SNMP, WMI, SSH: Warum eine effiziente Netzwerküberwachung nicht ohne Zugangsdaten auskommt

Ohne Anmelde­­daten kann das Netzwerk-Monitoring nur grund­­legende Infor­­mationen er­fassen und beispiels­weise Geräte als Server oder WLAN-AP identi­fizieren. Mit Hilfe der Creden­tials sieht es hin­­gegen, was auf dem Gerät passiert. Eine gute Monitoring-Lösung ist in der Lage, diese Daten sicher zu speichern und zu ver­­wenden.

Mit den entsprechenden Anmelde­informationen kann das Monitoring-Tool auch auf Geräte oder Systeme zugreifen, um ihre Konfiguration anzupassen, die Kontrolle zu übernehmen oder es aus der Ferne zu bedienen.

Zugangsdaten sind nicht nur für physische Geräte nötig. Oft sind Cloud-Ressourcen Teil eines Netzwerks, das überwacht und verwaltet werden muss. In diesen Fällen existieren separate Login-Daten für Amazon Web Service oder Azure sowie jede andere Cloud-Lösung. Das Gleiche gilt für virtuelle Maschinen.

Typen von Zugangsdaten

Zu den gebräuchlichsten Zugangsdaten gehört jene für SNMP, das Simple Network Management Protocol. Es gibt mehrere verschiedene Versionen, die in der Regel abwärts­kompatibel sind und die alle auf einen SNMP-Ping reagieren.

Nach einer Anmeldung erhalten Sie Informationen über die Eigenschaften eines Systems seine Antwortzeit und verschiedene andere Daten wie Durchsatz oder Status.

Weitere Anmelde­informationen bei der Netzwer­küberwachung betreffen vor allem Windows WMI, VMware oder SSH. Für die Remote-Ausführung wird möglicherweise noch das altmodische Telnet gebraucht.

Es gibt eine ganze Reihe von Anwendungen, von denen jede mehrere Arten von Credentials unterstützt. Dies hat meist historische Gründe, wenn Systeme auf älteren Versionen mit ver­schiedenen Spezifikationen aufbauen, die jeweils eigene Anmelde­verfahren unterstützen.

SNMP versus WMI

Früher galt die Empfehlung, nur SNMP zu verwenden, weil es wesentlich schlanker ist als das aufgeblähte WMI. Microsoft hat jedoch die die Unterstützung für SNMP mit Server 2012 eingestellt, aber WMI seitdem auch nicht mehr verbessert.

WMI liefert auf Windows-Geräten mehr Informationen als SNMP, beispielsweise zur CPU-Auslastung. Über SNMP zeigt ein Monitoring-Tool in diesem Fall nur "Unbekannter Prozessortyp" an, weil Microsoft auf diesem Weg nicht mehr Informationen zur Verfügung stellt. Wenn Sie jedoch WMI-Credentials verwenden, erhalten Sie den vollständigen Prozessor­namen, die Modell­nummer, etc.

Dasselbe gilt für die Auslastung der Laufwerke. Im Gegensatz zu WMI liefert SNMP unter Windows keine Informationen darüber, wo Disks gemountet wurden. Viele Best Practices für SQL Server und Exchange empfehlen jedoch, Mount-Points anstatt von Laufwerks­buchstaben zu verwenden.

Die Verwendung von WMI ist insgesamt in Ordnung, solange Sie den Zugriff auf die Anmelde­informationen kontrollieren oder schreib­geschützte Zugangs­daten einrichten.

Anmeldeinformationen für Windows, Linux und VMs anwenden

Die Anmeldung an Windows-Hosts erfolgt daher meist für WMI, dessen Fähigkeiten über die bloße Beantwortung eines Pings oder die einfache Geräte­verwaltung hinausgehen.

Wenn Sie Linux- oder Unix-Hosts haben und diese mit einer Windows-Lösung harmonieren sollen, dann benötigen Sie möglicher­weise einen SNMP-Agenten oder einen SNMP-Dienst, der als Vermittler fungiert. Er holt die statischen SNMP-Informationen ab und stellt sie in einem Windows- oder WMI-kompatiblen Format bereit.

Sie können aber auch SSH-Anmelde­informationen verwenden, um Linux-Rechner zu verwalten und zu überwachen.

VMware ist die am weitesten verbreitete Plattform für virtuelle Maschinen, auch wenn Microsoft ihr den Rang streitig macht. Für beide Lösungen benötigen Sie die entsprechenden Credentials, um auf alle virtuellen Maschinen in vCenter oder Hyper-V zugreifen zu können.

Credentials sicher aufbewahren

Wenn Sie alle Zugangsdaten in einer Monitoring-Lösung hinterlegen, dann kann jeder, der Zugang zu ihr hat, auf jedes einzelne Gerät in Ihrem Netzwerk zugreifen.

Hier sind zwei Dinge zu beachten. Es ist von entscheidender Bedeutung, die Anmelde­informationen auf dem neuesten Stand zu halten, damit das Monitoring-Tool nicht aufgrund veralteter Daten bei der Anmeldung scheitert.

Noch wichtiger ist es indes, das Monitoring-System abzusichern. Dazu gehört vor allem, dass Sie sichere Passwörter verwenden und, wenn möglich, eine Single-Sign-on-Lösung eines Drittanbieters wie Open ID. Damit lässt sich ein hohes Sicherheits­niveau für das gesamte System erreichen.

Eine große Bedrohung für die Netzwerk­sicherheit sind Anmelde­daten wie "Gast", "admin" oder "123, 123", die werkseitig als Standard vorgegeben wurden.

Ein Vorteil von Lösungen für die Netzwerk­überwachung besteht darin, dass Sie damit alle Zugangsdaten an einem Ort speichern und sehen können, was mit ihnen geschieht. Auf diese Weise können Sie sich ein Bild davon machen, wenn Anmelde­daten noch den Werks­einstellungen entsprechen oder seit langer Zeit nicht mehr geändert wurden.

Speicherung von Anmeldeinformationen in WhatsUp Gold

WhatsUp Gold speichert die Zugangsdaten verschlüsselt in seiner Datenbank. Eine eigene Berechtigung steuert, ob Personen Zugriff auf die Bibliothek mit den Anmelde­informationen haben.

Und selbst diejenigen, die Zugang erhalten, können nirgendwo Klartext-Passwörter oder Ähnliches sehen. Wenn Sie Bedenken haben, dass jemand die Credential Library einsehen könnte, dann gewähren Sie ihm einfach keinen Zugriff.

WhatsUp Gold ist ein professionelles Tool für die Überwachung von Netzwerken, mit dem sich das Credential-Monitoring einfach realisieren lässt. Progress Software bietet davon eine kostenlose Version an, mit der Sie bis zu 20 Systeme überwachen können.

Sie können WhatsUp Gold Free Edition hier herunterladen »

*Dies ist ein bezahlter Beitrag von Progress Software