среда, 29 октября 2014 г.

Создание Trusted Host по SNMP

Trusted Hosts - это хосты и/или сети, с которых разрешено взаимодействие с управляющим интерфейсом коммутатора. Если в списке trusted hosts нет ни одной записи, то доступ разрешен со всех адресов. При наличии записей доступ разрешен только с перечисленных сетей.

Как обычно, рассмотрим OID для моделей DES-3028, DES-3200-28/A1/B1 и DES-3200-28/C1. Других устройств у меня нет, поэтому работаем с тем, что есть. :) Как ни странно, для всех моделей OID одинаковы:

.1.3.6.1.4.1.171.12.1.2.10.1.1.2 agentTrustedHostIPAddress (a) - адрес сети
.1.3.6.1.4.1.171.12.1.2.10.1.1.3 agentTrustedHostRowStatus (i) - статус записи (нам нужен createAndGo - (4))
.1.3.6.1.4.1.171.12.1.2.10.1.1.4 agentTrustedHostIPSubnetMask (a) - маска подсети

Пример команды:

snmpset -v 2c -c private 10.0.0.10 1.3.6.1.4.1.171.12.1.2.10.1.1.2.7 a 10.0.0.0 1.3.6.1.4.1.171.12.1.2.10.1.1.3.7 i 4 1.3.6.1.4.1.171.12.1.2.10.1.1.4.7 a 255.255.255.0


В результате выполнения команды на коммутаторе 10.0.0.10 в списке trusted host появится запись для сети 10.0.0.0/24. Последняя цифра в OID указывает на номер записи. Номера не обязаны идти последовательно - в данном примере мы создаем единственную запись сразу с номером 7. Но вот перезаписать значения для уже существующей записи таким способом нельзя.

Важно: Первой следует вносить запись для той сети, откуда производится управление коммутатором. К примеру, если требуется разрешить доступ для сетей A, B и C, а команды SNMP отправляются из сети C, то данная сеть должна быть первой в списке. В противном случае управление коммутатором будет потеряно!

Важно: Механизм Trusted Host является хорошим, но недостаточным средством для защиты от несанкционированного доступа. В следующей заметке мы рассмотрим способ обхода trusted host и управление коммутатором из недоверенной сети при наличии валидного write-community.

Комментариев нет:

Отправить комментарий