Page tree
Skip to end of metadata
Go to start of metadata

No quadro Notifications via SNMP é possível configurar o sistema para o envio de notificações por trap SNMP. Diferente de um serviço de coleta de dados SNMP, uma “Trap” é um serviço de notificações iniciado pelo servidor monitorado, isso inicia a comunicação e entrega dos alertas para o servidor SNMP remoto. O serviço suporta a comunicação com os protocolos SNMP v1, SNMP v2 e SNMP v3.

Abaixo vamos detalhar um pouco sobre as diferenças das versões do protocolo SNMP.

  • SNMP v1

A primeira versão do SNMP possui um esquema de autenticação extremamente frágil, sendo seu único mecanismo de segurança os "nomes de comunidade". Estes, representam um grupo de gerenciamento com permissões específicas, ou seja, a atribuição dos direitos de utilização das instruções SET e GET sobre um determinado parâmetro a membros desta comunidade. O armazenamento destes nomes é local, ou seja, cada agente que implementa o SNMP deve registrar as permissões dadas a cada comunidade de gerenciamento que pode fazer uso de seus parâmetros.

É importante notar que as permissões são dadas à determinada comunidade, e não a estações de gerenciamento específicas, de fato, não há nenhuma listagem dos membros de uma comunidade.

A "autenticação" de uma NMS “Network Management Station” é feita através da declaração, enviada em formato texto, do nome da comunidade a qual pertence. A NMS, deve, deste modo, manter uma listagem dos nomes de comunidade relevantes para cada agente da rede. Para simplificar a tarefa de gerenciamento, tende-se a manter certa uniformidade nos grupos de gerenciamento cadastrados nas várias entidades da rede, mas isto não é obrigatório.

A principal falha deste modelo de segurança reside no fato de que qualquer um que conheça o nome de comunidade com os privilégios adequados pode enviar um comando do SNMP pela rede. Para piorar a situação, como não há privacidade no SNMPv1, as informações sobre os nomes de comunidades são enviadas em forma de texto e sem encriptação nas mensagens UDP que trafegam na rede, é extremamente simples para um atacante interceptar estes nomes e relacioná-los às estações as quais se destinam.

Dada esta total insegurança gerada pela combinação da falta de privacidade com o modelo simples e descentralizado de autenticação, quase todas as implementações desta versão do SNMP em sistemas de produção desabilitam a instrução SET, e restringem os parâmetros acessíveis pelas instruções GET a informações não confidenciais. Esta atitude limita muito a funcionalidade do protocolo, mas ao mesmo tempo garante segurança nos ambientes onde ela é essencial.

  • SNMP v2

Originalmente, uma reforma no modelo de segurança do SNMP era parte dos objetivos na criação da segunda versão do protocolo. O SNMPv2 (RFC 1901, 1996) surgiu para suprir algumas das deficiências do SNMPv1.

Adicionou pelo menos duas novas funções:

  • Get-bulk-request: Acesso a grandes blocos de informações na MIB;
  • Inform-request: Permite que um gerente envie informações relevantes diretamente a outros gerentes;
  • Dentre as novidades do SNMPv2, destacam-se:
    • Gerenciamento de redes descentralizadas, permitindo a existência de mais de uma estação gerente e, consequentemente, a troca de informações entre elas;
    • Possibilidade de transferência de grandes blocos de informação;
    • Introdução de contadores de 64 bits, possibilitando um melhor monitoramento de variáveis que atingem seus limites rapidamente com contadores de 32 bits;
    • Melhoria no tratamento de erros das variáveis, definindo-se o estado de sucesso ou erro da operação para cada variável da PDU e não mais para a PDU Assim, se uma variável contiver erro, as demais não serão sacrificadas, sendo o campo da variável em que ocorreu o problema preenchido com um código de erro.

A versão final do protocolo que foi normatizada foi a versão 2c, que apesar de introduzir novas funcionalidades como a instrução “GetBulkRequest”, não fez qualquer alteração no modelo de segurança do protocolo e o modelo baseado em nomes de comunidade se manteve.

  • SNMP v3

Esta versão do protocolo teve como principal foco a melhoria da segurança oferecida pelas versões anteriores do protocolo SNMP. Foram desenvolvidos mecanismos para lidar com cada uma das falhas de segurança discutidas até então. Desta forma, se tornou possível utilizar o potencial completo do protocolo, incluindo as instruções SET, sem comprometer a segurança da rede. O novo modelo de segurança garante confidencialidade, integridade, autenticação e controle de acesso.

Em termos gerais, o PDU efetivo que carrega a instrução do SNMP (seja SNMPv1 ou SNMPv2) é encapsulado em um PDU do SNMPv3. Esta operação provê as funções relacionadas à segurança no nível de processamento de mensagens. Para que esta comunicação seja efetiva, tanto a estação de gerenciamento, quanto os agentes devem estar utilizando a mesma SNMP engine.

Os dois módulos principais do modelo de segurança do SNMPv3 são o Modelo de Segurança Baseado em Usuário (User-based Security Model - USM) e o Modelo de Controle de Acesso Baseado em Visões (View-based Access Control Model - VACM). O USM é encarregado de autenticar, encriptar e decriptar os pacotes SNMP, enquanto o VACM é encarregado de administrar o acesso aos dados na MIB.

Para o envio das notificações por SNMP Trap, acesse o painel demonstrado abaixo e configure conforme os campos da interface e dos parâmetros de configuração do servidor SNMP remoto e a versão do protocolo em uso.


Para configurar as notificações, acesse o menu System, selecione a opção Administration e na aba Settings configure o painel Notifications via SNMP TRAP.


Administration - Notifications via SNMP


Inicialmente, habilite as notificações via SNMP marcando a caixa de checagem Enabled [];


  • Version: Informar a versão utilizada pelo seu servidor SNMP. As opções disponíveis são SNMPv1, SNMPv2 e SNMPv3. Ex.: SNMPv2;
  • Communities: Informar a comunidade que foi configurada no servidor SNMP. Este campo só estará disponível na versão SNMPv1 e SNMPv2. Ex.: Blockbit;
  • Destination: Informar o IP do servidor SNMP. Ex.: 172.16.102.52;
  • Authentication Protocol: Informar qual método de criptografia será usado, esse recurso só é possível ao SNMPv3. Ex.: MD5;
  • Engine ID: Informar em qual mecanismo de SNMP será realizada a configuração baseado no que foi configurado no servidor SNMP, esse recurso só é possível ao SNMPv3. O Engine ID é um mecanismo que serve como um identificador exclusivo para o agente. O Engine ID é usado com uma função hash para gerar chaves para autenticação e criptografia de mensagens SNMPv3;
  • User: Informar um usuário para realizar autenticação no serviço remoto;
  • Password: Informar uma senha para autenticação do usuário no serviço remoto;
  • Security Level: Informar o nível de segurança no serviço remoto, que pode ser autenticado privado ou autenticado não privado;
  • Encryption Algorithm: Informar o algoritmo de criptografia que foi configurado no servidor remoto para autenticação;
  • Private Password: Caso o Security Level for configurado como AuthPriv é necessário configurar a senha privada da conexão.

Os campos Authetication Protocol, Engine ID, User, Password, Security Level, Encryption Algorithm, Private Password, só estarão habilitados para preenchimento, caso a versão escolhida no campo Version for SNMPv3.
Por sua vez, caso a versão selecionada for SNMPv3, o campo Communities será desabilitado.


Depois clique em Salvar [].


Após efetuar as configurações, as notificações ocorridas serão exibidas ao clicar no botão de notificações[] localizado no canto superior da tela.


Para mais informações sobre notificações por e-mail, clique nesta página.

Se você quiser saber mais sobre os MIBs Blockbit, clique nesta página.

Por fim, clique aqui para obter mais informações sobre o Zabbix.

  • No labels
Write a comment…