jone31 Posted March 27, 2025 Posted March 27, 2025 добрый день, подскажите, пытаюсь настроить ACL на snmp что бы запретить доступ к snmp из-вне. Использую конфиг: ip access-list standard SNMP_ACL 10 permit 172.16.32.1 11 permit 172.16.0.80 snmp-server community <community> RO SNMP_ACL но в логах по прежнему вижу ошибки автоирзации по snmp Mar 27 2025 18:58:44.288 MSK: %SNMP-3-AUTHFAIL: Authentication failure for SNMP req from host xxx.xxx.xxx.xxx при это сам пробую подключится к IP - доступа из вне нет. что я делаю не так? Вставить ник Quote
jffulcrum Posted March 28, 2025 Posted March 28, 2025 17 часов назад, jone31 сказал: %SNMP-3-AUTHFAIL: Authentication failure for SNMP req from host xxx.xxx.xxx.xxx У вас SNMP v3, он всегда требует аутентификацию. Просто по IP и community закрывать - это для v2. Для V3 делайте юзера и группу: SNMP Configuration Guide - Configuring SNMP Support [Cisco ASR 1000 Series Aggregation Services Routers] - Cisco Вставить ник Quote
sirmax Posted March 28, 2025 Posted March 28, 2025 5 часов назад, jffulcrum сказал: У вас SNMP v3, он всегда требует аутентификацию. Уточню - запрос приходит по v3, проходит ACL но так как сервер настроен отвечать только по v2 то обламывается Если уж совсем подробно Вставить ник Quote
jone31 Posted March 30, 2025 Author Posted March 30, 2025 спасибо, попробую на v3 поставить ACL и понаблюдать за активностью сканеров Вставить ник Quote
jone31 Posted March 30, 2025 Author Posted March 30, 2025 (edited) добавил snmp auth v3 таким образом: ip access-list standard SNMP_ACL 10 permit 172.16.32.1 11 permit 172.16.0.80 snmp-server group <community> v3 auth access SNMP_ACL snmp-server group <community> v3 priv access SNMP_ACL snmp-server community <community> RO SNMP_ACL acl применился # show snmp group groupname: ILMI security model:v1 contextname: <no context specified> storage-type: permanent readview : *ilmi writeview: *ilmi notifyview: <no notifyview specified> row status: active groupname: ILMI security model:v2c contextname: <no context specified> storage-type: permanent readview : *ilmi writeview: *ilmi notifyview: <no notifyview specified> row status: active groupname: <xxx> security model:v1 contextname: <no context specified> storage-type: permanent readview : v1default writeview: <no writeview specified> notifyview: <no notifyview specified> row status: active access-list: SNMP_ACL groupname: <xxx> security model:v2c contextname: <no context specified> storage-type: permanent readview : v1default writeview: <no writeview specified> notifyview: <no notifyview specified> row status: active access-list: SNMP_ACL groupname: <xxx> security model:v3 auth contextname: <no context specified> storage-type: nonvolatile readview : v1default writeview: <no writeview specified> notifyview: <no notifyview specified> row status: active access-list: SNMP_ACL groupname: <xxx> security model:v3 priv contextname: <no context specified> storage-type: nonvolatile readview : v1default writeview: <no writeview specified> notifyview: <no notifyview specified> row status: active access-list: SNMP_ACL # sh snmp user User name: <xxx> Engine ID: 800000090300A03D6F63F600 storage-type: nonvolatile active access-list: SNMP_ACL Authentication Protocol: MD5 Privacy Protocol: DES Group-name: <xxx> все равно сканеры ломаться и сыпят в лог Цитата %SNMP-3-AUTHFAIL: Authentication failure for SNMP req from host xxx.xxx.xxx.xxx Edited March 30, 2025 by jone31 Вставить ник Quote
fractal Posted March 30, 2025 Posted March 30, 2025 2 часа назад, jone31 сказал: добавил snmp auth v3 таким образом: ip access-list standard SNMP_ACL 10 permit 172.16.32.1 11 permit 172.16.0.80 snmp-server group <community> v3 auth access SNMP_ACL snmp-server group <community> v3 priv access SNMP_ACL snmp-server community <community> RO SNMP_ACL acl применился # show snmp group groupname: ILMI security model:v1 contextname: <no context specified> storage-type: permanent readview : *ilmi writeview: *ilmi notifyview: <no notifyview specified> row status: active groupname: ILMI security model:v2c contextname: <no context specified> storage-type: permanent readview : *ilmi writeview: *ilmi notifyview: <no notifyview specified> row status: active groupname: <xxx> security model:v1 contextname: <no context specified> storage-type: permanent readview : v1default writeview: <no writeview specified> notifyview: <no notifyview specified> row status: active access-list: SNMP_ACL groupname: <xxx> security model:v2c contextname: <no context specified> storage-type: permanent readview : v1default writeview: <no writeview specified> notifyview: <no notifyview specified> row status: active access-list: SNMP_ACL groupname: <xxx> security model:v3 auth contextname: <no context specified> storage-type: nonvolatile readview : v1default writeview: <no writeview specified> notifyview: <no notifyview specified> row status: active access-list: SNMP_ACL groupname: <xxx> security model:v3 priv contextname: <no context specified> storage-type: nonvolatile readview : v1default writeview: <no writeview specified> notifyview: <no notifyview specified> row status: active access-list: SNMP_ACL # sh snmp user User name: <xxx> Engine ID: 800000090300A03D6F63F600 storage-type: nonvolatile active access-list: SNMP_ACL Authentication Protocol: MD5 Privacy Protocol: DES Group-name: <xxx> все равно сканеры ломаться и сыпят в лог Логин и пароль не совпадают на роутере и системе мониторинга Вставить ник Quote
sirmax Posted March 30, 2025 Posted March 30, 2025 4 часа назад, fractal сказал: Логин и пароль не совпадают на роутере и системе мониторинга Как я понял запросы приходят не от мониторинга у автора Вставить ник Quote
jone31 Posted April 1, 2025 Author Posted April 1, 2025 используем cisco asr как bgp ролтер, и запросы сыпяться на него по внешнему IP от ботов/сканеров и прочего мониторинг опрашивает по mgmt vrf и там нет проблем. Вопрос в защите от сканеров и нелегитимов из вне. Проблема стала в том что CPU грузится из-за попыток доступа по snmp, и ACL не блочит порты. Сняли дамп трафика и увидели безконечные коннекты на snmp. Хотя при этом сами по snmp зайти не можем на внешние IP, как это работает непойму я Вставить ник Quote
rz3dwy Posted April 2, 2025 Posted April 2, 2025 От того, что вы повесили ACL на демон, запросы на него не перестанут идти. Да, аутентификация не проходит, о чем в логе и пишется. Навешивайте ACL на l3-интерфейс(svi или eth, фильтруйте dst port 161, тогда на snmp-демон ничего не будет лететь Вставить ник Quote
VolanD666 Posted April 2, 2025 Posted April 2, 2025 В 27.03.2025 в 19:08, jone31 сказал: что я делаю не так? А как у вас туда извне летит трафик, если у вас управление лежит в отдельном VRF. Ведь так? Вставить ник Quote
sirmax Posted April 3, 2025 Posted April 3, 2025 20 часов назад, BOJIKA сказал: CoPP напишите... Та ну, оно и так должно работать, а как же старые железки без vrf? у меня есть в лабе asr я проверю на выходных Вставить ник Quote
sirmax Posted April 5, 2025 Posted April 5, 2025 В 27.03.2025 в 18:08, jone31 сказал: добрый день, подскажите, пытаюсь настроить ACL на snmp что бы запретить доступ к snmp из-вне. Использую конфиг: ip access-list standard SNMP_ACL 10 permit 172.16.32.1 11 permit 172.16.0.80 snmp-server community <community> RO SNMP_ACL но в логах по прежнему вижу ошибки автоирзации по snmp Mar 27 2025 18:58:44.288 MSK: %SNMP-3-AUTHFAIL: Authentication failure for SNMP req from host xxx.xxx.xxx.xxx при это сам пробую подключится к IP - доступа из вне нет. что я делаю не так? Я не знаю что у Вас не так но у меня я получил следующие результаты 1 - включаю дебаг asr-tf#debug snmp headers 2 - включаю snmp asr-tf#show run | inc snmp snmp-server community public RO 10 snmp ifmib ifindex persist 3 - проверяю snmpwalk -v2c -c public asr-tf SNMPv2-MIB::sysDescr.0 = STRING: Cisco IOS Software, ASR1000 Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 15.5(3)S10, RELEASE SOFTWARE (fc3) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2019 by Cisco Systems, Inc. Compiled Thu 19-Sep-19 10:24 by mcpre SNMPv2-MIB::sysObjectID.0 = OID: SNMPv2-SMI::enterprises.9.1.1165 DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (60958624) 7 days, 1:19:46.24 SNMPv2-MIB::sysContact.0 = STRING: SNMPv2-MIB::sysName.0 = STRING: asr-tf.lab В это же время на железке Incoming SNMP packet Apr 5 2025 15:58:41.919 UTC: v2c packet Apr 5 2025 15:58:41.919 UTC: community string: public Apr 5 2025 15:58:42.519 UTC: 4 - создаю ACL и прописываю левый адрес asr-tf#show ip access-lists 10 Standard IP access list 10 10 permit 192.168.1.1 asr-tf(config)#snmp-server community MON RO 10 5 - повторяю тест (источника запросов нет в ACL) Железка молчит дебагом (значит до демона не доходят запросы) на стороне клиента Timeout: No Response from asr-tf Это полностью ожидаемое поведение так работало всегда раньше, что тут не так может быть я просто не знаю Железка такая asr-tf#show ver Apr 5 2025 16:03:02.546 UTC: %SYS-5-CONFIG_I: Configured from console by sirmax on vty0 (192.168.22.253) Cisco IOS XE Software, Version 03.16.10.S - Extended Support Release Cisco IOS Software, ASR1000 Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 15.5(3)S10, RELEASE SOFTWARE (fc3) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2019 by Cisco Systems, Inc. ... ROM: IOS-XE ROMMON asr-tf uptime is 1 week, 1 hour, 24 minutes Uptime for this control processor is 1 week, 1 hour, 26 minutes System returned to ROM by reload at 12:17:31 UTC Sun Feb 23 2025 System restarted at 14:38:18 UTC Sat Mar 29 2025 System image file is "bootflash:asr1001-universalk9.03.16.10.S.155-3.S10-ext.bin" Last reload reason: PowerOn ... License Level: adventerprise License Type: EvalRightToUse Next reload license Level: adventerprise cisco ASR1001 (1RU) processor (revision 1RU) with 1065774K/6147K bytes of memory. Processor board ID SSI15300KKB 9 Gigabit Ethernet interfaces 32768K bytes of non-volatile configuration memory. 20971520K bytes of physical memory. 7782399K bytes of eUSB flash at bootflash: PS @Navu или кто тут есть живой, включите теги, редактировать код в этом ублюдошном редакторе невозможно Да вдогонку, это все в менеджмент VRF interface GigabitEthernet0 vrf forwarding Mgmt-intf ip address dhcp negotiation auto end asr-tf#show int GigabitEthernet0 GigabitEthernet0 is up, line protocol is up Hardware is RP management port, address is 7081.057e.b840 (bia 7081.057e.b840) Internet address is 10.72.0.53/24 MTU 1500 bytes, BW 1000000 Kbit/sec, DLY 10 usec, reliability 255/255, txload 1/255, rxload 1/255 ping asr-tf PING asr-tf (10.72.0.53): 56 data bytes 64 bytes from 10.72.0.53: icmp_seq=0 ttl=254 time=2.525 ms ^C --- asr-tf ping statistics --- 1 packets transmitted, 1 packets received, 0.0% packet loss round-trip min/avg/max/stddev = 2.525/2.525/2.525/0.000 ms Вставить ник Quote
BOJIKA Posted April 6, 2025 Posted April 6, 2025 @sirmax logging snmp-authfail включили? Вставить ник Quote
sirmax Posted April 6, 2025 Posted April 6, 2025 2 часа назад, BOJIKA сказал: @sirmax logging snmp-authfail включили? Да вы таки правы, век живи - век учись Что бы получить такую ошибку: Apr 6 2025 13:33:05.327 UTC: %SYS-5-CONFIG_I: Configured from console by sirmax on vty1 (192.168.22.253)run in Требуются следующие условия 1 - настроенный SNMPv3 2 - Запрос с адреса не из ACL Если адрес не в ACL то ошибка, со стороны железки ругань в лог snmpwalk -v 3 -u snmpv3user -l authPriv -A md5v3v3v3 -a md5 -x des -X des56v3v3v3 asr-tf Timeout: No Response from asr-tf Если адрес в ACL но неправильные креды то snmpwalk -v 3 -u snmpv3user -l authPriv -A md5v3v3v31 -a md5 -x des -X des56v3v3v3 asr-tf No log handling enabled - using stderr logging snmpwalk: Authentication failure (incorrect password, community or key) (настройки минимальные, источник примеров тут https://habr.com/ru/companies/zabbix/articles/495704/) Вставить ник Quote
VolanD666 Posted April 7, 2025 Posted April 7, 2025 Я чет не понимаю. Зачем все это? В mgmt VRF у вас эти запросы не должны долетать в принципе. Почему сразу не сделать правильно? Вставить ник Quote
sirmax Posted April 7, 2025 Posted April 7, 2025 4 часа назад, VolanD666 сказал: Я чет не понимаю. Зачем все это? В mgmt VRF у вас эти запросы не должны долетать в принципе. Почему сразу не сделать правильно? Если вопрос ко мне то у меня проблемы нет, я просто разметил объяву воспроизвел в лабе Тем не менее я ожидал что сначала проверяется ACL в только потом уже все остальное (что оказалось не так) Вставить ник Quote
jone31 Posted April 7, 2025 Author Posted April 7, 2025 я верно понимаю что такое поведение корректно? я ожидал от ACL что он сначала отлупит невалидный коннект по ACL, и не будет в лог ругаться что не вышло подключится. А по факту выходит что ACL отлупливает коннект по ACL и в лог все равно сыпется что был коннект хоть и дропнутый. Немогу понять это нормальное поведение или все же у меня не так acl настроен Вставить ник Quote
VolanD666 Posted April 8, 2025 Posted April 8, 2025 13 часов назад, jone31 сказал: я верно понимаю что такое поведение корректно? У вас в принципе эти пакеты не должны долетать до инт-са управления. Как это сделать, я написал выше. Вставить ник Quote
jone31 Posted April 8, 2025 Author Posted April 8, 2025 (edited) вы имеете ввиду убрать ACL и через снмп хоост? snmp-server host <mgmt-ip> vrf <mgmt-vrf> 0 <community> Edited April 8, 2025 by jone31 Вставить ник Quote
VolanD666 Posted April 8, 2025 Posted April 8, 2025 1 час назад, jone31 сказал: вы имеете ввиду убрать ACL и через снмп хоост? Я про то что управление (интерфейс и сервисы управления) должно быть в отдельном VRF. В таком случае у вас в принципе не должны туда прилетать пакеты извне. Вставить ник Quote
jone31 Posted April 8, 2025 Author Posted April 8, 2025 у меня изначально была проблема в том что бы закрыть доступ к snmp из-вне. С закрытием доступа к управлению все относительно понятно, он в своем vrf уже и так сидит и к нему нет доступа из вне. Вопрос/проблема в том что я не могу/не знаю как ограничить доступ к SNMP из вне. snmp-server host <mgmt-ip> vrf <mgmt-vrf> 0 <community> это тоже не сработало. В логе сыпятся попытки доступа от ботов Вставить ник Quote
VolanD666 Posted April 8, 2025 Posted April 8, 2025 31 минуту назад, jone31 сказал: snmp-server host <mgmt-ip> vrf <mgmt-vrf> 0 <community> Потому что это про трапы, а не про входящие запросы. Гуглите как привязать SNMP к определенному интерфейсу и к определенному VRFу. Тем более что он у вас есть. Вставить ник Quote
jone31 Posted April 8, 2025 Author Posted April 8, 2025 читал доки и форумы, не нашел. Это и привело меня на форум. Вставить ник Quote
VolanD666 Posted April 9, 2025 Posted April 9, 2025 17 часов назад, jone31 сказал: читал доки и форумы, не нашел. Это и привело меня на форум. snmp-server source-interface у вас задан? Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.