Category Archives: SNMP Overvågning

Konfiguration af SNMPv3 på Cisco IOS/IOS XE

Konfiguration af SNMPv3 er ikke lige så nemt som med SNMPv1 og SNMPv2c hvor man benytter et community navn og definerer om det er readonly eller write adgang. SNMPv3 kræver et SNMPv3 View, en SNMPv3 Gruppe samt en SNMPv3 bruger.

Følg denne guide, for at konfigurere det.

Konfiguration af SNMPv3 View,

Et SNMPv3 View er en definition af hvilke SNMP OID der gives adgang til. Her giver vi adgang til hele SNMP OID træstrukturen.

snmp-server view snmpv3-oid-all iso included

Herefter skal vi knytte dette SNMP View til en Gruppe. Når man opretter en gruppe, skal man træffe nogle valg.

Ved oprettelsen skal man angive følgende

  1. Hvilken validering og kryptering af kommunikation der skal benyttes
  2. Om man skal have skrive adgang eller læse adgang.

I dette eksempel, vælger vi at benytte priv (Det vil sige at vi vil validere en bruger, samt benytte kryptering for kommunikationen)

Udover det vil vi kun give læse adgang via SNMP kommunikationen.

snmp-server group snmpv3group-read-all v3 priv read snmpv3-oid-all

Herefter skal brugeren oprettes, også her skal der træffes nogle valg ved oprettelsen.

  • Brugernavn
  • hvilken gruppe brugeren skal være medlem af.
  • hvilken kryptering der skal benyttes for validering, MD5 eller sha.
  • hvilken kryptering der skal benyttes ved kommunikation DES, 3DES, AES, AES192, AES384.
  • Password for bruger validering, her har vi valgt : h4KhA5cRXU3sEB
  • Password for Kryptering, her har vi valgt : XQ2EUKf2quaXN7

Der kan være forskel på hvilke sikkerheds protokoller og krypterings protokoller der kan benyttes på de forskellige netværks enheder. Dette har noget at gøre med alderen på udstyret, men også noget med versionen og understøttelse af sikkerhed.

snmp-server user snmpv3user snmpv3group-read-all v3 auth sha h4KhA5cRXU3sEB priv aes 256 XQ2EUKf2quaXN7

Herefter kan man overvåge en Cisco switche eller router med SNMPv3.

Der kan være forskel på hvilke sikkerheds protokoller og krypterings protokoller der kan benyttes på de forskellige netværks enheder. Dette har noget at gøre med alderen på udstyret, men også noget med versionen og understøttelse af sikkerhed. DES/3DES kryptering og SHA1 Hash algoritme, ses som usikre, men der er stadig hardware derude som kun understøtter disse, i forhold til AES kryptering og SHA2 Hash algoritme.

SNMPv3

SNMPv3 er en overbygning til SNMPv1 og SNMPv2c. SNMPv1 er basis SNMP som benytter u-krypteret kommunikation og kun understøtter 32 bit værdier. SNMPv2c er som SNMPv1 men kan håndtere 64 bit værdier som er nødvendige ved overvågning af Netværks interfaces som håndtere mere end 100Mbit. Med SNMPv1 og SNMPv2c benyttes en community tekst streng som password og validering af SNMP kommunikationen.

Med SNMPv3 gives der mulighed for mere sikkerhed i forbindelse med kommunikation til netværksenheder. Her benytter man ikke en community streng, men en bruger. Brugeren skal være medlem af en gruppe, hvor man har mulighed for at konfigurere forskellige adgange for de enkelte bruger. Men vigtigst af alt, med SNMPv3 introdusere man kryptering af SNMP kommunikationen imellem server og SNMP Agent (enheden der overvåges).

Sikkerheds adgang

SNMPv3 benytter følgende tre sikkerheds niveauer

  • NoAuthNoPriv – Ingen bruger validering, ingen kryptering
  • AuthNoPriv – Bruger validering, ingen kryptering
  • AuthPriv – Benytter både bruger validering og kryptering af kommunikation

Krypterings protokoller

Følgende krypterings protokoller kan benyttes ved SNMPv3 kommunikation

Validering:

I mange år har man kun kunnet benytte SHA1, MD5 ved validering, men i det at man anser disse former for usikre, bør man i dag benytte SHA256, SHA384, SHA512

Kryptering:

Igen har man i mange år benyttet DES og 3DES som standard protokoller for kryptering af SNMPv3 kommunikation. Disse protokoller er i dag anset som usikre og man bør benytte AES128, AES192 og AES256 for kryptering af kommunikationen.

SNMP View

SNMP Views, benyttes til at give adgang til hele SNMP OID træet eller kun dele af den. Dette styres på den enkelte netværks enheds som skal overvåges. Normalt vil man give adgang til hele træet i læse adgang, sådan at man har adgang til alle SNMP værdier på enheden.

SNMP Grupper

En SNMP Gruppe styrer adgangen til et SNMP View, man tilknytter en SNMPv3 bruger, som så får adgang til det tilknyttede SNMP View. Man kan give læse adgang eller skrive adgang til en gruppe.

Neosec Security Server

SNMPv3 er understøttet i Neosec Security Server og kan benyttes direkte via serveren samt via Network Agenten.

Følg nedenstående links for konfiguration af SNMPv3 på SNMP Agenter på netværks udstyr.

Links

Konfiguration af SNMPv3 på Cisco IOS/IOS XE

Oprettelse af SNMPv3 på Cisco Secure Firewall via Firepower Management Center

Oprettelse af SNMPv3 på Cisco Secure Firewall via Rest API FDM.

Konfiguration af SNMP overvågning på Ubuntu server

Ubuntu

Konfiguration af SNMP overvågning på Ubuntu server

For at kunne overvåge en Ubuntu server, skal der installeres en SNMP Daemon først [SNMPD]. SNMPD bliver ikke installeret som standard på en Ubuntu server. Tjek med følgende kommando om SNMPD allerede er installeret.

sudo service --status-all

[ + ] apparmor
[ + ] apport
[ + ] atd
[ - ] console-setup.sh
[ + ] cron
[ - ] cryptdisks
[ - ] cryptdisks-early
[ + ] dbus
[ + ] grub-common
[ - ] hwclock.sh
[ + ] irqbalance
[ - ] iscsid
[ - ] keyboard-setup.sh
[ + ] kmod
[ - ] lvm2
[ - ] lvm2-lvmpolld
[ + ] multipath-tools
[ - ] open-iscsi
[ + ] open-vm-tools
[ - ] plymouth
[ - ] plymouth-log
[ + ] procps
[ - ] rsync
[ + ] rsyslog
[ - ] screen-cleanup
[ + ] ssh
[ + ] udev
[ + ] ufw
[ + ] unattended-upgrades
[ - ] uuidd

Listen viser de services der er installeret på serveren, hvis der er angivet [+] så er servicen startet. Listen viser at SNMPD ikke er installeret.

Kør følgende for at installere SNMPD.

  1. opdater pakke listen: sudo apt-get update
  2. Installer SNMPD: sudo apt-get install snmp, snmpd

Herefter skal SNMPD konfigureres, dette gøres ved at ændre snmpd.conf filen. sudo nano /etc/snmp/snmpd.conf

Find linjen med følgende tekst: agentaddress 127.0.0.1,[::1]

Denne tekst skal ændres til følgende: agentaddress udp:161,udp6:[::1]:161

Find linjerne med følgende tekst:

rocommunity public default -V systemonly
rocommunity6 public default -V systemonly

Man benytter snmp community som password for at kunne få lov til at hente informationer fra serveren via snmp.

Ændre public til den SNMP Community som man ønsker eller benyt public som standard. Her er snmp community ændret til neosec.

rocommunity neosec default -V systemonly
rocommunity6 neosec default -V systemonly

Som standard er snmd konfigurereret med et systemonly view som ikke giver så mange informationer på systemet.

Hvis vi gerne vil overvåge disk, memory m.m. så skal snmp viewet ændres.

view systemonly included .1.3.6.1.2.1.1

View systemonly included .1.3.6.1.2.1.25.1

opret nyt view

view systemAll included .1

Gem ændringerne i snmpd.conf filen og start snmpd servicen. sudo service snmpd restart

[ + ] apparmor
[ + ] apport
[ + ] atd
[ - ] console-setup.sh
[ + ] cron
[ - ] cryptdisks
[ - ] cryptdisks-early
[ + ] dbus
[ + ] grub-common
[ - ] hwclock.sh
[ + ] irqbalance
[ - ] iscsid
[ - ] keyboard-setup.sh
[ + ] kmod
[ - ] lvm2
[ - ] lvm2-lvmpolld
[ + ] multipath-tools
[ - ] open-iscsi
[ + ] open-vm-tools
[ - ] plymouth
[ - ] plymouth-log
[ + ] procps
[ - ] rsync
[ + ] rsyslog
[ - ] screen-cleanup
[ + ] snmpd
[ + ] ssh
[ + ] udev
[ + ] ufw
[ + ] unattended-upgrades
[ - ] uuidd

Man kan nu se at snmpd er tilføjet i listen og servicen er startet.

Test nu om man kan hente snmp informationer fra serveren.

snmpwalk -v2c -c neosec localhost

iso.3.6.1.2.1.1.1.0 = STRING: "Linux ubuntudocker 5.4.0-62-generic #70-Ubuntu SMP Tue Jan 12 12:45:47 UTC 2021 x86_64"
iso.3.6.1.2.1.1.2.0 = OID: iso.3.6.1.4.1.8072.3.2.10
iso.3.6.1.2.1.1.3.0 = Timeticks: (2143) 0:00:21.43
iso.3.6.1.2.1.1.4.0 = STRING: "Me <me@example.org>"
iso.3.6.1.2.1.1.5.0 = STRING: "ubuntudocker"
iso.3.6.1.2.1.1.6.0 = STRING: "Sitting on the Dock of the Bay"
iso.3.6.1.2.1.1.7.0 = INTEGER: 72
iso.3.6.1.2.1.1.8.0 = Timeticks: (1) 0:00:00.01
iso.3.6.1.2.1.1.9.1.2.1 = OID: iso.3.6.1.6.3.10.3.1.1
iso.3.6.1.2.1.1.9.1.2.2 = OID: iso.3.6.1.6.3.11.3.1.1
iso.3.6.1.2.1.1.9.1.2.3 = OID: iso.3.6.1.6.3.15.2.1.1
iso.3.6.1.2.1.1.9.1.2.4 = OID: iso.3.6.1.6.3.1
iso.3.6.1.2.1.1.9.1.2.5 = OID: iso.3.6.1.6.3.16.2.2.1
iso.3.6.1.2.1.1.9.1.2.6 = OID: iso.3.6.1.2.1.49
iso.3.6.1.2.1.1.9.1.2.7 = OID: iso.3.6.1.2.1.4
iso.3.6.1.2.1.1.9.1.2.8 = OID: iso.3.6.1.2.1.50
iso.3.6.1.2.1.1.9.1.2.9 = OID: iso.3.6.1.6.3.13.3.1.3
...

Ovenstående resultat viser at SNMP Daemon servicen kører og man kan herefter konfigurere overvågning af serveren.

Cisco-5506-series-ASA-firewalls

Cisco ASA SNMP Konfiguration

For at kunne overvåge og monitorere Cisco ASA firewalls, så skal SNMP konfigureres. Cisco ASA firewalls understøtter SNMP version 1, 2c og 3. Cisco ASA firewalls understøtter kun læsning via SNMP, det vil sige man kan ikke ændre på konfiguration som man kan med Cisco switche.

Konfiguration af SNMP foretages via Seriel konsollen, SSH eller via den grafiske brugerflade ASDM.

SNMP Ver 1 og 2c konfigureres på følgende måde.

snmp-server enable

For at kunne kommunikere via SNMP, så skal der angives et community navn. Community navnet er et slags password eller delt nøgle der benyttes som validering og sikrer at det kun er de enheder der kender nøglen, der kan kommunikere sammen. Udover det skal man angive det logiske interface som man vil overvåge firewallen fra samt den IP adresse man kommer fra. Man kan ikke angive et range af adresser, som kan overvåge firewallen via SNMP.

snmp-server server host <logical-interface-name> poll community <string> version 2c

Konfigurationen vil se således ud, når man angiver en server der skal kunne overvåge firewallen interfacet inside.

Vi har i konfigurationen valgt at benytte SNMP version 2c i det at man her kan benytte 64bit countere. Dette er nødvendigt for overvågning af netværks interfaces der kan køre med mere end 100 Mbit. Vi har benyttet neosec som community navn.

snmp-server host inside 10.1.101.215 poll community neosec version 2c

For at identificere firewallen kan man konfigurere kontakt information og lokalitet. Disse informationer vises i Neosec Security Server når firewallen er tilføjet.

snmp-server contact IT Afdelingen
snmp-server location Hovedkrydsfelt

Husk at gemme konfigurationen bagefter.

write memory

Man kan lave yderligere ændringer til SNMP konfiguration udover standard. Som standard lytter Cisco ASA firewallen på port 161 for SNMP forespørgelser. Dette kan ændres med følgende kommando.

snmp-server listen-port 161

Yderligere så kan man konfigurere firewallen til at sende Traps via SNMP. Som standard benytter jeg Syslog som log kilde, men man kan også benytte SNMP som log kilde.

snmp-server host inside 10.1.101.215 trap community neosec version 2c

Følgende Trap categorier kan tilvælges:

  • All
  • Connection-limit-reached
  • CPU
  • Entity
  • ikev2
  • Interface-threshold
  • iPsec
  • Memory-threshold
  • Nat
  • Remote-access
  • SNMP
  • Syslog
snmp-server enable traps <categori>

For yderligere information omkring SNMP følge da dette link.

HP Switche

HP Switch SNMP konfiguration

For at kunne overvåge og monitorere HP Procurve switche, så skal SNMP konfigureres. De fleste HP switche understøtter SNMP version 1, 2c. I de nyere versioner af deres switche er der nu også understøttelse for SNMP version 3.

HP Switche understøtter både Read og Write via SNMP, det vil sige at vi udover at kunne læse informationer fra switchene også kan gemme informationer, samt lave om i konfigurationen via SNMP.

Konfiguration af SNMP foretages via Seriel konsollen, Telnet eller SSH.

SNMP Ver 1 og 2c konfigureres på følgende måde. Følgende kommando aktivere SNMP på switchen.

snmp-server enable

For at kunne kommunikere via SNMP, så skal der angives et community navn. Community navnet er et slags password eller delt nøgle der benyttes som validering og sikrer at det kun er de enheder der kender nøglen, der kan kommunikere sammen. .

snmp-server community <Community Navn>

Hvis man ikke angiver andet end ovenstående, konfigureres snmp-server til at kunne læse som en ‘Operator’. Man kan angive en snmp-server konfiguration som ‘Operator’ eller som ‘Manager’. ‘Operator’ kan tilgå et begrænset antal MIB objekter til overvågning og et begrænset antal MIB objekter for konfigurations information på switchen. Hvis man vælger ‘Manager’ Kan man læse alle MIB objekter der findes på switchen.

Man kan yderligere vælge hvilken type adgang man skal have. Her kan man vælge ‘restricted’ som kun giver læse adgang eller ‘unrestricted’ som giver lov til at kunne læse og skrive SNMP MIB variabler.

Konfigurationen vil se således ud. Her konfigureres SNMP adgangen til switchen med community navnet neosec, som manager hvor man har adgang til alle MIB objekter og som unrestricted, der giver mulighed for både at læse og skrive.

snmp-server community neosec manager unrestricted

Konfigurationen giver adgang for SNMP version 1 og 2c. Det anbefales at vælge SNMP version 2c i Neosec, sådan at man kan overvåge Interface countere med 64 bit.

For at identificere switchen kan man konfigurere kontakt information og lokalitet. Disse informationer vises i Neosec Security Server når switchen er tilføjet.

snmp-server contact IT Afdelingen
snmp-server location Hovedkrydsfelt

Husk at gemme konfigurationen bagefter.

Server Room

Microsoft Windows-monitorering

Microsoft Windows-monitorering

Få det fulde overblik ved monitorering og overvågning af din Windows Server

Windows understøtter flere forskellige protokoller for monitorering. Som standard benytter Neosec Security Server WMI. WMI giver de mest nøjagtige målinger. Ved WMI kan man få fat i alle Windows Performance Counters der er tilgængelig på den overvågede enhed.

WMI benyttes til at overvåge servere uden at der skal installeres en agent. WMI benyttes også til opsamling af Windows Eventlogs, disse gemmes centralt på Neosec Security Serveren.

Neosec Security Server har også en Agent som kan benyttes til overvågning af servere decentralt. Agenten er opbygget som en autonom agent der automatisk forbinder sig til Security Serveren og overfører de opsamlede data. Agenten er opbygget med 2 vejs kommunikation, sådan at man kan udføre handlinger på den overvågede server. Agenten benyttes i miljøer hvor Security serverne ikke kan kommunikere direkte med Windows serveren, f.eks ved at den sider bag en firewall.

Standard Monitorering :

  • Availability
  • CPU
  • Memory
  • Pagefile
  • Harddisk plads
  • Services der er sat som Auto start, men er stoppet

Optioner :

  • Service Monitorering
  • Services Installation/Afinstallation
  • Process Monitorering
  • Process Count
  • Alle Performance Countere der er tilgængelige på den enkelte server/workstation
  • Windows Eventlog
  • DHCP Server Scopes

Der kan også benyttes SNMP for monitorering men det er ikke alt der kan monitoreres på denne måde samt at det ikke er lige så nøjagtigt som ved WMI.

Der er dog nogle funktioner der ikke kan monitoreres med WMI.

DHCP Server status kan ikke måles direkte via WMI, her skal man benytte SNMP eller WINRM. Når man benytter WINRM sker det via WMI forespørgsler.

WMI - Windows Management Instrumentation, dette er Microsofts framework for monitorering af deres operativ systemer.

Læs mere omkring Authentication og Authorization med WMI her: WMI Autentificering/autorisation NTLM/Kerberos

SNMP - Simple Network Management Protocol, en old school protokol der i høj grad benyttes til monitorering og overvågning af netværks enheder og servere. SNMP er en protokol der er understøttet på tværs af rigtig mange platforme.