ќбсудим вашу задачу в Telegram - чате?

ћерион Ќетворкс

SNMP (Simple Network Management Protocol) - стандартный протокол дл€ запроса информации о состо€нии сетевых устройств, и он €вл€етс€ pull протоколом - это означает, что SNMP об€зан на регул€рной основе запрашивать информацию о состо€нии устройств - SNMP-коллекторы опрашивают устройства, а SNMP-агенты на устройствах передают данную информацию.

„астота опросов основываетс€ на нескольких факторах, таких как:

  • —тепень необходимой детализации получаемой информации;/li>
  • ќбъем доступного места на хранилище;
  • —рок хранени€ данной информации;

SNMP €вл€етс€ широко распространенным протоколом - в свободном доступе находитс€ как достаточно много решений-коллекторов с открытым кодом, так и коммерческих вариантов - причем существуют как программные решени€, так и УжелезныеФ. ћаршрутизаторы и свичи чаще всего €вл€ютс€ SNMP-агентами, также как и три основных операционных системы - Windows, Mac OS и Linux. Ќо с небольшой поправкой, на них SNMP служба должна быть запущена вручную.

¬ажно: SNMP может предоставить много полезной информации о УздоровьеФ оборудовани€, но необходимо помнить, что всегда нужно использовать безопасную версию SNMP протокола - с настроенной аутентификацией и нестандартной Community строкой.

¬ерсии SNMP протокола

¬сего существует три основных (они же и повсеместно используемые) версии SNMP протокола, в нашем случае мы будем использовать третью версию. Ќиже, на вс€кий случай, приведено краткое описание каждой из версий.

SNMP v1

ѕерва€ верси€ €вл€етс€ оригинальной версией и до сих пор используетс€, даже практически спуст€ тридцать лет. ¬ данной версии нельз€ применить никакие меры дл€ повышени€ безопасности помимо Community строки, котора€ €вл€етс€ чем-то вроде парол€. ≈сли данна€ строка на  оллекторе соответствует строке на јгенте, то  оллектор сможет запросить информацию. »менно поэтому так важно изолировать SNMP и поместить его в отдельную подсеть и изменить Community строку.

SNMP v2c

¬ерси€ 2с привнесла дополнительные фичи в SNMP, но основным инструментом повышени€ безопасности все еще €вл€етс€ Community строка. —ледующа€ верси€ (v3) €вл€етс€ предпочтительным вариантом, но некоторые организации все еще используют v1 и v2c.

SNMP v3

“реть€ верси€ имеет в себе фичи шифровани€ и аутентификации, а также способна отправл€ть настройки на удаленные SNMP-агенты. ƒанна€ верси€ €вл€етс€ предпочтительной, но необходимо чтобы и  оллектор, и јгент поддерживали еЄ. Ќесмотр€ на то, что SNMP v3 позвол€ет удаленно конфигурировать девайсы, большинство организаций не используют данную фичу - дл€ этих целей используютс€ такие решени€ как Ansible, Puppet, Chef или проприетарные системы управлени€.


Ќастройка на маршрутизаторе MikroTik

Ќа большинстве устройств Community строкой €вл€етс€ слово УpublicФ - и этот факт широко известен, к примеру порт сканнер Nmap автоматически будет пробовать данный вариант. ≈сли данна€ строка не была изменена, вы, по сути, предоставл€ете очевидную лазейку злоумышленникам.   сожалению, на маршрутизаторах MikroTik данную строку нельз€ отключить или удалить, но еЄ можно изменить и запретить.

/snmp community set 0 name=not_public read-access=no write-access=no

«атем необходимо создать SNMP Community со следующими параметрами:

  • Ќестандартное им€;
  • “олько чтение;
  • јутентификаци€;
  • Ўифрование;

ƒл€ этого можно использовать команду ниже - она сделает все необходимое, но, естественно, вам необходимо помен€ть строки wow_password и awesome_password на актуальные пароли, которые будут использоватьс€ у вас в системе. “акже помен€йте им€ строки на любое другое - в примере используетс€ им€ perch_pike.

/snmp community add name=perch_pike read-access=yes write-access=no authentication-protocol=SHA1 authentication-password=wow_password
encryption-protocol=AES encryption-password=awesome_password security=private

ќсталось выполнить всего одну команду дл€ включени€ SNMP и настройки вашей локации и контактной информации дл€ устройства:

/snmp set contact="Aristarh @ Merion Networks" location="Internet, RUS" enabled=yes

«аключение

SNMP - широко известный протокол, который также хорошо поддерживаетс€ компанией MikroTik и остальными производител€ми. ¬сегда используйте нестандартные Community строки, аутентификацию и шифрование, чтобы быть на 100% уверенными в том, что злоумышленники не могут получить информацию об устройствах в вашей сети - и тогда SNMP будет верным помощником в поддержке вашей сети.


ѕолезна ли ¬ам эта стать€?

–аз в неделю мы отправл€ем дайджест с самыми интересными стать€ми.

P.S. ≈сли укажите свою дату рождени€, то мы об€зательно ¬ас поздравим и подарим небольшой подарок :)

Ќажима€ на кнопку "ѕодписатьс€", вы даете согласие на обработку своих персональных данных