Portar

Port 161: SNMP

Övervakning av nätverksenheter. Läser räknare och ibland skriver config, beroende på behörigheter.

Var du ser detta: Du ser detta i skanningar, brandväggsregler, sårbarhetsrapporter och tjänstkonfigurationer. Behandla öppna portar som exponeringspunkter och verifiera att tjänsten är förväntad, härdad och begränsad.

Vad det är

UDP port 161 används av SNMP, vilket gör det möjligt för ledningssystem att fråga nätverksenheter för mätvärden och status. En port är ett transportlagernummer som används tillsammans med en IP-adress och ett protokoll som TCP eller UDP för att dirigera trafik till rätt tjänst på en värd.

En serverprocess binder en socket till en port och lyssnar, medan en klient vanligtvis väljer en tillfällig källport för utgående anslutningar. Kombinationen av käll- och destinations-IP-adresser, käll- och destinationsportar och transportprotokollet identifierar unikt ett flöde så att operativsystemet kan hålla många konversationer åtskilda.

Brandväggar, NAT och skannrar talar om portar eftersom destinationsporten är den stabila mötespunkten som exponerar en tjänst för nätverket. En SNMP-agent lyssnar på UDP 161.

Ett övervakningssystem skickar en begäran från en tillfällig källport till destinationsporten 161 och ber om specifika objektidentifierare, och enheten svarar med värden som gränssnittsräknare, CPU, minne och enhetsidentitetsinformation. Vissa distributioner tillåter också skrivoperationer som ändrar konfigurationen, vilket gör åtkomstkontrollen kritisk.

Äldre SNMP-versioner använder community-strängar och ingen kryptering, så alla som kan nå port 161 och gissa strängen kan räkna upp ditt nätverk eller ännu värre. I praktiken begränsar försvarare 161 till hanteringsnätverk och föredrar SNMPv3 med autentisering och integritet så att trafik och referenser inte exponeras.

Hur det fungerar i stora drag

  1. Ett övervakningssystem skickar en SNMP GET eller GETNEXT till en enhet och frågar efter specifika OID.
  2. Enheten svarar med värden och statuskoder, vanligtvis över UDP.
  3. För konfigurationsändringar kan en SNMP SET användas om åtkomstkontrollen tillåter det.

Konkret exempel

En övervakningsplattform frågar en switch varje minut på UDP 161 och läser gränssnittsräknare. Om communitysträngen läcker kan en angripare räkna upp hela enheten och ibland ändra inställningar.

Varför det är viktigt

SNMP finns överallt i nätverksdrift. Säkerhetsmässigt använder äldre SNMP-versioner svaga community-strängar och saknar kryptering. Exponerad SNMP kan läcka nätverkstopologi och enhetsinformation, och skrivåtkomst kan vara katastrofal.

Säkerhetsperspektiv

  • Föredrar SNMPv3 med autentisering och sekretess aktiverat.
  • Begränsa UDP 161 till hanteringsnätverk och en liten uppsättning övervakningsvärdar.
  • Granska community-strängar och inaktivera skrivåtkomst om det inte krävs och kontrolleras.

Vanliga fallgropar

  • Använder SNMPv1 eller v2c med standardgemenskapssträngar som offentliga eller privata.
  • Tillåter SNMP från breda nätverk istället för endast från övervakningsservrar.
  • Att glömma att UDP-baserade protokoll kan förfalskas eller missbrukas för eftertanke om de är felkonfigurerade.