У меня проблема с моим маршрутизатором Cisco серии 1900, маршрутизатор иногда прекращает маршрутизацию пакетов, и когда я вхожу в него и показываю текущую конфигурацию, я не вижу IP-маршрутизации выполнение команды IP-маршрутизации не решает проблему, мне нужно перезагрузить маршрутизатор, чтобы он снова заработал. Я думал, что это атака, но проблема сохраняется даже после смены всех паролей, а временной интервал между каждым появлением очень случайный! иногда 15 минут, иногда пару часов или дней.
Я видел обсуждение на форуме поддержки cisco который неожиданно начался 6 дней назад (моя проблема также недавняя, около 2 недель)
До сих пор они не работали, я хотел узнать ваше мнение и идеи, может ли маршрутизатор в некоторых обстоятельствах или по каким-либо причинам отключить его маршрутизацию? Вы когда-нибудь сталкивались с такой проблемой? как ты это решил?
Спасибо!
Это ответ с форума поддержки Cisco. Если ссылка на сайт сломаться. Видимо это как-то связано с конфигурацией SNMP, он должен быть более безопасным.
Укрепите простой протокол управления сетью
В этом разделе выделено несколько методов, которые можно использовать для защиты развертывания SNMP в устройствах IOS. Крайне важно, чтобы протокол SNMP был должным образом защищен, чтобы защитить конфиденциальность, целостность и доступность как сетевых данных, так и сетевых устройств, через которые эти данные проходят. SNMP предоставляет вам обширную информацию о состоянии сетевых устройств. Эта информация должна быть защищена от злонамеренных пользователей, которые хотят использовать эти данные для выполнения атак на сеть.
Строки сообщества - это пароли, которые применяются к устройству IOS для ограничения доступа, как для чтения, так и для чтения и записи, к данным SNMP на устройстве. Эти строки сообщества, как и все пароли, следует тщательно выбирать, чтобы они не были тривиальными. Строки сообщества следует менять через регулярные промежутки времени и в соответствии с политиками сетевой безопасности. Например, строки должны быть изменены, когда сетевой администратор меняет роли или уходит из компании.
Эти строки конфигурации настраивают строку сообщества только для чтения READONLY и строку сообщества чтения и записи READWRITE:
!
snmp-server community READONLY RO
snmp-server community READWRITE RW
!
Заметка: Предыдущие примеры строк сообщества были выбраны для того, чтобы четко объяснить использование этих строк. Для производственной среды строки сообщества следует выбирать с осторожностью и должны состоять из серии алфавитных, цифровых и не буквенно-цифровых символов. См. Рекомендации по созданию надежных паролей для получения дополнительной информации о выборе нетривиальных паролей.
Обратитесь к Справочнику команд SNMP IOS для получения дополнительной информации об этой функции.
В дополнение к строке сообщества должен применяться ACL, который дополнительно ограничивает доступ SNMP к выбранной группе исходных IP-адресов. Эта конфигурация ограничивает доступ SNMP только для чтения к конечным хост-устройствам, которые находятся в адресном пространстве 192.168.100.0/24, и ограничивает доступ SNMP для чтения и записи только к конечному хост-устройству по адресу 192.168.100.1.
Заметка: Устройства, которые разрешены этими ACL, требуют правильной строки сообщества для доступа к запрошенной информации SNMP.
!
access-list 98 permit 192.168.100.0 0.0.0.255
access-list 99 permit 192.168.100.1
!
snmp-server community READONLY RO 98
snmp-server community READWRITE RW 99
!
Обратитесь к сообществу snmp-server в Справочнике команд управления сетью Cisco IOS для получения дополнительной информации об этой функции.
Инфраструктурные ACL (iACL) могут быть развернуты, чтобы гарантировать, что только конечные узлы с доверенными IP-адресами могут отправлять трафик SNMP на устройство IOS. IACL должен содержать политику, которая отклоняет неавторизованные пакеты SNMP на UDP-порту 161.
См. Раздел «Ограничение доступа к сети с помощью инфраструктурных списков контроля доступа» этого документа для получения дополнительной информации об использовании iACL.
Представления SNMP - это функция безопасности, которая может разрешать или запрещать доступ к определенным MIB SNMP. После того, как представление создано и применено к строке сообщества с помощью команд глобальной настройки представления строки сообщества snmp-server, при доступе к данным MIB вы ограничены разрешениями, определенными представлением. При необходимости рекомендуется использовать представления, чтобы ограничить пользователей SNMP данными, которые им требуются.
Этот пример конфигурации ограничивает доступ SNMP с помощью строки сообщества LIMITED к данным MIB, которые находятся в системной группе:
!
snmp-server view VIEW-SYSTEM-ONLY system include
!
snmp-server community LIMITED view VIEW-SYSTEM-ONLY RO
!
Refer to Configuring SNMP Support for more information.
SNMP версии 3 (SNMPv3) определяется RFC3410, RFC3411, RFC3412, RFC3413, RFC3414 и RFC3415 и представляет собой совместимый стандартизированный протокол для управления сетью. SNMPv3 обеспечивает безопасный доступ к устройствам, поскольку он аутентифицирует и дополнительно шифрует пакеты по сети. Если поддерживается, SNMPv3 можно использовать для добавления еще одного уровня безопасности при развертывании SNMP. SNMPv3 состоит из трех основных вариантов конфигурации:
no auth - Этот режим не требует аутентификации или шифрования пакетов SNMP auth - Этот режим требует аутентификации пакета SNMP без шифрования Priv - Этот режим требует как аутентификации, так и шифрования (конфиденциальности) каждого пакета SNMP Должен существовать авторитетный идентификатор механизма для использования механизмов безопасности SNMPv3 - аутентификации или аутентификации и шифрования - для обработки пакетов SNMP; по умолчанию идентификатор двигателя генерируется локально. Идентификатор двигателя можно отобразить с помощью команды show snmp engineID, как показано в этом примере:
router#show snmp engineID
Local SNMP engineID: 80000009030000152BD35496
Remote Engine ID IP-addr Port
Заметка: При изменении EngineID необходимо перенастроить все учетные записи пользователей SNMP.
Следующим шагом является настройка группы SNMPv3. Эта команда настраивает устройство Cisco IOS для SNMPv3 с группой серверов SNMP AUTHGROUP и включает только аутентификацию для этой группы с ключевым словом auth:
!
snmp-server group AUTHGROUP v3 auth
!
This command configures a Cisco IOS device for SNMPv3 with an SNMP server group PRIVGROUP and enables both authentication and encryption for this group with the priv keyword:
!
snmp-server group PRIVGROUP v3 priv
!
This command configures an SNMPv3 user snmpv3user with an MD5 authentication password of authpassword and a 3DES encryption password of privpassword:
!
snmp-server user snmpv3user PRIVGROUP v3 auth md5 authpassword priv 3des
privpassword
!
Обратите внимание, что команды конфигурации пользователя snmp-server не отображаются в выходных данных конфигурации устройства, как того требует RFC 3414; следовательно, пароль пользователя не отображается в конфигурации. Для просмотра настроенных пользователей введите команду show snmp user, как показано в этом примере:
router#show snmp user
User name: snmpv3user
Engine ID: 80000009030000152BD35496
storage-type: nonvolatile active
Authentication Protocol: MD5
Privacy Protocol: 3DES
Group-name: PRIVGROUP
См. Настройка поддержки SNMP для получения дополнительной информации об этой функции.
Функция защиты плоскости управления (MPP) в программном обеспечении Cisco IOS может использоваться для обеспечения безопасности SNMP, поскольку она ограничивает интерфейсы, через которые трафик SNMP может завершаться на устройстве. Функция MPP позволяет администратору назначить один или несколько интерфейсов в качестве интерфейсов управления. Управляющий трафик может поступать на устройство только через эти управляющие интерфейсы. После включения MPP никакие интерфейсы, кроме назначенных интерфейсов управления, не принимают трафик управления сетью, предназначенный для устройства.
Обратите внимание, что MPP является подмножеством функции CPPr и требует версии IOS, которая поддерживает CPPr. См. Общие сведения о защите уровня управления для получения дополнительной информации о CPPr.
В этом примере MPP используется для ограничения доступа SNMP и SSH только интерфейсом FastEthernet 0/0:
!
control-plane host
management-interface FastEthernet0/0 allow ssh snmp
!
Дополнительные сведения см. В руководстве по функциям защиты плоскости управления.
Однако я обнаружил, что это также может быть связано с уязвимостью, вот ссылка, где они говорят об этом и как это исправить: http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20010227-ios-snmp-ilmi
Ответ на этот вопрос есть в ветке форума поддержки Cisco. Это ваша конфигурация SNMP с легко угадываемой строкой сообщества и доступом RW.
http://www.cisco.com/c/en/us/support/docs/ip/access-lists/13608-21.html#anc50