El protocolo SNMP nos permite monitorizar remotamente muchos parámetros de nuestros equipos, desde el consumo de CPU o memoria, al ancho de banda consumido en una interfaz. Con esa monitorización remota podremos conocer el estado de nuestra red de forma fácil y centralizada.
La configuración del protocolo SNMP en switches HP Procurve se basa en definir diferentes comunidades SNMP y la definición de los servidores desde los que aceptar las peticiones. Si hemos securizado el acceso a los equipos con el comando ip authorized-managers hay que añadir la dirección de los servidores SNMP dentro de los rangos permitidos.
El stándar SNMP, RFC1157, indica cómo estándar la comunidad de sólo lectura public. La primera medida de seguridad es no utilizar dicha comunidad sino una creada específicamente para nuestro entorno. Si se desea se puede generar una comunidad de sólo lectura para los entornos de monitorización y una que sí permita el envío de parámetros al equipo desde un entorno más cerrado.
Existe una versión mejorada del protocolo, SNMPv3, que mejora en gran medida la seguridad e integridad del protocolo base ya que permite la encriptación del tráfico y una autenticación de los equipos basada en sistemas de claves, etc. Si bien con el protocolo sencillo se cumplen la mayoría de las funciones en casi todos los entornos, pero que en casos especiales (banca, seguridad, etc.) debería usarse el más moderno y seguro.
En el siguiente ejemplo, la empresa NewSwitchingTech, quiere monitorizar todos los switches de su red desde un servidor central.
1. Desactivamos la comunidad public
no snmp-server community public
2. Definimos nuestras comunidades SNMP (sólo lectura, acceso total)
snmp-server community NST-sl manager restricted
snmp-server community NST-at manager unrestricted
3. Definimos desde qué servidor esperar peticiones SNMP y con qué comunidad.
snmp-server host 10.10.10.5 community "NTS-sl"
4. Nos aseguramos que este servidor esté dentro de la lista de accesos permitidos
ip authorized-managers 10.10.10.5 255.255.255.255
No hay comentarios:
Publicar un comentario