SNMPv3

SNMPv3 er en overbygning til SNMPv1 og SNMPv2c. SNMPv1 er basis SNMP som benytter u-krypteret kommunikation og kun understøtter 32 bit værdier. SNMPv2c er som SNMPv1 men kan håndtere 64 bit værdier som er nødvendige ved overvågning af Netværks interfaces som håndtere mere end 100Mbit. Med SNMPv1 og SNMPv2c benyttes en community tekst streng som password og validering af SNMP kommunikationen.

Med SNMPv3 gives der mulighed for mere sikkerhed i forbindelse med kommunikation til netværksenheder. Her benytter man ikke en community streng, men en bruger. Brugeren skal være medlem af en gruppe, hvor man har mulighed for at konfigurere forskellige adgange for de enkelte bruger. Men vigtigst af alt, med SNMPv3 introdusere man kryptering af SNMP kommunikationen imellem server og SNMP Agent (enheden der overvåges).

Sikkerheds adgang

SNMPv3 benytter følgende tre sikkerheds niveauer

  • NoAuthNoPriv – Ingen bruger validering, ingen kryptering
  • AuthNoPriv – Bruger validering, ingen kryptering
  • AuthPriv – Benytter både bruger validering og kryptering af kommunikation

Krypterings protokoller

Følgende krypterings protokoller kan benyttes ved SNMPv3 kommunikation

Validering:

I mange år har man kun kunnet benytte SHA1, MD5 ved validering, men i det at man anser disse former for usikre, bør man i dag benytte SHA256, SHA384, SHA512

Kryptering:

Igen har man i mange år benyttet DES og 3DES som standard protokoller for kryptering af SNMPv3 kommunikation. Disse protokoller er i dag anset som usikre og man bør benytte AES128, AES192 og AES256 for kryptering af kommunikationen.

SNMP View

SNMP Views, benyttes til at give adgang til hele SNMP OID træet eller kun dele af den. Dette styres på den enkelte netværks enheds som skal overvåges. Normalt vil man give adgang til hele træet i læse adgang, sådan at man har adgang til alle SNMP værdier på enheden.

SNMP Grupper

En SNMP Gruppe styrer adgangen til et SNMP View, man tilknytter en SNMPv3 bruger, som så får adgang til det tilknyttede SNMP View. Man kan give læse adgang eller skrive adgang til en gruppe.

Neosec Security Server

SNMPv3 er understøttet i Neosec Security Server og kan benyttes direkte via serveren samt via Network Agenten.

Følg nedenstående links for konfiguration af SNMPv3 på SNMP Agenter på netværks udstyr.

Links

Konfiguration af SNMPv3 på Cisco IOS/IOS XE

Oprettelse af SNMPv3 på Cisco Secure Firewall via Firepower Management Center

Oprettelse af SNMPv3 på Cisco Secure Firewall via Rest API FDM.

Konfiguration af SNMP overvågning på Ubuntu server

Udgivet i Dokumentation, Månedens tips, SNMP Overvågning og tagget , , , .

Jørgen Hoffmeister