5
Ist SNMP READ community ändern sinnvoll? Wenn ja - wie?
Hallo,
macht das Ändern der READ community (SNMP v1/2) aus Sicherheitsgründen denn überhaupt Sinn? Praktisch gesehen?
Der communitystring wird ja unverschlüsselt übertragen. Ein Angreifer kann natürlich dich das Paketschnüffeln sparen, wenn der mit "public" einen Treffer landet …
Dann wäre die nächste frage: wie Komplex macht man das? Habt ihr Tipps?
(und - das v3 sicherer wäre, weiss ich).
Grüße
lcer
macht das Ändern der READ community (SNMP v1/2) aus Sicherheitsgründen denn überhaupt Sinn? Praktisch gesehen?
Der communitystring wird ja unverschlüsselt übertragen. Ein Angreifer kann natürlich dich das Paketschnüffeln sparen, wenn der mit "public" einen Treffer landet …
Dann wäre die nächste frage: wie Komplex macht man das? Habt ihr Tipps?
(und - das v3 sicherer wäre, weiss ich).
Grüße
lcer
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 485846
Url: https://administrator.de/contentid/485846
Printed on: April 19, 2024 at 03:04 o'clock
5 Comments
Latest comment
Hi
grundsätzlich: v1 & 2 abstellen und v3 nehmen. Bei 1&2 wird alles unverschlüsselt übertragen. V3 braucht eine ordentliche Authentifizierung und überträgt verschlüsselt.
Aber: SNMP sollte eh nur im Management Netz aktiv sein. Und in diesem befinden sich ja nur vertrauenswürdige Geräte ... oder?
grundsätzlich: v1 & 2 abstellen und v3 nehmen. Bei 1&2 wird alles unverschlüsselt übertragen. V3 braucht eine ordentliche Authentifizierung und überträgt verschlüsselt.
Aber: SNMP sollte eh nur im Management Netz aktiv sein. Und in diesem befinden sich ja nur vertrauenswürdige Geräte ... oder?
Hallo,
Spass beiseite - ja, es geht ums Managementnetz. Wir nutzen PRTG, da werden allerdings Performancebeschränkungen bei v3 beschrieben. Deshalb habe ich die meisten Geräte noch bei v2 belassen.
Grüße
lcer
Zitat von @SeaStorm:
grundsätzlich: v1 & 2 abstellen und v3 nehmen. Bei 1&2 wird alles unverschlüsselt übertragen. V3 braucht eine ordentliche Authentifizierung und überträgt verschlüsselt.
Aber: SNMP sollte eh nur im Management Netz aktiv sein. Und in diesem befinden sich ja nur vertrauenswürdige Geräte ... oder?
nee, damit wir die Geräte von zu hause aus überwachen können benutzen wir Portweiterleitungen grundsätzlich: v1 & 2 abstellen und v3 nehmen. Bei 1&2 wird alles unverschlüsselt übertragen. V3 braucht eine ordentliche Authentifizierung und überträgt verschlüsselt.
Aber: SNMP sollte eh nur im Management Netz aktiv sein. Und in diesem befinden sich ja nur vertrauenswürdige Geräte ... oder?
Spass beiseite - ja, es geht ums Managementnetz. Wir nutzen PRTG, da werden allerdings Performancebeschränkungen bei v3 beschrieben. Deshalb habe ich die meisten Geräte noch bei v2 belassen.
Grüße
lcer
wie groß ist das Netz denn???
https://www.paessler.com/manuals/prtg/snmp_monitoring#limitations
Ich habe hier zwar Zabbix, habe dort allerdings auf einer VM mit 4 vCores (@2.1GHz) knapp 60.000 "Sensoren", hier Items genannt, am laufen. Wenn SNMP, dann v3. Keinen schimmer wie viele Abfragen da im schnitt pro Minute laufen, aber meine CPUs langweilen sich.
Ich würd's drauf ankommen lassen und es probieren. Das klingt schon sehr nach dieser altbackenen Panikmache "Uhhh verschlüsselung braucht ja SO viel Power. Das können wir unserem Webserver nicht antun. Nicht auszudenken was das an Last verursacht!". War schon vor 15 Jahren Blödsinn und ist es heute noch mehr.
https://www.paessler.com/manuals/prtg/snmp_monitoring#limitations
This means that, on a common 1.x GHz computer with two cores,
Von wann ist der Artikel? 1GHz common ... is klar.you can run about 5,000 SNMP v3 sensors with a 60-second scanning interval
Also wäre ein 2 Ghz Dualcore ca bei 20.000 sensoren. Pro Minute.Ich habe hier zwar Zabbix, habe dort allerdings auf einer VM mit 4 vCores (@2.1GHz) knapp 60.000 "Sensoren", hier Items genannt, am laufen. Wenn SNMP, dann v3. Keinen schimmer wie viele Abfragen da im schnitt pro Minute laufen, aber meine CPUs langweilen sich.
Ich würd's drauf ankommen lassen und es probieren. Das klingt schon sehr nach dieser altbackenen Panikmache "Uhhh verschlüsselung braucht ja SO viel Power. Das können wir unserem Webserver nicht antun. Nicht auszudenken was das an Last verursacht!". War schon vor 15 Jahren Blödsinn und ist es heute noch mehr.
Das klingt schon sehr nach dieser altbackenen Panikmache "Uhhh verschlüsselung braucht ja SO viel Power.
Richtig ! In der Regel rennt das völlig problemlos. v3 sollte genau aufgrund der oben genannten Punkte mittlerweile eigentlich Standard sein wenn man ein SNMP basiertes Management mit Sicherheits Policies macht.
