SNMP (Simple Network Management Protocol)

SNMP (Simple Network Management Protocol)

┬ę Copyright Shutterstock / Profit_Image

Was bedeutet SNMP (Simple Network Management Protocol)?

Das SNMP (Simple Network Management Protocol) ist ein Protokoll, welches von der IETF (Internet Engineering Task Force) entwickelt wurde. Es dient der Steuerung, ├ťberwachung und Konfiguration von Netzwerkelementen. Unter diese Kategorie fallen Ger├Ąte wie Router, Switches, Computer, Server, Drucker und auch Firewalls.

Das grundlegende Konzept bzw. die urspr├╝ngliche Idee hinter dem SNMP (Simple Network Management Protocol) ist der Informationsaustausch zwischen einem zentralen Manager und seinen Agenten. Der Austausch erfolgt ├╝ber sogenannte Netzwerkpakete. Die Daten sind dabei unterschiedlicher Natur. Dies k├Ânnen statistische Daten, Statusdaten, sowie Konfigurations- und Steuerungsdaten sein. Der Aufbau der Daten und den genauen Ablauf der Kommunikation wird durch das SNMP bestimmt. Aktuelle existieren mehrere SNMP-Versionen. Die neuesten Versionen unterst├╝tzen dabei auch Sicherheitsmechanismen wie Verschl├╝sselungen.

Die Management Information Base (MIB) im SNMP

Die MIB ├╝bernimmt eine zentrale Aufgabe bei der Steuerung und ├ťberwachung der Netzwerkelemente durch das SNMP, denn ├╝ber sie l├Ąuft die Bereitstellung von Informationen der Objekte. Man kann die MIB als eine Art Datenbank betrachten. In dieser werden die Daten in einer baumartigen Objektstruktur abgelegt. In der vorhandenen Struktur bildet das MIB die Datenbasis, welche in einem Netzwerkelement vorhanden ist. Diese kann dann durch das SNMP abgefragt werden. F├╝r die Standardversion des MIB existieren zahlreiche Erweiterungen, sowie herstellerspezifische Objekte.

Die Kommunikation zwischen Manager und Agenten im SNMP

Beim Simple Network Management Protocol kommunizieren die sich auf jedem Endger├Ąt befindlichen Agenten mit einem oder gar mehreren zentral eingerichteten Managern. Bei den beschriebenen Agenten handelt es sich in den meisten F├Ąllen um eine Software, welche direkt auf den Komponenten l├Ąuft, die ├╝berwacht werden sollen. Die Software ist in der Lage den Status und die Konfiguration eines Komponenten zu erfassen. Sie kann Aktionen ausf├╝hren und Einstellungen vornehmen.

Der Manager ist ebenfalls eine Software, die sich auf einem daf├╝r vorgesehen Rechner befindet. Dieser soll dann mit den Agenten kommunizieren, sowie Meldungen entgegennehmen. Der typische Ablauf einer solchen Kommunikation sieht in der Regel wie folgt aus: der Manager sendet einen Request an einen Agenten, der diesen dann bearbeitet und ein Response-Paket als Antwort zur├╝ckschickt. Es ist jedoch auf m├Âglich, dass ein Agent unaufgefordert Informationen an den Manager versendet.

Dies geschieht ├╝ber die sogenannten “TRAPS”. Diese werden dann vom Agenten versendet, wenn ein unvorhergesehenes oder kritisches Ereignis eingetreten ist, wie zum Beispiel eine Fehlfunktion im System. Eine TRAP kann aber nicht nur f├╝r die Meldung einer Fehlfunktion vom Agenten genutzt werden. Ebenso ist es m├Âglich, dass eine TRAP auf eine Request des Managers gesendet wird, n├Ąmlich immer dann, wenn der Agent die Request nicht bearbeiten oder durchf├╝hren kann.

Die verschiedenen Arten von Nachrichten des SNMP

Um vielf├Ąltige Aufgaben zu erf├╝llen stehen dem SNMP standardm├Ą├čig verschiedenen Pakettypen zur Verf├╝gung. Diese ergeben sich wie folgt:

Dient zum Anfordern von Informationen
Dient zur weiteren Anforderung von Daten der MIB
Dient dem Abruf von mehreren Datens├Ątzen zur selben Zeit
Dient der Ver├Ąnderung von Daten und Konfigurationsinformationen eines Elements
Dient als Antwort auf eine Anfrage oder auf einen TRAP, der durch einen Agenten versendet wurde

GET-Pakete sendet ein Manager an den jeweiligen Agenten. Response Pakete stellen eine Antwort oder eine Best├Ątigung auf die Anfrage dar und beinhalten die angefragten Informationen. Die TRAP-Pakete, die vom Agenten ausgehen, werden vom Manager nicht best├Ątigt. Das hei├čt der Agent kann nicht feststellen, ob diese tats├Ąchlich Ihr Ziel erreicht haben.

Wie ist ein Paket im SNMP aufgebaut?

Bis auf die TRAPs sind die anderen Pakete gr├Â├čtenteils identisch aufgebaut. Bei der Version v1 des SNMP sind keinerlei Informationen ├╝ber die Gr├Â├če eines verschickten Pakets enthalten. Die Informationen ├╝ber die genutzte Version k├Ânnen Sie im Header finden. Dort befindet sich auch der Name der Community. Auf die einzelnen Versionen des SNMP wird im n├Ąchsten Absatz genauer eingegangen. Vorher ist noch zu erw├Ąhnen, dass innerhalb einer Community die Zugriffsrechte f├╝r die Objekte zugewiesen werden.

Hier wird oft die Community “public” verwendet, um den Zugriff f├╝r das reine Lesen von Informationen zu gew├Ąhren. Sollen ebenfalls Schreib- und Lesezugriffe eingerichtet werden, so kann das durch die Community “private” geschehen. Diese Bezeichnungen sind jedoch in den meisten F├Ąllen standardisiert. Zur Wahrung der Sicherheit empfiehlt es sich, diese Community-Namen in eigenen Namen zu ├Ąndern.

Die unterschiedlichen Versionen des SNMP

Die erste Version des SNMP entstand bereits im Jahr 1988. Diese standen damals jedoch vor einem schwerwiegendem Problem: Es gab entweder gar keine oder nur eine mangelhafte Implementierung von Sicherheitsmechanismen. Die unzureichende Sicherheit macht es m├Âglich, die Kommunikation zwischen dem Manager und einem Agenten einzusehen. Sogar Passw├Ârter konnten auf diese Art ohne gr├Â├čeren Aufwand ermittelt werden, da diese ohne Verschl├╝sselung ├╝bertragen wurden.

Aus SNMPv1 entstand dann zu einem sp├Ąteren Zeitpunkt der Nachfolger SNMPv2, welches in verschiedenen Varianten existiert. Das SNMPv2 bringt jedoch hinsichtlich der Sicherheit kaum nennenswerte Vorteile. Neuerungen in der Version 2 war die Einf├╝hrung des Befehls GETBULK f├╝r die Abfrage mehrere Informationen gleichzeitig. Zus├Ątzlich unterst├╝tzt SNMPv2 neben den altbekannten Protokollen IP, ECP und UDP nun auch weitere Protokolle wie IPX und Appletalk.

Mit der Entwicklung des SNMPv3 wurden dann im Jahr 2002 die lang erwarteten Sicherheitsfunktionen implementiert. So gibt es jetzt die M├Âglichkeit auf eine Username- und Passwortverschl├╝sselung, sowie die Verschl├╝sselung von ├ťbertragungen. Auch der Umfang der Konfigurationsm├Âglichkeiten wurde deutlich erh├Âht. Einzig und allein die Verwendung von Community-Strings (wie oben bereits erw├Ąhnt) ist im SNMPv3 nicht mehr m├Âglich. SNMPv3 setzt auf Benutzernamen und Kennw├Ârter.


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte