SNMPv3

Материал из Juniper Exam Wiki
Перейти к навигации Перейти к поиску

Описание

В отличие от v1 и v2, snmpv3 поддерживает аутентификацию и шифрование.

USM - определяет аутентификацию и шифрование,

VACM - определяет правила доступа и управления.

Users

Для каждого snmpv3 юзера можно задавать:

  • username
  • authentication type
  • authentication password
  • privacy type
  • privacy password

После того, как user вводит пароль, генерируется ключ, на основании engine-id и password, далее ключ записывается в конфигурационный файл.

После генерации ключа, пароль удаляется из конфигурационного файла.

По дефолту аутентификация не используется. Руками можно задать:

  • authentication-md5
  • authentication-sha
  • authentication-none

Ключ генерируется на основании пароля. Пароль состоит из 8 символов. Цифры/числа/знаки.

По дефолту шифрование тоже не используется. Руками можно задать:

  • privacy-aes128
  • privacy-des
  • privacy-3des
  • privacy-none

Ключ генерируется на основании пароля. Пароль состоит из 8 символов. Цифры/числа/знаки.

Правила доступа

Настраиваются через VACM (view-based access control model). Группы определяют набор snmp пользователей с одинаковыми правами. Группе задается ограничение доступа. Привелегии доступа определяются View. Конфигурируем группу с ограничениями доступа.

  • Называем как-нибудь группу:
[edit snmp v3 vacm access] 
group <group-name>;
  • Указываем security-model:
  • -any—Any
  • -usm—SNMPv3
  • -v1—SNMPV1
  • -v2c—SNMPv2c
[edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix)] 
security-model <(any | usm | v1 | v2c)>
  • Задаем security-level:
  • none—Provides no authentication and no encryption.
  • authentication—Provides authentication but no encryption.
  • privacy—Provides authentication and encryption.
[edit snmp v3 vacm access group group-name default-context-prefix security-model (any | usm | v1 | v2c)]
security-level <(authentication | none | privacy)>
  • Настраиваем вьюхи, доступные для группы.
  • notify-view <view-name>;
  • read-view <view-name>;
  • write-view <view-name>;

Причем для одной группы можно задавать несколько разных видов view. Сами view настраиваются в

[edit snmp]
view <view-name>;

Привязка security-model к группе

По сути это обозначение какие юзеры к какой группе будут принадлежать. И как следствие какие права будут у каждого юзера.

[edit snmp v3 vacm security-to-group security-model (usm | v1 | v2c)]
security-name security-name;

Так как мы рассматриваем snmpv3, то security-name здесь = user, который мы задали тут: <[edit snmp v3 usm local-engine user username]>.

Для v1, v2 - security-name = snmp community <[edit snmp v3 snmp-community community-index]>.

Если мы использует v3 + v1/v2, то нужно сконфигурировать разные security-name для разных версий.

Traps

В snmpv3 используются traps and informs.

  • traps - не гарантированные оповещения (без подтверждения),
  • inform - гарантированные оповещения (с подтверждением).

Traps notifications

[edit snmp v3]
notify name {
  tag tag-name;
  type trap;