Cómo configurar SNMPv3 en Ubuntu CentOS y Cisco Systems

El Protocolo simple de administración de red (SNMP) es un protocolo ampliamente utilizado para recopilar información sobre lo que sucede dentro de un dispositivo. Por ejemplo, puede utilizar SNMP para consultar la utilización de CPU y RAM de un dispositivo, la tasa de carga del servidor, el estado del tráfico de la interfaz de red y muchos otros atributos.

Actualmente existen tres versiones de SNMP: v1, v2c y v3. SNMP

v1 y v2c son fáciles de configurar y se han analizado en artículos anteriores. SNMPv3 agrega muchas otras características, incluidos esquemas de autenticación y cifrado como MD5, SHA, AES y

DES. Esto hace que SNMPv3 sea más seguro e ideal cuando ejecutamos consultas SNMP a través de Internet.

La configuración de SNMPv3 es ligeramente diferente en comparación con SNMP v1 o v2c. Cómo configurar esto se explica en detalle a continuación.

Configuración de SNMPv3 en Ubuntu y Debian

La configuración se realiza mediante la herramienta net-snmp-config. El siguiente ejemplo crea una cuenta SNMPv3 de solo lectura con el nombre de usuario "snmpv3user" y la contraseña "snmpv3pass". El método de autenticación predeterminado es el cifrado MD5, que utiliza DES de forma predeterminada. También puede cambiar estas configuraciones según sea necesario.

root@server: ~# apt-get install snmp snmpd

root@server: ~# service snmpd stop

root@server: ~# net- snmp-config --create- snmpv3-user -ro -A snmpv3pass snmpv3user

## SALIDA ##

Agregue la siguiente línea a /var/lib/snmp/snmpd.conf conf:

createUser snmpv3user MD5 "snmpv3pass" DES

Agregue la siguiente línea a /usr/share/snmp/snmpd.conf:

rouser snmpv3user p>

root@server:~# service snmpd start

Prueba SNMPv3

Utilice snmpwalk para probar la configuración SNMP. Los resultados exitosos de la prueba deben tener una gran cantidad de datos de salida. El siguiente ejemplo demuestra cómo realizar snmpwalk utilizando la cuenta V3 creada anteriormente, con la dirección IP del servidor local 192.168.1.1 para Ubuntu y Debian.

### SALIDA DE MUESTRA ###

iso.3.6.1.2.1.1.1.0 = STRING: "Servidor Linux 3.5.0-23-generic #35~precise1-Ubuntu SMP viernes 25 de enero 17:13:26 UTC 2013 x86_64"

iso.3.6.1.2.1.1.1.0 = STRING: STRING: STRING: STRING..6.1.2.1.1.2.0 = OID: iso .3.6.1.4.1.8072.3 .2.10

iso.3.6.1.2.1.1.3.0 = Marcas de tiempo: (68028) 0:11:20.28

iso.3.6.1.2. 1.1.7.0 = ENTERO: 72

iso.3.6.1.2.1.1.8.0 = Marcas de tiempo: (0) 0:00:00.00

iso.3.6.1.2.1.1.9.1 .2.1 = OID: iso.3.6.1.6.3.10.3.1.1

iso.3.6.1.2.1.9.1.2.2 = OID: iso.3.6.1.6.3.11.3.1.1 p>

iso.3.6.1.2.1.1.1.9.1.2.3 = OID: iso.3.6.1.6.3.15.2.1.1

iso.3.6.1.2.1.1.1.9 .1.2 .4 = OID: iso.3.6.1.6.3.1

iso.3..6.1.2.1.1.1.9.1.2.6 = OID: iso.3.6.1.2.1.4

iso.3.6.1.2.1.1.9.1.2.7=OID: iso.3.6.1.2.1.50

iso.3.6.1.2.1.1.9.1.2.8 = OID: iso.3.6.1.6. 3.16.2.2.1

iso.3.6.1.2.1.1.1.9.1.3.1 = STRING: "MIB de arquitectura de gestión SNMP."

iso.3.6.1.2.1.1. 9.1.3.2 = STRING: "MIB para procesamiento y programación de mensajes."

iso.3.6.1.2.1.1.9.1.3.3 = STRING: "Base de información de gestión. STRING: "Gestión basada en el usuario SNMP. Modelo de seguridad Definición de información.

"

iso.3.6.1.2.1.1.9.1.3.4 = STRING: "Módulo MIB para entidades SNMPv2"

iso.3.6.1.2.1.1.9.1.3.5 = STRING: "Módulo MIB para gestionar la implementación de TCP"

iso.3.6.1.2.1.1.9.1.3.6 = STRING: "Módulo MIB para gestionar la implementación de IP e ICMP"

iso.3.6. 1.2.1.1.9.1.3.7 = STRING: "Módulo MIB para gestionar implementaciones UDP"

iso.3.6.1.2.1.1.9.1.3.8 = STRING: "Modelo de control de acceso basado en vistas para SNMP."

iso.3.6.1.2.1.1.9.1.4.1=00.00

iso.3.6.1.2.1.1.9.1.4.4=Marcas horarias: ( 0) 0:00:00.00

iso.3.6.1.2.1.1.9.1.4.5 = Timeticks: (0) 0:00:00.00

### Y la caminata sigue y sigue ###

Eliminar la cuenta SNMPv3

Cuando se ejecuta la herramienta net-snmp-config, la información sobre la cuenta se almacena en var/lib/snmp/snmpd .conf y /usr/share/ snmp/snmpd.conf. Eliminar la cuenta eliminará la información del archivo

root@server:~# service snmpd stop

root@server:~# vim /. var/lib/snmp/snmpd.conf

## Debería haber una línea cifrada similar que contenga información del usuario##

# Esta línea ha sido eliminada ##

usmUser 1 3 0x80001f8880056e06573a1e895100000000 0x736e6d7076337573657200 0x736e6d7076337573657200 NULL .1.3.6.1.6. 0x945ed3c9708ea5493f53f953b45a4513 .0x945ed3c9708ea5493f53f953b45a4513 ""

root@server：~# vim /usr/share/snmp/snmpd.conf

##La siguiente línea ha sido eliminada##

rouser snmpv3user

No olvides reiniciar snmpd después

root@ server:~# service snmpd start

Configuración de SNMPv3 en CentOS o RHEL

En comparación con Ubuntu, el proceso de configuración de usuarios de SNMPv3 en CentOS y RHEL es algo diferente, pero básicamente. mismo.

Primero, use yum para instalar el software necesario

[root@server ~]# yum install net-snmp-utils net-snmp-devel

El la instalación ha finalizado. Finalmente, detenga snmpd y luego cree una cuenta SNMP con atributos de solo lectura.

[root@server ~]# service snmpd stop

[root@server ~]# net-snmp-create-v3-user -ro -A snmpv3pass -a MD5 -x DES snmpv3user

## SALIDA ##

En /var/lib/net-snmp/snmpd.conf:

createUser snmpv3user MD5 "snmpv3pass" DES

Agregue la siguiente línea a /etc/snmp/snmpd.conf:

rouser snmpv3user

[root@server ~]# service snmpd start

Prueba SNMPv3

snmpwalk es una excelente herramienta para probar la configuración y salida de SNMP. Los resultados exitosos de la prueba deben contener una gran cantidad de datos de salida.

[root@server ~]# snmpwalk -u snmpv3user -A snmpv3pass -a MD5 -l authnoPriv 192.168.1.2 -v3

### SALIDA ####

SNMPv2-MIB:.NET-SNMPv2-MIB::sysObjectID.0=OID:.NET-SNMP-MIB::netSnmpAgentOIDs.10

DISMAN-EVENT-MIB::sysUpTimeInstance=Timeticks :(28963) 0:04:49.63

SNMPv2-MIB::sysORLastChange.0 = Marcaciones de tiempo: (1) 0:00:00.01

SNMPv2-MIB::sysORID.1 = OID: SNMP-MPD-MIB:: snmpMPDMIBObjects.3.1.1

SNMPv2-MIB: .sysORID.2 = OID: SNMP-USER-BASED-SM-MIB:: usmMIBCompliance

SNMPv2-MIB::sysORID.3 = OID:SNMP-FRAMEWORK-MIB::snmpFrameworkMIBCompliance

SNMPv2-MIB::sysORID.4 = OID:SNMPv2-MIB::snmpMIB

SNMPv2-MIB::sysORID.5 = OID:TCP-MIB::tcpMIB

SNMPv2-MIB::sysORID.6 = OID:IP-MIB::ip

SNMPv2-MIB::sysORID.7 = OID: UDP-MIB::udpMIB

SNMPv2-MIB::sysORID.8 = OID: SNMP-VIEW-BASED-ACM-MIB::vacmBasicGroup

SNMPv2-MIB::sysORDescr.1=STRING:sysORDescr.2=STRING: MIB para procesamiento y programación de mensajes

SNMPv2-MIB:::MIB de procesamiento y programación de mensajes.

SNMPv2-MIB::sysORDescr.3=STRING:

SNMPv2-MIB::sysORDescr.4=STRING: MIB de Arquitectura de Gestión SNMP: Módulo MIB para entidades SNMPv2

SNMPv2 -MIB::sysORDescr.5 = STRING: Módulo MIB de implementación de TCP de administración

##, la salida continúa ##

Eliminar cuenta SNMPv3

La información de la cuenta SNMPv3 es contenidos en dos archivos. Eliminar una cuenta eliminará la información de este archivo.

root@servidor:~# servicio snmpd detener

root@servidor:~# vim /var/lib/net-snmp/snmpd.1.3.6.1.6.3.10.1.1.2 0x945ed3c9708ea5493f53f953b45a4513

.1.3.6.1.6.3.10.1.2.2 0x945ed3c9708ea5493f53f953b45a4513 ""

root@server:~# vim /etc/snmp/snmpd .con f

##La siguiente línea ha sido eliminada##

rouser snmpv3user

root@server:~# service snmpd start

Acondicionamiento del firewall (opcional)

Las reglas de firewall del siguiente ejemplo se pueden utilizar para limitar las direcciones IP de origen permitidas para consultas SNMP. Dos direcciones IP (por ejemplo, 192.168.1.100/101) están en la lista blanca.

root@server:~# iptables -A ENTRADA -s 192.168.1.100/32 -p udp -dport 161 -j ACEPTAR

root@server:~# iptables -A ENTRADA -s 192.168.1.101/32 -p udp -dport 161 -j ACEPTAR

root@server:~# iptables -A ENTRADA -p udp -dport 161 -j DROP

Cisco Switch Configuración de SNMPv3 para conmutadores y enrutadores Cisco

Los conmutadores y enrutadores Cisco también admiten SNMPv3. El siguiente ejemplo crea una lista de control de acceso (ACL) que restringe las direcciones IP de origen permitidas para las búsquedas SNMP. Sin embargo, se omitirá este paso.

Establecer lista de control de acceso (ACL) (opcional)

##Modo de configuración global##

Lista de acceso IP estándar SNMP_ACL

permit 192.168.1.100

permit 192.168.1.100

Configuración SNMPv3

La siguiente configuración crea un grupo llamado v3Group con autenticación AuthNoPriv Nivel de seguridad v3, el acceso opcional La lista definida anteriormente también admite esta configuración.

## modo de configuración global ##

## Con ACL ##

grupo de servidor snmp v3Acceso de autenticación de grupo v3 SNMP_ACL

## Sin ACL ##

snmp- grupo de servidores v3Group v3 auth

El usuario v3user se ha creado y agregado en v3Group. También se definen cifrados MD5 y claves de cifrado AES.

snmp-server user v3user v3Group v3 auth md5 snmpv3pass priv aes 128 snmpv3pass

Prueba SNMPv3

Los usuarios SNMP y los grupos relacionados se pueden ver en dispositivos Cisco.

###Modo EXEC privilegiado##

mostrar usuario snmp

Nombre de usuario: v3user

ID del motor: **** ********************

tipo de almacenamiento: activo no volátil

Protocolo de autenticación: MD5

Acuerdo de privacidad:

Nombre del grupo: v3Group

Se puede utilizar cualquier dispositivo Linux en snmpwalk para verificar la configuración e inspeccionar el resultado.

snmpwalk -u snmpv3user -A snmpv3pass -a MD5 -l authnoPriv 192.168.1.3 -v3

iso.3.6.1.2.1.1.1.0 = STRING: "Software Cisco IOS"

Soporte técnico: /techsupport

Copyright (c) 1986-2012 de Cisco Systems, Inc.

iso.3.6.1.2.1.1.2.0 = OID. .6.1.4.1.9.1.1166

iso.3.6.1.2.1.1.7.0 = ENTERO: 78

iso.3.6.1.2.1.1.8.0 = Marcas de tiempo: (0) 0:00:00.00

iso.3.6.1.2.1.1.0 = OID. 2.1.1.0 = ENTERO: 54

iso.3.6.1.2.1.2.1.1 = ENTERO: 1

iso.3.6.1.2.1.2.2.1.1.2 = ENTERO: 2

iso.3.6.1.2.1.2.1.1.3 = ENTERO: 3

##Truncamiento de salida##