Administrateur Réseau

Comment rechercher et créer des chaînes de communauté SNMP sous Windows et Linux

Comment rechercher et créer des chaînes de communauté



Il existe peu de composants aussi essentiels à la sécurité dans Protocole de gestion de réseau simple commeSNMP chaînes communautaires. Le fait de disposer de la chaîne de communauté correcte détermine si vous pouvez accéder aux informations contenues dans les appareils sur l'ensemble de votre réseau géré. Dans cet article, nous allons voir comment trouver et créer des chaînes de communauté surles fenêtresetLinux. Cependant, avant de voir comment rechercher et créer des chaînes de communauté, voyons ce que sont les chaînes de communauté.

Que sont les chaînes de communauté SNMP ?

Une chaîne de communauté ou chaîne de communauté SNMP est un identifiant ou mot de passe utilisateur qui est envoyé avec une Get-Request . Une chaîne de communauté SNMP est utilisée pour autoriser l'accès aux statistiques au sein d'un périphérique ou d'un routeur géré. Un appareil peut accéder aux données d'autres appareils connectés avec la chaîne de communauté correcte. Si la chaîne de communauté est incorrecte, l'appareil ignore la Get-Request.



La chaîne de communauté par défaut d'un appareil dépend du fournisseur qui a créé l'appareil. Cela étant dit, il n’est pas rare que les fournisseurs choisissent « public » comme mot de passe de leur choix. Si vous utilisez l'un de ces appareils, vous souhaiterez modifier la chaîne de communauté dès que possible pour protéger votre réseau contre tout accès non autorisé. Ceci est important car les informations contenues dans vos appareils peuvent en dire long à un attaquant sur votre réseau et vos points d’entrée potentiels.

Il est important de noter qu’il existe différents types de chaînes de communauté SNMP. Ceux-ci sont les suivants :



  • Chaîne de communauté en lecture seule
  • Chaîne de communauté en lecture-écriture
  • Chaîne de communauté SNMP Trap

La chaîne de communauté en lecture seule permet à un appareil d'extraire des informations en lecture seule d'un appareil. En revanche, une chaîne de communauté en lecture-écriture peut être utilisée pour extraire des informations et modifier la configuration d'un appareil. Enfin, la chaîne de communauté d'interruption SNMP est incluse lorsqu'un périphérique envoie un Piège SNMP . Les chaînes de communauté diffèrent également en fonction de la version de SNMP utilisée.

Versions SNMP et différences de chaînes de communauté

Il existe trois versions principales de SNMP utilisées, et chacune d'entre elles a une approche légèrement différente des chaînes de communauté. Ceci est illustré ci-dessous :

  • SNMPv1– Il s'agissait de la première version de SNMP et utilisait des chaînes de communauté pour les restrictions d'accès. Cette version utilisait des chaînes de communauté en lecture seule et en lecture-écriture. Cependant, les données étaient transmises en clair et étaient donc vulnérables aux attaquants externes.
  • SNMPv2c– Cette version de SNMP envoie également des données non cryptées mais possède des types de données supplémentaires comme des compteurs 64 bits qui ne sont pas présents dans l'original.
  • SNMPv3– Il s’agit de la version sécurisée de SNMP qui permet à l’utilisateur de crypter les transmissions de données afin qu’elles ne soient pas accessibles aux regards indiscrets.

La chose importante à noter concernant les deux premières versions de SNMP répertoriées ci-dessus est que les chaînes de communauté ne sont pas chiffrées et sont vulnérables à la lecture. Ils sont transmis en texte clair, sans aucune protection contre les regards indiscrets. Par défaut, les équipements SNMPv1 et SNMPv2 arrivent sur le marché avec la chaîne de communauté en lecture seule définie sur « public ».

SNMPv2c possède deux types de chaînes de communauté ;lecture seulementetlire écrire. Les chaînes de communauté en lecture seule permettent à l'utilisateur d'accéder aux objets MIB en lecture seule. Les objets MIB sont le terme donné aux données dans la base d'informations de gestion (MIB). Il s'agit des données échangées entre un gestionnaire SNMP et un agent SNMP.

Chaînes de communauté en lecture-écriturepermettre à l'utilisateur d'accéder et d'interagir avec les objets MIB. Cela signifie que lel'utilisateur peut se connecter au gestionnaire SNMP et modifier les configurations du périphérique compatible SNMP. Vous devez faire particulièrement attention à ces chaînes de communauté, car elles peuvent permettre à quiconque d'interférer avec votre système à distance.

Dans la mesure du possible, nous vous conseillons d'utiliser SNMPv3 pour une protection optimale. SNMPv3 est le plus sûr car toutes les transmissions sont cryptées, ce qui signifie qu'elles ne peuvent pas être lues. Cependant, même si vous utilisez SNMPv3, vous voulez vous assurer de créer une chaîne de communauté solide qui ne peut pas être déchiffrée facilement.

Notre méthodologie de sélection des outils de gestion SNMP

Nous avons examiné le marché des visualiseurs et testeurs SNMP et analysé les options en fonction des critères suivants :

  • La possibilité de décoder le format de message SNMP standard
  • Identification des chaînes de communauté
  • Une interface qui permet d'ajouter ou de modifier des chaînes de communauté
  • Un système capable de mettre à jour les agents de périphérique avec les exigences en matière d'informations d'identification d'accès
  • Un outil qui peut s'interconnecter avec des systèmes de gestion SNMP plus larges
  • Un outil gratuit ou un système payant avec un essai gratuit pour une période d'évaluation sans risque
  • Utilitaires gratuits ou systèmes payants qui en valent la peine

Voir également: MIB et OID expliqués

Comment trouver les chaînes de communauté SNMP sous Windows

La première chose que vous devez faire lorsque vous essayez d'utiliser les chaînes de communauté SNMP sous Windows est de vous assurer que SNMP a été installé. Dans l'exemple ci-dessous, nous allons expliquer comment vous pouvez installer SNMP sur Windows 7 , Windows 2008 Serveur , et Serveur Windows 2012 R2 .

Il existe plusieurs façons de procéder, mais l'une des méthodes les plus simples consiste à utiliser un outil appelé Activateur SNMP Windows gratuit à partir de ManageEngine.

À installer SNMP et recherchez la chaîne de communauté sous Windows suivez ces étapes ci-dessous :

  1. Téléchargez le Activateur SNMP Windows gratuit à partir du site Web ManageEngine. Vous n'avez pas besoin de remplir le formulaire de contact à l'écran, cliquez simplement sur le rouge Télécharger bouton.
  2. Faites un clic droit sur le fichier téléchargé et sélectionnez Exécuter en tant qu'administrateur . Cliquer sur Oui dans l’écran Contrôle d’accès utilisateur pour permettre à Windows d’exécuter le programme d’installation.
  3. Cliquez sur les écrans du programme d'installation. Cliquer sur Finition dans l'écran final. L'outil s'ouvrira.
  4. Entrez un nom de serveur dans le champ Hôte en haut de l'écran et appuyez sur la touche Ajouter bouton.
  5. Cochez la case devant l'entrée de serveur que vous avez créée dans le panneau supérieur de l'écran.
  6. Clique sur le Commencer bouton. Une fenêtre contextuelle apparaîtra.

Entrer le Nom de domaine , Nom d'utilisateur et Mot de passe pour un compte sur votre serveur. appuie sur le Connecter bouton.

Configuration de SNMPv2c

Même si SNMPv3 est une méthode plus sécurisée, SNMPv2c reste plus largement utilisé par les fournisseurs de technologies. Par conséquent, il est pratique de savoir comment configurer une chaîne de communauté sur un appareil compatible SNMPv2c. Pour ce faire, vous devez faire plusieurs choses :

  1. La première étape consiste à configurer la chaîne de communauté en saisissant ce qui suit (« comp » est le nom de la chaîne de communauté et « ro » signifie lecture seule, la plus sécurisée des deux autorisations de lecture) :
    |_+_|
  2. Saisissez l'adresse IP du récepteur hôte ou du gestionnaire SNMP :
    |_+_|
  3. Activez les interruptions SNMP en saisissant ce qui suit :
    |_+_|

Comment trouver une chaîne de communauté SNMP sous Linux

En règle générale, si vous souhaitez utiliser les chaînes de communauté SNMP, vous devez disposer d'un client SNMP installé et configuré. Vous pouvez installer SNMP sur Linux via la commande suivante (nous utilisons CentOS dans l'exemple ci-dessous) :
|_+_|

Le fichier de configuration dans SNMP déterminera non seulement quel type de trafic sera surveillé, mais définira également la chaîne de communauté. Sous Linux, vous pouvez trouver le fichier de configuration sous le nom suivant :
|_+_|

Ce fichier de configuration se trouve généralement dans un sous-répertoire appelé/etc/snmp.

Comment trouver des chaînes de communauté

Maintenant que nous savons ce que sont les chaînes de communauté, il est temps de voir comment les trouver. Il existe de nombreuses façons de rechercher des chaînes de communauté, en fonction du matériel que vous utilisez. Dans cet exemple, nous allons faire référence à la façon de trouver des chaînes de communauté SNMP sur un routeur Cisco ou un commutateur Catalyseur basé sur Cisco IOS.

Activation sur le routeur CISCO

Pour activer une chaîne de communauté SNMP sur un routeur Cisco, vous devez procéder comme suit :

  1. Telnet la commande suivante au routeur :
    |_+_|
  2. Entrez le mot de passe d'activation pour lancer le mode d'activation :
    |_+_|
  3. Affichez la configuration en cours et recherchez les données SNMP. Si vous ne trouvez aucune donnée SNMP, passez à l'étape suivante. Cependant, si vous trouvez une commande SNMP, vous souhaiterez la modifier ou la désactiver :
    |_+_|
  4. Entrez en mode configuration :
    |_+_|
  5. Entrez la commande suivante pour activer la chaîne de communauté en lecture seule :
    |_+_|
  6. Pour activer la chaîne de communauté en lecture-écriture, saisissez ce qui suit :
    |_+_|
  7. Quittez le mode de configuration et revenez à l'invite principale :
    |_+_|
  8. Pour enregistrer les paramètres dans la RAM, saisissez ce qui suit :
    |_+_|

Comment configurer les chaînes de communauté sous Windows

Le processus de configuration d'une chaîne de communauté sous Windows dépend de la version de Windows que vous utilisez. Dans cette section, nous allons examinercomment configurer un agent SNMP et une chaîne de communauté surWindows 2012,Windows 2008 R2, etWindows 2003.

Configuration sur Windows 2012

  1. La première chose à faire est de vous connecter à votre serveur dédié avecBureau à distance.
  2. Cliquez ensuite surClé Windows> Outils administratifs> Gestionnaire de serveur.
  3. Cliquez maintenant sur leGérerbouton, puisAjouter des rôlesetCaractéristiques.
  4. Cliquez surSuivantquatre fois. Vérifiez que le service SNMP a été installé dans leCaractéristiquesvoir. Cliquez maintenantAnnuler.
  5. À ce stade, vous devez cliquer surClé Windows> Outils administratifs, suivi dePrestations de service.
  6. Faites un clic droit surService SNMPet cliquezPropriétés.
  7. Allez auSécuritéonglet etentrez votre chaîne de connexion. Cela doit comporter entre 8 et 10 caractères.
  8. Assurez-vous que votre chaîne de connexion est définie surLecture seulement dans leConfiguration des services SNMPboîte.
  9. Cliquer surAjouterpour finir.

Configuration sur Windows 2008 R2

  1. Tout d'abord, connectez-vous à votre serveur dédié avecBureau à distance.
  2. Une fois connecté, cliquez surDémarrer>Outils d'administration>Gestionnaire de serveur.
  3. Cliquez maintenantFonctionnalités>Ajouter des fonctionnalités. Assurez-vous que les services SNMP sont installés !
  4. Cliquez ensuite surConfiguration>Services.
  5. Faites un clic droit surService SNMPsuivi dePropriétés
  6. Allez auSécuritéonglet etentrez votre chaîne de connexion.
  7. Assurez-vous que leLa zone Droits de la communauté est définie sur Lecture seule dans leConfiguration des services SNMP boîte.
  8. Cliquez surAjouter.

Configuration sous Windows 2003

  1. Connectez-vous à votre serveur dédié avecBureau à distance.
  2. Cliquez surDémarrer>Panneau de configuration>Outils d'administration>Gestion de l'ordinateur.
  3. Cliquer surServices>Applications>Services.
  4. Double-cliquez sur leService SNMPoption.
  5. Allez auSécuritéonglet etentrez votre chaîne de connexion.
  6. Vérifiez que votre chaîne de connexion est définie en lecture seule.
  7. PresseAjouter.

Comment configurer les chaînes de communauté sous Linux

Sur RedHat/CentOS

  1. Tout d'abord, installez le RPM en entrant la commande suivante :
    |_+_|
  2. À ce stade, vous pouvez installer snmpwalk pour faciliter votre dépannage avec les éléments suivants :
    |_+_|
  3. Déplacez ensuite le fichier de configuration par défaut et établissez-le comme sauvegarde :
    |_+_|
  4. Entrez une nouvelle communauté SNMP dans un nouveau fichier de configuration :
    |_+_|

Sur Debian/Ubuntu

  1. Installez le package snmpd en saisissant ce qui suit :
    |_+_|
  2. Ensuite, sauvegardez le fichier snmp.conf en saisissant ce qui suit :
    |_+_|
  3. Créez votre nouveau fichier snmpd.conf en saisissant ce qui suit (remplacez Comparitech par la chaîne de communauté que vous souhaitez utiliser) :
    |_+_|
  4. Modifiez votre fichier snmpd :
    |_+_|
  5. Recherchez et commentez les éléments suivants :
    |_+_|
  6. Ajoutez maintenant la ligne suivante :
    |_+_|
  7. Fermeretsauvegarderle fichier.
  8. Redémarrez snmpd en saisissant ce qui suit :
    |_+_|

Meilleures pratiques en matière de chaînes communautaires

L’un des aspects les plus souvent négligés de la configuration d’une chaîne de communauté est le choix d’une chaîne de communauté totalement sécurisée. Les chaînes de communauté agissent comme des mots de passe et, tout comme les mots de passe, elles doivent être écrites d'une manière qui n'est pas facile à deviner. Lorsque vous configurez des chaînes SNMP sur votre réseau, vous voulez vous assurer qu'elles sont aussi difficiles à deviner que possible.

Il existe de nombreuses façons de procéder :

  • Créez des chaînes de communauté de 20 caractères ou plus.
  • Incluez un mélange de caractères majuscules, de caractères minuscules, de chiffres et de symboles.
  • N'utilisez pas de mots du dictionnaire.
  • Ne faites référence à aucune information personnelle.
  • Assurez-vous que les chaînes de communauté publiques et privées sont différentes !
  • Appliquez différentes chaînes de communauté à différents périphériques réseau !

L'utilisation des meilleures pratiques ci-dessus est très importante car contrairement à un mot de passe, SNMP ne verrouillera pas un utilisateur s'il se trompe trop souvent. Les pirates auront un nombre indéfini de tentatives pour deviner la chaîne de votre communauté. Vous devez donc vous assurer que les caractères sont aussi difficiles à deviner que possible.

Comment confirmer une chaîne de communauté

Une fois SNMP opérationnel, vous pourrez consulter les journaux de votre gestionnaire de réseau pour voir de quels appareils il peut obtenir des rapports d'état. Si un périphérique réseau attendu est absent de la liste, vous devez savoir qu'une des raisons possibles de cette absence pourrait être que la chaîne de communauté n'a pas été définie correctement et l'appareil a refusé le Obtenir une demande .

Pour éviter d'avoir à parcourir les listes de réponses de l'agent de périphérique, vous pouvez utiliser une simple fonction de test après chaque exercice de configuration de chaîne de communauté pour vérifier que le périphérique utilise réellement le mot de passe activé que vous pensiez avoir défini.

LeOutil de test SNMP gratuit Paesslerest un bon utilitaire à utiliser pour vérifier la chaîne de communauté sur vos périphériques réseau. Ce programme fonctionne sous Windows et peut être téléchargé gratuitement .

Paessler SNMP Tester - Capture d

Le testeur SNMP ne vous indiquera pas la chaîne de communauté d'un périphérique réseau – vous devez saisir le mot de passe en paramètre avant de lancer le test. Cependant, une exécution rapide du testeur vous permettra de savoir immédiatement si la chaîne de communauté que vous pensiez avoir définie sur un appareil est réellement à jour.

Le créateur de l'outil, Paessler est surtout connu pour sonPRTGproduit. Il s'agit d'un système complet de surveillance de l'infrastructure informatique qui comprend une surveillance des performances du réseau pilotée par SNMP.

Avantages:

  • Excellent outil pour préparer les appareils à une implémentation SIEM ou à une autre surveillance basée sur un agent
  • Super léger, ne prend pas beaucoup d'espace ou de ressources système
  • Fonctionne bien en tandem avec d'autres capteurs PRTG

Les inconvénients:

  • PRTG est conçu pour les administrateurs réseau et nécessite des connaissances en réseau pour pouvoir l'utiliser pleinement.

Mots de clôture : chaînes de communauté SNMP

Si vous souhaitez plus de tranquillité d’esprit, vous pouvez faire appel à un professionnel pour effectuer un test d’intrusion. Un test d'intrusion est l'occasion pour quelqu'un de tenter de pénétrer dans votre réseau et d'exploiter les vulnérabilités existantes. . Un test d’intrusion réussi garantira que vous n’avez aucune faille dans la sécurité de votre réseau que les pirates pourraient cibler. Tant que vous avez mis en œuvre les étapes ci-dessus, tout devrait bien se passer, mais il vaut toujours la peine de vérifier que votre réseau est protégé contre les utilisateurs non autorisés.

Ceci conclut notre guide pour trouver et créer des chaînes de communauté sous Windows et Linux. Comme vous pouvez le constater, le processus est relativement simple sur les deux systèmes d'exploitation. Quelle que soit la plateforme sur laquelle vous vous trouvez,assurez-vous que SNMP est activéavant de vous lancer dans des configurations.

De même, chaque fois que vous entrez une chaîne de communauté, assurez-vous toujours que vous rendre la chaîne aussi difficile à deviner que possible . Si vous disposez d’une chaîne de communauté facile à deviner, vous laissez votre réseau interne exposé aux attaques et aux temps d’arrêt. Suivre les meilleures pratiques répertoriées ci-dessus permettra de garantir que ce n’est pas un problème.

Pour une sécurité maximale des données, tu veuxassurez-vous que vous utilisez SNMPv3. De cette façon, vous pourrezbénéficier du cryptageet protégez les chaînes de votre communauté. De même, vous souhaitez garder un contrôle étroit sur les chaînes de communauté en lecture-écriture, car celles-ci représentent la plus grande menace pour votre sécurité.

Si un utilisateur non autorisé accède à une chaîne de communauté en lecture-écriture, il pourra non seulement lire les données de votre appareil, mais pourra également modifier vos configurations ! En gérant soigneusement votre utilisation de SNMP et des chaînes de communauté, vous garantirez que vous pouvez utiliser les chaînes de communauté sans laisser votre réseau vulnérable à un attaquant.

FAQ sur les chaînes de communauté SNMP

À quoi sert le nom de communauté SNMP Lecture Écriture ?

La chaîne de communauté SNMP est utilisée comme identifiant utilisateur/mot de passe. Il est envoyé avec une Get-Request et permet un accès sécurisé aux données d'état de l'appareil.

Les chaînes de communauté SNMP par défaut sur les appareils sans fil sont-elles modifiées lors de l'installation ?

Oui. Laisser la chaîne de communauté SNMP à sa configuration d'usine annule tous les avantages de sécurité liés à l'utilisation de cette mesure, elle doit donc être modifiée. La console de gestion de chacun de vos appareils doit avoir un élément de menu ou un onglet Sécurité et les paramètres de chaîne de communauté SNMP se trouveront dans cette section.

Existe-t-il des vulnérabilités dans les chaînes de communauté SNMP ?

Oui. Le fait que la chaîne de communauté soit laissée en texte brut constitue une faiblesse majeure en matière de sécurité. De plus, la chaîne de communauté par défaut « public » fréquemment utilisée est la première tentative que fera tout pirate informatique pour tenter d’exploiter le système SNMP.

Quelle est la longueur maximale de la chaîne de communauté SNMP ?

La longueur maximale d'une chaîne de communauté dans les implémentations SNMP est de 32 caractères.

^