Was ist SNMP?

SNMP arbeitet mit zwei Hauptkomponenten: einem SNMP-Agenten und einem SNMP-Manager. Der Agent besteht aus einer kleinen Applikation, auf dem zu überwachenden Gerät installiert wird, dort lokal Metriken sammelt und diese an einen remoten Standort sendet. Der SNMP-Manager befindet sich auf der Empfängerseite. Damit der Manager die Informationen vom Agenten abrufen kann, verwendet er eine Reihe von Befehlen. Zudem kann der Agent bei Bedarf eigenständig Informationen in Form von SNMP-Traps senden, was eine der bekanntesten Funktionen des SNMP-Protokolls ist. Im Wesentlichen sammelt ein SNMP-Protokoll Metriken und ermöglicht einen strukturierten Austausch dieser Metriken zwischen einem Agenten und einem Manager.

Der Agent und der Manager kommunizieren über eine der Versionen von SNMP. Je nach gewählter Version müssen Sie unterschiedliche Einstellungen vornehmen. Die Konfiguration von SNMP ist jedoch dank seines Alters nicht besonders komplex. SNMP ist also ein Protokoll, dass mithilfe eines Agenten und eines Managers Netzwerkgeräte überwacht und wartet. Das sind allerdings nicht alle seine Funktionen, wie wir gleich sehen werden.

Der SNMP-Agent ist die Software-Komponente, die Abfragen beantwortet, Anfragen ausführt und Traps versendet. Im Wesentlichen haben SNMP-Agenten drei Aufgaben. Zum einen beantworten sie eine SNMP Get-Anfrage des Managers, die Informationen über das verwaltete Gerät abfragt. Die zweite Aufgabe ist ähnlich. Dabei sendet ein SNMP-Manager eine Abfrage zur Verwaltung oder Konfiguration des verwalteten Geräts an einen SNMP-Agenten, der diese Abfrage wiederum an seinen Host weiterleitet.

Die letzte, aber nicht weniger wichtige Aufgabe ist das Trap-Signal, das der Agent an den Manager senden kann, um ihn über einen soeben aufgetretenen Fehler zu informieren. Ein SNMP-Agent ist also nicht nur eine passive Applikation, die nur auf den Manager reagiert, sondern kann bei Bedarf oder nach entsprechender Konfiguration auch aktiv Informationen senden. Man kann einen SNMP-Agenten auch als den Kern des SNMP-Protokolls bezeichen, der Metriken sammelt und Fehler an den SNMP-Manager zurückmeldet.

Der SNMP-Manager befindet sich im Gegensatz zum Agenten am anderen Ende eines SNMP-Setups. In der Regel installiert man SNMP-Manager auf einer NMS (Network Management Station), von der es je nach Anzahl der verwalteten Geräte durchaus mehrere pro Netz geben kann.

Ein SNMP-Manager ist für das Monitoring und die entsprechenden Verarbeitungsaufgaben zuständig. Die benötigten Hardware-Ressourcen sind daher höher als bei einem Agenten. Obwohl Sie SNMP zwar direkt von der Befehlszeile aus verwenden können, ist es heutzutage üblicher, eine Monitoring-Software mit Dashboards und automatischen Abfragen als SNMP-Manager zu implementieren. Während ein SNMP-Agent ein kleines Programm mit relativ starren Funktionen ist, kann ein SNMP-Manager eine komplexe Software sein, die SNMP-Abfragen zwar unterstützt, aber nicht auf diese beschränkt ist.

SNMP wurde in den frühen 1980er Jahren von einer Gruppe entwickelt, die die damaligen Bemühungen als nicht umsetzbar und nicht praktikabel ansahen. Es hat also eine lange Geschichte, die sich bereits über drei Jahrzehnte erstreckt. Im Laufe der Jahre wurden mehrere Versionen des Protokolls veröffentlicht. Die ursprüngliche Version v1 ist heute weitestgehend aus allen modernen Infrastrukturen verschwunden, ausgenommen ein bestimmtes Gerät konnte nicht auf die zweite Version von SNMP, v2, aufgerüstet werden.

Das Hauptproblem an v1 war seine Sicherheit. Diese war in allen praktischen Aspekten von v1 überhaupt nicht vorhanden, sondern wurde den Kanälen überlassen, über die die SNMP-Nachrichten gesendet wurden.

SNMP v2, und insbesondere seine etwas sicherere Variante v2c, ist bis heute bei weitem am weitesten verbreitet. SNMP v2 wurde 1993 veröffentlicht und mit neuen Befehlen und einem parteibasierten Sicherheitssystem ergänzt, das sich jedoch nicht durchsetzen konnte. Stattdessen setzte sich SNMP v2c durch, mit dem man ein einfacheres Community-basiertes Sicherheitssystem und ein 64-Bit-Zähler eingeführt hat (das ursprüngliche SNMP hatte nur 32-Bit).

Parallel zu SNMP v2c wurde v2u als Kompromiss entwickelt, das zwar eine bessere Sicherheit als v1 bot, aber weniger komplex als v2 war. Obwohl es keine weite Verbreitung fand, war es eine wichtige Inspiration für v3.

SNMP v2 und alle seine Varianten sind nicht mit v1 kompatibel, da die Nachrichten einen anderen Header und andere Protokolldatenformate verwenden.

In den frühen 2000er Jahren erschien dann v3, mit Unterstützung für Kryptografie und vielen verschiedenen Konzepten, Konventionen und Terminologien. Am Kernprotokoll hat sich jedoch nicht viel geändert, und viele Hersteller zogen es vor, bei den besser getesteten und weniger rechenintensiven Versionen 2 und 2c zu bleiben.

Um das SNMP-Monitoring einzurichten, ist normalerweise nur ein geringer Aufwand notwendig. Da auf vielen Geräten bereits ein SNMP-Agent installiert ist, müssen Sie diesen nur noch aktivieren, um mit der Überwachung des Geräts zu beginnen. Um den Agenten zu aktivieren, müssen Sie diesen so konfigurieren, dass er aktive Anfragen, meist SNMP Get- und Set-Befehle, annimmt. In der Regel ist es aber am besten, zuerst im Handbuch des jeweiligen Geräts nachzuschlagen, da die Hersteller unterschiedliche Implementierungen des Protokolls haben.

Sobald die Agenten aktiviert sind, kann Ihre Monitoring-Lösung nun Informationen und Metriken über das Gerät per SNMP abrufen. Häufig wird dies durch einen vollständigen Abruf aller SNMP-Daten auf den verwalteten Geräten erreicht, einem SNMP Walk. Wie und was abgerufen wird, hängt vom Ihnen oder der gewählten Monitoring-Software ab. Checkmk beispielsweise nutzt die Service-Erkennung über SNMP, indem es nur die allerersten Datensätze (OIDs) auf einem Gerät abruft. Auf der Grundlage dieser Informationen werden bei Bedarf weitere Abfragen durchgeführt, ohne erstmal große Datenmengen übertragen zu müssen. Dadurch geht das Erkennen von SNMP-Geräten deutlich schneller und effizienter, was bei großen Infrastrukturen ansonsten schnell viele Stunden dauern kann.

Sobald alle Informationen gefunden und die Agenten aktiv sind, kann das eigentliche Monitoring starten. Die verwalteten Geräte sind bereit, Anfragen zu bestimmten Metriken vom Manager zu bearbeiten. Diese werden von den Agenten gesammelt und dann über das Netzwerk an den Manager gesendet, der sie anschließend analysiert. Gelegentlich kann ein Agent einen Trap an den Manager zurücksenden, aber meistens ist der Manager in der aktiven Position.

OID (Object Identifier) ist ein Identifizierungsmechanismus, der jede Art von Objekt oder Konzept benennt. Dabei handelt es sich um einen internationalen Standard für die Adressierung von Objekten auf eine ganz bestimmte Art und Weise. SNMP hat das Konzept übernommen, aber nicht erfunden.

Eine SNMP-OID ist eine lange Folge von Zahlen, die durch Punkte getrennt sind. Zum Beispiel ist 1.3.6.1.2.2.1.5 eine OID, die ein Objekt in einem hierarchischen logischen Baum eindeutig identifiziert. OIDs sollten von links nach rechts gelesen werden, beginnend mit der Root, die, je nach Arc der folgenden Normen, entweder 0, 1 oder 2 ist:

• 0 steht für ITU-T (einer der drei Sektoren der International Telecommunication Union).
• 1 steht für die ISO (Internationale Organisation für Normung).
• 2 steht für einen gemeinsamen ISO/ITU-T-Arc.

Die Organisationen definieren jeweils die untergeordneten Nodes und können die Zuweisungsbefugnis an andere delegieren.

Im obigen Beispiel steht die 1 für ISO, die 3 für die „identifizierte Organisation“ und die 6 für das amerikanische Verteidigungsministerium. Dies zieht sich bis zur allerletzten Ziffer im Baum, die je nach Kontext eine bestimmte „Sache“ bezeichnet. Dabei handelt es sich häufig um eine Variable, die eine für das überwachte Gerät spezifische Metrik angibt. Das kann beispielsweise die Temperatur eines Prozessors oder die Betriebszeit eines Hosts sein.

Einige Zweige sind allgemeiner Natur, andere gehören zu bestimmten Organisationen oder Unternehmen und spezifizieren deren Produkt. Sie werden von SNMP überwacht und machen die OID damit zu einem wichtigen Bestandteil, um zu wissen, was und wo jedes Gerät ist, das SNMP unterstützt. Jedem Hersteller steht es frei, seine eigenen Zweige zu spezifizieren, abhängig von seinen Geräten und deren Funktionen.

Diese langen Zahlenreihen wären von geringem Nutzen, wenn es nicht möglich wäre, die Bedeutung jeder Zahl abzurufen. Zu diesem Zweck wird ein weiterer Teil der SNMP-Funktionalität verwendet, die MIB (Management Information Base).

Eine MIB in SNMP übersetzt OIDs in eine für Menschen lesbare Form, indem sie Namen, Definitionen und Beschreibungen für die jeweiligen Werte bereitstellt. Da jeder Anbieter eine andere Klassifizierung für seine eigenen OID-Zweige hat, wird eine MIB in Form einer Tabelle dargestellt, die zur Gruppierung von Instanzen eines tabellarischen Objekts verwendet wird.

Jede MIB hat Zeilen, die eine Reihe von Informationen oder Einstellungen für ein Objekt darstellen. Dies kann beispielsweise der Name, der Typ und die aktuelle Temperatur eines Hardware-Sensors sein oder auch die Anzahl der Hardware-Ports, die maximale und aktuelle Geschwindigkeit jedes Ports und die Firmware-Version eines Switches. Je komplexer das Gerät ist, desto mehr Ziffern werden verwendet, um alle seine Funktionen, Metriken und Einstellungen zu indizieren.

Jeder Hersteller pflegt und aktualisiert seine MIBs. Dabei handelt es sich um von Menschen lesbare Wörterbücher, die mit den OIDs des jeweiligen Geräts übereinstimmen. Um zu funktionieren, benötigt das Protokoll nur die OIDs. Die MIBs informieren die Netzwerk-Admins darüber, was bei jeder OID zu finden ist.

SNMP Get ist der einfachste Vorgang beim SNMP-Monitoring. Der SNMP-Manager verwendet den Get-Befehl, um Informationen vom Agenten abzurufen. Dabei gibt er die OID an, von der die Informationen abgerufen werden sollen. Bei jedem SNMP Get-Befehl wird eine OID bezogen, wobei bei jedem Durchlauf immer nur eine einzelne Metrik abgerufen wird.

Basierend auf der verwendeten SNMP-Version ist in der Regel auch ein Community-String erforderlich, um sich dem Agenten gegenüber zu authentifizieren. Außerdem ist die Adresse der Zielgeräte notwendig. Der Agent sorgt dafür, dass die richtigen Daten unter der gewünschten OID abgerufen werden.

Was passiert, wenn Sie eine große Anzahl von Metriken über SNMP abrufen wollen, ohne dabei jede einzeln angeben zu müssen? Genau dafür ist die Applikation SNMP Walk zuständig. Sie verwendet den SNMP-Befehl GetNext, um einen ganzen Zweig ab einer bestimmten OID abwärts abzurufen. Alle Variablen in diesem Zweig unterhalb der angegebenen OID werden abgefragt und an den SNMP-Manager zurückgegeben.

Wenn SNMP Walk keine OID, sondern nur die Adresse eines Geräts angibt, fragt er alle zu diesem Gerät gehörenden Variablen ab. Durch die großen Datenmengen, die dabei übermittelt werden, kann sich der Prozess jedoch stark verlangsamen.

Beim SNMP-Monitoring ist dies eine der nützlichsten Methoden, um die Gesundheit eines Geräts oder eines Teils Ihres Netzwerks zu überprüfen. SNMP Walk ist eine einfache und leicht zu automatisierende Methode, um einen guten Überblick über ein oder mehrere verwaltete Geräte zu erhalten.

SNMP-Agenten kommunizieren mithilfe von SNMP-Traps mit dem Manager, ohne dass dieser zuvor eine Abfrage sendet. Dementsprechend kann ein Agent einen Manager mit SNMP-Traps sofort über wichtige Ereignisse informieren.

Der Agent kann sowohl allgemeine als auch herstellerspezifische Arten von Traps senden. Die allgemeinen Traps dienen dazu, übliche Ereignisse zu melden, beispielsweise dass eine Verbindung unterbrochen oder wiederhergestellt wurde, dass das Gerät neu initialisiert wurde oder dass die Authentifizierung fehlgeschlagen ist. Herstellerspezifische Traps können mehrere verschiedene Traps speziell für Enterprise-Umgebungen umfassen.

Der Manager reagiert auf jede Art von Trap mit den Maßnahmen, die der implementierten Netzwerk-Monitoring-Software entsprechen. Da SNMP-Traps einem Echtzeit-Benachrichtigungssystem innerhalb des Protokolls am nächsten kommen, sind sie für das Alerting beim Netzwerk-Monitoring von großem Nutzen.

SNMP-Community-Strings funktionieren wie Passwörter zur Authentifizierung zwischen SNMP-Agenten und -Managern. Ein Community-String ist eine alphanumerische Zeichenfolge, die früher standardmäßig "public" lautete. Heutzutage ist das allerdings nicht mehr üblich. Bei SNMP v1 und v2c wird die Zeichenfolge als Plain Text über das Netzwerk gesendet. Stimmt sie überein, erhält der Manager Zugriff auf den Agenten.

Um Spoofing zu verhindern, hat man mit SNMP v3 die Verschlüsselung von Community-Strings eingeführt. Die Verschlüsselung muss allerdings vorkonfiguriert werden. Außerdem kann sie das Monitoring verlangsamen, da sie besonders den Agenten, aber auch den Manager stärker belastet. Vor dem Umstieg auf v3 sollte man daher abwägen, ob die Leistungsfähigkeit der zugrundeliegenden Hardware ausreicht. 

Unabhängig von der verwendeten SNMP-Protokollversion wird dringend empfohlen, den Standard-Community-String zu ändern, da er Angreifern wohlbekannt ist. Generell ist SNMP nicht sehr sicher und wenn der Netzwerkbereich nicht gerade von der Außenwelt abgeschottet ist, bietet die Verwendung eines benutzerdefinierten Community-Strings und die Aktivierung der Verschlüsselung nur eine halbwegs sichere Umgebung für das Monitoring.

Das SNMP-Monitoring ist eine Kombination aus Agenten und einem oder mehreren Managern, die Daten von den Agenten empfangen, sammeln und analysieren. Mit diesen Daten können Sie Informationen über den Status der Geräte im Netzwerk erhalten, was SNMP somit ideal für das IT-Monitoring macht. Die Monitoring-Lösung fungiert dabei als zentraler Prozessor, der gezielt Daten von den SNMP-Agenten auf den zu überwachenden Geräten abruft oder als Empfänger von Ereignismeldungen dient.

Der wichtigste Punkt, der für den Einsatz von SNMP spricht, ist seine Fähigkeit, viele Informationen von vielen Geräten in Ihrem Netzwerk ganz einfach abzurufen. Die große Akzeptanz in der Industrie macht die Implementierung einer SNMP-Monitoring-Lösung zu einer leichten Wahl. Viele Netzwerk-Monitoring-Systeme, wie Checkmk, nutzen SNMP zum Sammeln von Informationen. SNMP ist in den meisten Netzwerken bereits vorhanden, sodass Sie oft nur die Agenten aktivieren müssen.

SNMP bietet aber noch weitere Vorteile im Vergleich zu anderen Netzwerk-Monitoring-Protokollen. Demnach ist es in der Lage, Metriken über Ihre Kühlungs-, Spannungs- oder Temperatursensoren abzurufen. Diese Metriken sind in anderen Protokollen in der Regel nicht verfügbar und erfordern einen speziellen Agenten. Und selbst mit einem speziellen Agenten ist es nicht immer so einfach wie mit SNMP, diese Arten von Metriken abzurufen.

Um über SNMP Informationen zu erhalten, benötigen Sie keine hochrangigen Zugriffsrechte auf dem Gerät. Ein gemeinsamer Community-String reicht aus, um den Datenaustausch zwischen den Agenten und Managern zu starten. Dadurch ist es einfacher, das Monitoring über SNMP einzurichten, als bei anderen Lösungen.