Server SNMP#
Il Simple Network Management Protocol (SNMP) fornisce un metodo standardizzato per monitorare e gestire dispositivi di rete come il firewall da remoto. Consente agli utenti autorizzati di recuperare informazioni essenziali come lo stato del dispositivo, metriche sulle prestazioni e impostazioni di configurazione.
Il server SNMP è disabilitato per impostazione predefinita sul firewall, consentendo l’accesso dalla rete locale (LAN) su tutti gli indirizzi IPv4 e IPv6.
Nota
Se il sistema è stato aggiornato dalla versione v1.4.1 o precedente, il server SNMP sarà abilitato per impostazione predefinita. Per disabilitarlo, seguire i passaggi nella sezione Disabilitazione del server SNMP.
Configurazione del server SNMP#
È fondamentale configurare le informazioni essenziali che identificano il dispositivo. Ecco come farlo tramite la riga di comando:
Aprire una finestra del terminale sul firewall.
Utilizzare i seguenti comandi per impostare i valori desiderati per
sysLocation,sysContactesysName:
uci set snmpd.general.enabled=1
uci set snmpd.@system[0].sysLocation='<string>'
uci set snmpd.@system[0].sysContact='<string>'
uci set snmpd.@system[0].sysName='<string>'
Sostituire <string> con le informazioni pertinenti. Ad esempio:
uci set snmpd.general.enabled=1
uci set snmpd.@system[0].sysLocation='MyOffice'
uci set snmpd.@system[0].sysContact='admin@nethsecurity.org'
uci set snmpd.@system[0].sysName='firewall.nethsecurity.org'
Dopo aver apportato le modifiche, applicarle utilizzando:
uci commit snmpd
reload_config
La configurazione del server SNMP è memorizzata nel file /etc/config/snmpd.
È possibile testare la configurazione utilizzando un client SNMP come snmpwalk o snmpget da una macchina remota. Ad esempio:
snmpwalk -v 2c -c public 127.0.0.1
Disabilitazione del server SNMP#
Se non è necessario l’accesso remoto al server SNMP, è possibile disabilitarlo per una maggiore sicurezza. Seguire questi passaggi:
Aprire una finestra del terminale sul firewall.
Utilizzare i seguenti comandi per disabilitare il server:
uci set snmpd.general.enabled=0
uci commit snmpd
reload_config
Nota: La disattivazione del server SNMP potrebbe influire sugli strumenti di monitoraggio o sulle applicazioni che ne fanno affidamento.
Abilitazione dell’accesso remoto#
Se è necessario accedere al server SNMP dall’esterno della propria LAN, creare una regola firewall che consenta il traffico UDP in ingresso sulla porta 161 verso il firewall stesso. Ricordare che l’apertura di questa porta aumenta il rischio, quindi procedere con cautela e assicurarsi di limitare l’accesso solo da indirizzi IP selezionati.
Considerazioni sulla sicurezza#
Dare priorità alla sicurezza prima di abilitare l’accesso remoto:
Stringa di community robusta: Sostituire la stringa di community predefinita «public» con una complessa e unica.
Controllo accessi: Implementare le Access Control List (ACL) per limitare l’accesso esclusivamente agli indirizzi IP autorizzati.