SNMP Sicherheit: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
(Die Seite wurde neu angelegt: „== Vollständiger SNMP-Walk == Um alle verfügbaren OIDs vom Switch abzufragen, von control.lab.internal aus: * snmpwalk -v3 -l authPriv -u snmpadmin \ -a S…“) |
|||
| Zeile 1: | Zeile 1: | ||
| − | = | + | = SNMP und Sicherheit = |
| − | |||
| − | * | + | == Einführung == |
| − | + | * SNMP bedeutet **Simple Network Management Protocol**. | |
| − | + | * Es dient zur Überwachung von Geräten im Netzwerk wie Switches, Router, Firewalls und Servern. | |
| − | + | * Typische Informationen: Systembeschreibung, Uptime, Interfaces, CPU, Speicher, Logs. | |
| + | * SNMP ist ein zentrales Werkzeug im Monitoring (z. B. mit LibreNMS, Checkmk, Zabbix). | ||
| − | == | + | == Warum SNMP wichtig ist == |
| − | + | * Netzwerk- und Systemüberwachung erkennt Ausfälle und Probleme frühzeitig. | |
| + | * Zentrales Monitoring spart Zeit: statt jeden Host einzeln prüfen zu müssen, werden Daten automatisch gesammelt. | ||
| + | * SNMP ist ein universeller Standard – fast jedes Gerät unterstützt es. | ||
| − | + | == Versionen == | |
| − | + | * **SNMPv1 und SNMPv2c** | |
| − | + | - Übertragen alles im Klartext. | |
| − | + | - Authentifizierung nur über einen einfachen Community-String. | |
| − | + | - Heute nicht mehr akzeptabel. | |
| − | + | * **SNMPv3** | |
| − | + | - Bringt Benutzerverwaltung, Authentifizierung und Verschlüsselung. | |
| − | + | - Ist die einzige empfohlene Version für den produktiven Einsatz. | |
| − | |||
| − | |||
| − | |||
| − | . | ||
| − | |||
| − | + | == Sicherheit mit SNMPv3 == | |
| + | * **Security Level: authPriv** | ||
| + | - Benutzeranmeldung mit Passwortprüfung (SHA). | ||
| + | - Datenübertragung verschlüsselt (AES). | ||
| + | - Einzige Best Practice im produktiven Einsatz. | ||
| + | * **Authentifizierung**: SHA (SHA-1 oder besser SHA-2, wenn implementiert). | ||
| + | * **Verschlüsselung**: AES (128 Bit oder stärker). | ||
| + | * **Keine veralteten Verfahren** wie MD5 oder DES verwenden. | ||
| + | |||
| + | == Ports und Netzwerk == | ||
| + | * SNMP-Abfragen laufen über **UDP/161**. | ||
| + | * SNMP-Traps (Benachrichtigungen von Agenten an Manager) laufen über **UDP/162**. | ||
| + | * Firewall-Regeln sollten Zugriffe auf diese Ports nur von autorisierten Monitoring-Servern zulassen. | ||
| + | |||
| + | == Best Practices == | ||
| + | * **Immer SNMPv3 authPriv** einsetzen (SHA + AES). | ||
| + | * Starke Passwörter für Auth und Priv verwenden. | ||
| + | * Community-Strings (v1/v2c) deaktivieren. | ||
| + | * Firewall-Regeln so setzen, dass nur die Monitoring-Server Zugriff haben. | ||
| + | * Unnötige User löschen und Konfiguration regelmäßig prüfen. | ||
| + | * Traps (UDP/162) nur aktivieren, wenn sie tatsächlich genutzt werden. | ||
| + | |||
| + | == Fazit == | ||
| + | * SNMP ist unverzichtbar für zuverlässiges Netzwerk- und System-Monitoring. | ||
| + | * Alte Versionen (v1/v2c) sind unsicher und müssen abgeschaltet werden. | ||
| + | * **SNMPv3 mit authPriv, SHA und AES ist die einzig sinnvolle Wahl.** | ||
| + | * Richtig konfiguriert liefert SNMP alle wichtigen Informationen, ohne Sicherheitsrisiko einzugehen. | ||
Version vom 24. September 2025, 07:14 Uhr
SNMP und Sicherheit
Einführung
- SNMP bedeutet **Simple Network Management Protocol**.
- Es dient zur Überwachung von Geräten im Netzwerk wie Switches, Router, Firewalls und Servern.
- Typische Informationen: Systembeschreibung, Uptime, Interfaces, CPU, Speicher, Logs.
- SNMP ist ein zentrales Werkzeug im Monitoring (z. B. mit LibreNMS, Checkmk, Zabbix).
Warum SNMP wichtig ist
- Netzwerk- und Systemüberwachung erkennt Ausfälle und Probleme frühzeitig.
- Zentrales Monitoring spart Zeit: statt jeden Host einzeln prüfen zu müssen, werden Daten automatisch gesammelt.
- SNMP ist ein universeller Standard – fast jedes Gerät unterstützt es.
Versionen
- **SNMPv1 und SNMPv2c**
- Übertragen alles im Klartext. - Authentifizierung nur über einen einfachen Community-String. - Heute nicht mehr akzeptabel.
- **SNMPv3**
- Bringt Benutzerverwaltung, Authentifizierung und Verschlüsselung. - Ist die einzige empfohlene Version für den produktiven Einsatz.
Sicherheit mit SNMPv3
- **Security Level: authPriv**
- Benutzeranmeldung mit Passwortprüfung (SHA). - Datenübertragung verschlüsselt (AES). - Einzige Best Practice im produktiven Einsatz.
- **Authentifizierung**: SHA (SHA-1 oder besser SHA-2, wenn implementiert).
- **Verschlüsselung**: AES (128 Bit oder stärker).
- **Keine veralteten Verfahren** wie MD5 oder DES verwenden.
Ports und Netzwerk
- SNMP-Abfragen laufen über **UDP/161**.
- SNMP-Traps (Benachrichtigungen von Agenten an Manager) laufen über **UDP/162**.
- Firewall-Regeln sollten Zugriffe auf diese Ports nur von autorisierten Monitoring-Servern zulassen.
Best Practices
- **Immer SNMPv3 authPriv** einsetzen (SHA + AES).
- Starke Passwörter für Auth und Priv verwenden.
- Community-Strings (v1/v2c) deaktivieren.
- Firewall-Regeln so setzen, dass nur die Monitoring-Server Zugriff haben.
- Unnötige User löschen und Konfiguration regelmäßig prüfen.
- Traps (UDP/162) nur aktivieren, wenn sie tatsächlich genutzt werden.
Fazit
- SNMP ist unverzichtbar für zuverlässiges Netzwerk- und System-Monitoring.
- Alte Versionen (v1/v2c) sind unsicher und müssen abgeschaltet werden.
- **SNMPv3 mit authPriv, SHA und AES ist die einzig sinnvolle Wahl.**
- Richtig konfiguriert liefert SNMP alle wichtigen Informationen, ohne Sicherheitsrisiko einzugehen.