Konsep Community String dalam SNMP - Perwira Learning Center

Apa Itu Community String?

Secara sederhana, community string adalah sebuah kata sandi (password) berupa teks yang digunakan untuk mengontrol akses ke layanan SNMP pada sebuah perangkat jaringan . Anggap saja ini sebagai kata sandi bersama antara SNMP Manager (sistem monitoring) dan SNMP Agent (perangkat yang dimonitor).

Cara kerjanya yaitu:

1. SNMP Manager ingin mengambil data dari suatu perangkat.
2. Manager mengirimkan sebuah "permintaan" (request) yang di dalamnya menyertakan sebuah community string .
3. SNMP Agent yang menerima permintaan tersebut akan langsung memeriksa, "Apakah community string yang diberikan ini cocok dengan yang ada di konfigurasiku?" .
4. Jika cocok, Agent akan memproses permintaan dan mengirimkan data yang diminta.
5. Jika tidak cocok, Agent akan menolak permintaan tersebut. Manager tidak akan mendapatkan data apa pun .

Jadi, community string berfungsi sebagai mekanisme autentikasi yang sangat mendasar. Dalam SNMP versi 1 dan 2c (dua versi yang paling banyak digunakan sebelum SNMPv3), community string adalah metode utama (dan seringkali satu-satunya) untuk menjaga agar data perangkat tidak mudah diakses oleh sembarang orang .

Fungsi Community String dalam Akses SNMP

Meskipun terlihat sederhana, community string memiliki beberapa fungsi penting dalam ekosistem monitoring jaringan:

1. Mengontrol Siapa yang Dapat Mengakses Data SNMP: Fungsi utamanya adalah sebagai filter. Hanya pihak yang mengetahui "kata sandi" yang benar yang bisa berkomunikasi dengan SNMP Agent. Ini mencegah pengguna liar atau aplikasi nakal untuk sekadar iseng mengambil data dari perangkat Anda .
2. Membatasi Jenis Akses: Community string tidak hanya sekadar "boleh masuk" atau "tidak boleh". Ia juga bisa didefinisikan untuk memberikan hak akses yang berbeda. Administrator bisa membuat community string yang hanya mengizinkan pembacaan data (read-only), atau yang mengizinkan pembacaan dan juga penulisan/perubahan konfigurasi (read-write) . Ini sangat penting untuk menjaga keamanan, karena tidak semua petugas monitoring perlu memiliki wewenang untuk mengubah konfigurasi router.
3. Mekanisme Autentikasi Sederhana: Dalam SNMPv1 dan SNMPv2c, community string adalah satu-satunya lapisan keamanan yang ada . Ia menjadi "pintu" pertama dan utama yang harus dilewati sebelum sebuah permintaan data diproses. Meskipun sederhana, konsep ini meletakkan dasar bagi sistem keamanan yang lebih kompleks di versi SNMP selanjutnya.

Contoh Community String: Public dan Private

Jika Anda baru pertama kali belajar SNMP dan mencoba mengonfigurasi perangkat jaringan seperti router Cisco atau switch, Anda akan sering menjumpai dua istilah ini: public dan private. Keduanya adalah contoh community string yang paling umum dan terkenal di dunia jaringan .

Community String Public 

Ini adalah community string default untuk akses read-only (RO) . Artinya, dengan menggunakan community string "public", sebuah sistem monitoring hanya diizinkan untuk membaca data dari perangkat. Ia bisa melihat berapa lalu lintas yang melewati port, melihat waktu aktif perangkat (uptime), atau membaca konfigurasi yang ada, tetapi tidak bisa mengubah apa pun. Karena sifatnya yang default dan hanya untuk baca, "public" sangat sering digunakan dalam tahap awal pengujian monitoring.

Community String Private

Ini adalah community string default untuk akses read-write (RW) . Dengan menggunakan "private", sebuah sistem monitoring (atau administrator) tidak hanya bisa membaca data, tetapi juga bisa mengubah konfigurasi perangkat melalui SNMP. Misalnya, ia bisa mematikan sebuah port switch atau mengubah parameter tertentu. Karena kemampuannya yang "kuat" ini, community string private harus dijaga kerahasiaannya.

Bagaimana Community String Digunakan dalam Request SNMP

Mari kita lihat bagaimana community string digunakan dalam praktik. Perhatikan contoh perintah berikut:

snmpget -v2c -c public localhost sysUpTime.0

Penjelasannya :

• snmpget: Ini adalah perintah yang digunakan untuk mengambil nilai suatu data spesifik dari perangkat target.
• -v2c: Opsi ini menunjukkan versi SNMP yang kita gunakan, yaitu SNMPv2c. Versi ini adalah yang paling umum digunakan karena mendukung community string dan fitur yang lebih kaya dari SNMPv1 .
• -c public: Opsi -c adalah singkatan dari community, dan public adalah community string yang kita sertakan.
• localhost: Ini adalah alamat atau hostname dari perangkat target. Dalam contoh ini, kita menanyai perangkat itu sendiri (komputer lokal). Bisa juga diisi dengan alamat IP seperti 192.168.1.1.
• sysUpTime.0: Ini adalah OID (Object Identifier). OID adalah "alamat" unik untuk sebuah data tertentu di dalam perangkat. sysUpTime.0 adalah OID standar yang menanyakan, "Sudah berapa lama perangkat ini menyala sejak terakhir dinyalakan?".

Jadi, saat perintah di atas dijalankan, SNMP Manager (komputer kita) mengirimkan paket data ke SNMP Agent (di localhost) yang berisi permintaan untuk data sysUpTime.0 dan menyertakan community string public. Agent kemudian memeriksa, "Apakah community string public ini cocok dengan yang saya miliki dan apakah diizinkan untuk akses read-only?" Jika cocok, Agent akan menjawab dengan nilai waktu aktif perangkat, misalnya "123456" yang berarti 123456 detik.

Pentingnya Mengamankan Community String

Karena community string pada SNMPv1 dan v2c dikirimkan dalam bentuk teks biasa (plaintext) atau tidak dienkripsi, ia rentan untuk disadap oleh pihak lain yang dapat mengakses lalu lintas jaringan Anda . Ini adalah kelemahan mendasar dari kedua versi SNMP tersebut. Oleh karena itu, mengamankan community string menjadi sebuah keharusan, terutama di jaringan produksi.

Berikut adalah beberapa keamanan sederhana namun efektif yang biasa diterapkan:

1. Ganti Nilai Default: Ini adalah langkah pertama dan paling krusial. Jangan pernah menggunakan public atau private. Buatlah community string yang unik dan kompleks, seperti 5uP3r_M0n1t0r1ng_K3t4t atau kombinasi huruf, angka, dan karakter lainnya.
2. Batasi Akses Berdasarkan Alamat IP: Hampir semua perangkat jaringan memungkinkan Anda untuk mengonfigurasi daftar akses (access list). Dengan fitur ini, Anda bisa menginstruksikan SNMP Agent untuk hanya menerima permintaan yang datang dari alamat IP tertentu, misalnya IP dari server monitoring Anda . Dengan begitu, meskipun seseorang berhasil mencuri community string Anda, ia tidak akan bisa mengakses data karena permintaannya berasal dari IP yang tidak dikenal.
3. Gunakan Prinsip "Read-Only" Sebisa Mungkin: Untuk keperluan monitoring biasa, Anda hanya membutuhkan akses read-only (RO). Hindari penggunaan community string dengan hak akses read-write (RW) jika tidak benar-benar diperlukan. Jika sebuah sistem monitoring hanya perlu melihat data, berikan ia community string RO. Simpan community string RW hanya untuk tugas-tugas konfigurasi yang dilakukan oleh administrator tepercaya .
4. Pertimbangkan untuk Menggunakan SNMPv3: Jika perangkat Anda mendukung dan Anda membutuhkan tingkat keamanan yang lebih tinggi, gunakanlah SNMPv3. Versi terbaru ini tidak lagi menggunakan community string sederhana, melainkan mekanisme autentikasi dan enkripsi yang sesungguhnya dengan nama pengguna (username) dan kata sandi (password) . Ini jauh lebih aman karena data yang dikirimkan juga dienkripsi.