Prise en charge SNMPv3

Sommaire
casp1032
Les normes SNMPv3 requièrent un ID de moteur unique pour chaque entité SNMP (ou moteur). Le moteur/l'application SNMP doit avoir son propre ID de moteur unique, qu'il s'agisse d'un gestionnaire ou d'un agent. RFC 3414 et RFC 3418 sont les normes SNMPv3 officielles. Pour plus d'informations, reportez-vous au site Web IETF (http://www.ietf.org/rfc.html).
La prise en charge de SNMPv3 inclut ce qui suit :
  • Authentification
  • Confidentialité
  • Compteurs 64 bits
DX NetOps Spectrum
modélise et gère simultanément les unités qui prennent en charge SNMPv1, SNMPv2c et SNMPv3.
Prise en charge du profil Diffie-Hellman (DH) sur SNMP v3
10.4.1
prend en charge la création de profils DH sur SNMPv3. Cette fonctionnalité fournit un mécanisme de sécurité plus robuste pendant la communication. Pour plus d'informations sur la création d'un profil DH, reportez-vous à la page Boîte de dialogue SNMP v3 Profiles (Profils SNMP v3).
Option de domaine sécurisé dans la création de profils SNMP v3
10.3.1 introduit la prise en charge d'une option Secure Domain dans la boîte de dialogue SNMPv3 profile creation (Création de profils SNMPv3). Cette fonctionnalité assure la confidentialité et la sécurité en limitant le profil v3 au SDC particulier spécifié dans une option Secure Domain et en empêchant les utilisateurs d'afficher les profils d'unité appartenant à d'autres utilisateurs. Les utilisateurs doivent spécifier l'adresse IP et configurer le domaine sécurisé pour leurs unités. Pour plus d'informations sur la prise en charge améliorée du profil SNMPV3, reportez-vous à la page Boîte de dialogue SNMP v3 Profiles (Profils SNMP v3).
Authentification SNMPv3
A partir de la version 10.3,
DX NetOps Spectrum
autorise / et : dans le nom d'utilisateur SNMPv3, le mot de passe d'authentification et les mots de passe de confidentialité.
SNMPv3 fournit les niveaux de sécurité suivants : non authentifié, authentifié et authentifié avec confidentialité. L'authentification dans SNMPv3 utilise un algorithme pour déterminer si un message provient d'une source valide.
DX NetOps Spectrum
prend en charge la norme SNMPv3 pour l'authentification des messages. Vous spécifiez un mot de passe d'authentification pour un modèle d'unité lorsque vous le créez.
Lorsqu'un paquet SNMP est converti en SNMPv3, les paramètres de sécurité sont ajoutés au paquet SNMPv3 qui est envoyé à l'unité. L'agent SNMPv3 sur l'unité vérifie l'authenticité du message afin de vérifier que le paquet provient d'une source autorisée.
Les données SNMPv3 envoyées depuis l'unité à
DX NetOps Spectrum
utilisent également des paramètres de sécurité similaires.
DX NetOps Spectrum
reçoit le paquet et vérifie son authenticité.
DX NetOps Spectrum
prend en charge les algorithmes suivants pour l'authentification :
  • MD5 (algorithme de hachage) : produit un hachage de 128 bits (16 octets). Cet algorithme est la valeur par défaut. Vous pouvez modéliser une unité configurée pour utiliser MD5, en utilisant Authentication with no Privacy (Authentification sans confidentialité) ou Authentification with Privacy (Authentification avec confidentialité).
  • SHA (algorithme de hachage sécurisé) : produit un hachage de 160 bits (20 octets).
  • SHA256 : génère un hachage de 256 bits (32 octets).
  • SHA512 : génère un hachage de 512 bits (64 octets).
Activation de la confidentialité SNMPv3
La confidentialité dans SNMPv3 utilise un algorithme de chiffrement pour encoder le contenu d'un paquet SNMPv3 afin de vérifier qu'il ne peut pas être affiché par des entités non autorisées lorsqu'il est acheminé sur le réseau.
DX NetOps Spectrum
prend en charge la norme SNMPv3 pour le chiffrement des messages. Vous spécifiez un mot de passe de confidentialité pour un modèle d'unité lorsque vous le créez.
S'il est configuré correctement, le message SNMPv3 est envoyé par
DX NetOps Spectrum
à l'aide du mot de passe pour chiffrer le message avant qu'il ne soit envoyé sur le réseau. L'unité de destination déchiffre les données lorsqu'il les reçoit. Les données de retour envoyées depuis l'unité à
DX NetOps Spectrum
sont également chiffrées.
DX NetOps Spectrum
prend en charge les algorithmes de chiffrement suivants pour la confidentialité :
  • DES : Data Encryption Standard (DES) est une norme 64 bits qui chiffre et déchiffre les données.
  • 3DES : Data Encryption Standard (DES) est une norme 64 bits qui chiffre et déchiffre les données trois fois.
  • AES : la norme de chiffrement avancé (Advanced Encryption Standard, AES) est un algorithme de chiffrement standard 128 bits qui chiffre et déchiffre les données.
  • AES256 : la norme de chiffrement avancé (Advanced Encryption Standard, AES 256) est un algorithme de chiffrement standard 256 bits qui chiffre et déchiffre les données.
Procédez comme suit :
  1. Dans l'onglet Topology (Topologie) du panneau Contents (Contenu), cliquez sur Creates a new model by IP (Crée un nouveau modèle par adresse IP) spec--createnewmodelbyIP--ICO.
    La boîte de dialogue Create Model by IP Address (Créer un modèle par adresse IP) s'ouvre.
  2. Remplissez les champs de manière appropriée.
    • Network Address (Adresse réseau)
      Spécifie l'adresse IPv4 ou IPv6 pour l'unité que vous voulez modéliser.
    • DCM Timeout (ms) (Délai d'expiration du module DCM (ms))
      Spécifie le délai d'expiration entre les nouvelles tentatives (en millisecondes).
      Valeur par défaut :
      3 000 millisecondes (3 secondes)
    • DCM Retry Count (Nombre de nouvelles tentatives du module DCM)
      Saisissez le nombre de tentatives que le module DCM doit effectuer pour envoyer une demande à une unité qui ne répond pas.
    • Agent Port (Port de l'agent)
      Spécifie le port de l'agent SNMP.
      Valeur par défaut :
      161
  3. Sélectionnez l'option SNMP v3 dans la section SNMP Communications Options (Options de communication SNMP).
    Le champ SNMP Community String (Chaîne de communauté SNMP) devient désactivé.
  4. Cliquez sur Profiles (Profils) pour créer un nouveau profil de sécurité SNMPv3.
    La boîte de dialogue Edit SNMP v3 Profiles (Modifier des profils SNMP v3) s'affiche.
Vous pouvez également accéder à la boîte de dialogue Edit SNMP v3 Profiles (Modifier des profils SNMP v3) en cliquant sur Profiles (Profils) dans l'onglet Configuration de la console de détection. Pour plus d'informations, reportez-vous à Boîte de dialogue Edit SNMPv3 Profiles (Modifier des profils SNMPv3).
Compteurs 64 bits
La norme SNMPv3 prend en charge les compteurs 64 bits.
DX NetOps Spectrum
peut accéder aux variables MIB de compteur 64 bits pour toutes les unités SNMPv3 conformes à cette norme.
Problèmes de prise en charge SNMPv3
Voici quelques-uns des problèmes associés à la prise en charge de SNMPv3.
  • Commande get-bulk
    La prise en charge
    DX NetOps Spectrum
    de SNMPv3 n'inclut pas la commande get-bulk.
  • Affichage du modèle de contrôle d'accès (VACM)
    DX NetOps Spectrum
    prend en charge les fonctions VACM de SNMPv3, toutefois VACM n'est pas recommandé.
    DX NetOps Spectrum
    inclut des fonctionnalités qui permettent un accès sécurisé aux unités. Si vous octroyez à
    DX NetOps Spectrum
    l'accès complet à toutes les MIB d'unité, vous bénéficiez de performances de surveillance et de gestion efficaces.
  • Performances et capacité
    Des ressources de traitement élevées sont requises pour
    DX NetOps Spectrum
    gère efficacement des unités SNMPv3. Une surcharge supplémentaire est consommée à l'aide des fonctionnalités Authentication (Authentification) et Privacy (Confidentialité) en raison du temps nécessaire au déchiffrement et à l'authentification de chaque message.
    Cela affecte le nombre de modèles d'unité que
    SpectroSERVER
    peut gérer.
  • Noms d'utilisateur de sécurité SNMPv3 sur
    SpectroSERVER
    Vous ne pouvez pas utiliser le même nom d'utilisateur plusieurs fois pour les trois niveaux de SNMPv3 (non authentifié, authentifié et authentifié avec confidentialité). Par exemple, si vous utilisez le nom d'utilisateur user1 pour SNMPv3 de niveau 1 non authentifié, vous ne pouvez pas utiliser le même nom d'utilisateur pour l'authentification SNMPv3 de niveau 2 ou pour SNMPv3 de niveau 3 authentifié avec la confidentialité.