Cómo configurar SNMPv3 en Ubuntu CentOS y Cisco Systems
Actualmente existen tres versiones de SNMP: v1, v2c y v3. SNMP
v1 y v2c son fáciles de configurar y se han analizado en artículos anteriores. SNMPv3 agrega muchas otras características, incluidos esquemas de autenticación y cifrado como MD5, SHA, AES y
DES. Esto hace que SNMPv3 sea más seguro e ideal cuando ejecutamos consultas SNMP a través de Internet.
La configuración de SNMPv3 es ligeramente diferente en comparación con SNMP v1 o v2c. Cómo configurar esto se explica en detalle a continuación.
Configuración de SNMPv3 en Ubuntu y Debian
La configuración se realiza mediante la herramienta net-snmp-config. El siguiente ejemplo crea una cuenta SNMPv3 de solo lectura con el nombre de usuario "snmpv3user" y la contraseña "snmpv3pass". El método de autenticación predeterminado es el cifrado MD5, que utiliza DES de forma predeterminada. También puede cambiar estas configuraciones según sea necesario.
root@server: ~# apt-get install snmp snmpd
root@server: ~# service snmpd stop
root@server: ~# net- snmp-config --create- snmpv3-user -ro -A snmpv3pass snmpv3user
## SALIDA ##
Agregue la siguiente línea a /var/lib/snmp/snmpd.conf conf:
createUser snmpv3user MD5 "snmpv3pass" DES
Agregue la siguiente línea a /usr/share/snmp/snmpd.conf:
rouser snmpv3user p> p>
root@server:~# service snmpd start
Prueba SNMPv3
Utilice snmpwalk para probar la configuración SNMP. Los resultados exitosos de la prueba deben tener una gran cantidad de datos de salida. El siguiente ejemplo demuestra cómo realizar snmpwalk utilizando la cuenta V3 creada anteriormente, con la dirección IP del servidor local 192.168.1.1 para Ubuntu y Debian.
### SALIDA DE MUESTRA ###
iso.3.6.1.2.1.1.1.0 = STRING: "Servidor Linux 3.5.0-23-generic #35~precise1-Ubuntu SMP viernes 25 de enero 17:13:26 UTC 2013 x86_64"
iso.3.6.1.2.1.1.1.0 = STRING: STRING: STRING: STRING..6.1.2.1.1.2.0 = OID: iso .3.6.1.4.1.8072.3 .2.10
iso.3.6.1.2.1.1.3.0 = Marcas de tiempo: (68028) 0:11:20.28
iso.3.6.1.2. 1.1.7.0 = ENTERO: 72
iso.3.6.1.2.1.1.8.0 = Marcas de tiempo: (0) 0:00:00.00
iso.3.6.1.2.1.1.9.1 .2.1 = OID: iso.3.6.1.6.3.10.3.1.1
iso.3.6.1.2.1.9.1.2.2 = OID: iso.3.6.1.6.3.11.3.1.1 p> p>
iso.3.6.1.2.1.1.1.9.1.2.3 = OID: iso.3.6.1.6.3.15.2.1.1
iso.3.6.1.2.1.1.1.9 .1.2 .4 = OID: iso.3.6.1.6.3.1
iso.3..6.1.2.1.1.1.9.1.2.6 = OID: iso.3.6.1.2.1.4
iso.3.6.1.2.1.1.9.1.2.7=OID: iso.3.6.1.2.1.50
iso.3.6.1.2.1.1.9.1.2.8 = OID: iso.3.6.1.6. 3.16.2.2.1
iso.3.6.1.2.1.1.1.9.1.3.1 = STRING: "MIB de arquitectura de gestión SNMP."
iso.3.6.1.2.1.1. 9.1.3.2 = STRING: "MIB para procesamiento y programación de mensajes."
iso.3.6.1.2.1.1.9.1.3.3 = STRING: "Base de información de gestión. STRING: "Gestión basada en el usuario SNMP. Modelo de seguridad Definición de información.
"
iso.3.6.1.2.1.1.9.1.3.4 = STRING: "Módulo MIB para entidades SNMPv2"
iso.3.6.1.2.1.1.9.1.3.5 = STRING: "Módulo MIB para gestionar la implementación de TCP"
iso.3.6.1.2.1.1.9.1.3.6 = STRING: "Módulo MIB para gestionar la implementación de IP e ICMP"
iso.3.6. 1.2.1.1.9.1.3.7 = STRING: "Módulo MIB para gestionar implementaciones UDP"
iso.3.6.1.2.1.1.9.1.3.8 = STRING: "Modelo de control de acceso basado en vistas para SNMP."
iso.3.6.1.2.1.1.9.1.4.1=00.00
iso.3.6.1.2.1.1.9.1.4.4=Marcas horarias: ( 0) 0:00:00.00
iso.3.6.1.2.1.1.9.1.4.5 = Timeticks: (0) 0:00:00.00
### Y la caminata sigue y sigue ### p>
Eliminar la cuenta SNMPv3
Cuando se ejecuta la herramienta net-snmp-config, la información sobre la cuenta se almacena en var/lib/snmp/snmpd .conf y /usr/share/ snmp/snmpd.conf. Eliminar la cuenta eliminará la información del archivo
root@server:~# service snmpd stop
root@server:~# vim /. var/lib/snmp/snmpd.conf
## Debería haber una línea cifrada similar que contenga información del usuario##
# Esta línea ha sido eliminada ##
usmUser 1 3 0x80001f8880056e06573a1e895100000000 0x736e6d7076337573657200 0x736e6d7076337573657200 NULL .1.3.6.1.6. 0x945ed3c9708ea5493f53f953b45a4513 .0x945ed3c9708ea5493f53f953b45a4513 ""
root@server:~# vim /usr/share/snmp/snmpd.conf
##La siguiente línea ha sido eliminada##
rouser snmpv3user
No olvides reiniciar snmpd después
root@ server:~# service snmpd start
Configuración de SNMPv3 en CentOS o RHEL
En comparación con Ubuntu, el proceso de configuración de usuarios de SNMPv3 en CentOS y RHEL es algo diferente, pero básicamente. mismo.
Primero, use yum para instalar el software necesario
[root@server ~]# yum install net-snmp-utils net-snmp-devel
El la instalación ha finalizado. Finalmente, detenga snmpd y luego cree una cuenta SNMP con atributos de solo lectura.
[root@server ~]# service snmpd stop
[root@server ~]# net-snmp-create-v3-user -ro -A snmpv3pass -a MD5 -x DES snmpv3user
## SALIDA ##
En /var/lib/net-snmp/snmpd.conf:
createUser snmpv3user MD5 "snmpv3pass" DES
Agregue la siguiente línea a /etc/snmp/snmpd.conf:
rouser snmpv3user
[root@server ~]# service snmpd start
Prueba SNMPv3
snmpwalk es una excelente herramienta para probar la configuración y salida de SNMP. Los resultados exitosos de la prueba deben contener una gran cantidad de datos de salida.
[root@server ~]# snmpwalk -u snmpv3user -A snmpv3pass -a MD5 -l authnoPriv 192.168.1.2 -v3
### SALIDA ####
SNMPv2-MIB:.NET-SNMPv2-MIB::sysObjectID.0=OID:.NET-SNMP-MIB::netSnmpAgentOIDs.10
DISMAN-EVENT-MIB::sysUpTimeInstance=Timeticks :(28963) 0:04:49.63
SNMPv2-MIB::sysORLastChange.0 = Marcaciones de tiempo: (1) 0:00:00.01
SNMPv2-MIB::sysORID.1 = OID: SNMP-MPD-MIB:: snmpMPDMIBObjects.3.1.1
SNMPv2-MIB: .sysORID.2 = OID: SNMP-USER-BASED-SM-MIB:: usmMIBCompliance
SNMPv2-MIB::sysORID.3 = OID:SNMP-FRAMEWORK-MIB::snmpFrameworkMIBCompliance
SNMPv2-MIB::sysORID.4 = OID:SNMPv2-MIB::snmpMIB
SNMPv2-MIB::sysORID.5 = OID:TCP-MIB::tcpMIB
SNMPv2-MIB::sysORID.6 = OID:IP-MIB::ip
SNMPv2-MIB::sysORID.7 = OID: UDP-MIB::udpMIB
SNMPv2-MIB::sysORID.8 = OID: SNMP-VIEW-BASED-ACM-MIB::vacmBasicGroup
SNMPv2-MIB::sysORDescr.1=STRING:sysORDescr.2=STRING: MIB para procesamiento y programación de mensajes
SNMPv2-MIB:::MIB de procesamiento y programación de mensajes. p>
SNMPv2-MIB::sysORDescr.3=STRING:
SNMPv2-MIB::sysORDescr.4=STRING: MIB de Arquitectura de Gestión SNMP: Módulo MIB para entidades SNMPv2
SNMPv2 -MIB::sysORDescr.5 = STRING: Módulo MIB de implementación de TCP de administración
##, la salida continúa ##
Eliminar cuenta SNMPv3
La información de la cuenta SNMPv3 es contenidos en dos archivos. Eliminar una cuenta eliminará la información de este archivo.
root@servidor:~# servicio snmpd detener
root@servidor:~# vim /var/lib/net-snmp/snmpd.1.3.6.1.6.3.10.1.1.2 0x945ed3c9708ea5493f53f953b45a4513
.1.3.6.1.6.3.10.1.2.2 0x945ed3c9708ea5493f53f953b45a4513 ""
root@server:~# vim /etc/snmp/snmpd .con f
##La siguiente línea ha sido eliminada##
rouser snmpv3user
root@server:~# service snmpd start
Acondicionamiento del firewall (opcional)
Las reglas de firewall del siguiente ejemplo se pueden utilizar para limitar las direcciones IP de origen permitidas para consultas SNMP. Dos direcciones IP (por ejemplo, 192.168.1.100/101) están en la lista blanca.
root@server:~# iptables -A ENTRADA -s 192.168.1.100/32 -p udp -dport 161 -j ACEPTAR
root@server:~# iptables -A ENTRADA -s 192.168.1.101/32 -p udp -dport 161 -j ACEPTAR
root@server:~# iptables -A ENTRADA -p udp -dport 161 -j DROP
Cisco Switch Configuración de SNMPv3 para conmutadores y enrutadores Cisco
Los conmutadores y enrutadores Cisco también admiten SNMPv3. El siguiente ejemplo crea una lista de control de acceso (ACL) que restringe las direcciones IP de origen permitidas para las búsquedas SNMP. Sin embargo, se omitirá este paso.
Establecer lista de control de acceso (ACL) (opcional)
##Modo de configuración global##
Lista de acceso IP estándar SNMP_ACL
permit 192.168.1.100
permit 192.168.1.100
Configuración SNMPv3
La siguiente configuración crea un grupo llamado v3Group con autenticación AuthNoPriv Nivel de seguridad v3, el acceso opcional La lista definida anteriormente también admite esta configuración.
## modo de configuración global ##
## Con ACL ##
grupo de servidor snmp v3Acceso de autenticación de grupo v3 SNMP_ACL
## Sin ACL ##
snmp- grupo de servidores v3Group v3 auth
El usuario v3user se ha creado y agregado en v3Group. También se definen cifrados MD5 y claves de cifrado AES.
snmp-server user v3user v3Group v3 auth md5 snmpv3pass priv aes 128 snmpv3pass
Prueba SNMPv3
Los usuarios SNMP y los grupos relacionados se pueden ver en dispositivos Cisco.
###Modo EXEC privilegiado##
mostrar usuario snmp
Nombre de usuario: v3user
ID del motor: **** ********************
tipo de almacenamiento: activo no volátil
Protocolo de autenticación: MD5
Acuerdo de privacidad:
Nombre del grupo: v3Group
Se puede utilizar cualquier dispositivo Linux en snmpwalk para verificar la configuración e inspeccionar el resultado.
snmpwalk -u snmpv3user -A snmpv3pass -a MD5 -l authnoPriv 192.168.1.3 -v3
iso.3.6.1.2.1.1.1.0 = STRING: "Software Cisco IOS"
Soporte técnico: /techsupport
Copyright (c) 1986-2012 de Cisco Systems, Inc.
iso.3.6.1.2.1.1.2.0 = OID. .6.1.4.1.9.1.1166
iso.3.6.1.2.1.1.7.0 = ENTERO: 78
iso.3.6.1.2.1.1.8.0 = Marcas de tiempo: (0) 0:00:00.00
iso.3.6.1.2.1.1.0 = OID. 2.1.1.0 = ENTERO: 54
iso.3.6.1.2.1.2.1.1 = ENTERO: 1
iso.3.6.1.2.1.2.2.1.1.2 = ENTERO: 2
iso.3.6.1.2.1.2.1.1.3 = ENTERO: 3
##Truncamiento de salida##