Introducción
Este documento contiene un ejemplo de una configuración funcional de SNMPv3 que puede ser aplicada a cualquier dispositivo IOS que soporte SNMPv3. Esta configuración puede utilizarse como guía y puede modificarse para solventar necesidades de seguridad de diferentes redes.
Requisitos previos
Requisitos
Asegúrese de cumplir con los siguientes requisitos antes de intentar esta configuración:
- Conocimiento básico del protocolo SNMP y su funcionamiento
- Asegurarse que su IOS soporte SNMPv3 y que soporte los niveles de cifrado que usted desea utilizar para la configuración de privacidad, para esto puede utilizar el Cisco IOS feature navigator tool: http://tools.cisco.com/ITDIT/CFN/jsp/SearchBySoftware.jsp
Componentes utilizados
Dispositivos que usan IOS.
Configuraciones:
A continuación se incluye una configuración básica de SNMP versión 3, la cual solamente utiliza autenticación pero no privacidad:
snmp-server group V3Group v3 auth read V3Read write V3Write
snmp-server user V3User V3Group v3 auth sha [contraseña]
snmp-server view V3Read iso included
snmp-server view V3Write iso included
snmp-server host *. *. *. * version 3 auth V3User
snmp-server enable traps
Básicamente, para configurar SNMP versión 3 se requiere configurar lo siguiente:
1) Vistas o "views": Las vistas especifican los OIDs que van a poder ser accedidos para escritura o lectura por los usuarios de un grupo especifico de SNMPv3, para esto se debe especificar directamente cual es/son los OIDs que van a ser permitidos o denegados, utilizando las opciones del comando 'snmp-server view', las cuales son included o excluded.
2) Un grupo de SNMPv3 que especifica el nivel de seguridad que se va a utilizar (en este caso es auth) y al cual se le asignan las vistas creadas anteriormente para permitir/restringir el acceso a ciertos MIBs/OIDs.
snmp-server grupo V3Group v3 auth read V3Read write V3Write
Notese que se pueden utilizar 3 niveles de seguridad con SNMPv3:
- noAuthNoPriv - Comunicación sin autenticación y sin privacidad.
- authNoPriv - Comunicación con autenticación y sin privacidad. Los protocolos que se utilizan para la autenticación son MD5 y SHA (Secure Hash Algorithm).
- authPriv - Comunicación con autenticación y privacidad. Los protocolos que se utilizan para la autenticación son MD5 y SHA, y para la privacidad, los protocolos son: DES (Data Encryption Standard) y AES (Advanced Encryption Standard) pueden ser utilizados.
3) Un usuario de SNMP que pertenezca al grupo anterior: Note que el nivel de privacidad del usuario debe concordar con el nivel elegido para el grupo.
snmp-server user V3User V3Group v3 auth sha [contraseña]
En este caso, dado que se utiliza el nivel de seguridad de authNoPriv, solo se requiere configurar: el nombre del usuario ( en este caso V3User), se especifica el grupo al que pertenece (en este caso V3Group) y se especifica el nivel de seguridad y el protocolo para la autenticación con su respectiva contraseña.
Si se utiliza alguna opción de privacidad el comando va a desplegar mas opciones para la misma:
snmp-server user V3User V3Group v3 auth sha [contraseña] priv des56 [contraseña]
Opciones adicionales:
Si se desea, se puede configurar el dispositivo para el envio de traps con el comando:
snmp-server enable traps
Y se puede definir a que servidor/aplicación son enviadas estos traps con el comando snmp-server host:
snmp-server host *. *. *. * version 3 auth V3User
Por favor recuerde que *. *. *. * Debe ser reemplazado por la dirección IP de su servidor NMS.
Adicionalmente, si usted necesita para obtener información de las VLAN configuradas en un switch a través de SNMPv3, necesitará configurar lo siguiente (SNMPv3 que no utiliza la indexación de cadena de comunidad o 'community string indexing) que son realizados automaticamente en version 1 y version 2):
snmp-server group <nombre_grupo> v3 auth context <nombre_contexto>
para cada VLAN. Usted puede obtener una lista de context_names (y VLANs) al ejecutar el comando 'show snmp context'.
El proceso para esta configuración consiste en lo siguiente:
1) Obtener la lista de context_names (y VLANs), escriba: 'show snmp context'
2) Ejecutar el siguiente comando para cada CONTEXT_NAME encontrado en la lista anterior, o bien para las VLANs de las que necesito obtener información:
snmp-server group <nombre_grupo> v3 auth context <nombre_contexto>
por ejemplo: snmp-server grupo CWorks v3 auth context vlan32
Recuerde que el dispositivo en sí debe retornar información cuando ejecuta el comando 'show snmp context'.
Si su dispositivo no admite este comando, o no llena esta información, usted no será capaz de obtener la información del BRIDGE-MIB, por ejemplo.
Verificar
Utilice los comandos en esta sección para confirmar que la configuración seleccionada funcione correctamente.
- show snmp groups: muestra información sobre cada grupo de SNMP en la red.
Ejemplo:
Router#show snmp group
groupname: V3Group security model:v3
auth readview : V3Read writeview: V3Write
- show snmp users: Muestra información sobre cada usuario SNMP en la tabla de usuarios de SNMP.
Ejemplo:
Router#show snmp user
User name: V3User Engine ID: 800000090300001CF964CF01 storage-type: nonvolatile active Authentication Protocol: SHA Group-name: V3Group
http://docwiki.cisco.com/wiki/Snmp_v3_configurations
http://www.cisco.com/en/US/partner/tech/tk648/tk362/tk605/tsd_technology_support_sub-protocol_home.html
http://www.cisco.com/en/US/partner/docs/ios-xml/ios/snmp/command/nm-snmp-cr-s2.html#GUID-2F3F13E4-EE81-4590-871D-6AE1043473DE
