Las versiones 1 y 2c del protocolo no cifran la comunidad por lo que es posible que alguienno deseado tenga acceso a la misma. Para evitar que aún conociendo la comunidad puedan acceder a la información del equipo restringiremos el acceso mediante una access-list.
1. Creamos la ACL que permitirá el acceso a nuestros equipos de monitorización, y sólo a estos:
access-list 15 permit 10.10.20.22. Creamos la nueva comunidad (NombreDeComunidad), nunca usar public, de sólo lectura (RO) aplicando el access-list que acabamos de crear:
access-list 15 permit 10.20.20.2
access-list 15 deny any log
snmp-server community NombreDeComunidad RO 15
Con estos sencillos pasos hemos habilitado la recepción de peticiones de lectura SNMP con una comunidad específica y, al mismo tiempo, limitando el acceso a sólo a los servidores de monitorización que queramos.
En otras entradas explicaré como activar el envío de traps SNMP.