Même si le protocole SNMP est très utile pour la surveillance et le dépannage, comme le montre la figure, il peut également être à l'origine de failles de sécurité. Pour cette raison, avant d'implémenter le protocole SNMP, veillez à respecter les meilleures pratiques de sécurité.
Les protocoles SNMPv1 et SNMPv2c se basent sur des identifiants de communauté SNMP en texte clair pour authentifier l'accès aux objets MIB. Ces identifiants de communauté, comme tous les mots de passe, doivent être choisis avec soin afin de s'assurer qu'ils ne pourront pas être décodés facilement. En outre, les identifiants de communauté doivent être modifiés à des intervalles réguliers, conformément aux stratégies de sécurité du réseau. Ces identifiants doivent par exemple être changés lorsqu'un administrateur réseau modifie des rôles ou quitte l'entreprise. Si le protocole SNMP sert uniquement à surveiller des périphériques, utilisez des communautés en lecture seule.
Assurez-vous que les messages SNMP ne sont pas diffusés au-delà des consoles de gestion. Il est nécessaire d'utiliser des listes de contrôle d'accès afin d'empêcher la diffusion des messages SNMP au-delà des périphériques requis. Une liste de contrôle d'accès doit également être utilisée sur les périphériques contrôlés en vue de limiter l'accès aux seuls systèmes de gestion.
L'utilisation du protocole SNMPv3 est recommandée, car il permet l'authentification et le chiffrement. Il existe d'autres commandes du mode de configuration globale qu'un administrateur réseau peut implémenter en vue de tirer profit de la prise en charge de l'authentification et du chiffrement du protocole SNMPv3 :
- La commande snmp-server group groupname {v1 | v2c | v3 {auth | noauth | priv}} crée un nouveau groupe SNMP sur le périphérique.
- La commande snmp-server user username groupname v3 [encrypted] [auth {md5 | sha} auth-password] [priv {des | 3des | aes {128 | 192 | 256}} priv-password] est utilisée pour ajouter un nouvel utilisateur au groupe SNMP spécifié dans la commande snmp-server group groupname.
Remarque : la configuration du protocole SNMPv3 sort du cadre du cursus CCNA.