Simple Network Management Protocol (SNMP) Access


SNMP là một phương pháp khác dùng truy cập router. Với SNMP, bạn có thể thu thập thông tin hay cấu hình routers. Thu thập thông tin với thông điệp get-request và get-next-request, cấu hình routers với thông điệp set-request. Mỗi thông điệp SNMP có một community string ( chuỗi công cộng ! ), là 1 password ở dạng cleartext được gửi trong mỗi gói tin giữa trung tâm điều khiển( management station ) và router, nơi có chứa một SNMP agent.
Chuỗi SNMP được dùng để xác nhận các thông tin gửi đi giữa manager và agent. Chỉ khi manager gửi thông điệp với community string đúng thì agent mới trả lời. SNMP agent trên router cho phép bạn thiết lập những community string cho truy cập ở chế độ nonprivileged và privileged. Bạn có thể thiết lập community strings trên router thông qua lệnh cấu hình snmp-server community <string> [RO | RW ] [access-list].
Tuy nhiên, SNMP community strings được gửi ở dạng cleartext. Do đó, bất cứ ai có khả năng lấy đựợc 1 gói tin nào đó có thể sẽ tìm ra chuỗi này, có thể giả mạo người dùng sửa đổi routers qua SNMP. Vì vậy sử dụng lệnh no snmp-server trap-authentication có thể ngăn chặn những kẻ xâm nhập bắt các thông điệp (gửi giữa SNMP managers và agents) để tìm community strings.
Người ta đã cải tiến bảo mật của SNMP version 2 (SNMPv2) , được mô tả trong RFC 1446. SNMPv2 dùng thuật toán MD5 để xác nhận giao tiếp giữa server và agent. MD5 xác nhận tính tương thích của dữ liệu, nguồn gốc cũng như thời gian. Hơn nữa SNMPv2 có thể dùng chuẩn mã hóa dữ liệu DES để mã hóa thông tin.

Chế độ nonprivileged
Dùng từ khóa RO của lệnh snmp-server community để cung cấp truy cập nonprivileged tới routers qua SNMP.
Lệnh cấu hình sau làm agent trong router chỉ cho phép các thông điệp SNMP get-request và get-next-request,
được gửi đi với community string "public" :
snmp-server community pubic RO 1
Bạn có thể chỉ rõ danh sách địa chỉ IP được phép gửi thông điệp tới router bằng tùy chọn access-list với lệnh snmp-server community. Ở ví dụ sau, chỉ hosts 1.1.1.1 và 2.2.2.2 được phép truy cập nonprivileged tới router
qua SNMP:
access-list 1 permit 1.1.1.1
access-list 1 permit 2.2.2.2
snmp-server community public RO 1

Chế độ privileged
Sử dụng từ khóa RW của lệnh snmp-server community để cung cấp truy cập privileged tới router qua SNMP.
Lệnh sau khiến agent trong router chỉ cho phép thông điệp SNMP set-request, được gửi với community string là "private" :
snmp-server community private RW 1
Bạn có thể chỉ rõ danh sách IP được phép gửi thông điệp tới router bằng tùy chọn access-list của lệnh snmp-server community. Ở ví dụ sau , chỉ có hosts 5.5.5.5 và 6.6.6.6 được phép truy cập privileged tới router qua SNMP :
access-list 1 permit 5.5.5.5
access-list 1 permit 6.6.6.6
snmp-server community private RW 1


Điều khiển việc truy cập đến các Servers chứa các file cấu hình

Nếu 1 router thường xuyên download file cấu hình từ một server Trivial File Transfer Protocol (TFTP) hay Maintenance
Operations Protocol (MOP), bất cứ ai có thể truy cập server này cũng có thể thay đổi file cấu hình của router trên server đó.
Communication servers có thể đươc cấu hình để chấp nhận một kết nối LAT ( Local Area Transport).Protocol translator và các translating router có thể chấp nhận kết nối X.29. Sự khác biệt về kiểu truy cập này cần được chú ý khi tạo
một kiến trúc firewall.


Thiết lập kiến trúc firewall của bạn


Một kiến trúc firewall là 1 mô hình tồn tại giữa bạn và thế giới bên ngoài nhằm bảo vệ bạn khỏi những kẻ xâm nhập. Trong phần lớn tình huống, những kẻ xâm nhập được đại diện bởi mạng Internet và hàng ngàn mạng kết nối với nó. Điển hình như một firewall dựa trên nhiều bộ máy khác nhau trong hình 3-1

Hình 3-1 : <không có>
Trong kiến trúc này, một router được nối với Internet (exterior router), buộc mỗi giao tiếp mạng đi vào application gateway (cổng ứng dụng ).
Một router được nối với mạng nội bộ (interior router) chỉ tiếp nhận những gói tin từ cổng ứng dụng.
Cổng ứng dụng thiết lập policies ( chính sách ) đối với từng người dùng và từng ứng dụng. Hệ quả là nó điều khiển được sử phân phát của các dịch vụ cả đến và đi từ mạng nội bộ. Ví dụ, chỉ một số người dùng được phép giao tiếp với Internet, hay chỉ một số ứng dụng được phép thiết lập kết nối với bên ngoài. Nếu chỉ 1 ứng dụng được phép gửi thư, chỉ những gói thư được đi qua router.

Điều khiển lưu thông trong mạng
Phần này sử dụng tình huống minh họa trong hình 3-2 để mô tả việc sử dụng danh sách truy cập ngăn chặn lưu thông dữ liệu đến và đi từ một firewall router và một firewall communication server

Hình 3-2 : <không có>
Trong bài viết này firewall router cho phép kết nối "đến" từ 1 hay nhiều server hay host. Một router được thiết kế hoạt động như 1 firewall là điều ta mong muốn, vì nó định rõ mục đích của router là external gateway và tránh làm phiền các router khác với nhiệm vụ này. Trong tình huống mạng nội bộ cần được cô lập, firewall router sẽ cung
cấp điểm cô lập mà không ảnh hưởng đến phần còn lại của mạng.

Cấu hình một Firewall Router

Trong cấu hình của firewall router dưới đây, subnet 13 của Class B là firewall subnet, trong khi đó subnet 14 cung cấp kết nối Internet qua một nhà cung cấp dịch vụ :
interface ethernet 0
ip address B.B.13.1 255.255.255.0
interface serial 0
ip address B.B.14.1 255.255.255.0
router igrp
network B.B.0.0
Cấu hình đơn giản này không có sự bảo mật và cho phép tất cả mọi lưu thông từ thế giới bên ngoài đến mạng. Để có sự bảo mật với firewall router, sử dụng danh sách truy cập và nhóm truy cập như mô tả dưới đây.

Xác định danh sách truy cập
Danh sách truy cập xác định những lưu thông thực tế sẽ được cho phép hay từ chối, trong khi đó 1 nhóm truy cập áp dụng 1 danh sách truy cập nhất định cho 1 interface. Danh sách truy cập có thể dùng để từ chối kết nối ẩn chứa mối nguy hại về bảo mật và cho phép tất cả các kết nối khác, hoặc cho phép những kết nối chấp nhận được và từ chối tất cả kết nối còn lại. Đối với một firewall, cách thứ 2 là cách an toàn hơn.
Trong bài viết này, email và news đến được cho phép với 1 số hosts, nhưng FTP, Telnet và rlogin chỉ cho phép những host nằm trong firewall subnet.Khoảng IP mở rộng (từ 100 đến 199) và các số cổng TCP hay UDP được dùng để lọc lưu thông .Khi một kết nối sắp được hình thành cho email,Telnet, FTP,... nó sẽ cố mở một dịch vụ ở một cổng xác định. Do đó bạn có thể lọc những kết nối đó bằng cách từ chối các gói tin tìm cách
sử dụng dịch vụ đó. Về danh sách của những dịch vụ và cổng thường gặp, xem phần "Lọc các dịch vụ TCP và UDP" ở phần sau.
Một danh sách truy cập được gọi sau quyết định của router nhưng trước khi gói tin được gửi đến 1 interface.
Chỗ tốt nhất để xác định danh sách truy cập là tạo 1 file chứa các lệnh access-list, đặt file đó trong thư mục TFTP mặc định và nạp file đó vào router.
Server chứa file đó fải chạy TFTP daemon và có kết nối TCP đến firewall router. Trước khi nạp, mọi xác định trước đó của danh sách truy cập này được gỡ bỏ bằng lệnh no access-list 101
Lệnh access-list có thể được dùng để cho phép các gói tin trả về từ những kết nối được thiết lập trước đó. Với từ khóa established, sẽ có sự phù hợp nếu gói TCP chứa acknowledgement (ACK) hay reset(RST) bits set.
access-list 101 permit tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 established
Nếu firewall routers nào chia sẻ mạng với 1 nhà cung cấp bên ngoài, bạn sẽ muốn cho phép truy cập từ các host đó tới mạng của bạn. Trong bài viết này, nhà cung cấp bên ngoài có một cổng nối tiếp sử dụng firewall router
Class B địa chỉ (B.B.14.2) là địa chỉ nguồn như sau :
access-list 101 permit ip B.B.14.2 0.0.0.0 0.0.0.0 255.255.255.255
Ví dụ sau minh họa cách từ chối lưu thông từ 1 người dùng cố gắng che giấu một địa chỉ nội bộ của bạn với bên ngoài ( không dùng danh sách truy cập "đầu vào" 9.21 ) :
access-list 101 deny ip B.B.0.0 0.0.255.255 0.0.0.0 255.255.255.255
Lệnh sau cho phép Domain Name System (DNS) và Network Time Protocol (NTP) gửi yêu cầu và trả lời :
access-list 101 permit udp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 53
access-list 101 permit udp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 123
Lệnh sau từ chối cổng Network File Server (NFS) User Datagram Protocol (UDP) :
access-list 101 deny udp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 2049
Lệnh sau từ chối OpenWindows ở cổng 2001 và 2002, từ chối X11 ở cổng 6001 và 6002 :
access-list 101 deny tcp 0.0.0.0 255.255.255.2550.0.0.0 255.255.255.255 eq 6001
access-list 101 deny tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 6002
access-list 101 deny tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 2001
access-list 101 deny tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 2002
Lệnh sau cho phép Telnet đến communication server (B.B.13.2) :
access-list 101 permit tcp 0.0.0.0 255.255.255.255 B.B.13.2 0.0.0.0 eq 23
Lệnh sau cho phép FTP đến host ở subnet 13 :
access-list 101 permit tcp 0.0.0.0 255.255.255.255 B.B.13.100 0.0.0.0 eq 21
access-list 101 permit tcp 0.0.0.0 255.255.255.255 B.B.13.100 0.0.0.0 eq 20
Ở những ví dụ sau, mạng B.B.1.0 nằm trong mạng nội bộ.Các lệnh sau cho phép kết nối TCP và UDP tới các
cổng lớn hơn 1023 với những host hết sức giới hạn. Nhớ đừng để communication servers bộ dịch giao thức
( protocol translator ) nằm trong danh sách này :
access-list 101 permit tcp 0.0.0.0 255.255.255.255 B.B.13.100 0.0.0.0 gt 1023
access-list 101 permit tcp 0.0.0.0 255.255.255.255 B.B.1.100 0.0.0.0 gt 1023
access-list 101 permit tcp 0.0.0.0 255.255.255.255 B.B.1.101 0.0.0.0 gt 1023
access-list 101 permit udp 0.0.0.0 255.255.255.255 B.B.13.100 0.0.0.0 gt 1023
access-list 101 permit udp 0.0.0.0 255.255.255.255 B.B.1.100 0.0.0.0 gt 1023
access-list 101 permit udp 0.0.0.0 255.255.255.255 B.B.1.101 0.0.0.0 gt 1023
Chú ý : chuẩn FTP sử dụng cổng >1023 cho kết nối dữ liệu của nó; do đó, cổng >1023 phải đựợc mở. Chi tiết hơn đọc phần "Cổng File Transfer Protocol (FTP) " ở phía dưới
Lệnh sau cho phép DNS truy cập tới DNS server(s) liệt kê bởi Network Information Center (NIC) :
access-list 101 permit tcp 0.0.0.0 255.255.255.255 B.B.13.100 0.0.0.0 eq 53
access-list 101 permit tcp 0.0.0.0 255.255.255.255 B.B.1.100 0.0.0.0 eq 53
Lệnh sau cho phép SMPT email theo chiều đến với 1 số máy :
access-list 101 permit tcp 0.0.0.0 255.255.255.255 B.B.13.100 0.0.0.0 eq 25
access-list 101 permit tcp 0.0.0.0 255.255.255.255 B.B.1.100 0.0.0.0 eq 25
Lệnh sau cho phép news transfer protocol (NNTP) server của mạng nội bộ nhận kết nối NNTP từ danh sách cho phép :
access-list 101 permit tcp 16.1.0.18 0.0.0.1 B.B.1.100 0.0.0.0 eq 119
access-list 101 permit tcp 128.102.18.32 0.0.0.0 B.B.1.100 0.0.0.0 eq 119
Lệnh sau cho phép Internet control message protocole (ICMP) cho thông điệp báo lỗi :
access-list 101 permit icmp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
Mỗi danh sách truy cập có ẩn câu lệnh "từ chối tất cả những thứ khác" ở cuối danh sách để chắc chắn các thuộc tính không được đề cập đến sẽ bị từ chối.

Cổng File Transfer Protocol (FTP)
Hiện nay nhiều site chặn các phiên làm việc TCP từ ngoài vào nhưng cho phép kết nối ra ngoài. Vấn đề ở chỗ chặn kết nối từ ngoài vào sẽ ngăn cản những chương trình FTP client truyền thống, vì những chương trình này dùng lệnh "PORT"
cho server biết chỗ để gửi file. Máy khách mở một kết nối "điều khiển" đến server, nhưng server sau đó sẽ mở một kết nối "dữ liệu" ở một cổng nào đó ( >1023) trên máy khách.
Rất may , còn có 1 cách khác cho phép máy khác mở một socket "dữ liệu" và cho phép bạn có cả firewall và FTP.
Máy khách gửi 1 lệnh PASV đến server, nhận lại một số hiệu cổng cho socket dữ liệu, mở socket dữ liệu trên cổng đó và bắt đầu gửi .
Để thực hiện phương pháp này, chương trình FTP client phải hỗ trợ lệnh PASV. Vấn đề duy nhất với phương pháp này là nó không thực hiện được nếu server chặn luôn kết nối bất kỳ từ ngoài vào
Mã nguồn cho 1 chương trình FPT hoạt động được với firewall có thể nhận được bằng anonymous FTP tại ftp.cisco.com, file /pub/passive-ftp.tar.Z .Đây là phiên bản BSD 4.3 FTP có sửa chữa để hỗ trợ PASV.
Chú ý : Cẩn thận khi cung cấp dịch vụ anonymous FTP. Rất nhiều FTP server có lỗi ở khu vực này.

Áp dụng danh sách truy cập với các Interfaces
Sau khi danh sách truy cập được nạp vào router và lưu trên NVRAM, phải gán nó cho một interface phù hợp.
Trong bài viết này, lưu thông đến từ bên ngoài qua cổng nối tiếp 0 được lọc trước khi được đặt vào subnet 13 (ethernet 0). Do đó lệnh access-group , dùng 1 danh sách truy cập lọc các kết nối đến, phải được gán cho Ethernet 0 như sau :
interface ethernet 0
ip access-group 101
Để điều khiển truy cập Internet từ mạng nội bộ, lập một danh sách truy cập và áp dụng nó với gói tin gửi đi trên cổng nối tiếp 0 của router. Để làm được vậy, những gói tin gửi về từ các hosts sử dụng Telnet hay FTP phải được cho phép truy cập đến firewall subnetwork B.B.13.0

Sàng lọc dịch vụ TCP và UDP
Vài cổng TCP và UDP thường gặp được liệt kê ở bảng 3-3

Bảng 3-3 : Một số cổng và dịch vụ TCP và UDP thường gặp
Dịch vụ Loại cổng Số cổng
FTP-Data TCP 20
FTP-Commands TCP 21
Telnet TCP 23
SMTP-Email TCP 25
TACACS UDP 49
DNS TCP và UDP 53
TFTP UDP 69
finger TCP 79
Sun Remote
Procedure Call(RPC) UDP 111
Network News
Transfer Protocol (NNTP) TCP 119
Network Time
Protocol (NTP) TCP và UDP 123
NeWS TCP 144
Simple Management
Network Protocol (SNMP) UDP 161
SNMP (traps) UDP 162
Border Gateway
Protocol (BGP) TCP 179
rlogin TCP 513
rexec TCP 514
talk TCP và UDP 517
ntalk TCP và UDP 518
Open Windows TCP và UDP 2000
Network File System (NFS) UDP 2049
X11 TCP và UDP 6000


Lời khuyên của CERT
Computer Emergency Response Team (CERT) khuyên nên lọc những dịch vụ trong bảng 3-4

Bảng 3-4 : Lời khuyên của CERT với các dịch vụ TCP, UDP và cổng

Dịch vụ Loại cổng Số cổng
DNS zone transfers TCP 53
TFTP daemon (tftpd) UDP 69
link TCP 87
Sun RPC TCP và UDP 1111
NFS UDP 2049
BSD UNIX các lệnh
bắt đầu bằng r- TCP từ 512 đến 514
line printer daemon (lpd) TCP 515
UNIX-to-UNIX copy
program daemon (uucpd) TCP 540
Open Windows TCP và UDP 2000
X Windows TCP và UDP 6000+

Phần lớn dịch vụ RPC không có số cổng cố định. Bạn nên tìm những cổng có dịch vụ này và chặn lại. Cisco khuyên nên chặn tất cả cổng UDP trừ DNS nếu có thể.
Chú ý : Cisco khuyên bạn nên lọc dịch vụ finger ở cổng 79 để ngăn chặn người ngoài tìm hiểu cấu trúc thư mục của người dùng và tên của host mà người dùng đăng nhập

danh sách truy cập "đầu vào"
Trong Software Release 9.21, Cisco giới thiệu khả năng gán danh sách truy cập "đầu vào" cho 1 interface. Điều này cho phép người quản trị có thể lọc các gói tin trước khi chúng đi qua router. Trong nhiều trường hợp, danh sách truy cập "đầu vào" và danh sách truy cập "đầu ra" đạt được những tính năng như nhau; tuy nhiên, danh sách truy cập "đầu vào" được ưa thích hơn với 1 số người và có thể dùng để ngăn chặn một vài kiểu che giấu địa chỉ trong khi danh sách truy cập "đầu ra" sẽ không cung cấp đủ độ bảo mật.
Hình 3-3 minh họa 1 host đang bị đánh lừa. Ai đó ở bên ngoài đang mạo nhận rằng đến từ mạng 131.108.17.0.Router interface cho rằng gói tin đến từ 131.108.17.0.Để tránh việc này, 1 input access list được áp dụng cho router interface đối với bên ngoài.
Nó sẽ chặn bất cứ gói tin nào từ ngoài vào với địa chỉ nguồn trong mạng nội bộ mà router biết (17.0 và 18.0)

Hình 3-3 : <không có>
Nếu bạn có nhiều mạng nội bộ nối với firewall router và router đang dùng bộ lọc "đầu ra", lưu thông giữa các mạng nội bộ sẽ bị ảnh hưởng bởi bộ lọc. Nếu bộ lọc "đầu vào" chỉ được dùng với router interface với bên ngoài, mạng nội bộ sẽ không bị ảnh hưởng đáng kể.
Chú ý : Nếu 1 địa chỉ sử dụng source routing, nó có thể gửi và nhận thông qua firewall router. Vì lý do này, bạn nên vô hiệu hóa source routing trên router với lệnh no ip source-route


Cấu hình một Firewall Communication Server


Trong bài viết này, firewall communication server có 1 modem ở line 2
interface Ethernet 0
ip address B.B.13.2 255.255.255.0
!
access-list 10 deny B.B.14.0 0.0.0.255
access-list 10 permit B.B.0.0 0.0.255.255
!
access-list 11 deny B.B.13.2 0.0.0.0
access-list 11 permit B.B.0.0 0.0.255.255
!
line 2
login tacacs
location FireWallCS#2
!
access-class 10 in
access-class 11 out
!
modem answer-timeout 60
modem InOut
telnet transparent
terminal-type dialup
flowcontrol hardware
stopbits 1
rxspeed 38400
txspeed 38400
!
tacacs-server host B.B.1.100
tacacs-server host B.B.1.101
tacacs-server extended
!
line vty 0 15
login tacacs

Xác định danh sách truy cập
Trong ví dụ này, số hiệu mạng được dùng để cho phép hay từ chối truy cập;do đó khoảng IP chuẩn được sử dụng (từ 1 đến 99 ). Với những kết nối từ bên ngoài đến modem lines, chỉ những gói tin từ những host trong mạng nội bộ Class B và những gói tin từ các host trong firewall subnetwork được cho phép:
access-list 10 deny B.B.14.0 0.0.0.255
access-list 10 permit B.B.0.0 0.0.255.255
Những kết nối đi chỉ được cho phép đến các hosts trong mạng nội bộ và communication server
access-list 11 deny B.B.13.2 0.0.0.0
access-list 11 permit B.B.0.0 0.0.255.255

Áp dụng danh sách truy cập với các đường kết nối
Áp dụng 1 danh sách truy cập với 1 đường kết nối bằng lệnh access-class. Trong bài viết này, sự hạn chế trong danh sách truy cập 10 được áp dụng cho các kết nối đến với đường kết nối 2, sự hạn chế trong danh sách truy cập 11 được áp dụng cho các kết nối đi với đường kết nối 2
line 2.
access-class 10 in
access-class 11 out

Sử dụng banners để tạo một thông báo
Ta có thể dùng cấu hình banner exec để tạo ra các thông báo, sẽ được hiện trong tất cả các kết nối. Ví dụ, trên một communication server, bạn có thể đưa vào thông điệp sau :
banner exec ^C
If you have problems with the dial-in lines, please
send mail to helpdesk@CorporationX.com.
If you get the message "% Your account is expiring", please send mail with name
and voicemail box to helpdesk@CorporationX.com, and someone will contact you to renew your account.
Unauthorized use of these resources is prohibited.

Bảo vệ những dịch vụ ngoài chuẩn

Có rất nhiều dịch vụ ngoài chuẩn từ Internet. Trong trường hợp của 1 kết nối vào Internet, những dịch vụ này có thể rất tinh vi và phức tạp. Ví dụ của những dịch vụ này là World Wide Web (WWW), Wide Area Information
Service (WAIS), Gopher và Mosaic. Hầu hết những hệ thống này liên quan đến việc cung cấp thông tin cho người dùng theo những cách tổ chức khác nhau, cho phép tim kiếm thông tin một cách có cấu trúc.
Phần lớn những hệ thống này có những giao thức riêng. Một vài trường hợp như Mosaic sử dụng nhiều giao thức để nhận được thông tin. Bạn phải cẩn thận khi thiết kế một danh sách truy cập áp dụng với mỗi dịch vụ. Trong nhiều trường hợp, các danh sách truy cập có liên quan đến nhau vì mối liên quan giữa các dịch vụ.

Tổng kết
Mặc dù bài viết này minh họa cách sử dụng các tính năng ở mức network-layer của Cisco để tăng cường tính bảo mật cho mạng IP, để có được sự bảo mật đúng nghĩa, bạn phải quan tâm đến tất cả hệ thống ở tất cả các mức

Tài liệu tham khảo

Cheswick, B. and Bellovin, S. Firewalls and Internet Security. Addison-Wesley.
Comer, D.E and Stevens, D.L., Internetworking with TCP/IP. Volumes I-III. Englewood Cliffs, New Jersey:
Prentice Hall; 1991-1993.
Curry, D. UNIX System Security—A Guide for Users and System Administrators.
Garfinkel and Spafford. Practical UNIX Security.O'Reilly & Associates.
Quarterman, J. and Carl-Mitchell, S. The Internet Connection, Reading, Massachusetts: Addison-Wesley
Publishing Company; 1994.
Ranum, M. J. Thinking about Firewalls, Trusted Information Systems, Inc.
Stoll, C. The Cuckoo's Egg. Doubleday.
Treese, G. W. and Wolman, A. X through the Firewall and Other Application Relays.

Requests For Comments (RFCs)
RFC 1118. "The Hitchhiker's Guide to the Internet." September 1989.
RFC 1175. "A Bibliography of Internetworking Information." August 1990.
RFC1244. "Site Security Handbook." July 1991.
RFC 1340. "Assigned Numbers." July 1992.
RFC 1446. "Security Protocols for SNMPv2." April 1993.
RFC 1463. "FYI o¬n Introducing the Internet—A Short Bibliography of Introductory Internetworking Readings
for the Network Novice." May 1993.
RFC 1492. "An Access Control Protocol, Sometimes Called TACACS." July 1993.

Internet Directories
Documents at gopher.nist.gov.
The "Computer Underground Digest" in the /pub/cud directory at ftp.eff.org.
Documents in the /dist/internet_security directory at research.att.com.
HVA-Translator Group