SNMP-Port-Guide: Netzwerküberwachung auf den Ports 161 und 162

SNMP hat zwei Hauptrollen. Ein SNMP-Manager ist das Überwachungssystem, das Fragen stellt oder Benachrichtigungen empfängt. Ein SNMP-Agent wird auf dem überwachten Gerät ausgeführt und stellt Werte über eine Management Information Base (MIB) bereit.

Für die Routineüberwachung sendet der Manager Get-, Get-Next-, Get-Bulk- oder Set-Anfragen an den Agenten auf UDP 161. Für die ereignisgesteuerte Überwachung sendet das Gerät Traps oder Informs an den Manager über UDP 162. Informs werden bestätigt; Bei Fallen handelt es sich in der Regel um Feuer-und-Vergessen-Fallen.

UDP 161 ist der Port, den die meisten Teams meinen, wenn sie fragen, ob der SNMP-Port offen ist. Wenn eine Abfrage erforderlich ist, muss es vom Überwachungskollektor für jedes überwachte Gerät erreichbar sein. UDP 162 ist die umgekehrte Richtung für Traps und informiert von Geräten an den Kollektor.

Da SNMP hauptsächlich UDP verwendet, können einfache Nur-TCP-Prüfungen das tatsächliche Verhalten übersehen. Ein TCP-Port-Checker ist für allgemeine Erreichbarkeitsmuster nützlich, die SNMP-Validierung sollte jedoch einen SNMP-fähigen Befehl oder einen Monitoring-Collector-Test für die genaue Community, den Benutzer und das MIB-Objekt umfassen.

SNMPv1 und SNMPv2c verwenden Community-Strings, die sich wie gemeinsame Passwörter verhalten. Sie sind insbesondere in älteren Netzwerken immer noch üblich, bieten jedoch keine starke Authentifizierung oder Privatsphäre. Wenn der Community-String verloren geht, kann ein Angreifer vertrauliche Inventar- und Topologiedaten lesen.

SNMPv3 bietet benutzerbasierte Sicherheit, Authentifizierung und optionale Datenschutzverschlüsselung. Bei neuen Bereitstellungen sollte SNMPv3 mit Authentifizierung und Datenschutz die Standardeinstellung sein. Wenn SNMPv2c weiterhin erforderlich ist, legen Sie einen engen Rahmen fest und verwenden Sie eindeutige, nicht standardmäßige Community-Zeichenfolgen.

Öffnen Sie SNMP nur zwischen vertrauenswürdigen Überwachungssammlern und den von ihnen verwalteten Geräten. Zu den typischen Quellen gehören NMS-Plattformen, Observability Collectors, SIEM-Integrationen, Kapazitätsplanungssysteme und dedizierte Trap-Empfänger.

Machen Sie SNMP nicht dem öffentlichen Internet zugänglich. SNMP kann Schnittstellennamen, Gerätemodelle, Firmware-Versionen, Routing-Details, Seriennummern und Leistungsindikatoren offenlegen. Beschreibbarer SNMP-Zugriff kann noch gefährlicher sein, wenn Set-Operationen aktiviert sind.

Bevor Sie SNMP zulassen, entscheiden Sie, ob das Gerät Polling, Traps, Informs oder alle drei unterstützen soll. Bestätigen Sie die SNMP-Version, zulässige Quell-IPs, Community-Strings oder SNMPv3-Benutzer, Authentifizierungs- und Datenschutzalgorithmen und welche MIB-Ansichten verfügbar gemacht werden.

Eine Portprüfung kann zeigen, ob ein Pfad erreichbar sein könnte, der SNMP-Erfolg hängt jedoch von der Richtlinie auf Protokollebene ab. Verwenden Sie snmpwalk, snmpget, snmpbulkwalk oder die Überwachungsplattform selbst, um zu bestätigen, dass die erwarteten OIDs Daten zurückgeben und dass nicht autorisierte Quellen abgelehnt werden.

Aktivieren Sie SNMP auf Netzwerkgeräten nach Möglichkeit nur auf Verwaltungsschnittstellen oder vertrauenswürdigen VRFs. Konfigurieren Sie SNMPv3-Benutzer, schränken Sie Quelladressen mit ACLs ein und definieren Sie MIB-Ansichten, damit das Überwachungssystem nur das sieht, was es benötigt.

Unter Linux wird häufig net-snmp verwendet. Konfigurieren Sie snmpd so, dass es die vorgesehene Schnittstelle überwacht, definieren Sie SNMPv3-Benutzer oder eingeschränkte Communities und lassen Sie UDP 161 nur von Überwachungskollektoren zu. Trap-Empfänger wie snmptrapd benötigen UDP 162, das auf dem Kollektor geöffnet ist.

Auf Windows Server ist SNMP im Vergleich zu modernen Telemetrieoptionen veraltet, erscheint jedoch immer noch in älteren Überwachungsstapeln. Wenn diese Option aktiviert ist, schränken Sie akzeptierte Hosts ein, vermeiden Sie Standard-Community-Zeichenfolgen und bevorzugen Sie neuere Agents oder Windows-native Überwachung, sofern dies praktisch ist.

Bestätigen Sie zunächst die grundlegende Netzwerkerreichbarkeit zwischen dem Collector und dem Gerät. Führen Sie dann snmpwalk oder snmpget vom Collector aus und verwenden Sie dabei dieselbe SNMP-Version, Anmeldeinformationen und Sicherheitseinstellungen, die Ihre Überwachungsplattform verwendet.

Generieren Sie für Traps ein bekanntes Ereignis oder warten Sie darauf und bestätigen Sie, dass der Collector es auf UDP 162 empfängt. Wenn keine Traps eintreffen, überprüfen Sie Geräte-Trap-Ziele, Quellschnittstelle, Routing, ACLs, NAT, Collector-Firewallregeln und ob der Collector tatsächlich lauscht.

Wenn die Abfrage fehlschlägt, ist der Agent möglicherweise deaktiviert, lauscht auf einer anderen Schnittstelle, wird durch eine ACL blockiert oder lehnt die Community oder den SNMPv3-Benutzer ab. Wenn nur einige OIDs ausfallen, sind möglicherweise die MIB-Ansicht, die Gerätefirmware, die Berechtigungen oder die Überwachungsvorlage falsch.

Wenn Traps fehlschlagen, sendet das Gerät möglicherweise an die falsche Collector-Adresse, verwendet die falsche Quellschnittstelle oder wird durch Routing- und Firewall-Richtlinien blockiert. Denken Sie daran, dass Polling und Traps entgegengesetzte Verkehrsrichtungen verwenden, sodass das eine funktionieren kann, während das andere fehlschlägt.

Verwenden Sie wann immer möglich SNMPv3 mit Authentifizierung und Datenschutz. Deaktivieren Sie Standard-Communitys wie öffentliche und private, vermeiden Sie Schreibzugriff, sofern dieser nicht wirklich erforderlich ist, und beschränken Sie zulässige Quellen auf überwachende Collectors.

Halten Sie die Geräte-Firmware und die Agenten auf dem neuesten Stand, protokollieren Sie SNMP-Authentifizierungsfehler, überwachen Sie das Abfragevolumen und warnen Sie vor unerwarteten Quellen. Behandeln Sie SNMP-Daten als vertraulich, da sie genügend Infrastrukturdetails offenlegen können, um einem Angreifer bei der Planung lateraler Bewegungen zu helfen.