mstanley13 - Fotolia
Reicht ein Upgrade auf SNMPv3 für die Netzwerksicherheit?
Haben Sie Geräte im Einsatz, auf denen SNMP aktiviert ist, dann können Angreifer darüber ins Netzwerk eindringen. Der Einsatz von SNMPv3 ist gut, aber reicht nicht aus.
Ich habe gelesen, dass sich ein Angreifer von außen in die Netzwerkinfrastruktur eines Unternehmens hacken kann, indem er Geräte ausnutzt, bei denen SNMP (Simple Network Management Protocol) aktiviert ist. Wie können wir einen solchen Angriff verhindern?
Ein Upgrade auf SNMP in der dritten Version (SMNPv3) ist für das höchste Niveau an Sicherheit nicht genug, um einen Angreifer davon abzuhalten, Netzwerkgeräte auszunutzen, bei denen SNMP aktiviert ist. So könnte er von jedem Computer aus in die Netzwerkinfrastruktur eines Unternehmens einbrechen. Der Angreifer könnte zum Beispiel eine unsachgemäße Rollenverteilung ausnutzen.
Hat ein zuständiger Administrator die Rollen von Anwendern und Gruppen nicht separiert, dann haben alle Rollen das gleiche Passwort sowie die gleichen Lese- und Schreib-Berechtigungen für SNMP. Alle Anwender haben die gleichen SNMP-Views auf eine Datenbank, die sich MIB (Management Information Base) nennt.
Dieser Makel würde einem Angreifer uneingeschränkte SNMP-Views der kompletten Datenbank geben. Der SNMP-View-Befehl bestimmt eine Liste, welche MIB-Objekte in der Datenbank betrachtet werden sollen. Wird SNMPv3-Traffic angegriffen, kann das komplette Netzwerk davon betroffen sein.
Um solche Angriffe abzuwehren, rät US-CERT den Administratoren Folgendes:
- Konfigurieren Sie SNMPv3 so, dass es authpriv verwendet. Das ist das höchste Niveau für Authentifizierung und Datenschutz bei den meisten Geräten.
- Separieren Sie die Rollen und weisen jeder angemessene Anmeldedaten zu. SNMP-Managern ist es gestattet, von einem entfernten Gerät Traps und Alarme zu lesen, ob etwas mit dem Netzwerk nicht stimmt. Schreibrechte bekommen sie allerdings nicht.
- Setzen Sie auf sogenannte Access Control Lists (ACL), um nicht-autorisierte Computer zu hindern, auf gewisse Geräte zugreifen zu dürfen.
- Limitieren Sie die SNMP-Views der Anwender entsprechend ihrer Rolle auf die MIB-Datenbank. Der Befehl SNMP v3 View ist auf die SNMP Object Identifiers beschränkt, die auf MIB-Objekte in der Datenbank zeigen. Alle anderen MIB-Objekte ohne eine zugewiesene Rolle sind tabu.
- Trennen Sie SNMP Traffic und stecken Sie ihn in eine separates Netzwerk für das Management des Netzwerks. Damit ist zum Beispiel Out-of-Band gemeint. Ein dedizierter Netzwerk-Port sollte die einzige Verbindung für SNMP v3 sein.
- Aktualisieren Sie System-Images und Software, sobald sie verfügbar sind.