Cómo encontrar y crear cadenas de comunidad SNMP en Windows y Linux

Cómo encontrar y crear cadenas de comunidad

Hay pocos componentes tan integrales a la seguridad en SNMP como SNMP cadenas comunitarias. Tener la cadena de comunidad correcta determina si puede acceder a la información contenida en los dispositivos en toda su red. En este artículo, veremos cómo puede encontrar y crear cadenas de comunidad en Ventanas y Linux. Sin embargo, antes de ver cómo encontrar y crear cadenas de comunidad, veamos qué son las cadenas de comunidad.

¿Qué son las cadenas de comunidad SNMP??

Una cadena de comunidad o cadena de comunidad SNMP es un ID de usuario o contraseña que se envía junto con un Get-Request. Se utiliza una cadena de comunidad SNMP para permitir el acceso a estadísticas dentro de un dispositivo o enrutador. Un dispositivo puede acceder a datos dentro de otros dispositivos con la cadena de comunidad correcta. Si la cadena de la comunidad es incorrecta, el dispositivo ignora la solicitud Get.

La cadena de comunidad predeterminada de un dispositivo depende del proveedor que creó el dispositivo. Dicho esto, no es extraño que los proveedores elijan “público” como su contraseña de elección. Si está utilizando uno de estos dispositivos, entonces querrá cambiar la cadena de la comunidad lo antes posible para mantener su red protegida contra el acceso no autorizado. Esto es importante porque la información incluida en sus dispositivos puede decirle a un atacante mucho sobre su red y posibles puntos de entrada.

Es importante tener en cuenta que hay varios tipos diferentes de cadenas de comunidad SNMP. Estos son los siguientes:

  • Cadena de comunidad de solo lectura
  • Cadena comunitaria de lectura y escritura
  • Cadena de comunidad SNMP Trap

La cadena de comunidad de solo lectura permite que un dispositivo extraiga información de solo lectura de un dispositivo. En contraste, una cadena de comunidad de lectura-escritura se puede usar para extraer información y cambiar la configuración de un dispositivo. Finalmente, la cadena de comunidad de trampa SNMP se incluye cuando un dispositivo envía una trampa SNMP. Las cadenas de comunidad también difieren según la versión de SNMP que se esté utilizando.

Versiones de SNMP y diferencias de cadenas de comunidad

Hay tres versiones principales de SNMP en uso, y cada una de ellas tiene una inclinación ligeramente diferente en las cadenas de la comunidad. Esto se muestra a continuación:

  • SNMPv1 – Esta fue la primera versión de SNMP y utilizó cadenas de comunidad para restringir el acceso. Esta versión utilizaba cadenas de comunidad de solo lectura y lectura-escritura. Sin embargo, los datos se transmitieron sin cifrar y, por lo tanto, eran vulnerables a los atacantes externos..
  • SNMPv2c – Esta versión de SNMP también envía datos sin cifrar, pero tiene tipos de datos adicionales como contadores de 64 bits que no están presentes en el original.
  • SNMPv3 – Esta es la versión segura de SNMP que permite al usuario encriptar transmisiones para que no se pueda acceder por miradas indiscretas.

Lo importante a tener en cuenta sobre las dos primeras versiones de SNMP enumeradas anteriormente es que las cadenas de comunidad no están encriptadas y son vulnerables a ser leídas. Se transmiten en texto claro sin ninguna protección contra miradas indiscretas. De manera predeterminada, los equipos SNMPv1 y SNMPv2 llegan al mercado con la cadena de comunidad de solo lectura establecida en “público”.

SNMPv2c tiene dos tipos de cadenas de comunidad; solo lectura y leer escribir. Las cadenas de comunidad de solo lectura permiten al usuario acceder a objetos MIB de solo lectura. Objetos MIB es el término dado a los datos dentro de la Base de información de administración (MIB). Estos son los datos que se intercambian entre un administrador SNMP y un agente SNMP..

Cadenas comunitarias de lectura y escritura Permitir al usuario acceder e interactuar con objetos MIB. Esto significa que el el usuario puede iniciar sesión en el administrador SNMP y editar las configuraciones del dispositivo habilitado para SNMP. Debe tener especial cuidado con estas cadenas de comunidad porque pueden permitir que cualquier persona interfiera con su sistema de forma remota.

Siempre que sea posible, le recomendamos que use SNMPv3 para obtener la mayor protección. SNMPv3 es el más seguro porque todas las transmisiones están encriptadas, lo que significa que no se pueden leer. Sin embargo, incluso si está utilizando SNMPv3, desea asegurarse de crear una cadena de comunidad sólida que no se pueda descifrar fácilmente.

Cómo encontrar cadenas de comunidad SNMP en Windows

Lo primero que debe hacer al intentar utilizar las cadenas de comunidad SNMP en Windows es asegurarse de que se haya instalado SNMP. En el siguiente ejemplo, vamos a ver cómo puedes instalar SNMP en Windows 7, Windows 2008 Server, y Windows 2012 R2 Server. Hay varias formas de hacerlo, pero una de las más simples es usar una herramienta llamada SolarWinds SNMP Enabler.

A instalar SNMP y encontrar Community String en Windows siga estos pasos a continuación:

  1. Descargar SolarWinds SNMP Enabler para Windows. (Herramienta 100% GRATUITA)
  2. Abre el programa y ingrese la dirección IP donde te gustaría instalar SNMP.
  3. Si lo desea, puede seleccionar varias direcciones IP importando un archivo con las direcciones IP enumeradas con el botón Importar
  4. Haga clic en el comienzo botón. SolarWinds SNMP Enabler verificará sistemáticamente cada dirección IP y verificará si SNMP ya está en funcionamiento. Si no es así, se instalará SNMP. En cualquier caso, se configurará una cadena de comunidad.
  5. Una vez que se complete el escaneo, estará muestra la dirección IP(esdonde se instaló SNMP junto con la cadena de su comunidad.

SolarWinds SNMP Enabler para Windows Descargar herramienta 100% GRATUITA

Configurar SNMPv2c

Aunque SNMPv3 es más seguro, SNMPv2c es aún más utilizado por los proveedores de tecnología. Como resultado, es útil saber cómo configurar una cadena de comunidad en un dispositivo habilitado para SNMPv2c. Para hacer esto, hay varias cosas que debe hacer:

  1. El primer paso es configurar la cadena de comunidad ingresando lo siguiente (“comp” es el nombre de la cadena de comunidad y “ro” significa solo lectura, el más seguro de los dos permisos de lectura):
    Router (config) # snmp-server community comp ro
  2. Ingrese la dirección IP del receptor host o administrador SNMP:
    Router (config) # snmp-server host 10.10.10.12 versión 2c TRAPCOMM
  3. Habilite las trampas SNMP ingresando lo siguiente:
    Router (config) # snmp-server habilita trampas

Cómo encontrar una cadena de comunidad SNMP en Linux

Como regla básica, si desea utilizar cadenas de comunidad SNMP, debe tener un cliente SNMP que se haya instalado y configurado. Puede instalar SNMP en Linux mediante el siguiente comando (estamos usando CentOS en el ejemplo a continuación):
yum -y instalar net-snmp-snmp-utils

El archivo de configuración dentro de SNMP no solo determinará qué tipo de tráfico será monitoreado sino que también definirá la cadena de comunidad. En Linux puede encontrar el archivo de configuración con el siguiente nombre:
snmpd.conf

Este archivo de configuración generalmente se encuentra en un subdirectorio llamado / etc / snmp.

Cómo encontrar cadenas de comunidad

Ahora que sabemos qué son las cadenas de la comunidad, es hora de ver cómo encontrarlas. Hay muchas formas diferentes de encontrar cadenas de comunidad, según el hardware que esté utilizando. En este ejemplo, nos referiremos a cómo encontrar cadenas de comunidad SNMP en un enrutador Cisco o un conmutador de catalizador basado en Cisco IOS.

Habilitación en el enrutador CISCO

Para habilitar una cadena de comunidad SNMP en un enrutador Cisco, debe hacer lo siguiente:

  1. Telnet el siguiente comando al enrutador:
    prompt # telnet 172.16.99.20
  2. Ingrese la contraseña de habilitación para iniciar el modo de habilitación:
    Enrutador>habilitar
    Contraseña:
    Router #
  3. Muestre la configuración en ejecución y busque los datos SNMP. Si no encuentra ningún dato SNMP, continúe con el siguiente paso. Sin embargo, si encuentra un comando SNMP, querrá modificarlo o deshabilitarlo:
    Router # show running-config
    Configuración de construcción…
    ….
    ….
  4. Ingrese al modo de configuración:
    Router # configure terminal
    Ingrese los comandos de configuración, uno por línea. Final
    con CNTL / Z
    Router (config) #
  5. Ingrese el siguiente comando para habilitar la cadena de comunidad de solo lectura:
    Router (config) # snmp-server community public RO
  6. Para habilitar la cadena de comunidad de lectura y escritura, ingrese lo siguiente:
    Router (config) # snmp-server community private RW
  7. Salga del modo de configuración nuevamente al indicador principal:
    Enrutador (config) #exit)
    Router #
  8. Para guardar la configuración en la RAM, ingrese lo siguiente:
    Router # memoria de escritura
    Configuración de construcción…
    [OKAY]
    Router #

Cómo configurar cadenas de comunidad en Windows

El proceso para configurar una cadena de comunidad en Windows depende de la versión de Windows que esté utilizando. En esta sección, vamos a ver cómo configurar un agente SNMP y una cadena de comunidad en Windows 2012, Windows 2008 R2, y Windows 2003.

Configurando en Windows 2012

  1. Lo primero que debe hacer es iniciar sesión en su servidor dedicado con Escritorio remoto.
  2. Siguiente clic en Clave de Windows>Herramientas administrativas>Administrador del servidor.
  3. Ahora haga clic en el Gestionar botón, entonces Agregar roles y Caracteristicas.
  4. Hacer clic próximo cuatro veces. Compruebe que se haya instalado el servicio SNMP en el Caracteristicas ver. Ahora haga clic Cancelar.
  5. En este punto debes hacer clic en Clave de Windows>Herramientas administrativas, seguido por Servicios.
  6. Haga clic derecho en Servicio SNMP y haga clic Propiedades.
  7. Ve a la Seguridad pestaña y ingrese su cadena de conexión. Esto debe tener entre 8-10 caracteres.
  8. Asegúrese de que su cadena de conexión esté establecida en Solo lectura en el Configuración del servicio SNMP caja.
  9. Haga clic en Añadir para terminar.

Configuración en Windows 2008 R2

  1. Primero, inicie sesión en su servidor dedicado con Escritorio remoto.
  2. Una vez que haya iniciado sesión, haga clic en comienzo>Herramientas administrativas>Administrador del servidor.
  3. Ahora haga clic Caracteristicas>Agrega características. Asegúrese de que los servicios SNMP estén instalados!
  4. Siguiente clic en Configuración>Servicios.
  5. Haga clic derecho en Servicio SNMP seguido por Propiedades
  6. Ve a la Seguridad pestaña y ingrese su cadena de conexión.
  7. Asegúrese de que el El cuadro de derechos de la comunidad está configurado en Solo lectura en el Configuración del servicio SNMP caja.
  8. Hacer clic Añadir.

Configurando en Windows 2003

  1. Inicie sesión en su servidor dedicado con Escritorio remoto.
  2. Hacer clic comienzo>Panel de control>Herramientas administrativas>Gestión informática.
  3. Haga clic en Servicios>Aplicaciones>Servicios.
  4. Haga doble clic en el Servicio SNMP opción.
  5. Ve a la Seguridad pestaña y ingrese su cadena de conexión.
  6. Compruebe que su cadena de conexión esté configurada en solo lectura.
  7. prensa Añadir.

Cómo configurar cadenas de comunidad en Linux

En RedHat / CentOS

  1. Primero, instale el RPM ingresando el siguiente comando:
    ñam instalar net-snmp
  2. En esta etapa, puede instalar snmpwalk para ayudarlo a resolver problemas con lo siguiente:
    yum instalar net-snmp-utils
  3. Luego mueva el archivo de configuración predeterminado y configúrelo como una copia de seguridad:
    mv /etc/snmp/snmpd.conf /etc/snmp/snmpd/conf.original
  4. Ingrese una nueva comunidad SNMP dentro de un nuevo archivo de configuración:
    echo “rocommunity notpublic”>/etc/snmp/snmpd.conf

En Debian / Ubuntu

  1. Instale el paquete snmpd ingresando lo siguiente:
    apt-get install snmpd
  2. Luego, haga una copia de seguridad del archivo snmp.conf ingresando lo siguiente:
    mv / etc / snmp / snmpd / conf /etc/snmp/snmpd.conf.org
  3. Cree su nuevo archivo snmpd.conf ingresando lo siguiente (reemplace Comparitech con la cadena de comunidad que desea usar):
    echo “comparita rocommunity”>/etc/snmp/snmpd.conf
  4. Edite su archivo snmpd:
    nano / etc / default / snmpd
  5. Encuentra y comenta lo siguiente:
    SNMPSDOPTS = ‘-Lsd -Lf / dev / null -u snmp -p /var/run/snmpd.pid’
  6. Ahora agregue la siguiente línea:
    SNMPDOPTS = ‘-Lsd -Lf / dev / null -u snmp -I -smux -p / var / run / snmpd / pid -c / etc / snmp / snmpd / conf’
  7. Cerca y salvar el archivo.
  8. Reinicie snmpd ingresando lo siguiente:
    /etc/init.d/snmpd restart
    sysv-rc-conf snmpd en

Mejores prácticas de cadena comunitaria

Uno de los aspectos más comúnmente ignorados de la configuración de una cadena de comunidad es elegir una cadena de comunidad que sea completamente segura. Las cadenas de comunidad actúan como contraseñas y, al igual que las contraseñas, deben escribirse de una manera que no sea fácil de adivinar. Cuando configura cadenas SNMP en su red, desea asegurarse de que sean tan difíciles de adivinar como sea posible.

Hay varias formas de hacer esto:

  • Crear cadenas de comunidad de 20 caracteres o más..
  • Incluya una combinación de mayúsculas, minúsculas, dígitos y símbolos..
  • No uses palabras del diccionario.
  • No se refiera a ninguna información personal..
  • Asegúrese de que las cadenas comunitarias públicas y privadas sean diferentes!
  • Aplicar diferentes cadenas de comunidad a diferentes dispositivos!

Emplear las mejores prácticas anteriores es muy importante porque a diferencia de una contraseña, SNMP no bloqueará a un usuario si adivina muchas veces. Los hackers tendrán una cantidad indefinida de intentos de adivinar la cadena de su comunidad, por lo que debe asegurarse de que los personajes sean lo más difíciles de adivinar.

Cómo confirmar una cadena de comunidad

Una vez que SNMP esté en funcionamiento, podrá verificar a través de los registros de su administrador de red para ver de qué dispositivos pudo obtener informes de estado. Si falta un dispositivo esperado de la lista, debe tener en cuenta que una posible razón de esa ausencia podría ser que la cadena de comunidad no se configuró correctamente y el dispositivo rechazó el Obtener solicitud.

Para evitar tener que navegar por las listas de dispositivos de respuesta del agente, puede usar una instalación de prueba simple después de cada ejercicio de configuración de cadena de comunidad para verificar que el dispositivo está usando la contraseña que creía que estaba configurada.

los Herramienta de prueba SNMP gratuita de Paessler es una buena utilidad para verificar la cadena de comunidad en sus dispositivos de red. Este programa se ejecuta en Windows y se puede descargar de forma gratuita..

El probador de SNMP no te dirá la cadena de comunidad para un dispositivo – debe ingresar la contraseña como parámetro antes de ejecutar la prueba. Sin embargo, una ejecución rápida del probador le permitirá saber de inmediato si la cadena de comunidad que ha configurado en un dispositivo es realmente actual.

El creador de la herramienta., Paessler es mejor conocido por su PRTG producto. Este es un extenso sistema de monitoreo de infraestructura de TI que incluye el monitoreo del rendimiento de la red impulsado por SNMP.

Paessler PRTG Network MonitorDescargar 30 días de prueba GRATUITA

Palabras de cierre: cadenas de comunidad SNMP

Si desea mayor tranquilidad, puede contratar a un profesional para que realice una prueba de penetración. Una prueba de penetración es cuando alguien intenta violar su red y explotar vulnerabilidades existentes. Una prueba de penetración exitosa se asegurará de que no tenga vacíos en su seguridad que los hackers puedan atacar. Siempre que haya implementado los pasos anteriores, debería estar completamente bien, pero siempre vale la pena verificar que su red esté protegida contra usuarios no autorizados..

Con esto concluye nuestra guía para encontrar y crear cadenas de comunidad en Windows y Linux. Como puede ver, el proceso es relativamente simple en ambos sistemas operativos. Independientemente de la plataforma en la que se encuentre, asegúrese de que SNMP esté habilitado antes de ir a jugar con cualquier configuración.

Del mismo modo, siempre que ingrese una cadena de comunidad, asegúrese siempre de que hacer que la cuerda sea tan difícil de adivinar como sea posible. Si tiene una cadena de comunidad que es fácil de adivinar, entonces está dejando su red abierta a ataques y tiempo de inactividad. Seguir las mejores prácticas enumeradas anteriormente ayudará a garantizar que esto no sea un problema.

Para lo máximo en seguridad, tú quieres asegúrese de estar usando SNMPv3. De esta manera podrás beneficiarse del cifrado y mantenga las cadenas de su comunidad protegidas. Del mismo modo, desea mantener un bloqueo cerrado en las cadenas de comunidad de lectura y escritura porque representan la mayor amenaza para su seguridad.

Si un usuario no autorizado tiene acceso a una cadena de comunidad de lectura y escritura, no solo podrá leer los datos de su dispositivo, ¡sino que también podrá cambiar sus configuraciones! La administración cuidadosa de su uso de SNMP y cadenas comunitarias se asegurará de que pueda usar cadenas comunitarias sin dejar su red vulnerable a un atacante.

1 thought on “Cómo encontrar y crear cadenas de comunidad SNMP en Windows y Linux

  1. SNMPv2c tienen una cadena de comunidad predeterminada de “público” para la lectura y “privado” para la lectura-escritura. Es importante cambiar estas cadenas de comunidad predeterminadas para evitar el acceso no autorizado a su red.

    En cuanto a cómo encontrar y crear cadenas de comunidad en Windows y Linux, el artículo proporciona instrucciones detalladas para ambas plataformas. También se discuten las mejores prácticas para las cadenas de comunidad y cómo confirmar que la cadena de comunidad es correcta.

    En resumen, las cadenas de comunidad SNMP son un componente integral de la seguridad en SNMP y es importante comprender cómo funcionan y cómo configurarlas correctamente para proteger su red contra el acceso no autorizado.

Comments are closed.