Guia de portas SNMP: monitoramento de rede nas portas 161 e 162

O SNMP tem duas funções principais. Um gerenciador SNMP é o sistema de monitoramento que faz perguntas ou recebe notificações. Um agente SNMP é executado no dispositivo que está sendo monitorado e expõe valores por meio de uma Management Information Base, ou MIB.

Para monitoramento de rotina, o gerenciador envia solicitações get, get-next, get-bulk ou set para o agente no UDP 161. Para monitoramento orientado a eventos, o dispositivo envia traps ou informa ao gerente no UDP 162. As informações são confirmadas; as armadilhas geralmente são do tipo "dispare e esqueça".

UDP 161 é a porta que a maioria das equipes se refere quando perguntam se a porta SNMP está aberta. Ele deve ser acessível do coletor de monitoramento para cada dispositivo monitorado se a pesquisa for necessária. UDP 162 é a direção inversa para armadilhas e informações dos dispositivos para o coletor.

Como o SNMP usa principalmente UDP, verificações simples somente de TCP podem perder o comportamento real. Um verificador de porta TCP é útil para padrões gerais de acessibilidade, mas a validação do SNMP deve incluir um comando compatível com SNMP ou um teste do coletor de monitoramento em relação à comunidade, ao usuário e ao objeto MIB exatos.

SNMPv1 e SNMPv2c usam strings de comunidade que se comportam como senhas compartilhadas. Eles ainda são comuns, especialmente em redes mais antigas, mas não fornecem autenticação forte ou privacidade. Se a cadeia de comunidade vazar, um invasor poderá ler dados confidenciais de inventário e topologia.

SNMPv3 adiciona segurança baseada no usuário, autenticação e criptografia de privacidade opcional. Para novas implantações, o SNMPv3 com autenticação e privacidade deve ser o padrão. Se o SNMPv2c continuar necessário, aplique um escopo rigoroso e use strings de comunidade exclusivas e não padrão.

Abra o SNMP apenas entre coletores de monitoramento confiáveis e os dispositivos que eles gerenciam. As fontes típicas incluem plataformas NMS, coletores de observabilidade, integrações SIEM, sistemas de planejamento de capacidade e receptores de trap dedicados.

Não exponha o SNMP à Internet pública. O SNMP pode revelar nomes de interfaces, modelos de dispositivos, versões de firmware, detalhes de roteamento, números de série e contadores de desempenho. O acesso SNMP gravável pode ser ainda mais perigoso se as operações definidas estiverem habilitadas.

Antes de permitir o SNMP, decida se o dispositivo deve suportar polling, traps, informa ou todos os três. Confirme a versão do SNMP, IPs de origem permitidos, cadeias de comunidade ou usuários SNMPv3, algoritmos de autenticação e privacidade e quais visualizações MIB estão expostas.

Uma verificação de porta pode mostrar se um caminho pode ser acessível, mas o sucesso do SNMP depende da política em nível de protocolo. Use snmpwalk, snmpget, snmpbulkwalk ou a própria plataforma de monitoramento para confirmar se os OIDs esperados retornam dados e se fontes não autorizadas são recusadas.

Em dispositivos de rede, habilite o SNMP somente em interfaces de gerenciamento ou VRFs confiáveis sempre que possível. Configure usuários SNMPv3, restrinja endereços de origem com ACLs e defina visualizações MIB para que o sistema de monitoramento veja apenas o que precisa.

No Linux, net-snmp é comumente usado. Configure o snmpd para escutar na interface pretendida, defina usuários SNMPv3 ou comunidades restritas e permita UDP 161 somente de coletores de monitoramento. Receptores trap como snmptrapd precisam do UDP 162 aberto no coletor.

No Windows Server, o SNMP é legado em comparação com as opções modernas de telemetria, mas ainda aparece em pilhas de monitoramento mais antigas. Se habilitado, restrinja hosts aceitos, evite sequências de comunidade padrão e prefira agentes mais novos ou monitoramento nativo do Windows quando for prático.

Comece confirmando a acessibilidade básica da rede entre o coletor e o dispositivo. Em seguida, execute snmpwalk ou snmpget no coletor usando a mesma versão SNMP, credenciais e configurações de segurança que sua plataforma de monitoramento usa.

Para traps, gere ou aguarde um evento conhecido e confirme se o coletor o recebe no UDP 162. Se as traps não chegarem, inspecione os alvos de trap do dispositivo, interface de origem, roteamento, ACLs, NAT, regras de firewall do coletor e se o coletor está realmente escutando.

Se a sondagem falhar, o agente pode ser desabilitado, escutando em uma interface diferente, bloqueado por uma ACL ou rejeitando a comunidade ou usuário SNMPv3. Se apenas alguns OIDs falharem, a visualização MIB, o firmware do dispositivo, as permissões ou o modelo de monitoramento podem estar errados.

Se as interceptações falharem, o dispositivo pode estar enviando para o endereço do coletor errado, usando a interface de origem errada ou bloqueado pela política de roteamento e firewall. Lembre-se de que polling e traps usam direções de tráfego opostas, então um pode funcionar enquanto o outro falha.

Use SNMPv3 com autenticação e privacidade sempre que possível. Desative comunidades padrão, como públicas e privadas, evite o acesso de gravação, a menos que seja realmente necessário, e restrinja as fontes permitidas aos coletores de monitoramento.

Mantenha o firmware e os agentes do dispositivo corrigidos, registre falhas de autenticação SNMP, monitore o volume de consultas e alerte sobre fontes inesperadas. Trate os dados SNMP como confidenciais porque podem revelar detalhes suficientes da infraestrutura para ajudar um invasor a planejar o movimento lateral.