jajaj…qué título!
Me pareció bueno compartir ésto, porque es tarde, no me puedo dormir y además a diario analizo configuraciones mal hechas….
Más allá de la plataforma (cisco, juniper, fortinet, mikrotik, etc…) es importante tener en cuenta:
Homologar el nombre de la comunidad: Con el fin de que todos los equipos de nuestra red tengan el mismo nombre.
Filtrar la IP de origen o rango IP, desde la que se realizarán las consultas vía SNMP.
Deshabilitar la comunidad “public” que viene por default (en algunos equipos).
No habilitar comunidades de escritura si no es realmente necesario, ya que no es correcto en terminos de seguridad.
Si es posible, utilizar SNMP v3. Aunque siempre se termina utilizando v2, como el en siguiente ejemplo…
Ejemplo sobre CISCO:
!
!
access-list 10 remark SNMP-QUERIES
access-list 10 permit 172.12.1.100
!
!
snmp-server community consnmpr-read RO 10
snmp-server location CABA
snmp-server contact sistemas@example.com.ar
!
!
En el caso anterior indicamos una comunidad de solo lectura filtrada por la lista de acceso 10, la cual solo permite al host 172.12.1.100
Espero que te ayude…
Comentarios