Cómo configurar la seguridad de la red para el servicio SNMP en Windows Server 2003

Resumen

En este artículo paso a paso se describe cómo configurar la seguridad de red para el servicio de Protocolo Simple de administración de red (SNMP) en Windows Server 2003.

El servicio SNMP actúa como un agente que recopila información que puede informarse a las consolas o estaciones de administración SNMP. Puede utilizar el servicio SNMP para recopilar datos y administrar Windows Server 2003, Microsoft Windows XP y equipos basados en Microsoft Windows 2000 a través de una red corporativa.

Comunicaciones entre agentes SNMP y estaciones de administración SNMP suelen asegurarse asignando un nombre de comunidad compartida a los agentes y las estaciones de administración. Cuando una estación de administración SNMP envía una consulta al servicio SNMP, el nombre de comunidad del solicitante se compara con el nombre de comunidad del agente. Si coinciden, la estación de administración SNMP se ha autenticado. Si no coinciden, el agente SNMP considera la solicitud como un intento de "acceso fallido" y puede enviar un mensaje de captura SNMP.

Los mensajes SNMP se envían en texto sin cifrar. Estos mensajes de texto sin cifrar fácilmente son interceptados y descodificados por analizadores de red, como Monitor de red de Microsoft. Nombres de comunidad pueden capturar y utilizados por personal no autorizado para obtener información valiosa acerca de los recursos de red.

Puede utilizarse el protocolo de seguridad IP (IPSec) para proteger las comunicaciones SNMP. Puede crear directivas IPSec para proteger las comunicaciones en los puertos UDP 161 y 162 para asegurar las transacciones SNMP.

Crear una lista de filtros

Para crear una directiva IPSec para proteger los mensajes SNMP, cree primero la lista de filtros. Para ello, siga estos pasos:
  1. Haga clic en Inicio, seleccione Herramientas administrativasy, a continuación, haga clic en Directiva de seguridad Local.
  2. Expanda Configuración de seguridad, haga clic en Directivas de seguridad IP en equipo Localy, a continuación, haga clic en listas de filtros IP administrar y acciones de filtrado.
  3. Haga clic en la ficha Administrar listas de filtros IP y, a continuación, haga clic en Agregar.
  4. En el cuadro de diálogo Lista de filtros IP , escriba Mensajes SNMP (161/162)en el cuadro nombre y, a continuación, escriba el filtro para el puerto UDP 161 en el cuadro Descripción .
  5. Haga clic para desactivar la casilla de verificación Usar Asistente para agregar y, a continuación, haga clic en Agregar.
  6. En el cuadro dirección de origen en la ficha direcciones del cuadro de diálogo Propiedades de filtro IP que aparece, haga clic en cualquier dirección IP. En el cuadro dirección de destino , haga clic en Mi dirección IP. Haga clic para seleccionar la reflejado. Hacer coincidir paquetes con las direcciones de origen y destino opuestas exactas casilla de verificación.
  7. Haga clic en la ficha protocolo . En el cuadro Seleccione un tipo de protocolo , haga clic en UDP. En el cuadro establecer el puerto de protocolo IP , haga clic en
    Desde este puertoy, a continuación, tipo 161 en el cuadro. Haga clic en a este puertoy, a continuación, escriba
    161 en el cuadro y, a continuación, haga clic en Aceptar.
  8. En el cuadro de diálogo Lista de filtros IP , haga clic en Agregar.
  9. En el cuadro dirección de origen en la ficha direcciones del cuadro de diálogo Propiedades de filtro IP , haga clic en cualquier dirección IP. En el cuadro dirección de destino , haga clic en Mi dirección IP. Haga clic para seleccionar la reflejado. Hacer coincidir paquetes con las direcciones de origen y destino opuestas exactas casilla de verificación.
  10. Haga clic en la ficha protocolo . En el cuadro Seleccione un tipo de protocolo , haga clic en UDP. En el cuadro establecer el protocolo IP , haga clic en
    Desde este puertoy, a continuación, 162 del tipo en el cuadro. Haga clic en a este puertoy, a continuación, escriba
    162 en el cuadro y, a continuación, haga clic en Aceptar.
  11. En el cuadro de diálogo Lista de filtros IP , haga clic en Agregar.
  12. En el cuadro dirección de origen en la ficha direcciones del cuadro de diálogo Propiedades de filtro IP , haga clic en cualquier dirección IP. En el cuadro dirección de destino , haga clic en Mi dirección IP. Haga clic para seleccionar la reflejado. Hacer coincidir paquetes con exactamente opuesta direcciones origen y destino que se encuentran casilla de verificación y, a continuación, haga clic en Aceptar.
  13. Haga clic en Aceptar en el cuadro de diálogo Lista de filtros IP y, a continuación, haga clic en Aceptar en el cuadro de diálogo listas de filtros IP administrar y acciones de filtrado .

Crear una directiva IPSec

Para crear la directiva IPSec para forzar en IPSec las comunicaciones SNMP, siga estos pasos:
  1. Haga las Directivas de seguridad IP en equipo Local en el panel izquierdo y, a continuación, haga clic en Crear directiva de seguridad IP.

    Inicia el Asistente para directivas de seguridad IP.
  2. Haga clic en Siguiente.
  3. En la página Nombre de directiva de seguridad IP, escriba SNMP seguro en el cuadro nombre . En el cuadro Descripción , escriba Forzar en IPSec las comunicaciones SNMPy, a continuación, haga clic en siguiente.
  4. Haga clic para desactivar la casilla de verificación activar la regla de respuesta predeterminada y, a continuación, haga clic en siguiente.
  5. En la página Finalización del Asistente para directivas de seguridad IP , compruebe que está activada la casilla de verificación Modificar propiedades y, a continuación, haga clic en Finalizar.
  6. En el cuadro de diálogo Propiedades de proteger SNMP , haga clic para desactivar la casilla de verificación Usar Asistente para agregar y, a continuación, haga clic en Agregar.
  7. Haga clic en la ficha Lista de filtros IP y, a continuación, haga clic en Mensajes SNMP (161/162).
  8. Haga clic en la ficha Acción de filtrado y, a continuación, haga clic en Requerir seguridad.
  9. Haga clic en los Métodos de autenticación de Kerberos de ficha es el método de autenticación predeterminado. Si requiere métodos de autenticación alternativos, haga clic en Agregar. En el cuadro de diálogo Propiedades del nuevo método de autenticación , seleccione el método de autenticación que desee de la lista siguiente y, a continuación, haga clic en Aceptar:
    • Predeterminado de Active Directory (protocolo Kerberos V5)
    • Usar un certificado de la entidad emisora de certificados (CA)
    • Use esta cadena (clave previamente compartida)
  10. En el cuadro de diálogo Propiedades de nueva regla , haga clic en Aplicary, a continuación, haga clic en Aceptar.
  11. En el cuadro de diálogo Propiedades de SNMP , compruebe que está activada la casilla de verificación de Mensajes SNMP (161/162) y, a continuación, haga clic en Aceptar.
  12. En el panel derecho de la consola Configuración de seguridad Local, haga clic en la regla SNMP seguro y, a continuación, haga clic en asignar.
Complete este procedimiento en todos los equipos basados en Windows que ejecuten el servicio SNMP. Esta directiva IPSec debe configurarse también en la estación de administración SNMP.

Para obtener más información, haga clic en el siguiente número de artículo para verlo en Microsoft Knowledge Base:

324263 cómo configurar el protocolo de administración de red Simple (SNMP) en Windows Server 2003

Propiedades

Id. de artículo: 324261 - Última revisión: 17 ene. 2017 - Revisión: 2

Comentarios