Allgemeines

Sicherheit mit SNMP

5 einfache Tipps zur Verbesserung der Sicherheit beim Einsatz von SNMP (Simple Network Management Protocol).

Deaktivierung von SNMP
Auf Komponenten wo SNMP nichtgenutzt wird,sollte der Dienst/Daemon ausgeschalten werden. Viele Hersteller aktivieren SNMPserienmässig mitStandard-Konfiguration.
Verhinderung von schreibendem SNMP Verkehr
SNMP ermöglicht die Fernkonfiguration von SNMP-Komponenten. Benutzername/Passwort wird dabeiunverschlüsselt übermittelt. Dies ist eine fatale Kombination und ermöglicht einem Angreiffer schnellen und garantierten Zugang zu Systemkonfigurationen.
RegelmässigeVeränderung von Community Strings
Ein SNMP Community String bildet eine Relation zwischen SNMP Server und SNMP Client. Der String hat eine ähnliche Funktion wie ein Passwort und sollte daher geheim gehalten werden. Ein Angreiffer kann diesen String jedoch mit einfachen Mitteln ausfindig machen (Netzwerk Sniffer).
Es wird empfohlen, diesen Community String in regelmässigen Zeitabständen (z.B. wöchentlich) zu ändern.
Standard Community Strings vermeiden
Zu den Standard Community Strings gehören "public" (für Read-Access) und "private" (für Write-Access). Diese Strings sind zwingend zu ändern. Es ist auch empfehlenswert, diese Standard Community Strings auf der Firewall zu blockieren.
Aktuellste Firmware
Die Firmware von SNMP-fähigen Komponenten muss stets auf dem aktuellsten Stand gehalten werden.

Sollten diese Empfehlungen nicht ausreichen, würde sich die Einarbeit in die Sicherheitsmechanismen von SNMPv3 lohnen.
Siehe http://www.cisco.com/en/US/docs/ios/12_0t/12_0t3/feature/guide/Snmp3.html