Hạn chế và bảo mật truy cập SNMP trên Cisco

Hạn chế và bảo mật truy cập SNMP

Giao thức quản lý mạng đơn giản (SNMP) có thể rất hữu ích để thu thập thông tin từ các thiết bị mạng nhưng cũng có thể gây rủi ro bảo mật nếu không được cấu hình đúng cách.

Giao thức SNMP sử dụng “Community String - Chuỗi cộng đồng” đóng vai trò là mật khẩu để hạn chế quyền truy cập (Chỉ đọc hoặc Đọc/Ghi) đối với dữ liệu SNMP trên thiết bị. Ngoài việc định cấu hình Community String, lọc IP cũng phải được áp dụng để chỉ cho phép truy cập SNMP từ một số máy trạm quản lý.

Hãy cấu hình hai chuỗi Community strings (một “READ ONLY” và một chuỗi khác “READ/WRITE”) và cũng áp dụng kiểm soát địa chỉ IP với ACL

Router# config terminal
Router(config)# access-list 11 permit 192.168.1.0 0.0.0.15
Router(config)# access-list 12 permit 192.168.1.1
Router(config)# snmp-server community Cbd43@#w5SDF RO 11 <- Tạo chuỗi cộng đồng Chỉ đọc (RO) và sử dụng ACL 11 để cho phép truy cập SNMP
Router(config)# snmp-server community Xcv4#56&454sdS RW 12 <- Tạo chuỗi cộng đồng Read Write (RW) và sử dụng ACL 12 để cho phép truy cập SNMP

Các lệnh trên cho phép quản trị viên mạng con 192.168.1.0/28 có quyền truy cập SNMP Chỉ Đọc vào các thiết bị và cũng cho phép Máy chủ 192.168.1.1 có toàn quyền truy cập SNMP Đọc/Ghi vào các thiết bị.

Chi tiết xem tại: Cấu hình bảo mật tăng cường cho Router / Switch của Cisco