SNMP Sicherheit

Aus Xinux Wiki

Version vom 24. September 2025, 07:14 Uhr von Thomas.will (Diskussion | Beiträge)

(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Zur Navigation springen Zur Suche springen

SNMP und Sicherheit

Einführung

SNMP bedeutet **Simple Network Management Protocol**.
Es dient zur Überwachung von Geräten im Netzwerk wie Switches, Router, Firewalls und Servern.
Typische Informationen: Systembeschreibung, Uptime, Interfaces, CPU, Speicher, Logs.
SNMP ist ein zentrales Werkzeug im Monitoring (z. B. mit LibreNMS, Checkmk, Zabbix).

Warum SNMP wichtig ist

Netzwerk- und Systemüberwachung erkennt Ausfälle und Probleme frühzeitig.
Zentrales Monitoring spart Zeit: statt jeden Host einzeln prüfen zu müssen, werden Daten automatisch gesammelt.
SNMP ist ein universeller Standard – fast jedes Gerät unterstützt es.

Versionen

**SNMPv1 und SNMPv2c**

 - Übertragen alles im Klartext.  
 - Authentifizierung nur über einen einfachen Community-String.  
 - Heute nicht mehr akzeptabel.

**SNMPv3**

 - Bringt Benutzerverwaltung, Authentifizierung und Verschlüsselung.  
 - Ist die einzige empfohlene Version für den produktiven Einsatz.

Sicherheit mit SNMPv3

**Security Level: authPriv**

 - Benutzeranmeldung mit Passwortprüfung (SHA).  
 - Datenübertragung verschlüsselt (AES).  
 - Einzige Best Practice im produktiven Einsatz.

**Authentifizierung**: SHA (SHA-1 oder besser SHA-2, wenn implementiert).
**Verschlüsselung**: AES (128 Bit oder stärker).
**Keine veralteten Verfahren** wie MD5 oder DES verwenden.

Ports und Netzwerk

SNMP-Abfragen laufen über **UDP/161**.
SNMP-Traps (Benachrichtigungen von Agenten an Manager) laufen über **UDP/162**.
Firewall-Regeln sollten Zugriffe auf diese Ports nur von autorisierten Monitoring-Servern zulassen.

Best Practices

**Immer SNMPv3 authPriv** einsetzen (SHA + AES).
Starke Passwörter für Auth und Priv verwenden.
Community-Strings (v1/v2c) deaktivieren.
Firewall-Regeln so setzen, dass nur die Monitoring-Server Zugriff haben.
Unnötige User löschen und Konfiguration regelmäßig prüfen.
Traps (UDP/162) nur aktivieren, wenn sie tatsächlich genutzt werden.

Fazit

SNMP ist unverzichtbar für zuverlässiges Netzwerk- und System-Monitoring.
Alte Versionen (v1/v2c) sind unsicher und müssen abgeschaltet werden.
**SNMPv3 mit authPriv, SHA und AES ist die einzig sinnvolle Wahl.**
Richtig konfiguriert liefert SNMP alle wichtigen Informationen, ohne Sicherheitsrisiko einzugehen.

Abgerufen von „http://wiki.ixheim.de/index.php?title=SNMP_Sicherheit&oldid=64802“