Sia SNMPv1 che SNMPv2C utilizzano una forma di sicurezza basata su community. La comunità di manager in grado di accedere al MIB dell'agente è definita da un elenco di controllo di accesso con indirizzo IP e password.
SNMPv2C include una funzione di recupero in blocco e una segnalazione più dettagliata dei messaggi di errore alle stazioni di gestione. La funzione di recupero in blocco recupera tabelle e grandi quantità di informazioni, riducendo al minimo il numero di round-trip richiesti. La migliore gestione degli errori di SNMPv2C include codici di errore estesi che distinguono i diversi tipi di condizioni di errore; queste condizioni vengono segnalate tramite un singolo codice di errore in SNMPv1. I codici di errore restituiti in SNMPv2C indicano il tipo di errore.
L'SNMPv3 fornisce sia modelli di sicurezza che livelli di sicurezza. Un modello di protezione è una strategia di autenticazione impostata per un utente e il gruppo in cui risiede l'utente. Un livello di protezione è il livello di protezione consentito all'interno di un modello di protezione. Una combinazione del livello di protezione e del modello di protezione determina il metodo di protezione utilizzato quando si gestisce un pacchetto SNMP. I modelli di sicurezza disponibili sono SNMPv1, SNMPv2C e SNMPv3.
Questa tabella identifica le caratteristiche e confronta diverse combinazioni di modelli e livelli di protezione:
Modello |
Livello |
Autenticazione |
Crittografia |
Risultato |
SNMPv1 |
noAuthNoPriv |
Stringa della community |
No |
Utilizza una stringa della community corrispondente per l'autenticazione. |
SNMPv2C |
noAuthNoPriv |
Stringa della community |
No |
Utilizza una stringa della community corrispondente per l'autenticazione. |
SNMPv3 |
noAuthNoPriv |
Username |
No |
Utilizza un nome utente corrispondente per l'autenticazione. |
SNMPv3 |
authNoPriv |
MD5 (Message Digest 5) o SHA (Secure Hash Algorithm) |
No |
Fornisce l'autenticazione basata sugli algoritmi HMAC-MD5 o HMAC-SHA. |
SNMPv3 |
authPriv |
MD5 o Agente integrità sistema |
DES (Data Encryption Standard) o AES (Advanced Encryption Standard) |
Fornisce l'autenticazione basata sugli algoritmi HMAC-MD5 o HMAC-SHA.
Consente di specificare il modello USM (User-Based Security Model) con i seguenti algoritmi di crittografia:
-
Crittografia DES a 56 bit, oltre all'autenticazione basata sullo standard CBC-DES (DES-56).
-
Crittografia 3DES a 168 bit
-
Crittografia AES a 128, 192 o 256 bit
|
Esempio di rete
SNMPv2c
Config
Switch(config)#snmp-server community cisco RW >Read-only access with this community string
Switch(config)#snmp-server community cisco RO >Read-write access with this community string
Verifica
Switch#show snmp community
Community name: cisco
Community Index: cisco
Community SecurityName: cisco
storage-type: nonvolatile active
~ % snmpwalk -v2c -c cisco 192.168.1.1 1.3.6.1.2.1.1.3
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (111410969) 12 days, 21:28:29.69
SNMPv3
noAuthNoPriv
Config
Switch(config)#snmp-server group noAuthNoPrivGroup v3 noauth
Switch(config)#snmp-server user testuser1 noAuthNoPrivGroup v3
Verifica
Switch#show snmp user
User name: testuser1
Engine ID: 800000090300EC1D8B0A7B80
storage-type: nonvolatile active
Authentication Protocol: None
Privacy Protocol: None
Group-name: noAuthNoPrivGroup
~ % snmpwalk -v3 -u testuser1 -l noAuthNoPriv 192.168.1.1 1.3.6.1.2.1.1.3
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (111425887) 12 days, 21:30:58.87
authNoPriv
auth-SHA
Config
Switch(config)#snmp-server group AuthNoPrivGroup v3 auth
Switch(config)#snmp-server user testuser2 AuthNoPrivGroup v3 auth sha Password123
Verifica
Switch#show snmp user
User name: testuser2
Engine ID: 800000090300EC1D8B0A7B80
storage-type: nonvolatile active
Authentication Protocol: SHA
Privacy Protocol: None
Group-name: AuthNoPrivGroup
~ % snmpwalk -v3 -u testuser3 -l authNoPriv -a MD5 -A Password123 192.168.1.1 1.3.6.1.2.1.1.3
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (111447478) 12 days, 21:34:34.78
auth-MD5
Config
Switch(config)#snmp-server group AuthNoPrivGroup v3 auth
Switch(config)#snmp-server user testuser3 AuthNoPrivGroup v3 auth md5 Password123
Verifica
Switch#show snmp user
User name: testuser3
Engine ID: 800000090300EC1D8B0A7B80
storage-type: nonvolatile active
Authentication Protocol: MD5
Privacy Protocol: None
Group-name: AuthNoPrivGroup
~ % snmpwalk -v3 -u testuser3 -l authNoPriv -a MD5 -A Password123 192.168.1.1 1.3.6.1.2.1.1.3
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (111455526) 12 days, 21:35:55.26
authPriv
auth-SHA + priv-DES
Config
Switch(config)#snmp-server group AuthPrivGroup v3 priv
Switch(config)#snmp-server user testuser4 AuthPrivGroup v3 auth sha Password123 priv des Password123
Verifica
Switch#show snmp user
User name: testuser4
Engine ID: 800000090300EC1D8B0A7B80
storage-type: nonvolatile active
Authentication Protocol: SHA
Privacy Protocol: DES
Group-name: AuthPrivGroup
~ % snmpwalk -v3 -u testuser4 -l authPriv -a SHA -A Password123 -x DES -X Password123 192.168.1.1 1.3.6.1.2.1.1.3
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (111472744) 12 days, 21:38:47.44
auth-SHA + priv-AES
Config
Switch(config)#snmp-server group AuthPrivGroup v3 priv
Switch(config)#snmp-server user testuser5 AuthPrivGroup v3 auth sha Password123 priv aes 128 Password123
Verifica
Switch#show snmp user
User name: testuser5
Engine ID: 800000090300EC1D8B0A7B80
storage-type: nonvolatile active
Authentication Protocol: SHA
Privacy Protocol: AES128
Group-name: AuthPrivGroup
~ % snmpwalk -v3 -u testuser5 -l authPriv -a SHA -A Password123 -x AES -X Password123 192.168.1.1 1.3.6.1.2.1.1.3
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (111476608) 12 days, 21:39:26.08
auth-MD5 + priv-DES
Config
Switch(config)#snmp-server group AuthPrivGroup v3 priv
Switch(config)#snmp-server user testuser6 AuthPrivGroup v3 auth md5 Password123 priv des Password123
Verifica
Switch#show snmp user
User name: testuser6
Engine ID: 800000090300EC1D8B0A7B80
storage-type: nonvolatile active
Authentication Protocol: MD5
Privacy Protocol: DES
Group-name: AuthPrivGroup
~ % snmpwalk -v3 -u testuser6 -l authPriv -a MD5 -A Password123 -x DES -X Password123 192.168.1.1 1.3.6.1.2.1.1.3
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (76726018) 8 days, 21:07:40.18
auth-MD5 + priv-AES
Config
Switch(config)#snmp-server group AuthPrivGroup v3 priv
Switch(config)#snmp-server user testuser7 AuthPrivGroup v3 auth md5 Password123 priv aes 128 Password123
Verifica
Switch#show snmp user
User name: testuser7
Engine ID: 800000090300EC1D8B0A7B80
storage-type: nonvolatile active
Authentication Protocol: MD5
Privacy Protocol: AES128
Group-name: AuthPrivGroup
~ % snmpwalk -v3 -u testuser7 -l authPriv -a MD5 -A Password123 -x AES -X Password123 192.168.1.1 1.3.6.1.2.1.1.3
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (76738170) 8 days, 21:09:41.70
Informazioni correlate