Netwerk monitoring zonder credentials is geen goed idee

Een goede netwerk beveiliging en netwerk management gemak vereisen strak credentials beleid

Door Mark Towler en Jason Alberino

We weten dat het onthouden van credentials lastig kan zijn, maar IT begrijpt dat ze noodzakelijk zijn. In de wereld van netwerk monitoring zijn deze referenties de account- en wachtwoordgegevens voor elk netwerk, systeem of apparaat dat toegang login vereist. Ze verschillen niet enorm van uw gebruikersnaam en wachtwoord wanneer u zich aanmeldt op de computer of een ander systeem, maar zijn van toepassing op alle apparaten waaruit het netwerk bestaat.

Credentials zijn duidelijk essentieel. Als u geen toegang krijgt tot een apparaat of systeem, kunt u er geen informatie over krijgen. Wanneer een netwerk monitoring oplossing uw hele netwerk detecteert, is het van vitaal belang dat u inloggegevens hebt voor elk apparaat in uw netwerk. Wanneer dat systeem naar elk afzonderlijk item, apparaat of IP-adres kijkt en vraagt: "Wie ben jij? Wat doe je? ," dan moet je netwerk monitoring oplossing niet zeggen: "Je hebt geen toegang."

Waarom zijn credentials belangrijk 

Zonder inloggegevens kunt u zeer basale informatie vinden, zoals het identificeren van een apparaat als een draadloze toegangspoort of server - maar dat is het zo'n goed als. Referenties zijn van cruciaal belang voor netwerkdetectie. Ze identificeren niet alleen wat dat apparaat is, maar ook wat het doet en wat voor soort acties zijn beschikbaar die kunnen worden gewijzigd of gewijzigd op dat apparaat.

Zodra u toegang hebt, zijn er verschillende dingen die u kunt doen, of een systeem (of oplossing) namens u kan doen.

Een goede netwerk monitoring oplossing slaat de credentials op - alle benodigde netwerkreferenties om IT in staat te stellen zich voortdurend op alle apparaten aan te melden.

Referenties en cloud services

Inloggegevens zijn niet alleen voor fysieke apparaten. Vaak maken cloud resources deel uit van een netwerk en die moeten ook gemonitord en beheerd worden. In die gevallen hebt u afzonderlijke referenties om toegang te krijgen tot uw Amazon Web Services- of Azure-systeem - of een ander cloudgebaseerde oplossing. Hetzelfde geldt voor virtuele machines.

Typen referenties

Referenties zijn er in verschillende soorten. De meest voorkomende is SNMP, of een eenvoudig netwerk management protocol. Er zijn verschillende versies, die meestal achterwaarts compatibel zijn. Er is SNMP 1, 2 of 3; bijna alles reageert op een SNMP ping. Dit is meestal de gemakkelijkste manier om erachter te komen wat er aan de hand is.

Referenties helpen u informatie te krijgen over systeemkenmerken of de systeeminstrumentatie, zodat u niet alleen weet dat het apparaat bestaat, maar ook wat het doet, wat de reactietijd is en verschillende andere stukjes informatie zoals doorvoer of status. Hier past u meer indrukwekkende of complexere credentials toe. Deze referenties omvatten Windows WMI-, VMware- of SSH-referenties.

Voor uitvoering op afstand is mogelijk een ander type referentie vereist, zoals SSH, of vaker en inmiddels zeer ouderwets Telnet. Dit zijn referenties waarmee u toegang hebt tot een apparaat of een systeem en wijzigingen kunt aanbrengen, de controle kunt overnemen of het op afstand kunt bedienen.

Legacy Applicatie en Device Creep

Er is een hele wereld aan applicaties, die elk meerdere soorten referenties kunnen hebben. Iedereen die tijd heeft besteed aan netwerkbeheer, weet dat je nooit dingen wegneemt. Ze worden altijd toegevoegd. Systemen en IT oplossingen zijn gebouwd op eerdere en oudere lagen, met meerdere leveranciers, specificaties, apparaten, applicaties en systemen, die allemaal verschillende taken uitvoeren - veel vereisen verschillende referentietypen.

Referenties voor Windows, Linux en virtuele machines toepassen

U hebt Windows-host referenties nodig voor Windows-host apparaten en andere Windows-apparaten. Dat gebeurt meestal via de WMI-standaard, die een niveau dieper gaat dan alleen reageren op een ping of reageren met zeer eenvoudig apparaat beheer.

We zien veel meer Linux, Unix en Windows hybride oplossingen. Als je Linux- of Unix-hosts hebt, heb je ze nodig om goed samen te kunnen werken met een Windows-oplossing of een Windows-monitoring- of beheersysteem. Hier hebt u mogelijk een SNMP-agent of een SNMP-service nodig die als tussenpersoon optreedt. Het krijgt de statische SNMP-informatie en biedt deze in een Windows-compatibele of WMI-compatibele indeling aan. Dit voegt nog een extra extra complicatie toe voor het bereiken van Linux- en Unix-systemen. U kunt ook SSH referenties gebruiken om Linux- of Unix-host apparaten te monitoren en managen.

VMware is de meest voorkomende oplossing voor virtuele machines, hoewel Hyper-V ook populair is. Voor beide hebt u de juiste referenties nodig om toegang te krijgen tot al die virtuele machines in vCenter of Hyper-V.

De sleutels van het koninkrijk veilig houden

Credentials zijn letterlijk de sleutel tot het IT koninkrijk. Als u ze allemaal in één oplossing plaatst, heeft iedereen die toegang kan krijgen tot uw netwerk monitoring of management oplossing toegang tot elk apparaat in uw netwerk.

Twee dingen om hier rekening mee te houden. Het is van cruciaal belang om up-to-date referenties te behouden, zodat uw netwerk monitoring- of netwerk management oplossing volledige toegang heeft tot uw hele netwerk. Het is nog belangrijker om uw monitoring- of beheersysteem veilig te houden. Dat betekent dat wachtwoorden up-to-date zijn en dat u ze indien nodig wijzigt. Het betekent ook het gebruik van sterke wachtwoorden en, indien mogelijk, integratie met een open of een single sign-on-oplossing van derden, zoiets als Open ID.

Standaardreferenties vermijden

De grootste bedreiging voor de netwerkbeveiliging is niet dat mensen toegang krijgen tot inloggegevens via een netwerk monitoring software. Het gebruikt referenties zoals guest of 123, die vanuit de fabriek als standaardwaarden zijn ingesteld. Een van de voordelen van het gebruik een netwerk monitoring oplossing is al uw inloggegevens op één plek plaatsen en zien wat er met hen aan de hand is. Op deze manier hebt u een idee van hoeveel van die referenties niet zijn gewijzigd ten opzichte van de fabrieksinstellingen of al lang niet zijn gewijzigd.

WhatsUp Gold?

We raden een netwerk monitoring oplossing aan die alles op uw netwerk vindt en inloggegevens gebruikt om niet alleen te begrijpen wat er is verbonden en hoe het is verbonden, maar ook wat het doet - wat bereikt zijn drempels, wat niet en wat is de gezondheid van uw netwerk in één oogopslag.

WhatsUp Gold is de nieuwe monitoring oplossing die Progress biedt. Het laat u zien wanneer netwerkproblemen ontstaan hoe u netwerkproblemen vindt en netwek problemen oplost, voordat uw gebruikers het zelfs maar opmerken. De krachtige alert- en dashboarding mogelijkheden laten u weten of er een netwerkprobleem is met sms, e-mail, Slack of zelfs Teams. Het is eenvoudig in te stellen en gemakkelijk te licentiëren. Het bevat functionaliteit zoals configuratiebeheer, cloud monitoring, analyse van netwerkverkeer, applicatie monitoring en virtuele monitoring.

Een paar vragen over credentials in WhatsUp Gold

Gebruikers van WhatsUp Gold willen altijd het meeste uit hun netwerk monitoring oplossing halen en wie kunnen we beter deze vragen stellen dan onze eigen WUG Ninja Jason Alberino. Hier zijn een paar dingen die klanten vroegen in onze recente Best Practice voor Credentials webinar.

Vraag: In de geest van het minimaliseren van zorgen over machtigingen, is het beter om SNMP voor Windows te gebruiken in plaats van WMI? Is er iets dat SNMP niet kan dat WMI wel biedt?

Alberino: Ik raadde altijd aan om alleen SNMP te gebruiken omdat WMI massief was. Sinds Microsoft de ondersteuning voor SNMP in Server 2012 heeft afgeschaft, hebben ze het echt niet aangeraakt. En ik heb nu problemen gezien met het gebruik van alleen SNMP. Het gebruik van WMI is prima zolang u de toegang tot de credentials beheert of als het ware alleen-lezen credentials instelt. Je hebt daar meerdere opties.

WMI biedt inderdaad meer informatie dan SNMP op Windows-apparaten, met name zaken als het CPU-gebruik binnen WhatsUp Gold. Als u dat in SNMP met Windows doet, wordt 'onbekend processortype' weergegeven. Dat is hoe Microsoft SNMP vult. Maar als u een WMI-referentie gebruikt, krijgt u de volledige processornaam, Intel Xeon, modelnummer, enzovoort.

Hetzelfde geldt als het gaat om het schijfgebruik met WMI versus SNMP. SNMP op Windows levert geen informatie over schijfmontage en veel best practices voor SQL en Exchange zeggen dat u schijfmontages moet gebruiken. WMI kan u die informatie geven, waar SNMP kan dat niet. In ieder geval waar het nu staat, raad ik WMI altijd aan boven SNMP omdat het nu erg stabiel is. Het is niet meer wat het vele jaren geleden was. Als u Server 2012 of hoger gebruikt, moet u op dit moment WMI gebruiken in plaats van SNMP.

Vraag: Maakt credential monitoring deel uit van de standaard WhatsUp Gold oplossing, of is het een add-on? Kun je ons misschien iets meer details geven over hoe je inloggegevens binnen WhatsUp gold kunt beheren?

Alberino: Credential monitoring zit in de Log Management module van WhatsUp Gold die we eerder dit jaar hebben toegevoegd. Met log management kunt u Windows-events logs en Syslog-berichten verzamelen en drempels maken voor waarschuwingen. Misschien wilt u niet op de hoogte worden gesteld wanneer iemand zijn wachtwoord probeert te gebruiken en de verkeerde invult. In plaats daarvan wilt u op de hoogte worden gesteld als het 10 keer gebeurt in 10 minuten, of iets in die trant. 

Hetzelfde geldt voor Syslog-berichten. Als iemand inlogt op uw router, of switcht met een slechte gebruikersnaam of wachtwoord, dat wilt u dit weten. Dat is waar log management opnieuw te hulp schiet. Als u een licentie hebt voor de Total Plus-editie, verlenen we toegang tot de log management module gratis. Met uw bestaande Total Plus-licentie hebt u al toegang tot log management zodra u een upgrade naar versie 21 of hoger uitvoert.

Vraag: Kunt u in detail beschrijven hoe WhatsUp Gold credentials opslaat en u in staat stelt deze te gebruiken en indien nodig te wijzigen?

Alberino: Credentials worden opgeslagen en versleuteld in onze database. Dat is een toestemming die je mensen kunt geven. Mensen hebben toegang tot de bibliotheek van de referentie binnen WhatsUp Gold of niet. En zelfs die mensen met toegang zijn niet in staat zijn om wachtwoorden als platte tekst te zien of iets dergelijks. Alle informatie wordt versleuteld in de database. Als u zich zorgen maakt over iemand die naar de referentiebibliotheek kijkt, verleent u hem of haar gewoon geen toegang.