Printers en poorten detecteren met behulp van WMI en basis-SNMP.

In elk netwerk dat enigszins serieus is, Ontdek beschikbare printers, servers en poorten. Het is geen "extraatje", het is essentieel voor gemoedsrust. Met beveiligingsbeleid, audits en gebruikers die op allerlei soorten toner printen, moet u weten wat er op uw printer staat, waar deze zich bevindt en hoe deze presteert.

Het goede nieuws is dat je het wiel niet opnieuw hoeft uit te vinden: WMI in Windows-omgevingen en SNMP op vrijwel elk netwerkapparaat. Ze bieden alles wat je nodig hebt als je weet hoe je ze moet gebruiken. De kunst is om te begrijpen wat elke technologie te bieden heeft, welke poorten erbij betrokken zijn, hoe alles samenwerkt met firewalls en wat de gevolgen zijn voor prestaties en beveiliging.

Overzicht: Agents, WMI, SNMP en andere manieren om te monitoren

Als we het over monitoring hebben, dan is dat een belangrijk aspect. apparatuur en printersEigenlijk hebben we het over kiezen. het "kanaal" waardoor de monitoringtool de informatie zal verzamelen. van het apparaat. In grote lijnen bestaan ​​deze opties naast elkaar in bedrijfsnetwerken:

1. Agent geïnstalleerd op het apparaat
Veel monitoringplatforms bevatten een eigen agent voor Windows. Linux of zelfs specifieke applicaties. Het wordt op elke computer geïnstalleerd en de agent verzamelt meetgegevens (CPU, RAM, schijven, services, enz.) en stuurt deze naar de monitoringserver.

• voordeel: zeer gedetailleerde toegang tot systeemgegevens, zelfs verder dan wat WMI of SNMP bieden.
• OnhandigHet moet worden geïmplementeerd, onderhouden, bijgewerkt en gecontroleerd om te voorkomen dat het een prestatie- of beveiligingsprobleem wordt.

2. WMI (Windows Management Instrumentation)
In de Windows-wereld is WMI de standaard. Hiermee kunt u toegang krijgen tot... zeer gedetailleerde informatie over hardwaresoftware, processen, diensten, prestaties en zelfs bepaalde aspecten van het systeem configureren. Dit alles gebeurt via op afstand toegankelijke WMI-klassen.

• Standaard gebruiken RPC via TCP, met poort 135/TCP als toewijzer en vervolgens hoge dynamische poorten (49152-65535) indien niet beperkt.
• In veel gevallen wordt het ook gebruikt op WinRM (HTTP 5985 / HTTPS 5986) om te voorkomen dat er met open RPC-poortbereiken gewerkt moet worden.

3. SNMP (Simple Network Management Protocol)
SNMP is een standaard applicatielaagprotocol, gedefinieerd in verschillende RFC's (waaronder 1157, 1901-1908 en 3411-3418), en maakt deel uit van de TCP/IP-stack. Het is de gemeenschappelijke taal voor routers, switches, firewalls, printers, NAS-systemen, UPS-systemen, beveiligingsapparaten en ook voor veel servers.

• Lees-/schrijfquery's en -bewerkingen maken doorgaans gebruik van UDP 161.
• Asynchrone meldingen (traps en informs) worden verzonden via UDP 162.
• De kracht ervan schuilt in de combinatie van SNMP + MIB + OID-agenten.

4. SSH
In typesystemen UNIX (Linux, BSD, enz.), kiezen veel tools ervoor om verbinding te maken via SSH (TCP 22) uitvoeren commando's en de uitvoer analyseren. Dit is een alternatief wanneer SNMP niet beschikbaar is of wanneer meer controle gewenst is zonder extra agents te installeren.

5. API's en webservices
Steeds meer fabrikanten maken hun meetgegevens openbaar via REST API's, SOAP of webservicesHet is de gebruikelijke manier om moderne applicaties, cloudoplossingen of zeer specifieke apparaten te monitoren waar SNMP/WMI niet goed geschikt voor is of tekortschiet.

Snel advies: wat te gebruiken voor elk type apparatuur

een gids De oplossing die op de meeste bedrijfsnetwerken werkt, is de volgende:

• Windows-computers:prioriteren WMI (of WMI via WinRM) in plaats van uw eigen agents, tenzij u zeer geavanceerde monitoring nodig hebt van applicaties die alleen via die agent gegevens beschikbaar stellen.
• Linux/UNIX-servers en -werkstations: gebruik SSH Of een lichtgewicht agent. SNMP is ook mogelijk, maar schiet vaak tekort in het verstrekken van systeemdetails.
• Netwerkapparatuur (switches, routers, access points, firewalls): SNMP Het is de meest logische keuze. Vaak is er zelfs geen andere standaardmethode.
• Printers en apparaten aan de rand van het netwerk (NAS, UPS, specifieke hardware): vrijwel altijd SNMP.
• Moderne toepassingen en diensten: indien de fabrikant aanbiedt API Agent, gebruik hem eerst.

De makelaars Bewaar ze als back-up, voor het geval je geen WMI, SSH, SNMP of API's hebt die aan je behoeften voldoen. Ze maken implementaties, onderhoud en beveiliging vaak ingewikkelder.

Hoe SNMP intern werkt: managers, agents, MIB's en OID's

Om printers en poorten te ontdekken met behulp van SNMP, moet u eerst begrijpen hoe de informatie is georganiseerd. SNMP is gebaseerd op drie pijlers: SNMP-manager, beheerde apparaten (agents) en MIB/OID.

SNMP-manager (NMS)
Het is het centrale onderdeel: de console of server waarop het programma draait. Network Management SystemHet is de server die verzoeken (GET, GETNEXT, GETBULK, SET) naar de agents stuurt en reacties, traps en informatie ontvangt.

• Interview agenten periodiek om gegevens te verzamelen.
• Het verwerkt waarden, past drempelwaarden toe, genereert waarschuwingen en grafieken.
• U kunt naar bepaalde OID's (SET's) schrijven als de beveiliging dit toestaat, hoewel het in de praktijk aanbevolen is om bijna altijd in schrijfmodus te werken. alleen-lezen (RO).

Beheerde apparaten en SNMP-agents
Elk routerDe switch, printer of server die u wilt bewaken, voert een SNMP-agentDeze agent:

• Het verzamelt lokaal statistieken over hardware, netwerk, printwachtrijen, temperatuur, enz.
• Het presenteert deze informatie volgens de definities in de MIB's.
• Het kan genereren vallen richting het NMS wanneer er iets gebeurt (bijv. papierstoring, interfacebreuk, oververhitting).
• Het kan zelfs fungeren als volmacht voor apparaten die geen ingebouwde SNMP-functionaliteit hebben.

MIB (Management Informatie Base)
De MIB is, simpel gezegd, het "woordenboek" dat definieert... welke variabelen kunnen worden opgevraagd en in welk formaatHet is een tekstbestand (meestal in ASN.1-notatie) dat het volgende beschrijft:

• Symbolische naam van het object.
• Gegevenstype (INTEGER, OCTETSTRING, COUNTER, Gauge, TimeTicks...).
• Toegang (alleen-lezen, lezen-schrijven).
• Functionele beschrijving.
• Hiërarchische relatie met andere objecten.

Er zijn standaard MIB's (bijvoorbeeld). IF-MIB, IP-MIB, SNMPv2-MIB) en fabrikantspecifieke MIB's (Cisco, HP, Xerox, Synology, enz.). Deze private MIB's stellen je in staat om verder te gaan dan de generieke MIB's, bijvoorbeeld: Bekijk het tonerniveau of het aantal afgedrukte pagina's van een specifiek model. printer.

OID (Object-ID)
Elk object dat in een MIB is gedefinieerd, wordt geïdentificeerd met een OID, een numerieke reeks gescheiden door punten, bijvoorbeeld:

• 1.3.6.1.2.1.1.3.0 -> sysUpTime.
• 1.3.6.1.2.1.1.5.0 -> sysNaam (apparaatnaam).
• 1.3.6.1.2.1.1.4.0 -> sysContact.

De OID's zijn georganiseerd in een boomstructuur, waar:

• 1.3.6.1.2.1 komt overeen met de standaard MIB (mib-2).
• 1.3.6.1.4.1 is de tak van bedrijvenDat wil zeggen, de MIB's van de fabrikanten.

Een typisch voorbeeld van een eigen OID voor een Synology NAS zou er als volgt uitzien: 1.3.6.1.4.1.6574.5gerelateerd aan SMART-schijfinformatie, terwijl een Cisco OID vast kon lopen door 1.3.6.1.4.1.9.

SNMP-poorten, basisbewerkingen en protocolversies

Om SNMP-monitoring te laten werken, moet je heel duidelijk zijn over... de betrokken havens en het communicatiemodelAnders wordt de firewall je grootste vijand.

Standaard SNMP-poorten

• UDP 161Normale query's en bewerkingen (GET, GETNEXT, GETBULK, SET). Het NMS stuurt verzoeken naar de agent op die poort.
• UDP 162: vallen en informeert. In dit geval de agent Start de communicatie met de monitoringserver.

Hoewel TCP in sommige gevallen met SNMP gebruikt kan worden, De klassieke en meest gangbare implementatie is UDP.Dit heeft gevolgen: er zijn minder overheadkosten, maar er is ook geen garantie voor de levering. Daarom herhalen monitoringsystemen vaak query's als ze geen reactie ontvangen.

Belangrijkste SNMP-bewerkingen

• BeginHet NMS vraagt ​​om de waarde van een of meer specifieke OID's.
• VOLGENDE: vergelijkbaar met GET, maar vraagt ​​de volgende OID in de hiërarchie op, erg handig voor het doorlopen van tabellen.
• KRIJG GROOTHANDEL: geïntroduceerd in SNMPv2, ontworpen om grote hoeveelheden data (complete tabellen) efficiënt te downloaden.
• SETDe manager schrijft een waarde naar de agent. Het is krachtig maar gevaarlijk, en daarom vermijden bijna alle serieuze netwerken het gebruik van SET of beperken ze het zoveel mogelijk.
• VAL: een asynchroon bericht dat de agent naar het NMS stuurt wanneer er een gebeurtenis plaatsvindt (bijv. printer heeft geen papier meer, verbinding verbroken).
• INFORM: vergelijkbaar met een val, maar met een ontvangstbevestiging van het NMS.

SNMP-versies en beveiliging
Historisch gezien heeft SNMP verschillende versies doorlopen, met name op het gebied van beveiliging:

• SNMPv1 (RFC1155, 1156, 1157). Zeer eenvoudig model, beveiliging gebaseerd op "community string", zonder versleuteling.
• SNMPv2cHerziene versie met prestatieverbeteringen (GETBULK, nieuwe typen, enz.), maar met behoud van hetzelfde op de community gebaseerde beveiligingsschema. Het is de meest gebruikt in de praktijk.
• SNMPv3. Binnenkomen authenticatie en encryptieMet gebruikersgebaseerde beveiliging (USM) en robuustere toegangsmodellen. Het is veel veiliger, maar ook complexer om te configureren en kan extra overhead met zich meebrengen.

Voor het gemak gebruiken veel netwerken nog steeds SNMPv2c in alleen-lezenmodus (RO-modus) met complexe gemeenschappen en toegangscontrolelijsten op apparaten. Als u aan strikte beveiligingsrichtlijnen moet voldoen, is het raadzaam om een ​​gefaseerde migratie te plannen. v3.

WMI in detail: Poorten, RPC en WinRM

In Windows-omgevingen is WMI de aangewezen tool voor het verkrijgen van systeeminformatie zonder extra agents te hoeven installeren. Maar op netwerkniveau, WMI is afhankelijk van RPC. En dat heeft gevolgen voor de firewall.

Havens betrokken bij klassieke WMI

• TCP 135: haven van RPC-eindpunttoewijzingHet is het eerste toegangspunt; via dit punt onderhandelt de klant over welke dynamische poort het volgende gesprek zal gebruiken.
• Dynamische TCP-poorten met hoge capaciteittypisch 49152-65535 In moderne systemen wordt de daadwerkelijke WMI/DCOM-sessie daar tot stand gebracht.

Als je het netwerk sterk segmenteert en poorten filtert, impliceert dit een het probleemHet openen van een volledig nummerbereik 49152-65535 tussen verschillende segmenten is vanuit veiligheidsoogpunt over het algemeen niet acceptabel.

Alternatief: WMI via WinRM
Om deze overvloed aan dynamische poorten te voorkomen, biedt Microsoft de mogelijkheid om WMI via WS-Management via WinRM:

• HTTP in Puerto 5985 / TCP.
• HTTPS in Puerto 5986 / TCP.

Op deze manier kunt u de WMI-communicatie beperken tot welomschreven poorten en gemakkelijker te controleren In de firewall wordt bovendien encryptie toegevoegd bij gebruik van HTTPS. Dit is de voorkeursmethode voor moderne Windows-monitoring- en beheertools op afstand.

WMI + Active Directory en andere services
Men mag niet vergeten dat veel beheertaken op afstand met betrekking tot WMI, PowerShell Ook remote toegang of het promoveren van domeincontrollers maakt gebruik van:

• LDAP (389/TCP en UDP), LDAPS (636/TCP).
• SMB (445/TCP) voor benoemde leidingen.
• Hoogwaardige, tijdelijke RPC-poorten voor verschillende afhankelijke services (DFS, bestandsreplicatie, Netlogon, enz.).

Als u een Windows-netwerk volledig afsluit, is het essentieel om de uitgebreide tabel te raadplegen. systeemservicepoorten Het beleid van Microsoft is om te voorkomen dat kritieke componenten (Kerberos, DNS, Windows-planning, AD-replicatie, enz.) worden afgesneden.

Printers en poorten detecteren met SNMP: een praktische aanpak

Laten we ons in dit alles concentreren op de zaak die ons het meest interesseert: Lokaliseer printers in het netwerk en achterhaal welke poorten actief zijn. via SNMP.

1. Activeer en configureer SNMP op de printers.
Bij de meeste printers van enige aard is SNMP standaard ingeschakeld of kan het worden geactiveerd via de webinterface van het apparaat:

• Definieert een SNMP-leesgemeenschap (Gebruik "openbaar" niet in serieuze bedrijfsomgevingen).
• Indien mogelijk beperkt de SNMP-toegang naar het IP-adres of subnet van uw monitoringserver.
• Vul de velden in van sysLocation y sysContact zodat ik ze later kan ordenen (kantoor, kamer, verdieping, support-e-mailadres, enz.).

2. Controleer vanaf de monitoringserver met snmpwalk
Op een Linux-host of vergelijkbaar systeem met geïnstalleerde Net-SNMP-tools kunt u het volgende gebruiken:

snmpwalk -v2c -c YOUR_COMMUNITY 192.168.xx

Als de configuratie correct is, ziet u een parade. lange lijst met OID's en waarden: systeemnaam, locatie, aantal interfaces, netwerkstatistieken, paginatellers, tonerniveaus (indien door de fabrikant verstrekt in hun eigen MIB's), enz.

Om alleen een specifieke OID te testen (bijvoorbeeld, sysNaam):

snmpwalk -v2c -c YOUR_COMMUNITY 192.168.xx SNMPv2-MIB::sysName.0

3. Identificeer "onbruikbare" SNMP-poorten en -verkeer
Een heel typisch geval in netwerken met een geschiedenis is het vinden van een Windows-printserver dat steeds probeert te communiceren via SNMP met printers die niet meer bestaan ​​of waarvan het subnet is gewijzigd.

• De TCP/IP-poorten van een printer in Windows kunnen de volgende eigenschappen hebben: SNMP is standaard ingeschakeld..
• Als die server elke paar seconden SNMP-query's naar oude IP-adressen probeert uit te voeren, dan zie je dat. veel geblokkeerde pakketten Op uw firewall (bijvoorbeeld een FortiGate) worden alle pakketten doorgestuurd naar UDP 161-adressen die niet langer tot het netwerk behoren.

De oplossing is heel eenvoudig: Schakel SNMP uit op die printerpoorten. Of maak ongebruikte poorten vrij. Voordat u iets verwijdert, is het raadzaam te controleren of er daadwerkelijk geen gekoppelde taken meer zijn en of de betreffende printer geen deel meer uitmaakt van de infrastructuur.

4. Gebruik van de MIB van de fabrikant voor geavanceerde gegevens
Als je verder wilt gaan dan "het is aan of uit" en om de status van de printers daadwerkelijk te controleren (wachtrijen, papierstoringen, toner, papierlades), moet u het volgende doen:

• Download de Fabrikantspecifieke MIB's (Xerox, HP, Canon, enz.), vaak beschikbaar op hun ondersteuningsportal.
• Upload ze naar je SNMP-tool of MIB-browser.
• Zoek de OID's op die bij elke meetwaarde horen (bijv. aantal afgedrukte pagina's, levensduur van verbruiksartikelen, foutcodes).

Daarmee kun je bouwen grafieken en waarschuwingen die gebruikers waarschuwen wanneer een printer geen papier meer heeft, wanneer de toner nog maar 5% is of wanneer een teller abnormaal hoog uitslaat, waardoor onaangename verrassingen voor gebruikers worden voorkomen.

SNMP, beveiliging en goede configuratiepraktijken

SNMP is ongelooflijk krachtig, maar als het niet onder controle wordt gehouden, wordt het een zeefEnkele belangrijke punten om te voorkomen dat je jezelf in de voet schiet:

• Gebruik altijd gepersonaliseerde gemeenschappennooit “openbaar”/“privaat”.
• Beperk de toegang tot Specifieke IP-adressen of subnetten Door ACL's te gebruiken op routers, switches of op de SNMP-daemon zelf (Linux, Windows, ESXi, enz.).
• Blijf waar mogelijk binnen leesmodus (RO)Vermijd het gebruik van SET in productieomgevingen, behalve in zeer gecontroleerde gevallen.
• Als uw omgeving dit vereist, kunt u overwegen om gebruik te maken van SNMPv3 met authenticatie en versleuteling, in ieder geval voor kritieke apparatuur.
• Documenta Welke MIB en OID? Je gebruikt ze en legt uit wat ze betekenen, zodat andere beheerders ze kunnen onderhouden.

Houd er rekening mee dat in Windows Server de SNMP-service:

• Het is niet standaard geïnstalleerd; de functie moet worden toegevoegd (via de grafische gebruikersinterface, PowerShell of optionele mogelijkheden).
• Het wordt voornamelijk geconfigureerd via de tabbladen. Veiligheid y agent De dienst omvat: geaccepteerde gemeenschappen, hosts waarvandaan pakketten mogen worden verzonden, contactgegevens, locatie en gemonitorde diensten.

In Linux is het sleutelbestand meestal /etc/snmp/snmpd.confwaar u weergaven, gemeenschappen en luisterrichtingen kunt definiëren, bijvoorbeeld door slechts één gedefinieerde gemeenschap toe te staan ​​en de weergave te beperken tot .1 (de hele boom) of specifieke deelverzamelingen.

Het coördineren van WMI, SNMP en firewalls in gesegmenteerde netwerken.

In bedrijven met meerdere VLAN's, DMZ's en sterk gefilterde zones is de uitdaging niet alleen het monitoren, maar ook het daadwerkelijk monitoren. zonder de helft van de havens in het universum te openenDit is waar WMI, SNMP en firewallregels op de juiste manier gecombineerd moeten worden.

Enkele principes die goed werken:

• naar Binnenramen: maakt het mogelijk WinRM (5985/5986) en beperkt klassieke WMI via RPC tot alleen streng gecontroleerde segmenten.
• naar netwerkapparatuur en printers: opent alleen UDP 161/162 van en naar de IP-adressen van uw monitoringservers.
• Centraliseer de bewaking op een paar locaties. goed beschermde NMS in plaats van meerdere verspreide querybronnen te hebben.
• Bekijk de tabel van Windows Server-servicepoorten Om ervoor te zorgen dat AD, DNS, Kerberos, DFS, Netlogon, enz. na eventuele beveiligingsmaatregelen nog steeds met elkaar kunnen communiceren.

Als je al een firewall hebt die geweigerd verkeer registreert, is dat een goed idee. analyseer de logs Zoek naar geblokkeerde SNMP-patronen (of WMI via RPC) die overeenkomen met verkeerd geconfigureerde apparaten, ontbrekende printers of servers die nog steeds denken dat er verouderde subnetten zijn. Door dit op te ruimen, verminder je de achtergrondruis en voorkom je onnodige regels.

Combineer uiteindelijk alles goed. WMI op Windows en SNMP voor al het andere.Met een duidelijk poort- en communitybeleid biedt het een zeer gedetailleerd overzicht van printers, servers, switches en applicaties, zonder het netwerk te belasten met zware agents of de firewall volledig open te laten staan. Het is de meest verstandige manier om bij te houden wie, waarvandaan en via welke poorten print, zonder dat u zich zorgen hoeft te maken bij elke audit of wanneer u de beveiliging van de infrastructuur moet controleren.