SNMP und Sicherheit

Einführung

• SNMP bedeutet Simple Network Management Protocol.
• Es dient zur Überwachung von Geräten im Netzwerk wie Switches, Router, Firewalls und Servern.
• Typische Informationen: Systembeschreibung, Uptime, Interfaces, CPU, Speicher, Logs.
• SNMP ist ein zentrales Werkzeug im Monitoring (z. B. mit LibreNMS, Checkmk, Zabbix).

Warum SNMP wichtig ist

• Netzwerk- und Systemüberwachung erkennt Ausfälle und Probleme frühzeitig.
• Zentrales Monitoring spart Zeit: statt jeden Host einzeln prüfen zu müssen, werden Daten automatisch gesammelt.
• SNMP ist ein universeller Standard – fast jedes Gerät unterstützt es.

Versionen

• SNMPv1 und SNMPv2c
  • Übertragen alles im Klartext.
  • Authentifizierung nur über einen einfachen Community-String.
  • Heute nicht mehr akzeptabel.
• SNMPv3
  • Bringt Benutzerverwaltung, Authentifizierung und Verschlüsselung.
  • Ist die einzige empfohlene Version für den produktiven Einsatz.

Sicherheit mit SNMPv3

• Security Level: authPriv
  • Benutzeranmeldung mit Passwortprüfung (SHA).
  • Datenübertragung verschlüsselt (AES).
  • Einzige Best Practice im produktiven Einsatz.
• Authentifizierung: SHA (SHA-1 oder besser SHA-2, wenn implementiert).
• Verschlüsselung: AES (128 Bit oder stärker).
• Keine veralteten Verfahren wie MD5 oder DES verwenden.

Erklärung der Parameter:

• Auth User Name – Benutzername (z. B. snmpadmin), der auf dem Gerät angelegt wird. Identifiziert den Account bei der Anmeldung.
• Auth Password – Passwort für die Authentifizierung, zusammen mit dem Auth-Algorithmus (z. B. SHA). Vergleichbar mit einem normalen Login-Passwort.
• Auth Algorithm – bestimmt, wie das Auth-Passwort verarbeitet wird. Empfehlung: SHA. MD5 ist unsicher und darf nicht mehr verwendet werden.
• Crypto Password (Privacy Password) – separates Passwort für die Verschlüsselung des SNMP-Datenverkehrs. Zusammen mit dem Crypto-Algorithmus wird daraus der Schlüssel für die Verschlüsselung gebildet.
• Crypto Algorithm – Verschlüsselungsverfahren für die eigentlichen SNMP-Nachrichten. Empfehlung: AES (128 Bit oder stärker). DES ist veraltet und unsicher.
• Zusammenspiel – der Client meldet sich mit Auth User Name und Auth Password (geprüft über den Auth Algorithm). Bei Security Level authPriv wird zusätzlich der gesamte Datenverkehr mit Crypto Password + Crypto Algorithm verschlüsselt. Damit ist die Kommunikation sowohl authentifiziert als auch vertraulich.

Ports und Netzwerk

• SNMP-Abfragen laufen über UDP/161.
• SNMP-Traps (Benachrichtigungen von Agenten an Manager) laufen über UDP/162.
• Firewall-Regeln sollten Zugriffe auf diese Ports nur von autorisierten Monitoring-Servern zulassen.

Best Practices

• Immer SNMPv3 authPriv einsetzen (SHA + AES).
• Starke Passwörter für Auth und Priv verwenden.
• Community-Strings (v1/v2c) deaktivieren.
• Firewall-Regeln so setzen, dass nur die Monitoring-Server Zugriff haben.
• Unnötige User löschen und Konfiguration regelmäßig prüfen.
• Traps (UDP/162) nur aktivieren, wenn sie tatsächlich genutzt werden.

Fazit

• SNMP ist unverzichtbar für zuverlässiges Netzwerk- und System-Monitoring.
• Alte Versionen (v1/v2c) sind unsicher und müssen abgeschaltet werden.
• SNMPv3 mit authPriv, SHA und AES ist die einzig sinnvolle Wahl.
• Richtig konfiguriert liefert SNMP alle wichtigen Informationen, ohne Sicherheitsrisiko einzugehen.