Demo-Tour jetzt buchen

Ihre Frage an uns


Einverständniserklärung Datenschutz
Mit den Bestimmungen zum Datenschutz bin ich einverstanden. Ich willige ein, dass Protelion die von mir zur Verfügung gestellten persönlichen Daten zur Bearbeitung meiner Anfrage elektronisch verarbeitet und mich, nach meinem ausdrücklichen Wunsch, zur Bearbeitung meiner Anfrage kontaktiert. Mein Einverständnis kann ich jederzeit mit Wirkung für die Zukunft widerrufen.

Vielen Dank für Ihre Anfrage.

OK
DE
EN ES

Hauptseite

/
 ... / 

Ressourcen

/
 ... / 

Blog

/
 ... / 
Sicherheit des SNMP-Protokolls

Sicherheit des SNMP-Protokolls

18.10.2025

Das SNMP-Protokoll (Simple Network Management Protocol, einfaches Netzwerkverwaltungsprotokoll) besteht aus 3 wichtigsten Komponenten:

  • Agenten: von den Herstellern auf verwalteten Geräten (z. B. Routern, Switches, Arbeitsstationen) vorinstallierte Anwendungen, die eine Schnittstelle zwischen dem SNMP-Protokoll und der Konfiguration jedes Computers bilden.
  • Administrator, oder Netzwerkverwaltungssystem, basiert auf dem SNMP-Protokoll, das die Variablen aller Netzwerkgeräte abfragt (oder konfiguriert) und mit jedem jeweiligen Agenten der verwalteten Geräte interagiert.
  • MIB: Management Information Base (Datenbank für Verwaltungsinformationen). Satz von Spezifikationen der Netzwerkgeräte, hierarchisch in Form eines Baums organisiert, wobei die Wurzel die globalen Variablen davon enthält, was im Netzwerk passiert, und die Blätter den detaillierten Informationen jedes verwalteten Hosts entsprechen. Das Konzept der Verwendung einer MIB impliziert die Datenerfassung durch den Administrator oder das Netzwerkverwaltungssystem, das über die Agenten, die das SNMP-Protokoll verwenden, auf die Informationen der Geräte zugreift.

Es ist zu beachten, dass sich die Verfahren zur Definition von Informationen der Geräte, die vom SNMP-Protokoll verwaltet werden, seit dessen Einführung Ende der 1980er Jahre kaum verändert haben. Dies ist hauptsächlich auf die Flexibilität des Protokolls zurückzuführen, da sein Design die Verwendung definierter Informationen durch andere Protokolle oder sogar durch verschiedene Versionen desselben Protokolls ermöglicht.

Da die grundlegende Anforderung an das Design des SNMP-Protokolls die Einfachheit war (daher der Name), mussten mehrere Verbesserungen vorgenommen werden, um es an die aktuellen Anforderungen anzupassen, unter denen die Anforderungen hinsichtlich der Sicherheit des Systems hervorgehoben werden sollten.

Sicherheitsrisiken

Das SNMP-Protokoll bietet Mechanismen für den Zugriff auf eine hierarchische Datenbank, die aus einer Reihe von Variablen besteht. Es gibt zwei Arten des Zugriffs auf diese Informationen: den Lesezugriff, mit dem man die mit jeder Variablen verknüpften Werte lesen kann, und den Lese- und Schreibzugriff, mit dem man diese Werte ändern kann.

Der Zugriff auf die Geräte wurde in der ersten Version des SNMP-Protokolls über eine Zeichenfolge namens „Community-Name“ implementiert, die als einfaches Kontrollverfahren für den Informationszugriff verwendet wird und sogar vom Systemadministrator konfiguriert werden kann.

Die gesamte vom System bereitgestellte Sicherheit basiert auf der Tatsache, dass es notwendig ist, den einem Gerät zugewiesenen Community-Namen zu kennen, um Zugriff auf die von seinen Variablen bereitgestellten Informationen zu erhalten.

Das Schutzniveau, das die Originalversion des SNMP-Protokolls bietet, ist daher sehr schwach. Darüber hinaus sollte berücksichtigt werden, dass Community-Namen, die in SNMP-Protokollnachrichten enthalten sind, im Klartext über das Netzwerk gesendet werden. Auf diese Weise können sie durch passive Angriffe oder böswilliges Abhören erfahren werden.

Die Verwendung standardmäßig konfigurierter Community-Namen auf Geräten ist auch weit verbreitet, also kann ein Benutzer außerhalb des Systems mithilfe des SNMP-Protokolls viele Informationen darüber erhalten.

Um die Sicherheit des Protokolls zu erhöhen, war es notwendig, Änderungen an der ersten Version vorzunehmen, Konzepte der Authentifizierung, Integrität und Privatsphäre einzuführen sowie die Kontrolle des Informationszugriffs zu verbessern, um Bedrohungen wie das Ändern oder Neuordnen von Nachrichten während der Übertragung, Identitätsdiebstahl, Abhören und passive Angriffe zu verhindern.

Weiterentwicklung zu SNMPv2

Der erste wirkliche Versuch, SNMP ein gewisses Maß an Sicherheit zu verleihen, wurde in der Version namens SNMPsec implementiert. Die in dieser Version eingeführten Elemente bilden die Grundlage aller nachfolgenden Versionen und werden auch heute noch verwendet.

Die wichtigsten Neuerungen von SNMPsec sind die eindeutige Identifizierung der an der SNMP-Kommunikation beteiligten Einheiten, die erhebliche Verbesserungen und mehr Flexibilität bei der Zugriffskontrolle ermöglicht, sowie die Verwendung kryptografischer Mechanismen, die Authentifizierung, Nachrichtenintegrität und Datenschutz ermöglichen. 

Diese Version stellt unter anderem folgende Konzepte vor:

  • Party SNMP: virtueller Ausführungskontext, in dem Vorgänge auf die auf dem Gerät zulässigen Vorgänge beschränkt sind.
  • Zugriffskontrollrichtlinie: eine Reihe von SNMP-Protokollvorgängen oder -Nachrichten, deren Verwendung zwischen zwei in einer Verwaltungskommunikation verwendeten Elementen zulässig ist.
  • Authentifizierungsprotokoll: Wird zur Authentifizierung von Nachrichten sowie zur Überprüfung ihrer Integrität verwendet. Normalerweise wird der MD5-Algorithmus verwendet, der eine Hash-Funktion auf die Nachricht anwendet und bei der Durchführung einer Kommunikation den Antwortwert in die übertragenen Daten einbezieht.
  • Datenschutzprotokoll: Wird verwendet, um die Kommunikation vor böswilligem Abhören zu schützen. Häufig wird ein symmetrischer DES-Verschlüsselungsalgorithmus verwendet.

Die SNMPsec-Version wurde ursprünglich mit der Einführung von Version 2 des SNMP-Protokolls übernommen und in SNMPv2p (Party-basiertes SNMPv2) umbenannt.

Später wurde das SNMPv2-Framework, dessen Definition keinen Sicherheitsstandard enthält, mit anderen Sicherheitsverwaltungsmodellen verknüpft und wurden drei neue Versionen des Protokolls entwickelt: SNMPv2c, SNMPv2u und SNMPv2*.

Die SNMPv2c-Version (Community-basiertes SNMPv2) verwendet dasselbe Verwaltungsmodell wie die erste Version des SNMP-Protokolls und enthält selbst keine Sicherheitsmechanismen. Die einzigen Verbesserungen, die in der neuen Version eingeführt wurden, sind eine größere Flexibilität der Zugriffskontrollmechanismen, da sie die Definition von Zugriffsrichtlinien ermöglicht, die darin bestehen, einen Community-Namen mit einem Community-Profil zu verknüpfen, das aus einer MIB-Ansicht und Zugriffsrechten auf diese Ansicht besteht: Lesen oder Lesen/Schreiben.

Die SNMPv2*-Version bot ein angemessenes Maß an Sicherheit, erreichte jedoch nicht das erforderliche Maß an Standardisierung und Akzeptanz.

Schließlich verwendet die Version SNMPv2u (Benutzerbasiertes SNMPv2) die in der Version SNMPsec eingeführten Konzepte wieder und implementiert dabei das Benutzerkonzept. In diesem Fall erfolgt die Kommunikation unter der Identität von Benutzern, anstatt das in früheren Versionen bestehende Konzept der Party zu verwenden. Auf diese Weise kann derselbe Benutzer in mehreren verschiedenen SNMP-Einheiten definiert werden.

SNMP-Version 3

Die wichtigste Neuerung, die in Version 3 des SNMP-Protokolls eingeführt wurde, ist die Modularität. Es wird davon ausgegangen, dass eine SNMP-Einheit aus mehreren Modulen besteht: einem Benachrichtigungs-Trigger, einem weiteren Nachrichtenprozessor, einem Sicherheitssubsystem und einem Zugriffskontrollsubsystem.

Dadurch sind die in der SNMPv3-Version verwendeten Verfahren zur Sicherheit (Authentifizierung und Datenschutz) und zur Zugriffskontrolle unabhängig. Somit kann dieselbe Einheit verschiedene Modelle der Sicherheit und Zugriffskontrolle gleichzeitig verwenden. Dies erhöht die Flexibilität und Interoperabilität des Protokolls erheblich.

Außerdem werden ein Standardmodell für benutzerbasierte Sicherheit (USM: User Security Model) und ein ansichtsbasiertes Zugriffskontrollmodell (VACM: View-based Access Control Model) implementiert. Dabei kommen die in früheren Versionen implementierten Konzepte zum Einsatz und gleichzeitig ermöglicht die Modularität der neuen Version die Einführung zukünftiger Modelle, die unabhängig von den aktuell bestehenden Modellen sind.

Die Sicherheit war bis Version 3 eine der größten Schwächen von SNMP. Die Authentifizierung in den SNMP-Versionen 1 und 2 war lediglich ein Passwort (Community-Name), das im Klartext zwischen einem Administrator und einem Agenten gesendet wurde. Jede SNMPv3-Nachricht enthält verschlüsselte Sicherheitsparameter und ihre Werte hängen vom implementierten Sicherheitsmodell ab.

Beteiligung und Risikominderung

DoS (Denial of Service)

Da SNMP so konzipiert ist, dass Administratoren Netzwerkgeräte aus der Ferne überwachen und konfigurieren können, kann es auch zum Eindringen in ein lokales Netzwerk (LAN) verwendet werden.

Wenn SNMP in einem Netzwerk nicht verwendet wird, sollte es ausgeschaltet werden, da es nicht nur eine Sicherheitslücke verursacht, sondern auch die verfügbare Netzwerkbandbreite verbraucht und unnötig Verarbeitungsressourcen nutzen.

SNMP ist anfällig für bestimmte Denial-of-Service-Angriffe. Daher ist bei der Konfiguration besondere Aufmerksamkeit auf die Zugriffskontrollkonfiguration und die IP-Adressen erforderlich, von denen SNMP-Nachrichten akzeptiert werden. Wenn SNMP-Server anhand ihrer IP identifiziert werden, kann SNMP nur auf diese IPs antworten und SNMP-Nachrichten von anderen Adressen werden abgelehnt.

SNMP-Authentifizierung

SNMP ist in den Versionen 1, 2 und 3 verfügbar, die jeweils ihre eigenen Sicherheitslücken haben. SNMP v1 sendet Passwörter als Klartext über das Netzwerk. Auf diese Weise können Passwörter mit Paket-Trackern gelesen werden.

SNMP v2 ermöglicht MD5-Hashing für die Passwörter, erfordert jedoch eine Konfiguration. Diese Version wurde speziell entwickelt, um Authentifizierung, Datenschutz und Autorisierung bereitzustellen, weltweit wurde jedoch nur Version 2c und nicht die Versionen 2u und 2* übernommen.

SNMP v3 verwendet Verschlüsselungsalgorithmen, um Schutz vor unbefugter Datenänderung und Maskierungsangriffen zu bieten. Es kann jedoch Brute-Force- und Wörterbuchangriffen ausgesetzt sein, um die Schlüssel zur Authentifizierung oder Verschlüsselung zu hacken, wenn diese Schlüssel aus kurzen (schwachen) Passwörtern oder Passwörtern generiert werden, die in einem Wörterbuch zu finden sind. Die Verwendung bewährter Verfahren zum Festlegen von Passwörtern kann diese Sicherheitslücke mindern.

Automatische Erkennung

Viele SNMP-Implementierungen umfassen eine automatische Erkennung, bei der eine dem Netzwerk hinzugefügte neue Komponente automatisch erkannt und nach ihrer IP-Adresse gruppiert wird. In SNMPv1 und v2c erfolgt dies über einen Community-String, der in unverschlüsseltem Text an andere Geräte übertragen wird.

Sobald der Community-Zeichenfolge außerhalb der Organisation bekannt ist, kann sie zum Ziel eines Angriffs werden. Um einfache Community-Erkennung zu verhindern, muss SNMP so konfiguriert werden, dass es im Falle eines Fehlers bei der Authentifizierung des Community-Namens warnt und das Verwaltungsgerät auf den Fehler reagiert. SNMPv3-Sicherheitsverfahren können einen erfolgreichen Angriff verhindern.

Zusammenfassung

Das Schutzniveau, das die Originalversion des SNMP-Protokolls bietet, entspricht nicht den heutigen Anforderungen. Wenn die Verwaltung auf dieser Version basiert, ist es aufgrund der Sensibilität der über dieses Protokoll zugänglichen Informationen wichtig, sich der damit verbundenen Risiken bewusst zu sein.

Neuere Versionen des Protokolls verwenden kryptografische Verfahren, um für mehr Sicherheit in der Kommunikation zu sorgen. Die Verwendung dieser Versionen erfordert eine komplexere Konfiguration des Systems, das daraus resultierende Sicherheitsniveau ist jedoch viel höher.

Die Protelion-Technologie verwendet das SNMP-Protokoll in verschiedenen Produkten. Bei allen wird besondere Aufmerksamkeit auf die Sicherheit gelegt, die auf technologiegenerierten symmetrischen Verschlüsselungsschlüsseln basiert, die die Verschlüsselung der mit dem Protokoll gesendeten Daten gewährleisten.

Zurück zur Liste

Bloggen

Bloggen
Datenschutz oder Datensicherheit: Das Gleichgewicht in einer zunehmend vernetzten Welt
07.10.2025
Vom Entsperren Ihres Telefons mit einem Blick bis hin zum Bewegen durch ein Sicherheitstor am Flughafen sammelt die Technologie leise Teile unseres Lebens.
Mehr lesen
Bloggen
IoT-Sicherheit: Wie intelligente Geräte Hackern Türen öffnen
05.09.2025
Smart Homes, tragbare Geräte, vernetzte Autos – das Internet der Dinge (IoT) ist überall. Von Fitness-Trackern bis hin zu intelligenten Kühlschränken machen diese Geräte unser Leben einfacher und vernetzter. Doch mit der Bequemlichkeit geht auch das Risiko einher: Jedes intelligente Gerät ist ein potenzieller Einstiegspunkt für Hacker.
Mehr lesen
Bloggen
SNMP: Simple Network Management Protocol
16.09.2025
Simple Network Management Protocol (Einfaches Netzwerkverwaltungsprotokoll, SNMP) arbeitet auf der Anwendungsschicht des OSI-Referenzmodells, um Netzwerkgeräte zu verwalten und zu überwachen.
Mehr lesen