Comware::SNMPv3 Best Practice

In diesem Beitrag werde Ich beschreiben, wie Ich üblicherweise das Simple Network Management Protocol (SNMP), auf H3C/HPE Comware basierten Geräten (Switche, Router, etc.) konfiguriere.

SNMP wird von Managementsystemen zur Überwachung und Konfiguration von Netzwerkgeräten verwendet. Da die Informationen, die von den SNMP gesendet und empfangen werden, empfindlich sein können, sollten Sie über Sicherheitsvorkehrungen zum Schutz der Kommunikation verfügen.

SNMPv2c bietet in meinen Augen heute keinen wirklichen Schutz, und SNMPv1 ist für mich als Security Experte bei meinen Kunden nicht zu empfehlen aber mit SNMPv3 kann man Benutzer und Gruppen mit granularem Zugriff auf bestimmte Management Information Base (MIB)’s) erstellen, daher würde Ich immer empfehlen, SNMPv3 in Produktionsumgebungen zu verwenden (egal wie große die Umgebung ist).

Step 1

Um SNMPv3 auf einem H3C/HPE Comware basierten Gerät zu konfigurieren, müssen Sie SNMPv3 aktivieren und alle anderen Versionen deaktivieren.

[SWT-CORE]snmp-agent sys-info version v3
[SWT-CORE]undo snmp-agent sys-info version v1 v2c
[SWT-CORE]display snmp-agent sys-info version
 SNMP version running in the system:
 SNMPv3
Step 2 (Optional)

Der nächste Schritt ist das Anlegen einer Gruppe. Die Gruppe wird verwendet, um den Zugriff auf bestimmte SNMP  MIB’s und/oder Object Identifier (OID)’s zu ermöglichen.

Ich werde eine Standardgruppe „ViewDefault“ verwenden, aber Sie können auch Ihre eigene Gruppe mit eigenen Ansichten definieren.

Um eine benutzerdefinierte Ansicht zu erstellen, verwenden Sie diesen Befehl:

[SWT-CORE]snmp-agent mib-view included TestView iso

Dies erlaubt nur Zugriff auf den standardisierten Internationale Organisation für Normung (ISO) Baum. – Kurz: Alles! –

Step 3

Um die Gruppe zu erstellen, verwenden Sie diesen Befehl:

[SWT-CORE]snmp-agent group v3 SNMPv3-GROUP read-view ViewDefault write-view ViewDefault notify-view ViewDefault

Dadurch wird die Gruppe „SNMPv3-GROUP“ erstellt, die die Ansicht „ViewDefault“ für „read-view“, „write-view“ und „notify-view“ verwendet. Dies ermöglicht den Zugriff auf alle MIB’s und OID’s.

Step 4

Der nächste Schritt ist die Erstellung des SNMPv3-Benutzers:

[SWT-CORE]snmp-agent usm-user v3 SNMPv3-USER SNMPv3-GROUP simple authentication-mode sha PASSWORD privacy-mode aes128 PASSWORD

Damit wird der SNMPv3-Benutzer „SNMPv3-USER“ mit SHA1 zur Authentifizierung mit dem Passwort „PASSWORD“ und dem AES128 Verschlüsselungs-Schlüssel „PASSWORD“ konfiguriert.

Step 5

Die SNMPv3-Konfiguration ist nun zum größten Teil abgeschlossen.

Sie sollten nun einige Systeminformationen einstellen, um das Device in Ihrem Netzwerkmanagementsystem entsprechend zu erkennen:

[SWT-CORE]snmp-agent sys-info contact MEIN UNTERNEHMEN
[SWT-CORE]snmp-agent sys-info location SERVERRAUM

Sie sollten nun in der Lage sein, das Gerät mit SNMPv3 zu überwachen und zu konfigurieren.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.