VMware Host Hardware Health Monitorering

Hver VMware Host overvåger hardwaren der håndterer den enkelte host. Via VMware Host Health Status, får man den aktuelle status på følgende komponenter.

  • CPU Processors
  • Memory
  • Fans
  • Temperature
  • Voltage
  • Power
  • Network
  • Battery
  • Storage
  • Cable/Interconnect
  • Software components
  • Watchdog
  • Other

Alle informationerne bliver opsamlet via System Management Architecture for Server Hardware (SMASH). SMASH er en industri standard som omhandler protokoller for administration af systemer i datacenter. For mere information omkring SMASH kan man følge dette link http://www.dmtf.org/standards/smash

For hver komponent gives en status

  • green : Sensoren er ok
  • red : Sensoren er i kritisk tilstand, Der er en hardware fejl på serveren.
  • unknown : Der kan ikke indhentes information omkring sensoren. dette kan forekomme hvis SMASH driveren ikke fungerer.
  • yellow : Sensoren er ok, dog kan der være et problem med hardwaren

Via Neosec Security Server kan man overvåge denne sensor status.

VMware Host Hardware Status Monitor, overvåges ved at hente listen over alle Hardware sensorene og gennemgår status. Hvis status ikke er “Green”oprettes en alert.

VMware Powercli– VMware powercli benyttes til overvågning af VMware Hosts. via dette API kan man få fat i alle managemente elememterr i VMware. Der benyttes HTTPS for kommunikation mod ESXi Host eller via VMware vCenter.

Installer VMware tools i Windows Server 2016 Core

Ved installation af Windows Server 2016 Core i VMware vil man gerne have det mest optimale ud af serveren. For at kunne køre med den optimerede VMware VMXNET3 netværks driver, så skal der installeres VMware tools. Ved installation af Windows 2016 Core skal man huske at vælge VMXNET3 istedet for default netværks adapteren, ellers skal man til at slette netværks adapteren og tilføje den rigtige efter oprettelsen serveren i VMware.

Følgende vejledning viser hvordan man installerer VMware Tools i Windows 2016 Core.

Start med at logge på med en konto der har Administrator rettigheder. Og start Powershell.

Start VMware Tools installation via VMware vSphere klienten.

Tjek derefter om d:\ er mounted. Dette kan gøres ved at køre Get-PSDrive som viser alle de drev der er mounted på serveren.

Vælg D: drevet og start setup.exe.

Herefter starter installationen som ved den almindelige Desktop udgave af Windows 2016. Det er også muligt at køre installation i silent mode, hvor der ikke er nogen grafisk brugerflade for installationen.

Vælg Typical og tryk Next.

Gå igennem wizarden og installer VMware tools.

Tryk Finish.

Til sidst bliver man bedt om at genstarte, vælg “Yes” og serveren genstartes.

Herefter er VMware tools installeret, man kan nu få adgang til netværket med NetFX3 driveren. Man kan nu starte server konfigurationen ved at køre sconfig.

Sikkerhed

Let’s Encrypt

Let’s Encrypt, er en organisation der tilbyder gratis og automatiseret udstedelse af certifikater til webservere m.m. Organisationen der driver servicen er Internet Security Resesarch Group (ISRG) hvor EFF, Mozilla, Cisco, Akamai med flere støtter op omkring projektet. Deres budskab er at skabe et mere sikkert Internet og bryde tabuet, med at det er for dyrt at få sikkerhed på sit website.

De certifikater der udstedes via Let’s Encrypt er baseret på Domain Validering. Ved oprettelse af certifikatet, skal man kunne identificere sig med at man er ejer af domænet, som certifikatet udstedes til. Dette gør det nemmere at kunne få udstedt certifikatet, da det ikke indebærer validering via personlig henvendelse samt kommunikation via email.

Certifikatets levetid er ikke som normalt, mellem 1 og 5 år, men kun på 90 dage. Læs her på følgende link, hvorfor man har valgt 90 dage. Det gør det noget mere besværligt og kræver noget mere administration af de udstedte certifikater i forhold til normal udstedte certifikater. Dette ved organisationen omkring Let’s Encrypt godt og har derfor sat sig for at kunne automatisere udstedelse af certifikaterne.

Let’s Encrypt har udviklet et API hvor der er udviklet en række klienter som man kan automatisere udstedelse af certifikater. Organisationen er selv kommet med en række klienter til forskellige platforme og med tiden er flere 3 parts leverandører kommet med integrationer til deres API, for at gøre det nemmere at udstede certifikater.

På Windows platformen, er der lavet en klient til PowerShell. Klienten kan installeres via PowerShell Gallery, eller via Chocolatey. Husk at installere PowerShell Gallery eller Chocolatey før man kan installere PowerShell modulet. En anden klient som kan anbefales er letsencrypt-win-simple, denne køres via en kommando prompt.

Jeg har her nævnt lidt plusser og minusser ved denne løsning.

Minusser

  • Begrænset levetid, levetiden er 90 dage kontra 1 – 5 år ved andre certifikater.
  • Man kan ikke udstede wildcard certifkater endnu. Dog kan man udstede SAN hvor man kan have op til 100 FQDN i samme certifikat.

Plusser

  • Det er gratis at få udstedt certifikater til sit website.
  • Da man ikke kan benytte Wildcard, har man muligheden for at benytte SAN, Subject Alternative Names.  domæner. Her kan man tilføje flere Fully Qualified Domain Names til certifikatet, sådan at et certifikat kan håndtere flere websites. op til 100.

Let’s Encrypts hjemmeside.

Network Cables

Neosec Net tools

Neosec Net tools består af en samling web applikationer som kan benyttes til at hjælpe netværks administratore i deres hverdag. Neosec Net tools kan findes på følgende adresse : nettools.neosec.dk

My IP, benyttes til at få oplyst den IP adresse man bliver præsenteret som, når man kommunikerer på Internettet.

SSL Check tjekker om en given URL har et validt certifikat. Man angiver en URL f.eks. www.bt.dk, herefter tjekker systemet om der kan oprettes en sikker forbindelse til https://www.bt.dk. Hvis dette er muligt hentes certifikatet og der laves en analyse af det.

  • Der tjekkes om certifikatets udløbsdato, der beregnes hvor mange dage certifikatet kan benyttes endnu.
  • Der tjekkes om certifikatets CN (Common Name) svare overens med den URL man har angivet.
  • SSLCheck viser alle informationer omkring certifikatet samt informationer omkring rod-certifikater og mellem rod-certifikater og giver status på om de er valide.

Et nemt lille værktøj til hurtigt at tjekke om f.eks. et certifikat på en Exchange server er validt.

MAC Address lookup, er et værktøj til at finde producenter via MAC Addresser.

Når man til daglig arbejder med netværk og til tider skal finde ud af hvilket udstyr der er på det pågældende net. Så kommer man tit ud for at man skal kunne genkende udstyret på en eller anden måde. Her kan man via en MAC adresse finde ud af hvilken producent der har lavet udstyret. Når man pinger en netværks enhed eller server på et netværk får man kun oplyst om den er i live. Ved opslag i arp tabellen får man oplyst IP Adresse og den MAC adresse enheden har. Ud fra MAC adressen kan man finde ud af hvilken producent der har lavet produktet.

IEEE-SA Registration Authority har i over 30 år håndteret en database over alle de producenter af netværks udstyr. Det er dem der tildeler MAC adresser til udbyderne.

Der findes 3 kategorier af MAC adresse databaser. Small Block (4096), Medium Block (1.000.000) og Large Block (16.000.000). MAC Address Lookup håndterer de adresser der ligger i Large Block databasen.

MTU Path test, er et værktøj til at tjekke hvor store pakker der kan benyttes til at kommunikere med på Internettet. MTU Path tester fra nettools sitet til en given destination. MTU står for Maximum Transmission Unit og er det antal bytes en enkel netværks pakke kan indeholde. Normalt på et IP baseret netværk benyttes der en MTU størrelse på 1500 Bytes. I nogle tilfælde kan netværksudstyret være konfigureret forkert og derved ikke overføre data med så store pakke størrelser, dette kan i nogle tilfælde skabe pakketab. Angiv en IP adresse eller et FQDN for at teste den maksimale MTU størrelse der kan kommunikeres med.

Vi håber at disse værktøjer kan hjælpe jer i hverdagen. Vi hører gerne ønsker om andre værktøjer der kan tilføjes og går gerne i dialog om dette.

 

Software Network

Nyttig software for netværks administratore

Til daglig arbejder jeg med netværk og sikkerhed og har i den forbindelse tit brug for nogle værktøjer til fejlfinding, dokumentation m.m. Jeg har her udfærdiget en liste som løbende vil blive opdateret, med de programmer som jeg benytter.

  • Wireshark : Wireshark er et netværksprotokol analyse værktøj. Det har sin force i at kunne genkende rigtige mange forskellige former for netværksprotokoller. Det har en indbygget optage funktion som gør at man hurtigt kan optage netværkstrafik og derefter analysere dette. Der er også mulighed for at indlæse PCAP filer fra andre produkter f.eks. netværks udstyr m.m. hvor man kan analysere de opsamlede netværksdata. Produktet er opensource og findes til flere forskellige platforme.
  • Neosec Network Scanner : Er en netværks scanner der hurtigt kan scanne et range af ip adresser. Udover hvilke IP adresser der er i brug kan det også opsamle information via SNMP og WMI. Dette program følger med Neosec security server og benyttes til at finde de aktive enheder på et netværk som man gerne vil overvåge via Neosec Security Server.
  • Advanced IP Scanner : Er også en netværks scanner som hurtigt kan lave en liste over de aktive enheder der er på netværket. Der er også en indbygget port scanner, sådan at de meste gængse porte bliver vist hvis de er aktive på den enkelte enhed.
  • inSSIDer 4 : Er et værktøj til tjek af trådløse netværk. Det er et uundværligt værktøj i forbindelse med “site survey” og placering af trådløse access punkter. Programmet er ikke gratis, det koster ca. 20 dollar.
  • Microsoft Visio : Microsoft Visio er nok et af de programmer jeg benytter mest. Det er det værktøj jeg benytter ved dokumentation af netværk og kommunikations flow. Jeg har benyttet mig af Visio lige siden det kom frem for mange år siden. Tit er en tegning bedre end en beskrivelse af en netværks infrastruktur eller et flow.
Cisco-5506-series-ASA-firewalls

Cisco ASA SNMP Konfiguration

For at kunne overvåge og monitorere Cisco ASA firewalls, så skal SNMP konfigureres. Cisco ASA firewalls understøtter SNMP version 1, 2c og 3. Cisco ASA firewalls understøtter kun læsning via SNMP, det vil sige man kan ikke ændre på konfiguration som man kan med Cisco switche.

Konfiguration af SNMP foretages via Seriel konsollen, SSH eller via den grafiske brugerflade ASDM.

SNMP Ver 1 og 2c konfigureres på følgende måde.

snmp-server enable

For at kunne kommunikere via SNMP, så skal der angives et community navn. Community navnet er et slags password eller delt nøgle der benyttes som validering og sikrer at det kun er de enheder der kender nøglen, der kan kommunikere sammen. Udover det skal man angive det logiske interface som man vil overvåge firewallen fra samt den IP adresse man kommer fra. Man kan ikke angive et range af adresser, som kan overvåge firewallen via SNMP.

snmp-server server host <logical-interface-name> poll community <string> version 2c

Konfigurationen vil se således ud, når man angiver en server der skal kunne overvåge firewallen interfacet inside.

Vi har i konfigurationen valgt at benytte SNMP version 2c i det at man her kan benytte 64bit countere. Dette er nødvendigt for overvågning af netværks interfaces der kan køre med mere end 100 Mbit. Vi har benyttet neosec som community navn.

snmp-server host inside 10.1.101.215 poll community neosec version 2c

For at identificere firewallen kan man konfigurere kontakt information og lokalitet. Disse informationer vises i Neosec Security Server når firewallen er tilføjet.

snmp-server contact IT Afdelingen
snmp-server location Hovedkrydsfelt

Husk at gemme konfigurationen bagefter.

write memory

Man kan lave yderligere ændringer til SNMP konfiguration udover standard. Som standard lytter Cisco ASA firewallen på port 161 for SNMP forespørgelser. Dette kan ændres med følgende kommando.

snmp-server listen-port 161

Yderligere så kan man konfigurere firewallen til at sende Traps via SNMP. Som standard benytter jeg Syslog som log kilde, men man kan også benytte SNMP som log kilde.

snmp-server host inside 10.1.101.215 trap community neosec version 2c

Følgende Trap categorier kan tilvælges:

  • All
  • Connection-limit-reached
  • CPU
  • Entity
  • ikev2
  • Interface-threshold
  • iPsec
  • Memory-threshold
  • Nat
  • Remote-access
  • SNMP
  • Syslog
snmp-server enable traps <categori>

For yderligere information omkring SNMP følge da dette link.

Neosec Security Reporter Dashboard

Auto Login i Neosec Security Reporter

Når man har en centralt placeret overvågning skærm med Neosec Security Reporter kørende, er det ikke altid at man har mus og keyboard i nærheden. Det er derfor nu muligt at konfigurere klienten med brugernavn og password sådan at den automatisk logger på Neosec Security serveren.

Auto Login, giver også den fleksibilitet at når man starter Neosec Security Reporter bliver man automatisk logget ind samt at Neosec Security Reporter starter i Dashboard tilstand.

Dashboard tilstand er en funktion hvor Neosec Security Reporter startes i Fullscreen og hvor den sættes til at skifte imellem de forskellige faner.

Kik videre via dette link, for hvordan man konfigurere Auto Login.

Hvis man har konfigureret Neosec Security Reporter til auto login, samt Fullscreen, så skal man trykke på F11 for at gå ud af Fullscreen. Herefter får man adgang til menuen hvor man kan ændre auto login.