SNMPv1 et SNMPv2c utilisent tous deux une forme de sécurité à caractère communautaire. La communauté de gestionnaires pouvant accéder à la base MIB de l'agent est définie par une liste de contrôle d'accès et un mot de passe d'adresse IP.
Le protocole SNMPv2C inclut une fonction de récupération en masse et un rapport plus détaillé des messages d'erreur aux stations de gestion. La fonction de récupération en bloc récupère des tables et de grandes quantités d'informations, réduisant ainsi le nombre d'aller-retour requis. La gestion améliorée des erreurs SNMPv2C inclut des codes d'erreur étendus qui distinguent différents types de conditions d'erreur ; ces conditions sont signalées par un seul code d'erreur dans SNMPv1. Les codes de retour d'erreur dans SNMPv2C signalent le type d'erreur.
SNMPv3 prévoit des modèles de sécurité et des niveaux de sécurité. Un modèle de sécurité est une stratégie d'authentification définie pour un utilisateur et le groupe dans lequel il réside. Un niveau de sécurité est le niveau de sécurité permis dans un modèle de sécurité. Une combinaison du niveau de sécurité et du modèle de sécurité détermine la méthode de sécurité utilisée lors du traitement d’un paquet SNMP. Les modèles de sécurité disponibles sont SNMPv1, SNMPv2C et SNMPv3.
Ce tableau identifie les caractéristiques et compare les différentes combinaisons de modèles et de niveaux de sécurité :
Maquette |
Niveau |
Authentification |
Chiffrement |
Résultat |
SNMPv1 |
noAuthNoPriv |
Chaîne communautaire |
Non |
Utilise une chaîne de caractères de la communauté correspondante pour l'authentification. |
SNMPv2C |
noAuthNoPriv |
Chaîne communautaire |
Non |
Utilise une chaîne de caractères de la communauté correspondante pour l'authentification. |
SNMPv3 |
noAuthNoPriv |
Nom d’utilisateur |
Non |
Utilise un nom d'utilisateur correspondant pour l'authentification. |
SNMPv3 |
authNoPriv |
Message Digest 5 (MD5) ou Secure Hash Algorithm (SHA) |
Non |
Fournit une authentification basée sur les algorithmes HMAC-MD5 ou HMAC-SHA. |
SNMPv3 |
authPriv |
MD5 ou SHA |
DES (Data Encryption Standard) ou AES (Advanced Encryption Standard) |
Fournit une authentification basée sur les algorithmes HMAC-MD5 ou HMAC-SHA.
Permet de spécifier le modèle de sécurité basé sur l'utilisateur (USM) avec les algorithmes de chiffrement suivants :
-
Cryptage DES 56 bits en plus de l'authentification basée sur la norme CBC-DES (DES-56).
-
Cryptage 3DES 168 bits
-
Cryptage AES 128 bits, 192 bits ou 256 bits
|
Diagramme du réseau
SNMPv2c
configuration
Switch(config)#snmp-server community cisco RW >Read-only access with this community string
Switch(config)#snmp-server community cisco RO >Read-write access with this community string
Vérifier
Switch#show snmp community
Community name: cisco
Community Index: cisco
Community SecurityName: cisco
storage-type: nonvolatile active
~ % snmpwalk -v2c -c cisco 192.168.1.1 1.3.6.1.2.1.1.3
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (111410969) 12 days, 21:28:29.69
SNMPv3
noAuthNoPriv
configuration
Switch(config)#snmp-server group noAuthNoPrivGroup v3 noauth
Switch(config)#snmp-server user testuser1 noAuthNoPrivGroup v3
Vérifier
Switch#show snmp user
User name: testuser1
Engine ID: 800000090300EC1D8B0A7B80
storage-type: nonvolatile active
Authentication Protocol: None
Privacy Protocol: None
Group-name: noAuthNoPrivGroup
~ % snmpwalk -v3 -u testuser1 -l noAuthNoPriv 192.168.1.1 1.3.6.1.2.1.1.3
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (111425887) 12 days, 21:30:58.87
authNoPriv
auth-SHA
configuration
Switch(config)#snmp-server group AuthNoPrivGroup v3 auth
Switch(config)#snmp-server user testuser2 AuthNoPrivGroup v3 auth sha Password123
Vérifier
Switch#show snmp user
User name: testuser2
Engine ID: 800000090300EC1D8B0A7B80
storage-type: nonvolatile active
Authentication Protocol: SHA
Privacy Protocol: None
Group-name: AuthNoPrivGroup
~ % snmpwalk -v3 -u testuser3 -l authNoPriv -a MD5 -A Password123 192.168.1.1 1.3.6.1.2.1.1.3
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (111447478) 12 days, 21:34:34.78
auth-MD5
configuration
Switch(config)#snmp-server group AuthNoPrivGroup v3 auth
Switch(config)#snmp-server user testuser3 AuthNoPrivGroup v3 auth md5 Password123
Vérifier
Switch#show snmp user
User name: testuser3
Engine ID: 800000090300EC1D8B0A7B80
storage-type: nonvolatile active
Authentication Protocol: MD5
Privacy Protocol: None
Group-name: AuthNoPrivGroup
~ % snmpwalk -v3 -u testuser3 -l authNoPriv -a MD5 -A Password123 192.168.1.1 1.3.6.1.2.1.1.3
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (111455526) 12 days, 21:35:55.26
authPriv
auth-SHA + priv-DES
configuration
Switch(config)#snmp-server group AuthPrivGroup v3 priv
Switch(config)#snmp-server user testuser4 AuthPrivGroup v3 auth sha Password123 priv des Password123
Vérifier
Switch#show snmp user
User name: testuser4
Engine ID: 800000090300EC1D8B0A7B80
storage-type: nonvolatile active
Authentication Protocol: SHA
Privacy Protocol: DES
Group-name: AuthPrivGroup
~ % snmpwalk -v3 -u testuser4 -l authPriv -a SHA -A Password123 -x DES -X Password123 192.168.1.1 1.3.6.1.2.1.1.3
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (111472744) 12 days, 21:38:47.44
auth-SHA + priv-AES
configuration
Switch(config)#snmp-server group AuthPrivGroup v3 priv
Switch(config)#snmp-server user testuser5 AuthPrivGroup v3 auth sha Password123 priv aes 128 Password123
Vérifier
Switch#show snmp user
User name: testuser5
Engine ID: 800000090300EC1D8B0A7B80
storage-type: nonvolatile active
Authentication Protocol: SHA
Privacy Protocol: AES128
Group-name: AuthPrivGroup
~ % snmpwalk -v3 -u testuser5 -l authPriv -a SHA -A Password123 -x AES -X Password123 192.168.1.1 1.3.6.1.2.1.1.3
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (111476608) 12 days, 21:39:26.08
auth-MD5 + priv-DES
configuration
Switch(config)#snmp-server group AuthPrivGroup v3 priv
Switch(config)#snmp-server user testuser6 AuthPrivGroup v3 auth md5 Password123 priv des Password123
Vérifier
Switch#show snmp user
User name: testuser6
Engine ID: 800000090300EC1D8B0A7B80
storage-type: nonvolatile active
Authentication Protocol: MD5
Privacy Protocol: DES
Group-name: AuthPrivGroup
~ % snmpwalk -v3 -u testuser6 -l authPriv -a MD5 -A Password123 -x DES -X Password123 192.168.1.1 1.3.6.1.2.1.1.3
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (76726018) 8 days, 21:07:40.18
auth-MD5 + priv-AES
configuration
Switch(config)#snmp-server group AuthPrivGroup v3 priv
Switch(config)#snmp-server user testuser7 AuthPrivGroup v3 auth md5 Password123 priv aes 128 Password123
Vérifier
Switch#show snmp user
User name: testuser7
Engine ID: 800000090300EC1D8B0A7B80
storage-type: nonvolatile active
Authentication Protocol: MD5
Privacy Protocol: AES128
Group-name: AuthPrivGroup
~ % snmpwalk -v3 -u testuser7 -l authPriv -a MD5 -A Password123 -x AES -X Password123 192.168.1.1 1.3.6.1.2.1.1.3
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (76738170) 8 days, 21:09:41.70
Informations connexes