SNMP

Nahezu jedes ernsthafte Netzwerkgerät kann per SNMP Daten zur Verfügung stellen. Das SNMP-Protokoll ist ein Standard und daher gut zur zentralen Überwachung geeignet. Man sollte allerdings ein paar Sicherheitsregeln beachten.

Sicherheit

Bei SNMP Version 1 und Version 2 wird die Authentifizierung des Benutzers im Klartext übertragen. Daher sollte man nach Möglichkeit nur eine sogenannete Read-Only-Community einrichten. Generell kann man nämlich über SNMP auch Werte am Gerät ändern. Das will man auf keinen Fall, solange die Daten potenziell von dritten eingesehen werden können. Man will auch auf keinen Fall den SNMP-Port 161 (udp & tcp) aus dem Internet zugänglich haben. Wenn auch schreibend auf ein SNMP-Gerät zugegriffen werden soll, ist die Verwendung von SNMP Version 3 angeraten, welche neben Verschlüsselung auch endlich eine benutzbare Benutzerauthentifizierung mitbringt.

Linux

Unter Linux nervt es ungemein, daß alle gängigen Distributionen den SNMP-Dienst so eingestellt haben, daß er jeden Zugriff mit syslog protokolliert. Bei eine Monitoringlösung, die jede Minuten Abfragen stellt, wird das Log mit unsinnigen Einträgen geflutet. Man will das bei debian-basierten Distributionen in der /etc/default/snmpd entsprechend anpassen:

#SNMPDOPTS='-Lsd -Lf /dev/null -u snmp -g snmp -I -smux -p /var/run/snmpd.pid'
SNMPDOPTS='-LSed -Lf /dev/null -u snmp -g snmp -p /var/run/snmpd.pid'