Oppdag skrivere og porter ved hjelp av WMI og grunnleggende SNMP

I ethvert minimalt seriøst nettverk, Oppdag åpne skrivere, servere og porter Det er ikke noe «ekstra», det er viktig hvis du vil ha trygghet. Med tanke på sikkerhetspolicyer, revisjoner og brukere som skriver ut på alt med toner, må du vite hva som er på skriveren din, hvor den er og hvordan den yter.

Den gode nyheten er at du ikke trenger å oppfinne hjulet på nytt: WMI i Windows-miljøer og SNMP på så godt som alle nettverksenheter De gir deg alt du trenger hvis du vet hvordan du bruker dem. Trikset er å forstå hva hver teknologi tilbyr, hvilke porter som er involvert, hvordan alt passer sammen med brannmurer, og hva implikasjonene er for ytelse og sikkerhet.

Oversikt: Agenter, WMI, SNMP og andre måter å overvåke på

Når vi snakker om overvåking utstyr og skrivereEgentlig snakker vi om å velge «kanalen» som overvåkingsverktøyet vil hente ut informasjonen gjennom av enheten. Generelt sett eksisterer disse alternativene side om side i bedriftsnettverk:

1. Agent installert på enheten
Mange overvåkingsplattformer inkluderer sin egen agent for Windows, Linux eller til og med spesifikke applikasjoner. Den installeres på hver datamaskin, og agenten samler inn målinger (CPU, RAM, disker, tjenester osv.) og sender dem til overvåkingsserveren.

• nyttesvært detaljert tilgang til systemdata, selv utover det WMI eller SNMP tilbyr.
• UlempeDen må distribueres, vedlikeholdes, oppdateres og kontrolleres for å sikre at den ikke blir et ytelses- eller sikkerhetsproblem.

2. WMI (Windows Management Instrumentation)
I Windows-verdenen er WMI standarden. Det lar deg få tak i svært detaljert informasjon om maskinvareprogramvare, prosesser, tjenester, ytelse og til og med konfigurere visse aspekter av systemet. Alt dette gjøres gjennom eksternt tilgjengelige WMI-klasser.

• Bruk som standard RPC over TCP, med port 135/TCP som tilordner og deretter høydynamiske porter (49152–65535) hvis de ikke er begrenset.
• I mange tilfeller brukes den også på WinRM (HTTP 5985 / HTTPS 5986) for å unngå å håndtere åpne RPC-portområder.

3. SNMP (Enkel nettverksadministrasjonsprotokoll)
SNMP er en standard applikasjonslagsprotokoll, definert i flere RFC-er (blant annet 1157, 1901–1908, 3411–3418), og er en del av TCP/IP-stakken. Det er det vanlige språket for rutere, svitsjer, brannmurer, skrivere, NAS, UPS, sikkerhetsutstyr og også for mange servere.

• Lese-/skrivespørringer og operasjoner bruker vanligvis UDP 161.
• Asynkrone varsler (feller og informerer) sendes via UDP 162.
• Dens kraft ligger i kombinasjonen av SNMP + MIB + OID-agenter.

4. SSH
I typesystemer UNIX (Linux, BSD osv.), mange verktøy velger å koble til via SSH (TCP 22) å henrette kommandoer og analysere utdataene. Dette er et alternativ når SNMP ikke er tilgjengelig, eller når man ønsker bedre kontroll uten å installere flere agenter.

5. API-er og webtjenester
Flere og flere produsenter eksponerer sine målinger gjennom REST API-er, SOAP eller webtjenesterDet er den vanlige måten å overvåke moderne applikasjoner, skyløsninger eller svært spesifikke apparater der SNMP/WMI ikke passer godt eller har kommet til kort.

Rask anbefaling: hva du skal bruke til hver type utstyr

en veilede Den som fungerer på de fleste bedriftsnettverk er følgende:

• Windows -datamaskiner: prioritere WMI (eller WMI via WinRM) kontra dine egne agenter, med mindre du trenger svært avansert overvåking av applikasjoner som bare eksponerer data gjennom den agenten.
• Linux/UNIX-servere og arbeidsstasjoner: bruk SSH eller en lettvektsagent. SNMP er også mulig, men den kommer ofte ikke til å gi systemdetaljer.
• Nettverkselektronikk (svitsjer, rutere, tilgangspunkter, brannmurer): SNMP Det er det naturlige valget. Ofte finnes det ikke engang en annen standardmetode.
• Skrivere og «edge»-enheter (NAS, UPS, spesifikk maskinvare): nesten alltid SNMP.
• Moderne applikasjoner og tjenester: hvis produsenten tilbyr API Offiser, bruk den først.

den eiendomsmeglere La dem være som en reserveplan, for når du ikke har WMI, SSH, SNMP eller API-er som dekker behovene dine. De kompliserer ofte implementeringer, vedlikehold og sikkerhetsherding.

Hvordan SNMP fungerer internt: ledere, agenter, MIB-er og OID-er

For å oppdage skrivere og porter ved hjelp av SNMP, må du først forstå hvordan informasjonen er organisert. SNMP er basert på tre søyler: SNMP-administrator, administrerte enheter (agenter) og MIB/OID.

SNMP-administrator (NMS)
Det er den sentrale delen: konsollen eller serveren som kjører Network Management SystemDet er den som sender forespørsler (GET, GETNEXT, GETBULK, SET) til agentene og mottar svar, fanger og informerer.

• Intervju agenter med jevne mellomrom for å samle inn tall.
• Den behandler verdier, anvender terskler, genererer varsler og grafer.
• Du kan skrive til bestemte OID-er (SET-er) hvis sikkerheten tillater det, selv om det i praksis anbefales å nesten alltid jobbe i skrivemodus. skrivebeskyttet (RO).

Administrerte enheter og SNMP-agenter
Hver routerSvitsjen, skriveren eller serveren du vil overvåke kjører en SNMP-agentDenne agenten:

• Den samler lokalt statistikk om maskinvare, nettverk, utskriftskøer, temperatur osv.
• Den presenterer denne informasjonen i henhold til definisjonene i MIB-ene.
• Det kan generere feller mot NMS når noe skjer (f.eks. papirstopp, fall av grensesnitt, overtemperatur).
• Det kan til og med fungere som proxy for enheter som ikke har innebygd SNMP.

MIB (Management Information Base)
MIB er, enkelt sagt, «ordboken» som definerer hvilke variabler som kan spørres og i hvilket formatDet er en tekstfil (vanligvis i ASN.1-notasjon) som beskriver:

• Symbolsk navn på objektet.
• Datatype (HELTAL, OKTETT-STRING, TELLER, Gauge, Tidspunkt...).
• Tilgang (skrivebeskyttet, lese-skrive).
• Funksjonell beskrivelse.
• Hierarkisk forhold til andre objekter.

Det finnes standard MIB-er (for eksempel) IF-MIB, IP-MIB, SNMPv2-MIB) og produsentspesifikke MIB-er (Cisco, HP, Xerox, Synology osv.). Disse private MIB-ene lar deg gå utover det generiske, for eksempel Vise tonernivået eller utskrevne sider for en bestemt modell printer.

OID (objektidentifikator)
Hvert objekt som er definert i en MIB er identifisert med en OID, en numerisk sekvens atskilt med punktum, for eksempel:

• 1.3.6.1.2.1.1.3.0 -> sysUpTime.
• 1.3.6.1.2.1.1.5.0 -> sysName (enhetsnavn).
• 1.3.6.1.2.1.1.4.0 -> sysKontakt.

OID-ene er organisert i en trestruktur, hvor:

• 1.3.6.1.2.1 tilsvarer standard MIB (mib-2).
• 1.3.6.1.4.1 er grenen av bedrifterDet vil si produsentenes MIB-er.

Et typisk eksempel på en proprietær OID for en Synology NAS ville være noe slikt: 1.3.6.1.4.1.6574.5relatert til disk SMART-informasjon, mens en Cisco OID kunne henge seg fra 1.3.6.1.4.1.9.

SNMP-porter, grunnleggende operasjoner og protokollversjoner

For at SNMP-overvåking skal fungere, må du være veldig tydelig på de involverte portene og kommunikasjonsmodellenEllers blir brannmuren din verste fiende.

Standard SNMP-porter

• UDP 161Vanlige spørringer og operasjoner (GET, GETNEXT, GETBULK, SET). NMS sender forespørsler til agenten på den porten.
• UDP 162: feller og informerer. I dette tilfellet agenten starter kommunikasjon med overvåkingsserveren.

Selv om TCP kan brukes med SNMP i noen tilfeller, Den klassiske og mest utbredte implementeringen er UDPDette har implikasjoner: det er mindre overhead, men det er heller ingen garanti for levering. Det er derfor overvåkingssystemer ofte gjentar forespørsler hvis de ikke får svar.

De viktigste SNMP-operasjonene

• GETNMS ber om verdien av én eller flere spesifikke OID-er.
• GET NESTE: ligner på GET, men ber om neste OID i hierarkiet, veldig nyttig for iterering gjennom tabeller.
• GETBULK: introdusert i SNMPv2, designet for effektivt å laste ned store datablokker (hele tabeller).
• SETLederen skriver en verdi til agenten. Den er kraftig, men farlig, og det er derfor nesten alle seriøse nettverk unngår å eksponere SET eller begrenser det så mye som mulig.
• FELLE: asynkron melding som agenten sender til NMS når en hendelse inntreffer (f.eks. skriveren er tom for papir, koblingen er nede).
• INFORMERE: ligner på en felle, men med bekreftelse på mottak fra NMS.

SNMP-versjoner og sikkerhet
Historisk sett har SNMP gått gjennom flere versjoner, med endringer hovedsakelig innen sikkerhetsområdet:

• SNMPv1 (RFC1155, 1156, 1157). Veldig enkel modell, sikkerhet basert på «fellesskapsstreng», uten kryptering.
• SNMPv2cRevidert versjon med ytelsesforbedringer (GETBULK, nye typer osv.), men med samme fellesskapsbaserte sikkerhetsoppsett. Det er mest brukt i praksis.
• SNMPv3. Introdusere autentisering og krypteringmed brukerbasert sikkerhet (USM) og mer robuste tilgangsmodeller. Det er mye sikrere, men også mer komplekst å konfigurere og kan introdusere noe ekstra overhead.

For enkelhets skyld bruker mange nettverk fortsatt SNMPv2c i skrivebeskyttet modus (RO) med komplekse fellesskap og tilgangskontrolllister på enheter. Hvis du må overholde strenge sikkerhetsregler, anbefales det å planlegge en faset migrering til v3.

WMI i dybden: Porter, RPC og WinRM

I Windows-miljøer er WMI det foretrukne verktøyet for å hente ut systeminformasjon uten å installere ekstra agenter. Men på nettverksnivå, WMI er avhengig av RPC Og det har konsekvenser for brannmuren.

Porter involvert i klassisk WMI

• TCP 135havn i RPC-endepunktskartleggingDet er det første inngangspunktet; gjennom det forhandler klienten hvilken dynamisk port den påfølgende samtalen skal bruke.
• Høye dynamiske TCP-portervanligvis 49152-65535 I moderne systemer etableres den faktiske WMI/DCOM-økten der.

Hvis du segmenterer nettverket mye og filtrerer porter, innebærer dette en problemetÅ åpne et fullt område 49152–65535 mellom segmenter er vanligvis ikke akseptabelt fra et sikkerhetssynspunkt.

Alternativ: WMI via WinRM
For å unngå denne flommen av dynamiske porter tilbyr Microsoft muligheten til å eksponere WMI over WS-administrasjon via WinRM:

• HTTP i havnen 5985/TCP.
• HTTPS i havnen 5986/TCP.

På denne måten kan du begrense WMI-kommunikasjon til veldefinerte porter og lettere å kontrollere i brannmuren, i tillegg til å legge til kryptering når du bruker HTTPS. Det er den foretrukne metoden for moderne Windows-overvåking og verktøy for fjernadministrasjon.

WMI + Active Directory og andre tjenester
Det bør ikke glemmes at mange eksterne administrasjonsoperasjoner relatert til WMI, PowerShell Fjerning eller markedsføring av domenekontrollere bruker også:

• LDAP (389/TCP og UDP), LDAPS (636/TCP).
• SMB (445/TCP) for navngitte rør.
• Høye, flyktige RPC-porter for forskjellige avhengige tjenester (DFS, filreplikering, Netlogon osv.).

Hvis du skal stenge ned et Windows-nettverk fullstendig, er det viktig å se gjennom den omfattende tabellen over systemtjenesteporter Microsofts policy er å unngå å kutte ut kritiske komponenter (Kerberos, DNS, Windows-plan, AD-replikering osv.).

Oppdage skrivere og porter med SNMP: en praktisk tilnærming

La oss fokusere alt dette på saken som interesserer oss mest: Finn skrivere på nettverket og forstå hvilke porter som er aktive ved hjelp av SNMP.

1. Aktiver og konfigurer SNMP på skriverne
På de fleste moderat moderne skrivere er SNMP aktivert som standard eller aktiveres fra enhetens nettgrensesnitt:

• Definerer en SNMP-leserfellesskap (Ikke bruk «offentlig» i seriøse bedriftsmiljøer).
• Hvis mulig, begrenser SNMP-tilgang til IP-adressen eller delnettet til overvåkingsserveren din.
• Fyll ut feltene til sysLocation y sysKontakt slik at jeg kan organisere dem senere (kontor, rom, etasje, support-e-post osv.).

2. Sjekk fra overvåkingsserveren ved hjelp av snmpwalk
På en Linux-vert eller lignende med Net-SNMP-verktøy installert, kan du bruke:

snmpwalk -v2c -c DITT_SAMFUNN 192.168.xx

Hvis konfigurasjonen er riktig, vil du se en parade lang liste med OID-er og verdiersystemnavn, plassering, antall grensesnitt, nettverksstatistikk, sidetellere, tonernivåer (hvis oppgitt av produsenten i deres private MIB-er), osv.

For å teste bare en spesifikk OID (for eksempel sysName):

snmpwalk -v2c -c DITT_SAMFUNN 192.168.xx SNMPv2-MIB::sysnavn.0

3. Identifiser "søppel"-SNMP-porter og -trafikk
Et veldig typisk tilfelle i nettverk med en historie er å finne en Windows-utskriftsserver som stadig prøver å kommunisere via SNMP med skrivere som ikke lenger finnes eller har endret delnett.

• Skriverens TCP/IP-porter i Windows kan ha SNMP aktivert som standard.
• Hvis den serveren prøver å sende SNMP-spørringer til gamle IP-adresser med noen få sekunders mellomrom, vil du se mange blokkerte pakker på brannmuren din (for eksempel en FortiGate), alle rettet mot UDP 161-adresser som ikke lenger tilhører nettverket.

Løsningen er så enkel som denne: Deaktiver SNMP på disse utskriftsportene eller rydd opp i ubrukte porter. Før du sletter noe, anbefales det å bekrefte at det faktisk ikke finnes noen tilknyttede jobber, og at den tilhørende skriveren ikke lenger er en del av infrastrukturen.

4. Bruk av produsentens MIB for avanserte data
Hvis du vil gå utover «det er på eller av» og å faktisk overvåke statusen til skriverne (køer, papirstopp, toner, papirskuffer), må du:

• Last ned Produsentspesifikke MIB-er (Xerox, HP, Canon osv.), ofte tilgjengelig på deres supportportal.
• Last dem opp til SNMP-verktøyet eller MIB-nettleseren din.
• Finn OID-ene relatert til hver metrikk (f.eks. antall utskrevne sider, levetid for forbruksvarer, feilkoder).

Med det vil du kunne bygge grafer og varsler som varsler brukere når en skriver går tom for papir, når tonernivået er på 5 % eller når en teller stiger unormalt, og forhindrer overraskelser for brukerne.

SNMP, sikkerhet og gode konfigurasjonspraksiser

SNMP er utrolig kraftig, men hvis det ikke kontrolleres blir det en silNoen viktige punkter for å unngå å skyte seg selv i foten:

• Bruk alltid personlige fellesskapaldri «offentlig»/«privat».
• Begrens tilgang til Spesifikke IP-adresser eller undernett bruke ACL-er på rutere, svitsjer eller på selve SNMP-daemonen (Linux, Windows, ESXi osv.).
• Når det er mulig, hold deg inne lesemodus (RO)Unngå SET i produksjon unntatt i svært kontrollerte tilfeller.
• Hvis miljøet ditt krever det, bør du vurdere å bruke SNMPv3 med autentisering og kryptering, i hvert fall for kritisk utstyr.
• Documenta Hvilken MIB og OID? Du bruker dem og hva de betyr, slik at andre administratorer kan vedlikeholde dem.

I Windows Server, husk at SNMP-tjeneste:

• Den er ikke installert som standard; funksjonen må legges til (via GUI, PowerShell eller valgfrie funksjoner).
• Den konfigureres hovedsakelig fra fanene Sikkerhet y agenten av tjenesten: aksepterte fellesskap, verter som pakker er tillatt fra, kontakt, plassering og overvåkede tjenester.

I Linux er nøkkelfilen vanligvis /etc/snmp/snmpd.confder du kan definere visninger, fellesskap og lytteretninger, for eksempel bare tillate ett definert fellesskap og begrense visningen til .1 (hele treet) eller spesifikke delmengder.

Koordinering av WMI, SNMP og brannmurer i segmenterte nettverk

I selskaper med flere VLAN-er, DMZ-er og svært filtrerte soner er utfordringen ikke bare overvåking, men faktisk overvåking. uten å åpne halve universet av porterDet er her WMI-, SNMP- og brannmurregler må kombineres på riktig måte.

Noen prinsipper som fungerer bra:

• Til Innvendige vinduer: muliggjør WinRM (5985/5986) og begrenser klassisk WMI via RPC kun til svært kontrollerte segmenter.
• Til nettverksutstyr og skrivere: åpnes bare UDP 161/162 til og fra IP-adressene til overvåkingsserverne dine.
• Sentraliser overvåkingen på noen få steder godt beskyttet NMS i stedet for å ha flere spredte spørrekilder.
• Sjekk tabellen over Windows Server-tjenesteporter for å sikre at AD, DNS, Kerberos, DFS, Netlogon osv. fortsatt kan kommunisere med hverandre etter en eventuell herding.

Hvis du allerede har en brannmurlogg som logger avvist trafikk, er det lurt. analysere logger Ser etter blokkerte SNMP-mønstre (eller WMI via RPC) som korresponderer med feilkonfigurerte enheter, manglende skrivere eller servere som fortsatt tror det finnes utdaterte delnett. Opprydding av dette reduserer bakgrunnsstøy og sparer deg for unødvendige regler.

Til slutt, bland godt WMI på Windows og SNMP for alt annetMed en tydelig port- og fellesskapspolicy gir den deg en svært detaljert oversikt over skrivere, servere, svitsjer og applikasjoner, uten å måtte fylle nettverket med tunge agenter eller la brannmuren stå vidåpen. Det er den mest fornuftige måten å holde oversikt over hvem som skriver ut, fra hvor og gjennom hvilke porter, uten å bli gal hver gang en revisjon kommer eller du må gjennomgå infrastrukturens sikkerhet.