Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Sicherheit in SNMP

Mitglied: ruetmark

ruetmark (Level 1) - Jetzt verbinden

22.02.2013 um 08:38 Uhr, 4921 Aufrufe, 5 Kommentare

Bekanntlich gilt SNMP in den Versionen 1 und 2 noch als sehr unsicher. Wie ist es möglich ein Mindestmass an Sicherheit zu gewährleisten?

Guten Tag zusammen

In meinem Unternehmen habe ich den Auftrag erhalten, eine Monitoring-Lösung zu evaluieren, installieren, konfigurieren und natürlich au zu testen. Diese Software muss alle betriebskritischen Komponenten unserer Unternehmung überwachen können.

Unter anderem sind das folgende Geräte:
- Windows Server
- Firewall (Dell Sonicwall)
- ESXi Server
- SAN
- Cisco Switches
- etc.

Das ist für mich alles soweit gut machbar bis auf den Punkt, dass mögliche Sicherheitsrisiken in Betracht gezogen werden müssen. Nach einer ausführlichen Internetrecherche bin ich auf Community-Strings und Traps gestossen, die man selber setzten kann. Ausserdem kann auf den Windows-Servern auch konfiguriert werden, dass nur von bestimmten Hosts(Monitoring-Server in meinem Fall) Anfragen bearbeitet wären. Ich wende mich mit der Frage an Euch, wie ich ein Mindestmass an Sicherheit auch bei Switches und Firewall gewährleisten kann. In den Webinterfaces dieser Geräte ist es nur möglich einen Community String einzutragen, was mir ein wenig unsicher erscheint da diese Information sowieso im Klartext über das Netzwerk übertragen wird.

Vielleicht hat jemand schon Erfahrungen mit dieser Thematik gesammelt. Ich freue mich über jeden Input seitens von Euch.

Vielen Dank im Voraus!

Gruss ruetmark
Mitglied: MrNetman
22.02.2013 um 09:04 Uhr
Hi Ruetmark,

SNMP1 ist zu vergessen, da die Performance zu kritisch ist. SNMP2 kann nur wenig mehr aber durch Mehrfachabfragen die Endgeräte und Abfragenden entlasten.
Zur Sicherheit:
SNMP 1 und 2 werden immer im Klartext übertragen. Wenn man auch den Inhalt der Pakete nicht extrem leicht lesen kann, da OIDs übertragen werden und die nicht überall in verständlichen Text zu übersetzen sind. Siehe private-MIB oder Enterprise-MIB
SNMP 3 kann verschlüsselt werden, muss aber nicht.

Wichtiges Kriterium 1: Read und Write Communities getrennt setzen. Das hilft, wenngleich damit nicht 100%ig sicher ist, dass jemand mit dem ro-community-string nicht auch an den rw-community-string kommt. (ro Read Only, rw Read Write).

Da hilft also weiter:
Einschränkung der Abfragen auf bestimmte Server.
Einschränkung der Communities auf bestimmte Zweige des SNMP-Baums. (z.B. bei Cisco)
Verwendung von unterschiedlichen Communities für unterschiedliche Geräteklassen.
Möglichst SNMP3 mit wenigstens verschlüsselter Anmeldung nutzen.
Keinerlei bekannte SNMP-Communities wie private und public verwenden. Immer checken ob irgend welche Geräte im Netz dies trotzdem tun.

Gruß
Netman
Bitte warten ..
Mitglied: dog
22.02.2013 um 10:41 Uhr
SNMP läuft bei uns komplett getrennt in einem Management-VLAN.
Bitte warten ..
Mitglied: ruetmark
25.02.2013 um 14:15 Uhr
Hallo MrNetman

Vielen Dank für ihre schnelle Antwort!

Eine Frage hätte ich jedoch noch: Wir verwenden als Monitoring-Lösung PRTG von Paessler. Kann für jedes Gerät ein anderer Community-String gesetzt werden und braucht man auf dem Monitoring-Server read and write Rechte? Wenn man nur read Rechte zum Auslesen benötigen würde, könnte man den rw-community string auch einfach nicht setzten. Oder habe ich da was falsch verstanden?

Nach meinem Wissensstand sind "Community-Strings" und die Einschränkung der Abfragen auf bestimmte Server die einzigen Einstellungen die bezüglich Sicherheit vorgenommen werden können, liege ich da richtig?

PS: Windows Server 2008R2 verwendet SNMP in der Version 2?

Freundlicher gruss
ruetmark
Bitte warten ..
Mitglied: MrNetman
25.02.2013, aktualisiert um 15:32 Uhr
SNMP v2 ist standard schon seit XP.
Ja, ein fehlendes RW Passwort / Community hilft.
Man kann auf den Switches die Abfragetiefe pro Benutzerlevel beschränken.
Man kann die Read-Community, bzw. das Antworten auf einen bestimmten (Abfrage-) Host (der SNMP-Server, Monitoring Server) beschränken. Mehr nicht.

Da bei PRTG jeder einzelne Graph getrennt konfiguriert wird, werden muss, kann man bestimmt auch eigene Communities verwenden.
Auf dem PRTG Server benötigt man keine Write Rechte. Auch SNMP-traps werden mit Read-Rechten und Read Community verschickt.
Write Rechte braucht man nur für spezielles Monitoring auf Layer3 und mehr, bei dem man lokal Tabellen anlegen muss, oder fürs Fernsteuern von Switches für Securityzwecke.

Server 2008R2 kann auch nicht wirklich SNMPv3 http://certcollection.org/forum/topic/153133-snmp-v3-on-windows-server- ... aber man kann ihm auf die Sprünge helfen. SNMP v2 geht aber.
Eine gute Stelle ist auch http://www.spiceworks.com/free-snmp-network-management-software/

Gruß
Netman
Bitte warten ..
Mitglied: ruetmark
25.02.2013 um 15:45 Uhr
Alles klar, dann versuche ich mein Glück mithilfe der oben genannten "Sicherheitsvorkehrungen". In diesem Fall muss v2 halt reichen.

Vielen Dank nochmal für Ihre Hilfe!

Gruss ruetmark
Bitte warten ..
Ähnliche Inhalte
Netzwerkprotokolle
SNMP Verbindungsproblem
Frage von mames92Netzwerkprotokolle2 Kommentare

Hallo zusammen, ich versuche Informationen von einiegen Servern über SNMP zu bekommen. Mein Testserver ist ein Windows 2008 auf ...

Monitoring
SNMP Problem
gelöst Frage von msalcherMonitoring1 Kommentar

Hey Leute :) Ich würde gerne meinen PC (Win8) über SNMP monitoren. Hab den Service konfiguriert. So wenn ich ...

Netzwerkmanagement
SNMP - Wie vorführen?
Frage von animatedNetzwerkmanagement6 Kommentare

Hallo Zusammen! Das ist mein erster post in diesem Forum, daher schnell ein bisschen zu meiner Person/Situation: Ich bin ...

Netzwerkmanagement
Uplinküberwachung SNMP
gelöst Frage von thomasgNetzwerkmanagement5 Kommentare

Hallo Ich würde gerne meine Uplinks mittels SNMP überwachen (Status: UP or DOWN). Falls sich der Status ändert würde ...

Neue Wissensbeiträge
Windows 10
Zero-Day-Lücke in Microsoft Edge
Information von kgborn vor 1 TagWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Sicherheit
Microsoft und Skype: Sicherheit
Information von kgborn vor 1 TagSicherheit

Die Tage gab es ja einige Berichte zur Sicherheit des Skype-Updaters. Der Updater von Skype läuft unter dem Konto ...

Datenschutz

Behörden ignorieren Sicherheitsbedenken gegenüber Windows 10

Information von Penny.Cilin vor 2 TagenDatenschutz8 Kommentare

Hallo, passend zum Thema Ablösung LIMUX in München ein interessanter Beitrag dazu: Behörden ignorieren Sicherheitsbedenken gegenüber Windows 10 Anscheinend ...

Sicherheit
Information Security Hub Munich airport
Information von brammer vor 2 TagenSicherheit

Hallo, Neues Center für Cyber Kriminalität am Münchener Flughafen brammer

Heiß diskutierte Inhalte
DSL, VDSL
Mindestgeschwindigkeiten DSL Telekom
Frage von justlukasDSL, VDSL13 Kommentare

Hallo zusammen, Seit diesem Jahr habe ich Verständnisprobleme mit dem Verhalten der Telekom. Wir haben seit einem Jahr VDSL ...

Switche und Hubs
LANCOM-Switch: Probleme (no link) mit SFP-Modulen?
Frage von THETOBSwitche und Hubs11 Kommentare

Hi zusammen, ich habe folgendes Problem: Und zwar habe ich an einem Standort drei Switche verbaut - LANCOM GS-2326P+, ...

Humor (lol)
Was könnte man mit einem Server machen? Idee gesucht
Frage von 2SeitenHumor (lol)10 Kommentare

Hey Zusammen Ich habe einen alten HP G2 Rackserver zu Hause rumliegen. 28GB Ram, 1xAMD Prozi mit etwa 2GHz. ...

Firewall
RB2011 Firewall Rule eine bestimmte Mac oder IP Adresse nicht zu blockieren
Frage von lightmanFirewall10 Kommentare

Hallo liebes Forum mit ihren Spezialisten. Ich habe meine Firewall so konfiguriert das kein Endgerät ohne meine Speziellen Erlaubnis ...