Sophos UTM 9.6 SNMP - Anfragen und Traps

Das Simple Network Management Protocol (SNMP) wird dazu benutzt, Netzwerkelemente wie Router, Server oder Switches von einer zentralen Station aus zu überwachen und zu steuern. SNMP ermöglicht es einem Administrator, sich schnell einen Überblick über den Zustand der überwachten Netzwerkgeräte zu verschaffen. Sophos UTM kann so konfiguriert werden, dass sie auf SNMP-Anfragen antwortet oder SNMP-Traps an SNMP-Verwaltungstools sendet. Ersteres wird mit Hilfe von sogenannten Management Information Bases (MIBs) erreicht. Eine MIB definiert, welche Informationen zu welchen Netzwerkelementen abgerufen werden können. Sophos UTM unterstützt SNMP Version 2 und 3 sowie die folgenden MIBs:

• DISMAN-EVENT-MIB: Management Information Base für Ereignisse
• HOST-RESOURCES-MIB: Management Information Base für Host-Ressourcen
• IF-MIB: Management Information Base für Schnittstellengruppen
• IP-FORWARD-MIB: Management Information Base für IP-Übergabetabelle
• IF-MIB: Management Information Base für das Internet Protocol (IP)
• NOTIFICATION-LOG-MIB: Management Information Base für Benachrichtigungsprotokolle
• RFC1213-MIB: Management Information Base für die Netzwerkverwaltung von TCP/IP-basiertem Internet: MIB II
• SNMPv2-MIB: Management Information Base für das Simple Network Management Protocol (SNMP)
• TCP-MIB: Management Information Base für das Transmission Control Protocol (TCP)
• UDP-MIB: Management Information Base für das User Datagram Protocol (UDP)

Um Systeminformationen zu Sophos UTM zu erhalten, müssen Sie einen SNMP-Manager verwenden, der zumindest gegen die RFC1213-MIB (MIB II) kompiliert ist.

Anfragen

Auf der Seite Verwaltung > SNMP > Abfrage können Sie die Nutzung von SNMP-Abfragen aktivieren.

Um SNMP-Anfragen zu konfigurieren, gehen Sie folgendermaßen vor:

1. Aktivieren Sie SNMP-Anfragen. Klicken Sie auf den Schieberegler. Die Abschnitte SNMP-Version und SNMP-Zugriffskontrolle können nun bearbeitet werden.

2. Wählen Sie die SNMP-Version aus. Wählen Sie im Abschnitt SNMP-Version aus der Auswahlliste eine Version aus. Für SNMP Version 3 ist Authentifizierung erforderlich.

3. Wählen Sie zugelassene Netzwerke aus. Netzwerke im Feld Zugelassene Netzwerke dürfen Anfragen an den SNMP-Agenten von Sophos UTM stellen. Sie sollten lediglich Netzwerke zu Zugelassene Netzwerke hinzufügen, die Anfragen an den SNMP-Agenten stellen. Es ist nicht ratsam, nicht private Netzwerke in die Liste aufzunehmen. Beachten Sie, dass der Zugriff immer auf das Leserecht (engl. read-only) beschränkt ist.

   • Community-String: Geben Sie bei Nutzung von Version 2 einen Community-String ein. Ein SNMP-Community-String dient als eine Art Kennwort für den Zugriff auf den SNMP-Agenten. Standardmäßig ist „public“ als SNMP-Community-String voreingestellt. Sie können diesen Wert nach Ihren Bedürfnissen ändern. Der Community-String darf aus folgenden Zeichen bestehen: (a–z), (A–Z), (0–9), (+), (_), (@), (.), (-), (Leerzeichen).

   • Benutzername/Kennwort: Bei Nutzung von Version 3 ist Authentifizierung erforderlich. Geben Sie einen Benutzernamen und ein Kennwort ein (zweites Mal zur Bestätigung), damit der Remote-Administrator Anfragen versenden kann. Das Kennwort muss mindestens acht Zeichen lang sein. SNMP v3 setzt für die Authentifizierung SHA und für die Verschlüsselung AES ein. Beachten Sie, dass Benutzername/Kennwort für beides verwendet werden.

4. Klicken Sie auf Übernehmen. Ihre Einstellungen werden gespeichert.

Darüber hinaus können Sie zusätzliche Informationen zur UTM angeben.

Geräteinformationen

Mit den Eingabefeldern im Abschnitt Geräteinformationen können Sie die UTM näher erläutern, z. B. durch Angabe eines Gerätenamens, des Standorts oder des zuständigen Administrators. Diese Informationen können von SNMP-Verwaltungsprogrammen gelesen werden und helfen bei der Identifikation der UTM.

Hinweis: Beachten Sie, dass der gesamte SNMP-Datenverkehr (Protokollversion 2) zwischen der UTM und den Zugelassenen Netzwerken unverschlüsselt erfolgt und bei einem Transfer über öffentliche Netze mitgelesen werden kann.

In diesem Abschnitt können Sie den Astaro Notifier MIB herunterladen, der die Definitionen der Sophos UTM SNMP-Benachrichtigungen enthält, die auf Ihren aktuellen Einstellungen für Benachrichtigungs-Traps basieren. Aus historischen Gründen verwendet MIP den Astaro Private Enterprise Code (SNMPv2-SMI::enterprises.astaro).

Traps

Auf der Registerkarte Traps können Sie einen SNMP-Trap-Server auswählen, an den Benachrichtigungen über relevante Ereignisse auf der UTM per SNMP-Trap verschickt werden können. Beachten Sie, dass spezielle SNMP-Überwachungssoftware benötigt wird, um die Traps anzeigen zu können.

Die als SNMP-Traps verschickten Nachrichten enthalten einen sogenannten Object Identifier (Objektidentifizierungsnummer) (OID), z. B. .1.3.6.1.4.1.9789, der zu den privaten Unternehmensnummern gehört, die von der IANA vergeben werden. Dabei ist .1.3.6.1.4.1 der Präfix, der für iso.org.dod.internet.private.enterprise steht, während 9789 die private Unternehmensnummer der Astaro GmbH & Co. KG ist. Die OID für Benachrichtigungen ist 1500, an die wiederum die OIDs des Benachrichtigungstyps und die des dazugehörigen Fehlercodes (000-999) angehängt werden. Die folgenden Benachrichtigungstypen sind verfügbar:

• DEBUG = 0
• INFO = 1
• WARN = 2
• CRIT = 3

Beispiel: Die Benachrichtigung „INFO-302: New firmware Up2Date installed“ verwendet die OID .1.3.6.1.4.1.9789.1500.1.302 und bekommt die folgende Bezeichnung zugewiesen:

[<HOST>][INFO][302] 

Beachten Sie, dass <HOST> ein Platzhalter für den Hostnamen darstellt, und dass nur Typ und Fehlercode aus der Betreffzeile der Benachrichtigung übermittelt werden.

Um einen SNMP-v2c-Trap-Server auszuwählen, gehen Sie folgendermaßen vor:

1. Klicken Sie auf Neuer SNMP-Trap-Server.v Das Dialogfeld SNMP-Trap-Server öffnet sich.

2. Nehmen Sie die folgenden Einstellungen vor:

   SNMP-Version: Wählen Sie SNMP v2c aus der Auswahlliste.

   Host: Die Host-Definition für den SNMP-Trap-Server.

   Community: Ein SNMP-Community-String dient als eine Art Kennwort für den Zugriff auf die Abfrage von SNMP-Nachrichten. Standardmäßig ist „public“ als SNMP-Community-String voreingestellt. Geben Sie hier den Community-String ein, der auf dem SNMP-Trap-Server konfiguriert ist. Der Community-String darf aus folgenden Zeichen bestehen: (a–z), (A–Z), (0–9), (+), (_), (@), (.), (-), (Leerzeichen).

   Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.

3. Klicken Sie auf Speichern. Der neue SNMP-Trap-Server wird auf der Registerkarte Traps angezeigt.

Für SNMP Version 3 ist Authentifizierung erforderlich. Um einen SNMP-v3-Trap-Server auszuwählen, gehen Sie folgendermaßen vor:

1. Klicken Sie auf Neuer SNMP-Trap-Server. Das Dialogfeld SNMP-Trap-Server öffnet sich.

2. Nehmen Sie die folgenden Einstellungen vor:

   SNMP-Version: Wählen Sie SNMP v3 aus der Auswahlliste.

   Host: Die Host-Definition für den SNMP-Trap-Server.

   Benutzername: Geben Sie einen Benutzernamen zur Authentifizierung ein.

   Auth.-Methode: Wählen Sie eine Authentifizierungsmethode aus der Auswahlliste.

   Kennwort: Geben Sie ein Kennwort für die Authentifizierung an.

   Wiederholen: Wiederholen Sie das Kennwort.

   Verschlüsselungsart: Wählen Sie eine Verschlüsselungsart aus der Auswahlliste.

   Kennwort: Geben Sie ein Kennwort für die Verschlüsselung an.

   Wiederholen: Wiederholen Sie das Kennwort.

   Engine-ID: Geben Sie die Engine-ID an.

   Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.

3. Klicken Sie auf Speichern. Der neue SNMP-Trap-Server wird auf der Registerkarte Traps angezeigt.