Descobrir impressores i ports amb WMI i SNMP bàsic

En qualsevol xarxa mínimament seriosa, descobrir impressores, servidors i ports oberts no és un “extra”, és una cosa obligatòria si vols dormir tranquil. Entre polítiques de seguretat, auditories i usuaris que imprimeixen qualsevol cosa que tingui tòner, necessites saber què hi ha, on és i com s'està comportant.

La bona notícia és que no has d'inventar la roda: WMI en entorns Windows i SNMP a pràcticament qualsevol dispositiu de xarxa et donen tota la si saps com aprofitar-los. El truc és entendre què ofereix cada tecnologia, quins ports intervenen, com encaixa tot amb tallafocs i quines implicacions té en rendiment i seguretat.

Panorama general: agents, WMI, SNMP i altres maneres de monitoritzar

Quan parlem de monitoritzar equips i impressores, en realitat parlem d'escollir el “canal” pel qual l'eina de monitorització traurà la informació del dispositiu. A grans trets, a les xarxes corporatives conviuen aquestes opcions:

1. Agent instal·lat al dispositiu
Moltes plataformes de monitorització inclouen el seu propi agent per a Windows, Linux o fins i tot aplicacions concretes. S'instal·la a cada equip i és l'agent el que recopila mètriques (CPU, RAM, discos, serveis, etc.) i les envia al servidor de monitorització.

• Avantatge: accés molt granular a dades del sistema, fins i tot més enllà del que ofereixen WMI o SNMP.
• Inconvenient: cal desplegar-lo, mantenir-lo, actualitzar-lo i comprovar que no es converteixi en un problema de rendiment o seguretat.

2. WMI (Windows Management Instrumentation)
Al món Windows, WMI és la referència. Permet obtenir informació molt detallada sobre maquinari, programari, processos, serveis, rendiment i fins i tot configurar determinats aspectes del sistema. Tot això a través de classes WMI accessibles de manera remota.

• Usa per defecte RPC sobre TCP, amb el port 135/TCP com a assignador i després ports dinàmics alts (49152-65535) si no es restringeix.
• A molts escenaris s'utilitza a més sobre WinRM (HTTP 5985 / HTTPS 5986) per evitar bregar amb rangs de ports RPC oberts.

3. SNMP (Simple Network Management Protocol)
SNMP és un protocol de capa d'aplicació estàndard, definit a diverses RFC (1157, 1901-1908, 3411-3418, entre d'altres), i forma part de la pila TCP/IP. És el llenguatge comú per routers, switches, tallafocs, impressores, NAS, UPS, appliances de seguretat i també per a molts servidors.

• Les consultes i operacions de lectura/escriptura utilitzen normalment UDP 161.
• Les notificacions asíncrones (traps i informs) viatgen per UDP 162.
• La seva potència està en la combinació de agents SNMP + MIB + OID.

4. SSH
En sistemes tipus UNIX (Linux, BSD, etc.), moltes eines opten per connectar-se per SSH (TCP 22) per executar ordres i parsejar la sortida. És una alternativa quan no es disposa de SNMP o es vol un control més fi sense instal·lar agents addicionals.

5. API i serveis web
Cada cop més fabricants exposen les seves mètriques a través de APIs REST, SOAP o serveis web. És la via habitual per monitoritzar aplicacions modernes, solucions cloud o appliances molt específiques on SNMP/WMI no encaixen bé o s'han quedat curts.

Recomanació ràpida: què fer servir per a cada tipus d'equip

Una Guia que funciona a la majoria de xarxes corporatives és la següent:

• equips Windows: prioritza WMI (o WMI via WinRM) davant d'agents propis, llevat que necessitis monitorització molt avançada d'aplicacions que només exposen dades mitjançant aquest agent.
• Servidors i estacions Linux/UNIX: utilitza SSH o un agent lleuger. SNMP també és possible, però sol quedar-se una mica curt per a detalls de sistema.
• Electrònica de xarxa (switches, routers, AP, firewalls): SNMP és lopció natural. Oftentimes ni tan sols hi ha cap altre mètode estàndard.
• Impressores i dispositius “de vora” (NAS, UPS, maquinari específic): gairebé sempre SNMP.
• Aplicacions i serveis moderns: si el fabricant ofereix API oficial, fes-la servir primer.

Els agents propietaris deixa'ls com a pla B, quan no tinguis WMI, SSH, SNMP ni API que cobreixin el que necessites. Sovint compliquen desplegaments, manteniment i enduriment de seguretat.

Com funciona SNMP per dins: gestors, agents, MIB i OID

Per descobrir impressores i ports amb SNMP, cal entendre abans com s'organitza la informació. SNMP es basa en tres pilars: gestor SNMP, dispositius gestionats (agents) i MIB/OID.

Gestor SNMP (NMS)
És la peça central: la consola o servidor que executa el Sistema de Gestió de Xarxa. És el que envia peticions (GET, GETNEXT, GETBULK, SET) als agents i rep respostes, traps i informes.

• Interroga periòdicament els agents per recopilar mètriques.
• Processa valors, aplica llindars, genera alertes i gràfics.
• Podeu escriure en certs OID (SET) si la seguretat ho permet, encara que a la pràctica es recomana treballar gairebé sempre en mode només lectura (RO).

Dispositius gestionats i agents SNMP
Cada enrutador, switch, impressora o servidor que vulguis monitoritzar executa un agent SNMP. Aquest agent:

• Recull de manera local estadístiques de maquinari, xarxa, cues d'impressió, temperatura, etc.
• Exposa aquesta informació segons les definicions contingudes als seus MIB.
• pot generar trampes cap a l'NMS quan passa alguna cosa (per exemple, paper encallat, caiguda d'interfície, sobretemperatura).
• Fins i tot pot actuar com proxy per a equips que no tenen SNMP nadiu.

MIB (Management Information Base)
La MIB és, per simplificar-ho, el “diccionari” que defineix quines variables es poden consultar i en quin format. És un fitxer de text (normalment en notació ASN.1) que descriu:

• Nom simbòlic de lobjecte.
• Tipus de dada (INTEGER, OCTET STRING, COUNTER, Gauge, TimeTicks…).
• Accés (read-only, read-write).
• Descripció funcional.
• Relació jeràrquica amb altres objectes.

Hi ha MIB estàndard (per exemple IF-MIB, IP-MIB, SNMPv2-MIB) i MIB privades de fabricant (Cisco, HP, Xerox, Synology, etc.). Aquestes MIB privades són les que et permeten anar més enllà del que és genèric, per exemple, veure el nivell de tòner o pàgines impreses d'un model concret d'impressora.

OID (Object Identifier)
Cada objecte definit en una MIB s'identifica amb un OID, una seqüència numèrica separada per punts, per exemple:

• 1.3.6.1.2.1.1.3.0 -> sysUpTime.
• 1.3.6.1.2.1.1.5.0 -> sysName (nom del dispositiu).
• 1.3.6.1.2.1.1.4.0 -> sysContact.

Els OID s'organitzen en una estructura d'arbre, On:

• 1.3.6.1.2.1 correspon als MIB estàndard (mib-2).
• 1.3.6.1.4.1 és la branca de empreses, és a dir, MIB de fabricants.

Un exemple típic d'OID propietari per a un NAS Synology seria una cosa així com 1.3.6.1.4.1.6574.5, relacionat amb informació SMART de discos, mentre que un OID de Cisco podria penjar de 1.3.6.1.4.1.9.

Ports SNMP, operacions bàsiques i versions del protocol

Perquè el monitoratge SNMP funcioni, cal tenir ben clars els ports implicats i el model de comunicació. Si no, el tallafocs es converteix en el teu pitjor enemic.

Ports estàndard de SNMP

• UDP 161: consultes i operacions normals (GET, GETNEXT, GETBULK, SET). L'NMS envia peticions a l'agent en aquest port.
• UDP 162: traps i informs. En aquest cas el agent inicia la comunicació cap al servidor de monitorització.

Encara que es pot utilitzar TCP amb SNMP en alguns casos, la implementació clàssica i la més estesa és UDP. Això té implicacions: hi ha menys sobrecàrrega, però també no hi ha cap garantia de lliurament. Per això els sistemes de monitoratge solen repetir consultes si no reben resposta.

Operacions SNMP més importants

• GET: el NMS demana el valor d'un o més OID concrets.
• ACONSEGUIR: similar a GET, però sol·licita el següent OID a la jerarquia, molt útil per a iterar per taules.
• GETBULK: introduït a SNMPv2, pensat per descarregar blocs grans de dades (taules senceres) de forma eficient.
• SET: el gestor escriu un valor a l'agent. És potent però perillós, per això gairebé totes les xarxes serioses s'evita exposar SET o es restringeix al màxim.
• TRAMP: missatge asíncron que l'agent envia a l'NMS quan passa un esdeveniment (p. ex. impressora sense paper, enllaç caigut).
• INFORMAR: semblant al trap, però amb confirmació de recepció per part del NMS.

Versions de SNMP i seguretat
Històricament SNMP ha passat per diverses versions, amb canvis sobretot al pla de seguretat:

• SNMPv1 (RFC1155, 1156, 1157). Model molt simple, seguretat basada en “community string”, sense xifrat.
• SNMPv2c. Versió revisada amb millores de rendiment (GETBULK, nous tipus, etc.), però mantenint el mateix esquema de seguretat basat en comunitat. És la més usada a la pràctica.
• SNMPv3. Introdueix autenticació i xifrat, amb seguretat basada en usuari (USM) i models d'accés més robusts. És molt més segur, però també més complex de configurar i pot introduir una certa càrrega extra.

Per comoditat, moltes xarxes segueixen usant SNMPv2c en mode només lectura (RO) amb comunitats no trivials i llistes de control d'accés als dispositius. Si necessites complir polítiques de seguretat estrictes, convé planificar una migració progressiva a v3.

WMI en profunditat: ports, RPC i WinRM

En entorns Windows, WMI és l'eina estrella per extreure informació de sistemes sense instal·lar agents addicionals. Però a nivell de xarxa, WMI depèn de RPC i això té conseqüències al tallafocs.

Ports implicats en WMI clàssic

• TCP135: port del RPC Endpoint Mapper. És el punt inicial inicial; a través seu el client negocia quin port dinàmic utilitzarà la trucada posterior.
• Ports dinàmics TCP alts: típicament 49152-65535 en sistemes moderns. Aquí s'estableix la sessió real de WMI/DCOM.

Si estàs segmentant molt la xarxa i filtrant ports, això suposa un problema: obrir un rang complet 49152-65535 entre segments no sol ser acceptable des del punt de vista de seguretat.

Alternativa: WMI a través de WinRM
Per evitar aquesta riuada de ports dinàmics, Microsoft ofereix la possibilitat d'exposar WMI sobre WS-Management a través de WinRM:

• HTTP en el port 5985/TCP.
• HTTPS en el port 5986/TCP.

D'aquesta manera, podeu limitar la comunicació WMI a ports ben definits i més fàcils de controlar al tallafoc, a més d'afegir xifrat quan tires de HTTPS. És la via preferida per a eines modernes de monitorització i gestió remota de Windows.

WMI + Active Directory i altres serveis
Cal no oblidar que moltes operacions d'administració remota relacionades amb WMI, PowerShell Remoting o la pròpia promoció de controladors de domini també fan ús de:

• LDAP (389/TCP i UDP), LDAPS (636/TCP).
• SMB (445/TCP) per a canalitzacions amb nom.
• Ports efímers RPC alts per a diferents serveis dependents (DFS, replicació d'arxius, Netlogon, etc.).

Si estàs tancant a consciència una xarxa Windows, és fonamental revisar l'extensa taula de ports de serveis de sistema de Microsoft per no tallar res crític (Kerberos, DNS, horari de Windows, replicació d'AD, etc.).

Descobrir impressores i ports amb SNMP: enfocament pràctic

Aterrarem tot això en el cas que més interessa: localitzar impressores a la xarxa i entendre quins ports tenen actius utilitzant SNMP.

1. Activar i configurar SNMP a les impressores
A la majoria d'impressores mitjanament modernes, SNMP està habilitat per defecte o s'activa des de la interfície web del dispositiu:

• Defineix una comunitat SNMP de lectura (no utilitzis “public” en entorns corporatius seriosos).
• Si és possible, limita l'accés SNMP a la IP o subxarxa del teu servidor de monitorització.
• Omple els camps de sysLocation y sysContact per poder-les ordenar després (oficina, sala, planta, correu de suport, etc.).

2. Comprovar des del servidor de monitorització amb snmpwalk
En un host Linux o similar amb les eines de Net-SNMP instal·lades, pots estirar:

snmpwalk -v2c -c LA TEVA_COMUNITAT 192.168.xx

Si la configuració és correcta, veureu desfilar-ne una llista llarga d'OID i valors: nom de sistema, ubicació, nombre d'interfícies, estadístiques de xarxa, comptadors de pàgines, nivells de tòner (si el fabricant el proporciona als seus MIB privades), etc.

Per provar només un OID concret (per exemple, sysName):

snmpwalk -v2c -c LA TEVA_COMUNITAT 192.168.xx SNMPv2-MIB::sysName.0

3. Identificar ports i trànsit SNMP “escombraries”
Un cas molt típic en xarxes amb historial és trobar un servidor d'impressió Windows que segueix intentant parlar SNMP amb impressores que ja no existeixen o que han canviat de subxarxa.

• Els ports TCP/IP d'impressora al Windows poden tenir SNMP habilitat per defecte.
• Si aquest servidor intenta fer consultes SNMP a IP antigues cada pocs segons, veuràs munts de paquets bloquejats al vostre tallafoc (per exemple, un FortiGate), tots adreçats a UDP 161 d'adreces que ja no pertanyen a la xarxa.

La solució és tan simple com desactivar SNMP en aquests ports d'impressió o netejar els ports que ja no es fan servir. Abans d'eliminar res, convé validar que realment no hi ha feines associades i que la impressora corresponent ja no forma part de la infraestructura.

4. Ús de MIB de fabricant per a dades avançades
Si vols anar més enllà de l'“està encesa o apagada” i monitoritzar realment l'estat de les impressores (cues, embussos, tòner, safates de paper), hauràs de:

• Descarregar les MIB específiques del fabricant (Xerox, HP, Canon, etc.), sovint disponibles al vostre portal de suport.
• Carregar-les a la teva eina SNMP o navegador de MIB.
• Localitzeu els OID relatius a cada mètrica (per exemple, nombre de pàgines impreses, vida útil de consumibles, codis d'error).

Amb això podràs construir gràfiques i alertes que avisin quan una impressora es queda sense paper, quan el tòner està al 5% o quan un comptador es dispara anormalment, evitant sorpreses als usuaris.

SNMP, seguretat i bones pràctiques de configuració

SNMP és potentíssim, però si es deixa obert sense control és un colador. Alguns punts clau per no donar-te un tret al peu:

• usa sempre comunitats personalitzades, mai “public”/“private”.
• Restringeix l'accés a IPs o subxarxes concretes usant ACL en routers, switches o en el propi dimoni SNMP (Linux, Windows, ESXi, etc.).
• Sempre que sigui possible manteni't a mode lectura (RO); evita SET en producció excepte casos molt controlats.
• Si el teu entorn ho exigeix, planteja fer servir SNMPv3 amb autenticació i xifratge, almenys per a equips crítics.
• documenta quin MIB i OID utilitzes i què signifiquen, perquè altres admins puguin donar-los manteniment.

Al Windows Server, recorda que el servei SNMP:

• No ve instal·lat per defecte; cal afegir-hi la característica (via GUI, PowerShell o capacitats opcionals).
• Es configura principalment des de les pestanyes Seguretat y Agent del servei: comunitats acceptades, hosts dels quals es permeten paquets, contacte, ubicació i serveis supervisats.

A Linux, el fitxer clau sol ser /etc/snmp/snmpd.conf, on podeu definir vistes, comunitats i adreces d'escolta, per exemple permetent només una comunitat definida i restringint la vista a .1 (tot l'arbre) o subconjunts concrets.

Coordinant WMI, SNMP i firewalls en xarxes segmentades

En empreses amb diverses VLAN, DMZ i zones molt filtrades, el repte no és només monitoritzar, sinó fer-ho sense obrir mig univers de ports. Aquí és on cal combinar bé WMI, SNMP i regles del tallafocs.

Alguns principis que funcionen bé:

• Per a Windows interns: habilita WinRM (5985/5986) i limita WMI clàssic per RPC només a segments molt controlats.
• Per a equips de xarxa i impressores: obre únicament UDP 161/162 des de i cap a les IP dels teus servidors de monitorització.
• Centralitza la monitorització en uns quants NMS ben protegits en comptes de tenir múltiples orígens de consultes dispersos.
• Revisa la taula de ports de serveis de Windows Server per assegurar-te que AD, DNS, Kerberos, DFS, Netlogon, etc. continuen podent parlar entre si després de qualsevol enduriment.

Si ja tens un firewall registrant trànsit denegat, és bona idea analitzar els logs a la recerca de patrons de SNMP bloquejat (o WMI via RPC) que corresponguin a equips mal configurats, impressores desaparegudes o servidors que encara creuen que hi ha subxarxes antigues. Netejar això redueix soroll de fons i evita regles innecessàries.

Al final, combinar bé WMI a Windows i SNMP per a tota la resta, amb una política clara de ports i comunitats, us dóna una visió molt afinada d'impressores, servidors, switches i aplicacions, sense haver d'omplir la xarxa d'agents pesants ni obrir el tallafocs de bat a bat. És la forma més raonable de tenir sota control qui imprimeix, des d'on ia través de quins ports, sense tornar-te boig cada cop que arriba una auditoria o toca revisar la seguretat de la infraestructura.