Temukan printer dan port menggunakan WMI dan SNMP dasar.

Dalam jaringan yang setidaknya memiliki standar serius, Temukan printer, server, dan port yang tersedia. Ini bukan "tambahan," ini penting jika Anda menginginkan ketenangan pikiran. Antara kebijakan keamanan, audit, dan pengguna yang mencetak pada apa pun yang menggunakan toner, Anda perlu mengetahui apa yang ada di printer Anda, di mana letaknya, dan bagaimana kinerjanya.

Kabar baiknya adalah Anda tidak perlu menciptakan kembali sesuatu yang sudah ada: WMI di lingkungan Windows dan SNMP di hampir semua perangkat jaringan. Mereka memberikan semua yang Anda butuhkan jika Anda tahu cara menggunakannya. Kuncinya adalah memahami apa yang ditawarkan setiap teknologi, port mana yang terlibat, bagaimana semuanya terintegrasi dengan firewall, dan apa implikasinya terhadap kinerja dan keamanan.

Gambaran Umum: Agen, WMI, SNMP, dan cara lain untuk memantau

Ketika kita berbicara tentang pemantauan peralatan dan printerSebenarnya, kita sedang membicarakan tentang memilih. “Saluran” yang akan digunakan alat pemantauan untuk mengekstrak informasi. dari perangkat tersebut. Secara umum, opsi-opsi ini ada bersamaan di jaringan perusahaan:

1. Agen terpasang pada perangkat
Banyak platform pemantauan menyertakan agennya sendiri untuk Windows, Linux atau bahkan aplikasi spesifik. Program ini diinstal pada setiap komputer, dan agen mengumpulkan metrik (CPU, RAM, disk, layanan, dll.) dan mengirimkannya ke server pemantauan.

• Keuntungan: Akses yang sangat detail ke data sistem, bahkan melampaui apa yang ditawarkan oleh WMI atau SNMP.
• KekuranganSistem ini perlu diimplementasikan, dipelihara, diperbarui, dan diperiksa untuk memastikan tidak menimbulkan masalah kinerja atau keamanan.

2. WMI (Windows Management Instrumentation)
Di dunia Windows, WMI adalah standarnya. Ini memungkinkan Anda untuk mendapatkan informasi yang sangat rinci tentang perangkat kerasperangkat lunak, proses, layanan, kinerja dan bahkan mengkonfigurasi aspek-aspek tertentu dari sistem. Semua ini dilakukan melalui kelas WMI yang dapat diakses dari jarak jauh.

• Digunakan secara default RPC melalui TCP, dengan port 135/TCP sebagai penugasan dan kemudian port dinamis tinggi (49152-65535) jika tidak dibatasi.
• Dalam banyak skenario, ini juga digunakan pada WinRM (HTTP 5985 / HTTPS 5986) untuk menghindari penanganan rentang port RPC terbuka.

3. SNMP (Simple Network Management Protocol)
SNMP adalah protokol lapisan aplikasi standar, yang didefinisikan dalam beberapa RFC (1157, 1901-1908, 3411-3418, dan lain-lain), dan merupakan bagian dari tumpukan TCP/IP. Ini adalah bahasa umum untuk router, switch, firewall, printer, NAS, UPS, perangkat keamanan dan juga untuk banyak server.

• Kueri dan operasi baca/tulis biasanya menggunakan UDP 161.
• Notifikasi asinkron (perangkap dan informasi) dikirim melalui UDP 162.
• Kekuatannya terletak pada kombinasi dari Agen SNMP + MIB + OID.

4. SSH
Dalam sistem tipe UNIX (Linux, BSD, dll.), banyak alat memilih untuk terhubung melalui SSH (TCP 22) untuk mengeksekusi perintah dan menguraikan outputnya. Ini adalah alternatif ketika SNMP tidak tersedia atau ketika kontrol yang lebih detail diinginkan tanpa menginstal agen tambahan.

5. API dan layanan web
Semakin banyak produsen yang memaparkan metrik mereka melalui API REST, SOAP, atau layanan webIni adalah cara umum untuk memantau aplikasi modern, solusi cloud, atau perangkat yang sangat spesifik di mana SNMP/WMI tidak cocok atau tidak memadai.

Rekomendasi singkat: apa yang harus digunakan untuk setiap jenis peralatan

sebuah panduan Yang paling sering digunakan di jaringan perusahaan adalah sebagai berikut:

• Komputer Windows: memprioritaskan WMI (atau WMI melalui WinRM) dibandingkan dengan agen Anda sendiri, kecuali jika Anda memerlukan pemantauan aplikasi yang sangat canggih yang hanya mengekspos data melalui agen tersebut.
• Server dan Workstation Linux/UNIX: menggunakan SSH atau agen yang ringan. SNMP juga dimungkinkan, tetapi seringkali kurang memadai dalam memberikan detail sistem.
• Elektronik jaringan (saklar, router, AP, firewall): SNMP Ini adalah pilihan alami. Seringkali bahkan tidak ada metode standar lain.
• Printer dan perangkat "edge" (NAS, UPS, perangkat keras tertentu): hampir selalu SNMP.
• Aplikasi dan layanan modern: jika produsen menawarkan API Pak, gunakan itu dulu.

Los agen properti Simpanlah sebagai rencana cadangan, untuk saat Anda tidak memiliki WMI, SSH, SNMP, atau API yang memenuhi kebutuhan Anda. Penggunaan metode-metode ini seringkali mempersulit penerapan, pemeliharaan, dan penguatan keamanan.

Cara kerja SNMP secara internal: manajer, agen, MIB, dan OID

Untuk menemukan printer dan port menggunakan SNMP, Anda perlu memahami terlebih dahulu bagaimana informasi tersebut diorganisasikan. SNMP didasarkan pada tiga pilar: Manajer SNMP, perangkat terkelola (agen) dan MIB/OID.

Manajer SNMP (NMS)
Ini adalah bagian intinya: konsol atau server yang menjalankan Jaringan Sistem ManajemenIni adalah bagian yang mengirimkan permintaan (GET, GETNEXT, GETBULK, SET) ke agen dan menerima respons, menjebak, dan memberi informasi.

• Lakukan wawancara berkala dengan agen untuk mengumpulkan metrik.
• Sistem ini memproses nilai, menerapkan ambang batas, menghasilkan peringatan dan grafik.
• Anda dapat menulis ke OID (SET) tertentu jika keamanan mengizinkannya, meskipun dalam praktiknya hampir selalu disarankan untuk bekerja dalam mode tulis. hanya baca (RO).

Perangkat terkelola dan agen SNMP
Masing-masing routerSwitch, printer, atau server yang ingin Anda pantau menjalankan sebuah Agen SNMPAgen ini:

• Sistem ini mengumpulkan statistik secara lokal tentang perangkat keras, jaringan, antrian cetak, suhu, dan lain-lain.
• Informasi ini disajikan sesuai dengan definisi yang tercantum dalam MIB-nya.
• Itu bisa menghasilkan perangkap menuju ke NMS ketika terjadi sesuatu (misalnya, kertas macet, penurunan antarmuka, suhu berlebih).
• Bahkan bisa bertindak sebagai wakil untuk perangkat yang tidak memiliki SNMP bawaan.

MIB (Basis Informasi Manajemen)
Secara sederhana, MIB adalah "kamus" yang mendefinisikan variabel mana saja yang dapat ditanyakan dan dalam format apaIni adalah berkas teks (biasanya dalam notasi ASN.1) yang menjelaskan:

• Nama simbolis dari objek tersebut.
• Tipe data (INTEGER, OCTET, STRING, COUNTER, Gauge, TimeTicks...).
• Akses (hanya baca, baca-tulis).
• Deskripsi fungsional.
• Hubungan hierarkis dengan objek lain.

Terdapat MIB standar (misalnya) IF-MIB, IP-MIB, SNMPv2-MIB) dan MIB khusus pabrikan (Cisco, HP, Xerox, Synology, dll.). MIB privat inilah yang memungkinkan Anda melampaui MIB generik, misalnya, Lihat level toner atau jumlah halaman yang telah dicetak pada model tertentu. pencetak.

OID (Pengidentifikasi Objek)
Setiap objek yang didefinisikan dalam MIB diidentifikasi dengan sebuah OID, sebuah urutan angka yang dipisahkan oleh titik, misalnya:

• 1.3.6.1.2.1.1.3.0 -> sysUpTime.
• 1.3.6.1.2.1.1.5.0 -> nama sys (nama perangkat).
• 1.3.6.1.2.1.1.4.0 -> sysContact.

OID diorganisasikan ke dalam struktur pohon, di mana:

• 1.3.6.1.2.1 sesuai dengan MIB standar (mib-2).
• 1.3.6.1.4.1 adalah cabang dari perusahaanArtinya, MIB (Manufacturing Information Base) dari para produsen.

Contoh umum OID eksklusif untuk Synology NAS adalah seperti ini: 1.3.6.1.4.1.6574.5terkait dengan informasi SMART disk, sementara Cisco OID bisa macet karena 1.3.6.1.4.1.9.

Port SNMP, operasi dasar, dan versi protokol

Agar pemantauan SNMP berfungsi, Anda perlu memahami dengan sangat jelas tentang hal-hal berikut: pelabuhan yang terlibat dan model komunikasinyaJika tidak, firewall akan menjadi musuh terburuk Anda.

Port SNMP standar

• UDP 161Permintaan dan operasi normal (GET, GETNEXT, GETBULK, SET). NMS mengirimkan permintaan ke agen pada port tersebut.
• UDP 162: menjebak dan memberi informasi. Dalam hal ini agen Memulai komunikasi ke server pemantauan.

Meskipun TCP dapat digunakan dengan SNMP dalam beberapa kasus, Implementasi klasik dan paling umum adalah UDP.Hal ini memiliki implikasi: biaya operasional berkurang, tetapi juga tidak ada jaminan pengiriman. Itulah mengapa sistem pemantauan sering mengulang kueri jika tidak menerima respons.

Operasi SNMP terpenting

• DAPATKANNMS meminta nilai dari satu atau lebih OID spesifik.
• BERIKUTNYA: Mirip dengan GET, tetapi meminta OID berikutnya dalam hierarki, sangat berguna untuk mengulang melalui tabel.
• DAPATKAN BULK: diperkenalkan di SNMPv2, dirancang untuk mengunduh blok data besar (seluruh tabel) secara efisien.
• SETManajer menulis nilai ke agen. Ini ampuh tetapi berbahaya, itulah sebabnya hampir semua jaringan serius menghindari mengekspos SET atau membatasinya sebisa mungkin.
• PERANGKAP: pesan asinkron yang dikirim agen ke NMS ketika suatu peristiwa terjadi (misalnya, printer kehabisan kertas, tautan terputus).
• MEMBERITAHU: mirip dengan jebakan, tetapi dengan konfirmasi penerimaan oleh NMS.

Versi SNMP dan keamanan
Secara historis, SNMP telah melalui beberapa versi, dengan perubahan terutama di bidang keamanan:

• SNMPv1 (RFC1155, 1156, 1157). Model yang sangat sederhana, keamanan berdasarkan “community string”, tanpa enkripsi.
• SNMPv2cVersi revisi dengan peningkatan kinerja (GETBULK, tipe baru, dll.), tetapi tetap mempertahankan skema keamanan berbasis komunitas yang sama. Ini adalah paling sering digunakan dalam praktik.
• SNMPv3. memasuki otentikasi dan enkripsidengan keamanan berbasis pengguna (USM) dan model akses yang lebih kuat. Ini jauh lebih aman, tetapi juga lebih kompleks untuk dikonfigurasi dan mungkin menimbulkan beberapa beban tambahan.

Demi kenyamanan, banyak jaringan masih menggunakan SNMPv2c dalam mode baca saja (RO) dengan komunitas yang kompleks dan daftar kontrol akses pada perangkat. Jika Anda perlu mematuhi kebijakan keamanan yang ketat, disarankan untuk merencanakan migrasi bertahap ke v3.

WMI Secara Mendalam: Port, RPC, dan WinRM

Di lingkungan Windows, WMI adalah alat andalan untuk mengekstrak informasi sistem tanpa perlu menginstal agen tambahan. Namun di tingkat jaringan, WMI bergantung pada RPC Dan itu berdampak pada firewall.

Pelabuhan yang terlibat dalam WMI klasik

• TCP 135: pelabuhan Pemeta Titik Akhir RPCIni adalah titik masuk awal; melalui titik ini klien menegosiasikan port dinamis mana yang akan digunakan oleh panggilan berikutnya.
• Port dinamis TCP tinggikhas 49152-65535 Pada sistem modern, sesi WMI/DCOM yang sebenarnya dibuat di sana.

Jika Anda melakukan segmentasi jaringan dan penyaringan port secara intensif, ini menyiratkan sebuah masalahMembuka rentang penuh 49152-65535 di antara segmen umumnya tidak dapat diterima dari sudut pandang keamanan.

Alternatif: WMI melalui WinRM
Untuk menghindari banjir port dinamis ini, Microsoft menawarkan kemungkinan untuk mengekspos WMI melalui Manajemen WS melalui WinRM:

• HTTP di pelabuhan 5985 / TCP.
• HTTPS di pelabuhan 5986 / TCP.

Dengan cara ini, Anda dapat membatasi komunikasi WMI ke port yang telah ditentukan dengan baik dan lebih mudah dikendalikan Di dalam firewall, selain menambahkan enkripsi saat menggunakan HTTPS. Ini adalah metode yang disukai untuk alat pemantauan dan manajemen jarak jauh Windows modern.

WMI + Active Directory dan layanan lainnya
Jangan sampai dilupakan bahwa banyak operasi administrasi jarak jauh terkait dengan WMI, PowerShell Pengoperasian jarak jauh atau peningkatan kinerja pengendali domain itu sendiri juga memanfaatkan:

• LDAP (389/TCP dan UDP), LDAPS (636/TCP).
• SMB (445/TCP) untuk saluran bernama.
• Port RPC sementara berkapasitas tinggi untuk berbagai layanan yang bergantung (DFS, replikasi file, Netlogon, dll.).

Jika Anda benar-benar mematikan jaringan Windows, penting untuk meninjau tabel lengkap berikut ini. port layanan sistem Kebijakan Microsoft adalah menghindari pemutusan komponen-komponen penting (Kerberos, DNS, jadwal Windows, replikasi AD, dll.).

Mendeteksi printer dan port dengan SNMP: pendekatan praktis.

Mari kita fokuskan semua ini pada kasus yang paling menarik bagi kita: Temukan printer di jaringan dan pahami port mana yang aktif. menggunakan SNMP.

1. Aktifkan dan konfigurasikan SNMP pada printer.
Pada sebagian besar printer yang tergolong modern, SNMP diaktifkan secara default atau diaktifkan dari antarmuka web perangkat:

• Mendefinisikan sebuah Komunitas pembaca SNMP (Jangan menggunakan kata "publik" dalam lingkungan perusahaan yang serius).
• Jika memungkinkan, membatasi akses SNMP ke alamat IP atau subnet server pemantauan Anda.
• Isilah kolom-kolom berikut ini sysLocation y sysContact agar saya bisa mengaturnya nanti (kantor, ruangan, lantai, email dukungan, dll.).

2. Periksa dari server pemantauan menggunakan snmpwalk
Pada host Linux atau sistem serupa dengan perangkat lunak Net-SNMP terpasang, Anda dapat menggunakan:

snmpwalk -v2c -c KOMUNITAS_ANDA 192.168.xx

Jika konfigurasinya benar, Anda akan melihat parade. daftar panjang OID dan nilainya: nama sistem, lokasi, jumlah antarmuka, statistik jaringan, penghitung halaman, level toner (jika disediakan oleh produsen dalam MIB pribadi mereka), dll.

Untuk menguji hanya OID tertentu (misalnya, nama sys):

snmpwalk -v2c -c YOUR_COMMUNITY 192.168.xx SNMPv2-MIB::sysName.0

3. Mengidentifikasi port dan lalu lintas SNMP "sampah"
Kasus yang sangat umum dalam jaringan dengan sejarah panjang adalah menemukan sebuah Server cetak Windows yang terus mencoba berkomunikasi melalui SNMP dengan printer yang sudah tidak ada lagi atau telah berpindah subnet.

• Port TCP/IP printer di Windows dapat memiliki SNMP diaktifkan secara default..
• Jika server tersebut mencoba melakukan kueri SNMP ke IP lama setiap beberapa detik, Anda akan melihat banyak paket yang diblokir Pada firewall Anda (misalnya, FortiGate), semua permintaan diarahkan ke alamat UDP 161 yang tidak lagi termasuk dalam jaringan tersebut.

Solusinya sesederhana ini: Nonaktifkan SNMP pada port printer tersebut. atau bersihkan port yang tidak terpakai. Sebelum menghapus apa pun, sebaiknya verifikasi terlebih dahulu bahwa memang tidak ada pekerjaan terkait dan printer yang bersangkutan tidak lagi menjadi bagian dari infrastruktur.

4. Penggunaan MIB pabrikan untuk data tingkat lanjut
Jika Anda ingin melampaui "hidup atau mati" dan untuk benar-benar memantau status printer (antrian, kemacetan, toner, baki kertas), Anda harus:

• Unduh MIB khusus produsen (Xerox, HP, Canon, dll.), seringkali tersedia di portal dukungan mereka.
• Unggah data tersebut ke alat SNMP atau peramban MIB Anda.
• Temukan OID yang terkait dengan setiap metrik (misalnya, jumlah halaman yang dicetak, masa pakai bahan habis pakai, kode kesalahan).

Dengan itu Anda akan dapat membangun grafik dan peringatan yang memberi tahu pengguna ketika printer kehabisan kertas, ketika toner tinggal 5%, atau ketika penghitung menunjukkan lonjakan yang tidak normal, sehingga mencegah kejutan bagi pengguna.

SNMP, keamanan, dan praktik konfigurasi yang baik.

SNMP sangatlah ampuh, tetapi jika dibiarkan tanpa pengawasan, ia akan menjadi sebuah masalah. saringanBeberapa poin penting untuk menghindari kesalahan yang merugikan diri sendiri:

• Selalu gunakan komunitas yang dipersonalisasitidak pernah “publik”/“pribadi”.
• Batasi akses ke IP atau subnet tertentu menggunakan ACL pada router, switch, atau pada daemon SNMP itu sendiri (Linux, Windows, ESXi, dll.).
• Sebisa mungkin, tetaplah di dalam mode baca (RO)Hindari penggunaan SET dalam produksi kecuali dalam kasus-kasus yang sangat terkontrol.
• Jika lingkungan Anda membutuhkannya, pertimbangkan untuk menggunakannya. SNMPv3 dengan otentikasi dan enkripsi, setidaknya untuk peralatan penting.
• Dokumen Apa itu MIB dan OID? Anda menggunakan dan memahami artinya, agar administrator lain dapat memeliharanya.

Di Windows Server, ingatlah bahwa Layanan SNMP:

• Fitur ini tidak terpasang secara default; fitur ini harus ditambahkan (melalui GUI, PowerShell, atau kemampuan opsional).
• Pengaturannya sebagian besar dilakukan melalui tab. keamanan y Agen Informasi layanan meliputi: komunitas yang diterima, penyedia layanan tempat paket diizinkan, kontak, lokasi, dan layanan yang dipantau.

Di Linux, file kunci biasanya /etc/snmp/snmpd.confdi mana Anda dapat menentukan tampilan, komunitas, dan arah pendengaran, misalnya hanya mengizinkan satu komunitas yang ditentukan dan membatasi tampilan ke .1 (seluruh pohon) atau subset tertentu.

Mengkoordinasikan WMI, SNMP, dan firewall dalam jaringan tersegmentasi

Di perusahaan dengan banyak VLAN, DMZ, dan zona yang difilter secara ketat, tantangannya bukan hanya pemantauan, tetapi pemantauan yang sebenarnya. tanpa membuka separuh dari seluruh dunia pelabuhan.Di sinilah WMI, SNMP, dan aturan firewall perlu dikombinasikan dengan benar.

Beberapa prinsip yang berhasil:

• untuk Jendela Internal: memungkinkan WinRM (5985/5986) dan membatasi WMI klasik oleh RPC hanya pada segmen yang sangat terkontrol.
• untuk peralatan jaringan dan printer: hanya membuka UDP 161/162 ke dan dari IP server pemantauan Anda.
• Sentralisasi pemantauan di beberapa NMS yang terlindungi dengan baik alih-alih memiliki banyak sumber kueri yang tersebar.
• Periksa tabel Port layanan Windows Server untuk memastikan bahwa AD, DNS, Kerberos, DFS, Netlogon, dll. masih dapat berkomunikasi satu sama lain setelah dilakukan pengerasan sistem.

Jika Anda sudah memiliki firewall yang mencatat lalu lintas yang ditolak, ini adalah ide yang bagus. menganalisis log Mencari pola SNMP yang diblokir (atau WMI melalui RPC) yang sesuai dengan perangkat yang salah konfigurasi, printer yang hilang, atau server yang masih menganggap ada subnet yang sudah usang. Membersihkan ini mengurangi gangguan latar belakang dan menyelamatkan Anda dari aturan yang tidak perlu.

Pada akhirnya, kombinasikan dengan baik. WMI di Windows dan SNMP untuk semua hal lainnya.Dengan kebijakan port dan komunitas yang jelas, ini memberi Anda tampilan yang sangat detail tentang printer, server, switch, dan aplikasi, tanpa harus membebani jaringan dengan agen yang berat atau membiarkan firewall terbuka lebar. Ini adalah cara paling masuk akal untuk melacak siapa yang mencetak, dari mana, dan melalui port mana, tanpa harus pusing setiap kali audit dilakukan atau Anda perlu meninjau keamanan infrastruktur.