秘籍三:强化安全SNMPv3及SSH协议
更为完善的SNMPv3协议
SNMPv1和v2版本对用户权力的惟一限制是访问口令,而没有用户和权限分级的概念,只要提供相应的口令,就可以对设备进行read或read/write操作,安全性相对来的薄弱。而SNMPv3则采用了新的SNMP扩展框架,它将各版本的SNMP标准集中到一起,在此架构下,安全性和管理上有很大的提高。
SNMPv3工作原理
SNMPv3是在SNMPv2基础之上增加、完善了安全和管理机制。RFC 2271定义的SNMPv3体系结构体现了模块化的设计思想,使管理者可以简单地实现功能的增加和修改。其主要特点在于适应性强,可适用于多种操作环境,不仅可以管理最简单的网络,实现基本的管理功能,还能够提供强大的网络管理功能,满足复杂网络的管理需求。
SNMPv3安全参数界面
SNMPv3建议的安全模型是基于用户的安全模型,即USM。USM对网管消息进行加密和认证是基于用户进行的,具体地说就是用什么协议和密钥进行加密和认证均由用户名称userName)权威引擎标识符(EngineID)来决定(推荐加密协议CBCDES,认证协议HMAC-MD5-96和HMAC-SHA-96),通过认证、加密和时限提供数据完整性、数据源认证、数据保密和消息时限服务,从而有效防止非授权用户对管理信息的修改、伪装和窃听。
但SNMP也存在着一定的问题,它使用嵌入到网络设施中的代理软件来收集网络通信信息和有关网络设备的统计数据,代理不断地收集统计数据并记录到MIB中,网络管理人员通过向代理的MIB发出查询信号(轮询)可以得到这些信息。虽然MIB计数器将统计数据的总和记录下来了,但它无法对日常通信量进行历史分析。而为了能全面地查看通信流量和变化率,管理人员必须不断地轮询SNMP代理,这就带来了巨大的工作量。
这时SNMP建立在轮询管理上的两个明显弱点便显现出来,如在大型的网络中,轮询会产生巨大的网络管理通信量,因而导致通信拥挤情况的发生;它将收集数据的负担加在网络管理控制台上,管理站也许能轻松地收集8个网段的信息,但当它们监控48个网段时恐怕就难以应付了。
更为可靠的SSH安全协议
至于通过FTP、POP和Telnet等网络服务应用的,由于它们都有一个致命的弱点——在网络上以明文的方式传送数据、用户帐号及用户口令,很容易受到中间人(man-in-the-middle)攻击方式的攻击,遭遇口令窃取。但采用SSH进行通讯时,用户名及口令均进行了加密,可有效防止非法用户对口令的窃听,便于网管人员进行远程的安全网络管理。
SSH是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。利用SSH协议可以有效防止远程管理过程中的信息泄露问题。透过SSH可以对所有传输的数据进行加密,也能够防止DNS欺骗和IP欺骗。
SSH之另一项优点为其传输的数据是经过压缩的,所以可以加快传输的速度。SSH有很多功能,它既可以代替Telnet,又可以为FTP、POP、甚至为PPP提供一个安全的“通道”。
