SNMP Sicherheit

Aus Xinux Wiki

Version vom 24. September 2025, 07:14 Uhr von Thomas.will (Diskussion | Beiträge)

(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Zur Navigation springen Zur Suche springen

SNMP und Sicherheit

Einführung

SNMP bedeutet Simple Network Management Protocol.
Es dient zur Überwachung von Geräten im Netzwerk wie Switches, Router, Firewalls und Servern.
Typische Informationen: Systembeschreibung, Uptime, Interfaces, CPU, Speicher, Logs.
SNMP ist ein zentrales Werkzeug im Monitoring (z. B. mit LibreNMS, Checkmk, Zabbix).

Warum SNMP wichtig ist

Netzwerk- und Systemüberwachung erkennt Ausfälle und Probleme frühzeitig.
Zentrales Monitoring spart Zeit: statt jeden Host einzeln prüfen zu müssen, werden Daten automatisch gesammelt.
SNMP ist ein universeller Standard – fast jedes Gerät unterstützt es.

Versionen

SNMPv1 und SNMPv2c
- Übertragen alles im Klartext.
- Authentifizierung nur über einen einfachen Community-String.
- Heute nicht mehr akzeptabel.
SNMPv3
- Bringt Benutzerverwaltung, Authentifizierung und Verschlüsselung.
- Ist die einzige empfohlene Version für den produktiven Einsatz.

Sicherheit mit SNMPv3

Security Level: authPriv
- Benutzeranmeldung mit Passwortprüfung (SHA).
- Datenübertragung verschlüsselt (AES).
- Einzige Best Practice im produktiven Einsatz.
Authentifizierung: SHA (SHA-1 oder besser SHA-2, wenn implementiert).
Verschlüsselung: AES (128 Bit oder stärker).
Keine veralteten Verfahren wie MD5 oder DES verwenden.

Ports und Netzwerk

SNMP-Abfragen laufen über UDP/161.
SNMP-Traps (Benachrichtigungen von Agenten an Manager) laufen über UDP/162.
Firewall-Regeln sollten Zugriffe auf diese Ports nur von autorisierten Monitoring-Servern zulassen.

Best Practices

Immer SNMPv3 authPriv einsetzen (SHA + AES).
Starke Passwörter für Auth und Priv verwenden.
Community-Strings (v1/v2c) deaktivieren.
Firewall-Regeln so setzen, dass nur die Monitoring-Server Zugriff haben.
Unnötige User löschen und Konfiguration regelmäßig prüfen.
Traps (UDP/162) nur aktivieren, wenn sie tatsächlich genutzt werden.

Fazit

SNMP ist unverzichtbar für zuverlässiges Netzwerk- und System-Monitoring.
Alte Versionen (v1/v2c) sind unsicher und müssen abgeschaltet werden.
SNMPv3 mit authPriv, SHA und AES ist die einzig sinnvolle Wahl.
Richtig konfiguriert liefert SNMP alle wichtigen Informationen, ohne Sicherheitsrisiko einzugehen.

Abgerufen von „http://wiki.ixheim.de/index.php?title=SNMP_Sicherheit&oldid=64803“