Descubra impressoras e portas usando WMI e SNMP básico.

Em qualquer rede minimamente séria, Descubra impressoras, servidores e portas abertas. Não é um "extra", é essencial para sua tranquilidade. Entre políticas de segurança, auditorias e usuários imprimindo em qualquer dispositivo com toner, você precisa saber o que está na sua impressora, onde está e como está funcionando.

A boa notícia é que você não precisa reinventar a roda: WMI em ambientes Windows e SNMP em praticamente qualquer dispositivo de rede. Elas oferecem tudo o que você precisa, se souber como usá-las. O segredo é entender o que cada tecnologia oferece, quais portas estão envolvidas, como tudo se integra aos firewalls e quais as implicações para o desempenho e a segurança.

Visão geral: Agentes, WMI, SNMP e outras formas de monitoramento

Quando falamos em monitoramento equipamentos e impressorasNa verdade, estamos falando sobre escolher. o “canal” através do qual a ferramenta de monitoramento extrairá as informações. do dispositivo. De modo geral, essas opções coexistem em redes corporativas:

1. Agente instalado no dispositivo
Muitas plataformas de monitoramento incluem seu próprio agente para Windows. Linux ou até mesmo aplicações específicas. Ele é instalado em cada computador, e o agente coleta métricas (CPU, RAM, discos, serviços, etc.) e as envia para o servidor de monitoramento.

• VantagemAcesso extremamente detalhado aos dados do sistema, indo além do que o WMI ou o SNMP oferecem.
• RecuaEle precisa ser implantado, mantido, atualizado e verificado para garantir que não se torne um problema de desempenho ou segurança.

2. WMI (Instrumentação de Gerenciamento do Windows)
No mundo Windows, o WMI é o padrão. Ele permite obter informações muito detalhadas sobre Hardwaressoftware, processos, serviços, desempenho e até mesmo configurar certos aspectos do sistema. Tudo isso é feito por meio de classes WMI acessíveis remotamente.

• Usar por padrão RPC sobre TCP, com a porta 135/TCP como atribuídora e, em seguida, portas dinâmicas altas (49152-65535) se não estiverem restritas.
• Em muitos cenários, também é usado em WinRM (HTTP 5985 / HTTPS 5986) para evitar lidar com intervalos de portas RPC abertas.

3. SNMP (Simple Network Management Protocol)
SNMP é um protocolo padrão da camada de aplicação, definido em diversas RFCs (1157, 1901-1908, 3411-3418, entre outras), e faz parte da pilha TCP/IP. É a linguagem comum para Roteadores, switches, firewalls, impressoras, NAS, UPS, dispositivos de segurança e também para muitos servidores.

• Consultas e operações de leitura/gravação normalmente usam UDP 161.
• As notificações assíncronas (traps e informs) viajam via UDP 162.
• Seu poder reside na combinação de Agentes SNMP + MIB + OID.

4. SSH
Em sistemas de tipos UNIX (Linux, BSD, etc.), muitas ferramentas optam por se conectar via SSH (TCP 22) para executar comandos e analisar a saída. Esta é uma alternativa quando o SNMP não está disponível ou quando se deseja um controle mais preciso sem instalar agentes adicionais.

5. APIs e serviços web
Cada vez mais fabricantes estão expondo suas métricas através de APIs REST, SOAP ou serviços webÉ a forma usual de monitorar aplicações modernas, soluções em nuvem ou dispositivos muito específicos onde o SNMP/WMI não se adapta bem ou não atinge os seus objetivos.

Recomendação rápida: o que usar para cada tipo de equipamento

Uma guia A versão que funciona na maioria das redes corporativas é a seguinte:

• Computadores Windows: priorizar WMI (ou WMI via WinRM) em vez de seus próprios agentes, a menos que você precise de um monitoramento muito avançado de aplicativos que só expõem dados por meio desse agente.
• Servidores e estações de trabalho Linux/UNIX: EUA SSH ou um agente leve. O SNMP também é possível, mas geralmente não fornece detalhes suficientes do sistema.
• Eletrônica de rede (switches, roteadores, pontos de acesso, firewalls): SNMP É a escolha natural. Muitas vezes nem sequer existe outro método padrão.
• Impressoras e dispositivos de "borda" (NAS, UPS, hardware específico): quase sempre SNMP.
• Aplicações e serviços modernosse o fabricante oferecer API Agente, use-o primeiro.

Os agentes imobiliários Deixe-os como plano B, para quando você não tiver WMI, SSH, SNMP ou APIs que atendam às suas necessidades. Eles costumam complicar as implantações, a manutenção e o reforço da segurança.

Como o SNMP funciona internamente: gerenciadores, agentes, MIBs e OIDs

Para descobrir impressoras e portas usando SNMP, primeiro você precisa entender como as informações são organizadas. O SNMP se baseia em três pilares: Gerenciador SNMP, dispositivos gerenciados (agentes) e MIB/OID.

Gerenciador SNMP (NMS)
É a peça central: o console ou servidor que executa o Sistema de Gestão da RedeÉ ele que envia solicitações (GET, GETNEXT, GETBULK, SET) aos agentes e recebe respostas, traps e informs.

• Realizar entrevistas periódicas com os agentes para coletar dados.
• Ele processa valores, aplica limites, gera alertas e gráficos.
• É possível escrever em determinados OIDs (SETs) se a segurança o permitir, embora na prática seja recomendável trabalhar quase sempre no modo de escrita. somente leitura (RO).

Dispositivos gerenciados e agentes SNMP
Cada roteadorO switch, impressora ou servidor que você deseja monitorar executa um Agente SNMPEste agente:

• Ele coleta localmente estatísticas sobre hardware, rede, filas de impressão, temperatura, etc.
• Apresenta essas informações de acordo com as definições contidas em seus MIBs.
• Pode gerar armadilhas em direção ao NMS quando algo acontece (por exemplo, atolamento de papel, queda de interface, sobretemperatura).
• Pode até funcionar como procuração Para dispositivos que não possuem SNMP nativo.

MIB (Base de Informações de Gerenciamento)
O MIB é, em termos simples, o “dicionário” que define Quais variáveis ​​podem ser consultadas e em que formato?É um arquivo de texto (geralmente em notação ASN.1) que descreve:

• Nome simbólico do objeto.
• Tipo de dados (INTEIRO, STRING DE OCTETOS, CONTADOR, Medidor, TimeTicks...).
• Acesso (somente leitura, leitura e gravação).
• Descrição funcional.
• Relação hierárquica com outros objetos.

Existem MIBs padrão (por exemplo) IF-MIB, IP-MIB, SNMPv2-MIB) e MIBs específicos do fabricante (Cisco, HP, Xerox, Synology, etc.). Esses MIBs privados são o que permitem ir além dos genéricos, por exemplo, Veja o nível de toner ou as páginas impressas de um modelo específico. impressora.

OID (Identificador de Objeto)
Cada objeto definido em um MIB é identificado com um OID, uma sequência numérica separada por pontos, por exemplo:

• 1.3.6.1.2.1.1.3.0 -> sysUpTime.
• 1.3.6.1.2.1.1.5.0 -> sysName (nome do dispositivo).
• 1.3.6.1.2.1.1.4.0 -> sysContact.

Os OIDs estão organizados em um estrutura de árvore, Onde:

• 1.3.6.1.2.1 corresponde ao MIB padrão (mib-2).
• 1.3.6.1.4.1 é o ramo de empresasOu seja, os MIBs dos fabricantes.

Um exemplo típico de um OID proprietário para um NAS da Synology seria algo como isto: 1.3.6.1.4.1.6574.5relacionado às informações SMART do disco, enquanto um OID da Cisco poderia travar devido a 1.3.6.1.4.1.9.

Portas SNMP, operações básicas e versões do protocolo.

Para que o monitoramento SNMP funcione, você precisa ter muita clareza sobre os portos envolvidos e o modelo de comunicaçãoCaso contrário, o firewall se torna seu pior inimigo.

Portas SNMP padrão

• UDP 161Consultas e operações normais (GET, GETNEXT, GETBULK, SET). O NMS envia solicitações para o agente nessa porta.
• UDP 162: armadilhas e informações. Neste caso, o agente Inicia a comunicação com o servidor de monitoramento.

Embora o TCP possa ser usado com SNMP em alguns casos, A implementação clássica e mais difundida é a UDP.Isso tem implicações: há menos custos operacionais, mas também não há garantia de entrega. É por isso que os sistemas de monitoramento frequentemente repetem as consultas se não receberem uma resposta.

Operações SNMP mais importantes

• ENTREO NMS solicita o valor de um ou mais OIDs específicos.
• SEJA O PRÓXIMOSemelhante ao GET, mas solicita o próximo OID na hierarquia, muito útil para iterar por tabelas.
• GETBULKIntroduzido no SNMPv2, projetado para baixar com eficiência grandes blocos de dados (tabelas inteiras).
• SETO gerenciador escreve um valor para o agente. É uma técnica poderosa, mas perigosa, e é por isso que quase todas as redes sérias evitam expor o SET ou o restringem ao máximo.
• ARMADILHA: mensagem assíncrona que o agente envia ao NMS quando ocorre um evento (por exemplo, impressora sem papel, link inativo).
• INFORMARSemelhante a uma armadilha, mas com confirmação de recebimento pelo NMS.

Versões SNMP e segurança
Historicamente, o SNMP passou por diversas versões, com mudanças principalmente na área de segurança:

• SNMPV1 (RFC1155, 1156, 1157). Modelo muito simples, segurança baseada em “cadeia comunitária”, sem criptografia.
• SNMPv2cVersão revisada com melhorias de desempenho (GETBULK, novos tipos, etc.), mas mantendo o mesmo esquema de segurança baseado na comunidade. É a mais utilizado na prática.
• SNMPV3. Introduzir autenticação e criptografiaCom segurança baseada no usuário (USM) e modelos de acesso mais robustos, o sistema é muito mais seguro, porém mais complexo de configurar e pode introduzir alguma sobrecarga adicional.

Por conveniência, muitas redes ainda usam SNMPv2c em modo somente leitura (RO) com comunidades complexas e listas de controle de acesso em dispositivos. Se você precisa cumprir políticas de segurança rigorosas, é aconselhável planejar uma migração faseada para v3.

WMI em detalhes: Portas, RPC e WinRM

Em ambientes Windows, o WMI é a ferramenta ideal para extrair informações do sistema sem a necessidade de instalar agentes adicionais. Mas, no nível da rede, O WMI depende do RPC. E isso tem consequências para o firewall.

Portos envolvidos no WMI clássico

• TCP 135: porto de Mapeador de Pontos Finais RPCÉ o ponto de entrada inicial; através dele, o cliente negocia qual porta dinâmica a chamada subsequente utilizará.
• Portas dinâmicas TCP de alta qualidadetipicamente 49152-65535 Nos sistemas modernos, a sessão WMI/DCOM propriamente dita é estabelecida nesse local.

Se você estiver segmentando a rede de forma intensiva e filtrando portas, isso implica em o problemaAbrir toda a faixa de 49152-65535 entre segmentos geralmente não é aceitável do ponto de vista da segurança.

Alternativa: WMI via WinRM
Para evitar essa sobrecarga de portas dinâmicas, a Microsoft oferece a possibilidade de expor o WMI através de WS-Management via WinRM:

• HTTP no porto 5985 / TCP.
• HTTPS no porto 5986 / TCP.

Dessa forma, você pode limitar a comunicação WMI a portas bem definidas e mais fácil de controlar No firewall, além de adicionar criptografia ao usar HTTPS, é o método preferido para ferramentas modernas de monitoramento e gerenciamento remoto do Windows.

WMI + Active Directory e outros serviços
Não se deve esquecer que muitas operações de administração remota relacionadas ao WMI, PowerShell O acesso remoto ou a promoção dos próprios controladores de domínio também fazem uso de:

• LDAP (389/TCP e UDP), LDAPS (636/TCP).
• SMB (445/TCP) para condutos nomeados.
• Altas portas RPC efêmeras para diferentes serviços dependentes (DFS, replicação de arquivos, Netlogon, etc.).

Se você estiver desligando completamente uma rede Windows, é essencial revisar a extensa tabela de portas de serviço do sistema A política da Microsoft é evitar o desligamento de componentes críticos (Kerberos, DNS, agendamento do Windows, replicação do Active Directory, etc.).

Descobrindo impressoras e portas com SNMP: uma abordagem prática

Vamos concentrar tudo isso no caso que mais nos interessa: Localize as impressoras na rede e entenda quais portas estão ativas. Utilizando SNMP.

1. Ative e configure o SNMP nas impressoras.
Na maioria das impressoras de tecnologia relativamente moderna, o SNMP está habilitado por padrão ou pode ser ativado através da interface web do dispositivo:

• define um Comunidade de leitura SNMP (Não utilize o termo “público” em ambientes corporativos formais).
• Sim é possível, limita o acesso SNMP para o endereço IP ou sub-rede do seu servidor de monitoramento.
• Preencha os campos de sysLocation y sysContact para que eu possa organizá-los mais tarde (escritório, sala, andar, e-mail de suporte, etc.).

2. Verifique no servidor de monitoramento usando o snmpwalk.
Em um host Linux ou similar com as ferramentas Net-SNMP instaladas, você pode usar:

snmpwalk -v2c -c SUA_COMUNIDADE 192.168.xx

Se a configuração estiver correta, você verá um desfile. longa lista de OIDs e valores: nome do sistema, localização, número de interfaces, estatísticas de rede, contadores de páginas, níveis de toner (se fornecidos pelo fabricante em seus MIBs privados), etc.

Para testar apenas um OID específico (por exemplo, sysName):

snmpwalk -v2c -c SUA_COMUNIDADE 192.168.xx SNMPv2-MIB::sysName.0

3. Identificar portas e tráfego SNMP "lixo"
Um caso muito típico em redes com histórico é encontrar um Servidor de impressão Windows que continua tentando se comunicar via SNMP com impressoras que não existem mais ou que mudaram de sub-rede.

• As portas TCP/IP da impressora no Windows podem ter SNMP ativado por padrão.
• Se esse servidor tentar fazer consultas SNMP para IPs antigos a cada poucos segundos, você verá muitos pacotes bloqueados No seu firewall (por exemplo, um FortiGate), todos os endereços UDP na porta 161 são direcionados para endereços que não pertencem mais à rede.

A solução é tão simples quanto isto: Desative o SNMP nessas portas de impressão. ou limpe as portas não utilizadas. Antes de excluir qualquer coisa, é recomendável verificar se realmente não há trabalhos associados e se a impressora correspondente não faz mais parte da infraestrutura.

4. Utilização do MIB do fabricante para dados avançados
Se você quiser ir além de "ligado ou desligado" e para monitorar efetivamente o status das impressoras (filas, atolamentos, toner, bandejas de papel), você terá que:

• Faça o download do MIBs específicos do fabricante (Xerox, HP, Canon, etc.), geralmente disponíveis em seus portais de suporte.
• Faça o upload deles para sua ferramenta SNMP ou navegador MIB.
• Localize os OIDs relacionados a cada métrica (por exemplo, número de páginas impressas, vida útil do consumível, códigos de erro).

Com isso você poderá construir gráficos e alertas que alertam os usuários quando a impressora fica sem papel, quando o toner está em 5% ou quando um contador apresenta um pico anormal, evitando surpresas para os usuários.

SNMP, segurança e boas práticas de configuração

O SNMP é incrivelmente poderoso, mas se não for controlado, torna-se um problema. filtroAlguns pontos-chave para evitar problemas futuros:

• Sempre use comunidades personalizadasnunca “público”/“privado”.
• Restringir o acesso a IPs ou sub-redes específicos Utilizando ACLs em roteadores, switches ou no próprio daemon SNMP (Linux, Windows, ESXi, etc.).
• Sempre que possível, fique em casa. modo de leitura (RO)Evite o uso de SET em produção, exceto em casos muito controlados.
• Se o seu ambiente assim o exigir, considere usar SNMPV3 Com autenticação e criptografia, pelo menos para equipamentos críticos.
• Documenta Qual MIB e OID? Você os utiliza e entende o que eles significam, para que outros administradores possam mantê-los.

No Windows Server, lembre-se de que o Serviço SNMP:

• Não vem instalado por padrão; o recurso precisa ser adicionado (via interface gráfica, PowerShell ou funcionalidades opcionais).
• É configurado principalmente a partir das abas. Segurança y Agente do serviço: comunidades aceitas, anfitriões dos quais os pacotes são permitidos, contato, localização e serviços monitorados.

No Linux, o arquivo de chave geralmente é /etc/snmp/snmpd.confonde você pode definir visualizações, comunidades e direções de escuta, por exemplo, permitindo apenas uma comunidade definida e restringindo a visualização a .1 (a árvore inteira) ou subconjuntos específicos.

Coordenação de WMI, SNMP e firewalls em redes segmentadas

Em empresas com múltiplas VLANs, DMZs e zonas altamente filtradas, o desafio não é apenas monitorar, mas sim monitorar de fato. sem abrir metade do universo de portosÉ aqui que o WMI, o SNMP e as regras de firewall precisam ser combinados corretamente.

Alguns princípios que funcionam bem:

• Pára Janelas internas: habilita WinRM (5985/5986) e limita o WMI clássico por RPC apenas a segmentos altamente controlados.
• Pára Equipamentos de rede e impressoras: abre apenas UDP 161/162 de e para os IPs dos seus servidores de monitoramento.
• Centralize o monitoramento em poucos NMS bem protegido em vez de ter várias fontes de consulta dispersas.
• Confira a tabela de portas de serviço do Windows Server para garantir que o AD, DNS, Kerberos, DFS, Netlogon, etc., ainda possam se comunicar entre si após qualquer medida de segurança reforçada.

Se você já possui um firewall que registra o tráfego bloqueado, é uma boa ideia. analisar o toras A busca por padrões SNMP bloqueados (ou WMI via RPC) que correspondam a dispositivos mal configurados, impressoras ausentes ou servidores que ainda consideram haver sub-redes desatualizadas. A limpeza desses padrões reduz o ruído de fundo e evita regras desnecessárias.

No final, combine bem. WMI no Windows e SNMP para todo o resto.Com uma política clara de portas e comunidades, você obtém uma visão altamente detalhada de impressoras, servidores, switches e aplicativos, sem precisar sobrecarregar a rede com agentes pesados ​​ou deixar o firewall totalmente aberto. É a maneira mais sensata de monitorar quem imprime, de onde e por quais portas, sem se estressar a cada auditoria ou revisão de segurança da infraestrutura.