Guide des ports SNMP : surveillance réseau sur les ports 161 et 162

SNMP a deux rôles principaux. Un gestionnaire SNMP est le système de surveillance qui pose des questions ou reçoit des notifications. Un agent SNMP s'exécute sur le périphérique surveillé et expose les valeurs via une base d'informations de gestion, ou MIB.

Pour une surveillance de routine, le gestionnaire envoie des requêtes get, get-next, get-bulk ou set à l'agent sur UDP 161. Pour une surveillance basée sur les événements, le périphérique envoie des interruptions ou des informations au gestionnaire sur UDP 162. Les informations sont reconnues ; les pièges sont généralement à feu et à oublier.

UDP 161 est le port auquel la plupart des équipes font référence lorsqu'elles demandent si le port SNMP est ouvert. Il doit être accessible du collecteur de surveillance à chaque périphérique surveillé si une interrogation est requise. UDP 162 est le sens inverse pour les pièges et informe les appareils vers le collecteur.

Parce que SNMP utilise principalement UDP, de simples vérifications TCP uniquement peuvent manquer le comportement réel. Un vérificateur de port TCP est utile pour les modèles d'accessibilité généraux, mais la validation SNMP doit inclure une commande compatible SNMP ou un test de collecteur de surveillance par rapport à la communauté, à l'utilisateur et à l'objet MIB exacts.

SNMPv1 et SNMPv2c utilisent des chaînes de communauté qui se comportent comme des mots de passe partagés. Ils sont encore courants, en particulier dans les réseaux plus anciens, mais ils n'offrent pas d'authentification forte ni de confidentialité. Si la chaîne de communauté fuit, un attaquant peut lire des données sensibles d'inventaire et de topologie.

SNMPv3 ajoute une sécurité basée sur l'utilisateur, une authentification et un cryptage de confidentialité en option. Pour les nouveaux déploiements, SNMPv3 avec authentification et confidentialité doit être la valeur par défaut. Si SNMPv2c reste nécessaire, définissez-le de manière stricte et utilisez des chaînes de communauté uniques et autres que celles par défaut.

Ouvrez SNMP uniquement entre les collecteurs de surveillance approuvés et les appareils qu'ils gèrent. Les sources typiques incluent les plates-formes NMS, les collecteurs d'observabilité, les intégrations SIEM, les systèmes de planification de capacité et les récepteurs d'interruptions dédiés.

N'exposez pas SNMP à l'Internet public. SNMP peut révéler les noms d'interface, les modèles de périphériques, les versions du micrologiciel, les détails de routage, les numéros de série et les compteurs de performances. L'accès SNMP en écriture peut être encore plus dangereux si les opérations définies sont activées.

Avant d'autoriser SNMP, décidez si le périphérique doit prendre en charge l'interrogation, les interruptions, les informations ou les trois. Confirmez la version SNMP, les adresses IP sources autorisées, les chaînes de communauté ou les utilisateurs SNMPv3, les algorithmes d'authentification et de confidentialité, ainsi que les vues MIB exposées.

Une vérification de port peut montrer si un chemin peut être accessible, mais le succès SNMP dépend de la politique au niveau du protocole. Utilisez snmpwalk, snmpget, snmpbulkwalk ou la plateforme de surveillance elle-même pour confirmer que les OID attendus renvoient des données et que les sources non autorisées sont refusées.

Sur les périphériques réseau, activez SNMP uniquement sur les interfaces de gestion ou les VRF approuvés lorsque cela est possible. Configurez les utilisateurs SNMPv3, limitez les adresses sources avec des ACL et définissez des vues MIB afin que le système de surveillance ne voie que ce dont il a besoin.

Sous Linux, net-snmp est couramment utilisé. Configurez snmpd pour écouter sur l'interface prévue, définissez les utilisateurs SNMPv3 ou les communautés restreintes et autorisez UDP 161 uniquement à partir des collecteurs de surveillance. Les récepteurs de pièges tels que snmptrapd nécessitent que l'UDP 162 soit ouvert sur le collecteur.

Sur Windows Server, SNMP est hérité par rapport aux options de télémétrie modernes, mais il apparaît toujours dans les anciennes piles de surveillance. Si cette option est activée, limitez les hôtes acceptés, évitez les chaînes de communauté par défaut et préférez les agents plus récents ou la surveillance native Windows lorsque cela est possible.

Commencez par confirmer l'accessibilité de base du réseau entre le collecteur et l'appareil. Exécutez ensuite snmpwalk ou snmpget à partir du collecteur en utilisant la même version SNMP, les mêmes informations d'identification et les mêmes paramètres de sécurité que ceux utilisés par votre plateforme de surveillance.

Pour les interruptions, générez ou attendez un événement connu et confirmez que le collecteur le reçoit sur UDP 162. Si les interruptions n'arrivent pas, inspectez les cibles des interruptions de périphérique, l'interface source, le routage, les ACL, le NAT, les règles de pare-feu du collecteur et si le collecteur écoute réellement.

Si l'interrogation échoue, l'agent peut être désactivé, écoutant sur une interface différente, bloqué par une ACL ou rejetant la communauté ou l'utilisateur SNMPv3. Si seuls certains OID échouent, la vue MIB, le micrologiciel du périphérique, les autorisations ou le modèle de surveillance peuvent être erronés.

Si les interruptions échouent, le périphérique peut envoyer à la mauvaise adresse de collecteur, utiliser la mauvaise interface source ou être bloqué par la politique de routage et de pare-feu. N'oubliez pas que les sondages et les pièges utilisent des sens de circulation opposés, de sorte que l'un peut fonctionner tandis que l'autre échoue.

Utilisez SNMPv3 avec authentification et confidentialité autant que possible. Désactivez les communautés par défaut telles que publiques et privées, évitez l'accès en écriture à moins qu'il ne soit vraiment requis et limitez les sources autorisées aux collecteurs de surveillance.

Maintenez les correctifs du micrologiciel et des agents de l'appareil, enregistrez les échecs d'authentification SNMP, surveillez le volume des requêtes et alertez sur les sources inattendues. Considérez les données SNMP comme sensibles, car elles peuvent révéler suffisamment de détails sur l'infrastructure pour aider un attaquant à planifier un mouvement latéral.