Ich möchte meine Netzwerkinfrastruktur überwachen. Ist dies mit SNMPv2 sicher möglich?

13

Ich muss meine Netzwerkinfrastruktur überwachen, frage mich aber, ob die Verwendung von SNMPv2 sicher ist? Was sind die Schwächen von SNMPv2?

Lucas Kauffman
quelle

Antworten:

21

Wenn SNMPv3 keine Option ist, können Sie einige Maßnahmen ergreifen, um SNMPv2 besser abzusichern.

  1. Aktivieren Sie die Lese- / Schreibzeichenfolge nicht. Es gibt nur wenige Gründe, dies zu aktivieren.
  2. Wählen Sie komplexere Community-Zeichenfolgen aus und entfernen Sie private oder öffentliche Zeichenfolgen.
  3. Verwenden Sie eine Zugriffsliste in der Community-Zeichenfolge, um einzuschränken, welche IP-Adressen das Gerät abfragen können.
  4. Aktivieren Sie die Option zum Herunterfahren des Systems nicht.
  5. Verwenden Sie für SNMP-Traps eine andere Community-Zeichenfolge als für die abfragende SNMP-Zeichenfolge.
twidfeki
quelle
14

SNMPv2 sollte nicht verwendet werden, insbesondere wenn SNMPv3 verfügbar ist. Es gibt einige grundlegende Fehler in SNMPv2, vor allem die Verwendung von Community-Zeichenfolgen, die unverschlüsselt über das Netzwerk gesendet werden, um die Netzwerkinfrastruktur abzufragen.

Außerdem basiert es auf einer Community-Zeichenfolge anstelle einer separaten Kombination aus Benutzername und Kennwort. SNMPv2 (und 1 in diesem Fall) kann keine Garantie für Vertraulichkeit, Integrität oder Authentizität geben.

SNMPv3 ist in Bezug auf die Sicherheit viel besser. SNMPv3 enthält drei wichtige Dienste: Authentifizierung, Datenschutz und Zugriffskontrolle (Abbildung 1). Um diese Dienste auf flexible und effiziente Weise bereitzustellen, führt SNMPv3 das Konzept eines Principals ein. Dabei handelt es sich um die Entität, in deren Auftrag Dienste bereitgestellt werden oder die Verarbeitung erfolgt. Weitere Informationen finden Sie auf der Cisco-Website .

Lucas Kauffman
quelle
9

Während SNMPv3 wesentlich sicherer als v2 ist, können Sie das Risiko der Implementierung von v2 zumindest teilweise verringern, indem Sie den Zugriff mit einer ACL einschränken. Ich würde auch davon abraten, eine Lese- / Schreib-v2-Community zu erstellen.

Avery Abbott
quelle