The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"SNMP Trap  v3 - чем принимать"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [ Отслеживать ]

"SNMP Trap  v3 - чем принимать"  +/
Сообщение от shutdown now on 16-Июн-09, 11:44 
Hi, all.

столкнулся с проблемой безопасности при настройке SNMP TRAP на коммутаторах D-Link:

create snmp community trap_community view CommunityView read_only
reate snmp host 10.79.128.70 v2c trap_community
  

NET-SNMP version 5.3.2.2

2009-06-16 05:03:04 <UNKNOWN> [UDP: [10.79.128.100]:161]:
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (6864698) 19:04:06.98  SNMPv2-MIB::snmpTrapOID.0 = OID: IF-MIB::linkDown       IF-MIB::ifIndex.21 = INTEGER: 21IF-MIB::ifAdminStatus.21 = INTEGER: up(1)       IF-MIB::ifOperStatus.21 = INTEGER: down(2)
2009-06-16 05:03:10 <UNKNOWN> [UDP: [10.79.128.100]:161]:
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (6864858) 19:04:08.58  SNMPv2-MIB::snmpTrapOID.0 = OID: IF-MIB::linkUp IF-MIB::ifIndex.21 = INTEGER: 21       IF-MIB::ifAdminStatus.21 = INTEGER: up(1)        IF-MIB::ifOperStatus.21 = INTEGER: up(1)

трапы ловятся, но по жтому коммьюнити и железку можно опррашивать:

# snmpwalk -c trap_community -v2c 10.79.128.100
SNMPv2-MIB::sysDescr.0 = STRING: DES-3528 Fast Ethernet Switch
SNMPv2-MIB::sysObjectID.0 = OID: SNMPv2-SMI::enterprises.171.10.105.1
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (6973812) 19:22:18.12
SNMPv2-MIB::sysContact.0 = STRING:
SNMPv2-MIB::sysName.0 = STRING: acc
SNMPv2-MIB::sysLocation.0 = STRING:

Решил поппробовать SNMP v3:
create snmp group trap_community v3 noauth_nopriv notify_view CommunityView
create snmp user trap_community trap_community
create snmp host 10.79.128.70 v3  noauth_nopriv trap_community

dlink трапы отсылает (я их вижу tcpdump'ом), но snmptrapd из snmp-utils их ловить не хочет, если включить авторизацию - ловит, но тогда для каждого коммутатора нужно snmpengineid в конфиг заносить

как уговорить snmptrapd ловить snmp trap v3 без авторизации?

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "SNMP Trap  v3 - чем принимать"  +/
Сообщение от shutdown now on 16-Июн-09, 12:56 
>[оверквотинг удален]
>create snmp group trap_community v3 noauth_nopriv notify_view CommunityView
>create snmp user trap_community trap_community
>create snmp host 10.79.128.70 v3  noauth_nopriv trap_community
>
>dlink трапы отсылает (я их вижу tcpdump'ом), но snmptrapd из snmp-utils их
>ловить не хочет, если включить авторизацию - ловит, но тогда для
>каждого коммутатора нужно snmpengineid в конфиг заносить
>
>как уговорить snmptrapd ловить snmp trap v3 без авторизации?
>

уже не нужно, всё просто:
# cat snmptrapd.conf
logoption s 7
logoption f /var/log/snmptrapd-direct.log

createUser -e 8000000000000000000000 trap_community MD5 "authpassphrase"
authUser log,execute,net trap_community noauth

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру