SNMP: Simple Network Management Protocol

Simple Network Management Protocol (Einfaches Netzwerkverwaltungsprotokoll, SNMP) arbeitet auf der Anwendungsschicht des OSI-Referenzmodells, um Netzwerkgeräte zu verwalten und zu überwachen.

SNMP ist eines der weithin akzeptierten Protokolle in der TCP/IP-Suite zur Verwaltung und Überwachung von Netzwerkelementen. Daher verfügen die meisten Kommunikationsgeräte heute über einen SNMP-Agenten zum Datenaustausch mit dem Netzwerkverwaltungssystem.

SNMP ermöglicht die Verwaltung von Geräten, die mit jedem über das Internet zugänglichen Netzwerk verbunden sind, und nicht nur von Geräten, die sich im lokalen Netzwerk selbst befinden. Wenn ein Routing-Gerät mit einem zu steuernden Remote-Gerät nicht ordnungsgemäß funktioniert, ist seine Überwachung oder Neukonfiguration natürlich nicht möglich.

Ein Netzwerk mit SNMP-Anwendungen verfügt über mindestens eine Verwaltungsstation, die eine Gruppe von Netzwerkgeräten mithilfe einer NMS-Software (Network Management System, Netzwerkverwaltungssystem), die für die Netzwerkverwaltung konzipiert ist, überwacht und verwaltet.

Das verwaltete Gerät ist ein Netzwerkknoten, der über einen SNMP-Netzwerkadapter verfügt. Es führt dauerhaft eine Softwarekomponente namens Agent aus, die die Daten mit der Verwaltungsstation austauscht und den Zugriff auf knotenspezifische Informationen für NMS ermöglicht.

Im Wesentlichen stellen die SNMP-Agenten auf den Geräten den Verwaltungsstationen Verwaltungsdaten in Form von hiierarchisch organisierten Variablen zur Verfügung, die in einer Struktur namens Management Information Base (MIB) gespeichert sind. 

MIB und OID

Eine Management Information Base (MIB) kann als eine Sammlung von Daten beschrieben werden, die hierarchisch als Baum organisiert sind, mit einer anonymen Wurzel und mehreren Ebenen, die von verschiedenen Organisationen bereitgestellt werden.

Knoten-IDs (Objekt-IDs) im oberen Teil des Baums gehören zu verschiedenen Organisationen, die Standards definieren, während die IDs unten von den zugehörigen Unternehmen platziert werden.

Hersteller können private Zweige (Pfade) einrichten, die bestimmte Objekte für ihre eigenen Produkte enthalten. Nicht standardisierte Objekte befinden sich typischerweise in einem experimentellen Zweig.

Um in einer Management Information Base (MIB) definierte Objekte zu identifizieren, wird eine OID (Objekt-ID) verwendet, die als Pfad durch die Knoten des Baums von seiner Wurzel zum Objekt interpretiert werden kann und eine Variable darstellt, die auf einem bestimmten Typ von Netzwerkgerät überprüft werden soll.

Mit anderen Worten enthalten Management Information Bases (MIB) hierarchisch organisierte Objekt-IDs (OIDs), bei denen jeder Knoten nicht deutlich mit einer Zahl und einer Textzeichenfolge identifiziert wird.

Um auf ein bestimmtes Objekt zu verweisen, verfolgen Sie den Pfad von der Wurzel zu diesem und fügen Sie dabei jeden Knoten hinzu. Jede Verbindung wird als Punkt dargestellt und die resultierende Adresse mit allen enthaltenen Knoten ist die Objekt-ID (OID).

Alle Verwaltungsinformationen, die über SNMP abgerufen werden können, werden einzeln von der OID verarbeitet und können z.B. Speichernutzung auf einem Server, Traffic auf einem Switch oder Dateien in einer Druckerwarteschlange anzeigen.

Damit eine Verwaltungseinheit und ein netzwerkverwaltetes Gerät erfolgreich kommunizieren können, müssen beide wissen, welche OIDs verfügbar sind. Aus diesem Grund gibt es MIBs und Systemadministratoren benötigen sie.

Um die Parameter (Objekte) eines bestimmten Geräts zu überwachen, müssen die MIBs dieses Geräts bekannt sein. Administratoren sollten daher sicherstellen, dass alle erforderlichen MIBs in SNMP-Agentengeräten und im System der Verwaltungseinheit gespeichert sind.

Wenn ein Gerätehersteller SNMP-kompatible Produkte anbietet, stellt er normalerweise auch die erforderlichen MIB-Dateien bereit, die über ihre Erweiterungen .my oder .mib leicht erkannt werden können.

Bei der Verwendung von MIB-Dateien kann Netzwerkverwaltungssoftware einen Baum von OIDs verwalteter Geräte anzeigen, wodurch die Netzwerküberwachung mithilfe von SMNP einfach und flexibel wird.

SMNP-Nachrichten

Um grundlegende Verwaltungsvorgänge durchzuführen, ist das SNMP-Protokoll im UDP-Protokoll gekapselt, um Nachrichten zwischen dem Verwaltungsgerät und seinen überwachten Endpunkten (Agenten) zu senden. Durch die Verwendung der UDP-Kapselung wird sichergestellt, dass Verwaltungsaufgaben die Netzwerkleistung nicht beeinträchtigen, da die Verwendung von Verwaltungs- und Wiederherstellungsmechanismen wie bei anderen Protokollen wie TCP vermieden wird.

Im Allgemeinen empfangen und senden SNMP-Agenten UDP-Anfragen auf Port 161 und 162. Ein SNMP-Manager kann seine Anfragen von jedem Port aus senden, obwohl normalerweise dieselben Ports wie beim Agenten verwendet werden.

Für eine erfolgreiche Überwachung ist es wichtig, dass UDP-Pakete vom Agenten an den Manager weitergeleitet werden können. Dies funktioniert normalerweise standardmäßig in einem lokalen Netzwerk, es ist jedoch notwendig, das Routing speziell zu konfigurieren, damit solche Pakete größere Netzwerke passieren können.

Es gibt verschiedene Arten von SNMP-Nachrichten, mit denen die Netzwerküberwachung über SNMP konfiguriert werden kann:

• GET: This is the message sent by anDies ist die Nachricht, die von einem SNMP-Manager gesendet wird, um Daten anzufordern, und sie wird am häufigsten verwendet. Das Zielgerät gibt den angeforderten Wert in einer Antwortnachricht zurück.
• GET NEXT: Der SNMP-Manager kann weiterhin Anfragen zu den nächsten verfügbaren Daten senden, bis keine Daten mehr vorhanden sind. Dadurch können alle auf einem bestimmten Gerät verfügbaren Daten empfangen werden, auch wenn keine Vorkenntnisse über das Antwortgerät vorliegen.
• GET BULK: eine iterierte Ausführung von GET NEXT. Die angeforderte Antwort enthält so viele Daten, wie die Anfrage zulässt. Im Wesentlichen handelt es sich dabei um eine Möglichkeit, mehrere GET NEXT-Anfragen gleichzeitig auszuführen, sodass Benutzer eine Liste aller auf dem angeforderten Gerät verfügbaren Daten und Parameter erstellen können.
• SET: Ein vom Manager initiierter Befehl zum Festlegen oder Ändern des Werts eines Parameters über SNMP auf dem Gerät oder System des Agenten. Dieser Nachrichttyp kann zum Verwalten oder Aktualisieren der Konfiguration oder anderer Einstellungen verwendet werden. Besondere Aufmerksamkeit ist erforderlich, da ein falsches SET Systeme und Netzwerkkonfigurationen ernsthaft beeinträchtigen kann.
• RESPONSE: Die Nachricht, die ein Geräteagent nach der Anfrage eines Managers sendet. Wenn eine Antwort auf eine GET-Nachricht gesendet wird, enthält das Paket die angeforderten Daten oder Werte. Im Falle einer SET-Nachricht antwortet das Paket mit der Angabe des neuen Wertesatzes als Bestätigung, dass dieser erfolgreich abgeschlossen wurde.
• Der SNMP-Agent sendet unaufgefordert eine Trap-Nachricht an den Manager. Tatsächlich werden Traps unter bestimmten Bedingungen gesendet, z. B. bei Fehlern oder wenn ein vorgegebener Schwellenwert überschritten wird. Traps sind eine gute Lösung für proaktive Überwachung. Wenn Sie jedoch von ihrem Einsatz profitieren möchten, ist es normalerweise notwendig, sie mithilfe des SNMP-Managers einzurichten.
• INFORM: Dieser Nachrichttyp wurde hinzugefügt, um dem Manager die Möglichkeit zu geben, zu bestätigen, dass er eine TRAP-Nachricht von einem Agenten erhalten hat. Einige Agenten sind so konfiguriert, dass sie weiterhin Traps senden, bis sie eine Bestätigung einer Berichtsnachricht vom Manager erhalten.
• REPORT: Diese Nachrichten ermöglichen es dem Manager festzustellen, welche Art von Problem der Remote-SNMP-Agent erkannt hat.

SMNP-Versionen

Die am häufigsten verwendeten Versionen des SNMP-Protokolls sind SNMPv1 und SNMPv2. Die neueste Version SNMPv3 weist im Vergleich zu ihren Vorgängern wichtige Änderungen auf, insbesondere in Bezug auf die Sicherheit. Allerdings wurde es von der internationalen Gemeinschaft nicht in großem Umfang genutzt. 

SNMPv1

Dies ist die erste Version des Protokolls, die immer noch häufig verwendet wird, hauptsächlich aufgrund des einfachen Authentifizierungsprozesses, auch wenn dieser nicht besonders sicher ist.

Diese erste Version wurde entwickelt, als die Priorität darin bestand, das schnelle Wachstum von Netzwerkgeräten zu überwachen, sodass Sicherheitsaspekte nicht ausreichend berücksichtigt wurden. In diesem Sinne erfolgt die Authentifizierung von Geräten beispielsweise nur durch eine im Klartext übertragene Oktettfolge.

SNMPv2

Es umfasst Verbesserungen in den Bereichen Leistung, Sicherheit, Vertraulichkeit und Kommunikation zwischen Managementstationen. Es führt neue Nachrichtentypen für die Geräteverwaltung ein.

Mit mehreren Klassen (Typen) wurde die zweite Version von SNMP aufgrund ihrer Komplexität und schlechten Kompatibilität mit der vorherigen Version des Protokolls zunächst nicht akzeptiert. Das neueste Update sorgte jedoch für Kompatibilität, vereinfachte die Verwendung und verbesserte die Sicherheit, sodass es heute die am weitesten verbreitete Version ist.

SNMPv3

Es bietet wichtige Sicherheitsfunktionen und Remote-Konfiguration und ist damit sowohl hinsichtlich der enthaltenen Sicherheitsmaßnahmen als auch hinsichtlich der Leistung die beste Option. Es verfügt außerdem über Integritäts- und Verschlüsselungsprüfungen während der Authentifizierung.

Leider wurde es in den meisten Organisationen nicht in großem Umfang implementiert, obwohl die Verwendung dieser Version empfohlen wird.

Im Allgemeinen bietet SNMP seinen größten Wert, indem es die Überwachung aller Geräte in einem Netzwerk erleichtert, die Verfolgung von Problemen, rechtzeitige Entscheidungen und bei Bedarf die Kontrolle ermöglicht. Dabei ist die Gerätezugriffssicherheit ein Aspekt, der bei Bedarf bei der Verwendung des Protokolls berücksichtigt werden muss.