Petits rappels avant de commencer :
SNMP v1 et v2 présentent des déficits de sécurité
MD5: utilisé pour l' authentification
SHA: utilisé pour l' authentification
DES: utilisé pour l'encryption
SHA est un protocole d' authentification plus difficile à casser que md5, préférez donc celui-ci.
Pour ce qui est qui est de l rescription, uniquement du DES56 est dispo, pas d AES ou 3AES, un jour peut être ....
Les différents niveaux de sécurité
Le protocole SNMP peut être configuré avec dans différentes versions, SNMPv1, SNMPv2 et SNMPv3.
La version 3 est fortement recommandée, elle chiffre les mot de passe et les données qui transitent. Si un utilisateur mal intentionné arrive à envoyé des requêtes SNMP à votre commutateur, il peut faire de gros dégâts ...
La configuration SNMPv3 est par défaut en privacy all donc authentification et encryption.
La configuration
Nous allons déjà autoriser le protocole SNMP, aaa authentication snmp local
Nous avons parlé de la création d’un utilisateur dans le topic commandes de base , c’est ici que celle-ci prend toute son importance. En effet aucun utilisateur par défaut n’a de droits SNMP (même le compte admin). Il est donc impératif de créer un autre utilisateur avec ces dits droits qui va nous permettre de paramétrer notre communauté.
user nom d’utilisateur read-write all password mot de passe sha +des
MD5 ou SHA : nécessaire à l’authentification de l’utilisateur
DES : Data Encryption Standard, algorithme qui va crypter les données transmises.
Rappel : cet utilisateur doit avoir tous les droits en lecture/écriture
Nous utilisons SNMPv3, les lignes de commandes qui suivent ne doivent en aucun cas apparaître dans votre configuration (sauf v1 et v2).
--------------------------------------------------------------------------------------
Nous allons créer notre communauté et la lier avec notre utilisateur :
snmp community map nom de la communauté user nom utilisateur on
Pour supprimer celle-ci : no snmp community map nom de la communauté
----------------------------------------------------------------------------------------
----------------------------------------------------------------------------------------
On entre ensuite nos paramètres de sécurité suivant ce que l’on désire faire :
snmp security no security
snmp security authentication set
snmp security authentication all
snmp security privacy set
snmp security privacy all
snmp security trap only
La visualisation des paramètres de sécurité se fait par l’intermédiaire de la commande show snmp security
Pour plus de sécurité, nous taperons la commande snmp authentication trap enable qui fera remonter des informations dès qu’une mauvaise authentification aura été détectée.
Il ne reste plus qu’a rentré l’adresse IP de notre station d’administration associée à notre utilisateur :
snmp station A.B.C.D 162 nom d’utilisateur v3 enable
Remarque : 162 est le numéro du port sur lequel seront envoyés tous les paquets, on peut bien sûre modifier sa valeur mais il ne faudra pas oublier de le faire également lors de la configuration d’ Omnivista pendant son installation.
Récapitulatif
Aaa authentication snmp local
User SNMP user name read-write all md5+des password
Snmp authentication trap enable
Snmp station @IP 162 SNMP user name v3 enable
Aucun commentaire:
Enregistrer un commentaire