 99 !
有关此function的更多信息,请参阅Cisco IOSnetworkingpipe理命令参考中的snmp-server团体。
可以部署基础架构ACL(iACL),以确保只有具有可信IP地址的terminal主机才能将SNMPstream量发送到IOS设备。 一个iACL应该包含一个拒绝在UDP端口161上未经授权的SNMP数据包的策略。
有关使用iACL的更多信息,请参阅本文档的限制访问基础结构ACLnetworking部分。
SNMP视图是一项安全function,可以允许或拒绝某些SNMP MIB的访问。 使用snmp-server community community-string view全局configuration命令创build视图并将其应用于社区string后,如果访问MIB数据,则仅限于视图定义的权限。 在适当的时候,build议您使用视图来限制SNMP用户所需的数据。
此configuration示例将具有团体stringLIMITED的SNMP访问限制为位于系统组中的MIB数据:
! snmp-server view VIEW-SYSTEM-ONLY system include ! snmp-server community LIMITED view VIEW-SYSTEM-ONLY RO ! Refer to Configuring SNMP Support for more information.
SNMP版本3(SNMPv3)由RFC3410,RFC3411,RFC3412,RFC3413,RFC3414和RFC3415定义,是用于networkingpipe理的可互操作的基于标准的协议。 SNMPv3提供对设备的安全访问,因为它通过networking对数据包进行身份validation和可选的encryption。 在支持的情况下,可以使用SNMPv3以在部署SNMP时添加另一层安全性。 SNMPv3由三个主要configuration选项组成:
no auth – 此模式不需要任何身份validation,也不需要对SNMP数据包进行任何encryptionauth – 此模式要求在不encryption的情况下对SNMP数据包进行身份validationpriv – 此模式需要每个SNMP数据包的身份validation和encryption(隐私)授权引擎ID必须存在为了使用SNMPv3安全机制 – authentication或authentication和encryption – 来处理SNMP数据包; 默认情况下,引擎ID是在本地生成的。 可以使用show snmp engineID命令来显示引擎ID,如下例所示:
router#show snmp engineID Local SNMP engineID: 80000009030000152BD35496 Remote Engine ID IP-addr Port
注意 :如果engineID更改,则所有SNMP用户帐户都必须重新configuration。
下一步是configurationSNMPv3组。 此命令使用SNMP服务器组AUTHGROUP为SNMPv3configurationCisco IOS设备,并仅启用auth关键字对此组的身份validation:
! snmp-server group AUTHGROUP v3 auth ! This command configures a Cisco IOS device for SNMPv3 with an SNMP server group PRIVGROUP and enables both authentication and encryption for this group with the priv keyword: ! snmp-server group PRIVGROUP v3 priv ! This command configures an SNMPv3 user snmpv3user with an MD5 authentication password of authpassword and a 3DES encryption password of privpassword: ! snmp-server user snmpv3user PRIVGROUP v3 auth md5 authpassword priv 3des privpassword !
请注意,根据RFC 3414的要求,snmp-server用户configuration命令不会显示在设备的configuration输出中; 因此,用户密码不能从configuration中查看。 要查看已configuration的用户,请inputshow snmp user命令,如下例所示:
router#show snmp user User name: snmpv3user Engine ID: 80000009030000152BD35496 storage-type: nonvolatile active Authentication Protocol: MD5 Privacy Protocol: 3DES Group-name: PRIVGROUP
有关此function的更多信息,请参阅configurationSNMP支持。
Cisco IOS软件中的pipe理平面保护(MPP)function可用于帮助保护SNMP,因为它限制了SNMP通信在设备上可以终止的接口。 MPPfunction允许pipe理员将一个或多个接口指定为pipe理接口。 pipe理stream量只能通过这些pipe理接口进入设备。 使能MPPfunction后,除指定的pipe理接口外,其他接口均不接受发往该设备的networkingpipe理stream量。
请注意,MPP是CPPrfunction的子集,需要支持CPPr的IOS版本。 有关CPPr的更多信息,请参阅了解控制平面保护。
在这个例子中,使用MPP是为了限制对FastEthernet 0/0接口的SNMP和SSH访问:
! control-plane host management-interface FastEthernet0/0 allow ssh snmp !
有关更多信息,请参阅“pipe理平面保护function指南”。
不过,我发现这也可能与漏洞有关,下面是他们正在讨论的链接,以及如何解决这个问题: http : //tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco- SA-20010227-IOS-SNMP的ILMI