SNMP-Einstellungen

SNMPv3-Zugriffseinstellungen für Administratoren

Administratoren haben SNMPv3-Zugang entsprechend ihrer Zugriffsrechte: Sollen registrierte Administratoren auch den Zugriff über SNMPv3 erhalten, aktivieren Sie diese Option.

Passwortregeln

Erzwinge Passwortregeln

Mit diesem Eintrag haben Sie die Möglichkeit, das Erzwingen von Passwort-Regeln zu aktivieren oder zu deaktivieren. Es gelten dann die folgenden Regeln für die SNMPv3-Authentifizierung und das Passwort für SNMPv3-Verschlüsselung:

Die Länge des Passworts muss mindestens 16 Zeichen betragen.
Das Passwort muss mindestens 3 der 4 Zeichenklassen Kleinbuchstaben, Großbuchstaben, Zahlen und Sonderzeichen enthalten.

Wichtig: Beachten Sie, dass beim Einschalten dieser Funktion die aktuellen Passwörter nicht unmittelbar überprüft werden. Nur bei zukünftigen Änderungen der Passwörter werden diese auf ihre Übereinstimmung mit der Richtlinie überprüft.

SNMP-Communities

Auch bei der Verwaltung von Netzwerken mit SNMP-Management-Systemen lassen sich die Rechte über verschiedene Zugriffsebenen für Administratoren präzise steuern. SNMP kodiert dazu bei den Versionen SNMPv1 und SNMPv2c die Zugangsdaten als Teil einer sogenannten "Community", welche die Bedeutung eines Passworts bzw. Zugangsschlüssels inne hat. Die Authentifizierung kann hierbei wahlweise

über die Community public (uneingeschränkter SNMP-Lesezugriff),
ein Master-Passwort (beschränkter SNMP-Lesezugriff), oder
eine Kombination aus Benutzername und Passwort, getrennt durch einen Doppelpunkt (beschränkter SNMP-Lesezugriff),

erfolgen.

Eine Communitiy fasst somit bestimmte SNMP-Hosts zu Gruppen zusammen, um diese einerseits einfacher verwalten zu können. Andererseits bieten SNMP-Communities eine eingeschränkte Sicherheit beim Zugriff über SNMP, da ein SNMP-Agent nur SNMP-Anfragen von Teilnehmern akzeptiert, deren Community ihm bekannt ist.

Standardmäßig beantwortet Ihr Gerät alle SNMP-Anfragen, die es von LANmonitor oder einem anderen SNMP-Management-System mit der Community public erhält. Da dies jedoch (v. a. bei externer Erreichbarkeit) ein potentielles Sicherheitsrisiko darstellt, haben Sie die Möglichkeit, in LANconfig eigene Communities zu definieren.

Anmerkung: Diese Konfiguration ist nur für die SNMP-Versionen v1 und v2c relevant.

Eintrag aktiv: Aktiviert oder deaktiviert diese SNMP-Community.
Name: Vergeben Sie hier einen aussagekräftigen Namen für diese SNMP-Community.
Security-Name: Geben Sie hier die Bezeichnung für die Zugriffsrichtlinie ein, die die Zugriffsrechte für alle Community-Mitglieder festlegt.

Anmerkung: Als Standard ist die SNMP-Community public eingerichtet, die den uneingeschränkten SNMP-Lesezugriff ermöglicht.

Um eine autorisierte Abfrage von Zugangsdaten beim SNMP-Lesezugriff über SNMPv1 oder SNMPv2c zu erzwingen, deaktivieren Sie die Community public in der Liste der SNMP-Communities. Dadurch lassen sich Informationen über den Zustand des Gerätes, aktuelle Verbindungen, Reports, etc. erst dann via SNMP auslesen, nachdem sich der betreffende Benutzer am Gerät authentifiziert hat. Die Autorisierung erfolgt wahlweise über die Zugangsdaten des Administrator-Accounts oder über den in der individuellen SNMP-Community definierten Zugang.

Das Deaktivieren der Community public hat keine Auswirkung auf den Zugriff über eine weitere angelegte Community. Eine individuelle SNMP Read-Only Community bleibt z. B. stets ein alternativer Zugangsweg, der nicht an ein Administrator-Konto gebunden ist.

Anmerkung: Der SNMP-Schreibzugriff bleibt ausschließlich Administratoren mit entsprechenden Berechtigungen vorbehalten.

Benutzer

Neben den am Gerät registrierten Administratoren ist der Zugriff auch für einzelne Nutzer möglich. Hier konfigurieren Sie die Einstellungen für Authentifizierung und Verschlüsselung für diese Anwender bei Nutzung von SNMPv3.

Eintrag aktiv

Aktiviert oder deaktiviert diesen Benutzer.

Benutzername

Vergeben Sie hier einen aussagekräftigen Namen für diesen Benutzer.

Authentifizierung

Bestimmen Sie, mit welchem Verfahren sich der Benutzer am SNMP-Agent authentifizieren muss. Zur Verfügung stehen die folgenden Verfahren:

Keine: Eine Authentifizierung des Benutzers ist nicht notwendig.
HMAC-MD5: Die Authentifizierung erfolgt mit dem Hash-Algorithmus HMAC-MD5-96 (Hash-Länge 128 Bits).
HMAC-SHA (Default): Die Authentifizierung erfolgt mit dem Hash-Algorithmus HMAC-SHA (Hash-Länge 160 Bits).
HMAC-SHA224: Die Authentifizierung erfolgt mit dem Hash-Algorithmus HMAC-SHA-224 (Hash-Länge 224 Bits).
HMAC-SHA256: Die Authentifizierung erfolgt mit dem Hash-Algorithmus HMAC-SHA-256 (Hash-Länge 256 Bits).
HMAC-SHA384: Die Authentifizierung erfolgt mit dem Hash-Algorithmus HMAC-SHA-384 (Hash-Länge 384 Bits).
HMAC-SHA512: Die Authentifizierung erfolgt mit dem Hash-Algorithmus HMAC-SHA-512 (Hash-Länge 512 Bits).

Passwort für Auth.

Geben Sie hier das für die Authentifizierung notwendige Passwort des Benutzers ein und wiederholen Sie es im Feld darunter.

Verschlüsselung

Bestimmen Sie, nach welchem Verschlüsselungsverfahren die Kommunikation mit dem Benutzer verschlüsselt sein soll. Zur Verfügung stehen die folgenden Verfahren:

Keine: Die Kommunikation erfolgt unverschlüsselt.
DES: Die Verschlüsselung erfolgt mit DES (Schlüssellänge 56 Bits).
AES128: Die Verschlüsselung erfolgt mit AES128 (Schlüssellänge 128 Bits)
AES192: Die Verschlüsselung erfolgt mit AES192 (Schlüssellänge 192 Bits)
AES256 (Default): Die Verschlüsselung erfolgt mit AES256 (Schlüssellänge 256 Bits)

Passwort für Verschl.

Geben Sie hier das für die Verschlüsselung notwendige Passwort des Benutzers ein und wiederholen Sie es im Feld darunter.

Gruppen

Durch die Konfiguration von SNMP-Gruppen lassen sich Authentifizierung und Zugriffsrechte für mehrere Benutzer komfortabel verwalten und zuordnen. Als Standardeintrag ist die Konfiguration für den SNMP-Zugriff über den LANmonitor bereits voreingestellt.

Eintrag aktiv

Aktiviert oder deaktiviert diese Gruppe.

Gruppenname

Vergeben Sie hier einen aussagekräftigen Namen für diese Gruppe. Diesen Namen verwenden Sie anschließend bei der Konfiguration der Zugriffsrechte.

Benutzer / Security-Name

Wählen Sie hier einen Security-Namen aus, den Sie einer SNMP-Community zugeordnet haben. Auch die Angabe des Namens eines bereits konfigurierten Benutzers ist möglich.

Security-Model

SNMPv3 hat das Prinzip des "Security Models" eingeführt, so dass in der SNMP-Konfiguration von LCOS hauptsächlich das Security-Model "SNMPv3" zum Einsatz kommt. Aus Kompatibilitätsgründen kann es jedoch notwendig sein, auch die Versionen SNMPv2c oder sogar SNMPv1 zu berücksichtigen und entsprechend als "Security-Model" auszuwählen. Entsprechend wählen Sie hier einen der folgenden Einträge aus:

SNMPv1: Die Übertragung der Daten erfolgt über SNMPv1. Die Authentifizierung des Benutzers erfolgt ausschließlich über den Community-String in der SNMP-Nachricht. Eine Verschlüsselung der Kommunikation findet nicht statt. Das entspricht der Sicherheitsstufe "Keine Authentifizierung und keine Verschlüsselung".
SNMPv2: Die Übertragung der Daten erfolgt über SNMPv2c. Die Authentifizierung des Benutzers erfolgt ausschließlich über den Community-String in der SNMP-Nachricht. Eine Verschlüsselung der Kommunikation findet nicht statt. Das entspricht der Sicherheitsstufe "Keine Authentifizierung und keine Verschlüsselung".
SNMPv3 (USM): Die Übertragung der Daten erfolgt über SNMPv3. Für Anmeldung und Kommunikation des Benutzers sind Sicherheitsstufen möglich, die bei den Zugriffsrechten aktiviert werden.

Zugriffsrechte

Diese Tabelle führt die verschiedenen Konfigurationen für Zugriffsrechte, Security-Modelle und Ansichten zusammen.

Eintrag aktiv

Aktiviert oder deaktiviert diesen Eintrag.

Gruppenname

Wählen Sie hier den Namen einer Gruppe aus, für die diese Zugriffsrechte gelten soll.

Ansicht mit Leserechten

Bestimmen Sie die Ansicht der MIB-Einträge, für die diese Gruppe die Leserechte erhalten soll.

Ansicht mit Leserechten (Traps)

Bestimmen Sie die Ansicht der MIB-Einträge, für die diese Gruppe die Leserechte für Traps erhalten soll.

Ansicht mit Schreibrechten

Bestimmen Sie die Ansicht der MIB-Einträge, für die diese Gruppe die Schreibrechte erhalten soll.

Security-Model

Aktivieren Sie hier das entsprechende Security-Model.

Minimale Sicherheit

Geben Sie die minimale Sicherheit an, die für Zugriff und Datenübertragung gelten soll.

Keine Authentifizierung und keine Verschlüsselung: Die Authentifizierung erfolgt nur über die Angabe und Auswertung des Benutzernamens. Eine Verschlüsselung der Datenübertragung findet nicht statt.
Authentifizierung, aber keine Verschlüsselung: Die Authentifizierung erfolgt über die für den Benutzer eingestellten Hash-Algorithmen. Eine Verschlüsselung der Datenübertragung findet nicht statt.
Authentifizierung und Verschlüsselung: Die Authentifizierung erfolgt über die für den Benutzer eingestellten Hash-Algorithmen. Die Verschlüsselung der Datenübertragung erfolgt über DES- oder AES-Algorithmen.

Ansichten

Hier fassen Sie verschiedene Werte oder ganze Zweige der MIB des Gerätes zusammen, die ein Benutzer gemäß seiner Zugriffsrechte einsehen oder verändern kann.

Eintrag aktiv: Aktiviert oder deaktiviert diese Ansicht.
Name: Vergeben Sie hier der Ansicht einen aussagekräftigen Namen.
Zugriff auf Teilbaum: Bestimmen Sie, ob die nachfolgend angegebenen OID-Teilbäume Bestandteil ("hinzugefügt") oder kein Bestandteil ("entfernt") der Ansicht sind.
OID-Teilbaum: Bestimmen Sie durch komma-separierte Angabe der jeweiligen OIDs, welche Werte und Aktionen der MIB diese Ansicht ein- bzw. ausschließen soll.
Anmerkung: Die OIDs entnehmen Sie bitte der Geräte-MIB, die Sie im WEBconfig unter Extras > SNMP-Geräte-MIB abrufen herunterladen können.