Teil 2 - Konfiguration von SNMP

Autor: olc, MCSEboard.de

Die Konfiguration von SNMP

: Abb. 2

Die Konfiguration des SNMP-Agents erfolgt direkt über den „SNMP-Dienst“. Dazu klickt man mit der rechten Maustaste auf den Dienst und öffnet dann die „Eigenschaften“. Der Dienst „SNMP-Trap-Dienst“ ist für das Senden der Traps zuständig und wird ebenfalls über den „SNMP-Dienst“ konfiguriert.

Die für die SNMP-Dienste Konfiguration interessanten Reiter sind:

: Abb. 3

1) Agent
Auf dem Reiter „Agent“ können globale Einstellungen wie „Kontakt“ und „Standort“ eingetragen werden. Diese Daten sind frei wählbar und lassen sich wie auch alle anderen SNMP-Daten später zur Systemverwaltung auslesen.

: Abb. 4

2) Traps
Der Reiter Traps bietet die Möglichkeit die oben angesprochenen Communities einzurichten.

Der „Communityname“ bzw. die verschiedenen Communitynamen sind frei wählbar. Standard bei vielen SNMP-fähigen Geräten ist der Communityname „public“ für lesenden Zugriff und der Name „private“ für schreibenden Zugriff auf den Agent.
Hierbei ist es Best Practice im Unternehmen eine Policy einzusetzen, die den Namen bzw. den Zugriff auf alle SNMP-Systeme vor der Einführung genau definiert.

Als „Trapziel“ definiert man beliebig viele Systeme, die als Manager agieren und mit Traps versorgt werden sollen. Die Traps werden bei definierten Systemereignissen auf den Agents an die als Trapziel eingetragenen Manager gesendet oder sind frei über SNMP-fähige Anwendungen konfigurierbar.

Der Manager kann mit diesen Informationen beispielsweise Alarme auslösen oder aber Gegenmaßnahmen einleiten. Was genau bei Ankunft eines Traps passiert ist Sache des Managers und muss auch auf diesem definiert werden.

: Abb. 5

3) Sicherheit
Auf dem Reiter Sicherheit werden die Authentifizierungseinstellungen vorgenommen.

Der Haken „Authentifiziertungstrap senden“ bewirkt, dass die im unteren Bereich des Sicherheits-Reiters definierten SNMP-Hosts per Trap benachrichtigt werden, wenn ein unautorisierter Zugriffsversuch auf den Agent stattfindet und der Agent diesen Zugriff ablehnt.

Dies ist der Fall, wenn ein anderes SNMP-System versucht den Agent mit einer Community anzusprechen, die auf dem Agent nicht konfiguriert ist. Dies kann im Extremfall einen versuchten Angriff bedeuten und führt zur Benachrichtigung der Manager.

„Akzeptierte Communitynamen“ definieren die Namen der erlaubten Communities und deren Rechte auf dem Agent.

„SNMP-Pakete von jedem Host annehmen“ bzw. „SNMP-Pakete von diesen Hosts annehmen“ bietet die Möglichkeit die Manager einzuschränken, die das System abfragen dürfen.
Hier können IP-Adressen, NetBIOS Namen oder DNS-Adressen eingetragen werden. Man sollte im Falle von DNS-Namen beim Eintragen der SNMP-Hosts prüfen, ob beispielsweise die DNS-Auflösung auch im Fehlerfall korrekt läuft. Sonst laufen die Meldungen ins leere. Dies gilt natürlich auch für die Einstellungen der Trapziele auf dem Reiter „Traps“.

Die Einstellungen treten direkt beim Klick auf <OK> oder <�bernehmen> in Kraft. Es ist kein Neustart der SNMP-Dienste notwendig.

Will man die SNMP-Dienste automatisch beim Systemstart laden, kann man die Standardeinstellung „Starttyp“ --> „Automatisch“ belassen. Will man die Dienste nicht automatisch starten, stellt man sie auf „Manuell“.

Es existiert die Möglichkeit die SNMP-Einstellungen über eine GPO vorzunehmen. Hierzu muss die von Microsoft zur Verfügung gestellte ADM-Vorlage importiert werden [2].