Quiero realizar el monitoreo de mi infraestructura de red, ¿se puede hacer esto de manera segura con SNMPv2?

13

Necesito realizar un monitoreo de mi infraestructura de red, pero me pregunto si usar SNMPv2 es seguro. ¿Cuáles son las debilidades de SNMPv2?

Lucas Kauffman
fuente

Respuestas:

21

Si SNMPv3 no es una opción, puede hacer algunas cosas para ayudar a proteger mejor SNMPv2.

  1. No habilite la cadena de lectura y escritura. Hay muy pocas razones para habilitarlo.
  2. Elija cadenas de comunidad que sean más complejas y elimine las que sean 'privadas' o 'públicas'.
  3. Use una lista de acceso en la cadena de comunidad para restringir qué direcciones IP pueden sondear el dispositivo.
  4. No habilite la opción de 'apagado del sistema'.
  5. Utilice una cadena de comunidad diferente para capturas SNMP frente a la cadena SNMP de sondeo.
twidfeki
fuente
14

SNMPv2 no debe usarse especialmente si SNMPv3 está disponible. Hay algunos defectos básicos en SNMPv2, predominantemente el uso de cadenas de comunidad que se envían a través de la red de forma no cifrada para consultar la infraestructura de la red.

También se basa en una cadena de comunidad en lugar de una combinación de nombre de usuario / contraseña separada, SNMPv2 (y 1 para el caso) no puede proporcionar ninguna garantía de confidencialidad, integridad ni autenticidad.

SNMPv3 es mucho mejor en cuanto a seguridad, SNMPv3 incluye tres servicios importantes: autenticación, privacidad y control de acceso (Figura 1). Para brindar estos servicios de manera flexible y eficiente, SNMPv3 introduce el concepto de principal, que es la entidad en cuyo nombre se prestan los servicios o se lleva a cabo el procesamiento. Lea más sobre esto en el sitio web de Cisco .

Lucas Kauffman
fuente
9

Mientras que SNMPv3 es significativamente más seguro que v2, al menos puede mitigar parte del riesgo de implementar v2 restringiendo el acceso con una ACL. También recomendaría no crear una comunidad de lectura / escritura v2.

Avery Abbott
fuente