Netwerkbeveiliging configureren voor de SNMP-Service in Windows Server 2003

Samenvatting

In dit artikel wordt stapsgewijs beschreven hoe u netwerkbeveiliging configureren voor de service Simple Network Management Protocol (SNMP) in Windows Server 2003.

De SNMP-service fungeert als een agent die informatie verzamelt die kan worden gerapporteerd aan SNMP-beheerstations of -consoles. De SNMP-service kunt u gegevens verzamelen en beheren van Windows Server 2003, Microsoft Windows XP en Microsoft Windows 2000 gebaseerde computers via een bedrijfsnetwerk.

Communicatie tussen SNMP-agenten en SNMP-beheerstations wordt meestal beveiligd door een gedeelde community-naam toe te wijzen aan de agenten en beheerstations. Als een SNMP-beheerstation een query naar de SNMP-service stuurt, wordt de community-naam van de aanvrager vergeleken met de community-naam van de agent. Als ze overeenkomen, is het SNMP-beheerstation geverifieerd. Ze komen niet overeen de SNMP-agent het verzoek van oordeel is een poging tot 'kan geen toegang' als een SNMP-trap-bericht kan verzenden.

De SNMP-berichten worden verzonden in normale tekst. Deze berichten in leesbare tekst probleemloos kunnen worden onderschept en gedecodeerd door netwerkanalysesystemen zoals Microsoft Network Monitor. Community-namen kunnen worden opgenomen en gebruikt door onbevoegden om waardevolle informatie over netwerkbronnen te krijgen.

IP beveiligingsprotocol (IPSec) kan worden gebruikt om SNMP-communicatie te beveiligen. U kunt elk IPSec-beleid beveiligde communicatie op UDP-poorten 161 en 162 te beveiligen van SNMP-transacties.

Een filterlijst maken

Als u wilt maken van een IPSec-beleid om SNMP-berichten te beveiligen, maakt u eerst de filterlijst. Ga hiervoor als volgt te werk:
  1. Klik op Start, wijs Systeembeheeraan en klik op Lokaal beveiligingsbeleid.
  2. Vouw Beveiligingsinstellingenuit, klik met de rechtermuisknop op IP-beveiligingsbeleid op lokale Computeren klik vervolgens op beheer van IP-filterlijsten en filteracties.
  3. Klik op het tabblad IP-filterlijsten beheren en klik vervolgens op toevoegen.
  4. In het dialoogvenster IP-filterlijst SNMP-berichten (161/162)Typ in het vak naam en typ vervolgens Filter voor UDP-poort 161 zichtbaar maken in het vak Beschrijving .
  5. Schakel het selectievakje Wizard toevoegen gebruiken in en klik vervolgens op toevoegen.
  6. Klik op elk IP-adresin het vak bronadres op het tabblad adressen van het dialoogvenster Eigenschappen van IP-Filter die wordt weergegeven. Klik in het vak doeladres op Mijn IP-adres. Klik op de gespiegeld. Overeenkomst voor pakketten met precies tegenovergestelde bron-en doeladressen selectievakje.
  7. Klik op het tabblad Protocol . Klik in het vak Selecteer een protocoltype UDP. Klik in het vak Geef de IP-protocolpoort op
    Van deze poorten vervolgens type 161 in het vak. Klik op naar deze poorten typ
    161 in het vak en klik vervolgens op OK.
  8. Klik op toevoegenin het dialoogvenster IP-filterlijst .
  9. Klik op elk IP-adresin het vak bronadres op het tabblad adressen van het dialoogvenster Eigenschappen van IP-Filter . Klik in het vak doeladres op Mijn IP-adres. Klik op de gespiegeld. Pakketten met precies tegenovergestelde bron-en doeladressen overeenkomen met selectievakje.
  10. Klik op het tabblad Protocol . Klik in het vak Selecteer een protocoltype UDP. Klik in het vak Geef het IP-protocol
    Van deze poorten vervolgens type 162 in het vak. Klik op naar deze poorten typ
    162 in het vak en klik vervolgens op OK.
  11. Klik op toevoegenin het dialoogvenster IP-filterlijst .
  12. Klik op elk IP-adresin het vak bronadres op het tabblad adressen van het dialoogvenster Eigenschappen van IP-Filter . Klik in het vak doeladres op Mijn IP-adres. Klik op de gespiegeld. Overeenkomst voor pakketten met precies tegenovergestelde bron- en addressess uit en klik vervolgens op OK.
  13. Klik op OK in het dialoogvenster IP-filterlijst en klik op OK in het dialoogvenster beheren van IP-filterlijsten en filteracties .

Een IPSec-beleid maken

Als u wilt maken in het IPSec-beleid om IPSec te forceren voor SNMP-communicatie, als volgt te werk:
  1. Klik met de rechtermuisknop op het IP-beveiligingsbeleid op lokale Computer in het linkerdeelvenster en klik vervolgens op IP-beveiligingsbeleid maken.

    De Wizard IP-beveiligingsbeleid wordt gestart.
  2. Klik op volgende.
  3. Typ op de pagina naam van IP-beveiligingsbeleid Beveiligde SNMP in het vak naam . IPSec verplicht stellen voor SNMP-communicatiete typen in het vak Beschrijving en klik op volgende.
  4. Schakel het selectievakje de standaardantwoordregel activeren in en klik op volgende.
  5. Controleer of het selectievakje Eigenschappen bewerken is ingeschakeld, en klik op Voltooienop de pagina voltooien van de Wizard IP-beveiligingsbeleid .
  6. Schakel het selectievakje Wizard toevoegen gebruiken in het dialoogvenster Eigenschappen voor beveiligde SNMP en klik vervolgens op toevoegen.
  7. Klik op het tabblad IP-filterlijst en vervolgens klikt u op SNMP-berichten (161/162).
  8. Klik op het tabblad Filteractie en klik op Beveiliging vereisen.
  9. Klik op de Verificatiemethoden tabblad Kerberos is de standaardverificatiemethode. Als u andere verificatiemethoden nodig hebt, klikt u op toevoegen. In het dialoogvenster Eigenschappen voor nieuwe verificatiemethode , selecteer de verificatiemethode die u in de onderstaande lijst en klik op OK:
    • Active Directory-standaard (Kerberos V5-protocol)
    • Een certificaat van de certificeringsinstantie (CA) gebruiken
    • Deze tekenreeks (vooraf gedeelde sleutel) gebruiken
  10. Klik op toepassenen klik vervolgens op OKin het dialoogvenster Eigenschappen van nieuwe regel .
  11. Controleer of het selectievakje SNMP-berichten (161/162) is geselecteerd en klik vervolgens op OKin het dialoogvenster Eigenschappen voor SNMP .
  12. In het rechterdeelvenster van de console lokale beveiligingsinstellingen met de rechtermuisknop op de regel Beveiligde SNMP en klik vervolgens op toewijzen.
Voer deze procedure uit op alle Windows-computers waarop de SNMP-service. Dit IPSec-beleid moet ook worden geconfigureerd op het SNMP-beheerstation.

Voor meer informatie klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:

324263 het Simple Network Management Protocol (SNMP) configureren in Windows Server 2003

Eigenschappen

Artikel-id: 324261 - Laatst bijgewerkt: 14 feb. 2017 - Revisie: 2

Feedback