Tag Archives: WMI

Software Network

Nyttig software for netværks administratore

Til daglig arbejder jeg med netværk og sikkerhed og har i den forbindelse tit brug for nogle værktøjer til fejlfinding, dokumentation m.m. Jeg har her udfærdiget en liste som løbende vil blive opdateret, med de programmer som jeg benytter.

  • Wireshark : Wireshark er et netværksprotokol analyse værktøj. Det har sin force i at kunne genkende rigtige mange forskellige former for netværksprotokoller. Det har en indbygget optage funktion som gør at man hurtigt kan optage netværkstrafik og derefter analysere dette. Der er også mulighed for at indlæse PCAP filer fra andre produkter f.eks. netværks udstyr m.m. hvor man kan analysere de opsamlede netværksdata. Produktet er opensource og findes til flere forskellige platforme.
  • Neosec Network Scanner : Er en netværks scanner der hurtigt kan scanne et range af ip adresser. Udover hvilke IP adresser der er i brug kan det også opsamle information via SNMP og WMI. Dette program følger med Neosec security server og benyttes til at finde de aktive enheder på et netværk som man gerne vil overvåge via Neosec Security Server.
  • Advanced IP Scanner : Er også en netværks scanner som hurtigt kan lave en liste over de aktive enheder der er på netværket. Der er også en indbygget port scanner, sådan at de meste gængse porte bliver vist hvis de er aktive på den enkelte enhed.
  • inSSIDer 4 : Er et værktøj til tjek af trådløse netværk. Det er et uundværligt værktøj i forbindelse med “site survey” og placering af trådløse access punkter. Programmet er ikke gratis, det koster ca. 20 dollar.
  • Microsoft Visio : Microsoft Visio er nok et af de programmer jeg benytter mest. Det er det værktøj jeg benytter ved dokumentation af netværk og kommunikations flow. Jeg har benyttet mig af Visio lige siden det kom frem for mange år siden. Tit er en tegning bedre end en beskrivelse af en netværks infrastruktur eller et flow.

Overvågnings protokoller

Neosec Security server, benytter følgende protokoller til overvågning.

ICMPInternet Control Message Protocol i daglig tale ping.

ICMP benyttes til at tjekke om de overvågede enheder er i live. Der sendes 3 x ping ud til hver enkelt enhed hvor Neosec Security Server afventer et svar. Ved hvert ping indhentes svartiden sådan at man kan beregne den gennemsnitlige svartid.

Udover dette benyttes ICMP også til at måle pakke tab. Hvis der ikke kommer 3 svar tilbage men kun 1, kan det skyldes at der er pakke tab til enheden eller at enheden er for belastet til at kunne svare.

Hvis de 3 ping besvares, ses enheden som oppe. Hvis de 3 ping ikke besvares ses enheden som nede.

Neosec Security Server benytter ICMP til at måle pakke tab og oppetid.

WMIWindows Management Instrumentation, dette er Microsofts framework for monitorering af deres operativ systemer.

WMI benyttes til monitorering af Windows server og arbejdspladser. Men WMI kan også benyttes til at udtrække informationer omkring hardware og software på de enkelte servere og arbejdsstationer.

SNMPSimple Network Management Protocol, en old school protokol der i høj grad benyttes til monitorering og overvågning af netværks enheder og servere. SNMP er en protokol der er understøttet på tværs af rigtig mange platforme. Den benyttes i dag på mange type netværks enheder, såsom switche, firewall, routere, arbejdsstationer og servere. Alle enheder har en SNMP agent som man spørger til.

Man benytter et Community navn for at kunne kommunikere med SNMP agenten. Dette er et slags brugernavn. Der kan på alle enheder sættes en Læse Community, nogle enheder understøtter også en skrive Community som kan benyttes til at sende kommandoer tilbage til SNMP Agenten for konfiguration af den enkelte enhed.

SNMP findes i 3 versioner, de adskiller sig på forskellige måder.

Version 1, den første version af SNMP protokollen. Begrænsningen er her 32 bit tællere.

Version 2, en nyere version der understøtter 64 bit tællere, samt nogle nye typer OID.

Version 3, har de samme funktioner som verision 2, men her er der en sikkerheds model hvor man kan kommunikere med SNMP agenten via en krypteret forbindelse, samt brugernavn og password.

Standard i dag er at man benytter Version 2.

Information

Oversigt over kendte kommunikations protokoller.

network-communication-protocols-map

 

 

 

 

 

Nyttige Link

MIB Depot http://www.mibdepot.com er et godt sted hvor man kan finde SNMP værdier for overvågning.

iReasoning MIB Browser, http://www.ireasoning.com en rigtig god SNMP MIB browser til check på enheder man ikke har overvåget før. I Neosec Securiy Server er der også en mulighed for at lave en SNMP Walk af alle MIB værdier på de enheder der overvåges.