Zabbix : supervision des équipements réseau avec SNMPv3 sécurisé

L'infrastructure réseau — switches, routeurs, firewalls, points d'accès Wi-Fi — constitue le système nerveux de l'entreprise. Une interface saturée, un lien qui décroche, un switch qui approche de 100% de CPU : ces événements, s'ils ne sont pas détectés à temps, peuvent paralyser des dizaines ou des centaines d'utilisateurs. Le protocole SNMP (Simple Network Management Protocol) est le standard universel pour remonter ces métriques depuis les équipements réseau vers une solution de supervision. Mais SNMP v1 et v2c transmettent leurs données en clair sur le réseau, avec une simple "community string" comme seule authentification — une cible facile pour un attaquant ayant accès au réseau de supervision. SNMPv3 corrige radicalement ces failles en apportant l'authentification forte (SHA) et le chiffrement des données (AES), devenant obligatoire dans tout environnement respectant les bonnes pratiques de sécurité. Ce guide complet vous montre comment activer SNMPv3 sur les équipements Cisco IOS, HP/Aruba et Dell/Force10, comment configurer Zabbix pour les interroger avec les paramètres de sécurité maximaux (authPriv avec SHA et AES), et comment tirer parti des templates officiels Cisco et des métriques réseau essentielles pour construire une supervision réseau complète, sécurisée et maintenable en 2026.

SNMPv3 dans le contexte de l'audit de sécurité réseau — Conformité et bonnes pratiques

La supervision réseau avec SNMPv3 ne se limite pas à la performance — elle a des implications directes sur la conformité réglementaire et la posture de sécurité globale.

CIS Benchmarks et SNMPv3

Les CIS Benchmarks pour Cisco IOS, HP/Aruba et la plupart des équipements réseau prescrivent explicitement :

• Désactiver SNMPv1 et SNMPv2c
• Utiliser SNMPv3 avec authPriv uniquement
• Restreindre les accès SNMP via ACL
• Ne pas utiliser "public" ou "private" comme community strings (même si désactivées, leur présence est auditée)
• Rotation périodique des credentials SNMPv3 (au moins annuelle)

Lors d'un audit de sécurité ou d'un pentest réseau, la présence de SNMPv2c avec community strings par défaut est systématiquement relevée comme vulnérabilité critique — car un attaquant peut extraire la topologie réseau complète et potentiellement modifier la configuration des équipements.

Intégrer la supervision dans la réponse aux incidents

Zabbix avec SNMPv3 joue un rôle actif dans la réponse aux incidents réseau :

• Détection de storm broadcast : une hausse soudaine du trafic broadcast sur un port peut indiquer une boucle STP ou un équipement compromis — trigger Zabbix immédiat
• Détection de MAC flooding : un nombre anormalement élevé de MACs appris sur un port d'accès peut indiquer une attaque MAC flooding — détecté via la MIB dot1dTpFdbEntry
• Corrélation avec les logs de sécurité : Zabbix peut envoyer ses événements réseau vers un SIEM (via l'intégration native Elasticsearch ou Logstash) pour corréler avec les logs pare-feu et les alertes IDS/IPS

Planifier l'architecture de supervision réseau avec Zabbix et SNMPv3

Avant de configurer le premier équipement, une architecture de supervision réseau bien pensée évite les angles morts et les problèmes de performance à l'échelle.

VLAN de management dédié — L'impératif de segmentation

La supervision SNMP doit transiter par un VLAN de management dédié, physiquement ou logiquement séparé du trafic utilisateur. Cette segmentation est une recommandation fondamentale des guides CIS Benchmarks et de l'ANSSI pour plusieurs raisons :

• Même SNMPv3 avec chiffrement AES peut être ciblé par des attaques si un utilisateur peut sniffer le trafic management — le VLAN dédié élimine ce vecteur
• Isoler le trafic management permet de le filtrer précisément au firewall : seuls le serveur Zabbix et les équipements de jump peuvent accéder au VLAN de management
• En cas de compromission d'un poste utilisateur, l'accès aux équipements réseau via SNMP/SSH n'est pas possible depuis le VLAN utilisateur

Architecture recommandée

• VLAN Management : 192.168.250.0/24 (exemple) — switches, routeurs, firewalls, IPMI/iDRAC/iLO
• Serveur Zabbix : dans le VLAN Management ou avec une interface dans ce VLAN
• ACL sur les équipements : SNMP autorisé uniquement depuis l'IP du serveur Zabbix
• Proxy Zabbix : un proxy dans chaque site distant pour la supervision locale, qui renvoie au serveur central

Inventaire des équipements réseau avant déploiement

Constituez un inventaire de vos équipements réseau avec pour chaque entrée :

• Marque, modèle, version firmware
• Version SNMP supportée (v1, v2c, v3)
• Algorithmes d'auth et de chiffrement supportés (SHA1, SHA256 ; AES128, AES256)
• IP de management et VLAN
• Template Zabbix officiel disponible (oui/non, référence)

Cet inventaire vous permettra de planifier les exceptions (équipements SNMPv2c uniquement) et d'identifier les appareils nécessitant des MIBs custom.

SNMP v1/v2c vs SNMPv3 — Pourquoi SNMPv3 est obligatoire en sécurité

Comprendre les différences entre les versions SNMP est fondamental avant de configurer quoi que ce soit.

SNMP v1 et v2c — Les failles

SNMP v1 et v2c utilisent le même mécanisme de sécurité : une "community string" (généralement "public" pour la lecture, "private" pour l'écriture). Ces chaînes sont transmises en clair dans chaque paquet UDP. Un attaquant ayant accès au segment réseau de supervision peut :

• Sniffer les community strings avec Wireshark en quelques secondes
• Interroger tous les équipements avec la community string capturée pour obtenir la topologie réseau complète, les tables ARP, les configurations d'interface
• Modifier la configuration des équipements si la community "private" est accessible en écriture
• Effectuer des attaques MIB pour extraire des données sensibles (mots de passe SNMP, configurations OSPF/BGP)

SNMPv3 — Les améliorations sécurité

SNMPv3 introduit trois niveaux de sécurité progressifs :

Avec authPriv + SHA + AES, les données SNMP sont authentifiées (impossible d'usurper l'identité du manager Zabbix) et chiffrées (impossible de sniffer les données en transit). C'est le niveau recommandé par l'ANSSI et les frameworks CIS Benchmarks pour tous les équipements réseau gérés.

Activer SNMPv3 sur un switch Cisco IOS — Commandes complètes

Les commandes suivantes s'appliquent aux switches et routeurs Cisco IOS 15.x et IOS-XE (Catalyst 9000, ASR, ISR).

1. Créer un groupe SNMPv3

! Créer un groupe SNMPv3 en lecture seule avec authPriv (authentification + chiffrement)
snmp-server group ZABBIX-GROUP v3 priv read iso

! Optionnel : restreindre l'accès à l'IP du serveur Zabbix via ACL
ip access-list standard ACL-SNMP-ZABBIX
  permit 192.168.10.100      ! IP du serveur Zabbix
  deny   any

snmp-server group ZABBIX-GROUP v3 priv read iso access ACL-SNMP-ZABBIX

2. Créer un utilisateur SNMPv3

! Créer l'utilisateur avec SHA-256 pour l'auth et AES-128 pour le chiffrement
! Remplacez AuthPassword et PrivPassword par des mots de passe sécurisés (16+ caractères)
snmp-server user zabbix-monitor ZABBIX-GROUP v3 auth sha AuthPassword2026! priv aes 128 PrivPassword2026!

Note : sur Cisco IOS, SHA désigne SHA-1 dans les anciennes versions. Pour SHA-256, utilisez sha256 si votre version IOS le supporte. Sur IOS-XE 16.x et supérieur, SHA-256 et SHA-384 sont disponibles.

3. Configurer les paramètres SNMP globaux

! Désactiver SNMPv1 et v2c pour forcer SNMPv3 uniquement
no snmp-server community public
no snmp-server community private

! Configurer les informations de contact et localisation
snmp-server contact [email protected]
snmp-server location "Salle serveurs - Batiment A"

! Optionnel : configurer les traps SNMP vers Zabbix
snmp-server host 192.168.10.100 version 3 priv zabbix-monitor

4. Vérifier la configuration

show snmp user
show snmp group
show snmp community
! Tester depuis le serveur Zabbix (Linux) :
snmpwalk -v3 -l authPriv -u zabbix-monitor -a SHA -A "AuthPassword2026!" -x AES -X "PrivPassword2026!" 192.168.1.1 1.3.6.1.2.1.1

Activer SNMPv3 sur les switches HP/Aruba et Dell/Force10

HP/Aruba ProCurve et AOS-CX

! Sur Aruba AOS-CX (Aruba CX 6300, 6400, etc.)
snmpv3 user zabbix-monitor auth sha auth-pass AuthPassword2026! priv aes priv-pass PrivPassword2026!

! Restreindre l'accès par ACL
access-list ip SNMP-ACL
   10 permit ip 192.168.10.100/32 any
   20 deny ip any any

snmpv3 context "" notify "" notify-type trap
snmpv3 community "" user zabbix-monitor sec-level auth_priv

! Vérification
show snmpv3 users

! Sur HPE ProCurve (firmware K/KA) — syntaxe différente
snmpv3 enable
snmpv3 user "zabbix-monitor" auth sha "AuthPassword2026!" priv aes "PrivPassword2026!"
snmpv3 group "ManagementGroup" user "zabbix-monitor" sec-model ver3

Dell/Force10 (OS10 et OS9)

! Dell OS10 (S-Series S52xx, Z-Series)
snmp-server group ZABBIX-GRP 3 priv read all-mibs
snmp-server user zabbix-monitor ZABBIX-GRP 3 auth sha AuthPassword2026! priv aes-128 PrivPassword2026!

! Dell OS9 (Force10 S-Series)
snmp-server group ZABBIX-GRP 3 priv read-view iso
snmp-server user zabbix-monitor ZABBIX-GRP 3 auth sha AuthPassword2026! priv aes128 PrivPassword2026!

! Vérification
show snmp user

Configurer Zabbix pour interroger les équipements en SNMPv3

Zabbix 7 gère nativement SNMPv3 sans plugin supplémentaire. La configuration se fait au niveau de l'interface SNMP de chaque hôte.

Prérequis sur le serveur Zabbix

# Installer les outils SNMP sur le serveur Zabbix (Debian/Ubuntu)
apt install -y snmp snmp-mibs-downloader

# Activer le chargement des MIBs dans /etc/snmp/snmp.conf
echo "mibs +ALL" >> /etc/snmp/snmp.conf

Créer un host avec interface SNMP dans Zabbix

1. Naviguez vers Data collection → Hosts → + Create host
2. Renseignez le nom d'hôte (ex. "SW-CISCO-9300-01")
3. Dans l'onglet Interfaces → + Add interface → SNMP
4. IP address : adresse IP de management du switch (vlan de management)
5. SNMP port : 161 (défaut)

Configurer les credentials SNMPv3 dans Zabbix

Dans la section SNMP de l'interface, sélectionnez :

• SNMP version : SNMPv3
• Context name : laisser vide (sauf configuration spécifique VRF Cisco)
• Security name : zabbix-monitor (nom de l'utilisateur SNMPv3)
• Security level : authPriv
• Authentication protocol : SHA1 ou SHA256
• Authentication passphrase : AuthPassword2026!
• Privacy protocol : AES128
• Privacy passphrase : PrivPassword2026!

Utiliser les macros pour les credentials

Pour éviter de saisir les mêmes credentials sur chaque hôte et faciliter la rotation des mots de passe, utilisez des macros Zabbix :

1. Administration → General → Macros (macros globales)
2. Créez : {$SNMP_AUTH_PASS} = AuthPassword2026! (type: Secret text)
3. Créez : {$SNMP_PRIV_PASS} = PrivPassword2026! (type: Secret text)
4. Sur chaque hôte SNMP, référencez ces macros dans les champs passphrase

Ainsi, lors d'une rotation de mot de passe SNMP, une seule mise à jour de la macro globale suffit pour tous les équipements.

Appliquer les templates Zabbix pour les équipements Cisco

Zabbix fournit des templates officiels maintenus pour les principales gammes d'équipements réseau. Pour Cisco :

Templates disponibles pour Cisco

• Cisco IOS by SNMP : pour les switches et routeurs Catalyst, ISR, ASR sous IOS et IOS-XE
• Cisco IOS by HTTP : via l'API REST Cisco DNA Center / RESTCONF (si disponible)
• Cisco Nexus by SNMP : pour les switches datacenter Nexus (NX-OS)
• Cisco ASA by SNMP : pour les firewalls ASA

Appliquer le template Cisco IOS by SNMP

1. Dans la configuration de l'hôte → onglet Templates
2. Cherchez et sélectionnez Cisco IOS by SNMP
3. Sauvegardez — Zabbix commence immédiatement à interroger l'équipement

Ce template collecte automatiquement :

• CPU du switch (utilisation 5 secondes, 1 minute, 5 minutes)
• Mémoire (utilisée / totale)
• État de toutes les interfaces (UP/DOWN, erreurs, discards)
• Trafic entrant et sortant par interface (bits/sec, paquets/sec)
• Température des composants (si supporté par le matériel)
• État des alimentations et des ventilateurs (switch chassis)
• Version firmware et uptime

Templates pour HP/Aruba et Dell

• HPE Aruba CX by SNMP : pour les switches AOS-CX
• Net HP ProCurve by SNMP : pour les switches ProCurve/ProVision
• Dell Force10 by SNMP : pour les switches Dell OS9/OS10

Ces templates sont disponibles dans la bibliothèque de templates Zabbix, accessible depuis le portail Zabbix via Data collection → Templates → Import ou directement téléchargeables sur zabbix.com/integrations.

Métriques réseau essentielles à superviser

Les templates officiels collectent des dizaines de métriques. Voici les indicateurs critiques à surveiller en priorité.

Bande passante (Bandwidth Utilization)

La métrique la plus critique. Pour chaque interface, calculez :

• Utilisation entrante : (ifHCInOctets * 8 / ifSpeed * 100) en pourcentage
• Utilisation sortante : (ifHCOutOctets * 8 / ifSpeed * 100) en pourcentage

Le template Cisco IOS by SNMP génère ces calculs automatiquement. Créez un trigger d'alerte dès que l'utilisation dépasse 80% sur les liens critiques (uplinks, liens inter-datacenters).

Erreurs et paquets discards

• ifInErrors / ifOutErrors : erreurs CRC, runts, giants — indiquent des problèmes de câblage ou de négociation
• ifInDiscards / ifOutDiscards : paquets abandonnés pour saturation de buffer — problème de surcharge ou QoS

Un taux d'erreur supérieur à 0.1% des paquets doit déclencher une alerte (trigger de type erreurs par seconde > 10 ou taux d'erreur > 0.1%).

CPU du switch

Un CPU switch dépassant 80% d'utilisation peut indiquer :

• Storm broadcast/multicast (boucle STP, hôte défaillant)
• Attaque de type MAC flooding
• Renouvellement massif de routes (instabilité BGP/OSPF)

Créez un trigger : CPU 5min > 80% → Warning, CPU 5min > 95% → High.

État des interfaces (Link Up/Down)

Les changements d'état d'interface (ifOperStatus) génèrent des traps SNMP ou sont détectés par polling. Un lien qui décroche peut indiquer une panne matérielle, un câble défectueux ou une attaque (débranchement physique en salle serveurs). Configurez des alertes distinctes pour les interfaces critiques (uplinks, liaisons SAN/NAS) et les interfaces utilisateurs.

Alertes sur saturation interface et décrochage de lien

Zabbix utilise des triggers pour définir les conditions d'alerte. Voici les triggers recommandés pour la supervision réseau.

Trigger : saturation bande passante

! Expression Zabbix 7 — trigger sur utilisation bande passante sortante > 80% pendant 5 minutes
{SW-CISCO-9300-01:net.if.out[ifHCOutOctets.1].avg(5m)} /
{SW-CISCO-9300-01:net.if.speed[ifHighSpeed.1].last()} * 100 > 80

Dans la pratique, le template Cisco IOS by SNMP crée ces triggers automatiquement pour toutes les interfaces, avec des seuils configurables via des macros de l'hôte ({$IF.UTIL.MAX} = 80 par défaut).

Trigger : décrochage de lien uplink

! Alerte si l'interface GigabitEthernet0/0 (uplink) passe à DOWN
{SW-CISCO-9300-01:net.if.status[ifOperStatus.1].last()} = 2

(ifOperStatus = 2 signifie "down" dans la MIB IF-MIB)

Notification par Telegram pour les alertes réseau critiques

Configurez une Action Zabbix qui envoie les alertes réseau de sévérité High et Disaster vers un canal Telegram de l'équipe réseau, et les alertes Warning vers l'email. Cela garantit une réactivité immédiate pour les incidents critiques (lien uplink down) sans noyer l'équipe de notifications mineures.

MIBs custom pour les équipements sans template officiel

Pour les équipements réseau moins courants (firewalls anciens, balanceurs de charge, appliances spécialisées), il n'existe pas toujours un template Zabbix officiel. Dans ce cas, importez les MIBs propriétaires et créez vos propres items SNMP.

Obtenir les MIBs propriétaires

Les MIBs sont généralement disponibles :

• Sur le site de support du fabricant (téléchargement en fichiers .mib ou .txt)
• Dans les firmwares de l'équipement (répertoire /mibs sur les ASA Cisco, par exemple)
• Via snmpwalk -v3 ... 1.3.6.1.4.1.ENTERPRISE-OID pour explorer les OIDs propriétaires

Installer les MIBs sur le serveur Zabbix

# Copier les fichiers MIB dans le répertoire standard
cp CISCO-ENHANCED-MEMPOOL-MIB.my /usr/share/snmp/mibs/
cp MY-APPLIANCE-MIB.mib /usr/share/snmp/mibs/

# Vérifier que les MIBs sont correctement chargées
snmptranslate -m ALL -IR sysDescr

Créer un item SNMP personnalisé dans Zabbix

1. Sur l'hôte : Items → + Create item
2. Type : SNMP agent
3. Key : ex. custom.memory.used[cempMemPoolUsed.1]
4. SNMP OID : ex. 1.3.6.1.4.1.9.9.221.1.1.1.1.7.1 (OID numérique, plus fiable que symbolique)
5. Type of information : Numeric (unsigned 64-bit) pour les compteurs
6. Units : B, bps, % selon la métrique
7. Sauvegardez et vérifiez que la valeur remonte dans Monitoring → Hosts → votre hôte → Items → Latest data

Pour une supervision complète de vos serveurs Linux et Windows en parallèle de vos équipements réseau, consultez notre guide d'installation Zabbix 7 pour Linux et Windows Server. Pour intégrer la supervision réseau dans votre stratégie de sécurité globale, nos services de sécurité offensive identifient les failles exploitables depuis votre infrastructure supervisée.

La documentation officielle SNMPv3 Zabbix est disponible dans la documentation Zabbix 7.0, et la documentation Cisco SNMPv3 sur le portail Cisco.

FAQ — Zabbix SNMPv3 et supervision réseau

Pourquoi les traps SNMP ne remontent pas dans Zabbix alors que le switch est configuré pour les envoyer ?

Les traps SNMP nécessitent que le démon zabbix-snmptraps soit installé et actif sur le serveur Zabbix, et que le port UDP 162 soit ouvert en entrée sur le firewall du serveur Zabbix. Vérifiez avec ss -ulnp | grep 162 que le démon écoute. Assurez-vous également que la configuration du switch (snmp-server host IP version 3 priv USERNAME) pointe vers l'IP correcte du serveur Zabbix et utilise bien SNMPv3. Les traps SNMPv3 nécessitent que l'utilisateur SNMPv3 soit connu du démon snmptrapdm — ajoutez-le dans /etc/snmp/snmptrapd.conf.

Comment superviser plusieurs VRF sur un routeur Cisco avec Zabbix SNMPv3 ?

Sur Cisco IOS-XE, les VRFs exposent des contextes SNMP distincts. Pour chaque VRF à superviser, créez un hôte Zabbix séparé (ou des items avec des macros de contexte différentes) en renseignant le Context name dans l'interface SNMP Zabbix avec le nom de la VRF (ex. "vrf-client1"). Assurez-vous que l'utilisateur SNMPv3 est créé dans chaque contexte VRF sur le routeur avec la commande snmp-server user USERNAME GROUP v3 context VRF-NAME ....

Faut-il migrer les équipements existants en SNMPv2c vers SNMPv3 d'un coup ou progressivement ?

Une migration progressive est recommandée pour éviter les interruptions de supervision. Procédez ainsi : d'abord activez SNMPv3 en parallèle de SNMPv2c sur l'équipement, sans désactiver v2c. Créez le nouvel hôte Zabbix en SNMPv3 et validez que toutes les métriques remontent correctement pendant 1 à 2 semaines. Ensuite seulement, supprimez la configuration SNMPv2c sur l'équipement et l'ancien hôte Zabbix. Cette approche garantit une supervision continue pendant la migration.

Comment gérer la rotation des mots de passe SNMPv3 sans interruption de supervision ?

La rotation des credentials SNMPv3 nécessite une coordination entre l'équipement réseau et Zabbix. La bonne pratique est d'utiliser les macros Zabbix secrètes ({$SNMP_AUTH_PASS}, {$SNMP_PRIV_PASS}) référencées dans tous les hôtes SNMP. Lors de la rotation : modifiez d'abord le mot de passe sur l'équipement réseau (avec le nouveau mot de passe), puis immédiatement après, mettez à jour la macro Zabbix. L'interruption de supervision est limitée à quelques cycles de polling (généralement moins d'1 minute). Automatisez cette procédure avec un script Ansible qui coordonne les deux actions.

SNMPv3 est-il supporté sur tous les équipements réseau récents ?

La grande majorité des équipements réseau professionnels des 15 dernières années supportent SNMPv3 en authPriv avec SHA et AES. Les rares exceptions sont les équipements très anciens (firmware de 2005 et antérieur) ou certains équipements bas de gamme/IoT industriels qui n'implémentent que SNMPv1/v2c. Pour ces cas, isolez-les dans un segment réseau de supervision dédié avec des contrôles d'accès stricts au niveau pare-feu, et documentez l'impossibilité de migrer vers SNMPv3 comme une dérogation formelle dans votre plan de sécurité.