Je souhaite effectuer une surveillance de mon infrastructure réseau, cela peut-il être fait en toute sécurité avec SNMPv2?

J'ai besoin de surveiller mon infrastructure réseau mais je me demande si l'utilisation de SNMPv2 est sécurisée? Quelles sont les faiblesses de SNMPv2?

Si SNMPv3 n'est pas une option, vous pouvez faire certaines choses pour mieux sécuriser SNMPv2.

1. N'activez pas la chaîne de lecture-écriture. Il y a très peu de raisons de l'activer.
2. Choisissez des chaînes de communauté plus complexes et supprimez celles qui sont «privées» ou «publiques».
3. Utilisez une liste d'accès sur la chaîne de communauté pour restreindre les adresses IP pouvant interroger le périphérique.
4. N'activez pas l'option «arrêt du système».
5. Utilisez une chaîne de communauté différente pour les interruptions SNMP par rapport à la chaîne SNMP d'interrogation.

SNMPv2 ne doit pas être utilisé, surtout si SNMPv3 est disponible. Il existe quelques failles de base dans SNMPv2, principalement l'utilisation de chaînes de communauté qui sont envoyées sur le réseau sous une forme non chiffrée pour interroger l'infrastructure réseau.

De plus, il est basé sur une chaîne de communauté au lieu d'une combinaison nom d'utilisateur / mot de passe distinct, SNMPv2 (et 1 d'ailleurs) ne peut fournir aucune assurance de confidentialité, d'intégrité ni d'authenticité.

SNMPv3 est beaucoup mieux en termes de sécurité, SNMPv3 comprend trois services importants: l'authentification, la confidentialité et le contrôle d'accès (figure 1). Pour fournir ces services de manière flexible et efficace, SNMPv3 introduit le concept de mandant, qui est l'entité pour le compte de laquelle les services sont fournis ou le traitement a lieu. En savoir plus à ce sujet sur le site Web de Cisco .

Alors que SNMPv3 est nettement plus sécurisé que la v2, vous pouvez au moins atténuer une partie du risque d'implémentation de la v2 en restreignant l'accès avec une ACL. Je déconseille également la création d'une communauté v2 en lecture / écriture.