SNMPv3 einrichten: Monitoring sicher ohne Klartext-Community

SNMP ist im Netzwerkbetrieb unverzichtbar: Monitoring-Systeme lesen Zähler, Interface-Status, CPU/Memory und senden Alarme bei Störungen. SNMPv1/v2c arbeiten jedoch mit Klartext-„Community Strings“ und sind damit in modernen Netzen sicherheitstechnisch problematisch. SNMPv3 löst das mit Authentifizierung und optionaler Verschlüsselung (AuthPriv). Damit kannst du Monitoring sicher betreiben, ohne Klartext-Communities zu verteilen. Diese Anleitung zeigt eine praxistaugliche SNMPv3-Konfiguration auf Cisco Switches inklusive ACL-Härtung und Verifikation.

SNMPv3 Grundlagen: AuthNoPriv vs. AuthPriv

SNMPv3 nutzt Benutzer statt Community Strings. Je nach Sicherheitsstufe wird nur authentifiziert oder zusätzlich verschlüsselt. Für produktive Netze ist AuthPriv der Standard.

• noAuthNoPriv: keine Auth, keine Verschlüsselung (nicht empfohlen)
• authNoPriv: Authentifizierung, keine Verschlüsselung
• authPriv: Authentifizierung + Verschlüsselung (empfohlen)

Praxisempfehlung

Nutze authPriv (z. B. SHA + AES). Damit sind SNMP-Credentials und Nutzdaten nicht im Klartext sichtbar.

Voraussetzungen: Was du vor der Einrichtung festlegen musst

Bevor du konfigurierst, kläre, welche Monitoring-Server zugreifen dürfen, welche SNMP-Views benötigt werden und ob Traps an ein zentrales System gesendet werden sollen.

• IP(s) der Monitoring-/NMS-Server (z. B. Zabbix, PRTG, LibreNMS)
• Read-only Monitoring vs. Schreibzugriffe (in der Praxis meist nur Read)
• Auth-/Priv-Algorithmen (SHA/AES bevorzugt)
• Management-VLAN/Source-Interface für saubere Pfade

Management-Connectivity prüfen

show ip interface brief
ping <NMS-IP>

Schritt 1: SNMPv2c deaktivieren oder strikt begrenzen

Wenn dein Switch bereits SNMPv2c nutzt, solltest du es entfernen oder zumindest per ACL auf definierte NMS-IPs begrenzen. Ziel ist: keine offenen Klartext-Communities im Netz.

Communities prüfen

show running-config | include snmp-server community

Beispiel: Communities entfernen (falls vorhanden)

configure terminal
no snmp-server community public
no snmp-server community private
end

Schritt 2: SNMPv3 User, Group und View anlegen

In SNMPv3 wird der Zugriff über Groups (Security Model) und optional Views (MIB-Ausschnitt) gesteuert. Für viele Umgebungen reicht eine Read-only View, die „alles“ lesen darf. In strengeren Umgebungen begrenzt du auf benötigte OIDs.

SNMP View (optional, „alles“ lesen)

enable
configure terminal
snmp-server view MONITORING iso included
end

SNMPv3 Group mit AuthPriv (Read-only)

configure terminal
snmp-server group NMS-GRP v3 priv read MONITORING
end

SNMPv3 User mit SHA + AES (AuthPriv)

configure terminal
snmp-server user nmsuser NMS-GRP v3 auth sha <AUTH_PASS> priv aes 128 <PRIV_PASS>
end

Warum Read-only meistens genügt

Monitoring soll lesen und alarmieren, nicht konfigurieren. Write-Zugriff erhöht Risiko und wird in modernen Netzen meist über APIs/Automation gelöst, nicht über SNMP-Set.

Schritt 3: Zugriff per ACL auf Monitoring-Server begrenzen

SNMPv3 ist sicherer, aber Zugriff sollte trotzdem nur aus dem Monitoring-Netz erlaubt sein. Das verhindert unnötige Angriffsfläche und reduziert Log-Rauschen.

ACL für SNMP-Quellen (Beispiel)

configure terminal
ip access-list standard ACL-SNMP-NMS
 permit 10.1.99.70
 permit 10.1.99.71
 deny any
exit
snmp-server group NMS-GRP v3 priv read MONITORING access ACL-SNMP-NMS

end

Hinweis zur Praxis

Wenn du mehrere NMS-Server oder Poller hast, pflege die ACL bewusst. Für große Umgebungen ist ein dediziertes Monitoring-Subnetz sinnvoll.

Schritt 4: Traps sicher senden (optional, aber empfohlen)

Polling ist nicht genug: Traps informieren dein Monitoring-System bei Events (Link Down, Auth-Failures). Bei SNMPv3 kannst du Traps ebenfalls sicher mit AuthPriv senden.

Traps aktivieren und Empfänger setzen

configure terminal
snmp-server enable traps
snmp-server host 10.1.99.70 version 3 priv nmsuser
snmp-server host 10.1.99.71 version 3 priv nmsuser
end

Source-Interface für Traps definieren

configure terminal
snmp-server trap-source vlan 99
snmp-server source-interface informs vlan 99
end

Schritt 5: Sinnvolle Systemdaten setzen (Kontakt, Location)

Diese Felder helfen im Betrieb enorm, weil Alarme sofort zugeordnet werden können. Das ist kein Security-Feature, aber ein Monitoring-Best-Practice.

configure terminal
snmp-server location DC1-Rack12-U18
snmp-server contact noc@corp.local
end

Verifikation: Prüfen, ob SNMPv3 korrekt arbeitet

Nach der Konfiguration verifizierst du, dass Groups/Users aktiv sind, die ACL greift und Traps korrekt konfiguriert sind. Zusätzlich sollten keine v2c Communities mehr aktiv sein.

show running-config | include snmp-server
show snmp group
show snmp user
show access-lists ACL-SNMP-NMS

Typische Fehlerbilder

• SNMPv3 Polling geht nicht: ACL blockt NMS-IP oder falscher User/Pass
• Traps kommen nicht an: falsches Source-Interface oder Routing/ACL
• NMS nutzt v2c: Communities entfernt, NMS muss auf v3 umgestellt werden
• AuthPriv/Algorithmen mismatch: NMS erwartet andere Algorithmen (SHA/AES)

Troubleshooting-Playbook: Wenn Monitoring nichts mehr sieht

Arbeite vom Switch zur NMS: Ist die Config korrekt? Greift die ACL? Stimmen User/Algorithmen? Ist das Management-Netz erreichbar? Prüfe dann Traps separat.

show snmp user
show snmp group
show access-lists ACL-SNMP-NMS
ping 10.1.99.70
show logging | include SNMP|AUTH|FAIL

Best Practices: SNMPv3 sicher und betrieblich sauber betreiben

SNMPv3 ist nur dann wirklich „sicherer Standard“, wenn du ihn konsistent einsetzt: AuthPriv, ACLs, saubere Source-Interfaces und das Entfernen alter Communities. So reduzierst du Angriffsfläche und vermeidest Klartext-Credentials.

• AuthPriv (SHA + AES) als Standard
• Read-only Zugriff für Monitoring (Write nur in Ausnahmefällen)
• ACLs auf NMS-IPs/Subnetze, nicht „any“
• SNMPv2c Communities entfernen oder streng begrenzen
• Traps/Informs mit SNMPv3, Source-Interface auf MGMT
• NTP/Syslog aktiv, damit Events korrekt zeitlich korrelieren

copy running-config startup-config

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.