• Pare-feu
  • pfSense

Par défaut, pfSense supporte les protocoles SNMPv1 et SNMPv2 pour sa surveillance via un logiciel de surveillance (tels que : Zabbix, Nagios, ...).
Néanmoins, ces versions du protocole SNMP ne sont pas sécurisées et nécessitent donc l'utilisation de noms de communautés compliqués à deviner et/ou un réseau séparé pour limiter les attaques possibles.

Pour pallier à ce problème de sécurité, vous pouvez utiliser le protocole SNMPv3 grâce à un paquet tiers disponible pour pfSense.

  1. Désactiver le protocole SNMPv1/SNMPv2 natif de pfSense
  2. Installer le protocole SNMPv3 sous pfSense grâce au paquet net-snmp
  3. Configurer le paquet net-snmp pour activer le protocole SNMPv3
  4. Ajouter pfSense dans Zabbix en utilisant SNMPv3

1. Désactiver le protocole SNMPv1/SNMPv2 natif de pfSense

Avant de pouvoir utiliser le protocole SNMPv3 (qui utilise forcément le même port que les versions antérieures de SNMP), vous devez désactiver le protocole SNMP installé nativement sous pfSense.
Pour cela, allez dans : Services -> SNMP.

Sur la page "SNMP" qui s'affiche, décochez simplement la case "Enable the SNMP Daemon and its controls", puis cliquez sur le bouton "Save" (en bas de page).

2. Installer le protocole SNMPv3 sous pfSense grâce au paquet net-snmp

Pour installer le paquet paquet "net-snmp", allez dans : System -> Package Manager.

Allez dans l'onglet "Available Packages", cherchez "NET-SNMP" et cliquez sur le bouton "Install' pour le paquet "net-snmp".

Confirmez l'installation de ce paquet "pfSense-pkg-net-snmp" en cliquant sur Confirm.

Patientez pendant l'installation du paquet "pfSense-pkg-net-snmp".

Une fois le paquet installé, le message "pfSense-pkg-net-snmp installation successfully completed" apparaitra.

3. Configurer le paquet net-snmp pour activer le protocole SNMPv3

Une fois le paquet installé, allez dans : Services -> SNMP (NET-SNMP).

Pour commencer, dans l'onglet "General", cochez la case "Check to enable snmpd".

En bas de page, cliquez sur : Save.

Ensuite, dans l'onglet "Host Information", renseignez les 4 champs proposés :

  • Location : emplacement physique de votre pare-feu pfSense.
  • Contact : nom et/ou adresse e-mail de l'admin de ce pare-feu pfSense.
  • Name : nom de votre pare-feu pfSense.
  • Description : une description de celui-ci.

Note : ces informations sont purement à titre indicatif.

En bas de page, cliquez sur : Save.

Dans l'onglet "Users", vous verrez qu'un utilisateur "manager" existe par défaut.
Cliquez sur "Add" pour en ajouter un.

Dans la section "SNMPv3 User", indiquez :

  • Username : un nom d'utilisateur pour ce nouvel utilisateur SNMPv3.
  • Entry Type : User Entry (USM) pour vous connecter avec cet utilisateur grâce à un nom d'utilisateur et un mot de passe d'authentification.
    L'autre option étant la connexion par certificat numérique.
  • Description : une description pour cet utilisateur, si vous le souhaitez.

Dans la section "SNMPv3 Access Control", vous pourrez spécifier :

  • Read/Write Access : si l'utilisateur peut uniquement lire les données via SNMPv3 ou lire et écrire.
    Pour la lecture seule, sélectionnez "Read Only (GET, GETNEXT). Ce qui est suffisant.
  • Base OID : permet de restreindre l'accès d'un utilisateur pour les données qu'il peut voir.
    Laissez vide.

Dans la section "SNMPv3 USM User Configuration", vous pourrez configurer :

  • Authentication Type : le type d'authentification à utiliser.
    Sélectionnez "SHA" qui est plus sécurisé que l'autre type (MD5) disponible.
  • Password : le mot de passe à utiliser pour l'authentification via SNMPv3.
    Indiquez un mot de passe d'au moins 8 caractères.
  • Privacy Protocol : le protocole de confidentialité à utiliser.
    Sélectionnez "AES", qui à nouveau, est plus sécurisé.
  • Passphrase : un 2ème mot de passe, mais qui sera utilisé pour le protocole de confidentialité de SNMPv3.
  • Min USM Security Level : le niveau minimum de sécurité autorisé pour cet utilisateur.
    Sélectionnez "Private (Encryption Required)" pour que le chiffrement soit nécessaire.

En bas de page, cliquez sur Save.

L'utilisateur souhaité a été créé.

4. Ajouter pfSense dans Zabbix en utilisant SNMPv3

Pour installer Zabbix, référez-vous à l'étape "2. Installation de Zabbix (pour la surveillance via SNMP)" de notre tutoriel concernant la surveillance de pfSense avec Zabbix.
Une fois Zabbix installé, allez dans la section "Surveillance -> Hôtes" et cliquez sur "Créer un hôte" (en haut à droite).

Dans la fenêtre "Nouvel hôte" qui apparait, indiquez :

  • Nom de l'hôte : nom d'hôte défini sur votre machine pfSense.
  • Nom visible : nom visible sous Zabbix. Par défaut, le nom sera identique au nom d'hôte spécifié ci-dessus.
  • Modèles : sélectionnez le modèle "PFSense by SNMP".
    Note : si besoin, cliquez sur le bouton "Sélectionner", puis sur "Templates" pour trouver le modèle "PFSense by SNMP" dans la liste qui s'affichera.
  • Groupes d'hôtes : spécifier dans quel groupe de Zabbix vous souhaitez ajouter votre machine pfSense.
    Indiquez "pfSense" et cliquez sur l'option "pfSense" (ou "pfSense (nouveau)") qui s'affiche.
    Notez que vous pouvez aussi utiliser les groupes définis par défaut dans Zabbix plutôt que d'en créer de nouveau, si vous le souhaitez.
  • Interfaces : cliquez sur "Ajouter -> SNMP".

Pour l'interface SNMP qui apparait, vous pourrez configurer les paramètres :

  • Adresse IP : l'adresse IP de votre machine pfSense.
  • Nom DNS : son nom DNS (si applicable).
  • Version SNMP : sélectionnez "SNMPv3". Ce qui affichera des options supplémentaires spécifiques au SNMPv3.
  • Nombre maximal de répétitions : laissez la valeur par défaut.
  • Nom de contexte : option facultative ajoutée pour respecter la spécification SNMP et qui n'est utile que dans des cas très spécifiques.
    Donc, laissez cette case vide.
  • Nom de la sécurité : le nom d'utilisateur de l'utilisateur SNMPv3 créé précédemment sous pfSense.
    Dans notre cas : informatiweb.
  • Niveau de sécurité : sélectionnez "authPriv" pour spécifier un protocole d'authentification, ainsi qu'un protocole de confidentialité.
  • Protocole d'authentification : sélectionnez "SHA1".
  • Phrase d'authentification : indiquez le mot de passe indiqué précédemment dans la case "Password" de la configuration du paquet "net-snmp" sous pfSense.
  • Protocole de confidentialité : sélectionnez "AES128".
  • Phrase de passe de confidentialité : indiquez le 2ème mot de passe indiqué précédemment dans la case "Passphrase" de la configuration du paquet "net-snmp" sous pfSense.

Une fois les paramètres configurés, cliquez sur "Ajouter".

Votre hôte "pfsense" apparait et pour le moment, la disponibilité SNMP apparait en grisé.

Un peu plus tard, la disponibilité SNMP passera au vert.
Dans le cas contraire, elle passera au rouge et il vous suffira de survoler ce mot "SNMP" pour voir l'erreur rencontrée.

Si vous cliquez sur le lien "Dernières données" pour votre hôte "pfsense", vous verrez une page avec les différentes données récupérables via SNMP.

En cliquant sur le lien "Graphiques" de votre hôte "pfsense", vous pourrez obtenir des graphiques concernant l'utilisation réseau de pfSense pour la période de temps souhaitée.

Notez que vous pourriez aussi obtenir plus d'informations en utilisant également l'agent de Zabbix.
Pour cela, vous devrez installer l'agent Zabbix sous pfSense et rajouter une interface "agent" pour votre hôte "pfsense" que vous venez d'ajouter dans l'interface de Zabbix.
Pour cela, référez-vous à l'étape "4. Configurer Zabbix 6 pour surveiller pfSense via l'agent Zabbix et SNMP" de notre tutoriel précédent concernant la surveillance de pfSense via Zabbix et SNMPv2.

A voir également

Commentaires

Vous devez être connecté pour pouvoir poster un commentaire

Donnez-nous votre avis

Contenu épinglé

Contact

® InformatiWeb-Pro.net - InformatiWeb.net 2008-2022 - © Lionel Eppe - Tous droits réservés.

Toute reproduction totale ou partielle de ce site est interdite et constituerait une contrefaçon sanctionnée par les articles L.335-2 et suivants du Code de la propriété intellectuelle.