SNMPv3 en Vyos
He estado realizando modificaciones a la red, los cuales equipos monitoreados por SNMPv2 cambiarlos a SNMPv3 principalmente a los routers de borde que están más allá del firewall. Una de las debilidades de Vyos es que existe poca documentación al respecto, suerte que es un fork de Vyatta y podemos referenciarnos por la documentación de este último, pero no todos los comandos usados en Vyatta aplican para Vyos. En este post aprenderemos a configurar SNMPv3 en Vyos.
SNMPv3 es una mejora de SNMPv2 donde se realza el enfoque de seguridad, a diferencia de la versión 2 SNMP versión 3 agrega autenticación y encriptación de los datos que se transmite por este protocolo muy importante para equipos que quieren ser monitoreados y están al “Interperie” en lo que a la red se refiere.
.
¡Vamos a la obra! Para la configuración de Vyos debemos seguir los pasos:
- Crear un SNMP View
- Crear un Grupo SNMP
- Crear un Usuario y la Autenticación
- Agregar Usuario al Grupo SNMP
Crear SNMP view
El SNMP View indica cuales OID es permitido ver dentro del grupo SNMP, el comando para lograrlo es el siguiente:
set service snmp v3 view <Nombre view> oid <#oid>
ejemplos
set service snmp v3 view rootmib oid 1.3.6.1.2.1
Con este comando estoy agregando un View con el oid raíz del MIB-2 SNMP, lo quise hacer de esta manera por sencillez, se puede ser más granular dependiendo de tus necesidades. Para saber que oid quieres puedes buscar una aplicación y realizar un snmpwalk, o puedes visitar páginas que brindan información de mibs como alvestrand u oid-info.
Crear un Grupo SNMP
set service snmp v3 group <Nombre-grupo> seclevel <tipo-autenticación>
Ejemplo
set service snmp v3 group Grupo1 seclevel auth
Con este comando se crea el grupo llamado Grupo1 y con un el security level Authentication.
Necesitamos ahora agregar el view al grupo
set service snmp v3 group <Nombre-grupo> view <nombre-view>
ejemplo
set service snmp v3 group Grupo1 view rootmib
Este ejemplo agregamos el view rootmib al Grupo1
Crear un Usuario y la Autenticación
set service snmp v3 user <nombre-usr> auth plaintext-key <mi-key>
ejemplo
set service snmp v3 user fulano auth plaintext-key AuthP@ss
Creamos un usuario llamado fulano y establecemos autenticacion, notese que luego del commit Vyos encripta automáticamente el password. Por defecto Vyos utiliza MD5 para la autenticación.
Agregar Usuario al Grupo SNMP
set service snmp v3 user <nombre-usuario> group <nombre-grupo>
Ejemplo
set service snmp v3 user fulano group Grupo1
Finalmente agregamos el usuario fulano al Grupo1
Nunca olvides realizar tu respectivo “commit” para que se establezcan los cambios y “save“
Nota: Nótese que después de realizar el commit todos los password en plaintext quedaj encriptados y genera automáticamente el “EngineId” necesario para el funcionamiento SNMPv3.
Algunos comando para verificación son
show snmp v3
show snmp group
Resumen
set service snmp v3 view rootmib oid 1.3.6.1.2.1
set service snmp v3 group Grupo1 seclevel auth
set service snmp v3 group Grupo1 view rootmib
set service snmp v3 user fulano auth plaintext-key AuthP@ss
set service snmp v3 user fulano group Grupo1
commit
Save
Más detalles configuración SNMPv3 lo puedes buscar en la documentación de Vyatta en la página de Brocade: