Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Sicherheit in SNMP

Frage Sicherheit Erkennung und -Abwehr

Mitglied: ruetmark

ruetmark (Level 1) - Jetzt verbinden

22.02.2013 um 08:38 Uhr, 4467 Aufrufe, 5 Kommentare

Bekanntlich gilt SNMP in den Versionen 1 und 2 noch als sehr unsicher. Wie ist es möglich ein Mindestmass an Sicherheit zu gewährleisten?

Guten Tag zusammen

In meinem Unternehmen habe ich den Auftrag erhalten, eine Monitoring-Lösung zu evaluieren, installieren, konfigurieren und natürlich au zu testen. Diese Software muss alle betriebskritischen Komponenten unserer Unternehmung überwachen können.

Unter anderem sind das folgende Geräte:
- Windows Server
- Firewall (Dell Sonicwall)
- ESXi Server
- SAN
- Cisco Switches
- etc.

Das ist für mich alles soweit gut machbar bis auf den Punkt, dass mögliche Sicherheitsrisiken in Betracht gezogen werden müssen. Nach einer ausführlichen Internetrecherche bin ich auf Community-Strings und Traps gestossen, die man selber setzten kann. Ausserdem kann auf den Windows-Servern auch konfiguriert werden, dass nur von bestimmten Hosts(Monitoring-Server in meinem Fall) Anfragen bearbeitet wären. Ich wende mich mit der Frage an Euch, wie ich ein Mindestmass an Sicherheit auch bei Switches und Firewall gewährleisten kann. In den Webinterfaces dieser Geräte ist es nur möglich einen Community String einzutragen, was mir ein wenig unsicher erscheint da diese Information sowieso im Klartext über das Netzwerk übertragen wird.

Vielleicht hat jemand schon Erfahrungen mit dieser Thematik gesammelt. Ich freue mich über jeden Input seitens von Euch.

Vielen Dank im Voraus!

Gruss ruetmark
Mitglied: MrNetman
22.02.2013 um 09:04 Uhr
Hi Ruetmark,

SNMP1 ist zu vergessen, da die Performance zu kritisch ist. SNMP2 kann nur wenig mehr aber durch Mehrfachabfragen die Endgeräte und Abfragenden entlasten.
Zur Sicherheit:
SNMP 1 und 2 werden immer im Klartext übertragen. Wenn man auch den Inhalt der Pakete nicht extrem leicht lesen kann, da OIDs übertragen werden und die nicht überall in verständlichen Text zu übersetzen sind. Siehe private-MIB oder Enterprise-MIB
SNMP 3 kann verschlüsselt werden, muss aber nicht.

Wichtiges Kriterium 1: Read und Write Communities getrennt setzen. Das hilft, wenngleich damit nicht 100%ig sicher ist, dass jemand mit dem ro-community-string nicht auch an den rw-community-string kommt. (ro Read Only, rw Read Write).

Da hilft also weiter:
Einschränkung der Abfragen auf bestimmte Server.
Einschränkung der Communities auf bestimmte Zweige des SNMP-Baums. (z.B. bei Cisco)
Verwendung von unterschiedlichen Communities für unterschiedliche Geräteklassen.
Möglichst SNMP3 mit wenigstens verschlüsselter Anmeldung nutzen.
Keinerlei bekannte SNMP-Communities wie private und public verwenden. Immer checken ob irgend welche Geräte im Netz dies trotzdem tun.

Gruß
Netman
Bitte warten ..
Mitglied: dog
22.02.2013 um 10:41 Uhr
SNMP läuft bei uns komplett getrennt in einem Management-VLAN.
Bitte warten ..
Mitglied: ruetmark
25.02.2013 um 14:15 Uhr
Hallo MrNetman

Vielen Dank für ihre schnelle Antwort!

Eine Frage hätte ich jedoch noch: Wir verwenden als Monitoring-Lösung PRTG von Paessler. Kann für jedes Gerät ein anderer Community-String gesetzt werden und braucht man auf dem Monitoring-Server read and write Rechte? Wenn man nur read Rechte zum Auslesen benötigen würde, könnte man den rw-community string auch einfach nicht setzten. Oder habe ich da was falsch verstanden?

Nach meinem Wissensstand sind "Community-Strings" und die Einschränkung der Abfragen auf bestimmte Server die einzigen Einstellungen die bezüglich Sicherheit vorgenommen werden können, liege ich da richtig?

PS: Windows Server 2008R2 verwendet SNMP in der Version 2?

Freundlicher gruss
ruetmark
Bitte warten ..
Mitglied: MrNetman
25.02.2013, aktualisiert um 15:32 Uhr
SNMP v2 ist standard schon seit XP.
Ja, ein fehlendes RW Passwort / Community hilft.
Man kann auf den Switches die Abfragetiefe pro Benutzerlevel beschränken.
Man kann die Read-Community, bzw. das Antworten auf einen bestimmten (Abfrage-) Host (der SNMP-Server, Monitoring Server) beschränken. Mehr nicht.

Da bei PRTG jeder einzelne Graph getrennt konfiguriert wird, werden muss, kann man bestimmt auch eigene Communities verwenden.
Auf dem PRTG Server benötigt man keine Write Rechte. Auch SNMP-traps werden mit Read-Rechten und Read Community verschickt.
Write Rechte braucht man nur für spezielles Monitoring auf Layer3 und mehr, bei dem man lokal Tabellen anlegen muss, oder fürs Fernsteuern von Switches für Securityzwecke.

Server 2008R2 kann auch nicht wirklich SNMPv3 http://certcollection.org/forum/topic/153133-snmp-v3-on-windows-server- ... aber man kann ihm auf die Sprünge helfen. SNMP v2 geht aber.
Eine gute Stelle ist auch http://www.spiceworks.com/free-snmp-network-management-software/

Gruß
Netman
Bitte warten ..
Mitglied: ruetmark
25.02.2013 um 15:45 Uhr
Alles klar, dann versuche ich mein Glück mithilfe der oben genannten "Sicherheitsvorkehrungen". In diesem Fall muss v2 halt reichen.

Vielen Dank nochmal für Ihre Hilfe!

Gruss ruetmark
Bitte warten ..
Neuester Wissensbeitrag
Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (27)

Frage von patz223 zum Thema Windows Userverwaltung ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (20)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...