Scopri stampanti e porte utilizzando WMI e SNMP di base

In qualsiasi rete minimamente seria, Scopri stampanti, server e porte aperti Non è un "extra", è essenziale se vuoi la massima tranquillità. Tra policy di sicurezza, controlli e utenti che stampano su dispositivi con toner, devi sapere cosa c'è nella tua stampante, dove si trova e come funziona.

La buona notizia è che non è necessario reinventare la ruota: WMI negli ambienti Windows e SNMP su praticamente qualsiasi dispositivo di rete Offrono tutto ciò di cui hai bisogno se sai come usarle. Il segreto è capire cosa offre ogni tecnologia, quali porte sono coinvolte, come si integra con i firewall e quali sono le implicazioni per prestazioni e sicurezza.

Panoramica: agenti, WMI, SNMP e altri modi per monitorare

Quando parliamo di monitoraggio attrezzature e stampantiIn realtà stiamo parlando di scegliere il “canale” attraverso il quale lo strumento di monitoraggio estrarrà le informazioni del dispositivo. In generale, queste opzioni coesistono nelle reti aziendali:

1. Agente installato sul dispositivo
Molte piattaforme di monitoraggio includono il proprio agente per Windows, Linux o anche applicazioni specifiche. Viene installato su ciascun computer e l'agente raccoglie le metriche (CPU, RAM, dischi, servizi, ecc.) e le invia al server di monitoraggio.

• vantaggio: accesso molto granulare ai dati di sistema, anche oltre quanto offerto da WMI o SNMP.
• scomodoDeve essere implementato, gestito, aggiornato e controllato per garantire che non diventi un problema di prestazioni o di sicurezza.

2. WMI (strumentazione gestione Windows)
Nel mondo Windows, WMI è lo standard. Permette di ottenere informazioni molto dettagliate su hardwaresoftware, processi, servizi, prestazioni e persino configurare determinati aspetti del sistema. Tutto questo avviene tramite classi WMI accessibili da remoto.

• Usa per impostazione predefinita RPC su TCP, con la porta 135/TCP come assegnatrice e quindi porte ad alta dinamica (49152-65535) se non limitate.
• In molti scenari viene utilizzato anche su WinRM (HTTP 5985 / HTTPS 5986) per evitare di dover gestire intervalli di porte RPC aperti.

3. SNMP (Simple Network Management Protocol)
SNMP è un protocollo standard a livello applicativo, definito in diverse RFC (1157, 1901-1908, 3411-3418, tra le altre) e fa parte dello stack TCP/IP. È il linguaggio comune per router, switch, firewall, stampanti, NAS, UPS, dispositivi di sicurezza e anche per molti server.

• Le query e le operazioni di lettura/scrittura in genere utilizzano UDP 161.
• Le notifiche asincrone (trappole e informazioni) viaggiano tramite UDP 162.
• Il suo potere risiede nella combinazione di Agenti SNMP + MIB + OID.

4. SSH
Nei sistemi di tipo UNIX (Linux, BSD, ecc.), molti strumenti scelgono di connettersi tramite SSH (TCP 22) eseguire comandi e analizza l'output. Questa è un'alternativa quando SNMP non è disponibile o quando si desidera un controllo più preciso senza installare agenti aggiuntivi.

5. API e servizi web
Sempre più produttori stanno esponendo le loro metriche attraverso API REST, SOAP o servizi webÈ il metodo più comune per monitorare applicazioni moderne, soluzioni cloud o dispositivi molto specifici in cui SNMP/WMI non è adatto o non è all'altezza.

Raccomandazione rapida: cosa usare per ogni tipo di attrezzatura

Un guida Quello che funziona sulla maggior parte delle reti aziendali è il seguente:

• PC Windows: dare priorità WMI (o WMI tramite WinRM) rispetto ai tuoi agenti, a meno che non ti serva un monitoraggio molto avanzato delle applicazioni che espongono i dati solo tramite quell'agente.
• Server e workstation Linux/UNIX: utilizzo SSH o un agente leggero. Anche SNMP è possibile, ma spesso non è in grado di fornire dettagli di sistema.
• Elettronica di rete (switch, router, AP, firewall): SNMP È la scelta naturale. Spesso non esiste nemmeno un altro metodo standard.
• Stampanti e dispositivi “edge” (NAS, UPS, hardware specifico): quasi sempre SNMP.
• Applicazioni e servizi moderni: se il produttore offre API Agente, usalo per primo.

I agenti immobiliari Utilizzateli come piano di riserva, per quando non avete WMI, SSH, SNMP o API che soddisfino le vostre esigenze. Spesso complicano le distribuzioni, la manutenzione e il rafforzamento della sicurezza.

Come funziona internamente SNMP: gestori, agenti, MIB e OID

Per rilevare stampanti e porte tramite SNMP, è necessario innanzitutto comprendere come sono organizzate le informazioni. SNMP si basa su tre pilastri: Gestore SNMP, dispositivi gestiti (agenti) e MIB/OID.

Gestore SNMP (NMS)
È il pezzo centrale: la console o il server che esegue il Network Management SystemÈ colui che invia richieste (GET, GETNEXT, GETBULK, SET) agli agenti e riceve risposte, trappole e informazioni.

• Intervistare periodicamente gli agenti per raccogliere dati statistici.
• Elabora valori, applica soglie, genera avvisi e grafici.
• È possibile scrivere su determinati OID (SET) se la sicurezza lo consente, anche se in pratica si consiglia di lavorare quasi sempre in modalità scrittura. di sola lettura (RO).

Dispositivi gestiti e agenti SNMP
ogni routerLo switch, la stampante o il server che si desidera monitorare esegue un agente SNMPQuesto agente:

• Raccoglie localmente statistiche su hardware, rete, code di stampa, temperatura, ecc.
• Presenta queste informazioni secondo le definizioni contenute nei suoi MIB.
• Può generare trappole verso l'NMS quando accade qualcosa (ad esempio, inceppamento della carta, caduta dell'interfaccia, surriscaldamento).
• Può anche agire come delega per i dispositivi che non dispongono di SNMP nativo.

MIB (Base di informazioni di gestione)
Il MIB è, per dirla in parole povere, il “dizionario” che definisce quali variabili possono essere interrogate e in quale formatoSi tratta di un file di testo (solitamente in notazione ASN.1) che descrive:

• Nome simbolico dell'oggetto.
• Tipo di dati (INTEGER, OCTET STRING, COUNTER, Gauge, TimeTicks...).
• Accesso (sola lettura, lettura-scrittura).
• Descrizione funzionale.
• Relazione gerarchica con altri oggetti.

Esistono MIB standard (ad esempio) IF-MIB, IP-MIB, SNMPv2-MIB) e MIB specifici del produttore (Cisco, HP, Xerox, Synology, ecc.). Questi MIB privati ​​sono ciò che consente di andare oltre il generico, ad esempio, Visualizza il livello del toner o le pagine stampate di un modello specifico stampante.

OID (identificatore oggetto)
Ogni oggetto definito in un MIB è identificato con un OID, una sequenza numerica separata da punti, ad esempio:

• 1.3.6.1.2.1.1.3.0 -> sysUpTime.
• 1.3.6.1.2.1.1.5.0 -> sysName (nome del dispositivo).
• 1.3.6.1.2.1.1.4.0 -> sysContact.

Gli OID sono organizzati in un struttura ad albero, dove:

• 1.3.6.1.2.1 corrisponde al MIB standard (mib-2).
• 1.3.6.1.4.1 è il ramo di aziendeVale a dire i MIB dei produttori.

Un tipico esempio di OID proprietario per un NAS Synology sarebbe qualcosa del genere: 1.3.6.1.4.1.6574.5correlato alle informazioni SMART del disco, mentre un Cisco OID potrebbe bloccarsi da 1.3.6.1.4.1.9.

Porte SNMP, operazioni di base e versioni del protocollo

Affinché il monitoraggio SNMP funzioni, è necessario avere le idee molto chiare su i porti coinvolti e il modello di comunicazioneAltrimenti il ​​firewall diventa il tuo peggior nemico.

Porte SNMP standard

• UDP 161Query e operazioni normali (GET, GETNEXT, GETBULK, SET). L'NMS invia le richieste all'agente su quella porta.
• UDP 162: intrappola e informa. In questo caso il agente avvia la comunicazione con il server di monitoraggio.

Sebbene TCP possa essere utilizzato con SNMP in alcuni casi, L'implementazione classica e più diffusa è UDPCiò ha delle implicazioni: c'è meno overhead, ma non c'è alcuna garanzia di consegna. Ecco perché i sistemi di monitoraggio spesso ripetono le query se non ricevono risposta.

Le operazioni SNMP più importanti

• GETL'NMS richiede il valore di uno o più OID specifici.
• OTTIENI: simile a GET, ma richiede il successivo OID nella gerarchia, molto utile per scorrere le tabelle.
• OTTIENI ALLA RINFUSA: introdotto in SNMPv2, progettato per scaricare in modo efficiente grandi blocchi di dati (intere tabelle).
• SETIl gestore scrive un valore all'agente. È potente ma pericoloso, motivo per cui quasi tutte le reti serie evitano di esporre SET o lo limitano il più possibile.
• TRAPPOLA: messaggio asincrono che l'agente invia all'NMS quando si verifica un evento (ad esempio, stampante senza carta, collegamento non attivo).
• FAR SAPERE: simile a una trappola, ma con conferma di ricezione da parte dell'NMS.

Versioni e sicurezza SNMP
Storicamente, SNMP ha attraversato diverse versioni, con modifiche principalmente nell'ambito della sicurezza:

• SNMPv1 (RFC1155, 1156, 1157). Modello molto semplice, sicurezza basata sulla “stringa della comunità”, senza crittografia.
• SNMPv2cVersione rivista con miglioramenti delle prestazioni (GETBULK, nuovi tipi, ecc.), ma mantenendo lo stesso schema di sicurezza basato sulla comunità. È il più utilizzato nella pratica.
• SNMPv3. Introdurre autenticazione e crittografiacon sicurezza basata sull'utente (USM) e modelli di accesso più robusti. È molto più sicuro, ma anche più complesso da configurare e potrebbe comportare un sovraccarico aggiuntivo.

Per comodità, molte reti utilizzano ancora SNMPv2c in modalità di sola lettura (RO) con comunità complesse ed elenchi di controllo degli accessi sui dispositivi. Se è necessario rispettare rigide politiche di sicurezza, è consigliabile pianificare una migrazione graduale a v3.

WMI in dettaglio: porte, RPC e WinRM

Negli ambienti Windows, WMI è lo strumento ideale per estrarre informazioni di sistema senza installare agenti aggiuntivi. Ma a livello di rete, WMI dipende da RPC E questo ha delle conseguenze per il firewall.

Porte coinvolte nel WMI classico

• TCP 135: porto di Mappatore endpoint RPCÈ il punto di ingresso iniziale; attraverso di esso il client negozia quale porta dinamica verrà utilizzata dalla chiamata successiva.
• Porte TCP dinamiche elevatetipicamente 49152-65535 Nei sistemi moderni, la sessione WMI/DCOM vera e propria viene stabilita lì.

Se si segmenta pesantemente la rete e si filtrano le porte, ciò implica un il problemaL'apertura di un intervallo completo 49152-65535 tra i segmenti non è generalmente accettabile dal punto di vista della sicurezza.

Alternativa: WMI tramite WinRM
Per evitare questo flusso di porte dinamiche, Microsoft offre la possibilità di esporre WMI tramite Gestione WS tramite WinRM:

• HTTP nel porto 5985 / TCP.
• HTTPS nel porto 5986 / TCP.

In questo modo, è possibile limitare la comunicazione WMI a porte ben definite e più facile da controllare nel firewall, oltre ad aggiungere la crittografia quando si utilizza HTTPS. È il metodo preferito per i moderni strumenti di monitoraggio e gestione remota di Windows.

WMI + Active Directory e altri servizi
Non bisogna dimenticare che molte operazioni di amministrazione remota legate a WMI, PowerShell Anche il remoting o la promozione dei controller di dominio stessi sfruttano:

• LDAP (389/TCP e UDP), LDAPS (636/TCP).
• SMB (445/TCP) per condotti denominati.
• Porte RPC altamente temporanee per diversi servizi dipendenti (DFS, replicazione dei file, Netlogon, ecc.).

Se si sta arrestando completamente una rete Windows, è essenziale rivedere la tabella completa di porte di servizio di sistema La politica di Microsoft è quella di evitare di interrompere i componenti critici (Kerberos, DNS, pianificazione di Windows, replica di AD, ecc.).

Rilevamento di stampanti e porte con SNMP: un approccio pratico

Concentriamoci sul caso che più ci interessa: Individuare le stampanti sulla rete e capire quali porte sono attive utilizzando SNMP.

1. Attivare e configurare SNMP sulle stampanti
Sulla maggior parte delle stampanti moderatamente moderne, SNMP è abilitato per impostazione predefinita o può essere attivato dall'interfaccia web del dispositivo:

• Definisce a Comunità di lettura SNMP (Non utilizzare "pubblico" in ambienti aziendali seri).
• Se possibile, limita l'accesso SNMP all'indirizzo IP o alla subnet del tuo server di monitoraggio.
• Compila i campi di sysLocation y sysContact in modo da poterli organizzare in seguito (ufficio, stanza, piano, email di supporto, ecc.).

2. Controllare dal server di monitoraggio tramite snmpwalk
Su un host Linux o simile con gli strumenti Net-SNMP installati, puoi usare:

snmpwalk -v2c -c LA TUA_COMUNITÀ 192.168.xx

Se la configurazione è corretta, vedrai una sfilata lungo elenco di OID e valori: nome del sistema, posizione, numero di interfacce, statistiche di rete, contatori di pagine, livelli di toner (se forniti dal produttore nei propri MIB privati), ecc.

Per testare solo un OID specifico (ad esempio, sysName):

snmpwalk -v2c -c LA_TUA_COMUNITÀ 192.168.xx SNMPv2-MIB::sysName.0

3. Identificare le porte e il traffico SNMP "spazzatura"
Un caso molto tipico nelle reti con una storia è trovare un Server di stampa Windows che continua a provare a comunicare tramite SNMP con stampanti che non esistono più o che hanno cambiato subnet.

• Le porte TCP/IP della stampante in Windows possono avere SNMP abilitato per impostazione predefinita.
• Se quel server tenta di effettuare query SNMP ai vecchi IP ogni pochi secondi, vedrai molti pacchetti bloccati sul tuo firewall (ad esempio, un FortiGate), tutti indirizzati ad indirizzi UDP 161 che non appartengono più alla rete.

La soluzione è semplice come questa: Disabilitare SNMP su quelle porte di stampa oppure ripulisci le porte inutilizzate. Prima di eliminare qualsiasi cosa, è consigliabile verificare che non ci siano effettivamente processi associati e che la stampante corrispondente non faccia più parte dell'infrastruttura.

4. Utilizzo del MIB del produttore per dati avanzati
Se vuoi andare oltre "è acceso o spento" e per monitorare effettivamente lo stato delle stampanti (code, inceppamenti, toner, vassoi carta), dovrai:

• Scarica il MIB specifici del produttore (Xerox, HP, Canon, ecc.), spesso disponibili sul loro portale di supporto.
• Caricali sul tuo strumento SNMP o sul browser MIB.
• Individuare gli OID relativi a ciascuna metrica (ad esempio, numero di pagine stampate, durata dei materiali di consumo, codici di errore).

Con questo potrai costruire grafici e avvisi che avvisano gli utenti quando la carta nella stampante finisce, quando il toner è al 5% o quando un contatore raggiunge picchi anomali, evitando così sorprese agli utenti.

SNMP, sicurezza e buone pratiche di configurazione

SNMP è incredibilmente potente, ma se non controllato diventa un filtroAlcuni punti chiave per evitare di spararti sui piedi:

• Usa sempre comunità personalizzatemai “pubblico”/“privato”.
• Limitare l'accesso a IP o subnet specifici utilizzando ACL su router, switch o sullo stesso demone SNMP (Linux, Windows, ESXi, ecc.).
• Quando possibile, resta in modalità di lettura (RO)Evitare SET in produzione, tranne in casi molto controllati.
• Se il tuo ambiente lo richiede, prendi in considerazione l'utilizzo SNMPv3 con autenticazione e crittografia, almeno per le apparecchiature critiche.
• Documenta Quali MIB e OID? Li usi e ne capisci il significato, in modo che altri amministratori possano gestirli.

In Windows Server, ricorda che servizio SNMP:

• Non è installata di default; la funzionalità deve essere aggiunta (tramite GUI, PowerShell o funzionalità opzionali).
• Si configura principalmente dalle schede Sicurezza y Agente del servizio: comunità accettate, host da cui sono consentiti i pacchetti, contatti, posizione e servizi monitorati.

In Linux, il file chiave è solitamente /etc/snmp/snmpd.confdove puoi definire visualizzazioni, comunità e direzioni di ascolto, ad esempio consentendo solo una comunità definita e limitando la visualizzazione a .1 (l'intero albero) o sottoinsiemi specifici.

Coordinamento di WMI, SNMP e firewall in reti segmentate

Nelle aziende con più VLAN, DMZ e zone altamente filtrate, la sfida non è solo il monitoraggio, ma il monitoraggio stesso. senza aprire metà dell'universo dei portiÈ qui che le regole WMI, SNMP e firewall devono essere combinate correttamente.

Alcuni principi che funzionano bene:

• a Finestre interne: abilita WinRM (5985/5986) e limita il WMI classico tramite RPC solo ai segmenti altamente controllati.
• a apparecchiature di rete e stampanti: apre solo UDP 161/162 da e verso gli IP dei server di monitoraggio.
• Centralizzare il monitoraggio in pochi NMS ben protetti invece di avere più fonti di query sparse.
• Controlla la tabella di Porte del servizio Windows Server per garantire che AD, DNS, Kerberos, DFS, Netlogon, ecc. possano ancora comunicare tra loro dopo qualsiasi rafforzamento.

Se hai già un firewall che registra il traffico negato, è una buona idea. analizzare il i registri Ricerca di pattern SNMP bloccati (o WMI tramite RPC) che corrispondono a dispositivi configurati in modo errato, stampanti mancanti o server che ritengono ancora la presenza di subnet obsolete. La pulizia di questi pattern riduce il rumore di fondo e ti evita di dover ricorrere a regole non necessarie.

Alla fine, amalgamate bene WMI su Windows e SNMP per tutto il restoGrazie a una chiara policy di porte e community, offre una visione estremamente dettagliata di stampanti, server, switch e applicazioni, senza dover sovraccaricare la rete con agenti pesanti o lasciare il firewall completamente aperto. È il modo più sensato per tenere traccia di chi stampa, da dove e attraverso quali porte, senza impazzire ogni volta che si presenta un audit o è necessario rivedere la sicurezza dell'infrastruttura.