Безопасность SNMP

В протоколе SNMP v.1 и v.2c предусмотрена аутентификация пользователей, которая выполняется с помощью строки так называемого идентификатора сообщества (Community string), которая используется подобно паролю, разрешающему удаленному менеджеру SNMP доступ к агенту. Менеджер и агент SNMP должны использовать одинаковые строки Community string, так как все пакеты от менеджера SNMP, не прошедшего аутентификацию, будут отбрасываться. По умолчанию в коммутаторах с поддержкой SNMP v.1 и v.2c используются следующие Community string:

· public– позволяет авторизованной рабочей станции читать (право «read only») MIB- объекты;

· private– позволяет авторизованной рабочей станции читать и изменять (право

«read/write») MIB-объекты.

 

Внимание:Community string передаются по сети в открытом (нешифрованном) виде.

 

Протокол SNMP v.3 использует более сложный процесс аутентификации, разделенный на две части. Первая – обработка списка и атрибутов пользователей, которым позволено функционировать в качестве менеджера SNMP. Вторая часть описывает действия, которые каждый пользователь из списка может выполнять в качестве менеджера SNMP.

На коммутаторе SNMP можно создавать группы со списками пользователей (менеджеров SNMP) и настраивать для них общий набор привилегий. Помимо этого для

каждой группы может быть установлена версия используемого ей протокола SNMP. Таким образом, можно создать группу менеджеров SNMP, которым позволено просматривать информацию с правом «read only» или получать ловушки (trap), используя SNMP v.1, в то время как другой группе можно настроить наивысший уровень привилегий с правами

«read/write» и возможность использования протокола SNMP v.3.

При использовании протокола SNMP v.3, отдельным пользователям или группам менеджеров SNMP может быть разрешено или запрещено выполнять определенные функции SNMP-управления. Также в SNMP v.3 доступен дополнительный уровень безопасности, при котором SNMP-сообщения могут шифроваться при передаче по сети.