SNMP es el protocolo principal para monitorear el hardware de red que se puede usar en Zabbix, una solución todo en uno para monitorear una gran cantidad de objetos en redes estáticas (que cambian lentamente).

Las versiones anteriores del protocolo, SNMPv1 y SNMPv2, tenían vulnerabilidades de seguridad que conducían a ataques e infracciones de datos. Para proteger los datos confidenciales, se debe habilitar SNMPv3.

Demostraré cómo configurar SNMPv3 en Zabbix para monitorear el hardware de la red, cómo crear plantillas adecuadas en Zabbix y qué puede lograr organizando un sistema de alerta distribuido en una red grande.

Sobre SNMPv3

SNMP es el protocolo principal para monitorear el hardware de red utilizado para monitorear dispositivos de red y administrarlos mediante el envío de comandos simples (por ejemplo, para reiniciar un dispositivo, habilitar o deshabilitar interfaces de red, etc.).

La principal diferencia entre SNMPv3 y las versiones anteriores: las funciones de seguridad clásicas [1-3] :

  • autenticación , que nos permite determinar si una solicitud proviene de una fuente confiable;
  • cifrado , que evita que un tercero lea los datos si se interceptan en tránsito;
  • integridad , lo que ayuda a garantizar que un paquete de datos no haya sido alterado durante el tránsito.

SNMPv3 permite el uso de modelos de seguridad donde diferentes usuarios y grupos de usuarios tienen asignada una estrategia de autenticación (mientras que, en una solicitud de un servidor a un dispositivo monitoreado, las versiones anteriores de SNMP solo verificaban la cadena de comunidad , que se transmitía como texto sin formato y sirvió como contraseña).

SNMPv3 también presenta niveles de seguridad que definen configuraciones de dispositivo aceptablemente seguras y el comportamiento del agente SNMP. La combinación de un modelo de seguridad y un nivel específico determina qué mecanismo de seguridad se utilizará para procesar un paquete de datos SNMP [4] .

Combinaciones de modelos y niveles de seguridad en SNMPv3

Nivel Autenticación Cifrado Lo que pasa
noAuthNoPriv Nombre de usuario No Autenticación con un nombre de usuario (no muy recomendable)
authNoPriv Algoritmo de resumen de mensaje 5 (MD5) o Algoritmo de hash seguro (SHA) No Autenticación basada en el Código de autenticación de mensajes hash (HMAC) -MD5 o HMAC-SHA (no recomendado)
authPriv MD5 o SHA Estándar de cifrado de datos (DES) o Estándar de cifrado avanzado (AES) Autenticación basada en cifrado HMAC-MD5 o HMAC-SHA + basado en DES o AES (mejor práctica)

Cómo

Para monitorear un dispositivo de red, debemos configurar SNMPv3 tanto en el servidor como en el dispositivo monitoreado.

Configurar dispositivo de red

  • La configuración básica del dispositivo de red de Cisco en la CLI:

1. Defina un grupo de usuarios de SNMPv3 (‘ snmpv3group ‘), el modo de acceso (‘ leer ‘) y el privilegio de acceso para el ‘ snmpv3group ‘ para ver ciertas ramas del árbol MIB del dispositivo.

snmp-server group snmpv3group v3 priv read snmpv3name

2. Defina el usuario – ‘ snmpv3user ‘, el grupo de usuarios – ‘ snmpv3group ‘, y la autenticación de estado basada en MD5 (con ‘ md5v3v3v3 ‘ como contraseña) y el cifrado basado en DES (con ‘ des56v3v3v3 ‘ como contraseña).

usuario del servidor snmp snmpv3user snmpv3group v3 auth md5 md5v3v3v3 priv des des56v3v3v3

NOTA . Es preferible usar AES. DES aquí se usa solo como un ejemplo.

NOTA . Al definir un usuario,  se puede agregar la Lista de control de acceso para especificar las direcciones IP de los servidores que pueden monitorear este dispositivo.

3. Defina el nombre en código (‘ snmpv3name ‘) para ramas específicas del árbol MIB para que ‘ snmpv3group ‘ pueda acceder a ellas. ISO, en lugar de limitarlo a una sola rama, permite que ‘ snmpv3group ‘ acceda a todos los objetos MIB del dispositivo monitoreado.

snmp-server view snmpv3name iso incluido
  • La configuración básica del dispositivo de red Huawei en la CLI:
snmp-agent mib-view incluido snmpv3name iso

snmp-agent group v3 snmpv3group privacidad lectura-lectura snmpv3name

snmp-agent usm-user v3 snmpv3user group snmpv3group

snmp-agent usm-user v3 snmpv3user modo de autenticación md5

md5v3v3v3

snmp-agent usm-user v3 snmpv3user modo de privacidad des56

des56v3v3v3

Configurar acceso

Después de configurar los dispositivos de red, para garantizar que el servidor de supervisión pueda acceder a ellos mediante SNMPv3, puede ejecutar ‘ snmpwalk ‘:

snmpwalk -v 3 -u snmpv3user -l authPriv -A md5v3v3v3 -a md5 -x des -X des56v3v3v3 10.10.10.252

Para solicitar objetos específicos, también puede ejecutar ‘ snmpget ‘, que se basa en archivos MIB y proporciona un resultado más conciso:

Configurar un elemento para usar SNMPv3

Necesitamos configurar un elemento estándar que utilizará SNMPv3 en el nivel de plantilla Zabbix. La forma más sencilla es utilizar formas numéricas de OID independientes de MIB.

Elementos de datos

Puede usar macros de usuario, ya que serán las mismas para cada elemento de la plantilla. Si todos sus dispositivos de red tienen los mismos parámetros SNMPv3, las macros se definen en un nivel de plantilla, de lo contrario, en un nivel de host.

Plantillas

NOTA. Tenga en cuenta que el sistema de monitoreo tiene nombres de usuario y contraseñas solo para autenticación y encriptación. El grupo de usuarios y el acceso a los objetos MIB se definen en cada dispositivo monitoreado.

Plantilla de sondeo de Zabbix

Se recomienda que las plantillas de sondeo sean lo más detalladas posible:

Plantilla de sondeo

Configurar disparadores

Disparadores

Si los nombres de los disparadores incluyen una macro del sistema {HOST.CONN} , las alertas en el tablero mostrarán no solo los nombres de los dispositivos sino también sus direcciones IP.

SNMP puede usarse para determinar si un dispositivo no está disponible, además de una solicitud de eco regular.

A veces, un dispositivo responde solo a las solicitudes ICMP, lo que puede significar que diferentes dispositivos tienen la misma dirección IP debido a la configuración de firewall o SNMP. Aún así, es posible que no obtenga todos los datos de monitoreo para investigar un incidente de red si usa solo ICMP para verificar la disponibilidad del host.

Descubrimiento de interfaz de red

El descubrimiento de la interfaz de red es la función de monitoreo más importante para el hardware de red. Dado que un solo dispositivo de red puede tener cientos de interfaces, debemos filtrar las interfaces innecesarias, para que no abarroten la base de datos y la visualización de datos.

La función de descubrimiento estándar para SNMP con muchos parámetros detectables permite una filtración más flexible:

descubrimiento [{# IFDESCR}, 1.3.6.1.2.1.2.2.1.2, {# IFALIAS}, 1.3.6.1.2.1.31.1.1.1.18, {# IFADMINSTATUS}, 1.3.6.1.2.1.2.2.1.7]

Reglas de descubrimiento

Las interfaces de red se pueden descubrir y filtrar por su tipo, descripción de usuario y el estado administrativo de sus puertos.

Filtros

Expresión regular

Entonces, las interfaces excluidas serán aquellas que:

  • se han deshabilitado manualmente (‘ adminstatus <> 1 ‘), debido a ‘ IFADMINSTATUS ‘;
  • no tiene una descripción de texto, debido a ‘ IFALIAS ‘;
  • tener un asterisco (*) en su descripción de texto, debido a ‘ IFALIAS ‘;
  • son interfaces de servicio / técnicas, debido a ‘ IFDESCR ‘ (cuando se aplican expresiones regulares en el descubrimiento, una expresión regular, alias, verificará tanto ‘ IFALIAS ‘ como ‘ IFDESCR ‘).

Resultados de monitoreo

Entonces, tenemos una lista de dispositivos de red:

Lista de dispositivos de red.

La creación de plantillas para cada serie de hardware hace que el análisis de los resultados de monitoreo sea más conveniente ya que permite ver información agrupada por series en:

  • software actualizado,
  • números de serie y
  • presencia de un conserje en la sala del servidor (indicado por un bajo porcentaje de tiempo de actividad).

Varias plantillas pueden ofrecer diferentes vistas en su red, por ejemplo:

Plantillas de serie de hardware

Panel de control principal con disparadores divididos por nivel de importancia

Si crea plantillas para cada modelo de dispositivo en su red, su sistema de monitoreo puede convertirse en una herramienta para pronosticar fallos y fallas (si tiene los sensores y las métricas necesarias). Zabbix es una buena solución para monitorear infraestructuras de redes, servidores y servicios, y aprovechar Zabbix para mantener el hardware de la red demuestra las capacidades del sistema.

Referencias

  1. Hucaby D. CCNP Enrutamiento y conmutación SWITCH 300-115 Guía oficial de certificación. Cisco Press, 2014. pp. 325-329.
  2. RFC 3410. https://tools.ietf.org/html/rfc3410
  3. RFC 3415. https://tools.ietf.org/html/rfc3415
  4. Guía de configuración de SNMP, Cisco IOS XE versión 3SE.
    Capítulo: SNMP Versión 3.
    https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/snmp/configuration/xe-3se/3850/snmp-xe-3se-3850- book / nm-snmp-snmpv3.html
¡Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)

compartir en ....
Avatar

Acerca de Brian Alexander Diaz

Brian Alexander Diaz Investigador en temas de seguridad y Devops Mi nombre es Brian Alexander Diaz. El objetivo de este blog es promover la cultura y mentalidad en seguridad por todo el Internet y que la gente aprenda a facilitar su vida y crear  sistemas mas seguros .

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *