5
Sicherheit in SNMP
Bekanntlich gilt SNMP in den Versionen 1 und 2 noch als sehr unsicher. Wie ist es möglich ein Mindestmass an Sicherheit zu gewährleisten?
Guten Tag zusammen
In meinem Unternehmen habe ich den Auftrag erhalten, eine Monitoring-Lösung zu evaluieren, installieren, konfigurieren und natürlich au zu testen. Diese Software muss alle betriebskritischen Komponenten unserer Unternehmung überwachen können.
Unter anderem sind das folgende Geräte:
- Windows Server
- Firewall (Dell Sonicwall)
- ESXi Server
- SAN
- Cisco Switches
- etc.
Das ist für mich alles soweit gut machbar bis auf den Punkt, dass mögliche Sicherheitsrisiken in Betracht gezogen werden müssen. Nach einer ausführlichen Internetrecherche bin ich auf Community-Strings und Traps gestossen, die man selber setzten kann. Ausserdem kann auf den Windows-Servern auch konfiguriert werden, dass nur von bestimmten Hosts(Monitoring-Server in meinem Fall) Anfragen bearbeitet wären. Ich wende mich mit der Frage an Euch, wie ich ein Mindestmass an Sicherheit auch bei Switches und Firewall gewährleisten kann. In den Webinterfaces dieser Geräte ist es nur möglich einen Community String einzutragen, was mir ein wenig unsicher erscheint da diese Information sowieso im Klartext über das Netzwerk übertragen wird.
Vielleicht hat jemand schon Erfahrungen mit dieser Thematik gesammelt. Ich freue mich über jeden Input seitens von Euch.
Vielen Dank im Voraus!
Gruss ruetmark
In meinem Unternehmen habe ich den Auftrag erhalten, eine Monitoring-Lösung zu evaluieren, installieren, konfigurieren und natürlich au zu testen. Diese Software muss alle betriebskritischen Komponenten unserer Unternehmung überwachen können.
Unter anderem sind das folgende Geräte:
- Windows Server
- Firewall (Dell Sonicwall)
- ESXi Server
- SAN
- Cisco Switches
- etc.
Das ist für mich alles soweit gut machbar bis auf den Punkt, dass mögliche Sicherheitsrisiken in Betracht gezogen werden müssen. Nach einer ausführlichen Internetrecherche bin ich auf Community-Strings und Traps gestossen, die man selber setzten kann. Ausserdem kann auf den Windows-Servern auch konfiguriert werden, dass nur von bestimmten Hosts(Monitoring-Server in meinem Fall) Anfragen bearbeitet wären. Ich wende mich mit der Frage an Euch, wie ich ein Mindestmass an Sicherheit auch bei Switches und Firewall gewährleisten kann. In den Webinterfaces dieser Geräte ist es nur möglich einen Community String einzutragen, was mir ein wenig unsicher erscheint da diese Information sowieso im Klartext über das Netzwerk übertragen wird.
Vielleicht hat jemand schon Erfahrungen mit dieser Thematik gesammelt. Ich freue mich über jeden Input seitens von Euch.
Vielen Dank im Voraus!
Gruss ruetmark
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 202178
Url: https://administrator.de/contentid/202178
Printed on: April 19, 2024 at 16:04 o'clock
5 Comments
Latest comment
Hi Ruetmark,
SNMP1 ist zu vergessen, da die Performance zu kritisch ist. SNMP2 kann nur wenig mehr aber durch Mehrfachabfragen die Endgeräte und Abfragenden entlasten.
Zur Sicherheit:
SNMP 1 und 2 werden immer im Klartext übertragen. Wenn man auch den Inhalt der Pakete nicht extrem leicht lesen kann, da OIDs übertragen werden und die nicht überall in verständlichen Text zu übersetzen sind. Siehe private-MIB oder Enterprise-MIB
SNMP 3 kann verschlüsselt werden, muss aber nicht.
Wichtiges Kriterium 1: Read und Write Communities getrennt setzen. Das hilft, wenngleich damit nicht 100%ig sicher ist, dass jemand mit dem ro-community-string nicht auch an den rw-community-string kommt. (ro Read Only, rw Read Write).
Da hilft also weiter:
Einschränkung der Abfragen auf bestimmte Server.
Einschränkung der Communities auf bestimmte Zweige des SNMP-Baums. (z.B. bei Cisco)
Verwendung von unterschiedlichen Communities für unterschiedliche Geräteklassen.
Möglichst SNMP3 mit wenigstens verschlüsselter Anmeldung nutzen.
Keinerlei bekannte SNMP-Communities wie private und public verwenden. Immer checken ob irgend welche Geräte im Netz dies trotzdem tun.
Gruß
Netman
SNMP1 ist zu vergessen, da die Performance zu kritisch ist. SNMP2 kann nur wenig mehr aber durch Mehrfachabfragen die Endgeräte und Abfragenden entlasten.
Zur Sicherheit:
SNMP 1 und 2 werden immer im Klartext übertragen. Wenn man auch den Inhalt der Pakete nicht extrem leicht lesen kann, da OIDs übertragen werden und die nicht überall in verständlichen Text zu übersetzen sind. Siehe private-MIB oder Enterprise-MIB
SNMP 3 kann verschlüsselt werden, muss aber nicht.
Wichtiges Kriterium 1: Read und Write Communities getrennt setzen. Das hilft, wenngleich damit nicht 100%ig sicher ist, dass jemand mit dem ro-community-string nicht auch an den rw-community-string kommt. (ro Read Only, rw Read Write).
Da hilft also weiter:
Einschränkung der Abfragen auf bestimmte Server.
Einschränkung der Communities auf bestimmte Zweige des SNMP-Baums. (z.B. bei Cisco)
Verwendung von unterschiedlichen Communities für unterschiedliche Geräteklassen.
Möglichst SNMP3 mit wenigstens verschlüsselter Anmeldung nutzen.
Keinerlei bekannte SNMP-Communities wie private und public verwenden. Immer checken ob irgend welche Geräte im Netz dies trotzdem tun.
Gruß
Netman
SNMP läuft bei uns komplett getrennt in einem Management-VLAN.
Hallo MrNetman
Vielen Dank für ihre schnelle Antwort!
Eine Frage hätte ich jedoch noch: Wir verwenden als Monitoring-Lösung PRTG von Paessler. Kann für jedes Gerät ein anderer Community-String gesetzt werden und braucht man auf dem Monitoring-Server read and write Rechte? Wenn man nur read Rechte zum Auslesen benötigen würde, könnte man den rw-community string auch einfach nicht setzten. Oder habe ich da was falsch verstanden?
Nach meinem Wissensstand sind "Community-Strings" und die Einschränkung der Abfragen auf bestimmte Server die einzigen Einstellungen die bezüglich Sicherheit vorgenommen werden können, liege ich da richtig?
PS: Windows Server 2008R2 verwendet SNMP in der Version 2?
Freundlicher gruss
ruetmark
Vielen Dank für ihre schnelle Antwort!
Eine Frage hätte ich jedoch noch: Wir verwenden als Monitoring-Lösung PRTG von Paessler. Kann für jedes Gerät ein anderer Community-String gesetzt werden und braucht man auf dem Monitoring-Server read and write Rechte? Wenn man nur read Rechte zum Auslesen benötigen würde, könnte man den rw-community string auch einfach nicht setzten. Oder habe ich da was falsch verstanden?
Nach meinem Wissensstand sind "Community-Strings" und die Einschränkung der Abfragen auf bestimmte Server die einzigen Einstellungen die bezüglich Sicherheit vorgenommen werden können, liege ich da richtig?
PS: Windows Server 2008R2 verwendet SNMP in der Version 2?
Freundlicher gruss
ruetmark
SNMP v2 ist standard schon seit XP.
Ja, ein fehlendes RW Passwort / Community hilft.
Man kann auf den Switches die Abfragetiefe pro Benutzerlevel beschränken.
Man kann die Read-Community, bzw. das Antworten auf einen bestimmten (Abfrage-) Host (der SNMP-Server, Monitoring Server) beschränken. Mehr nicht.
Da bei PRTG jeder einzelne Graph getrennt konfiguriert wird, werden muss, kann man bestimmt auch eigene Communities verwenden.
Auf dem PRTG Server benötigt man keine Write Rechte. Auch SNMP-traps werden mit Read-Rechten und Read Community verschickt.
Write Rechte braucht man nur für spezielles Monitoring auf Layer3 und mehr, bei dem man lokal Tabellen anlegen muss, oder fürs Fernsteuern von Switches für Securityzwecke.
Server 2008R2 kann auch nicht wirklich SNMPv3 http://certcollection.org/forum/topic/153133-snmp-v3-on-windows-server- ... aber man kann ihm auf die Sprünge helfen. SNMP v2 geht aber.
Eine gute Stelle ist auch http://www.spiceworks.com/free-snmp-network-management-software/
Gruß
Netman
Ja, ein fehlendes RW Passwort / Community hilft.
Man kann auf den Switches die Abfragetiefe pro Benutzerlevel beschränken.
Man kann die Read-Community, bzw. das Antworten auf einen bestimmten (Abfrage-) Host (der SNMP-Server, Monitoring Server) beschränken. Mehr nicht.
Da bei PRTG jeder einzelne Graph getrennt konfiguriert wird, werden muss, kann man bestimmt auch eigene Communities verwenden.
Auf dem PRTG Server benötigt man keine Write Rechte. Auch SNMP-traps werden mit Read-Rechten und Read Community verschickt.
Write Rechte braucht man nur für spezielles Monitoring auf Layer3 und mehr, bei dem man lokal Tabellen anlegen muss, oder fürs Fernsteuern von Switches für Securityzwecke.
Server 2008R2 kann auch nicht wirklich SNMPv3 http://certcollection.org/forum/topic/153133-snmp-v3-on-windows-server- ... aber man kann ihm auf die Sprünge helfen. SNMP v2 geht aber.
Eine gute Stelle ist auch http://www.spiceworks.com/free-snmp-network-management-software/
Gruß
Netman
Alles klar, dann versuche ich mein Glück mithilfe der oben genannten "Sicherheitsvorkehrungen". In diesem Fall muss v2 halt reichen.
Vielen Dank nochmal für Ihre Hilfe!
Gruss ruetmark
Vielen Dank nochmal für Ihre Hilfe!
Gruss ruetmark
