SNMP v.3
From Zenitel Wiki
Da har jeg laget en (enkel ?) oppskrift for å åpne for SNMPv3 på Exigo/Turbine devices. SNMPv3 Traps er ikke implementert. SNMPv3 gir mulighet for autentisering av bruker/requester basert på enten protokoll MD5 eller SHA og kryptering av data (payload) basert på protokoll DES.
For å få åpnet for v3 på våre enheter er det basert på modifisering av snmpd.conf filen som allerede eksisterer på devicene. Hvis det kun er SNMP v1/v2c som skal brukes kan dette endres som før fra devicens Web Advanced Network -> SNMP.
For v3 kan man bruke vedlagt snmpd.conf fil som mal og utgangspunkt. Hvis v1/v2c skal være tilgjengelig parallellt med v3 kan det da være ett tips å se på snmpd.conf fra Web Advanced Network -> SNMP og klikk «View custom snmpd.conf» og kopiere/endre/legge til det som er v1/v2c spesifikt til den nye snmpd.conf filen eller klikke på «Download custom snmpd.conf» fil og legg til v3 spesifikke config der.
Link til Net-SNMPv3: http://www.net-snmp.org/wiki/index.php/TUT:SNMPv3_Options
Det er mulig å definere flere «usm», User-based Security Model, parametere men under er det som regnes som minimum. «usm» parametere er kun brukt med SNMPv3.
En mulig snmpd.conf for v3 :
master agentx # # SNMPv3 specific config # # Minimum generic setup for authentication only # createUser descriptiveUserName [MD5 or SHA] "your Auth Password" # rouser descriptiveUserName # # Minimum generic setup for authentication and privacy/encryption # createUser anotherDescriptiveUserName [MD5 or SHA] "your Auth Password" DES "your Priv Password" # rouser anotherDescriptiveUserName
# # If only authentication using MD5 is wanted # createUser userAuthMD5NoPriv MD5 "authPasswordMD5" rouser userAuthMD5NoPriv
# # If only authentication using SHA is wanted # createUser userAuthSHANoPriv SHA "authPasswordSHA" rouser userAuthSHANoPriv
# # If authentication using MD5 and privacy/encryption using DES is wanted # createUser userAuthMD5PrivDE MD5 "authPasswordMD5" DES "privPasswordDES" rouser userAuthMD5PrivDES
# # If authentication using SHA and privacy/encryption using DES is wanted # createUser userAuthSHAPrivDES SHA "authPasswordSHA" DES "privPasswordDES" rouser userAuthSHAPrivDES
Ved request av både autentisering og kryptering kan feks en snmpwalk sekvens se slik ut:
snmpwalk -v 3 -u userAuthMD5PrivDES -l authPriv -a MD5 -A "authPasswordMD5" -x DES -X "privPasswordDES" 192.168.50.21 1.3.6.1.4.1.26122.3.1 iso.3.6.1.4.1.26122.3.1.1.0 = STRING: "5.1.2.5 (vsft)" iso.3.6.1.4.1.26122.3.1.2.0 = STRING: "Stentofon Exigo Amplifier ENA2" iso.3.6.1.4.1.26122.3.1.3.0 = INTEGER: 8330 iso.3.6.1.4.1.26122.3.1.4.0 = STRING: "ENA2200" iso.3.6.1.4.1.26122.3.1.5.0 = STRING: "3.10.0[st_dev]+ #1 PREEMPT Fri Jan 3 12:48:10 CET 2020" iso.3.6.1.4.1.26122.3.1.6.0 = STRING: "07" iso.3.6.1.4.1.26122.3.1.7.0 = INTEGER: 2
Ved kun autentisering kan feks en snmpwalk sekvens se slik ut:
snmpwalk -v 3 -u userAuthSHANoPriv -a SHA -A "authPasswordSHA" -l authNoPriv 192.168.50.21 1.3.6.1.4.1.26122.3.1 iso.3.6.1.4.1.26122.3.1.1.0 = STRING: "5.1.2.5 (vsft)" iso.3.6.1.4.1.26122.3.1.2.0 = STRING: "Stentofon Exigo Amplifier ENA2" iso.3.6.1.4.1.26122.3.1.3.0 = INTEGER: 8330 iso.3.6.1.4.1.26122.3.1.4.0 = STRING: "ENA2200" iso.3.6.1.4.1.26122.3.1.5.0 = STRING: "3.10.0[st_dev]+ #1 PREEMPT Fri Jan 3 12:48:10 CET 2020" iso.3.6.1.4.1.26122.3.1.6.0 = STRING: "07" iso.3.6.1.4.1.26122.3.1.7.0 = INTEGER: 2
-v : snmp protocol version, param: 3 -u : securityName, param: free text -l : securityLevel, param: noAuthNoPriv | authNoPriv | authPriv -a: authentcation protocol, param: MD5 | SHA -A : authentication password, param: free text -x : privacy/encryption protocol, param: DES -X : privacy/encryption password, param: free text
Hvis det kun skal være mulighet for SNMPv3 med autentisering og privacy/kryptering kan for eksempel snmpd.conf se slik ut:
master agentx createUser theAuthSHAPrivDES SHA "the SHA Password" DES "the DES Password" rouser theAuthSHAPrivDES
og for å liste ut data:
snmpwalk -v 3 -u theAuthSHAPrivDES -l authPriv -a SHA -A "the SHA Password" -x DES -X "the DES Password" <ip-address> <OID>