Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Sicherheit in SNMP

Frage Sicherheit Erkennung und -Abwehr

Mitglied: ruetmark

ruetmark (Level 1) - Jetzt verbinden

22.02.2013 um 08:38 Uhr, 4846 Aufrufe, 5 Kommentare

Bekanntlich gilt SNMP in den Versionen 1 und 2 noch als sehr unsicher. Wie ist es möglich ein Mindestmass an Sicherheit zu gewährleisten?

Guten Tag zusammen

In meinem Unternehmen habe ich den Auftrag erhalten, eine Monitoring-Lösung zu evaluieren, installieren, konfigurieren und natürlich au zu testen. Diese Software muss alle betriebskritischen Komponenten unserer Unternehmung überwachen können.

Unter anderem sind das folgende Geräte:
- Windows Server
- Firewall (Dell Sonicwall)
- ESXi Server
- SAN
- Cisco Switches
- etc.

Das ist für mich alles soweit gut machbar bis auf den Punkt, dass mögliche Sicherheitsrisiken in Betracht gezogen werden müssen. Nach einer ausführlichen Internetrecherche bin ich auf Community-Strings und Traps gestossen, die man selber setzten kann. Ausserdem kann auf den Windows-Servern auch konfiguriert werden, dass nur von bestimmten Hosts(Monitoring-Server in meinem Fall) Anfragen bearbeitet wären. Ich wende mich mit der Frage an Euch, wie ich ein Mindestmass an Sicherheit auch bei Switches und Firewall gewährleisten kann. In den Webinterfaces dieser Geräte ist es nur möglich einen Community String einzutragen, was mir ein wenig unsicher erscheint da diese Information sowieso im Klartext über das Netzwerk übertragen wird.

Vielleicht hat jemand schon Erfahrungen mit dieser Thematik gesammelt. Ich freue mich über jeden Input seitens von Euch.

Vielen Dank im Voraus!

Gruss ruetmark
Mitglied: MrNetman
22.02.2013 um 09:04 Uhr
Hi Ruetmark,

SNMP1 ist zu vergessen, da die Performance zu kritisch ist. SNMP2 kann nur wenig mehr aber durch Mehrfachabfragen die Endgeräte und Abfragenden entlasten.
Zur Sicherheit:
SNMP 1 und 2 werden immer im Klartext übertragen. Wenn man auch den Inhalt der Pakete nicht extrem leicht lesen kann, da OIDs übertragen werden und die nicht überall in verständlichen Text zu übersetzen sind. Siehe private-MIB oder Enterprise-MIB
SNMP 3 kann verschlüsselt werden, muss aber nicht.

Wichtiges Kriterium 1: Read und Write Communities getrennt setzen. Das hilft, wenngleich damit nicht 100%ig sicher ist, dass jemand mit dem ro-community-string nicht auch an den rw-community-string kommt. (ro Read Only, rw Read Write).

Da hilft also weiter:
Einschränkung der Abfragen auf bestimmte Server.
Einschränkung der Communities auf bestimmte Zweige des SNMP-Baums. (z.B. bei Cisco)
Verwendung von unterschiedlichen Communities für unterschiedliche Geräteklassen.
Möglichst SNMP3 mit wenigstens verschlüsselter Anmeldung nutzen.
Keinerlei bekannte SNMP-Communities wie private und public verwenden. Immer checken ob irgend welche Geräte im Netz dies trotzdem tun.

Gruß
Netman
Bitte warten ..
Mitglied: dog
22.02.2013 um 10:41 Uhr
SNMP läuft bei uns komplett getrennt in einem Management-VLAN.
Bitte warten ..
Mitglied: ruetmark
25.02.2013 um 14:15 Uhr
Hallo MrNetman

Vielen Dank für ihre schnelle Antwort!

Eine Frage hätte ich jedoch noch: Wir verwenden als Monitoring-Lösung PRTG von Paessler. Kann für jedes Gerät ein anderer Community-String gesetzt werden und braucht man auf dem Monitoring-Server read and write Rechte? Wenn man nur read Rechte zum Auslesen benötigen würde, könnte man den rw-community string auch einfach nicht setzten. Oder habe ich da was falsch verstanden?

Nach meinem Wissensstand sind "Community-Strings" und die Einschränkung der Abfragen auf bestimmte Server die einzigen Einstellungen die bezüglich Sicherheit vorgenommen werden können, liege ich da richtig?

PS: Windows Server 2008R2 verwendet SNMP in der Version 2?

Freundlicher gruss
ruetmark
Bitte warten ..
Mitglied: MrNetman
25.02.2013, aktualisiert um 15:32 Uhr
SNMP v2 ist standard schon seit XP.
Ja, ein fehlendes RW Passwort / Community hilft.
Man kann auf den Switches die Abfragetiefe pro Benutzerlevel beschränken.
Man kann die Read-Community, bzw. das Antworten auf einen bestimmten (Abfrage-) Host (der SNMP-Server, Monitoring Server) beschränken. Mehr nicht.

Da bei PRTG jeder einzelne Graph getrennt konfiguriert wird, werden muss, kann man bestimmt auch eigene Communities verwenden.
Auf dem PRTG Server benötigt man keine Write Rechte. Auch SNMP-traps werden mit Read-Rechten und Read Community verschickt.
Write Rechte braucht man nur für spezielles Monitoring auf Layer3 und mehr, bei dem man lokal Tabellen anlegen muss, oder fürs Fernsteuern von Switches für Securityzwecke.

Server 2008R2 kann auch nicht wirklich SNMPv3 http://certcollection.org/forum/topic/153133-snmp-v3-on-windows-server- ... aber man kann ihm auf die Sprünge helfen. SNMP v2 geht aber.
Eine gute Stelle ist auch http://www.spiceworks.com/free-snmp-network-management-software/

Gruß
Netman
Bitte warten ..
Mitglied: ruetmark
25.02.2013 um 15:45 Uhr
Alles klar, dann versuche ich mein Glück mithilfe der oben genannten "Sicherheitsvorkehrungen". In diesem Fall muss v2 halt reichen.

Vielen Dank nochmal für Ihre Hilfe!

Gruss ruetmark
Bitte warten ..
Ähnliche Inhalte
Netzwerkprotokolle
SNMP Verbindungsproblem
Frage von mames92Netzwerkprotokolle2 Kommentare

Hallo zusammen, ich versuche Informationen von einiegen Servern über SNMP zu bekommen. Mein Testserver ist ein Windows 2008 auf ...

Monitoring
SNMP Problem
gelöst Frage von msalcherMonitoring1 Kommentar

Hey Leute :) Ich würde gerne meinen PC (Win8) über SNMP monitoren. Hab den Service konfiguriert. So wenn ich ...

Netzwerkmanagement
SNMP - Wie vorführen?
Frage von animatedNetzwerkmanagement6 Kommentare

Hallo Zusammen! Das ist mein erster post in diesem Forum, daher schnell ein bisschen zu meiner Person/Situation: Ich bin ...

Monitoring
SNMP Überwachung
Frage von Neuling26Monitoring6 Kommentare

Hallo Freunde, wir setzen zur Zeit die Überwachungssoftware Proactivewatch vom Hersteller Rapidfiretools ein. Jetzt war ich gerade dabei, die ...

Neue Wissensbeiträge
Batch & Shell

Open Object Rexx: Eine mittlerweile fast vergessene Skriptsprache aus dem Mainframebereich

Information von Penny.Cilin vor 23 StundenBatch & Shell9 Kommentare

Ich kann mich noch sehr gut an diese Skriptsprache erinnern und nutze diese auch heute ab und an noch. ...

Humor (lol)

"gimme gimme gimme": Automatischer Test stolpert über Easter Egg im man-Tool

Information von Penny.Cilin vor 1 TagHumor (lol)6 Kommentare

Interessant, was man so alles als Easter Egg implementiert. Ist schon wieder Ostern? "gimme gimme gimme": Automatischer Test stolpert ...

MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 1 TagMikroTik RouterOS8 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Sicherheit

Sicherheitslücke in HP-Druckern - Firmware-Updates stehen bereit

Information von BassFishFox vor 1 TagSicherheit1 Kommentar

Ein weiterer Grund, dass Drucker keinerlei Verbindung nach "auswaerts" haben sollen. Unter Verwendung spezieller Malware können Angreifer aus der ...

Heiß diskutierte Inhalte
Off Topic
Fachkräftemangel in Deutschland? - Talentschmiede schreibt alle 2 Tage die gleichen Stellen aus
Frage von Penny.CilinOff Topic12 Kommentare

Hallo, haben wir in Deutschland Fachkräftemangel? Die Talentschmiede schreibt gefühlt alle zwei Tage dieselben Stellen aus. Und das schon ...

Windows Server
Windows Store Apps
gelöst Frage von PeterleBWindows Server11 Kommentare

Gibt es einen Weg, auf Windows Server 2016 Windows Store Apps wie zum Beispiel die HP Smart App zu ...

Windows 10
Windows 10 RDP nicht mehr möglich
Frage von speedy-luisWindows 1010 Kommentare

Hallo zusammen, seit ein paar Tagen kann ich in unserem Netzwerk auf die Windows 10 PCs keine RDP-Session mehr ...

Microsoft
Erfahrungen mit Webcam over RDP gesucht
Frage von DerWoWussteMicrosoft10 Kommentare

Moin Kollegen. Bekanntlich kann man Webcams nur mit Drittanbietersoftware in RDP reinschleifen. Was nutzt Ihr dazu? Wie stabil funktioniert ...