AN44: Poseidon2 a SNMPv3 (výhody a nasazení)


Czech version

 


English version

 

Jednotky Poseidon2 podporují od března 2015 SNMP verze 3. Podpora zcela bezpečné a přitom standardní komunikace otevírá dveře pro nové aplikace nejen ve velkých firmách. Tato aplikační poznámka (AN44) popisuje novinky v SNMP v3.

Podpora SNMPv3 v Poseidon2:

  • Vyšší bezpečnost komunikace
  • Zachování MIB,
  • Kompatibilita s SNMP aplikacemi třetích stran
  • 5 uživatelských profilů
  • Zabezpečení pomocí MD5 / SHA / DES / AES.

 


Co to je SNMP

SNMP (Simple Network Management Protocol) je způsob rychlého a nenáročného dohledu zejména síťových prvků a služeb. Stále častěji je však nasazován rovněž pro dohled prostředí v němž tyto prvky pracují a to zejména díky možnosti sledovat teplotu, vlhkost a jiné veličiny ve stejném dohledovém software jako jiné provozní parametry systému. Protokol SNMP byl původně navržen jako extrémně úsporný a nad protokolem UDP čímž bylo zajištěné nízké zatížení sítě vlastním managementem. Dnes v dobách gigabitových a rychlejších sítích však jsou priority trochu jiné a protokol tak doznal řady rozšíření.

Protokol SNMP je asynchronní, transakčně orientovaný protokol založený na modelu klient/server. Strana, která posílá požadavky (snmp klient), může být např. jednoduchý snmp browser či složitý NMS (Network Management Systém), na straně zařízení je snmp agent (snmp server), který na požadavky odpovídá. Výjimku tvoří tzv. trapy (SNMP Trap), které agenti vysílají asynchronně při výskytu jednotlivých události (výpadek proudu, větráku, překročení mezních údajů). Samozřejmě je nutné předem definovat adresu, kam se informace posílá. Pro přenos dat se používá protokol UDP, přičemž je definováno přesně místo, kam se mohou připojovat uživatelské aplikace jednotlivých firem, které spravuje organizace IANA (Internet Assigned Numbers Authority - doslova: Internetová autorita pro přidělování čísel). Přes SNMP lze nejen zjišťovat aktuální hodnoty, ale rovněž zapisovat provozní hodnoty (konfigurovat zařízení)


Protokol SNMP se postupně vyvíjel: první verze (SNMPv1) zajišťuje základní funkcionalitu SNMP a patří mezi mimořádně úsporné verze. Se zrychlováním sítí došlo k potřebě vyššího zabezpečení a tak do SNMPv2 byla navíc doplněna jednoduchá autentizace (ochrana uživatelským jménem a heslem), která byla v poslední verzi protokolu (SNMPv3) doplněna o šifrování.

SNMPv1

První verze protokolu, pro identifikaci „oprávněných“ agentů slouží jen komunita (community). Název těchto sklupin lze definovat, ale v praxi se zpravidla používají pouze dvě hodnoty – „public“ pro čtení a „private“ pro čtení i zápis.

 

SNMPv2

V SNMP verze 2 došlo ke zlepšení v oblasti výkonu, bezpečnosti, důvěrnosti a správy komunikace. Standard SNMPv2 není příliš používán a více se používají jen jeho sub-varianty SNMPv2c a SNMPv2u.

  • SNMPv2c je kompatibilní se SNMPv1 a má jen kromě vyšší efektivity rozšířenou sadu příkazů.
  • SNMPv2u se příliš neujala, byť se jednalo o první pokus zavést do SNMP prvky zabezpečení.

 

SNMPv3

SNMP verze 3 je nastupující varianta standardu a již obsahuje nejen autentizaci uživatele, ale rovněž šifrování komunikace. K zabezpečení se používá Uživatelské jméno (de facto ekvivalent Community), Heslo pro autorizaci (Authentisation password) a klíč (Privacy password). Během autorizace lze komunikaci šifrovat pomocí MD5 či SHA, vlastní komunikace pak může být šifrována pomocí DES či AES.

Ze SNMPv3 se tak stává plnohodnotný management protokol i do nejnáročnějších korporátních sítí. Hlavní výhodou pak je, že MIB zůstává stejná, není tedy třeba žádných zvláštních úprav při přechodu na SNMPv3.
Uživatelů může být v rámci SNMPv3 neomezené množství, což umožňuje sledovat a logovat činnost jednotlivých operátorů. Každý uživatel má svoji kombinaci Username, Auth. password a Privacy password spolu s příslušným šifrováním, které dohromady tvoří profil.

Jednotky Poseidon2 v několika posledních verzích fw (od verze 1.3.4) podporují SNMPv3 a také až 5 uživatelských profilů.

Web rozhranní Poseidon2

Příklad použití SNMPv3 v jednotce Poseidon se SNMPget:

Příkaz: C:\Users\volmr\Downloads\SnmpGet\SnmpGet.exe -r:192.168.2.71 -v:3 -sn:public -ap:MD5 -aw:idefix12345678790 -pp:DES -pw:idefix12345678790 -o:.1.3.6.1.2.1.1.3.0

MGSoft Mib Browser - příklad použití SNMPv3 v zařízení Poseidon2

Nastavení

Výsledek příkazu Walk:

 

Časté dotazy

Spam protection. How many is six times six?

Nejaký dotaz?
Jméno: 
Firma: 
Email: *
Newsletter:
Telefon: 
Zeme: *


  • Dokáže můj Poseidon2 podporovat SNMPv3?
    Ano, stáhněte si poslední verzi fw a nahrajte jej do Vaší jednotky Poseidon2. Platí pro všechny modely Poseidon2.
     
  • Mohu tento FW nahrát do Poseidon 2250?
    Ne, Poseidon první generace nedokáže podporovat SNMP v3.
     
  • Mění se nějak struktura SNMP MIB díky podpoře SNMPv3?
    Pokud zvolíte v konfiguraci SNMP verzi 1, zůstává vše kompatibilní s dosavadním SNMP rozhraním.
     

Odkazy

Banners