Citrix ADC

Configuración de Citrix ADC para consultas SNMPv3

Simple Network Management Protocol Version 3 (SNMPv3) se basa en la estructura y arquitectura básicas de SNMPv1 y SNMPv2. Sin embargo, SNMPv3 mejora la arquitectura básica para incorporar capacidades de administración y seguridad, como autenticación, control de acceso, verificación de integridad de datos, verificación de origen de datos, verificación de puntualidad de mensajes y confidencialidad de datos.

Para implementar la seguridad y el control de acceso a nivel de mensajes, SNMPv3 introduce el modelo de seguridad basado en el usuario (USM) y el modelo de control de acceso basado en la vista (VACM).

  • Modelo de seguridad basado en el usuario. El modelo de seguridad basado en el usuario (USM) proporciona seguridad a nivel de mensajes. Permite configurar usuarios y parámetros de seguridad para el agente SNMP y el administrador SNMP. USM ofrece las siguientes funciones:
    • Integridad de datos: Para proteger los mensajes de modificación durante la transmisión a través de la red.
    • Verificación de origen de datos: para autenticar al usuario que envió la solicitud de mensaje.
    • Puntualidad del mensaje: Para proteger contra retrasos o repeticiones de mensajes.
    • Confidencialidad de los datos: Para proteger el contenido de los mensajes de ser divulgado a entidades o personas no autorizadas.
  • Modelo de control de acceso basado en vista. El modelo de control de acceso basado en vista (VACM) permite configurar derechos de acceso a un subárbol específico de la MIB basándose en varios parámetros, como el nivel de seguridad, el modelo de seguridad, el nombre de usuario y el tipo de vista. Permite configurar agentes para proporcionar diferentes niveles de acceso a la MIB a diferentes administradores.

Citrix ADC admite las siguientes entidades que le permiten implementar las funciones de seguridad de SNMPv3:

  • Motores SNMP
  • Vistas SNMP
  • Grupos SNMP
  • Usuarios SNMP

Estas entidades funcionan juntas para implementar las funciones de seguridad de SNMPv3. Las vistas se crean para permitir el acceso a los subárboles de la MIB. A continuación, se crean grupos con el nivel de seguridad requerido y acceso a las vistas definidas. Finalmente, los usuarios se crean y asignan a los grupos.

Nota:

La configuración de vista, grupo y usuario se sincronizan y propagan al nodo secundario en un par de alta disponibilidad (HA). Sin embargo, el ID del motor no se propaga ni sincroniza, ya que es exclusivo de cada dispositivo Citrix ADC.

Para implementar la autenticación de mensajes y el control de acceso, debe hacer lo siguiente:

Configuración del ID del motor

Los motores SNMP son proveedores de servicios que residen en el agente SNMP. Proporcionan servicios como el envío, recepción y autenticación de mensajes. Los motores SNMP se identifican de forma única mediante ID de motor.

El dispositivo Citrix ADC tiene un EngineID único basado en la dirección MAC de una de sus interfaces. No es necesario anular el EngineID. Sin embargo, si quiere cambiar el ID del motor, puede restablecerlo.

Para establecer el ID del motor mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba los siguientes comandos para establecer los parámetros y verificar la configuración:

  • set snmp engineId <engineID>
  • show snmp engineId

Ejemplo

> set snmp engineId 8000173f0300c095f80c68

Para establecer el ID del motor mediante GUI

Vaya a Sistema > SNMP > Usuarios, haga clic en Configurar ID de motor y escriba un ID de motor.

Configurar una vista

Las vistas SNMP restringen el acceso del usuario a partes específicas de la MIB. Las vistas SNMP se utilizan para implementar el control de acceso.

Para agregar una vista SNMP mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba los siguientes comandos para establecer los parámetros y verificar la configuración:

  • add snmp view <name> <subtree> -type ( included | excluded )
  • show snmp view <name>
  • rm snmp view <name> <subtree>

Donde:

Name. Nombre de la vista SNMPv3. Puede constar de 1 a 31 caracteres que incluyen letras mayúsculas y minúsculas, números y los caracteres de guión (-), punto (.) libra (#), espacio (), signo (@), igual a (=), dos puntos (:) y guión bajo (_). Debe elegir un nombre que ayude a identificar la vista SNMPv3.

Subárbol. Una rama determinada (subárbol) del árbol MIB que quiere asociar a esta vista SNMPv3. Debe especificar el subárbol como un OID SNMP. Este es un argumento de longitud máxima: 99.

type. Incluya o excluya el subárbol, especificado por el parámetro de subárbol, en o desde esta vista. Esta configuración puede resultar útil cuando se ha incluido un árbol secundario, como A, en una vista SNMPv3 y se quiere excluir un árbol secundario específico de A, como B, de la vista SNMPv3. Este es un argumento obligatorio. Valores posibles: Incluidos, excluidos.

Ejemplos

add snmp view snmpv3Test 1.1.1.1 -type included sh snmp view snmpv3Test rm snmp view snmpv3Test 1.1.1.1

Para configurar una vista SNMP mediante la interfaz gráfica de usuario

Vaya a Sistema > SNMP > Vistas y cree la vista SNMP.

Configurar un grupo

Los grupos SNMP son agregaciones lógicas de usuarios SNMP. Se utilizan para implementar el control de acceso y para definir los niveles de seguridad. Puede configurar un grupo SNMP para que establezca derechos de acceso para los usuarios asignados a ese grupo, restringiendo así los usuarios a vistas específicas.

Debe configurar un grupo SNMP para establecer derechos de acceso para los usuarios asignados a ese grupo.

Para agregar un grupo SNMP mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba los siguientes comandos para establecer los parámetros y verificar la configuración:

  • add snmp group <name> <securityLevel> -readViewName <string>
  • show snmp group <name> <securityLevel>

Donde:

Name. Nombre del grupo SNMPv3. Puede constar de 1 a 31 caracteres que incluyan letras mayúsculas y minúsculas, números y los caracteres de guión (-), punto (.) libra (#), espacio (), signo en (@), igual a (=), dos puntos (:) y guión bajo (_). Debe elegir un nombre que ayude a identificar el grupo SNMPv3.

Nivel de seguridad. Nivel de seguridad necesario para la comunicación entre el dispositivo Citrix ADC y los usuarios SNMPv3 que pertenecen al grupo. Especifique una de las siguientes opciones:

NoAuthNopriv. No requieren autenticación ni cifrado.

AuthNoPriv. Requiere autenticación pero no cifrado.

AuthPriv. Requiere autenticación y cifrado. Nota: Si especifica la autenticación, debe especificar un algoritmo de cifrado al asignar un usuario SNMPv3 al grupo. Si también especifica el cifrado, debe asignar tanto una autenticación como un algoritmo de cifrado para cada miembro del grupo. Este es un argumento obligatorio. Valores posibles: NoAuthNoPriv, AuthNoPriv, AuthPriv.

ReadViewName. Nombre de la vista SNMPv3 configurada para enlazar a este grupo SNMPv3. Un usuario SNMPv3 vinculado a este grupo puede acceder a los subárboles que están enlazados a esta vista SNMPv3 como tipo INCLUIDO, pero no puede acceder a los que son de tipo EXCLUIDO. Si el dispositivo Citrix ADC tiene varias entradas de vista SNMPv3 con el mismo nombre, todas estas entradas están asociadas al grupo SNMPv3. Este es un argumento obligatorio. Longitud máxima: 31

Para configurar un grupo SNMP mediante la interfaz gráfica de usuario

Vaya a Sistema > SNMP > Grupos y cree el grupo SNMP.

Configuración de un usuario

Los usuarios SNMP son los administradores SNMP que los agentes permiten acceder a las MIB. Cada usuario SNMP se asigna a un grupo SNMP.

Debe configurar usuarios en el agente y asignar cada usuario a un grupo.

Para configurar un usuario mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba los siguientes comandos para establecer los parámetros y verificar la configuración:

  • add snmp user <name> -group <string> [-authType ( MD5 | SHA ) {-authPasswd } [-privType ( DES | AES ) {-privPasswd }]]
  • show snmp user <name>

Donde:

AuthType es la opción de autenticación disponible durante la configuración de un usuario. Hay dos tipos de autenticación, como MD5 y SHA.

PrivType es la opción de cifrado disponible durante la configuración de un usuario. Hay dos tipos de cifrado, como DES de tamaño de clave 128 bits y AES de tamaño de clave 128 bits.

Ejemplo

> add snmp user edocs_user -group edocs_group

Para configurar un usuario SNMP mediante la interfaz gráfica de usuario

Vaya a Sistema > SNMP > Usuarios y cree el usuario SNMP.

Configuración de Citrix ADC para consultas SNMPv3