SNMP Systeme

6 Minuten Lesezeit

Der Assistent für die Inventarisierung von SNMP Systemen wird über die Schaltfläche Netzwerk Scan oder SNMP geöffnet. Nach Auswahl einer Firma und Auswahl einer Domäne (siehe: grundlegende Schritte) wird der Einzelschritt SNMP Systeme inventarisieren angezeigt.

SNMP-Systeme inventarisieren

Für SNMP v1, v2 und v3 Systeme kann festgelegt werden, ob die Daten der Systeme, die Topologie oder beides inventarisiert werden soll. Werden nicht alle Daten benötigt, kann durch diese Auswahl die Dauer der SNMP Inventarisierung verkürzt werden.

Durch Aktivieren des Kontrollkästchens Inventarisierung auf minimale Datenmenge reduzieren, wird die Anzahl der inventarisierten MIBs verringert. Es werden nur noch grundlegende Daten ausgelesen. Bentuzerdefinierte MIBs, die importiert wurden, werden bei dieser Einstellung ebenfalls ignoriert.

Es hängt von den Geräten und der Anzahl der eigenen MIBs ab, ob die Inventarisierung durch diese Einstellung weniger Zeit in Anspruch nimmt.

Sollte aufgrund der Vielzahl von Ping-Abfragen während der Durchsuchung der IP-Bereiche eine Firewall-Benachrichtigung ausgelöst werden, besteht die Möglichkeit, die Anzahl der parallel ausgeführten Pings während der Suche zu beschränken.

Docusnap Inventarisierung SNMP Systeme

Die Eingabefelder IP von, IP bis, Community und Timeout definieren einen zu inventarisierenden IP-Bereich, das Beschreibungsfeld unterstützt bei der Zuordnung der Netzwerke. Das Eingabefeld Community unterstützt kommasepariert mehrere Werte, welche während der Inventarisierung verwendet werden. Nachdem die gewünschten Bereiche zur Tabelle IP Bereiche hinzugefügt wurden, kann über das vorangestellte Kontrollkästchen bestimmt werden, ob eine Inventarisierung des jeweiligen Bereichs stattfinden soll.

Wenn mehrere IP-Bereiche bei der Inventarisierung zu berücksichtigen sind besteht die Option, diese über den Button Liste laden direkt aus einer CSV-Datei einzulesen. In der CSV Datei müssen die Werte für IP von, IP bis, Community und Timeout in genau dieser Reihenfolge durch “;” getrennt aufgelistet werden, das Feld Beschreibung ist optional. Zeilen, die nicht diesem Format entsprechen, werden bei der Verarbeitung ausgelassen.

Anwendungsbeispiel einer CSV-Datei mit mehreren Community Werten

IP von;IP bis;Community;Timeout;Beschreibung
192.168.100.1;192.168.103.254;public;2500;Produktivnetz Nebengebaeude
172.31.1.1;172.31.1.254;private, public, test, spezial;5000;Testnetz

Bei der SNMP Inventarisierung versucht Docusnap über das v2 Protokoll, Daten vom SNMP Gerät zu erhalten. Funktioniert diese Anfrage nicht, wird eine neue Anfrage über das v1 Protokoll gestartet. Bei einigen SNMP Geräten kann eine Anfrage über das v2 Protokoll dazu führen, dass diese für einige Sekunden via SNMP nicht erreichbar sind. In diesem Fall kann gewählt werden, dass das v1 Protokoll zuerst ausgeführt wird. Kann ein Gerät nicht korrekt erfasst werden besteht die Möglichkeit, dass mit der Aktivierung des Kontrollkästchen v1 bevorzugen die erforderlichen Daten erfolgreich abgeholt werden können.

Systeme mit SNMP v3-Protokoll inventarisieren

Im nächsten Schritt erfolgt die Inventarisierung von Systemen, die SNMP v3 unterstützen. Der wesentliche Unterschied zwischen SNMP v3 und SNMP v1/v2 besteht darin, dass für diese Systeme Anmeldedaten statt einer Community definiert werden können.

Docusnap Inventarisierung SNMP V3 Systeme

Über die Schaltfläche Neu kann festgelegt werden, ob eine Inventarisierung von einzelnen Systemen oder über einen IP-Bereich durchgeführt werden soll. Im entsprechenden Folgedialog werden die Anmeldedaten eingetragen, die der konfigurierten Sicherheitsstufe der Systeme entsprechen. Wenn die gleichen Anmeldedaten bereits für ein anderes System gespeichert wurden, können diese durch Auswahl im Kombinationsfeld Anmeldedaten übernehmen für die aktuelle Eingabe verwendet werden.

Durch Aktivieren des Kontrollkästchens Anmeldedaten für alle System übernehmen, werden für alle angegebenen Systeme die aktuellen Anmeldedaten verwendet und müssen nicht für jedes Gerät erneut definiert werden.

Docusnap Inventarisierung SNMP V3 Systeme Informationen

Durch Klick auf die Schaltfläche Bearbeiten wird die Dialog SNMP v3 Anmeldedaten für das markierte System geöffnet und die Anmeldedaten können bearbeitet werden.

Wenn mehrere v3 Einzelsysteme mit unterschiedlichen Anmeldedaten oder Netzwerkinformationen inventarisiert werden sollen, bietet sich die Möglichkeit des CSV-Imports. Durch Klick auf die Schaltfläche Liste laden öffnet sich der Auswahldialog. In der CSV-Datei müssen die Werte in folgender Reihenfolge durch “;” getrennt angegeben werden: Systemname oder IP-Adresse; USM Benutzer; Auth Algorithmus; Auth Passwort; Privacy Algorithmus; Privacy Passwort; Kontextname; Timeout. Wenn die weiteren v3 Systeme die gleichen Anmeldedaten haben, ist es ausreichend, nur den Systemnamen oder IP-Adresse anzugeben. Werden neue Anmeldedaten angegeben, gelten diese wiederrum für weitere Einträge.

Beispiel für CSV Datei

ASWIT0001;Docusnap;SHA;geheim;DES;geheim;kontext;2600
192.168.100.3
192.168.100.4
192.168.100.5

Die Inventarisierung von IP-Bereichen bei SNMP v3 Systemen verläuft ähnlich der Inventarisierung von Einzelsystemen. Über den Button Neu kann per Neuer IP-Bereich der Dialog für die Anmeldedaten geöffnet werden. Anschließend wird anstelle eines Systemnamens oder einer IP-Adresse der Bereich durch IP von und IP bis bestimmt.

Docusnap Inventarisierung SNMP V3 IP-Bereich Informationen

Ebenso können IP-Bereiche per CSV-Import durch den Button Liste laden eingelesen werden. Die Struktur der CSV-Datei bleibt dabei unverändert, anstelle des Systemnamen oder einer IP-Adresse wird der zu erfassende IP-Bereich hinterlegt.

Anwendungsbeispiel einer CSV-Datei mit IP-Bereichen

192.168.100.1-192.168.100.150;Docusnap;SHA;geheim;DES;geheim;kontext;2600
192.168.100.151-192.168.100.254

Anmeldedaten werden pro Tabelleneintrag im Assistenten gespeichert, damit diese beim nächsten Öffnen wieder vorhanden sind. Durch Klick auf die Schaltfläche Bereits bekannte Systeme aus der Datenbank laden können SNMPv3 Geräte inklusive der Anmeldedaten erneut geladen werden. Dadurch müssen Geräte, die bereits im Zuge der Inventarisierung mit einem anderen Assistenten inventarisiert oder aus dem Assistenten gelöscht wurden, nicht erneut eingegeben werden.

Nachdem die gewünschten Systeme hinzugefügt wurden, kann über das vorangestellte Kontrollkästchen bestimmt werden, ob eine Inventarisierung des jeweiligen Systems oder IP-Bereichs stattfinden soll.

SNMP-Systeme werden in Docusnap grundsätzlich über das SNMP-Protokoll v1 und -Protokoll v2 erfasst. Dabei wird jede einzelne IP-Adresse des abgegebenen Bereichs dahingehend überprüft, ob es sich dabei um ein SNMP-System handelt. Reagiert die angeforderte IP-Adresse auf einen Ping und erweist sie sich als gültiges SNMP-System, wird die Inventarisierung über das SNMP-Protokoll durchgeführt.

SNMP-Systeme, die das SNMP v3-Protokoll benötigen und sich im IP Bereich der v1 und v2 Inventarisierung befinden, werden bei der Inventarisierung der V1 und V2 Systemen nicht berücksichtigt.

Überschneiden sich die Bereiche bei gleichzeitiger SNMP und SNMP v3 Inventarisierung werden SNMP v3 Ergebnisse in der Zusammenfassung durch v3 gekennzeichnet.

Standardmäßig werden die SNMP-Systeme anhand ihres Systemnamens inventarisiert. Wenn sich mehrere SNMP-Systeme mit demselben Systemnamen im Netzwerk befinden, werden alle Systeme als ein System ausgegeben. Um alle Systeme ausgeben zu können, kann im Dialog Optionen - Inventarisierung, unter dem Punkt Inventarisierung festgelegt werden, dass die SNMP-Systeme über DNS-Namen identifiziert werden.

Aufgrund der großen Anzahl Netzwerkanfragen des SNMP-Scans kann es bei Einsatz von Sicherheits- und Monitorlösungen zu Warnungen kommen.

Zusatzprogramme Telnet/SSH

Grundsätzlich entspricht diese Funktion den bereits in Docusnap vorhandenen Zusatzprogrammen, mit welchen optional während der Windows-Inventarisierung Befehle auf dem Zielsystem ausgeführt werden, um dann die Ausführungsergebnisse in Docusnap zu speichern.

Zusatzprogramme Telnet/SSH bietet diese Funktion für die SNMP Inventarisierung und verwendet dabei die Protokolle Telnet bzw. SSH für die Datenbeschaffung. Eine Datenbeschaffung über diese Funktion ist aktuell nur für SNMP Geräte vom Typ Switch möglich.

Um dieses Feature mit der SNMP Inventarisierung zu verwenden, muss es beim Dialog Optionen - Inventarisierung im Bereich Features im Assistenten anzeigen die Option Zusatzprogramme Telnet/SSH (Preview) aktiviert werden.

Dieser optionale Inventarisierungsschritt erlaubt es, bereits erfasste Switche auszuwählen und zusätzliche Informationen durch eine geeignete Befehlssequenz abzufragen.

Docusnap Inventarisierung SNMP Zusatzprogramme

Über den Button Hinzufügen ist es im Folgedialog möglich, die Befehlssequenzen für alle bereits erfassten Switche zu bestimmen.

Der Timeout Wert definiert, wie lange Docusnap auf eine Antwort des SNMP Gerätes wartet bevor die Sequenz abgebrochen wird. Weiterhin sind Benutzer und Passwort für die Anmeldung einzutragen. Der hier eingetragene Benutzer muss über die entsprechenden Rechte verfügen. Es wäre z.B. bei HP Switches möglich sich als “Operator” am Switch anzumelden. Dieser Benutzer ist jedoch nicht berechtigt, die Switch-Konfiguration auszulesen. Dazu wird der Benutzer “admin” benötigt.

Abschließend kann über den Button Speichern der Dialog verlassen oder über Verbindung prüfen und Speichern zuvor die Anmeldedaten verifiziert werden.

Docusnap Inventarisierung SNMP Zusatzprogramme hinzufügen

Docusnap liefert zwei einfache Vorlagen für Befehlssequenzen mit. Dabei wird auf einem Switch (ohne Herstellerbezug) eine Konfigurationsabfrage erstellt. Das Beispiel ist für den Aufruf via Telnet und via SSH vorhanden.

Weitere Befehlssequenzen können vom Benutzer in der Docusnap Administration erstellt werden.