Seguridad del Protocolo SNMP
1️. ¿Qué es SNMP y cómo funciona?
SNMP – Simple Network Management Protocol (Protocolo Simple de Administración de Red)
📌 Definición técnica:
SNMP es un protocolo de la capa de aplicación del modelo OSI que permite supervisar, administrar y configurar remotamente dispositivos de red como routers, switches, servidores, firewalls, impresoras, etc.
-
Agente SNMP: software o firmware en el dispositivo gestionado.
-
MIB – Management Information Base (Base de Información de Gestión): base de datos jerárquica que almacena valores monitoreables (interfaces, CPU, tráfico, errores, temperatura, etc.).
-
Monitor SNMP (NMS – Network Management System): programa que centraliza la supervisión de múltiples dispositivos.
⚙️ Cómo opera:
-
El monitor realiza peticiones (GET, SET, WALK) al agente, generalmente usando el puerto UDP 161.
-
El agente, a su vez, puede emitir alertas (traps) automáticamente al NMS cuando ocurre un evento crítico → Puerto UDP 162.
2️. ¿Por qué es importante en la arquitectura de seguridad?
Porque SNMP te da visibilidad completa del estado de la red, en tiempo real.
Y como ya sabes: "lo que no se puede ver, no se puede proteger".
-
Permite detectar fallos antes de que se conviertan en incidentes.
-
Ayuda a correlacionar eventos si se integra con un SIEM.
-
Ofrece datos para baselining (líneas base de comportamiento).
-
Si no se configura correctamente, puede ser una vía de fuga de información o control remoto para atacantes.
🏰 Analogía – El castillo y sus centinelas
Imagina un castillo (tu red). Cada torre (dispositivo) tiene un centinela (agente SNMP) que observa su entorno.
Desde la torre de mando (monitor SNMP), un vigía (administrador de red) pide a cada centinela informes periódicos sobre lo que está ocurriendo:
-
¿Cuánta gente entra y sale (tráfico)?
-
¿Hay fuego (temperatura elevada)?
-
¿Se rompió una puerta (puerto caído)?
Además, si algo grave pasa (como un ataque), el centinela lanza una bengala (trap SNMP) sin esperar a que se lo pregunten.
Eso sí… si el enemigo intercepta las comunicaciones entre el centinela y la torre de mando (tráfico SNMP inseguro), podrá enterarse de todo lo que pasa en tu castillo… o peor, enviar órdenes falsas.
2️. Ejemplos prácticos en redes reales
🧠 Casos de uso:
-
Monitorizar temperatura de CPUs en un CPD.
-
Recibir alertas si un switch pierde conectividad.
-
Medir consumo de ancho de banda por puerto en un router.
-
Detectar si se cae una interfaz WAN.
-
Supervisar logs de eventos de servidores físicos.
📍Ejemplo real:
Una empresa tenía un firewall Fortinet configurado con SNMP v2c y nombre de comunidad public.
Un atacante interno logró escanear el puerto 161, acceder a la MIB, detectar las rutas, interfaces y configuración general del firewall → sin explotar vulnerabilidades, solo con una configuración insegura.
3️. Herramientas y soluciones reales
🧰 Monitor SNMP (NMS):
-
LibreNMS → Open source, muy usado en redes empresariales.
-
Zabbix → Popular para monitoreo centralizado.
-
SolarWinds Network Performance Monitor (NPM) → Solución comercial robusta.
-
Nagios Core → Versátil, también soporta SNMP.
-
PRTG Network Monitor → Ideal para redes medianas, interfaz amigable.
🧰 Agentes SNMP:
-
Vienen incluidos en la mayoría de routers, switches, servidores, firewalls.
-
Configurables vía CLI o interfaz web en la mayoría de equipos.
4️. Visión Estratégica por Equipos
🔴 Red Team – Cómo se explota SNMP inseguro:
-
Escaneo de puerto 161 para encontrar dispositivos SNMP abiertos.
-
Uso de snmpwalk o herramientas similares para leer la MIB.
-
Extracción de configuraciones, passwords, interfaces, nombres de red, rutas, servicios.
-
Si SNMP permite comandos SET, podría alterar configuraciones (grave).
-
Interceptar traps y suplantar alertas.
🔵 Blue Team – Cómo se protege:
-
Usar SNMP v3 → Con cifrado y autenticación por usuario.
-
Desactivar SNMP si no se usa.
-
Configurar ACLs para que solo IPs autorizadas puedan acceder.
-
Cambiar nombres de comunidad por defecto (public, private).
-
Desactivar SET si no se requiere → solo lectura (GET).
-
Monitorizar acceso al puerto 161/162.
🟣 Purple Team – Actividades conjuntas:
-
Simular consultas SNMP y detectar si se loguean.
-
Verificar visibilidad en el SIEM de traps críticos.
-
Comprobar si los agentes responden con o sin autenticación.
-
Automatizar revisiones de configuración con scripts.
-
Hacer hardening colaborativo: del lado del equipo y del lado del NMS.
5️. Resumen
-
SNMP permite administrar remotamente el estado y configuración de dispositivos de red.
-
Usa agentes en los dispositivos y un monitor central.
-
Las versiones anteriores (v1 y v2c) son inseguras → solo SNMP v3 ofrece seguridad real.
-
SNMP mal configurado es un canal abierto de espionaje interno.
-
Todo SNMP debería ir cifrado, autenticado y limitado por red.
6️. Conceptos clave – SNMP (Simple Network Management Protocol)
(SNMP) Simple Network Management Protocol – Protocolo Simple de Administración de Red
— Protocolo estándar para supervisar, administrar y configurar remotamente dispositivos de red mediante agentes y monitores.
(MIB) Management Information Base – Base de Información de Gestión
— Estructura jerárquica de datos que contiene métricas, estados y configuraciones del dispositivo supervisado por SNMP.
(NMS) Network Management System – Sistema de Gestión de Red
— Software que centraliza la comunicación con múltiples agentes SNMP para monitorizar el estado de una red.
(OID) Object Identifier – Identificador de Objeto
— Ruta numérica única que identifica una variable o métrica específica dentro de una MIB.
(ACL) Access Control List – Lista de Control de Acceso
— Regla que restringe quién puede acceder o consultar el servicio SNMP en función de IPs, puertos o comunidades.
(Trap) SNMP Trap – Trampa SNMP
— Notificación automática que un agente SNMP envía al NMS para alertar sobre eventos críticos o cambios en el sistema.
(Community String) – Cadena de Comunidad
— Equivalente a una contraseña en SNMP v1 y v2c que determina si se puede acceder en modo lectura o escritura.
(SNMPv1/v2c/v3) – Versiones del Protocolo SNMP
— Diferentes versiones con distintos niveles de seguridad:
• v1: sin cifrado ni autenticación.
• v2c: mejora el rendimiento, pero sigue inseguro (texto plano).
• v3: añade autenticación y cifrado → versión recomendada.
(GET / SET / WALK) – Tipos de operaciones SNMP
— Comandos que permiten consultar (GET), modificar (SET) o explorar (WALK) valores de la MIB.
(UDP) User Datagram Protocol – Protocolo de Datagrama de Usuario
— Protocolo de transporte usado por SNMP (puertos 161 y 162), rápido pero sin control de errores ni cifrado.
Claves Estratégicas y Curiosidades sobre SNMP
🕳️ 1. SNMP es una joya olvidada para los atacantes internos
Aunque muchos profesionales se centran en puertos como 22 (SSH), 80/443 (HTTP/HTTPS) o 3389 (RDP), los atacantes inteligentes saben que:
-
El puerto 161/UDP suele estar abierto en muchísimos dispositivos mal configurados.
-
SNMP no solo revela información… a veces permite modificarla.
-
Es un vector ideal para la fase de reconocimiento pasivo y sigiloso: no ejecuta comandos, solo consulta estados.
🛑 2. SNMP v1 y v2c siguen en uso en infraestructuras críticas
A pesar de que SNMPv3 fue definido en 2002 (!), muchas empresas aún utilizan versiones anteriores por compatibilidad o desconocimiento.
Peligro:
-
Todo el tráfico va en texto plano.
-
Las "community strings" son como contraseñas públicas.
-
Las más usadas en todo el mundo siguen siendo public y private.
🧬 3. MIBs personalizadas pueden revelar secretos del fabricante
Cada proveedor de hardware puede extender el árbol de la MIB con sus propios OIDs (identificadores de objeto).
Ejemplo:
-
MIB de Cisco revela más que la estándar: número de serie, versión de firmware, VLANs activas, rutas en uso…
Truco Blue Team: limitar los OIDs visibles por comunidad/IP ayuda a reducir superficie expuesta.
⚔️ 4. Traps SNMP mal gestionados = fuente de fugas de información
Los traps son notificaciones automáticas, por ejemplo:
-
"El puerto 3 del switch se ha caído."
-
"Temperatura de CPU superó el umbral."
-
"Interfaz WAN ha cambiado de estado."
Problema común: muchas organizaciones envían traps sin cifrado y sin autenticación, incluso fuera de su red interna, hacia herramientas externas o servicios cloud → el atacante puede espiar cambios críticos sin tocar nada.
🚨 5. Ataques reales a través de SNMP: casos documentados
-
2016 – DDoS amplificado via SNMP:
SNMP se usó como vector de amplificación en ataques masivos. Versiones antiguas respondían a paquetes falsificados, amplificando el tráfico hasta 100 veces. -
Hackeo de cámaras y sistemas de impresión:
Muchas cámaras IP, NAS y servidores de impresión permiten cambiar configuraciones o reiniciarse vía SNMP. Hay casos donde SNMP se usó para soft-resetear firewalls físicos y dejarlos "abiertos".
🔄 6. SNMP es bidireccional (y eso puede ser un riesgo enorme)
Muchos no lo saben, pero si SET está habilitado, SNMP puede modificar el estado de interfaces, reiniciar equipos, apagar puertos o cambiar rutas.
Ejemplo crítico:
-
Un atacante con acceso a SNMP v2c y con SET activo puede:
-
Apagar puertos críticos (DoS).
-
Redirigir tráfico.
-
Cambiar passwords (en algunos dispositivos antiguos).
-
🧱 7. SNMP no es solo para switches y routers
Se encuentra activado por defecto en muchos otros sistemas:
-
Servidores físicos (especialmente en CPDs).
-
Equipos SCADA e IoT.
-
Impresoras, cámaras IP, NAS, sensores industriales.
-
Algunos firewalls de gama media.
Riesgo: SNMP mal protegido en dispositivos secundarios = backdoor hacia la red interna.
💡 8. La mayoría de los ataques SNMP ocurren sin ser detectados
Esto se debe a:
-
Falta de logs en dispositivos de red.
-
Tráfico UDP no monitorizado por muchos IDS.
-
Los agentes no alertan al NMS si reciben consultas no autorizadas.
🔎 Solución:
-
Crear alertas en el SIEM ante actividad SNMP no reconocida.
-
Restringir por ACL y red: solo ciertos equipos pueden hacer queries SNMP.
🧩 9. Errores comunes en producción
Error Común Riesgo asociado
- Usar SNMP v2c con public como comunidad Acceso total de lectura sin restricción
- Tener habilitado SET sin necesidad Modificación remota por atacante
- Traps sin autenticación o cifrado Fuga de eventos críticos
- No segmentar el acceso SNMP Exposición desde cualquier VLAN
- No auditar SNMP en el SIEM Ataques pasan desapercibidos
📘 BONUS: Lo que pide el cumplimiento
-
ISO 27001 → Monitorización segura de infraestructuras (SNMP debe estar cifrado y controlado).
-
NIST SP 800-53 → Controles sobre gestión de configuración y monitoreo (AC-17, SI-4).
-
PCI-DSS → Requiere desactivar protocolos inseguros y asegurar interfaces de administración.
🎯 ¿Cómo saber si tienes SNMP mal configurado?
Pregúntate:
-
¿Qué versión estás usando?
-
¿Tienes public o private como community string?
-
¿Qué permisos tiene tu agente (solo lectura o también escritura)?
-
¿Quién puede acceder al puerto 161 desde la red interna o externa?
-
¿Tienes alertas si alguien hace consultas SNMP no autorizadas?
✅ Buenas prácticas para gestionar SNMP de forma segura
-
Usar siempre SNMP v3 con cifrado y autenticación robusta.
-
Desactivar SNMP si no es necesario.
-
Cambiar y evitar las cadenas de comunidad por defecto (public, private).
-
Configurar ACL para limitar acceso solo a hosts o rangos IP confiables.
-
Restringir operaciones solo a lectura (GET) si no se requiere escritura (SET).
-
Monitorizar accesos y generar alertas en el SIEM para consultas SNMP no autorizadas.
-
Enviar traps solo a servidores seguros y cifrados.
-
Mantener los dispositivos actualizados para mitigar vulnerabilidades.
-
Documentar y revisar periódicamente la configuración SNMP en los sistemas.
🔥 Laboratorio de práctica Purple Team: Seguridad en SNMP
Ejemplo 1 – Ataque SNMP básico – Nivel Avanzado
🔴 Red Team
-
Realiza reconocimiento pasivo y activo para detectar dispositivos con SNMP abiertos.
-
Usa técnicas para enumerar información con SNMPv1/v2c (sin autenticación o con comunidad común public).
-
Extrae detalles del dispositivo: interfaces, rutas, versiones firmware.
🔵 Blue Team
-
Detecta escaneos SNMP en logs y alertas SIEM.
-
Verifica configuraciones para detectar uso de SNMPv1/v2c con cadenas predeterminadas.
-
Bloquea accesos no autorizados y limita el tráfico SNMP con ACL.
🟣 Purple Team
-
Organiza sesiones conjuntas para validar detección y bloqueo.
-
Revisa políticas para desactivar versiones inseguras o activar SNMPv3.
-
Define alertas y reportes para actividad SNMP sospechosa.
✅ Resultados
-
Red Team obtiene acceso limitado a información, evidenciando configuraciones inseguras.
-
Blue Team identifica y bloquea el escaneo, mejorando monitoreo y control de acceso.
-
Purple Team optimiza la política de seguridad SNMP y la visibilidad, reduciendo el riesgo de exposición.
Ejemplo 2 – Modificación de configuración SNMP – Nivel Experto
🔴 Red Team
-
Busca dispositivos que permitan operaciones SET sin restricciones.
-
Intenta cambiar configuraciones de puertos o reiniciar dispositivos.
-
Prueba ataques de DoS parcial sobre dispositivos clave (apagar interfaces, etc.).
🔵 Blue Team
-
Revisa configuraciones para restringir SET a usuarios autenticados.
-
Aplica segmentación y controles de acceso para minimizar riesgos.
-
Monitorea cambios en configuraciones y genera alertas inmediatas.
🟣 Purple Team
-
Automatiza escaneos internos para detectar dispositivos con operaciones SET abiertas.
-
Realiza auditorías periódicas de configuraciones SNMP.
-
Implementa simulacros y ejercicios de respuesta ante incidentes relacionados con SNMP.
✅ Resultados
-
Red Team logra demostrar la gravedad de permitir SET sin control, evidenciando riesgos reales.
-
Blue Team implementa controles efectivos que previenen modificaciones no autorizadas.
-
Purple Team establece procesos automáticos de detección y mejora continua de seguridad.
Ejemplo 3 – Detección avanzada y respuesta – Nivel Maestro
🔴 Red Team
-
Emplea técnicas evasivas para consultas SNMP (modificación de tiempos, uso de IP spoofing).
-
Suplanta traps SNMP para generar ruido o falsos positivos.
-
Explora MIBs personalizadas para extraer información sensible.
🔵 Blue Team
-
Desarrolla reglas avanzadas en SIEM para correlacionar actividades SNMP sospechosas.
-
Implementa análisis de comportamiento para detectar patrones inusuales en consultas y traps.
-
Realiza respuesta rápida y bloqueo dinámico mediante firewalls y sistemas de prevención.
🟣 Purple Team
-
Integra inteligencia ofensiva y defensiva para mejorar las reglas y procesos de monitoreo.
-
Fomenta entrenamiento continuo y mejora de playbooks de seguridad.
-
Evalúa mejoras tecnológicas para protección, como la migración total a SNMPv3 o protocolos alternativos.
✅ Resultados
-
Red Team muestra cómo técnicas avanzadas pueden evadir controles básicos.
-
Blue Team fortalece la detección proactiva y la respuesta rápida, reduciendo ventana de ataque.
-
Purple Team consolida una estrategia madura de supervisión y adaptación ante nuevas amenazas.