Tag Archives: Overvågning

HTTPS/SSL Certifikat Monitor

Undgå at dine websider bliver usikre og ikke tilgængelige for dine brugere. Udløbede SSL certifikater giver brugerne af dine websider falsk sikkerhed. Hvis et SSL certifikat udløber vil nogle webbrowsere blokere for adgangen til websiden og derved ikke give brugerne adgang.

Lad derfor Neosec Security Server holde øje med alle dine certifikater centralt. HTTPS/SSL certifikat monitoren kan monitorere interne såvel som eksterne websider der benytter SSL certifikater. Ved installation af Neosec Network Agent i f.eks. Microsoft Azure, kan man monitorere websiderne fra Internettet. Man har dermed mulighed for at få styr på de installerede certifikater på de websider der håndtere Internettet, samt websider der håndteres internt.

Med denne monitor, sikrer Neosec Security Server proaktivt, at dine SSL certifikater på webservere ikke udløber.

Funktioner

  • Monitorere SSL Certifikat udløbs dato
  • Notifikation hvis Certifikat udløbsdato er mindre end det valgte antal dage sat på monitoren.
  • Rapportering af alle monitorerede SSL Certifikater

Certificate Expiry Days

  • Antal dage før SSL Certifikatet udløber

Konfiguration af HTTPS/SSL Certificate Monitor

Angiv webadressen for det website hvor certifikatet er installeret. SSL Certifikat monitoren tjekker udløbs datoen for certifikater. Angiv herefter hvor mange dage før certifikatet udløber at der skal udløses en alarm.

Rapportering

HTTPS/SSL Monitor Certificate Expiry rapport.

  • Device Type : Windows, Network Agent
  • Agent Type : Port
  • Neosec Agent : Ja

Der kan trækkes en rapport som giver giver et godt overblik over alle de monitorerede SSL certifikater. Rapporten kan også benyttes på dashboardet.

Data der gemmes

  • HTTPS/SSL Certificate Expiry Days
  • HTTPS/SSL Certificate Expiry Monitor Response time
  • HTTPS/SSL Certificate Expiry Availability
Cisco-5506-series-ASA-firewalls

Cisco ASA SNMP Konfiguration

For at kunne overvåge og monitorere Cisco ASA firewalls, så skal SNMP konfigureres. Cisco ASA firewalls understøtter SNMP version 1, 2c og 3. Cisco ASA firewalls understøtter kun læsning via SNMP, det vil sige man kan ikke ændre på konfiguration som man kan med Cisco switche.

Konfiguration af SNMP foretages via Seriel konsollen, SSH eller via den grafiske brugerflade ASDM.

SNMP Ver 1 og 2c konfigureres på følgende måde.

snmp-server enable

For at kunne kommunikere via SNMP, så skal der angives et community navn. Community navnet er et slags password eller delt nøgle der benyttes som validering og sikrer at det kun er de enheder der kender nøglen, der kan kommunikere sammen. Udover det skal man angive det logiske interface som man vil overvåge firewallen fra samt den IP adresse man kommer fra. Man kan ikke angive et range af adresser, som kan overvåge firewallen via SNMP.

snmp-server server host <logical-interface-name> poll community <string> version 2c

Konfigurationen vil se således ud, når man angiver en server der skal kunne overvåge firewallen interfacet inside.

Vi har i konfigurationen valgt at benytte SNMP version 2c i det at man her kan benytte 64bit countere. Dette er nødvendigt for overvågning af netværks interfaces der kan køre med mere end 10 Mbit. Vi har benyttet neosec som community navn.

snmp-server host inside 10.1.101.215 poll community neosec version 2c

For at identificere firewallen kan man konfigurere kontakt information og lokalitet. Disse informationer vises i Neosec Security Server når firewallen er tilføjet.

snmp-server contact IT Afdelingen
snmp-server location Hovedkrydsfelt

Husk at gemme konfigurationen bagefter.

write memory

Man kan lave yderligere ændringer til SNMP konfiguration udover standard. Som standard lytter Cisco ASA firewallen på port 161 for SNMP forespørgelser. Dette kan ændres med følgende kommando.

snmp-server listen-port 161

Yderligere så kan man konfigurere firewallen til at sende Traps via SNMP. Som standard benytter jeg Syslog som log kilde, men man kan også benytte SNMP som log kilde.

snap-server host inside 10.1.101.215 trap community neosec version 2c

Følgende Trap categorier kan tilvælges:

  • All
  • Connection-limit-reached
  • CPU
  • Entity
  • ikev2
  • Interface-threshold
  • iPsec
  • Memory-threshold
  • Nat
  • Remote-access
  • SNMP
  • Syslog
snmp-server enable traps <categori>

For yderligere information omkring SNMP følge da dette link.

Overvågnings protokoller

Neosec Security server, benytter følgende protokoller til overvågning.

ICMPInternet Control Message Protocol i daglig tale ping.

ICMP benyttes til at tjekke om de overvågede enheder er i live. Der sendes 3 x ping ud til hver enkelt enhed hvor Neosec Security Server afventer et svar. Ved hvert ping indhentes svartiden sådan at man kan beregne den gennemsnitlige svartid.

Udover dette benyttes ICMP også til at måle pakke tab. Hvis der ikke kommer 3 svar tilbage men kun 1, kan det skyldes at der er pakke tab til enheden eller at enheden er for belastet til at kunne svare.

Hvis de 3 ping besvares, ses enheden som oppe. Hvis de 3 ping ikke besvares ses enheden som nede.

Neosec Security Server benytter ICMP til at måle pakke tab og oppetid.

WMIWindows Management Instrumentation, dette er Microsofts framework for monitorering af deres operativ systemer.

WMI benyttes til monitorering af Windows server og arbejdspladser. Men WMI kan også benyttes til at udtrække informationer omkring hardware og software på de enkelte servere og arbejdsstationer.

SNMPSimple Network Management Protocol, en old school protokol der i høj grad benyttes til monitorering og overvågning af netværks enheder og servere. SNMP er en protokol der er understøttet på tværs af rigtig mange platforme. Den benyttes i dag på mange type netværks enheder, såsom switche, firewall, routere, arbejdsstationer og servere. Alle enheder har en SNMP agent som man spørger til.

Man benytter et Community navn for at kunne kommunikere med SNMP agenten. Dette er et slags brugernavn. Der kan på alle enheder sættes en Læse Community, nogle enheder understøtter også en skrive Community som kan benyttes til at sende kommandoer tilbage til SNMP Agenten for konfiguration af den enkelte enhed.

SNMP findes i 3 versioner, de adskiller sig på forskellige måder.

Version 1, den første version af SNMP protokollen. Begrænsningen er her 32 bit tællere.

Version 2, en nyere version der understøtter 64 bit tællere, samt nogle nye typer OID.

Version 3, har de samme funktioner som verision 2, men her er der en sikkerheds model hvor man kan kommunikere med SNMP agenten via en krypteret forbindelse, samt brugernavn og password.

Standard i dag er at man benytter Version 2.

Information

Oversigt over kendte kommunikations protokoller.

network-communication-protocols-map

 

 

 

 

 

Nyttige Link

MIB Depot http://www.mibdepot.com er et godt sted hvor man kan finde SNMP værdier for overvågning.

iReasoning MIB Browser, http://www.ireasoning.com en rigtig god SNMP MIB browser til check på enheder man ikke har overvåget før. I Neosec Securiy Server er der også en mulighed for at lave en SNMP Walk af alle MIB værdier på de enheder der overvåges.

PowerShell

Overvågning med PowerShell

Overvågning med PowerShell

PowerShell er Microsofts integrerede scripting værktøj som giver mulighed for automatisering af processer og administration af windows servere og windows klienter. Det giver adgang til en kommando shell hvor man kan udføre enkelt kommandoer eller scripts. PowerShell er en erstatning af VB Script.

PowerShell 2.0 indgik i ServicePacks til Windows XP, Vista og server 2003/2008. PowerShell version 3.0 er integreret i Windows Server 2012 samt 2012R2. PowerShell kan opgraderes på Windows 8.0 og 8.1. samt Windows 7 via en ServicePack. Det samme er gældende for Windows Server 2008 og 2008R2.

Microsoft udvikler løbende tools bestående af en række cmdlets, kommandoer til at konfigurere og administrere Windows funktioner med PowerShell.

I Neosec Security Server, giver vi mulighed for at kunne køre PowerShell cmdlets og scripts på de overvågede servere. Neosec Security Server benytter også PowerShell for Windows server monitorering. Neosec Security server understøtter ver. 3.0 og nyere.

Følgende monitore benytter PowerShell

  • windows DHCP Server 2012, 2012R2

Klargøring af Neosec Security Server og PowerShell

Før man kan benytte PowerShell via Neosec Security server, skal de rigtige versioner installeres.

På windows Server 2008 er version 2.0 installeret. Denne skal opgraderes til version 3.0 for at udnytte de nye features.

Følgende skal installeres før version 3.0 kan installeres.

  • WinRm 2.0  : Windows Management Framework Core for Windows server 2008
  • BITS 4.0 : Windows Management Framework BITS for Windows server 2008

Download Windows Management Framework 3.0

Server 2008 SP2

  • Windows6.0-KB2506146-x86.msu
  • Windows6.0-KB2506146-x64.msu

Windows 7 Service Pack 1

  • Windows6.0-KB2506143-x86.msu
  • Windows6.0-KB2506143-x64.msu

Windows 2008R2 SP1

  • Windows6.0-KB2506143-x64.msu

Windows 2012 og 2012R2

  • Her er version 3.0 allerede installeret

Powershell kommunikation

Lokalt

Kørsel af PowerShell scripts lokalt benyttes den konto man er logget ind med. Man kan også angive brugernavn og password for lokal kørsel af script via -Credential parameter.

Kørsel af PowerShell scripts lokalt er normalt tilladt og kan kører uden ekstra konfiguration.

Remote

Når man vil udføre et Powershell script på en remote maskine, kan man benytte parameteren -ComputerName. Her kan man angive den server man vil udføre scriptet på som NETBIOS navn eller FQDN. Den cmdlet eller script der skal udføres er placeret på den maskine hvor man kører Powershell scriptet fra. Det vil sige hvis man vil udføre opgaver på en server fra en Windows 8.x maskine, så skal cmdlets og script være installeret på Windows 8.x maskinen.

PowerShell benytter HTTP og SOAP for remote kommunikation. Portene tcp/5985 og tcp/5986 benyttes ved kommunikationen.

Hvis man ikke har cmdlets samt Scrips lokalt, så kan man udføre scriptet remote ved at oprette en Powershell session til den server man vil udføre scriptet på.

En af udfordringerne med remote management med Powershell er at WinRM kræver at man benytter server navnet på serveren når man forbinder sig med den. Man kan ikke benytte IP adresse eller DNS Alias. Hvis man vil benytte sig af IP adresse og DNS alias, så skal man tilføje den server man vil kommunikere med i TrustedHosts.

Følgende kommando skal køres i en PowerShell kommando prompt med Administrator rettigheder.

Set-Item WSMan:\localhost\Client\TrustedHosts -value *

For at slette informationen i TrustedHosts skal følgende kommando udføres.

Clear-Item WSMan:\localhost\Client\TrustedHosts

For at verificere at man har konfigureret TrustedHosts skal følgende kommando udføres.

Get-Item WSMan:\localhost\Client\TrustedHosts

Hvis man skal forbinde sig til en Windows Server 2008 eller 2008R2, så skal man først aktivere WinRM, dette er ikke automatisk startet. På Windows Server 2012 og 2012R2 er WINrm automatisk startet.

Via Windows PowerShell skrives følgende kommando

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -force

Via Windows PowerShell skrives herefter følgende kommando som aktivere alle de firewall regler der skal være for at kommunikere med serveren via WINrm. Udover dette konfigureres der også en HTTP service som acceptere WS-Man forbindelser, som er det vi benytterin ved remote kommunikation.

Configure-SMRemoting.ps1 -force -enable

PowerShell Query og login

Krypteret forbindelse, her udføres kommando og validering via Kerberous. Man skal kalde serveren med FQDN i det at certifikatet der kryptere forbindelse bliver valideret.

Ukrypteret forbindelse, her udføres kommando og validering ved Basic authentication uden kryptering. Her kan man benytte IP addresse eller FQDN for servernavnet.

Nyttige links

Wikipedia for PowerShell

Nyttige kommandoer

Get-Module -ListAvailable -all

Viser hvilke cmdlets og moduler der er installeret.

Import-Module -name <modulename>

installere moduler der endnu ikke er installeret.

HP Switche

HP Switch SNMP konfiguration

For at kunne overvåge og monitorere HP Procurve switche, så skal SNMP konfigureres. De fleste HP switche understøtter SNMP version 1, 2c. I de nyere versioner af deres switche er der nu også understøttelse for SNMP version 3.

HP Switche understøtter både Read og Write via SNMP, det vil sige at vi udover at kunne læse informationer fra switchene også kan gemme informationer, samt lave om i konfigurationen via SNMP.

Konfiguration af SNMP foretages via Seriel konsollen, Telnet eller SSH.

SNMP Ver 1 og 2c konfigureres på følgende måde. Følgende kommando aktivere SNMP på switchen.

snmp-server enable

For at kunne kommunikere via SNMP, så skal der angives et community navn. Community navnet er et slags password eller delt nøgle der benyttes som validering og sikrer at det kun er de enheder der kender nøglen, der kan kommunikere sammen. .

snmp-server community <Community Navn>

Hvis man ikke angiver andet end ovenstående, konfigureres snmp-server til at kunne læse som en ‘Operator’. Man kan angive en snmp-server konfiguration som ‘Operator’ eller som ‘Manager’. ‘Operator’ kan tilgå et begrænset antal MIB objekter til overvågning og et begrænset antal MIB objekter for konfigurations information på switchen. Hvis man vælger ‘Manager’ Kan man læse alle MIB objekter der findes på switchen.

Man kan yderligere vælge hvilken type adgang man skal have. Her kan man vælge ‘restricted’ som kun giver læse adgang eller ‘unrestricted’ som giver lov til at kunne læse og skrive SNMP MIB variabler.

Konfigurationen vil se således ud. Her konfigureres SNMP adgangen til switchen med community navnet neosec, som manager hvor man har adgang til alle MIB objekter og som unrestricted, der giver mulighed for både at læse og skrive.

snmp-server community neosec manager unrestricted

Konfigurationen giver adgang for SNMP version 1 og 2c. Det anbefales at vælge SNMP version 2c i Neosec, sådan at man kan overvåge Interface countere med 64 bit.

For at identificere switchen kan man konfigurere kontakt information og lokalitet. Disse informationer vises i Neosec Security Server når switchen er tilføjet.

snmp-server contact IT Afdelingen
snmp-server location Hovedkrydsfelt

Husk at gemme konfigurationen bagefter.