Odkrivanje tiskalnikov in vrat z uporabo WMI in osnovnega SNMP

V katerem koli minimalno resnem omrežju, Odkrijte odprte tiskalnike, strežnike in vrata To ni "dodatek", ampak je bistveno, če želite brezskrbnost. Med varnostnimi politikami, pregledi in uporabniki, ki tiskajo na karkoli s tonerjem, morate vedeti, kaj je na vašem tiskalniku, kje je in kako deluje.

Dobra novica je, da vam ni treba znova izumljati kolesa: WMI v okoljih Windows in SNMP na praktično kateri koli omrežni napravi Ponujajo vam vse, kar potrebujete, če znate uporabljati. Trik je v razumevanju, kaj ponuja posamezna tehnologija, katera vrata so vključena, kako se vse skupaj ujema s požarnimi zidovi in ​​kakšne so posledice za delovanje in varnost.

Pregled: Agenti, WMI, SNMP in drugi načini spremljanja

Ko govorimo o spremljanju oprema in tiskalnikiPravzaprav govorimo o izbiri »kanal«, prek katerega bo orodje za spremljanje pridobivalo informacije naprave. Na splošno te možnosti sobivajo v poslovnih omrežjih:

1. Agent, nameščen na napravi
Številne platforme za spremljanje vključujejo lastnega agenta za Windows, Linux ali celo določene aplikacije. Nameščen je v vsak računalnik, agent pa zbira metrike (CPU, RAM, diski, storitve itd.) in jih pošilja na nadzorni strežnik.

• Prednost: zelo podroben dostop do sistemskih podatkov, celo onkraj tistega, kar ponujata WMI ali SNMP.
• SlabostTreba ga je uvesti, vzdrževati, posodabljati in preverjati, da se zagotovi, da ne bo postal težava z delovanjem ali varnostjo.

2. WMI (instrumentacija za upravljanje sistema Windows)
V svetu sistema Windows je WMI standard. Omogoča vam pridobitev zelo podrobne informacije o strojna opremaprogramska oprema, procesi, storitve, zmogljivost in celo konfigurirati določene vidike sistema. Vse to se izvaja prek oddaljeno dostopnih razredov WMI.

• Uporabi privzeto RPC prek TCP-ja, z vrati 135/TCP kot dodeljevalnikom in nato visoko dinamičnimi vrati (49152–65535), če niso omejena.
• V mnogih primerih se uporablja tudi na WinRM (HTTP 5985 / HTTPS 5986) da se izognete delu z odprtimi obsegi vrat RPC.

3. SNMP (Preprost protokol za upravljanje omrežja)
SNMP je standardni protokol aplikacijske plasti, opredeljen v več RFC-jih (med drugim 1157, 1901–1908, 3411–3418) in je del sklada TCP/IP. Je skupni jezik za usmerjevalniki, stikala, požarni zidovi, tiskalniki, NAS, UPS, varnostne naprave in tudi za številne strežnike.

• Poizvedbe in operacije branja/pisanja običajno uporabljajo UDP 161.
• Asinhrona obvestila (pasti in informacije) potujejo prek UDP 162.
• Njegova moč je v kombinaciji Agenti SNMP + MIB + OID.

4. SSH
V sistemih tipov UNIX (Linux, BSD itd.) se mnoga orodja odločijo za povezavo prek SSH (TCP 22) izvršiti ukazi in razčleniti izhod. To je alternativa, kadar SNMP ni na voljo ali kadar je zaželen natančnejši nadzor brez nameščanja dodatnih agentov.

5. API-ji in spletne storitve
Vedno več proizvajalcev razkriva svoje meritve prek REST API-ji, SOAP ali spletne storitveTo je običajen način za spremljanje sodobnih aplikacij, rešitev v oblaku ali zelo specifičnih naprav, kjer SNMP/WMI ne ustreza dobro ali ni zadostoval.

Hiter nasvet: kaj uporabiti za vsako vrsto opreme

A vodnik V večini poslovnih omrežij deluje naslednji:

• Računalniki z operacijskim sistemom Windows: določiti prednost WMI (ali WMI prek WinRM) v primerjavi z vašimi lastnimi agenti, razen če potrebujete zelo napredno spremljanje aplikacij, ki podatke razkrivajo samo prek tega agenta.
• Strežniki in delovne postaje Linux/UNIX: uporabe SSH ali lahki agent. SNMP je prav tako možen, vendar pogosto ne zagotavlja podrobnosti o sistemu.
• Omrežna elektronika (stikala, usmerjevalniki, dostopne točke, požarni zidovi): SNMP To je naravna izbira. Pogosto sploh ni druge standardne metode.
• Tiskalniki in naprave na robu omrežja (NAS, UPS, specifična strojna oprema): skoraj vedno SNMP.
• Sodobne aplikacije in storitveče proizvajalec ponuja API Policist, najprej ga uporabite.

P nepremičninski agenti Pustite jih kot rezervni načrt, če nimate WMI, SSH, SNMP ali API-jev, ki bi zadovoljili vaše potrebe. Pogosto otežujejo uvajanje, vzdrževanje in krepitev varnosti.

Kako SNMP deluje interno: upravitelji, agenti, MIB-ji in OID-ji

Za odkrivanje tiskalnikov in vrat z uporabo SNMP morate najprej razumeti, kako so informacije organizirane. SNMP temelji na treh stebrih: Upravitelj SNMP, upravljane naprave (agenti) in MIB/OID.

Upravitelj SNMP (NMS)
To je osrednji del: konzola ali strežnik, ki izvaja Sistem za upravljanje omrežjaTo je tisti, ki pošilja zahteve (GET, GETNEXT, GETBULK, SET) agentom in prejema odgovore, pasti in obvestila.

• Občasno intervjuvajte agente za zbiranje meritev.
• Obdeluje vrednosti, uporablja pragove, ustvarja opozorila in grafe.
• V določene OID-je (SET-e) lahko pišete, če varnost to dovoljuje, čeprav je v praksi skoraj vedno priporočljivo delati v načinu pisanja. samo za branje (RO).

Upravljane naprave in agenti SNMP
Vsaka usmerjevalnikStikalo, tiskalnik ali strežnik, ki ga želite nadzorovati, izvaja agent SNMPTa agent:

• Lokalno zbira statistične podatke o strojni opremi, omrežju, čakalnih vrstah za tiskanje, temperaturi itd.
• Te informacije predstavlja v skladu z opredelitvami, ki jih vsebuje njen MIB.
• Lahko ustvarja pasti proti NMS-ju, ko se kaj zgodi (npr. zastoj papirja, padec vmesnika, previsoka temperatura).
• Lahko deluje celo kot proxy za naprave, ki nimajo izvornega SNMP-ja.

MIB (baza informacij za upravljanje)
MIB je, poenostavljeno povedano, »slovar«, ki opredeljuje katere spremenljivke je mogoče poizvedovati in v kakšni oblikiGre za besedilno datoteko (običajno v zapisu ASN.1), ki opisuje:

• Simbolično ime predmeta.
• Tip podatkov (CELO ŠTEVILO, OKTETNI NIZ, ŠTEVEC, Merilnik, Časovni števci ...).
• Dostop (samo za branje, branje in pisanje).
• Funkcionalni opis.
• Hierarhični odnos z drugimi objekti.

Obstajajo standardni MIB-i (na primer) IF-MIB, IP-MIB, SNMPv2-MIB) in MIB-je, specifične za proizvajalce (Cisco, HP, Xerox, Synology itd.). Ti zasebni MIB-ji vam omogočajo, da presežete generične, na primer Ogled ravni tonerja ali natisnjenih strani določenega modela tiskalnik.

OID (identifikator objekta)
Vsak objekt, definiran v MIB-u, je identificiran z OID, številsko zaporedje, ločeno s pikami, na primer:

• 1.3.6.1.2.1.1.3.0 -> sysUpTime.
• 1.3.6.1.2.1.1.5.0 -> ime_sistema (ime naprave).
• 1.3.6.1.2.1.1.4.0 -> sistemskiKontakt.

OID-ji so organizirani v drevesna struktura, kje:

• 1.3.6.1.2.1 ustreza standardni MIB (mib-2).
• 1.3.6.1.4.1 je veja podjetjaTo pomeni, MIB-ji proizvajalcev.

Tipičen primer lastniškega OID-ja za Synology NAS bi bil nekaj takega: 1.3.6.1.4.1.6574.5povezane z informacijami o disku SMART, medtem ko bi lahko Cisco OID visel iz 1.3.6.1.4.1.9.

Vrata SNMP, osnovne operacije in različice protokolov

Da bi spremljanje SNMP delovalo, morate biti zelo jasni glede vključena vrata in komunikacijski modelV nasprotnem primeru požarni zid postane vaš najhujši sovražnik.

Standardna vrata SNMP

• UDP 161Običajne poizvedbe in operacije (GET, GETNEXT, GETBULK, SET). NMS pošilja zahteve agentu na teh vratih.
• UDP 162: pasti in obvešča. V tem primeru zastopnik začne komunikacijo s strežnikom za spremljanje.

Čeprav se TCP v nekaterih primerih lahko uporablja s SNMP, Klasična in najbolj razširjena implementacija je UDP.To ima posledice: manjši so stroški, vendar tudi ni zagotovila za dostavo. Zato sistemi za spremljanje pogosto ponavljajo poizvedbe, če ne prejmejo odgovora.

Najpomembnejše operacije SNMP

• GETNMS zahteva vrednost enega ali več specifičnih OID-jev.
• NASLEDNJI: podobno kot GET, vendar zahteva naslednji OID v hierarhiji, zelo uporabno za iteracijo po tabelah.
• DOBI VSEBINE: predstavljen v SNMPv2, zasnovan za učinkovit prenos velikih blokov podatkov (celotnih tabel).
• SETUpravitelj zapiše vrednost agentu. To je močno, a nevarno, zato se skoraj vsa resna omrežja izogibajo razkrivanju SET-a ali pa ga čim bolj omejujejo.
• TRAP: asinhrono sporočilo, ki ga agent pošlje NMS-ju, ko se zgodi dogodek (npr. tiskalniku zmanjka papirja, povezava ne deluje).
• INFORM: podobno kot past, vendar s potrditvijo prejema s strani NMS.

Različice in varnost SNMP
Zgodovinsko gledano je SNMP doživel več različic, s spremembami predvsem na področju varnosti:

• SNMPv1 (RFC1155, 1156, 1157). Zelo preprost model, varnost, ki temelji na »nizu skupnosti«, brez šifriranja.
• SNMPv2cRevidirana različica z izboljšavami delovanja (GETBULK, nove vrste itd.), vendar ohranja isto varnostno shemo, ki temelji na skupnosti. To je najbolj uporabljena v praksi.
• SNMPv3. Predstavite avtentikacijo in šifriranjez varnostjo, ki temelji na uporabniku (USM), in robustnejšimi modeli dostopa. Je veliko varnejši, vendar tudi bolj zapleten za konfiguracijo in lahko povzroči nekaj dodatnih stroškov.

Zaradi udobja mnoga omrežja še vedno uporabljajo SNMPv2c v načinu samo za branje (RO) s kompleksnimi skupnostmi in seznami za nadzor dostopa na napravah. Če morate upoštevati stroge varnostne politike, je priporočljivo načrtovati postopno selitev na v3.

WMI podrobneje: vrata, RPC in WinRM

V okoljih Windows je WMI glavno orodje za pridobivanje sistemskih informacij brez nameščanja dodatnih agentov. Na ravni omrežja pa ... WMI je odvisen od RPC-ja In to ima posledice za požarni zid.

Vrata, vključena v klasični WMI

• TCP 135pristanišče RPC Endpoint MapperTo je začetna vstopna točka; prek nje se odjemalec pogaja, katera dinamična vrata bo uporabil naslednji klic.
• Dinamična vrata z visokim TCPobičajno 49152-65535 V sodobnih sistemih se tam vzpostavi dejanska seja WMI/DCOM.

Če močno segmentirate omrežje in filtrirate vrata, to pomeni problemOdpiranje polnega razpona 49152-65535 med segmenti z varnostnega vidika na splošno ni sprejemljivo.

Alternativa: WMI prek WinRM
Da bi se izognili tej poplavi dinamičnih vrat, Microsoft ponuja možnost izpostavljanja WMI prek Upravljanje WS prek WinRM-a:

• HTTP v pristanišču 5985/TCP.
• HTTPS v pristanišču 5986/TCP.

Na ta način lahko komunikacijo WMI omejite na dobro definirana vrata in lažje nadzorovati v požarnem zidu, poleg dodajanja šifriranja pri uporabi HTTPS. To je najprimernejša metoda za sodobna orodja za spremljanje in oddaljeno upravljanje sistema Windows.

WMI + Active Directory in druge storitve
Ne smemo pozabiti, da so številne operacije oddaljenega upravljanja povezane z WMI, PowerShell Oddaljeno delovanje ali promocija samih krmilnikov domen prav tako uporablja:

• LDAP (389/TCP in UDP), LDAPS (636/TCP).
• SMB (445/TCP) za imenovane kanale.
• Visoka kratkotrajna vrata RPC za različne odvisne storitve (DFS, replikacija datotek, Netlogon itd.).

Če popolnoma izklapljate omrežje Windows, je nujno pregledati obsežno tabelo vrata sistemskih storitev Microsoftova politika je, da se izogiba izklopu kritičnih komponent (Kerberos, DNS, urnik sistema Windows, replikacija AD itd.).

Odkrivanje tiskalnikov in vrat s SNMP: praktičen pristop

Osredotočimo se na primer, ki nas najbolj zanima: Poiščite tiskalnike v omrežju in razumejte, katera vrata so aktivna z uporabo SNMP-ja.

1. Aktivirajte in konfigurirajte SNMP na tiskalnikih
Pri večini srednje sodobnih tiskalnikov je SNMP privzeto omogočen ali pa se aktivira prek spletnega vmesnika naprave:

• Določa a Bralna skupnost SNMP (V resnih korporativnih okoljih ne uporabljajte besede »javno«).
• Če je mogoče, omejuje dostop do SNMP na IP-naslov ali podomrežje vašega nadzornega strežnika.
• Izpolnite polja Lokacija sistema y sistemskiKontakt da jih lahko kasneje organiziram (pisarna, soba, nadstropje, e-poštni naslov za podporo itd.).

2. Preverite s strežnika za spremljanje z uporabo snmpwalk
Na gostitelju Linux ali podobnem z nameščenimi orodji Net-SNMP lahko uporabite:

snmpwalk -v2c -c VAŠA_SKUPNOST 192.168.xx

Če je konfiguracija pravilna, boste videli parado dolg seznam OID-jev in vrednosti: ime sistema, lokacija, število vmesnikov, statistika omrežja, števci strani, raven tonerja (če jo proizvajalec navede v svojih zasebnih MIB-ih) itd.

Če želite preizkusiti samo določen OID (na primer ime_sistema):

snmpwalk -v2c -c VAŠA_SKUPNOST 192.168.xx SNMPv2-MIB::ime_sistema.0

3. Prepoznajte "smeti" SNMP vrat in prometa
Zelo tipičen primer v omrežjih z zgodovino je najdba Tiskalni strežnik Windows ki nenehno poskuša komunicirati prek SNMP s tiskalniki, ki ne obstajajo več ali so spremenili podomrežja.

• Vrata TCP/IP tiskalnika v sistemu Windows imajo lahko SNMP je privzeto omogočen.
• Če ta strežnik poskuša vsakih nekaj sekund poslati poizvedbe SNMP starim IP-jem, boste videli veliko blokiranih paketov na vašem požarnem zidu (na primer FortiGate), vse usmerjeno na naslove UDP 161, ki ne pripadajo več omrežju.

Rešitev je tako preprosta: Onemogočite SNMP na teh tiskalnih vratih ali očistite neuporabljena vrata. Preden karkoli izbrišete, je priporočljivo preveriti, ali res ni povezanih opravil in ali ustrezni tiskalnik ni več del infrastrukture.

4. Uporaba proizvajalčeve MIB za napredne podatke
Če želite iti dlje od "vklopljeno ali izklopljeno" in dejansko spremljati stanje tiskalnikov (vrstne vrste, zastoji, toner, pladnji za papir), boste morali:

• Prenesite MIB-ji, specifični za proizvajalca (Xerox, HP, Canon itd.), pogosto na voljo na njihovem portalu za podporo.
• Naložite jih v orodje SNMP ali brskalnik MIB.
• Poiščite OID-je, povezane z vsako metriko (npr. število natisnjenih strani, življenjska doba potrošnega materiala, kode napak).

S tem boste lahko zgradili grafi in opozorila ki uporabnike opozorijo, ko tiskalniku zmanjka papirja, ko je tonerja 5 % ali ko števec nenormalno naraste, s čimer preprečijo presenečenja za uporabnike.

SNMP, varnost in dobre prakse konfiguracije

SNMP je neverjetno močan, če pa ga ne nadzorujemo, postane cediloNekaj ​​ključnih točk, da se ne ustreliš v nogo:

• Vedno uporabljajte prilagojene skupnostinikoli "javno"/"zasebno".
• Omeji dostop do Določeni IP-ji ali podomrežja z uporabo ACL-jev na usmerjevalnikih, stikalih ali na samem SNMP daemonu (Linux, Windows, ESXi itd.).
• Kadar koli je mogoče, ostanite notri način branja (RO)Izogibajte se SET v proizvodnji, razen v zelo nadzorovanih primerih.
• Če vaše okolje to zahteva, razmislite o uporabi SNMPv3 z avtentikacijo in šifriranjem, vsaj za kritično opremo.
• Documenta Kaj MIB in OID? Uporabljate jih in pojasnjujete njihov pomen, da jih lahko vzdržujejo tudi drugi skrbniki.

V sistemu Windows Server ne pozabite, da Storitev SNMP:

• Ni privzeto nameščena; funkcijo je treba dodati (prek grafičnega uporabniškega vmesnika, PowerShell-a ali dodatnih možnosti).
• Konfigurira se predvsem z zavihki varnost y Agent storitve: sprejete skupnosti, gostitelji, od katerih so dovoljeni paketi, stik, lokacija in nadzorovane storitve.

V Linuxu je ključna datoteka običajno /etc/snmp/snmpd.confkjer lahko definirate poglede, skupnosti in smeri poslušanja, na primer dovolite samo eno definirano skupnost in omejite pogled na .1 (celotno drevo) ali določene podmnožice.

Usklajevanje WMI, SNMP in požarnih zidov v segmentiranih omrežjih

V podjetjih z več VLAN-i, DMZ-ji in močno filtriranimi conami izziv ni le spremljanje, ampak dejansko spremljanje. brez odpiranja polovice vesolja vratTukaj je treba pravilno kombinirati pravila WMI, SNMP in požarnega zidu.

Nekaj ​​načel, ki dobro delujejo:

• za Notranja okna: omogoča WinRM (5985/5986) in omejuje klasični WMI z RPC le na strogo nadzorovane segmente.
• za omrežna oprema in tiskalniki: se odpre samo UDP 161/162 do in iz IP-naslovov vaših nadzornih strežnikov.
• Centralizirajte spremljanje v nekaj dobro zaščiten NMS namesto da bi imeli več razpršenih virov poizvedb.
• Preverite tabelo Vrata storitev Windows Server da se zagotovi, da lahko AD, DNS, Kerberos, DFS, Netlogon itd. še vedno komunicirajo med seboj po morebitni utrjevanju.

Če že imate požarni zid, ki beleži zavrnjen promet, je to dobra ideja. analizirati dnevniki Iskanje blokiranih vzorcev SNMP (ali WMI prek RPC), ki ustrezajo napačno konfiguriranim napravam, manjkajočim tiskalnikom ali strežnikom, ki še vedno verjamejo, da obstajajo zastarele podomreže. Čiščenje tega zmanjša šum v ozadju in vas reši nepotrebnih pravil.

Na koncu dobro premešajte WMI v sistemu Windows in SNMP za vse ostaloZ jasno politiko vrat in skupnosti vam omogoča zelo podroben pregled tiskalnikov, strežnikov, stikal in aplikacij, ne da bi morali omrežje preobremeniti s težkimi agenti ali pustiti požarni zid popolnoma odprt. To je najbolj smiseln način za sledenje, kdo tiska, od kod in prek katerih vrat, ne da bi se pri tem prenaglili vsakič, ko pride do revizije ali ko morate pregledati varnost infrastrukture.