Temui pencetak dan port menggunakan WMI dan SNMP asas

Dalam mana-mana rangkaian yang minimum serius, Temui pencetak, pelayan dan port terbuka Ia bukan "tambahan," ia penting jika anda mahukan ketenangan fikiran. Antara dasar keselamatan, audit dan pengguna yang mencetak pada apa-apa sahaja yang menggunakan toner, anda perlu tahu apa yang ada pada pencetak anda, di mana ia berada dan bagaimana ia berfungsi.

Berita baiknya ialah anda tidak perlu mencipta semula roda: WMI dalam persekitaran Windows dan SNMP pada hampir semua peranti rangkaian Mereka memberikan semua yang anda perlukan jika anda tahu cara menggunakannya. Caranya ialah memahami apa yang ditawarkan oleh setiap teknologi, port yang terlibat, bagaimana ia sesuai dengan tembok api dan apakah implikasinya terhadap prestasi dan keselamatan.

Gambaran Keseluruhan: Ejen, WMI, SNMP dan cara lain untuk memantau

Apabila kita bercakap tentang pemantauan peralatan dan pencetakSebenarnya, kita bercakap tentang memilih "saluran" yang melaluinya alat pemantauan akan mengekstrak maklumat peranti tersebut. Secara amnya, pilihan ini wujud bersama dalam rangkaian korporat:

1. Ejen dipasang pada peranti
Banyak platform pemantauan menyertakan ejen mereka sendiri untuk Windows, Linux atau aplikasi tertentu. Ia dipasang pada setiap komputer, dan ejen mengumpul metrik (CPU, RAM, cakera, perkhidmatan, dll.) dan menghantarnya ke pelayan pemantauan.

• Kelebihan: akses yang sangat terperinci kepada data sistem, malah melangkaui apa yang ditawarkan oleh WMI atau SNMP.
• KelemahanIa perlu digunakan, diselenggara, dikemas kini dan diperiksa untuk memastikan ia tidak menjadi masalah prestasi atau keselamatan.

2. WMI (Instrumentasi Pengurusan Windows)
Dalam dunia Windows, WMI adalah standard. Ia membolehkan anda mendapatkan maklumat yang sangat terperinci tentang perkakasanperisian, proses, perkhidmatan, prestasi dan juga mengkonfigurasi aspek tertentu sistem. Semua ini dilakukan melalui kelas WMI yang boleh diakses dari jauh.

• Gunakan secara lalai RPC melalui TCP, dengan port 135/TCP sebagai penyerah hak dan kemudian port dinamik tinggi (49152-65535) jika tidak dihadkan.
• Dalam banyak senario, ia juga digunakan pada WinRM (HTTP 5985 / HTTPS 5986) untuk mengelakkan berurusan dengan julat port RPC terbuka.

3. SNMP (Protokol Pengurusan Rangkaian Mudah)
SNMP ialah protokol lapisan aplikasi piawai, yang ditakrifkan dalam beberapa RFC (1157, 1901-1908, 3411-3418, antara lain), dan merupakan sebahagian daripada susunan TCP/IP. Ia merupakan bahasa umum untuk penghala, suis, tembok api, pencetak, NAS, UPS, peralatan keselamatan dan juga untuk banyak pelayan.

• Pertanyaan dan operasi baca/tulis biasanya digunakan UDP 161.
• Pemberitahuan tak segerak (perangkap dan maklumat) bergerak melalui UDP 162.
• Kekuatannya terletak pada gabungan Ejen SNMP + MIB + OID.

4. SSH
Dalam sistem jenis UNIX (Linux, BSD, dll.), banyak alat memilih untuk berhubung melalui SSH (TCP 22) untuk melaksanakan arahan dan menghuraikan output. Ini adalah alternatif apabila SNMP tidak tersedia atau apabila kawalan yang lebih halus diperlukan tanpa memasang ejen tambahan.

5. API dan perkhidmatan web
Semakin banyak pengeluar mendedahkan metrik mereka melalui API REST, SOAP atau perkhidmatan webIa merupakan cara biasa untuk memantau aplikasi moden, penyelesaian awan atau peralatan yang sangat spesifik di mana SNMP/WMI tidak sesuai atau telah gagal.

Cadangan ringkas: apa yang perlu digunakan untuk setiap jenis peralatan

yang panduan Yang berfungsi pada kebanyakan rangkaian korporat ialah yang berikut:

• Komputer Windows: utamakan WMI (atau WMI melalui WinRM) berbanding ejen anda sendiri, melainkan anda memerlukan pemantauan aplikasi yang sangat lanjutan yang hanya mendedahkan data melalui ejen tersebut.
• Pelayan dan Stesen Kerja Linux/UNIX: kegunaan SSH atau ejen ringan. SNMP juga mungkin, tetapi ia sering gagal dalam memberikan butiran sistem.
• Elektronik rangkaian (suis, penghala, AP, tembok api): SNMP Ia adalah pilihan semula jadi. Selalunya tiada kaedah standard lain.
• Pencetak dan peranti "tepi" (NAS, UPS, perkakasan tertentu): hampir selalu SNMP.
• Aplikasi dan perkhidmatan moden: jika pengilang menawarkan API Pegawai, gunakannya dahulu.

The ejen hartanah Biarkan ia sebagai pelan sandaran, apabila anda tidak mempunyai WMI, SSH, SNMP atau API yang memenuhi keperluan anda. Ia sering merumitkan penggunaan, penyelenggaraan dan pengukuhan keselamatan.

Cara SNMP berfungsi secara dalaman: pengurus, ejen, MIB dan OID

Untuk menemui pencetak dan port menggunakan SNMP, anda perlu memahami cara maklumat disusun terlebih dahulu. SNMP adalah berdasarkan tiga tonggak: Pengurus SNMP, peranti terurus (ejen) dan MIB/OID.

Pengurus SNMP (NMS)
Ia merupakan bahagian utama: konsol atau pelayan yang menjalankan Sistem Pengurusan RangkaianIa adalah yang menghantar permintaan (GET, GETNEXT, GETBULK, SET) kepada ejen dan menerima respons, perangkap dan maklumat.

• Temu bual ejen secara berkala untuk mengumpul metrik.
• Ia memproses nilai, menggunakan ambang, menjana amaran dan graf.
• Anda boleh menulis kepada OID (SET) tertentu jika keselamatan membenarkannya, walaupun dalam praktiknya, disyorkan untuk hampir sentiasa berfungsi dalam mod tulis. baca sahaja (RO).

Peranti terurus dan ejen SNMP
Setiap penghalaSuis, pencetak atau pelayan yang anda ingin pantau menjalankan ejen SNMPEjen ini:

• Ia mengumpul statistik secara tempatan mengenai perkakasan, rangkaian, giliran cetak, suhu, dan sebagainya.
• Ia membentangkan maklumat ini mengikut definisi yang terkandung dalam MIBnya.
• Ia dapat menjana perangkap ke arah NMS apabila sesuatu berlaku (cth., kertas tersekat, antara muka jatuh, suhu berlebihan).
• Ia juga boleh bertindak sebagai proksi untuk peranti yang tidak mempunyai SNMP asli.

MIB (Pangkalan Maklumat Pengurusan)
Secara ringkasnya, MIB ialah "kamus" yang mentakrifkan pembolehubah yang boleh dipersoalkan dan dalam format apaIa merupakan fail teks (biasanya dalam notasi ASN.1) yang menerangkan:

• Nama simbolik objek tersebut.
• Jenis data (INTEGER, OCTET STRING, COUNTER, Gauge, TimeTicks...).
• Akses (baca sahaja, baca-tulis).
• Huraian fungsian.
• Hubungan hierarki dengan objek lain.

Terdapat MIB standard (contohnya) IF-MIB, IP-MIB, SNMPv2-MIB) dan MIB khusus pengeluar (Cisco, HP, Xerox, Synology, dll.). MIB persendirian inilah yang membolehkan anda melangkaui generik, contohnya, Lihat paras toner atau halaman bercetak model tertentu pencetak.

OID (Pengenal Objek)
Setiap objek yang ditakrifkan dalam MIB dikenal pasti dengan OID, jujukan berangka yang dipisahkan oleh noktah, contohnya:

• 1.3.6.1.2.1.1.3.0 -> sysUpTime.
• 1.3.6.1.2.1.1.5.0 -> sysName (nama peranti).
• 1.3.6.1.2.1.1.4.0 -> sysContact.

OID disusun menjadi struktur pokok, di mana:

• 1.3.6.1.2.1 sepadan dengan MIB standard (mib-2).
• 1.3.6.1.4.1 ialah cabang daripada perusahaanIaitu, MIB pengeluar.

Contoh tipikal OID proprietari untuk Synology NAS adalah seperti ini: 1.3.6.1.4.1.6574.5berkaitan dengan maklumat cakera SMART, manakala Cisco OID boleh tergantung dari 1.3.6.1.4.1.9.

Port SNMP, operasi asas dan versi protokol

Agar pemantauan SNMP berfungsi, anda perlu jelas tentangnya pelabuhan yang terlibat dan model komunikasiJika tidak, firewall akan menjadi musuh terburuk anda.

Port SNMP standard

• UDP 161Pertanyaan dan operasi biasa (GET, GETNEXT, GETBULK, SET). NMS menghantar permintaan kepada ejen pada port tersebut.
• UDP 162: perangkap dan maklumat. Dalam kes ini, ejen memulakan komunikasi ke pelayan pemantauan.

Walaupun TCP boleh digunakan dengan SNMP dalam beberapa kes, Pelaksanaan klasik dan paling meluas ialah UDPIni mempunyai implikasi: terdapat kurang overhed, tetapi juga tiada jaminan penghantaran. Itulah sebabnya sistem pemantauan sering mengulangi pertanyaan jika mereka tidak menerima respons.

Operasi SNMP yang paling penting

• GETNMS meminta nilai satu atau lebih OID tertentu.
• GETNEXT: serupa dengan GET, tetapi meminta OID seterusnya dalam hierarki, sangat berguna untuk iterasi melalui jadual.
• GETBULKdiperkenalkan dalam SNMPv2, direka untuk memuat turun blok data yang besar (keseluruhan jadual) dengan cekap.
• SETPengurus menulis nilai kepada ejen. Ia berkuasa tetapi berbahaya, itulah sebabnya hampir semua rangkaian yang serius mengelak daripada mendedahkan SET atau menyekatnya sebanyak mungkin.
• Perangkap: mesej tak segerak yang dihantar oleh ejen kepada NMS apabila sesuatu peristiwa berlaku (cth., pencetak kehabisan kertas, pautan ke bawah).
• MAKLUMAT: serupa dengan perangkap, tetapi dengan pengesahan penerimaan oleh NMS.

Versi dan keselamatan SNMP
Dari segi sejarah, SNMP telah melalui beberapa versi, dengan perubahan terutamanya dalam bidang keselamatan:

• SNMPv1 (RFC1155, 1156, 1157). Model yang sangat mudah, keselamatan berdasarkan "rentetan komuniti", tanpa penyulitan.
• SNMPv2cVersi yang disemak semula dengan penambahbaikan prestasi (GETBULK, jenis baharu, dll.), tetapi mengekalkan skim keselamatan berasaskan komuniti yang sama. Ia adalah paling banyak digunakan dalam amalan.
• SNMPv3. masuk pengesahan dan penyulitandengan keselamatan berasaskan pengguna (USM) dan model akses yang lebih mantap. Ia jauh lebih selamat, tetapi juga lebih kompleks untuk dikonfigurasikan dan mungkin memperkenalkan beberapa overhed tambahan.

Untuk kemudahan, banyak rangkaian masih menggunakan SNMPv2c dalam mod baca sahaja (RO) dengan komuniti yang kompleks dan senarai kawalan akses pada peranti. Jika anda perlu mematuhi dasar keselamatan yang ketat, adalah dinasihatkan untuk merancang migrasi berperingkat ke v3.

WMI secara Mendalam: Port, RPC dan WinRM

Dalam persekitaran Windows, WMI ialah alat pilihan untuk mengekstrak maklumat sistem tanpa memasang ejen tambahan. Tetapi pada peringkat rangkaian, WMI bergantung pada RPC Dan itu mempunyai akibat untuk tembok api.

Pelabuhan yang terlibat dalam WMI klasik

• TCP 135: pelabuhan Pemeta Titik Akhir RPCIa merupakan titik masuk awal; melaluinya klien merundingkan port dinamik yang akan digunakan oleh panggilan berikutnya.
• Port dinamik TCP tinggi: biasanya 49152-65535 Dalam sistem moden, sesi WMI/DCOM sebenar diwujudkan di sana.

Jika anda banyak membahagikan rangkaian dan menapis port, ini menunjukkan masalahMembuka julat penuh 49152-65535 antara segmen secara amnya tidak boleh diterima dari sudut keselamatan.

Alternatif: WMI melalui WinRM
Untuk mengelakkan limpahan port dinamik ini, Microsoft menawarkan kemungkinan untuk mendedahkan WMI ke atas Pengurusan WS melalui WinRM:

• HTTP en el puerto 5985 / TCP.
• HTTPS en el puerto 5986 / TCP.

Dengan cara ini, anda boleh mengehadkan komunikasi WMI kepada port yang ditakrifkan dengan baik dan lebih mudah dikawal dalam tembok api, selain menambah penyulitan apabila menggunakan HTTPS. Ia merupakan kaedah pilihan untuk alat pemantauan dan pengurusan jauh Windows moden.

WMI + Active Directory dan perkhidmatan lain
Tidak boleh dilupakan bahawa banyak operasi pentadbiran jarak jauh yang berkaitan dengan WMI, PowerShell Pengalihan atau promosi pengawal domain itu sendiri juga menggunakan:

• LDAP (389/TCP dan UDP), LDAPS (636/TCP).
• SMB (445/TCP) untuk saluran yang dinamakan.
• Port RPC sementara yang tinggi untuk perkhidmatan bergantung yang berbeza (DFS, replikasi fail, Netlogon, dll.).

Jika anda menutup rangkaian Windows sepenuhnya, adalah penting untuk menyemak jadual yang luas port perkhidmatan sistem Dasar Microsoft adalah untuk mengelakkan pemotongan komponen kritikal (Kerberos, DNS, jadual Windows, replikasi AD, dll.).

Menemui pencetak dan port dengan SNMP: pendekatan praktikal

Mari kita fokuskan semua ini pada kes yang paling menarik minat kita: Cari pencetak pada rangkaian dan fahami port mana yang aktif menggunakan SNMP.

1. Aktifkan dan konfigurasikan SNMP pada pencetak
Pada kebanyakan pencetak moden yang sederhana, SNMP diaktifkan secara lalai atau diaktifkan daripada antara muka web peranti:

• Mentakrifkan a Komuniti membaca SNMP (Jangan gunakan "awam" dalam persekitaran korporat yang serius).
• Sekiranya boleh, mengehadkan akses SNMP ke alamat IP atau subnet pelayan pemantauan anda.
• Isi ruangan-ruangan tersebut sysLocation y sysContact supaya saya boleh mengaturnya kemudian (pejabat, bilik, tingkat, e-mel sokongan, dll.).

2. Semak daripada pelayan pemantauan menggunakan snmpwalk
Pada hos Linux atau yang serupa dengan alat Net-SNMP yang dipasang, anda boleh menggunakan:

snmpwalk -v2c -c KOMUNITI_ANDA 192.168.xx

Jika konfigurasi betul, anda akan melihat perarakan senarai panjang OID dan nilai: nama sistem, lokasi, bilangan antara muka, statistik rangkaian, kaunter halaman, tahap toner (jika disediakan oleh pengilang dalam MIB peribadi mereka), dsb.

Untuk menguji hanya OID tertentu (contohnya, sysName):

snmpwalk -v2c -c KOMUNITI_ANDA 192.168.xx SNMPv2-MIB::sysName.0

3. Kenal pasti port dan trafik SNMP "sampah"
Satu kes yang sangat tipikal dalam rangkaian yang mempunyai sejarah ialah mencari Pelayan cetak Windows yang terus cuba berkomunikasi melalui SNMP dengan pencetak yang tidak lagi wujud atau telah menukar subnet.

• Port TCP/IP pencetak dalam Windows boleh mempunyai SNMP diaktifkan secara lalai.
• Jika pelayan itu cuba membuat pertanyaan SNMP ke IP lama setiap beberapa saat, anda akan melihat banyak pakej yang disekat pada tembok api anda (contohnya, FortiGate), semuanya diarahkan ke alamat UDP 161 yang bukan lagi milik rangkaian.

Penyelesaiannya semudah ini: Lumpuhkan SNMP pada port cetakan tersebut atau bersihkan port yang tidak digunakan. Sebelum memadam apa-apa, adalah dinasihatkan untuk mengesahkan bahawa tiada kerja yang berkaitan dan pencetak yang sepadan bukan lagi sebahagian daripada infrastruktur.

4. Penggunaan MIB pengilang untuk data lanjutan
Jika anda ingin melangkaui "ia hidup atau mati" dan untuk benar-benar memantau status pencetak (barisan, jem, toner, dulang kertas), anda perlu:

• Muat turun MIB khusus pengeluar (Xerox, HP, Canon, dll.), selalunya tersedia di portal sokongan mereka.
• Muat naiknya ke alat SNMP atau pelayar MIB anda.
• Cari OID yang berkaitan dengan setiap metrik (cth., bilangan halaman yang dicetak, jangka hayat yang boleh digunakan, kod ralat).

Dengan itu anda akan dapat membina graf dan amaran yang memberi amaran kepada pengguna apabila pencetak kehabisan kertas, apabila toner berada pada tahap 5% atau apabila kaunter melonjak secara tidak normal, sekali gus mengelakkan kejutan untuk pengguna.

SNMP, keselamatan dan amalan konfigurasi yang baik

SNMP sangat berkuasa, tetapi jika dibiarkan ia menjadi penapisBeberapa perkara penting untuk mengelakkan diri daripada menembak kaki sendiri:

• Sentiasa gunakan komuniti yang diperibadikantidak pernah "awam"/"swasta".
• Hadkan akses kepada IP atau subnet tertentu menggunakan ACL pada penghala, suis atau pada daemon SNMP itu sendiri (Linux, Windows, ESXi, dll.).
• Bila-bila masa yang mungkin, kekal di dalam mod baca (RO)Elakkan SET dalam pengeluaran kecuali dalam kes yang sangat terkawal.
• Jika persekitaran anda memerlukannya, pertimbangkan untuk menggunakan SNMPv3 dengan pengesahan dan penyulitan, sekurang-kurangnya untuk peralatan kritikal.
• Dokumen Apa itu MIB dan OID? Anda menggunakannya dan apa maksudnya, supaya pentadbir lain boleh menyelenggaranya.

Dalam Windows Server, ingat bahawa Perkhidmatan SNMP:

• Ia tidak dipasang secara lalai; ciri tersebut mesti ditambah (melalui GUI, PowerShell atau keupayaan pilihan).
• Ia terutamanya dikonfigurasikan daripada tab Keselamatan y Ejen perkhidmatan: komuniti yang diterima, hos dari mana pakej dibenarkan, hubungan, lokasi dan perkhidmatan yang dipantau.

Dalam Linux, fail kunci biasanya /etc/snmp/snmpd.conftempat anda boleh menentukan pandangan, komuniti dan arahan pendengaran, contohnya hanya membenarkan satu komuniti yang ditakrifkan dan mengehadkan pandangan kepada .1 (keseluruhan pokok) atau subset tertentu.

Menyelaras WMI, SNMP dan firewall dalam rangkaian bersegmen

Dalam syarikat yang mempunyai berbilang VLAN, DMZ dan zon yang sangat ditapis, cabarannya bukan sekadar pemantauan, tetapi sebenarnya pemantauan. tanpa membuka separuh alam semesta pelabuhanDi sinilah peraturan WMI, SNMP dan firewall perlu digabungkan dengan betul.

Beberapa prinsip yang berkesan:

• kepada Tingkap Dalaman: membolehkan WinRM (5985/5986) dan mengehadkan WMI klasik oleh RPC hanya kepada segmen yang sangat terkawal.
• kepada peralatan rangkaian dan pencetak: hanya dibuka UDP 161/162 ke dan dari IP pelayan pemantauan anda.
• Memusatkan pemantauan dalam beberapa NMS yang dilindungi dengan baik dan bukannya mempunyai berbilang sumber pertanyaan yang berselerak.
• Semak jadual bagi Port perkhidmatan Windows Server untuk memastikan AD, DNS, Kerberos, DFS, Netlogon, dll. masih boleh berkomunikasi antara satu sama lain selepas sebarang pengerasan.

Jika anda sudah mempunyai pembalakan tembok api yang ditolak trafik, itu adalah idea yang baik. menganalisis balak Mencari corak SNMP yang disekat (atau WMI melalui RPC) yang sepadan dengan peranti yang salah konfigurasi, pencetak yang hilang atau pelayan yang masih percaya terdapat subnet yang ketinggalan zaman. Pembersihan ini mengurangkan hingar latar belakang dan menyelamatkan anda daripada peraturan yang tidak perlu.

Akhirnya, gaul rata WMI pada Windows dan SNMP untuk semua yang lainDengan port dan dasar komuniti yang jelas, ia memberikan anda gambaran pencetak, pelayan, suis dan aplikasi yang sangat terperinci, tanpa perlu menyusahkan rangkaian dengan ejen berat atau membiarkan tembok api terbuka luas. Ia merupakan cara paling bijak untuk menjejaki siapa yang mencetak, dari mana dan melalui port mana, tanpa perlu bertindak balas setiap kali audit dibuat atau anda perlu menyemak semula keselamatan infrastruktur.