next up previous contents
Next: SSH - Secure Shell Up: Protokollbeschreibungen und Portlisten für Previous: Lotus Notes und Lotus   Contents

SNMP - Simple Network Management Protocol

SNMP ist ein einfaches Protokoll, das UDP verwendet. Es ist nicht nur ein mächtiges Werkzeug in den Händen eines Administrators, sondern kann auch ein gefährliches Instrument für Angreifer sein. Die meisten Geräte, die den Anschluss an ein Netzwerk zulassen, unterstützen SNMP. Man kann damit den Zustand von Geräten (Auslastung von CPU oder Netzwerk, Temperaturen und Lüfterdrehzahlen, ...) überwachen, Informationen von Betriebssystem und installierter Software erhalten aber auch administrative Aufgaben (Shutdown, Stop- oder Start von Diensten, etc.) erledigen. Man setzt dafür eine sogenannte Management-Station ein, die die gerätespezifischen Informationen kennt und interpretieren kann. Die Station kann dann zyklisch oder bei Bedarf die SNMP-Agenten der Geräte im Netz um die Herausgabe von Informationen bitten oder durch Setzen von bestimmten Werten im fernen Gerät Reaktionen auslösen.

Das Schlimme an SNMP ist, dass die am meisten verbreitete Version 'SNMPv2' als Schutzmechanismus lediglich eine Art Kennwort (Community-Name) unterstützt. Dieser Community-Name wird aber im Klartext über die Leitung gesendet und wird zudem von vielen Administratoren auf dem Standardwert ('public') belassen. Erst SNMPv3 unterstützt Benutzerauthentifizierung und Verschlüsselung von Daten. Version 2 oder gar noch älter sollten keinesfalls in Netzen verwendet werden, denen man nicht vertrauen kann.

Rechner, auf denen mehrere SNMP-fähige Dienste laufen, verwenden oft zusätzlich zum üblichen UDP-Port 161 ein anderes Port. Häufig ist dies UDP-Port 1161. SNMP-fähige Geräte können wichtige Ereignisse mittels SNMP-Trap an eine Überwachungsstation an das UDP-Port 162 senden. Clients verwenden Ports oberhalb 1023.

Der Einsatz von Proxies ist im Prinzip möglich, man kann aber keine allgemein gültige Aussage machen, da die Informationen der Geräte und damit auch die Anwendungen und Reaktionen auf den Managementstationen unterschiedlichster Art sein können. Ein zusätzliches Problem kann die Weiterleitung der Traps darstellen. Ähnliches gilt für NAT: Es ist einsetzbar, da keine eingebetteten IP-Adressen verwendet werden. Jedoch wird häufig sicherheitskritische Information übertragen und viele Managementstationen reagieren auf ein erhaltenes Trap indem sie versuchen, Verbindung zum SNMP-Gerät aufzubauen. Das stößt dann auf Probleme. Ob lösbar oder nicht, hängt vom Einzelfall ab und muss im Detail erarbeitet werden.

Richtung Proto- Port
Status
Anmerkung
Client Server koll Quelle Ziel
 
         
 
>   UDP 1024: 161
NEW, ESTABLISHED
Management-Station -> SNMP-Gerät
  < UDP 161 1024:
ESTABLISHED
Antwort vom SNMP-Gerät
>   UDP 1024: 162
Trap von SNMP-Gerät zur Management-Station


next up previous contents
Next: SSH - Secure Shell Up: Protokollbeschreibungen und Portlisten für Previous: Lotus Notes und Lotus   Contents
Ernst Pisch 2003-05-17