Cem Kemal Erbaş Cem Kemal Erbaş
SNMP, sadece ağ cihazları üzerinde kullanılan bir protokol değildir, ağa bağlantısı olan sunucu , yazıcı vb. cihazlarında SNMP desteği olan cihazlarında kullandığı bir protokoldür. SNMP cihazların yönetiminden bilgi toplanmasına kadar birçok özelliği bulunmakla birlikte oldukça kullanışlı ama diğer yandan gerekli önlemler alınmadığı takdirde saldırganlar tarafından kullanılıp ağınız ve iç yapınıza zarar verebilecek bir protokoldür. SNMP’nin kullanımı ve yapılandırılması çok karışık bir protokol değildir.
SNMP’nin 3 ana versiyonu bulunmaktadır bunlar;
SNMPv1
SNMPv2
SNMPv3
SNMPv1 ve SNMPv2 ağ güvenliği açısından dinlenmeye çok daha açıktır iletişimi şifreleme metodları içermez bu nedenle ilk ihtiyaç duyulduğu zamandan bu yana gelişerek v3 ile şifreleme ile dahada kuvvetlendirilmiştir.
SNMPv3 versiyonunda SNMP paketleri ağ üzerinden bilgileri toplayan ağ yönetim cihaz veya yazılımları ile arasındaki paketleri farklı şifreler. Bu şifreleme ve şifre çözme metodları ve key’ler karşılıklı olarak uyuşmadığı takdirte SNMP bilgileri okunamaz olacaktır.
Birçok üretici ağ cihazlarında default olarak üzerinde SNMPv1 ve v2 olarak public ve private olarak gönderilmektedir. Öncelikle SNMPv3 yapılandırılması yaptıktan sonra diğer versiyonları kapatmak kesinlikle önerilmektedir.
Daha önceki yazıda HP’nin ağ yönetim yazılımı olan IMC üzerinde ağ cihazları ile arasındaki SNMP paketlerini toplamak için v3 kullanmıştım. Bu bilgilerini almak içinde aynı ayarları ağ cihazları üzerinde v3 ayarlamasını yapmıştık.
CLI Komutları
Procurve
BiRaNd(config)# snmpv3 enable
SNMPv3 Initialization process.
Creating user ‘initial’
Authentication Protocol: MD5
Enter authentication password: ********
Privacy protocol is DES
Enter privacy password: ********
User ‘initial’ is created
Would you like to create a user that uses SHA? n
User creation is done. SNMPv3 is now functional.
Would you like to restrict SNMPv1 and SNMPv2c messages to have read only
access (you can set this later by the command ‘snmp restrict-access’): n
no snmpv3 user initial
snmp-server location Kat17_2
snmp-server contact “birand catirlar birand@catirlar.com”
snmpv3 only > Accept only SNMP v3 messages.
BiRaNd(config)# snmpv3 user birand auth ?
AUTHPASSWORD-STR Set authentication password.
md5 Set the authentication protocol to md5.
sha Set the authentication protocol to sha.
BiRaNd(config)# snmpv3 user birand auth md5 1234qqqQ priv
PRIVPASSWORD-STR Set Privacy password.
des Set the privacy protocol to des.
aes Set the privacy protocol to aes-128.
BiRaNd(config)# snmpv3 user birand auth md5 1234qqqQ priv aes 4321qqqQ
BiRaNd(config)# snmpv3 group
managerpriv Require privacy and authentication, can access all objects.
managerauth Require authentication, can access all objects.
operatorauth Requires authentication, limited access to objects.
operatornoauth No authentication required, limited access to objects.
commanagerrw Community with manager and unrestricted write access.
commanagerr Community with manager and restricted write access.
comoperatorrw Community with operator and unrestricted write access.
comoperatorr Community with operator and restricted write access.
BiRaNd(config)# snmpv3 group managerpriv user
BiRaNd(config)# snmpv3 group managerpriv user birand sec-model ver
ver1 SNMP version 1 security model.
ver2c SNMP version v2c security model.
ver3 SNMP version 3 security model.
