Desejo executar o monitoramento da minha infraestrutura de rede. Isso pode ser feito com segurança com o SNMPv2?

13

Preciso executar o monitoramento da minha infraestrutura de rede, mas estou pensando se o uso do SNMPv2 é seguro? Quais são os pontos fracos do SNMPv2?

Lucas Kauffman
fonte

Respostas:

21

Se o SNMPv3 não for uma opção, você poderá fazer algumas coisas para ajudar a proteger melhor o SNMPv2.

  1. Não ative a sequência de leitura e gravação. Existem muito poucas razões para habilitá-lo.
  2. Escolha as strings da comunidade que são mais complexas e remova as que são 'privadas' ou 'públicas'.
  3. Use uma lista de acesso na string da comunidade para restringir quais endereços IP podem pesquisar o dispositivo.
  4. Não ative a opção 'desligamento do sistema'.
  5. Use uma sequência de comunidade diferente para traps SNMP versus a sequência SNMP de pesquisa.
twidfeki
fonte
14

O SNMPv2 não deve ser usado, especialmente se o SNMPv3 estiver disponível. Existem algumas falhas básicas no SNMPv2, predominantemente o uso de strings da comunidade enviadas pela rede de forma não criptografada para consultar a infraestrutura da rede.

Além disso, é baseado em uma sequência de caracteres da comunidade, em vez de uma combinação separada de nome de usuário / senha, e o SNMPv2 (e 1) não oferece garantia de confidencialidade, integridade nem autenticidade.

O SNMPv3 é muito melhor em relação à segurança, o SNMPv3 inclui três serviços importantes: autenticação, privacidade e controle de acesso (Figura 1). Para fornecer esses serviços de maneira flexível e eficiente, o SNMPv3 introduz o conceito de principal, que é a entidade em cujo nome os serviços são fornecidos ou o processamento ocorre. Leia mais sobre isso no site da Cisco .

Lucas Kauffman
fonte
9

Enquanto o SNMPv3 é significativamente mais seguro que a v2, você pode pelo menos reduzir alguns dos riscos de implementar a v2 restringindo o acesso com uma ACL. Também desaconselho a criação de uma comunidade v2 de leitura / gravação.

Avery Abbott
fonte