SNMP: Protokoll, MIB, OID und Traps

SNMP – Simple Network Management Protocol – ist das älteste und immer noch das am weitesten verbreitete Protokoll, um Netzwerk- und Systemgeräte zu überwachen. Praktisch jeder Switch, Router, Drucker und USV-Controller spricht SNMP. Wenn dein Monitoring weiß, dass auf Switch3, Port 12 die Sendeleistung seit zwei Stunden um 30 % über dem Schnitt liegt, dann hat es das wahrscheinlich per SNMP erfahren. In dieser Lektion klärst du die vier Begriffe, die in jeder IHK-Aufgabe zu SNMP vorkommen: Manager (das Monitoring), Agent (Software auf dem Gerät), MIB (das Wörterbuch, das beschreibt was überhaupt abgefragt werden kann) und OID (die eindeutige Adresse einer einzelnen Messgröße in dieser Hierarchie). Außerdem: die drei Versionen v1/v2c/v3, die fünf Operationen GET/GETNEXT/SET/RESPONSE/TRAP und der Unterschied zwischen Polling und Traps.

1) Manager, Agent, MIB, OID

SNMP funktioniert nach einem strikten Client-Server-Schema, hier Manager und Agent genannt. Der Manager ist dein Monitoring-Server (Nagios, Zabbix, PRTG); der Agent ist eine kleine Software auf jedem überwachten Gerät, die Anfragen entgegennimmt und beantwortet. Was sie überhaupt austauschen können, definiert die MIB (Management Information Base) – ein hierarchischer Katalog aller verfügbaren Messgrößen. Jede einzelne Größe darin hat eine weltweit eindeutige Adresse, die OID (Object Identifier). Klick im Baum auf einen Knoten, um zu sehen, was hinter der jeweiligen OID steckt:

MIB-Baum & OID-Adressierung

. (root).1 └─ iso.1 └─ org.1.3 └─ dod.1.3.6 └─ internet.1.3.6.1 └─ mgmt.1.3.6.1.2 └─ mib-2.1.3.6.1.2.1 ├─ system.1 │ └─ sysUpTime.3.0 ├─ interfaces.2 │ └─ ifOperStatus.2.2.1.8 │ └─ ifInOctets.2.2.1.10 └─ ip.4

Die ersten Knoten (1.3.6.1) sind weltweit standardisiert; was darunter kommt, wird in MIB-Dateien beschrieben. Hersteller-spezifische MIBs hängen unter 1.3.6.1.4.1.<Hersteller-PEN> (Private Enterprise Number) – z. B. Cisco unter 1.3.6.1.4.1.9, HP unter .11. Mehr zu hierarchischen Namensräumen siehst du beim DNS-Baum – beide folgen dem gleichen Prinzip.

2) Die fünf Operationen – GET, GETNEXT, SET, RESPONSE, TRAP

SNMP definiert ein knappes Set an Nachrichten-Typen. Du musst sie für die Prüfung benennen können – und vor allem den Unterschied zwischen Polling (Manager fragt aktiv) und Trap (Agent meldet von sich aus) verstehen:

SNMP-Operationen – live durchgehen

GETEine bestimmte OID abfragen

GETNEXTNächste OID im Baum abfragen (für Walks)

SETWert auf dem Agenten ändern (selten benutzt)

TRAPAgent meldet Ereignis ohne Anfrage

Im Alltag wirst du fast nur GET und TRAP sehen. GETNEXT ist die Basis von snmpwalk – das geht den Baum sequenziell durch. SET wird selten genutzt, weil zu gefährlich (jemand könnte Switch-Ports per SNMP herunterfahren) – meistens schreibgeschützt konfiguriert oder ganz abgeschaltet.

3) Polling vs. Trap – wann was?

Das Monitoring sollte beides nutzen. Beide haben klare Stärken und Schwächen:

Methode	Vorteil	Nachteil
Polling (GET im Takt)	Du bekommst regelmäßig Daten, baust Trends auf, siehst Zustände über Zeit.	Zwischen zwei Polls (z. B. 5 Min.) sieht das Monitoring keine Ereignisse. Skalierungs-Problem bei tausenden Geräten.
Trap (Agent meldet)	Sofortige Benachrichtigung bei wichtigen Ereignissen (Port down, Lüfter-Ausfall, Stromausfall der USV).	Wenn der Agent ausfällt, kommt nichts – das Monitoring weiß nicht, dass es nichts weiß. „Fire and forget" über UDP.

Beste Praxis: regelmäßig pollen für Trends und Heartbeat („wenn der Agent nicht antwortet, ist das Gerät down"), Traps für sofortige Meldungen bei kritischen Hardware-Events. Mehr zur sinnvollen Alarm-Auslösung in Schwellenwerte & Alerting.

4) Die drei Versionen – v1, v2c, v3

SNMP ist Anfang der 1990er entstanden und hat sich in drei Schritten weiterentwickelt. In der Prüfung wirst du nach den Unterschieden gefragt – vor allem nach der Sicherheit:

1988

SNMPv1

Erste Version. Authentifizierung über Klartext-Community String („public" für lesen, „private" für schreiben).

unsicher

1993

SNMPv2c

Mehr Effizienz, GETBULK-Operation, 64-Bit-Counter. „c" = community-basiert, Sicherheit weiter Klartext.

veraltet, weit verbreitet

2002

SNMPv3

Echte Authentifizierung (MD5/SHA) und Verschlüsselung (DES/AES). User-basiertes Sicherheitsmodell (USM).

heutiger Standard

In der Praxis findest du Mischbetrieb: alte Drucker und billige Switches sprechen oft nur v1/v2c, neue Geräte können v3. Wo möglich, immer v3 verwenden – v1/v2c-Community-Strings gehen im Klartext über das Netz und lassen sich mit Wireshark trivial mitlesen. Mehr zur Bedeutung verschlüsselter Übertragung in CIA-Triad (V = Vertraulichkeit).

5) Klassische Probleme mit SNMP

SNMP läuft auf UDP, Port 161 (Anfragen) und 162 (Traps). Das ist nicht zufällig, aber bringt typische Stolperfallen:

UDP = unzuverlässig. Pakete können verloren gehen, ohne dass jemand es merkt. Besonders Traps – wenn der einzige Trap mit „Stromausfall" auf dem Weg verloren geht, weiß niemand was. Lösung: redundante Trap-Empfänger, oder INFORM (Trap mit Bestätigung, ab v2c).
Klartext bei v1/v2c. Wer den Switch mit „public" abfragen kann, sieht alle Topology-Informationen – Goldgrube für Angreifer. Lösung: v3 oder ACLs auf den Geräten („nur Anfragen vom Monitoring-Server").
Performance-Risiken. Ein zu kurzes Poll-Intervall (alle 5 Sekunden alle 200 Switches) erzeugt erheblichen Overhead. Faustregel: 1–5 Minuten pro Standard-Metrik, häufiger nur wo nötig.
Counter-Wraps. Interface-Zähler (ifInOctets) sind 32-Bit – ein 1-Gbit/s-Port überläuft alle ~34 Sekunden. Lösung: 64-Bit-Counter aus SNMPv2c (ifHCInOctets) verwenden.

6) Was du in der Konfiguration siehst

Wenn du auf einem Switch SNMP einrichtest, bekommst du in der Cisco-IOS-Welt z. B. so etwas zu sehen (vereinfacht):

snmp-server community monitoring_ro RO  # Read-only Community
snmp-server host 10.0.0.5 version 2c monitoring_ro
snmp-server enable traps  # Traps an den Monitor schicken
access-list 10 permit 10.0.0.5  # Nur Monitor darf abfragen

Bei SNMPv3 sähe das anders aus – mit User, Auth-Passwort, Privacy-Passwort, AuthLevel (noAuthNoPriv / authNoPriv / authPriv). Konkrete Konfiguration ist Sache der Hersteller-Doku; für die Prüfung reicht, den Aufbau zu kennen.

Zusammenfassung

SNMP ist das Standardprotokoll zum Abfragen und Empfangen von Status- und Messdaten aus Netzwerkgeräten. Ein Manager spricht mit einem Agenten auf dem Gerät; was abfragbar ist, definiert die MIB als hierarchischer Baum, jede Größe hat eine eindeutige OID. Operationen: GET (eine OID lesen), GETNEXT (Walk), SET (schreiben, selten), TRAP (Agent meldet von selbst), INFORM (Trap mit ACK). Polling für Trends, Traps für sofortige Ereignis-Meldungen. Drei Versionen: v1 und v2c mit Klartext-Community (unsicher), v3 mit Authentifizierung und Verschlüsselung (heutiger Standard). Läuft über UDP 161/162 – Paketverlust und Skalierung sind die typischen Stolperfallen.

Verwandte Lektionen: Monitoring-Konzept · SNMP-Grundlagen (K18) · Nagios & Icinga · und mehrWeitere relevante LektionenZabbix Syslog Schwellenwerte & Alerting CIA-Triad Wireshark SSH TCP vs. UDP