Я хочу здійснити моніторинг моєї мережевої інфраструктури, чи можна це безпечно зробити за допомогою SNMPv2?

Мені потрібно виконати моніторинг моєї мережевої інфраструктури, але мені цікаво, чи використання SNMPv2 є безпечним? Які слабкі сторони SNMPv2?

Якщо SNMPv3 не є варіантом, ви можете зробити деякі речі, щоб краще захистити SNMPv2.

1. Не вмикайте рядок Read-Write. Причин, щоб це ввімкнути, дуже мало.
2. Вибирайте складніші рядки спільноти та видаліть усі, які є "приватними" або "загальнодоступними".
3. Використовуйте список доступу до рядка спільноти, щоб обмежити, які IP адреси можуть запитувати пристрій.
4. Не вмикати опцію 'відключення системи'.
5. Використовуйте інший рядок спільноти для пасток SNMP проти рядка SNMP опитування.

SNMPv2 не слід застосовувати особливо, якщо наявний SNMPv3. У SNMPv2 є деякі основні недоліки, переважно використання рядків спільноти, які надсилаються по мережі в незашифрованому вигляді для запиту мережевої інфраструктури.

Крім того, він заснований на рядку спільноти замість окремої комбінації імені користувача / пароля, SNMPv2 (і 1 для цього питання) не може забезпечити жодної гарантії конфіденційності, цілісності та достовірності.

SNMPv3 набагато кращий щодо безпеки, SNMPv3 включає три важливі послуги: аутентифікацію, конфіденційність та контроль доступу (рис. 1). Для забезпечення цих послуг гнучким та ефективним способом SNMPv3 вводить концепцію довірителя, який є суб'єктом, від імені якого надаються або обробляються послуги. Детальніше про це читайте на веб-сайті cisco .

Тоді як SNMPv3 є значно безпечнішим, ніж v2, ви можете принаймні зменшити деякий ризик впровадження v2, обмеживши доступ за допомогою ACL. Я б також радив не створювати v2-спільноту для читання / запису.