Cmo configurar SNMP Cmo configurar SNMP.

Autor: Joel Barrios Dueas Correo electrnico: darkshram en gmail punto com Sitio de Red: http://www.alcancelibre.org/ Jabber ID: darkshram@jabber.org
Creative Commons Reconocimiento-NoComercial-CompartirIgual 2.1 1999-2008 Joel Barrios Dueas. Usted es libre de copiar, distribuir y comunicar pblicamente la obra y hacer obras derivadas bajo las condiciones siguientes: a) Debe reconocer y citar al autor original. b) No puede utilizar esta obra para fines comerciales(incluyendo su publicacin, a travs de cualquier medio, por entidades con fines de lucro). c) Si altera o transforma esta obra o genera una obra derivada, slo puede distribuir la obra generada bajo una licencia idntica a sta. Al reutilizar o distribuir la obra, tiene que dejar bien claro los trminos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los derechos de autor. Los derechos derivados de usos legtimos u otras limitaciones no se ven afectados por lo anterior. Licencia completa en castellano. La informacin contenida en este documento y los derivados de ste se proporcionan tal cual son y los autores no asumirn responsabilidad alguna si el usuario o lector hace mal uso de stos.

Introduccin.
Acerca de SNMP.
SNMP (Simple Network Management Protocol o Protocolo Simple de administracin de red) es uno protocolos del conjunto definido por la Fuerza de Trabajo en Ingeniera de Internet ( IETF o Internet Engineering Task Force), clasificada en el nivel de aplicacin del modelo TCP/IP y que est diseado para facilitar el intercambio de informacin entre dispositivos de red y es ampliamente utilizado en la administracin de redes para supervisar el desempeo, la salud y el bienestar de una red, equipo de computo y otros dispositivos. URL: http://tools.ietf.org/html/rfc1157.

Acerca de Net-SNMP.
Net-SNMP, el equipamiento lgio utilizado en este documento, es un conjunto de aplicaciones utilizados para implementar SNMP v1, SNMP v2c y SNMP v3 utilizando IPv4 y/o IPv6. El proyecto fue iniciado como un conjunto de herramientas SNMP por Steve Waldbusser en la CMU (Carnegie Mellon University), Pittsburgh, Pennsylvania, EE.UU., en 1992. Tras ser abandonado, fue retomado por Wes Hardaker en la UCDavis (University of California, Davis), renombrado como UCD-SNMP y mejorado para cubrir las necesidades del Departamento de Ingeniera Elctrica de dicha institucin. Tras dejar la universidad, Hardaker continu el proyecto, cambiando el nombre de ste a Net-SNMP. URL: http://net-snmp.sourceforge.net/

Equipamiento lgico necesario.

Instalacin a travs de yum.
Si utiliza CentOS 4 y 5, Red Hat Enterprise Linux 5 o White Box Enterprise Linux 4 y 5, solo se necesita realizar lo siguiente para instalar o actualizar el equipamiento lgico necesario: yum -y install net-snmp net-snmp-utils

Instalacin a travs de up2date.

Si se utiliza Red Hat Enterprise Linux 4, solo bastar realizar lo siguiente para instalar o actualizar el equipamiento lgico necesario: up2date -i net-snmp net-snmp-utils

Procedimientos
Este documento considera las siguientes variables que debern ser reemplazadas por valores reales: 192.168.1.0/24: Direccin de red y mscara de subred en bits que correspondan a los de la red local a la que se pertenece. Cl4v3-d3-Acc3s0: Cualquier clave de acceso lo suficientemente buena. m064.alcancelibre.org: Nombre de anfitrin del sistema donde se est configurando el servicio. fulano@algun-dominio.net: Cuenta de correo del administrador del servidor. 192.168.1.254: Direccin IP del servidor.

Archivo de configuracin /etc/snmp/snmpd.conf.

El archivo /etc/snmp/snmpd.conf que se instala junto con el paquete y puede resultar para algunos una verdadera maraa de comentarios y opciones de todo tipo. Lo ms recomendable ser crear un archivo nuevo y limpio de contenido para poder partir de algo ms simple y funcional.

cd /etc/snmp mv snmpd.conf snmpd.conf-OLD touch snmpd.conf

Listas de control de acceso.
Se deben crear las listas de control de acceso ( ACL o Access Control List) correspondientes en el archivo/etc/snmp/snmpd.conf, las cuales servirn para definir lo que tendr acceso hacia el servicio snmpd. A una de estas listas se le otorgar permiso de acceso de lectura y escritura, para lo que sea necesario en relacin con administracin y a la otra de solo lectura. Por razones de seguridad solo la interfaz 127.0.0.1 estar en la lista de lectura escritura. Se otorgar permiso de acceso de solo lectura a una red o bien a una direccin IP en la otra lista de control de acceso. Considerando lo anterior, se podran agregar un par de lneas como las siguientes:

com2sec local 127.0.0.1/32 Cl4v3-d3-Acc3s0 com2sec miredlocal 192.168.1.0/24 Cl4v3-d3-Acc3s0

En lo anterior la primera lnea significa que habr una lista de control de acceso denominada local y que corresponder solo a 127.0.0.1/32, asignando Cl4v3-d3-Acc3s0 como clave de acceso. La segunda lnea hace lo mismo pero definiendo a la red192.168.1.0/24. Se puede definir lo que uno guste mientras no sea la clave de root, esto debido a que dicha clave se transmite a travs de la red en forma de texto simple (es decir, sin cifrar).

Definicin de grupos.
Se crean al menos dos grupos: MyRWGroup y MyROGroup. El primero ser un grupo al que se asignarn ms adelante permisos de lectura escritura y el segundo ser un grupo al que posteriormente se asignarn permisos de solo lectura. Por cada grupo se asignan tres lneas que especifican el tipo de acceso que se permitir en un momento dado a un grupo en particular. Es decir, MyRWGroup se asocia a local y MyROGroup a miredlocal.

#Se asigna local al grupo de lectura escritura group MyRWGroup v1 local group MyRWGroup v2c local group MyRWGroup usm local #Se asigna miredlocal al grupo de solo lectura group MyROGroup v1 miredlocal group MyROGroup v2c miredlocal group MyROGroup usm miredlocal
Ramas permitidas.
Se especifican las ramas que se van a permitir ver a travs del servicio. Lo ms comn, para, por ejemplo, utilizarse conMRTG, es lo siguiente:

## name view all

incl/excl subtree included .1

mask(optional) 80

Asignacin de permisos a los grupos.

Se debe especificar que permisos tendrn los dos grupos, MyROGroup y MyRWGroup. Son de especial inters las ltimas columnas.

## group write notif

context

sec.model sec.level prefix read any any noauth noauth exact exact all all

access MyROGroup "" none none access MyRWGroup "" all all
Parmetros de carcter informativo.

Se definen dos parmetros de carcter informativo para que cuando utilicen aplicaciones cliente como MRTG se incluya algo de informacin acerca de que sistema se est accediendo.

syslocation Servidor Linux en SU-SERVIDOR.algun-dominio.net syscontact Administrador (fulano@algun-dominio.net) Un ejemplo funcional de configuracin.
El ejemplo que mostramos a continuacin se utiliza en todas los equipos que posee el autor en casa y en la oficina. Solo hay que reemplazar el valor redlocal por lo que uno considere apropiado y reemplazar el valor 192.168.1.0/24 por el valor de la redo la direccin IP desde donde se requiera acceder con un cliente snmp, como MRTG.

# Listas de control de acceso (ACL) ## sec.name source community (alias clave de acceso) com2sec local 127.0.0.1/32 Cl4v3-d3-Acc3s0 com2sec miredlocal 192.168.1.0/24 Cl4v3-d3-Acc3s0 #Se asigna ACL al grupo de lectura escritura group MyRWGroup v1 local group MyRWGroup v2c local group MyRWGroup usm local #Se asigna ACL al grupo de solo lectura group MyROGroup v1 miredlocal group MyROGroup v2c miredlocal group MyROGroup usm miredlocal # Ramas MIB que se permiten ver ## name view all incl/excl subtree included .1 mask(optional) 80

# Establece permisos de lectura y escritura ## group write notif context sec.model sec.level prefix read any any noauth noauth exact exact all all

access MyROGroup "" none none access MyRWGroup "" all all

# Informacin de Contacto del Sistema syslocation Servidor Linux en m064.alcancelibre.org syscontact Administrador (fulano@algun-dominio.net)
Si es necesario aadir ms equipos para que accedan al servicio snmpd, solo hay que hacer lo siguiente:

Agregar una ACL con un nombre nico. Ejemplo: com2sec micueva 192.168.1.251 Cl4v3-d3-Acc3s0 Agregar un juego reglas que asignen al grupo, en este caso micueva, con lo siguiente: group otrogrupo v1 local group otrogrupo v2c local group otrogrupo usm local Agregar una lnea donde se establece que permisos tendr el grupo otrogrupo. En este ejemplo, va a ser de solo lectura: access MyROGroup "" any noauth exact all none none Iniciar, detener y reiniciar el servicio snmpd.
Para ejecutar por primera vez el servicio snmpd, utilice:

service snmpd start

Para hacer que los cambios hechos tras modificar la configuracin surtan efecto, utilice:

service snmpd restart

Para detener el servicio snmpd utilice:

service snmpd stop Agregar el servicio snmpd al arranque del sistema.

Para hacer que el servicio de snmpd est activo con el siguiente inicio del sistema, en todos los niveles de ejecucin (2, 3, 4 y 5), se utiliza lo siguiente:

chkconfig snmpd on

Comprobaciones.
Considerando, como ejemplo, que sea sign como clave de acceso Cl4v3-d3-Acc3s0 en un sistema cuya direccin IP es192.168.1.254, para probar si la configuracin funciona, solo hay que ejecutar los dos siguiente mandatos a fin verificar que devuelvan informacin acerca del sistema consultado.

snmpwalk -v 1 192.168.1.254 -c Cl4v3-d3-Acc3s0 system snmpwalk -v 1 192.168.1.254 -c Cl4v3-d3-Acc3s0 interfaces

Modificaciones necesarias en el muro cortafuegos.

Si se utiliza un cortafuegos con polticas estrictas, como por ejemplo Shorewall, es necesario abrir los puerto 161 y 162 por UDP (SNMP y SNMPTRAP, respectivamente). Las reglas para el archivo /etc/shorewall/rules de Shorewall en un sistema con una zona (net), correspondera a lo siguiente:

#ACTION # ACCEPT net

SOURCE DEST

PROTO DEST PORT

SOURCE PORT(S)1

fw

udp

161,162

#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
Las reglas para el archivo /etc/shorewall/rules de Shorewall en un sistema con dos zonas (net y loc), donde solo se va a permitir el acceso al servicio snmpd desde la red local, correspondera a lo siguiente:

#ACTION # ACCEPT loc

SOURCE DEST

PROTO DEST PORT

SOURCE PORT(S)1

fw

udp

161,162

#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE