Zugangskonfiguration

SNMP-Communities

Auch bei der Verwaltung von Netzwerken mit SNMP-Management-Systemen lassen sich die Rechte über verschiedene Zugriffsebenen für Administratoren präzise steuern. SNMP kodiert dazu bei den Versionen SNMPv1 und SNMPv2c die Zugangsdaten als Teil einer sogenannten "Community", welche die Bedeutung eines Passworts bzw. Zugangsschlüssels inne hat. Die Authentifizierung kann hierbei wahlweise

über die Community public (uneingeschränkter SNMP-Lesezugriff),
ein Master-Passwort (beschränkter SNMP-Lesezugriff),
oder eine Kombination aus Benutzername und Passwort, getrennt durch einen Doppelpunkt (beschränkter SNMP-Lesezugriff),

erfolgen.

Eine Communitiy fasst somit bestimmte SNMP-Hosts zu Gruppen zusammen, um diese einerseits einfacher verwalten zu können. Andererseits bieten SNMP-Communities eine eingeschränkte Sicherheit beim Zugriff über SNMP, da ein SNMP-Agent nur SNMP-Anfragen von Teilnehmern akzeptiert, deren Community ihm bekannt ist.

Standardmäßig beantwortet Ihr Gerät alle SNMP-Anfragen, die es von LANmonitor oder einem anderen SNMP-Management-System mit der Community public erhält. Da dies jedoch (v. a. bei externer Erreichbarkeit) ein potentielles Sicherheitsrisiko darstellt, haben Sie die Möglichkeit, in LANconfig eigene Communities zu definieren.

Anmerkung: Diese Konfiguration ist nur für die SNMP-Versionen v1 und v2c relevant.

Eintrag aktiv: Aktiviert oder deaktiviert diese SNMP-Community.
Name: Vergeben Sie hier einen aussagekräftigen Namen für diese SNMP-Community.
Security-Name: Geben Sie hier die Bezeichnung für die Zugriffsrichtlinie ein, die die Zugriffsrechte für alle Community-Mitglieder festlegt.

Anmerkung: Als Standard ist die SNMP-Community public eingerichtet, die den uneingeschränkten SNMP-Lesezugriff ermöglicht.

Um eine autorisierte Abfrage von Zugangsdaten beim SNMP-Lesezugriff über SNMPv1 oder SNMPv2c zu erzwingen, deaktivieren Sie die Community public in der Liste der SNMP-Communities. Dadurch lassen sich Informationen über den Zustand des Gerätes, aktuelle Verbindungen, Reports, etc. erst dann via SNMP auslesen, nachdem sich der betreffende Benutzer am Gerät authentifiziert hat. Die Autorisierung erfolgt wahlweise über die Zugangsdaten des Administrator-Accounts oder über den in der individuellen SNMP-Community definierten Zugang.

Das Deaktivieren der Community public hat keine Auswirkung auf den Zugriff über eine weitere angelegte Community. Eine individuelle SNMP Read-Only Community bleibt z. B. stets ein alternativer Zugangsweg, der nicht an ein Administrator-Konto gebunden ist.

Benutzer

Neben den am Gerät registrierten Administratoren ist der Zugriff auch für einzelne Nutzer möglich. Hier konfigurieren Sie die Einstellungen für Authentifizierung und Verschlüsselung für diese Anwender bei Nutzung von SNMPv3.

Eintrag aktiv

Aktiviert oder deaktiviert diesen Benutzer.

Benutzername

Vergeben Sie hier einen aussagekräftigen Namen für diesen Benutzer.

Authentifizierung

Bestimmen Sie, mit welchem Verfahren sich der Benutzer am SNMP-Agent authentifizieren muss. Zur Verfügung stehen die folgenden Verfahren:

Keine: Eine Authentifizierung des Benutzers ist nicht notwendig.
HMAC-MD5: Die Authentifizierung erfolgt mit dem Hash-Algorithmus HMAC‑MD5‑96 (Hash-Länge 128 Bits).
HMAC-SHA: Die Authentifizierung erfolgt mit dem Hash-Algorithmus HMAC‑SHA (Hash-Länge 160 Bits).
HMAC-SHA224: Die Authentifizierung erfolgt mit dem Hash-Algorithmus HMAC‑SHA‑224 (Hash-Länge 224 Bits).
HMAC-SHA256: Die Authentifizierung erfolgt mit dem Hash-Algorithmus HMAC‑SHA‑256 (Hash-Länge 256 Bits).
HMAC-SHA384: Die Authentifizierung erfolgt mit dem Hash-Algorithmus HMAC‑SHA‑384 (Hash-Länge 384 Bits).
HMAC-SHA512: Die Authentifizierung erfolgt mit dem Hash-Algorithmus HMAC‑SHA‑512 (Hash-Länge 512 Bits).

Passwort für Authentifizierung

Geben Sie hier das für die Authentifizierung notwendige Passwort des Benutzers ein und wiederholen Sie es im Feld darunter.

Verschlüsselung

Bestimmen Sie, nach welchem Verschlüsselungsverfahren die Kommunikation mit dem Benutzer verschlüsselt sein soll. Zur Verfügung stehen die folgenden Verfahren:

Keine: Die Kommunikation erfolgt unverschlüsselt.
DES: Die Verschlüsselung erfolgt mit DES (Schlüssellänge 56 Bits).
AES128: Die Verschlüsselung erfolgt mit AES128 (Schlüssellänge 128 Bits)
AES192: Die Verschlüsselung erfolgt mit AES192 (Schlüssellänge 192 Bits)
AES256: Die Verschlüsselung erfolgt mit AES256 (Schlüssellänge 256 Bits)

Passwort für Verschlüsselung

Geben Sie hier das für die Verschlüsselung notwendige Passwort des Benutzers ein und wiederholen Sie es im Feld darunter.

Gruppen

Durch die Konfiguration von SNMP-Gruppen lassen sich Authentifizierung und Zugriffsrechte für mehrere Benutzer komfortabel verwalten und zuordnen. Als Standardeintrag ist die Konfiguration für den SNMP-Zugriff über den LANmonitor bereits voreingestellt.

Eintrag aktiv

Aktiviert oder deaktiviert diese Gruppe.

Security-Model

SNMPv3 hat das Prinzip des "Security Models" eingeführt, so dass in der SNMP-Konfiguration von LCOS LX hauptsächlich das Security-Model "SNMPv3" zum Einsatz kommt. Aus Kompatibilitätsgründen kann es jedoch notwendig sein, auch die Versionen SNMPv2c oder sogar SNMPv1 zu berücksichtigen und entsprechend als "Security-Model" auszuwählen. Entsprechend wählen Sie hier einen der folgenden Einträge aus:

Any: Jedes Modell wird akzeptiert.
SNMPv1: Die Übertragung der Daten erfolgt über SNMPv1. Die Authentifizierung des Benutzers erfolgt ausschließlich über den Community-String in der SNMP-Nachricht. Eine Verschlüsselung der Kommunikation findet nicht statt. Das entspricht der Sicherheitsstufe "Keine Authentifizierung und keine Verschlüsselung".
SNMPv2_C: Die Übertragung der Daten erfolgt über SNMPv2c. Die Authentifizierung des Benutzers erfolgt ausschließlich über den Community-String in der SNMP-Nachricht. Eine Verschlüsselung der Kommunikation findet nicht statt. Das entspricht der Sicherheitsstufe "Keine Authentifizierung und keine Verschlüsselung".
SNMPv3_USM: Die Übertragung der Daten erfolgt über SNMPv3. Für Anmeldung und Kommunikation des Benutzers sind Sicherheitsstufen möglich, die bei den Zugriffsrechten aktiviert werden.

Security-Name

Wählen Sie hier einen Security-Namen aus, den Sie einer SNMP-Community zugeordnet haben.

Gruppenname

Wählen Sie hier eine Gruppe aus, die Sie unter Zugriffsrechte definiert haben.

Zugriffsrechte

Diese Tabelle führt die verschiedenen Konfigurationen für Zugriffsrechte, Security-Modelle und Ansichten zusammen.

Eintrag aktiv

Aktiviert oder deaktiviert diesen Eintrag.

Gruppenname

Vergeben Sie hier einen aussagekräftigen Namen für diese Gruppe.

Security-Model

Aktivieren Sie hier das entsprechende Security-Model.

Minimale Sicherheit

Geben Sie die minimale Sicherheit an, die für Zugriff und Datenübertragung gelten soll.

NoAuthNoPriv (Keine Authentifizierung und keine Verschlüsselung): Die Authentifizierung erfolgt nur über die Angabe und Auswertung des Benutzernamens. Eine Verschlüsselung der Datenübertragung findet nicht statt.
AuthNoPriv (Authentifizierung, aber keine Verschlüsselung): Die Authentifizierung erfolgt über die für den Benutzer eingestellten Hash-Algorithmen. Eine Verschlüsselung der Datenübertragung findet nicht statt.
AuthPriv (Authentifizierung und Verschlüsselung): Die Authentifizierung erfolgt über die für den Benutzer eingestellten Hash-Algorithmen. Die Verschlüsselung der Datenübertragung erfolgt über DES- oder AES-Algorithmen.

Lesen

Bestimmen Sie die Ansicht der MIB-Einträge, für die diese Gruppe die Leserechte erhalten soll. Mögliche Werte sind die in Ansichten definierten Einträge. Bereits definiert sind dort "Full-Access", "LANmonitor-Access", "Setup-Access" und "Status-Access".

Schreiben

Bestimmen Sie die Ansicht der MIB-Einträge, für die diese Gruppe die Schreibrechte erhalten soll. Mögliche Werte sind die in Ansichten definierten Einträge. Bereits definiert sind dort "Full-Access", "LANmonitor-Access", "Setup-Access" und "Status-Access".

Lesen (Traps)

Bestimmen Sie die Ansicht der MIB-Einträge, für die diese Gruppe die Leserechte für Traps erhalten soll. Mögliche Werte sind die in Ansichten definierten Einträge. Bereits definiert sind dort "Full-Access", "LANmonitor-Access", "Setup-Access" und "Status-Access".

Ansichten

Hier fassen Sie verschiedene Werte oder ganze Zweige der MIB des Gerätes zusammen, die ein Benutzer gemäß seiner Zugriffsrechte einsehen oder verändern kann.

Eintrag aktiv: Aktiviert oder deaktiviert diese Ansicht.
Name: Vergeben Sie hier einen aussagekräftigen Namen für die Ansicht.
OID-Teilbaum: Bestimmen Sie durch komma-separierte Angabe der jeweiligen OIDs, welche Werte und Aktionen der MIB diese Ansicht ein- bzw. ausschließen soll.
Anmerkung: Die OIDs entnehmen Sie bitte der Geräte-MIB, die Sie von www.lancom-systems.de/downloads/ herunterladen können.
Zugriff auf Teilbaum: Bestimmen Sie, ob die angegebenen OID-Teilbäume Bestandteil ("hinzugefügt") oder kein Bestandteil ("entfernt") der Ansicht sind.