Tìm kiếm máy in và cổng bằng WMI và SNMP cơ bản.

Trong bất kỳ mạng lưới nào dù chỉ ở mức độ nghiêm túc tối thiểu, Khám phá các máy in, máy chủ và cổng đang mở. Đây không phải là một tính năng "thêm vào", mà là điều thiết yếu nếu bạn muốn có được sự an tâm. Giữa các chính sách bảo mật, kiểm toán và việc người dùng in ấn trên mọi thiết bị có mực in, bạn cần biết những gì đang có trên máy in của mình, nó ở đâu và hiệu suất hoạt động của nó như thế nào.

Tin vui là bạn không cần phải phát minh lại từ đầu: WMI trong môi trường Windows và SNMP trên hầu hết mọi thiết bị mạng. Chúng cung cấp mọi thứ bạn cần nếu bạn biết cách sử dụng chúng. Mấu chốt nằm ở việc hiểu rõ từng công nghệ cung cấp những gì, các cổng nào được sử dụng, cách chúng tương thích với tường lửa và những tác động của chúng đối với hiệu năng và bảo mật.

Tổng quan: Các tác nhân, WMI, SNMP và các phương pháp giám sát khác

Khi chúng ta nói về việc giám sát thiết bị và máy inThực ra, chúng ta đang nói về việc lựa chọn. “Kênh” mà qua đó công cụ giám sát sẽ trích xuất thông tin. của thiết bị. Nói chung, các tùy chọn này cùng tồn tại trong mạng lưới doanh nghiệp:

1. Phần mềm Agent đã được cài đặt trên thiết bị.
Nhiều nền tảng giám sát bao gồm cả phần mềm đại diện riêng cho Windows. Linux hoặc thậm chí là các ứng dụng cụ thể. Nó được cài đặt trên mỗi máy tính, và tác nhân này thu thập các chỉ số (CPU, RAM, ổ đĩa, dịch vụ, v.v.) và gửi chúng đến máy chủ giám sát.

• Lợi thế: Khả năng truy cập dữ liệu hệ thống rất chi tiết, thậm chí vượt xa những gì WMI hoặc SNMP cung cấp.
• Bất tiệnNó cần được triển khai, bảo trì, cập nhật và kiểm tra thường xuyên để đảm bảo không gây ra vấn đề về hiệu năng hoặc bảo mật.

2. WMI (Windows Management Instrumentation)
Trong thế giới Windows, WMI là tiêu chuẩn. Nó cho phép bạn có được Thông tin rất chi tiết về phần cứngphần mềm, quy trình, dịch vụ, hiệu suất và thậm chí cấu hình một số khía cạnh nhất định của hệ thống. Tất cả điều này được thực hiện thông qua các lớp WMI có thể truy cập từ xa.

• Sử dụng theo mặc định RPC qua TCP, với cổng 135/TCP làm cổng chỉ định và sau đó là các cổng động cao (49152-65535) nếu không bị hạn chế.
• Trong nhiều trường hợp, nó cũng được sử dụng trên WinRM (HTTP 5985 / HTTPS 5986) để tránh phải xử lý các dải cổng RPC mở.

3. SNMP (Giao thức quản lý mạng đơn giản)
SNMP là một giao thức lớp ứng dụng tiêu chuẩn, được định nghĩa trong một số RFC (1157, 1901-1908, 3411-3418, cùng nhiều RFC khác), và là một phần của ngăn xếp TCP/IP. Nó là ngôn ngữ chung cho... bộ định tuyến, bộ chuyển mạch, tường lửa, máy in, NAS, UPS, thiết bị bảo mật và cũng áp dụng cho nhiều máy chủ.

• Các truy vấn và thao tác đọc/ghi thường sử dụng UDP 161.
• Các thông báo không đồng bộ (bẫy và thông báo) được truyền qua UDP 162.
• Sức mạnh của nó nằm ở sự kết hợp của Các tác nhân SNMP + MIB + OID.

4. SSH
Trong các hệ thống loại UNIX (Linux, BSD, v.v.), nhiều công cụ chọn kết nối thông qua SSH (TCP 22) để thực hiện lệnh và phân tích kết quả đầu ra. Đây là một giải pháp thay thế khi SNMP không khả dụng hoặc khi cần kiểm soát chi tiết hơn mà không cần cài đặt thêm tác nhân.

5. API và dịch vụ web
Ngày càng nhiều nhà sản xuất công khai các chỉ số của họ thông qua API REST, SOAP hoặc dịch vụ webĐây là phương pháp thông thường để giám sát các ứng dụng hiện đại, giải pháp đám mây hoặc các thiết bị chuyên dụng mà SNMP/WMI không phù hợp hoặc không đáp ứng được yêu cầu.

Gợi ý nhanh: nên dùng gì cho từng loại thiết bị

một hướng dẫn Phương pháp phổ biến nhất trên hầu hết các mạng doanh nghiệp là phương pháp sau:

• Máy tính Windows: ưu tiên WMI (hoặc WMI thông qua WinRM) so với việc tự tạo tác nhân riêng, trừ khi bạn cần giám sát ứng dụng ở mức độ rất cao, chỉ hiển thị dữ liệu thông qua tác nhân đó.
• Máy chủ và máy trạm Linux/UNIX: sử dụng SSH hoặc một tác nhân nhẹ. SNMP cũng có thể được sử dụng, nhưng nó thường không cung cấp đủ thông tin chi tiết về hệ thống.
• Thiết bị điện tử mạng (thiết bị chuyển mạch, bộ định tuyến, điểm truy cập, tường lửa): SNMP Đó là sự lựa chọn tự nhiên. Thường thì thậm chí không có phương pháp tiêu chuẩn nào khác.
• Máy in và các thiết bị “cạnh” (NAS, UPS, phần cứng chuyên dụng): hầu như luôn luôn SNMP.
• Các ứng dụng và dịch vụ hiện đại: nếu nhà sản xuất cung cấp API Thưa cảnh sát, hãy dùng nó trước.

Các môi giới bất động sản Hãy coi chúng như một phương án dự phòng, khi bạn không có WMI, SSH, SNMP hoặc API đáp ứng được nhu cầu của mình. Chúng thường làm phức tạp việc triển khai, bảo trì và tăng cường bảo mật.

Cách thức hoạt động nội bộ của SNMP: trình quản lý, tác nhân, MIB và OID

Để phát hiện máy in và cổng bằng SNMP, trước tiên bạn cần hiểu cách thông tin được tổ chức. SNMP dựa trên ba trụ cột: Trình quản lý SNMP, các thiết bị được quản lý (agent) và MIB/OID.

Trình quản lý SNMP (NMS)
Đây là bộ phận trung tâm: bảng điều khiển hoặc máy chủ vận hành hệ thống. Hệ thống quản lý mạngNó là thành phần gửi các yêu cầu (GET, GETNEXT, GETBULK, SET) đến các tác nhân và nhận phản hồi, bẫy và thông báo.

• Thường xuyên phỏng vấn các đại lý để thu thập số liệu.
• Nó xử lý các giá trị, áp dụng ngưỡng, tạo cảnh báo và biểu đồ.
• Bạn có thể ghi vào một số OID (SET) nhất định nếu hệ thống bảo mật cho phép, mặc dù trên thực tế, hầu hết các trường hợp nên làm việc ở chế độ ghi. chỉ đọc (RO).

Các thiết bị được quản lý và các tác nhân SNMP
Môi RouterThiết bị chuyển mạch, máy in hoặc máy chủ mà bạn muốn giám sát đang chạy một... đại lý SNMPĐại lý này:

• Nó thu thập số liệu thống kê cục bộ về phần cứng, mạng, hàng đợi in, nhiệt độ, v.v.
• Nó trình bày thông tin này theo các định nghĩa có trong MIB của nó.
• Nó có thể tạo ra bẫy hướng về phía NMS khi có sự cố xảy ra (ví dụ: kẹt giấy, mất kết nối, quá nhiệt).
• Nó thậm chí có thể đóng vai trò như... Proxy Dành cho các thiết bị không hỗ trợ SNMP gốc.

MIB (Cơ sở thông tin quản lý)
Nói một cách đơn giản, MIB là "từ điển" định nghĩa... Những biến nào có thể được truy vấn và ở định dạng nào.Đây là một tập tin văn bản (thường ở định dạng ASN.1) mô tả:

• Tên tượng trưng của đối tượng.
• Kiểu dữ liệu (INTEGER, OCTET STRING, COUNTER, Gauge, TimeTicks...).
• Quyền truy cập (chỉ đọc, đọc-ghi).
• Mô tả chức năng.
• Mối quan hệ thứ bậc với các đối tượng khác.

Có các MIB tiêu chuẩn (ví dụ) IF-MIB, IP-MIB, SNMPv2-MIB) và các MIB dành riêng cho nhà sản xuất (Cisco, HP, Xerox, Synology, v.v.). Chính những MIB riêng tư này cho phép bạn vượt ra ngoài phạm vi chung, ví dụ: Xem mức mực in hoặc số trang đã in của một kiểu máy cụ thể. máy in.

OID (Mã định danh đối tượng)
Mỗi đối tượng được định nghĩa trong MIB đều được xác định bằng một mã số. OID, một dãy số được phân tách bởi dấu chấm, ví dụ:

• 1.3.6.1.2.1.1.3.0 -> sysUpTime.
• 1.3.6.1.2.1.1.5.0 -> tên hệ thống (tên thiết bị).
• 1.3.6.1.2.1.1.4.0 -> sysContact.

Các OID được sắp xếp thành một cấu trúc cây, ở đâu:

• 1.3.6.1.2.1 Tương ứng với MIB tiêu chuẩn (mib-2).
• 1.3.6.1.4.1 là nhánh của doanh nghiệpTức là, các MIB của nhà sản xuất.

Một ví dụ điển hình về OID độc quyền dành cho thiết bị NAS Synology sẽ như sau: 1.3.6.1.4.1.6574.5liên quan đến thông tin SMART của ổ đĩa, trong khi Cisco OID có thể bị treo từ 1.3.6.1.4.1.9.

Các cổng SNMP, các thao tác cơ bản và các phiên bản giao thức

Để chức năng giám sát SNMP hoạt động, bạn cần phải hiểu rõ về... các cảng liên quan và mô hình truyền thôngNếu không, tường lửa sẽ trở thành kẻ thù tồi tệ nhất của bạn.

Cổng SNMP tiêu chuẩn

• UDP 161Các truy vấn và thao tác thông thường (GET, GETNEXT, GETBULK, SET). Hệ thống quản lý mạng (NMS) gửi yêu cầu đến tác nhân trên cổng đó.
• UDP 162: bẫy và thông báo. Trong trường hợp này đại lý Khởi tạo quá trình liên lạc với máy chủ giám sát.

Mặc dù TCP có thể được sử dụng với SNMP trong một số trường hợp, Phương thức triển khai cổ điển và phổ biến nhất là UDP.Điều này có những hệ quả: chi phí vận hành thấp hơn, nhưng cũng không đảm bảo việc gửi yêu cầu thành công. Đó là lý do tại sao các hệ thống giám sát thường lặp lại các truy vấn nếu không nhận được phản hồi.

Các thao tác SNMP quan trọng nhất

• GETHệ thống NMS yêu cầu giá trị của một hoặc nhiều OID cụ thể.
• NHẬN TIẾP THEOTương tự như phương thức GET, nhưng yêu cầu OID tiếp theo trong hệ thống phân cấp, rất hữu ích để lặp qua các bảng.
• NHẬN HÀNG ĐẦUĐược giới thiệu trong SNMPv2, được thiết kế để tải xuống hiệu quả các khối dữ liệu lớn (toàn bộ bảng).
• SETNgười quản lý ghi một giá trị vào tác nhân. Nó mạnh mẽ nhưng nguy hiểm, đó là lý do tại sao hầu hết các mạng nghiêm túc đều tránh để lộ SET hoặc hạn chế nó ở mức tối đa.
• BẨY: Thông báo không đồng bộ mà tác nhân gửi đến hệ thống quản lý mạng (NMS) khi một sự kiện xảy ra (ví dụ: máy in hết giấy, kết nối bị ngắt).
• THÔNG BÁOTương tự như một cái bẫy, nhưng có xác nhận đã nhận được từ NMS.

Các phiên bản SNMP và bảo mật
Trong lịch sử, SNMP đã trải qua nhiều phiên bản, với những thay đổi chủ yếu tập trung vào lĩnh vực bảo mật:

• SNMPv1 (RFC1155, 1156, 1157). Mô hình rất đơn giản, bảo mật dựa trên “chuỗi cộng đồng”, không mã hóa.
• SNMPv2cPhiên bản sửa đổi với những cải tiến về hiệu năng (GETBULK, các kiểu dữ liệu mới, v.v.), nhưng vẫn duy trì cùng một lược đồ bảo mật dựa trên cộng đồng. Đó là... được sử dụng nhiều nhất trong thực tế.
• SNMPv3. đi vào xác thực và mã hóaVới bảo mật dựa trên người dùng (USM) và các mô hình truy cập mạnh mẽ hơn, hệ thống này an toàn hơn nhiều, nhưng cũng phức tạp hơn trong việc cấu hình và có thể phát sinh thêm một số chi phí vận hành.

Để thuận tiện, nhiều mạng vẫn sử dụng SNMPv2c ở chế độ chỉ đọc (RO). Với các cộng đồng phức tạp và danh sách kiểm soát truy cập trên thiết bị. Nếu bạn cần tuân thủ các chính sách bảo mật nghiêm ngặt, nên lên kế hoạch chuyển đổi theo từng giai đoạn. v3.

WMI chuyên sâu: Cổng, RPC và WinRM

Trong môi trường Windows, WMI là công cụ được sử dụng phổ biến để trích xuất thông tin hệ thống mà không cần cài đặt thêm phần mềm bổ sung. Nhưng ở cấp độ mạng, WMI phụ thuộc vào RPC. Và điều đó sẽ gây ra những hậu quả đối với tường lửa.

Các cổng liên quan đến WMI cổ điển

• TCP 135: cảng của Trình ánh xạ điểm cuối RPCĐây là điểm truy cập ban đầu; thông qua đó, máy khách sẽ thương lượng xem cuộc gọi tiếp theo sẽ sử dụng cổng động nào.
• Cổng động TCP caotiêu biểu 49152-65535 Trong các hệ thống hiện đại, phiên WMI/DCOM thực tế được thiết lập ở đó.

Nếu bạn đang phân vùng mạng và lọc cổng một cách triệt để, điều này ngụ ý rằng... vấn đềViệc mở toàn bộ dải địa chỉ 49152-65535 giữa các phân đoạn thường không được chấp nhận từ góc độ bảo mật.

Giải pháp thay thế: WMI thông qua WinRM
Để tránh tình trạng tràn ngập các cổng động này, Microsoft cung cấp khả năng hiển thị WMI thông qua Quản lý WS Thông qua WinRM:

• HTTP trong cảng 5985 / TCP.
• HTTPS trong cảng 5986 / TCP.

Bằng cách này, bạn có thể giới hạn giao tiếp WMI chỉ ở các cổng được xác định rõ ràng và dễ kiểm soát hơn Trong tường lửa, ngoài việc thêm mã hóa khi sử dụng HTTPS, đây còn là phương pháp được ưa chuộng đối với các công cụ giám sát và quản lý từ xa Windows hiện đại.

WMI + Active Directory và các dịch vụ khác
Không nên quên rằng nhiều hoạt động quản trị từ xa liên quan đến WMI, PowerShell Việc điều khiển từ xa hoặc nâng cấp các bộ điều khiển miền cũng sử dụng:

• LDAP (389/TCP và UDP), LDAPS (636/TCP).
• SMB (445/TCP) dành cho các đường dẫn được đặt tên.
• Các cổng RPC tạm thời có dung lượng cao dành cho các dịch vụ phụ thuộc khác nhau (DFS, sao chép tập tin, Netlogon, v.v.).

Nếu bạn đang tắt hoàn toàn một mạng Windows, điều cần thiết là phải xem lại bảng hướng dẫn chi tiết. cổng dịch vụ hệ thống Chính sách của Microsoft là tránh cắt đứt các thành phần quan trọng (Kerberos, DNS, lịch trình Windows, sao chép AD, v.v.).

Tìm kiếm máy in và cổng bằng SNMP: một cách tiếp cận thực tiễn

Chúng ta hãy tập trung vào vụ việc mà chúng ta quan tâm nhất: Xác định vị trí máy in trên mạng và nắm rõ các cổng đang hoạt động. Sử dụng giao thức SNMP.

1. Kích hoạt và cấu hình SNMP trên máy in
Trên hầu hết các máy in tầm trung hiện đại, SNMP được bật mặc định hoặc được kích hoạt từ giao diện web của thiết bị:

• Định nghĩa một cộng đồng đọc SNMP (Không nên sử dụng từ “công khai” trong môi trường doanh nghiệp nghiêm túc).
• Nếu có thể, giới hạn quyền truy cập SNMP đến địa chỉ IP hoặc mạng con của máy chủ giám sát của bạn.
• Điền vào các trường sysLocation y sysContact để tôi có thể sắp xếp chúng sau này (văn phòng, phòng, tầng, email hỗ trợ, v.v.).

2. Kiểm tra từ máy chủ giám sát bằng lệnh snmpwalk.
Trên máy chủ Linux hoặc hệ điều hành tương tự có cài đặt công cụ Net-SNMP, bạn có thể sử dụng:

snmpwalk -v2c -c YOUR_COMMUNITY 192.168.xx

Nếu cấu hình chính xác, bạn sẽ thấy một cuộc diễu hành. danh sách dài các OID và giá trị: tên hệ thống, vị trí, số lượng giao diện, thống kê mạng, bộ đếm trang, mức mực (nếu nhà sản xuất cung cấp trong MIB riêng của họ), v.v.

Để chỉ kiểm tra một OID cụ thể (ví dụ: tên hệ thống):

snmpwalk -v2c -c YOUR_COMMUNITY 192.168.xx SNMPv2-MIB::sysName.0

3. Xác định các cổng và lưu lượng SNMP "rác".
Một trường hợp rất điển hình trong các mạng có lịch sử là việc tìm kiếm... Máy chủ in Windows Nó liên tục cố gắng giao tiếp qua SNMP với các máy in không còn tồn tại hoặc đã thay đổi mạng con.

• Các cổng TCP/IP của máy in trong Windows có thể có SNMP được bật mặc định.
• Nếu máy chủ đó cố gắng thực hiện các truy vấn SNMP tới các địa chỉ IP cũ cứ sau vài giây, bạn sẽ thấy nhiều gói hàng bị chặn Trên tường lửa của bạn (ví dụ: FortiGate), tất cả đều được chuyển hướng đến các địa chỉ UDP 161 không còn thuộc mạng nữa.

Giải pháp rất đơn giản: Tắt SNMP trên các cổng in đó. hoặc dọn dẹp các cổng không sử dụng. Trước khi xóa bất cứ thứ gì, nên xác minh rằng thực sự không còn tác vụ nào liên quan và máy in tương ứng không còn là một phần của hệ thống nữa.

4. Sử dụng MIB của nhà sản xuất cho dữ liệu nâng cao
Nếu bạn muốn vượt ra ngoài phạm vi "bật hoặc tắt" và để thực sự theo dõi trạng thái của máy in (hàng đợi, kẹt giấy, mực in, khay giấy), bạn sẽ phải:

• Tải về MIB dành riêng cho nhà sản xuất (Xerox, HP, Canon, v.v.), thường có sẵn trên cổng hỗ trợ của họ.
• Hãy tải chúng lên công cụ SNMP hoặc trình duyệt MIB của bạn.
• Xác định các OID liên quan đến từng chỉ số (ví dụ: số trang in, tuổi thọ vật tư tiêu hao, mã lỗi).

Với điều đó, bạn sẽ có thể xây dựng biểu đồ và cảnh báo Những cảnh báo này sẽ thông báo cho người dùng khi máy in hết giấy, khi mực còn 5% hoặc khi bộ đếm tăng đột biến bất thường, giúp tránh những bất ngờ không mong muốn cho người dùng.

SNMP, bảo mật và các thực tiễn cấu hình tốt

SNMP vô cùng mạnh mẽ, nhưng nếu không được kiểm soát, nó sẽ trở thành một mối nguy hiểm. cái lọcMột số điểm quan trọng cần tránh để không tự gây hại cho bản thân:

• Luôn luôn sử dụng cộng đồng cá nhân hóaKhông bao giờ dùng cụm từ “công khai” hay “riêng tư”.
• Hạn chế quyền truy cập vào Địa chỉ IP hoặc mạng con cụ thể Sử dụng ACL trên bộ định tuyến, bộ chuyển mạch hoặc trên chính tiến trình SNMP (Linux, Windows, ESXi, v.v.).
• Nếu có thể, hãy ở lại chế độ đọc (RO)Nên tránh sử dụng SET trong sản xuất trừ những trường hợp được kiểm soát rất chặt chẽ.
• Nếu môi trường của bạn yêu cầu, hãy cân nhắc sử dụng SNMPv3 Với xác thực và mã hóa, ít nhất là đối với các thiết bị quan trọng.
• Tài liệu MIB và OID là gì? Bạn sử dụng chúng và giải thích ý nghĩa của chúng để các quản trị viên khác có thể duy trì chúng.

Trong Windows Server, hãy nhớ rằng... Dịch vụ SNMP:

• Tính năng này không được cài đặt mặc định; người dùng phải thêm tính năng này (thông qua giao diện người dùng đồ họa, PowerShell hoặc các tùy chọn khác).
• Nó chủ yếu được cấu hình từ các tab. An ninh y Đại lý Thông tin về dịch vụ: cộng đồng được chấp nhận, máy chủ cho phép gửi gói hàng, thông tin liên hệ, vị trí và các dịch vụ được giám sát.

Trong Linux, tệp khóa thường là /etc/snmp/snmpd.confNơi bạn có thể định nghĩa các chế độ xem, cộng đồng và hướng nghe, ví dụ như chỉ cho phép một cộng đồng được định nghĩa và hạn chế chế độ xem đó. .1 (toàn bộ cây) hoặc các tập con cụ thể.

Điều phối WMI, SNMP và tường lửa trong mạng phân đoạn.

Trong các công ty có nhiều VLAN, DMZ và các vùng được lọc cao, thách thức không chỉ là giám sát, mà còn là việc giám sát thực sự. mà không cần mở một nửa số cảng trên toàn thế giớiĐây là lúc cần kết hợp đúng cách các quy tắc WMI, SNMP và tường lửa.

Một số nguyên tắc hiệu quả:

• đến Cửa sổ bên trong: cho phép WinRM (5985/5986) và giới hạn WMI cổ điển bằng RPC chỉ ở các phân đoạn được kiểm soát chặt chẽ.
• đến thiết bị mạng và máy in: chỉ mở UDP 161/162 đến và đi từ các địa chỉ IP của máy chủ giám sát của bạn.
• Tập trung giám sát tại một vài NMS được bảo vệ tốt thay vì có nhiều nguồn truy vấn phân tán.
• Kiểm tra bảng của Cổng dịch vụ Windows Server Để đảm bảo rằng AD, DNS, Kerberos, DFS, Netlogon, v.v. vẫn có thể giao tiếp với nhau sau bất kỳ thao tác tăng cường bảo mật nào.

Nếu bạn đã có tường lửa ghi nhật ký lưu lượng truy cập bị từ chối, thì đó là một ý tưởng hay. phân tích các bản ghi Tìm kiếm các mẫu SNMP bị chặn (hoặc WMI thông qua RPC) tương ứng với các thiết bị cấu hình sai, máy in bị thiếu hoặc máy chủ vẫn cho rằng có các mạng con lỗi thời. Việc dọn dẹp này giúp giảm nhiễu nền và giúp bạn tránh phải thiết lập các quy tắc không cần thiết.

Cuối cùng, hãy kết hợp thật tốt. WMI trên Windows và SNMP cho mọi thứ khác.Với chính sách cổng và cộng đồng rõ ràng, nó cung cấp cho bạn cái nhìn chi tiết về máy in, máy chủ, thiết bị chuyển mạch và ứng dụng, mà không cần phải cài đặt quá nhiều phần mềm quản trị nặng nề vào mạng hoặc để tường lửa mở rộng. Đây là cách hợp lý nhất để theo dõi ai in, từ đâu và qua cổng nào, mà không cần phải đau đầu mỗi khi có cuộc kiểm toán hoặc cần xem xét lại bảo mật của cơ sở hạ tầng.