Drucker und Ports mithilfe von WMI und einfachem SNMP ermitteln

In jedem auch nur halbwegs ernstzunehmenden Netzwerk, Offene Drucker, Server und Ports finden Es ist kein „Extra“, sondern unerlässlich für Ihre Sicherheit. Angesichts von Sicherheitsrichtlinien, Audits und Benutzern, die auf allen möglichen Geräten mit Toner drucken, müssen Sie wissen, was sich auf Ihrem Drucker befindet, wo er steht und wie er funktioniert.

Die gute Nachricht ist: Sie müssen das Rad nicht neu erfinden: WMI in Windows-Umgebungen und SNMP auf praktisch jedem Netzwerkgerät Sie bieten alles Notwendige, wenn man weiß, wie man sie einsetzt. Die Kunst besteht darin, zu verstehen, was die jeweilige Technologie bietet, welche Ports beteiligt sind, wie das Ganze mit Firewalls zusammenarbeitet und welche Auswirkungen dies auf Leistung und Sicherheit hat.

Überblick: Agenten, WMI, SNMP und andere Überwachungsmethoden

Wenn wir über Überwachung sprechen Geräte und DruckerEigentlich geht es um die Auswahl. der „Kanal“, über den das Überwachungstool die Informationen extrahiert des Geräts. Im Großen und Ganzen existieren diese Optionen in Unternehmensnetzwerken nebeneinander:

1. Agent auf dem Gerät installiert
Viele Überwachungsplattformen beinhalten einen eigenen Agenten für Windows. Linux oder sogar für bestimmte Anwendungen. Es wird auf jedem Computer installiert, und der Agent erfasst Metriken (CPU, RAM, Festplatten, Dienste usw.) und sendet diese an den Überwachungsserver.

• Vorteil: sehr detaillierter Zugriff auf Systemdaten, der sogar über das hinausgeht, was WMI oder SNMP bieten.
• UnbequemEs muss bereitgestellt, gewartet, aktualisiert und überprüft werden, um sicherzustellen, dass es nicht zu einem Leistungs- oder Sicherheitsproblem wird.

2. WMI (Windows-Verwaltungsinstrumentation)
In der Windows-Welt ist WMI der Standard. Es ermöglicht Ihnen, Informationen abzurufen. sehr detaillierte Informationen über HardwareSoftware, Prozesse, Dienstleistungen, Leistung und sogar bestimmte Aspekte des Systems zu konfigurieren. All dies geschieht über fernzugängliche WMI-Klassen.

• Standardmäßig verwenden RPC über TCP, wobei Port 135/TCP als Zuweiser dient und anschließend die dynamischen Ports (49152-65535) verwendet werden, sofern keine Einschränkungen bestehen.
• In vielen Szenarien wird es auch verwendet bei WinRM (HTTP 5985 / HTTPS 5986) um den Umgang mit offenen RPC-Portbereichen zu vermeiden.

3. SNMP (Simple Network Management Protocol)
SNMP ist ein standardisiertes Anwendungsschichtprotokoll, das in mehreren RFCs (u. a. 1157, 1901–1908, 3411–3418) definiert ist und Teil des TCP/IP-Protokollstapels ist. Es ist die gemeinsame Sprache für Router, Switches, Firewalls, Drucker, NAS-Systeme, USV-Anlagen, Sicherheitsgeräte und auch für viele Server.

• Lese-/Schreibabfragen und -operationen verwenden typischerweise UDP 161.
• Asynchrone Benachrichtigungen (Traps und Informs) werden übertragen über UDP 162.
• Seine Stärke liegt in der Kombination aus SNMP + MIB + OID-Agenten.

4. SSH
In Typsystemen UNIX (Linux, BSD usw.) – viele Tools verbinden sich über SSH (TCP 22) ausführen Befehle und die Ausgabe analysieren. Dies ist eine Alternative, wenn SNMP nicht verfügbar ist oder eine feinere Steuerung ohne Installation zusätzlicher Agenten gewünscht wird.

5. APIs und Webdienste
Immer mehr Hersteller legen ihre Kennzahlen offen durch REST-APIs, SOAP oder WebdiensteDies ist die übliche Methode zur Überwachung moderner Anwendungen, Cloud-Lösungen oder sehr spezifischer Geräte, für die SNMP/WMI nicht gut geeignet ist oder nicht ausreicht.

Kurzempfehlung: Was Sie für welchen Gerätetyp verwenden sollten.

Eine guía Diejenige, die in den meisten Unternehmensnetzwerken funktioniert, ist die folgende:

• Windows-Computer: priorisieren WMI (oder WMI über WinRM) im Vergleich zu Ihren eigenen Agenten, es sei denn, Sie benötigen eine sehr fortgeschrittene Überwachung von Anwendungen, die Daten ausschließlich über diesen Agenten bereitstellen.
• Linux/UNIX-Server und -Workstations: verwenden SSH oder ein schlanker Agent. SNMP ist ebenfalls möglich, liefert aber oft nicht genügend Systemdetails.
• Netzwerkelektronik (Switches, Router, Access Points, Firewalls): SNMP Das ist die naheliegendste Wahl. Oft gibt es nicht einmal eine andere Standardmethode.
• Drucker und „Edge“-Geräte (NAS, USV, spezielle Hardware): fast immer SNMP.
• Moderne Anwendungen und Dienste: wenn der Hersteller anbietet API Officer, benutzen Sie es zuerst.

Die Immobilienmakler Nutzen Sie sie nur als Backup-Plan, falls Sie keine WMI-, SSH-, SNMP- oder API-Lösungen haben, die Ihre Anforderungen abdecken. Sie erschweren häufig die Bereitstellung, Wartung und Sicherheitsoptimierung.

Wie SNMP intern funktioniert: Manager, Agenten, MIBs und OIDs

Um Drucker und Ports mithilfe von SNMP zu ermitteln, müssen Sie zunächst verstehen, wie die Informationen organisiert sind. SNMP basiert auf drei Säulen: SNMP-Manager, verwaltete Geräte (Agenten) und MIB/OID.

SNMP-Manager (NMS)
Es ist das zentrale Element: die Konsole oder der Server, auf dem das Programm läuft. NetzmanagementsystemEs ist diejenige, die Anfragen (GET, GETNEXT, GETBULK, SET) an die Agenten sendet und Antworten, Traps und Informs empfängt.

• Führen Sie regelmäßig Interviews mit den Agenten durch, um Kennzahlen zu erfassen.
• Es verarbeitet Werte, wendet Schwellenwerte an, generiert Warnmeldungen und Diagramme.
• Sie können bestimmte OIDs (SETs) beschreiben, sofern die Sicherheitsbestimmungen dies zulassen. In der Praxis wird jedoch empfohlen, fast immer im Schreibmodus zu arbeiten. Schreibgeschützt (RO).

Verwaltete Geräte und SNMP-Agenten
Jeder RouterDer Switch, Drucker oder Server, den Sie überwachen möchten, läuft auf einem SNMP-AgentDieser Agent:

• Es erfasst lokal Statistiken zu Hardware, Netzwerk, Druckwarteschlangen, Temperatur usw.
• Es präsentiert diese Informationen gemäß den in seinen MIBs enthaltenen Definitionen.
• Es kann erzeugen Fallen in Richtung des NMS, wenn etwas passiert (z.B. Papierstau, Schnittstellenausfall, Übertemperatur).
• Es kann sogar als Stellvertreter für Geräte, die kein natives SNMP haben.

MIB (Management-Informationsdatenbank)
Die MIB ist, einfach ausgedrückt, das „Wörterbuch“, das definiert welche Variablen abgefragt werden können und in welchem ​​Format.Es handelt sich um eine Textdatei (üblicherweise in ASN.1-Notation), die Folgendes beschreibt:

• Symbolischer Name des Objekts.
• Datentyp (GANZZAHL, OKTETT, STRING, ZÄHLER, Messgerät, Zeitstriche...).
• Zugriff (nur lesend, lesend/schreibend).
• Funktionsbeschreibung.
• Hierarchische Beziehung zu anderen Objekten.

Es gibt Standard-MIBs (zum Beispiel) IF-MIB, IP-MIB, SNMPv2-MIB) und herstellerspezifische MIBs (Cisco, HP, Xerox, Synology usw.). Diese privaten MIBs ermöglichen es Ihnen, über die generischen hinauszugehen, zum Beispiel Den Tonerstand oder die Anzahl der gedruckten Seiten eines bestimmten Modells anzeigen Drucker.

OID (Objektkennung)
Jedes in einer MIB definierte Objekt wird durch eine OID, eine durch Punkte getrennte Zahlenfolge, zum Beispiel:

• 1.3.6.1.2.1.1.3.0 -> sysUpTime.
• 1.3.6.1.2.1.1.5.0 -> sysName (Gerätename).
• 1.3.6.1.2.1.1.4.0 -> sysKontakt.

Die OIDs sind organisiert in einer Baumstruktur, wo:

• 1.3.6.1.2.1 entspricht dem Standard MIB (mib-2).
• 1.3.6.1.4.1 ist der Zweig von UnternehmenDas heißt, die MIBs der Hersteller.

Ein typisches Beispiel für eine proprietäre OID für ein Synology NAS wäre etwa folgendes: 1.3.6.1.4.1.6574.5im Zusammenhang mit SMART-Informationen der Festplatte, während eine Cisco-OID hängen bleiben könnte 1.3.6.1.4.1.9.

SNMP-Ports, grundlegende Operationen und Protokollversionen

Damit die SNMP-Überwachung funktioniert, müssen Sie sich über Folgendes im Klaren sein: die beteiligten Häfen und das KommunikationsmodellAndernfalls wird die Firewall zu Ihrem schlimmsten Feind.

Standard-SNMP-Ports

• UDP 161Normale Abfragen und Operationen (GET, GETNEXT, GETBULK, SET). Das NMS sendet Anfragen an den Agenten über diesen Port.
• UDP 162Fallen und informieren. In diesem Fall die Mittel initiiert die Kommunikation mit dem Überwachungsserver.

Obwohl TCP in einigen Fällen mit SNMP verwendet werden kann. Die klassische und am weitesten verbreitete Implementierung ist UDP.Dies hat Konsequenzen: Der Aufwand ist geringer, aber es gibt auch keine Zustellungsgarantie. Deshalb wiederholen Überwachungssysteme häufig Anfragen, wenn sie keine Antwort erhalten.

Wichtigste SNMP-Operationen

• STARTEDas NMS fordert den Wert einer oder mehrerer spezifischer OIDs an.
• NÄCHSTES ERHALTENÄhnlich wie GET, fordert aber die nächste OID in der Hierarchie an; sehr nützlich zum Durchlaufen von Tabellen.
• GETBULK: eingeführt in SNMPv2, entwickelt, um große Datenblöcke (ganze Tabellen) effizient herunterzuladen.
• SETDer Manager schreibt einen Wert an den Agenten. Das ist zwar mächtig, aber gefährlich, weshalb fast alle seriösen Netzwerke die Offenlegung von SET vermeiden oder es so weit wie möglich einschränken.
• TRAP: asynchrone Nachricht, die der Agent an das NMS sendet, wenn ein Ereignis eintritt (z. B. Drucker hat kein Papier mehr, Verbindung unterbrochen).
• INFORMIEREN: ähnlich einer Falle, jedoch mit Empfangsbestätigung durch den NMS.

SNMP-Versionen und Sicherheit
Historisch gesehen hat SNMP mehrere Versionen durchlaufen, wobei die Änderungen hauptsächlich den Bereich der Sicherheit betrafen:

• SNMPv1 (RFC1155, 1156, 1157). Sehr einfaches Modell, Sicherheit basierend auf „Community-String“, ohne Verschlüsselung.
• SNMPv2cÜberarbeitete Version mit Leistungsverbesserungen (GETBULK, neue Datentypen usw.), aber unter Beibehaltung des gleichen Community-basierten Sicherheitskonzepts. am häufigsten in der Praxis verwendet.
• SNMPv3. Eintreten Authentifizierung und VerschlüsselungMit benutzerbasierter Sicherheit (USM) und robusteren Zugriffsmodellen. Es ist deutlich sicherer, aber auch komplexer zu konfigurieren und kann zusätzlichen Aufwand verursachen.

Aus praktischen Gründen verwenden viele Netzwerke immer noch SNMPv2c im Nur-Lese-Modus (RO) mit komplexen Gemeinschaften und Zugriffskontrolllisten auf Geräten. Wenn Sie strenge Sicherheitsrichtlinien einhalten müssen, ist eine schrittweise Migration ratsam. v3.

WMI im Detail: Ports, RPC und WinRM

In Windows-Umgebungen ist WMI das Standardwerkzeug zum Abrufen von Systeminformationen ohne Installation zusätzlicher Agenten. Auf Netzwerkebene hingegen… WMI ist von RPC abhängig. Und das hat Konsequenzen für die Firewall.

Häfen, die am klassischen WMI beteiligt sind

• TCP 135: Hafen von RPC-Endpunkt-MapperEs handelt sich um den ersten Einstiegspunkt; über ihn verhandelt der Client, welcher dynamische Port für den nachfolgenden Aufruf verwendet wird.
• Hohe dynamische TCP-Ports: typischerweise 49152 bis 65535 In modernen Systemen wird dort die eigentliche WMI/DCOM-Sitzung aufgebaut.

Wenn Sie das Netzwerk stark segmentieren und Ports filtern, bedeutet dies Folgendes: das ProblemDas Öffnen eines vollständigen Bereichs 49152-65535 zwischen Segmenten ist aus Sicherheitsgründen generell nicht akzeptabel.

Alternative: WMI über WinRM
Um diese Flut dynamischer Ports zu vermeiden, bietet Microsoft die Möglichkeit, WMI über WS-Management via WinRM:

• HTTP am Hafen 5985 / TCP.
• HTTPS am Hafen 5986 / TCP.

Auf diese Weise können Sie die WMI-Kommunikation auf genau definierte Ports beschränken und einfacher zu kontrollieren Zusätzlich zur Verschlüsselung bei Verwendung von HTTPS in der Firewall ist dies die bevorzugte Methode für moderne Windows-Überwachungs- und Fernverwaltungstools.

WMI + Active Directory und andere Dienste
Man sollte nicht vergessen, dass viele Fernverwaltungsvorgänge mit WMI zusammenhängen. Powershell Remoting oder die Erhöhung der Domänencontroller selbst nutzen ebenfalls Folgendes:

• LDAP (389/TCP und UDP), LDAPS (636/TCP).
• SMB (445/TCP) für benannte Leitungen.
• Hohe, kurzlebige RPC-Ports für verschiedene abhängige Dienste (DFS, Dateireplikation, Netlogon usw.).

Wenn Sie ein Windows-Netzwerk vollständig herunterfahren, ist es unerlässlich, die umfangreiche Tabelle zu überprüfen. System-Service-Ports Microsoft verfolgt die Strategie, die Abschaltung kritischer Komponenten (Kerberos, DNS, Windows-Zeitplan, AD-Replikation usw.) zu vermeiden.

Drucker und Ports mit SNMP erkennen: ein praktischer Ansatz

Konzentrieren wir uns nun auf den Fall, der uns am meisten interessiert: Suchen Sie die Drucker im Netzwerk und ermitteln Sie, welche Ports aktiv sind. unter Verwendung von SNMP.

1. SNMP auf den Druckern aktivieren und konfigurieren
Bei den meisten einigermaßen modernen Druckern ist SNMP standardmäßig aktiviert oder wird über die Weboberfläche des Geräts aktiviert:

• Definiert a SNMP-Lesegemeinschaft (Verwenden Sie „öffentlich“ nicht in seriösen Unternehmensumgebungen).
• Wenn möglich beschränkt den SNMP-Zugriff zur IP-Adresse oder zum Subnetz Ihres Überwachungsservers.
• Füllen Sie die Felder aus sysLocation y sysKontakt damit ich sie später organisieren kann (Büro, Zimmer, Etage, Support-E-Mail usw.).

2. Überprüfen Sie dies vom Überwachungsserver mit SNMP-Walk.
Auf einem Linux-Host oder einem ähnlichen System mit installierten Net-SNMP-Tools können Sie Folgendes verwenden:

snmpwalk -v2c -c YOUR_COMMUNITY 192.168.xx

Wenn die Konfiguration korrekt ist, wird eine Parade angezeigt. lange Liste von OIDs und Werten: Systemname, Standort, Anzahl der Schnittstellen, Netzwerkstatistiken, Seitenzähler, Tonerstände (sofern vom Hersteller in seinen privaten MIBs angegeben) usw.

Um nur eine bestimmte OID zu testen (zum Beispiel, sysName):

snmpwalk -v2c -c YOUR_COMMUNITY 192.168.xx SNMPv2-MIB::sysName.0

3. Identifizieren Sie fehlerhafte SNMP-Ports und den zugehörigen Datenverkehr.
Ein sehr typischer Fall in Netzwerken mit einer Historie ist das Auffinden eines Windows-Druckserver das ständig versucht, über SNMP mit Druckern zu kommunizieren, die nicht mehr existieren oder sich in einem anderen Subnetz befinden.

• Die TCP/IP-Ports von Druckern in Windows können haben SNMP ist standardmäßig aktiviert.
• Wenn dieser Server versucht, alle paar Sekunden SNMP-Abfragen an alte IPs zu senden, werden Sie Folgendes sehen: viele blockierte Pakete auf Ihrer Firewall (z. B. einer FortiGate), alle an UDP 161-Adressen gerichtet, die nicht mehr zum Netzwerk gehören.

Die Lösung ist ganz einfach: Deaktivieren Sie SNMP an diesen Druckanschlüssen. Oder Sie bereinigen ungenutzte Ports. Bevor Sie etwas löschen, sollten Sie unbedingt überprüfen, ob tatsächlich keine zugehörigen Aufträge mehr vorhanden sind und der entsprechende Drucker nicht mehr zur Infrastruktur gehört.

4. Verwendung der MIB des Herstellers für erweiterte Daten
Wenn Sie über „an oder aus“ hinausgehen möchten und um den Status der Drucker tatsächlich zu überwachen (Warteschlangen, Papierstaus, Toner, Papierfächer) müssen Sie Folgendes beachten:

• Laden Sie die herunter Herstellerspezifische MIBs (Xerox, HP, Canon usw.), oft verfügbar auf deren Supportportal.
• Laden Sie sie in Ihr SNMP-Tool oder Ihren MIB-Browser hoch.
• Ermitteln Sie die OIDs, die mit den einzelnen Metriken verknüpft sind (z. B. Anzahl der gedruckten Seiten, Lebensdauer der Verbrauchsmaterialien, Fehlercodes).

Damit werden Sie in der Lage sein zu bauen Diagramme und Warnmeldungen die Benutzer benachrichtigen, wenn dem Drucker das Papier ausgeht, wenn der Tonerstand bei 5 % liegt oder wenn ein Zähler einen ungewöhnlich hohen Wert erreicht, um Überraschungen für die Benutzer zu vermeiden.

SNMP, Sicherheit und bewährte Konfigurationspraktiken

SNMP ist unglaublich leistungsstark, aber wenn es nicht kontrolliert wird, wird es zu einem SiebEinige wichtige Punkte, um sich nicht selbst ins Knie zu schießen:

• Immer benutzen personalisierte Gemeinschaftenniemals „öffentlich“/„privat“.
• Zugriff beschränken auf Bestimmte IPs oder Subnetze durch Verwendung von ACLs auf Routern, Switches oder auf dem SNMP-Daemon selbst (Linux, Windows, ESXi usw.).
• Bleiben Sie nach Möglichkeit zu Hause. Lesemodus (RO)Vermeiden Sie SET in der Produktion, außer in sehr kontrollierten Fällen.
• Wenn Ihre Umgebung es erfordert, sollten Sie die Verwendung in Betracht ziehen. SNMPv3 mit Authentifizierung und Verschlüsselung, zumindest für kritische Anlagen.
• Unterlagen Was ist MIB und OID? Sie verwenden sie und erklären ihre Bedeutung, damit andere Administratoren sie pflegen können.

Bei Windows Server ist Folgendes zu beachten: SNMP-Dienst:

• Es ist nicht standardmäßig installiert; die Funktion muss hinzugefügt werden (über GUI, PowerShell oder optionale Funktionen).
• Die Konfiguration erfolgt hauptsächlich über die Registerkarten. Sicherheit y Agent des Dienstes: akzeptierte Communities, Hosts, von denen Pakete zugelassen sind, Kontakt, Standort und überwachte Dienste.

Unter Linux befindet sich die Schlüsseldatei üblicherweise im Verzeichnis /etc/snmp/snmpd.confdort können Sie Ansichten, Communities und Zuhörrichtungen definieren, beispielsweise nur eine definierte Community zulassen und die Ansicht einschränken auf .1 (den gesamten Baum) oder bestimmte Teilmengen.

Koordination von WMI, SNMP und Firewalls in segmentierten Netzwerken

In Unternehmen mit mehreren VLANs, DMZs und stark gefilterten Zonen besteht die Herausforderung nicht nur in der Überwachung, sondern in der tatsächlichen Überwachung. ohne die Hälfte des Universums an Häfen zu öffnenHier müssen WMI-, SNMP- und Firewall-Regeln richtig kombiniert werden.

Einige Prinzipien, die gut funktionieren:

• zu Innenfenster: ermöglicht WinRM (5985/5986) und beschränkt klassisches WMI durch RPC nur auf streng kontrollierte Segmente.
• zu Netzwerkgeräte und Drucker: öffnet nur UDP 161/162 zu und von den IPs Ihrer Überwachungsserver.
• Zentralisieren Sie die Überwachung in wenigen gut geschütztes NMS anstatt mehrere verstreute Abfragequellen zu haben.
• Überprüfen Sie die Tabelle von Windows Server-Dienstports um sicherzustellen, dass AD, DNS, Kerberos, DFS, Netlogon usw. auch nach jeglichen Härtungsmaßnahmen noch miteinander kommunizieren können.

Wenn Sie bereits eine Firewall haben, die abgewiesenen Datenverkehr protokolliert, ist das eine gute Idee. analysieren Protokolle Es werden blockierte SNMP-Muster (oder WMI-Muster via RPC) gesucht, die auf falsch konfigurierte Geräte, fehlende Drucker oder Server hinweisen, die noch veraltete Subnetze verwenden. Durch die Bereinigung dieser Muster werden Hintergrundereignisse reduziert und unnötige Regeln vermieden.

Am Ende gut kombinieren WMI unter Windows und SNMP für alles andereDank klarer Port- und Community-Richtlinien erhalten Sie einen detaillierten Überblick über Drucker, Server, Switches und Anwendungen, ohne das Netzwerk mit ressourcenintensiven Agenten zu belasten oder die Firewall offen zu lassen. Es ist die sinnvollste Methode, um zu verfolgen, wer wo und über welche Ports druckt, ohne bei jedem Audit oder jeder Überprüfung der Infrastruktursicherheit in Panik zu geraten.