SNMP-poortgids: netwerkmonitoring op poorten 161 en 162

SNMP heeft twee hoofdrollen. Een SNMP-manager is het monitoringsysteem dat vragen stelt of meldingen ontvangt. Een SNMP-agent draait op het apparaat dat wordt bewaakt en geeft waarden vrij via een Management Information Base of MIB.

Voor routinematige monitoring verzendt de manager get-, get-next, get-bulk of set-verzoeken naar de agent op UDP 161. Voor gebeurtenisgestuurde monitoring verzendt het apparaat traps of informeert naar de manager op UDP 162. Informs worden bevestigd; vallen zijn meestal vuur-en-vergeet.

UDP 161 is de poort die de meeste teams bedoelen als ze vragen of de SNMP-poort open is. Het moet bereikbaar zijn vanaf de monitoringcollector naar elk bewaakt apparaat als polling vereist is. UDP 162 is de omgekeerde richting voor vallen en informeert van apparaten naar de collector.

Omdat SNMP meestal UDP gebruikt, kunnen eenvoudige controles die alleen op TCP gericht zijn, echt gedrag over het hoofd zien. Een TCP-poortcontrole is handig voor algemene bereikbaarheidspatronen, maar SNMP-validatie moet een SNMP-bewuste opdracht of monitoringcollectortest omvatten tegen het exacte community-, gebruiker- en MIB-object.

SNMPv1 en SNMPv2c gebruiken communitystrings die zich gedragen als gedeelde wachtwoorden. Ze komen nog steeds vaak voor, vooral in oudere netwerken, maar bieden geen sterke authenticatie of privacy. Als de communitystring lekt, kan een aanvaller gevoelige inventaris- en topologiegegevens lezen.

SNMPv3 voegt op gebruikers gebaseerde beveiliging, authenticatie en optionele privacy-encryptie toe. Voor nieuwe implementaties zou SNMPv3 met authenticatie en privacy de standaard moeten zijn. Als SNMPv2c nodig blijft, moet u het strak beperken en unieke, niet-standaard communitystrings gebruiken.

Open SNMP alleen tussen vertrouwde monitoringverzamelaars en de apparaten die zij beheren. Typische bronnen zijn onder meer NMS-platforms, observatiecollectoren, SIEM-integraties, capaciteitsplanningssystemen en speciale trapontvangers.

Stel SNMP niet bloot aan het openbare internet. SNMP kan interfacenamen, apparaatmodellen, firmwareversies, routeringsdetails, serienummers en prestatietellers onthullen. Beschrijfbare SNMP-toegang kan zelfs nog gevaarlijker zijn als ingestelde bewerkingen zijn ingeschakeld.

Voordat u SNMP toestaat, moet u beslissen of het apparaat polling, traps, informs of alle drie moet ondersteunen. Bevestig de SNMP-versie, toegestane bron-IP's, communityreeksen of SNMPv3-gebruikers, authenticatie- en privacy-algoritmen, en welke MIB-weergaven zichtbaar zijn.

Een poortcontrole kan uitwijzen of een pad bereikbaar is, maar het succes van SNMP hangt af van het beleid op protocolniveau. Gebruik snmpwalk, snmpget, snmpbulkwalk of het monitoringplatform zelf om te bevestigen dat de verwachte OID's gegevens retourneren en dat ongeautoriseerde bronnen worden geweigerd.

Schakel op netwerkapparaten waar mogelijk SNMP alleen in op beheerinterfaces of vertrouwde VRF's. Configureer SNMPv3-gebruikers, beperk bronadressen met ACL's en definieer MIB-weergaven zodat het monitoringsysteem alleen ziet wat het nodig heeft.

Op Linux wordt net-snmp vaak gebruikt. Configureer snmpd om op de beoogde interface te luisteren, definieer SNMPv3-gebruikers of beperkte communities en sta UDP 161 alleen toe van monitoringcollectoren. Trapontvangers zoals snmptrapd hebben UDP 162 nodig die op de collector is geopend.

Op Windows Server is SNMP verouderd vergeleken met moderne telemetrieopties, maar het verschijnt nog steeds in oudere monitoringstacks. Indien ingeschakeld, beperk dan de geaccepteerde hosts, vermijd standaard communitystrings en geef, waar praktisch mogelijk, de voorkeur aan nieuwere agents of Windows-native monitoring.

Begin met het bevestigen van de basisnetwerkbereikbaarheid tussen de collector en het apparaat. Voer vervolgens snmpwalk of snmpget uit vanuit het verzamelprogramma met dezelfde SNMP-versie, inloggegevens en beveiligingsinstellingen die uw monitoringplatform gebruikt.

Voor traps genereert u of wacht u op een bekende gebeurtenis en bevestigt u dat de verzamelaar deze ontvangt op UDP 162. Als er geen traps arriveren, inspecteert u de trapdoelen van het apparaat, de broninterface, routering, ACL's, NAT, de firewallregels van de verzamelaar en of de verzamelaar daadwerkelijk luistert.

Als het pollen mislukt, kan de agent worden uitgeschakeld, op een andere interface luisteren, worden geblokkeerd door een ACL of de community- of SNMPv3-gebruiker weigeren. Als slechts enkele OID's falen, zijn de MIB-weergave, de apparaatfirmware, de machtigingen of de monitoringsjabloon mogelijk verkeerd.

Als traps mislukken, verzendt het apparaat mogelijk naar het verkeerde verzameladres, gebruikt het de verkeerde broninterface of wordt het geblokkeerd door routering en firewallbeleid. Houd er rekening mee dat peilingen en vallen gebruik maken van tegengestelde verkeersrichtingen, zodat de ene kan werken terwijl de andere faalt.

Gebruik waar mogelijk SNMPv3 met authenticatie en privacy. Schakel standaardgemeenschappen zoals openbaar en privé uit, vermijd schrijftoegang tenzij dit echt nodig is, en beperk toegestane bronnen tot het controleren van verzamelaars.

Houd apparaatfirmware en agents gepatcht, registreer SNMP-authenticatiefouten, bewaak het queryvolume en waarschuwt voor onverwachte bronnen. Behandel SNMP-gegevens als gevoelig omdat deze voldoende infrastructuurdetails kunnen onthullen om een ​​aanvaller te helpen bij het plannen van laterale bewegingen.