Voglio eseguire il monitoraggio della mia infrastruttura di rete, è possibile farlo in sicurezza con SNMPv2?

Devo eseguire il monitoraggio della mia infrastruttura di rete ma mi chiedo se l'utilizzo di SNMPv2 sia sicuro? Quali sono i punti deboli di SNMPv2?

Se SNMPv3 non è un'opzione, puoi fare alcune cose per proteggere meglio SNMPv2.

1. Non abilitare la stringa di lettura / scrittura. Ci sono pochissimi motivi per abilitarlo.
2. Scegli stringhe di comunità più complesse e rimuovi quelle che sono "private" o "pubbliche".
3. Utilizzare un elenco di accesso sulla stringa della comunità per limitare gli indirizzi IP che possono eseguire il polling del dispositivo.
4. Non abilitare l'opzione "spegnimento del sistema".
5. Utilizzare una stringa di comunità diversa per trap SNMP rispetto alla stringa di polling SNMP.

SNMPv2 non deve essere utilizzato soprattutto se SNMPv3 è disponibile. Ci sono alcuni difetti di base in SNMPv2, principalmente l'uso di stringhe di comunità che vengono inviate sulla rete in una forma non crittografata per interrogare l'infrastruttura di rete.

Inoltre si basa su una stringa di comunità anziché su una combinazione nome utente / password separata, SNMPv2 (e 1 per quella materia) non può fornire alcuna garanzia di riservatezza, integrità o autenticità.

SNMPv3 è molto meglio in termini di sicurezza, SNMPv3 include tre servizi importanti: autenticazione, privacy e controllo degli accessi (Figura 1). Per fornire questi servizi in modo flessibile ed efficiente, SNMPv3 introduce il concetto di principale, ovvero l'entità per conto della quale vengono forniti servizi o l'elaborazione. Maggiori informazioni sul sito Web Cisco .

Mentre SNMPv3 è significativamente più sicuro di v2, è possibile almeno mitigare alcuni dei rischi legati all'implementazione di v2 limitando l'accesso con un ACL. Vorrei anche sconsigliare la creazione di una comunità di lettura / scrittura v2.