Cómo configurar la seguridad de red para el servicio SNMP en Windows Server 2003

Seleccione idioma Seleccione idioma
Id. de artículo: 324261 - Ver los productos a los que se aplica este artículo
Este artículo se publicó anteriormente con el número E324261
Expandir todo | Contraer todo

En esta página

Resumen

En este artículo paso a paso se describe cómo configurar la seguridad de red para el servicio Protocolo simple de administración de redes (SNMP) en Windows Server 2003.

El servicio SNMP actúa como un agente que recopila información que puede transmitirse a las consolas o estaciones de administración SNMP. Puede usar el servicio SNMP para recopilar datos y administrar equipos basados en Windows Server 2003, Microsoft Windows XP y Microsoft Windows 2000 en toda la red corporativa.

Las comunicaciones entre los agentes SNMP y las estaciones de administración SNMP suelen protegerse mediante la asignación de un nombre de comunidad compartida para los agentes y las estaciones de administración. Cuando una estación de administración SNMP envía una consulta al servicio SNMP, se compara el nombre de comunidad del solicitante con el del agente. Si coinciden, la estación de administración SNMP se ha autenticado. Si no coinciden, el agente SNMP considera la solicitud como un intento de "acceso fallido" y puede enviar un mensaje de captura SNMP.

Los mensajes SNMP se envían como texto no cifrado. Los analizadores de red, como Monitor de red de Microsoft, interceptan y descodifican fácilmente estos mensajes de texto. Personal no autorizado puede capturar y utilizar los nombres de comunidad para obtener información valiosa acerca de los recursos de red.

Puede usarse el Protocolo de seguridad IP (IPSec) para proteger las comunicaciones SNMP. Puede crear directivas IPSec para proteger las comunicaciones en los puertos TCP y UDP 161 y 162 con el fin de proteger las transacciones SNMP.

Crear una lista de filtros

Para crear una directiva IPSec con el fin de proteger los mensajes SNMP debe crear primero la lista de filtros. Para ello, siga estos pasos:
  1. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Directiva de seguridad local.
  2. Expanda Configuración de seguridad, haga clic con el botón secundario en Directivas de seguridad IP en Equipo local y, después, haga clic en Administrar listas de filtros IP y acciones de filtrado.
  3. Haga clic en la ficha Administrar listas de filtros IP y, a continuación, haga clic en Agregar.
  4. En el cuadro de diálogo Lista de filtros IP, escriba Mensajes SNMP (161/162) en el cuadro Nombre y escriba Filtro para los puertos TCP y UDP 161 en el cuadro Descripción.
  5. Desactive la casilla de verificación Usar Asistente para agregar y haga clic en Agregar.
  6. En el cuadro Dirección de origen de la ficha Direcciones del cuadro de diálogo Propiedades del filtro IP que aparecerá, haga clic en Cualquier dirección IP. En el cuadro Dirección de destino, haga clic en Mi dirección IP. Active la casilla de verificación Reflejado. Hacer coincidir paquetes con las direcciones de origen y destino opuestas exactas.
  7. Haga clic en la ficha Protocolo. En el cuadro Seleccione un tipo de protocolo, haga clic en UDP. En el cuadro Establezca el puerto de protocolo IP, haga clic en Desde este puerto y escriba 161 en el cuadro. Haga clic en A este puerto y escriba 161 en el cuadro.
  8. Haga clic en Aceptar.
  9. En el cuadro de diálogo Lista de filtros IP, haga clic en Agregar.
  10. En el cuadro Dirección de origen de la ficha Direcciones del cuadro de diálogo Propiedades del filtro IP que aparecerá, haga clic en Cualquier dirección IP. En el cuadro Dirección de destino, haga clic en Mi dirección IP. Active la casilla de verificación Reflejado. Hacer coincidir paquetes con las direcciones de origen y destino opuestas exactas.
  11. Haga clic en la ficha Protocolo. En el cuadro Seleccione un tipo de protocolo, haga clic en TCP. En el cuadro Establezca el puerto de protocolo IP, haga clic en Desde este puerto y escriba 161 en el cuadro. Haga clic en A este puerto y escriba 161 en el cuadro.
  12. Haga clic en Aceptar.
  13. En el cuadro de diálogo Lista de filtros IP, haga clic en Agregar.
  14. En el cuadro Dirección de origen de la ficha Direcciones del cuadro de diálogo Propiedades del filtro IP que aparecerá, haga clic en Cualquier dirección IP. En el cuadro Dirección de destino, haga clic en Mi dirección IP. Active la casilla de verificación Reflejado. Hacer coincidir paquetes con las direcciones de origen y destino opuestas exactas.
  15. Haga clic en la ficha Protocolo. En el cuadro Seleccione un tipo de protocolo, haga clic en UDP. En el cuadro Establezca el puerto de protocolo IP, haga clic en Desde este puerto y escriba 162 en el cuadro. Haga clic en A este puerto y escriba 162 en el cuadro.
  16. Haga clic en Aceptar.
  17. En el cuadro de diálogo Lista de filtros IP, haga clic en Agregar.
  18. En el cuadro Dirección de origen de la ficha Direcciones del cuadro de diálogo Propiedades del filtro IP que aparecerá, haga clic en Cualquier dirección IP. En el cuadro Dirección de destino, haga clic en Mi dirección IP. Active la casilla de verificación Reflejado. Hacer coincidir paquetes con las direcciones de origen y destino opuestas exactas.
  19. Haga clic en la ficha Protocolo. En el cuadro Seleccione un tipo de protocolo, haga clic en TCP. En el cuadro Establezca el puerto de protocolo IP, haga clic en Desde este puerto y escriba 162 en el cuadro. Haga clic en A este puerto y escriba 162 en el cuadro.
  20. Haga clic en Aceptar.
  21. Haga clic en Aceptar en el cuadro de diálogo Lista de filtros IP y, después, haga clic en Aceptar en el cuadro de diálogo Administrar listas de filtros IP y acciones de filtrado.

Crear una directiva IPSec

Para crear la directiva IPSec de modo que se fuerce IPSec para las comunicaciones SNMP, siga estos pasos:
  1. Haga clic con el botón secundario en Directivas de seguridad IP en Equipo local en el panel izquierdo y, después, haga clic en Crear directiva de seguridad IP.

    Se iniciará el Asistente para directivas de seguridad IP.
  2. Haga clic en Siguiente.
  3. En la página Nombre de la directiva de seguridad IP, escriba SNMP seguro en el cuadro Nombre. En el cuadro Descripción, escriba Forzar IPSec para las comunicaciones SNMP y haga clic en Siguiente.
  4. Desactive la casilla de verificación Activar la regla de respuesta predeterminada y haga clic en Siguiente.
  5. En la página Finalización del Asistente para directivas de seguridad IP, compruebe que la casilla de verificación Modificar propiedades esté activada y haga clic en Finalizar.
  6. En el cuadro de diálogo Propiedades de Proteger SNMP, haga clic para desactivar la casilla de verificación Usar Asistente para agregar y, después, haga clic en Agregar.
  7. Haga clic en la ficha Lista de filtros IP y, a continuación, haga clic en Mensajes SNMP (161/162).
  8. Haga clic en la ficha Acción de filtrado y, después, haga clic en Requerir seguridad.
  9. Haga clic en la ficha Métodos de autenticación. Kerberos es el método de autenticación predeterminado. Si requiere métodos de autenticación alternativos, haga clic en Agregar. En el cuadro de diálogo Propiedades del nuevo método de autenticación, seleccione el método de autenticación que desee en la lista siguiente y haga clic en Aceptar.
    • Valor predeterminado de Active Directory (protocolo Kerberos V5)
    • Usar un certificado de la entidad emisora de certificados (CA)
    • Use esta cadena (clave previamente compartida)
  10. En el cuadro de diálogo Propiedades de la nueva regla, haga clic en Aplicar y, a continuación, haga clic en Aceptar.
  11. En el cuadro de diálogo Propiedades de SNMP, compruebe que la casilla de verificación Mensajes SNMP (161/162) esté activada y haga clic en Aceptar.
  12. En el panel derecho de la consola Configuración de seguridad local, haga clic con el botón secundario en la regla SNMP seguro y, después, haga clic en Asignar.
Complete este procedimiento en todos los equipos basados en Windows que ejecuten el servicio SNMP. Esta directiva IPSec debe configurarse también en la estación de administración SNMP.

Referencias

Para obtener más información al respecto, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
324263 CÓMO: Configurar el servicio Protocolo simple de administración de redes (SNMP) en Windows Server 2003

Propiedades

Id. de artículo: 324261 - Última revisión: lunes, 3 de diciembre de 2007 - Versión: 7.6
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
Palabras clave: 
kbnetwork kbenv kbhowtomaster KB324261

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com