Teil 3 - Sicherheit von SNMP
Autor: olc, MCSEboard.de
Sicherheit von SNMP
Das Thema Sicherheit ist bei SNMP ein sehr wichtiger Punkt.
SNMP ist ein unverschlüsseltes Protokoll. Es existiert zwar eine Erweiterung des Protokolls namens „Secure SNMP“, jedoch ist dieses Protokoll nicht in den bisherigen Versionen von Microsoft Betriebssystemen integriert und wird auch von vielen anderen Herstellern standardmäßig nicht unterstützt.
Die neuere SNMP Version 3 bietet bessere Sicherheit durch Zertifikate bzw. Schlüssel, ist aber aufgrund der Komplexität bisher nicht weit verbreitet.
Da die Daten des Protokolls unverschlüsselt über das Netzwerk gehen können von einem Angreifer, der den Netzwerk-Traffic mitschneidet, nicht nur die Nutzdaten ausgelesen werden, sondern auch der Communityname. Je nachdem, ob man Communities zum Auslesen der SNMP-Daten oder aber auch zum Konfigurieren der SNMP-Agents implementiert hat, können die Agents im Worst Case sogar - nach dem Abfangen und dem Missbrauchen der Communities - vom Angreifer manipuliert werden.
Die zur Verfügung stehenden Möglichkeiten zur Eingrenzung der Manager-Hosts bzw. Trapziel-Hosts sind dementsprechend nur begrenzt wirksam. Verzichten sollte man jedoch auf gar keinen Fall auf diese Einstellungen. Solange ein Angreifer nicht den Netzwerk-Traffic abhören kann oder keinen Zugriff auf die Agent- und Manager Systeme hat, kann ein gut ausgewählter Name zumindest ein klein wenig Sicherheit bieten. Hierzu zählt auch, ihn nicht gleich dem Firmennamen oder gleich der Domäne zu wählen. „Security by obscurity…“ ;-)
Als Workaround kann das Segmentieren der Netzwerke dienen, sei es über verschiedene Subnetze oder aber über VLANs. Dringt ein Angreifer jedoch in diese Management-Netzwerke ein, kann er auch hier die Daten auslesen.
Die derzeit einzig wirksame Möglichkeit das zu verhindern, ist den Netzwerkverkehr komplett zu verschlüsseln, etwa mit Hilfe von IPSec.
Letzter Hinweis zum erfolgreichen Verwenden von SNMP: Schützen Firewalls die Agents oder Manager vor ungewünschten Zugriffen, sind die Ports 161/UDP bzw. 162/UDP für Traps zu öffnen.
© MCSEboard.de, olc