SNMP Sicherheit: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
Zeile 2: Zeile 2:
  
 
== Einführung ==
 
== Einführung ==
* SNMP bedeutet **Simple Network Management Protocol**.
+
* SNMP bedeutet Simple Network Management Protocol.
 
* Es dient zur Überwachung von Geräten im Netzwerk wie Switches, Router, Firewalls und Servern.
 
* Es dient zur Überwachung von Geräten im Netzwerk wie Switches, Router, Firewalls und Servern.
 
* Typische Informationen: Systembeschreibung, Uptime, Interfaces, CPU, Speicher, Logs.
 
* Typische Informationen: Systembeschreibung, Uptime, Interfaces, CPU, Speicher, Logs.
Zeile 13: Zeile 13:
  
 
== Versionen ==
 
== Versionen ==
* **SNMPv1 und SNMPv2c**
+
* SNMPv1 und SNMPv2c
  - Übertragen alles im Klartext.
+
** Übertragen alles im Klartext.
  - Authentifizierung nur über einen einfachen Community-String.
+
** Authentifizierung nur über einen einfachen Community-String.
  - Heute nicht mehr akzeptabel.
+
** Heute nicht mehr akzeptabel.
* **SNMPv3**
+
* SNMPv3
  - Bringt Benutzerverwaltung, Authentifizierung und Verschlüsselung.
+
** Bringt Benutzerverwaltung, Authentifizierung und Verschlüsselung.
  - Ist die einzige empfohlene Version für den produktiven Einsatz.
+
** Ist die einzige empfohlene Version für den produktiven Einsatz.
  
 
== Sicherheit mit SNMPv3 ==
 
== Sicherheit mit SNMPv3 ==
* **Security Level: authPriv**
+
* Security Level: authPriv
  - Benutzeranmeldung mit Passwortprüfung (SHA).
+
** Benutzeranmeldung mit Passwortprüfung (SHA).
  - Datenübertragung verschlüsselt (AES).
+
** Datenübertragung verschlüsselt (AES).
  - Einzige Best Practice im produktiven Einsatz.
+
** Einzige Best Practice im produktiven Einsatz.
* **Authentifizierung**: SHA (SHA-1 oder besser SHA-2, wenn implementiert).
+
* Authentifizierung: SHA (SHA-1 oder besser SHA-2, wenn implementiert).
* **Verschlüsselung**: AES (128 Bit oder stärker).
+
* Verschlüsselung: AES (128 Bit oder stärker).
* **Keine veralteten Verfahren** wie MD5 oder DES verwenden.
+
* Keine veralteten Verfahren wie MD5 oder DES verwenden.
  
 
== Ports und Netzwerk ==
 
== Ports und Netzwerk ==
* SNMP-Abfragen laufen über **UDP/161**.
+
* SNMP-Abfragen laufen über UDP/161.
* SNMP-Traps (Benachrichtigungen von Agenten an Manager) laufen über **UDP/162**.
+
* SNMP-Traps (Benachrichtigungen von Agenten an Manager) laufen über UDP/162.
 
* Firewall-Regeln sollten Zugriffe auf diese Ports nur von autorisierten Monitoring-Servern zulassen.
 
* Firewall-Regeln sollten Zugriffe auf diese Ports nur von autorisierten Monitoring-Servern zulassen.
  
 
== Best Practices ==
 
== Best Practices ==
* **Immer SNMPv3 authPriv** einsetzen (SHA + AES).
+
* Immer SNMPv3 authPriv einsetzen (SHA + AES).
 
* Starke Passwörter für Auth und Priv verwenden.
 
* Starke Passwörter für Auth und Priv verwenden.
 
* Community-Strings (v1/v2c) deaktivieren.
 
* Community-Strings (v1/v2c) deaktivieren.
Zeile 46: Zeile 46:
 
* SNMP ist unverzichtbar für zuverlässiges Netzwerk- und System-Monitoring.
 
* SNMP ist unverzichtbar für zuverlässiges Netzwerk- und System-Monitoring.
 
* Alte Versionen (v1/v2c) sind unsicher und müssen abgeschaltet werden.
 
* Alte Versionen (v1/v2c) sind unsicher und müssen abgeschaltet werden.
* **SNMPv3 mit authPriv, SHA und AES ist die einzig sinnvolle Wahl.**
+
* SNMPv3 mit authPriv, SHA und AES ist die einzig sinnvolle Wahl.
 
* Richtig konfiguriert liefert SNMP alle wichtigen Informationen, ohne Sicherheitsrisiko einzugehen.
 
* Richtig konfiguriert liefert SNMP alle wichtigen Informationen, ohne Sicherheitsrisiko einzugehen.

Version vom 24. September 2025, 07:14 Uhr

SNMP und Sicherheit

Einführung

  • SNMP bedeutet Simple Network Management Protocol.
  • Es dient zur Überwachung von Geräten im Netzwerk wie Switches, Router, Firewalls und Servern.
  • Typische Informationen: Systembeschreibung, Uptime, Interfaces, CPU, Speicher, Logs.
  • SNMP ist ein zentrales Werkzeug im Monitoring (z. B. mit LibreNMS, Checkmk, Zabbix).

Warum SNMP wichtig ist

  • Netzwerk- und Systemüberwachung erkennt Ausfälle und Probleme frühzeitig.
  • Zentrales Monitoring spart Zeit: statt jeden Host einzeln prüfen zu müssen, werden Daten automatisch gesammelt.
  • SNMP ist ein universeller Standard – fast jedes Gerät unterstützt es.

Versionen

  • SNMPv1 und SNMPv2c
    • Übertragen alles im Klartext.
    • Authentifizierung nur über einen einfachen Community-String.
    • Heute nicht mehr akzeptabel.
  • SNMPv3
    • Bringt Benutzerverwaltung, Authentifizierung und Verschlüsselung.
    • Ist die einzige empfohlene Version für den produktiven Einsatz.

Sicherheit mit SNMPv3

  • Security Level: authPriv
    • Benutzeranmeldung mit Passwortprüfung (SHA).
    • Datenübertragung verschlüsselt (AES).
    • Einzige Best Practice im produktiven Einsatz.
  • Authentifizierung: SHA (SHA-1 oder besser SHA-2, wenn implementiert).
  • Verschlüsselung: AES (128 Bit oder stärker).
  • Keine veralteten Verfahren wie MD5 oder DES verwenden.

Ports und Netzwerk

  • SNMP-Abfragen laufen über UDP/161.
  • SNMP-Traps (Benachrichtigungen von Agenten an Manager) laufen über UDP/162.
  • Firewall-Regeln sollten Zugriffe auf diese Ports nur von autorisierten Monitoring-Servern zulassen.

Best Practices

  • Immer SNMPv3 authPriv einsetzen (SHA + AES).
  • Starke Passwörter für Auth und Priv verwenden.
  • Community-Strings (v1/v2c) deaktivieren.
  • Firewall-Regeln so setzen, dass nur die Monitoring-Server Zugriff haben.
  • Unnötige User löschen und Konfiguration regelmäßig prüfen.
  • Traps (UDP/162) nur aktivieren, wenn sie tatsächlich genutzt werden.

Fazit

  • SNMP ist unverzichtbar für zuverlässiges Netzwerk- und System-Monitoring.
  • Alte Versionen (v1/v2c) sind unsicher und müssen abgeschaltet werden.
  • SNMPv3 mit authPriv, SHA und AES ist die einzig sinnvolle Wahl.
  • Richtig konfiguriert liefert SNMP alle wichtigen Informationen, ohne Sicherheitsrisiko einzugehen.
Abgerufen von „http://wiki.ixheim.de/index.php?title=SNMP_Sicherheit&oldid=64803