COMO: Configurar a segurança de rede para o serviço SNMP no Windows Server 2003

Traduções de Artigos Traduções de Artigos
Artigo: 324261 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sumário

Este artigo passo a passo descreve como configurar a segurança de rede para o serviço para o protocolo de gestão de rede simples (SNMP, Simple Network Management Protocol) no Windows Server 2003.

O serviço SNMP actua como um agente que recolhe informações que podem ser comunicadas às consolas ou estações de gestão de SNMP. Pode utilizar o serviço SNMP para recolher dados e gerir computadores baseados no Windows Server 2003, Microsoft Windows XP e Microsoft Windows 2000 numa rede empresarial.

As comunicações entre agentes SNMP e estações de gestão de SNMP são normalmente protegidas pela atribuição de um nome de comunidade partilhado aos agentes e estações de gestão. Quando uma estação de gestão de SNMP envia uma consulta ao serviço SNMP, o nome de comunidade de quem efectuou o pedido é comparado com o nome de comunidade do agente. Se coincidirem, significa que a estação de gestão de SNMP foi autenticada. Se não coincidirem, o agente SNMP considera o pedido como uma tentativa de "acesso sem êxito" e poderá enviar uma mensagem trap SNMP.

As mensagens SNMP são enviadas em texto simples. Estas mensagens de texto simples são facilmente interceptadas e descodificadas por analisadores de rede, como é o caso do Monitor de rede (Network Monitor) da Microsoft. Os nomes de comunidade podem ser capturados e utilizados por técnicos não autorizados para obter informações úteis sobre recursos de rede.

O protocolo de segurança IP (IPSec) pode ser utilizado para proteger comunicações SNMP. É possível criar políticas IPSec para proteger as comunicações nas portas TCP e UDP 161 e 162 para proteger transacções SNMP.

Criar uma lista de filtros

Para criar uma política IPSec para proteger mensagens SNMP, em primeiro lugar crie a lista de filtros. Para tal, siga estes passos:
  1. Clique em Iniciar (Start), aponte para Ferramentas administrativas (Administrative Tools) e, em seguida, clique em Política de segurança local (Local Security Policy).
  2. Expanda Definições de segurança (Security Settings), clique com o botão direito do rato em Políticas de segurança IP em Computador local (IP Security Policies on Local Computer) e, em seguida, clique em Gerir listas de filtros e acções de filtro IP (Manage IP filter lists and filter actions).
  3. Clique no separador Gerir listas de filtros IP (Manage IP Filter Lists) e, em seguida, clique em Adicionar (Add).
  4. Na caixa de diálogo Lista de filtros IP (IP Filter List), escreva Mensagens SNMP (161/162) na caixa Nome (Name) e, em seguida, escreva Filtro para portas TCP e UDP 161 na caixa Descrição (Description).
  5. Clique para desmarcar a caixa de verificação Utilizar assistente (Use Add Wizard) e, em seguida, clique em Adicionar (Add).
  6. Na caixa Endereço de origem (Source address), no separador Endereços (Addresses) da caixa de diálogo Propriedades de Filtro IP (IP Filter Properties) que é apresentada, clique em Qualquer endereço IP (Any IP address). Na caixa Endereço de destino (Destination address), clique em O meu endereço IP (My IP Address). Clique para seleccionar a caixa de verificação Com mirror. O filtro aplica-se a pacotes com endereços de destino e origem exactamente opostos. (Mirrored. Match pockets with the exact opposite source and destination addresses.).
  7. Clique no separador Protocolo (Protocol). Na caixa Seleccione um tipo de protocolo (Select a protocol type), clique em UDP. Na caixa Defina a porta do protocolo IP (Set the IP protocol port), clique em A partir desta porta (From this port) e, em seguida, escreva 161 na caixa. Clique em Para esta porta (To this port) e, em seguida, escreva 161 na caixa.
  8. Clique em OK.
  9. Na caixa de diálogo Lista de filtros IP (IP Filter List), clique em Adicionar (Add).
  10. Na caixa Endereço de origem (Source address), no separador Endereços (Addresses) da caixa de diálogo Propriedades de Filtro IP (IP Filter Properties) que é apresentada, clique em Qualquer endereço IP (Any IP address). Na caixa Endereço de destino (Destination address), clique em O meu endereço IP (My IP Address). Clique para seleccionar a caixa de verificação Com mirror. O filtro aplica-se a pacotes com endereços de destino e origem exactamente opostos. (Mirrored. Match pockets with the exact opposite source and destination addresses.).
  11. Clique no separador Protocolo (Protocol). Na caixa Seleccione um tipo de protocolo (Select a protocol type), clique em TCP. Na caixa Defina a porta do protocolo IP (Set the IP protocol port), clique em A partir desta porta (From this port) e, em seguida, escreva 161 na caixa. Clique em Para esta porta (To this port) e, em seguida, escreva 161 na caixa.
  12. Clique em OK.
  13. Na caixa de diálogo Lista de filtros IP (IP Filter List), clique em Adicionar (Add).
  14. Na caixa Endereço de origem (Source address), no separador Endereços (Addresses) da caixa de diálogo Propriedades de Filtro IP (IP Filter Properties) que é apresentada, clique em Qualquer endereço IP (Any IP address). Na caixa Endereço de destino (Destination address), clique em O meu endereço IP (My IP Address). Clique para seleccionar a caixa de verificação Com mirror. O filtro aplica-se a pacotes com endereços de destino e origem exactamente opostos. (Mirrored. Match pockets with the exact opposite source and destination addresses.).
  15. Clique no separador Protocolo (Protocol). Na caixa Seleccione um tipo de protocolo (Select a protocol type), clique em UDP. Na caixa Defina a porta do protocolo IP (Set the IP protocol port), clique em A partir desta porta (From this port) e, em seguida, escreva 162 na caixa. Clique em Para esta porta (To this port) e, em seguida, escreva 162 na caixa.
  16. Clique em OK.
  17. Na caixa de diálogo Lista de filtros IP (IP Filter List), clique em Adicionar (Add).
  18. Na caixa Endereço de origem (Source address), no separador Endereços (Addresses) da caixa de diálogo Propriedades de Filtro IP (IP Filter Properties) que é apresentada, clique em Qualquer endereço IP (Any IP address). Na caixa Endereço de destino (Destination address), clique em O meu endereço IP (My IP Address). Clique para seleccionar a caixa de verificação Com mirror. O filtro aplica-se a pacotes com endereços de destino e origem exactamente opostos. (Mirrored. Match pockets with the exact opposite source and destination addresses.).
  19. Clique no separador Protocolo (Protocol). Na caixa Seleccione um tipo de protocolo (Select a protocol type), clique em TCP. Na caixa Defina a porta do protocolo IP (Set the IP protocol port), clique em A partir desta porta (From this port) e, em seguida, escreva 162 na caixa. Clique em Para esta porta (To this port) e, em seguida, escreva 162 na caixa.
  20. Clique em OK.
  21. Clique em OK, na caixa de diálogo Lista de filtros IP (IP Filter List) e, em seguida, clique em OK, na caixa de diálogo Gerir acções de filtro e lista de filtros IP (Manage IP filters lists and filter actions).

Criar uma política IPSec

Para criar uma política IPSec para forçar o IPSec para comunicações SNMP, siga estes passos:
  1. Clique com o botão direito do rato em Políticas de segurança IP em Computador local (IP Security Policies on Local Computer) no painel esquerdo e, em seguida, clique em Criar política de segurança IP (Create IP Security Policy).

    O Assistente para política de segurança IP (IP Security Policy Wizard) é iniciado.
  2. Clique em Seguinte (Next).
  3. Na página Nome de política de segurança IP (IP Security Policy Name), escreva Proteger SNMP na caixa Nome (Name). Na caixa Descrição (Description), escreva Forçar IPSec para comunicações SNMP e, em seguida, clique em Seguinte (Next).
  4. Clique para desmarcar a caixa de verificação Activar a regra de resposta predefinida (Activate the default response rule) e, em seguida, clique em Seguinte (Next).
  5. Na página A concluir o assistente (Completing the IP Security Policy Wizard), verifique se a caixa de verificação Editar propriedades (Edit properties) está seleccionada e, em seguida, clique em Concluir (Finish).
  6. Na caixa de diálogo Propriedades de Proteger SNMP (Proteger SNMP Properties), clique para desmarcar a caixa de verificação Utilizar assistente (Use Add Wizard) e, em seguida, clique em Adicionar (Add).
  7. Clique no separador Lista de filtros IP (IP Filter List) e, em seguida, clique em Mensagens SNMP (161/162).
  8. Clique no separador Acção do filtro e, em seguida, clique em Pedir segurança.
  9. Clique no separador Métodos de autenticação (Authentication Methods). Kerberos é o método de autenticação predefinido. Se pretender métodos de autenticação alternativos, clique em Adicionar (Add). Na caixa de diálogo Propriedades de Novo método de autenticação (New Authentication Method Properties), seleccione o método de autenticação que pretende da lista que se segue e, em seguida, clique em OK:
    • Predefinição de Active Directory (protocolo Kerberos V5) [Active Directory default (Kerberos V5 protocol)]
    • Utilizar um certificado desta autoridade de certificação (CA) [Use a certificate from the certification authority (CA)]
    • Utilizar esta cadeia (chave pré-partilhada) [Use this string (preshared key)]
  10. Na caixa Propriedades de Nova regra de segurança (New Rule Properties), clique em Aplicar e, em seguida, clique em OK.
  11. Na caixa de diálogo Propriedades de Proteger SNMP (Proteger SNMP Properties), verifique se a caixa de verificação Mensagens SNMP (161/162) está seleccionada e, em seguida, clique em OK.
  12. No painel direito da consola Definições da segurança local (Local Security Settings), clique com o botão direito do rato na regra Proteger SNMP e, em seguida, clique em Atribuir (Assign).
Conclua este procedimento em todos os computadores baseados no Windows com o serviço SNMP em execução. Esta política IPSec também tem de ser configurada na estação de gestão de SNMP.

Referências

Para obter informações adicionais, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
324263 COMO: Configurar o serviço SNMP no Windows Server 2003

Propriedades

Artigo: 324261 - Última revisão: 3 de dezembro de 2007 - Revisão: 7.3
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
Palavras-chave: 
kbnetwork kbenv kbhowtomaster KB324261

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com