Cisco-5506-series-ASA-firewalls

Cisco ASA SNMP Konfiguration

For at kunne overvåge og monitorere Cisco ASA firewalls, så skal SNMP konfigureres. Cisco ASA firewalls understøtter SNMP version 1, 2c og 3. Cisco ASA firewalls understøtter kun læsning via SNMP, det vil sige man kan ikke ændre på konfiguration som man kan med Cisco switche.

Konfiguration af SNMP foretages via Seriel konsollen, SSH eller via den grafiske brugerflade ASDM.

SNMP Ver 1 og 2c konfigureres på følgende måde.

snmp-server enable

For at kunne kommunikere via SNMP, så skal der angives et community navn. Community navnet er et slags password eller delt nøgle der benyttes som validering og sikrer at det kun er de enheder der kender nøglen, der kan kommunikere sammen. Udover det skal man angive det logiske interface som man vil overvåge firewallen fra samt den IP adresse man kommer fra. Man kan ikke angive et range af adresser, som kan overvåge firewallen via SNMP.

snmp-server server host <logical-interface-name> poll community <string> version 2c

Konfigurationen vil se således ud, når man angiver en server der skal kunne overvåge firewallen interfacet inside.

Vi har i konfigurationen valgt at benytte SNMP version 2c i det at man her kan benytte 64bit countere. Dette er nødvendigt for overvågning af netværks interfaces der kan køre med mere end 10 Mbit. Vi har benyttet neosec som community navn.

snmp-server host inside 10.1.101.215 poll community neosec version 2c

For at identificere firewallen kan man konfigurere kontakt information og lokalitet. Disse informationer vises i Neosec Security Server når firewallen er tilføjet.

snmp-server contact IT Afdelingen
snmp-server location Hovedkrydsfelt

Husk at gemme konfigurationen bagefter.

write memory

Man kan lave yderligere ændringer til SNMP konfiguration udover standard. Som standard lytter Cisco ASA firewallen på port 161 for SNMP forespørgelser. Dette kan ændres med følgende kommando.

snmp-server listen-port 161

Yderligere så kan man konfigurere firewallen til at sende Traps via SNMP. Som standard benytter jeg Syslog som log kilde, men man kan også benytte SNMP som log kilde.

snap-server host inside 10.1.101.215 trap community neosec version 2c

Følgende Trap categorier kan tilvælges:

  • All
  • Connection-limit-reached
  • CPU
  • Entity
  • ikev2
  • Interface-threshold
  • iPsec
  • Memory-threshold
  • Nat
  • Remote-access
  • SNMP
  • Syslog
snmp-server enable traps <categori>

For yderligere information omkring SNMP følge da dette link.

HP Switche

HP Switch SNMP konfiguration

For at kunne overvåge og monitorere HP Procurve switche, så skal SNMP konfigureres. De fleste HP switche understøtter SNMP version 1, 2c. I de nyere versioner af deres switche er der nu også understøttelse for SNMP version 3.

HP Switche understøtter både Read og Write via SNMP, det vil sige at vi udover at kunne læse informationer fra switchene også kan gemme informationer, samt lave om i konfigurationen via SNMP.

Konfiguration af SNMP foretages via Seriel konsollen, Telnet eller SSH.

SNMP Ver 1 og 2c konfigureres på følgende måde. Følgende kommando aktivere SNMP på switchen.

snmp-server enable

For at kunne kommunikere via SNMP, så skal der angives et community navn. Community navnet er et slags password eller delt nøgle der benyttes som validering og sikrer at det kun er de enheder der kender nøglen, der kan kommunikere sammen. .

snmp-server community <Community Navn>

Hvis man ikke angiver andet end ovenstående, konfigureres snmp-server til at kunne læse som en ‘Operator’. Man kan angive en snmp-server konfiguration som ‘Operator’ eller som ‘Manager’. ‘Operator’ kan tilgå et begrænset antal MIB objekter til overvågning og et begrænset antal MIB objekter for konfigurations information på switchen. Hvis man vælger ‘Manager’ Kan man læse alle MIB objekter der findes på switchen.

Man kan yderligere vælge hvilken type adgang man skal have. Her kan man vælge ‘restricted’ som kun giver læse adgang eller ‘unrestricted’ som giver lov til at kunne læse og skrive SNMP MIB variabler.

Konfigurationen vil se således ud. Her konfigureres SNMP adgangen til switchen med community navnet neosec, som manager hvor man har adgang til alle MIB objekter og som unrestricted, der giver mulighed for både at læse og skrive.

snmp-server community neosec manager unrestricted

Konfigurationen giver adgang for SNMP version 1 og 2c. Det anbefales at vælge SNMP version 2c i Neosec, sådan at man kan overvåge Interface countere med 64 bit.

For at identificere switchen kan man konfigurere kontakt information og lokalitet. Disse informationer vises i Neosec Security Server når switchen er tilføjet.

snmp-server contact IT Afdelingen
snmp-server location Hovedkrydsfelt

Husk at gemme konfigurationen bagefter.