Guía de puertos SNMP: monitoreo de red en los puertos 161 y 162

SNMP tiene dos funciones principales. Un administrador SNMP es el sistema de monitoreo que hace preguntas o recibe notificaciones. Un agente SNMP se ejecuta en el dispositivo que se está monitoreando y expone valores a través de una Base de información de administración o MIB.

Para la supervisión de rutina, el administrador envía solicitudes get, get-next, get-bulk o set al agente en la UDP 161. Para la supervisión basada en eventos, el dispositivo envía capturas o informa al administrador en la UDP 162. Las notificaciones se confirman; Las trampas suelen ser de disparar y olvidar.

UDP 161 es el puerto al que se refieren la mayoría de los equipos cuando preguntan si el puerto SNMP está abierto. Debe ser accesible desde el recopilador de monitoreo a cada dispositivo monitoreado si se requiere sondeo. UDP 162 es la dirección inversa para trampas e informa desde los dispositivos al recolector.

Debido a que SNMP utiliza principalmente UDP, las comprobaciones simples solo de TCP pueden pasar por alto el comportamiento real. Un verificador de puerto TCP es útil para patrones generales de accesibilidad, pero la validación de SNMP debe incluir un comando compatible con SNMP o una prueba del recopilador de monitoreo contra la comunidad, el usuario y el objeto MIB exactos.

SNMPv1 y SNMPv2c utilizan cadenas de comunidad que se comportan como contraseñas compartidas. Siguen siendo comunes, especialmente en redes más antiguas, pero no proporcionan autenticación ni privacidad sólidas. Si la cadena de comunidad se filtra, un atacante puede leer datos confidenciales de topología e inventario.

SNMPv3 agrega seguridad basada en el usuario, autenticación y cifrado de privacidad opcional. Para nuevas implementaciones, SNMPv3 con autenticación y privacidad debería ser el valor predeterminado. Si SNMPv2c sigue siendo necesario, establezca un alcance estricto y utilice cadenas de comunidad únicas y no predeterminadas.

Abra SNMP solo entre recopiladores de monitoreo confiables y los dispositivos que administran. Las fuentes típicas incluyen plataformas NMS, recolectores de observabilidad, integraciones SIEM, sistemas de planificación de capacidad y receptores de trampas dedicados.

No exponga SNMP a la Internet pública. SNMP puede revelar nombres de interfaces, modelos de dispositivos, versiones de firmware, detalles de enrutamiento, números de serie y contadores de rendimiento. El acceso SNMP grabable puede ser aún más peligroso si las operaciones de configuración están habilitadas.

Antes de permitir SNMP, decida si el dispositivo debe admitir sondeos, capturas, informes o los tres. Confirme la versión de SNMP, las IP de origen permitidas, las cadenas de comunidad o los usuarios de SNMPv3, los algoritmos de autenticación y privacidad, y qué vistas de MIB están expuestas.

Una verificación de puerto puede mostrar si se puede acceder a una ruta, pero el éxito de SNMP depende de la política a nivel de protocolo. Utilice snmpwalk, snmpget, snmpbulkwalk o la propia plataforma de monitoreo para confirmar que los OID esperados devuelven datos y que se rechazan las fuentes no autorizadas.

En dispositivos de red, habilite SNMP solo en interfaces de administración o VRF confiables cuando sea posible. Configure usuarios SNMPv3, restrinja direcciones de origen con ACL y defina vistas MIB para que el sistema de monitoreo vea solo lo que necesita.

En Linux, net-snmp se usa comúnmente. Configure snmpd para escuchar en la interfaz deseada, defina usuarios SNMPv3 o comunidades restringidas y permita UDP 161 solo desde los recopiladores de monitoreo. Los receptores de trampas como snmptrapd necesitan UDP 162 abierto en el recopilador.

En Windows Server, SNMP es heredado en comparación con las opciones de telemetría modernas, pero aún aparece en pilas de monitoreo más antiguas. Si está habilitado, restrinja los hosts aceptados, evite las cadenas de comunidad predeterminadas y prefiera agentes más nuevos o monitoreo nativo de Windows cuando sea práctico.

Comience confirmando la accesibilidad básica de la red entre el recopilador y el dispositivo. Luego ejecute snmpwalk o snmpget desde el recopilador utilizando la misma versión de SNMP, credenciales y configuración de seguridad que utiliza su plataforma de monitoreo.

Para las capturas, genere o espere un evento conocido y confirme que el recopilador lo reciba en UDP 162. Si las capturas no llegan, inspeccione los destinos de las capturas del dispositivo, la interfaz de origen, el enrutamiento, las ACL, la NAT, las reglas del firewall del recopilador y si el recopilador realmente está escuchando.

Si el sondeo falla, el agente puede estar deshabilitado, escuchando en una interfaz diferente, bloqueado por una ACL o rechazando la comunidad o el usuario SNMPv3. Si solo fallan algunos OID, es posible que la vista MIB, el firmware del dispositivo, los permisos o la plantilla de monitoreo sean incorrectos.

Si las trampas fallan, es posible que el dispositivo esté enviando a la dirección de recopilador incorrecta, utilizando la interfaz de origen incorrecta o bloqueado por una política de enrutamiento y firewall. Recuerde que las encuestas y las trampas utilizan direcciones de tráfico opuestas, por lo que una puede funcionar mientras la otra falla.

Utilice SNMPv3 con autenticación y privacidad siempre que sea posible. Deshabilite las comunidades predeterminadas, como la pública y la privada, evite el acceso de escritura a menos que sea realmente necesario y restrinja las fuentes permitidas a los recopiladores de monitoreo.

Mantenga el firmware del dispositivo y los agentes parcheados, registre fallas de autenticación SNMP, supervise el volumen de consultas y alerte sobre fuentes inesperadas. Trate los datos SNMP como confidenciales porque pueden revelar suficientes detalles de la infraestructura para ayudar a un atacante a planificar el movimiento lateral.