Настройка snmp-агентов

Эта глава представляет собой обзор аспектов настройки агентов SNMP и предоставляет подробные инструкции для настройки агентов SNMP на некоторых сетевых системах.

Настройка агентов

Типичный агент SNMP реализуется как компонент программного обеспечения, запускаемый на сетевом устройстве. Компонент программного обеспечения следует правильно установить и настроить. Процедура установки/настройки во многом зависит от типа сетевой системы и среды программного обеспечения агента. Информацию о том, как установить SNMP на том или ином типе сетевой системы см в соответствующем разделе.

Для настройки необходима следующая информация:

  • Имена доступа (community) в Вашей сети
  • Назначение ловушек для каждого доступа
  • IP-адреса и имена ПК для администрируемых по SNMP хостов

Дополнительные инструкции по настройке агентов SNMP можно найти в следующих главах:

Общие настройки

Все устройства SNMP имеют следующие общие параметры настройки:

Параметры

Описание

sysLocation

Физическое месторасположение отслеживаемого устройства.

sysContact

Определяет главное контактное лицо для устройства.

sysName

Должно быть установлено в полное доменное имя (FQDN) управляемого устройства. Иными словами, это имя хоста, ассоциируемое с IP-адресом управляемого устройства.

Read-only access community string

Строка доступа в режиме только для чтения используется для получения доступа к запрашиваемой административной информации от агента SNMP.

Read-write access community string

Используя строку доступа с режиме записи/чтения, можно изменять переменные MIB на сетевом элементе.

Trap community string

Строка доступа ловушки будет включена в отправляемые устройством ловушки, и менеджеры ловушек могут использовать ее, когда необходимо определить, нужно ли обрабатывать полученную ловушку.

Trap destination

Адреса, на которые отправляются ловушки.

У устройств могут быть разные варианты доступа и параметры ловушки. Например, устройства Cisco поддерживают различные строки доступа для разных частей MIB, что разрешает отдельным группам переменных иметь мелкоструктурный контроль за доступом. Многие производители разрешают устанавливать ограничения на хостах, согласно которым разрешено выполнять запросы SNMP, тем самым предоставляя другой уровень безопасности, в дополнение к строке доступа.

Существует группа опций настройки, которые могут встретиться во время управления сетевыми системами разных производителей. Следует обратиться к руководству для Вашего устройства/программного обеспечения или иной доступной документации, например, к RFC.

Вопросы безопасности

Не забудьте изменить строки доступа, настроенные по умолчанию, на значения с высоким уровнем безопасности. Не следует выбирать слова, используйте лучше буквенно-числовую комбинацию. Используйте разные строки для доступа на чтение и запись.

Серьезной проблемой может оказаться отправление строки доступа чтения и записи в виде простого текста через SNMPv1 и v2. Таким образом, строки доступа оказываются  потенциально доступны каждому с доступом к анализатору пакетов, т.е. почти каждому пользователю Вашей сети с ПК и общедоступным программным обеспечением.

Вы можете установить органичения для устройств, которые могут выполнять запросы SNMP, если Ваш агент это поддерживает. Таким образом, даже если кто-то получает строку доступа, ему придется подделать IP-адрес одной из Ваших станций управления, чтобы нанести какой-либо вред. Это мера позволяет снизить риск, но не дает полную гарантию безопасности. Лучшим решением будет обезопасить пакеты SNMP, сделав их невидимыми для внешней стороны сегмента сети управления. Для этого следует настроить маршрутизаторы и firewall должным образом. К сожалению, не всегда оказывается возможным установить отдельную административную сеть, или использовать ее из разных мест. Чтобы сделать административный трафик приватным, следует использовать решение VPN или какую-то из форм туннелирования.

Многие устройства могут генерировать ловушки ошибки авторизации, когда кто-то пытается получить к ним доступ, используя неправильные строки доступа. Если Ваше устройство поддерживает это свойство, используйте его для выявления попытки нежелательного доступа к Вашему устройству.

SNMPv3 позволяет решить большинство вопросов безопасности. В частности, он гарантирует, что все строки доступа закодированы.