Category Archives: Dokumentation

Konfiguration af SNMPv3 på Cisco IOS/IOS XE

Konfiguration af SNMPv3 er ikke lige så nemt som med SNMPv1 og SNMPv2c hvor man benytter et community navn og definerer om det er readonly eller write adgang. SNMPv3 kræver et SNMPv3 View, en SNMPv3 Gruppe samt en SNMPv3 bruger.

Følg denne guide, for at konfigurere det.

Konfiguration af SNMPv3 View,

Et SNMPv3 View er en definition af hvilke SNMP OID der gives adgang til. Her giver vi adgang til hele SNMP OID træstrukturen.

snmp-server view snmpv3-oid-all iso included

Herefter skal vi knytte dette SNMP View til en Gruppe. Når man opretter en gruppe, skal man træffe nogle valg.

Ved oprettelsen skal man angive følgende

  1. Hvilken validering og kryptering af kommunikation der skal benyttes
  2. Om man skal have skrive adgang eller læse adgang.

I dette eksempel, vælger vi at benytte priv (Det vil sige at vi vil validere en bruger, samt benytte kryptering for kommunikationen)

Udover det vil vi kun give læse adgang via SNMP kommunikationen.

snmp-server group snmpv3group-read-all v3 priv read snmpv3-oid-all

Herefter skal brugeren oprettes, også her skal der træffes nogle valg ved oprettelsen.

  • Brugernavn
  • hvilken gruppe brugeren skal være medlem af.
  • hvilken kryptering der skal benyttes for validering, MD5 eller sha.
  • hvilken kryptering der skal benyttes ved kommunikation DES, 3DES, AES, AES192, AES384.
  • Password for bruger validering, her har vi valgt : h4KhA5cRXU3sEB
  • Password for Kryptering, her har vi valgt : XQ2EUKf2quaXN7

Der kan være forskel på hvilke sikkerheds protokoller og krypterings protokoller der kan benyttes på de forskellige netværks enheder. Dette har noget at gøre med alderen på udstyret, men også noget med versionen og understøttelse af sikkerhed.

snmp-server user snmpv3user snmpv3group-read-all v3 auth sha h4KhA5cRXU3sEB priv aes 256 XQ2EUKf2quaXN7

Herefter kan man overvåge en Cisco switche eller router med SNMPv3.

Der kan være forskel på hvilke sikkerheds protokoller og krypterings protokoller der kan benyttes på de forskellige netværks enheder. Dette har noget at gøre med alderen på udstyret, men også noget med versionen og understøttelse af sikkerhed. DES/3DES kryptering og SHA1 Hash algoritme, ses som usikre, men der er stadig hardware derude som kun understøtter disse, i forhold til AES kryptering og SHA2 Hash algoritme.

SNMPv3

SNMPv3 er en overbygning til SNMPv1 og SNMPv2c. SNMPv1 er basis SNMP som benytter u-krypteret kommunikation og kun understøtter 32 bit værdier. SNMPv2c er som SNMPv1 men kan håndtere 64 bit værdier som er nødvendige ved overvågning af Netværks interfaces som håndtere mere end 100Mbit. Med SNMPv1 og SNMPv2c benyttes en community tekst streng som password og validering af SNMP kommunikationen.

Med SNMPv3 gives der mulighed for mere sikkerhed i forbindelse med kommunikation til netværksenheder. Her benytter man ikke en community streng, men en bruger. Brugeren skal være medlem af en gruppe, hvor man har mulighed for at konfigurere forskellige adgange for de enkelte bruger. Men vigtigst af alt, med SNMPv3 introdusere man kryptering af SNMP kommunikationen imellem server og SNMP Agent (enheden der overvåges).

Sikkerheds adgang

SNMPv3 benytter følgende tre sikkerheds niveauer

  • NoAuthNoPriv – Ingen bruger validering, ingen kryptering
  • AuthNoPriv – Bruger validering, ingen kryptering
  • AuthPriv – Benytter både bruger validering og kryptering af kommunikation

Krypterings protokoller

Følgende krypterings protokoller kan benyttes ved SNMPv3 kommunikation

Validering:

I mange år har man kun kunnet benytte SHA1, MD5 ved validering, men i det at man anser disse former for usikre, bør man i dag benytte SHA256, SHA384, SHA512

Kryptering:

Igen har man i mange år benyttet DES og 3DES som standard protokoller for kryptering af SNMPv3 kommunikation. Disse protokoller er i dag anset som usikre og man bør benytte AES128, AES192 og AES256 for kryptering af kommunikationen.

SNMP View

SNMP Views, benyttes til at give adgang til hele SNMP OID træet eller kun dele af den. Dette styres på den enkelte netværks enheds som skal overvåges. Normalt vil man give adgang til hele træet i læse adgang, sådan at man har adgang til alle SNMP værdier på enheden.

SNMP Grupper

En SNMP Gruppe styrer adgangen til et SNMP View, man tilknytter en SNMPv3 bruger, som så får adgang til det tilknyttede SNMP View. Man kan give læse adgang eller skrive adgang til en gruppe.

Neosec Security Server

SNMPv3 er understøttet i Neosec Security Server og kan benyttes direkte via serveren samt via Network Agenten.

Følg nedenstående links for konfiguration af SNMPv3 på SNMP Agenter på netværks udstyr.

Links

Konfiguration af SNMPv3 på Cisco IOS/IOS XE

Oprettelse af SNMPv3 på Cisco Secure Firewall via Firepower Management Center

Oprettelse af SNMPv3 på Cisco Secure Firewall via Rest API FDM.

Konfiguration af SNMP overvågning på Ubuntu server

Notifikationer

Notifikationer

Notifikationer er en vigtig del af overvågning. Vigtige alarmer kræver notifikationer, sådan at drift personale hurtigt kan reagere på drift udfordringer og ændringer i infrastrukturen. Dette er en vigtig funktion i Neosec, da det hurtigt og effektivt kan notificere de brugere der har med den overvågede services at gøre.

Notifikationer tilknyttes for hver monitor hvor man har konfigureret en tærskel værdi. Notifikationer konfigureres globalt og kan nemt tilrettes pr. bruger af systemet.

Med integration til Microsoft Teams og Slack sikrer man, at ens Mail indbakke ikke fyldes med alarmer.

Følgende indbyggede notifikationer er tilgængelige

  • E-Mail (SMTP)
  • Microsoft Teams
  • Slack
  • SMS

E-Mail

Her benyttes traditionel SMTP kommunikation for afsendelse af mail notifikationer. Som standard benyttes port tcp/25 for kommunikation mod SMTP server. E-Mail afsendes med afsender adresse som man selv kan vælge. Modtageren udvælges fra de konfigurerede bruger i Neosec.

Microsoft Teams

Notifikationer kan sendes til en Microsoft Teams Kanal. Kanalen skal oprettes med webhook integration. Alle medlemmer af kanallen vil modtage de afsendte notifikationer.

Dette fungerer både ved modtagelse i web, mobil samt i desktop Microsoft Teams klient.

Klik her for vejledning for konfiguration af Notifikationer til Microsoft Teams.

Slack

Neosec integrere med Slack, sådan at notifikationer kan sendes til en udvalgt Slack kanal. Integrationen benyttes via Slack webhook, som konfigureres for den enkelte Slack kanal. Man kan derfor nemt sende notifikationer til de rette modtagere i stedet for at sende alt til en Slack kanal.

Dette fungerer både ved modtagelse i web, mobil samt i desktop Slack klient.

Klik her for vejledning for konfiguration af Notifikationer til Slack Kanaler.

SMS

Neosec har en integreret SMS notifikations tjeneste via egenudviklet SMS service som kommunikere med SMS Modem via Seriel kommunikation. Udover det er der indbygget integration til SMSNOW hvor man benytter HTTP kommunikation mod SMSNOW Servicen. Via den indbyggede bruger administration, benyttes det indtastede mobilnummer for brugeren for modtagelse af SMS beskeder.

Download seneste software

Her er de seneste version af Klienter og Agenter til Neosec Security Server.

Klienter

Neosec Security Reporter benyttes som Dashboard og rapportering.

Neosec Security Manager benyttes til at administrere Neosec Security Server.

Download

Enter Password to Download:
Download Now!
Enter Password to Download:
Download Now!

Agenter

Neosec Windows Agent benyttes til at overvåge Windows klienter/servere som ikke kan nås direkte fra Neosec Security Serveren.

Download

[sdm_download id="1412" fancy="0"]
Enter Password to Download:
Download Now!
Neosec Windows Agent 3.2.14_4.8Download

#slack integration

#slack er en kommunikations platform, i stil med Facebook Messenger, Google Chat, Apple Messages m.m.
Man kommunikere i kanaler #channels, hvor man deler sine budskaber. For at kunne kommunikere med hinnanden, skal
man inviteres til den enkelte #cahnnel.

Integration i Neosec Security Server

Vi har integreret #slack i Neosec Security Server som en ekstra besked service for alarmering. Man skal oprette en #channel som benyttes til de afsendte alarmer.
Alle medlemmer af denne #channel modtager de alarmer der er sat op i Neosec.

For at benytte #slack i Neosec, skal gøre følgende.

  • Oprette en konto hos #slack, dette er gratis.
  • Oprette en channel hvor man vil have vist alle sine alarmer.
  • Oprette et webhook for den nyoprettede channel. For hver channel bliver der oprettet en unik URL, som vores #slack klient skal benytte for at kunne sende beskeder til den oprettede #slack channel.

 

Oprettelse af notification i Neosec

  • Indsæt webhook
  • Indsæt #channel navn

#slack hjemmeside

Dell PowerConnect Loop-Protect

For at beskytte mod Loop i et netværk skal man have slået en funktion på som Loop-Protection.

På Dell switche gøres dette ved en Keepalive kommando.

Keepalive kommandoen gør at switchen sender en CTP pakke ud på alle portene i et interval mellem 1-10 sekunder. Når en pakke sendes afsted, tjekker switchen om den kan se denne pakke via en af de andre porte. Hvis det er tilfældet, udløses en Keepalive action. Man kan vælge mellem to actions, Log og Err-Disable. Log giver en event i eventloggen hvor man informeres om at der er et loop. Err-Disable lukker porten ned og sørger for at loop’et ikke ødelægger netværkstrafikken.

For at kunne benytte Keepalive, så skal dette slås til Globalt på switchen.

Dette gøres på følgende måde.

Switch#(config) Keepalive 3 3 (cr)
Switch#(Config) Keepalive (cr)

Efterfølgende skal Keepalive slås til på de interfaces, man ønsker at beskytte mod Loops. Husk at dette må ikke gøres på LAG, MLAG og PortChannel porte.

Switch#(Config-If)Keepalive action error-dissable (cr)
Switch#(Config-If)Keepalive (cr)

Når en port lukkes ned i forbindelse med et loop, bliver porten sat i Shutdown. Porten kan først benyttes igen, når der er udført en Shutdown og efterfølgende no Shutdown.

Man kan tjekke status på hvilke porte der er ramt af Keepalive beskyttelsen ved hjælp af følgende kommando.

Switch#show keepalive statistics all
Keep Loop Loop Time Since Rx Port
 Port Alive Detected Count Last Loop Action Status
 -------- --------- ----------- -------- ------------- ------------- --------
 Gi1/0/3 Yes No Error disable Enable

Når en port er blevet lukket i forbindelse med et loop, så skal porten manuelt lukkes og åbnes igen før man kan benytte den igen.

Dette kan man automatisere via errdisable recovery.

Dette konfigureres i Global Config mode.

Switch#(config) Errdisable recovery cause loop-protect
Switch#(Config) Errdisable recovery interval 300

Intervallet er sat til 300 som svarer til 5 min. Det vil sige at hvis en port er blevet lukket pga. et loop, så vil denne Recovery funktion forsøge hvert 5. minut at genåbne porten så den kan benyttes igen.

Keepalive funktionen kræver at man som minimum kører med version 6.3.0.1 af Dell N2000/N3000 firmwaren.

Link til dokumentation hos Dell.

VMware Host Hardware Health Monitorering

Hver VMware Host overvåger hardwaren der håndterer den enkelte host. Via VMware Host Health Status, får man den aktuelle status på følgende komponenter.

  • CPU Processors
  • Memory
  • Fans
  • Temperature
  • Voltage
  • Power
  • Network
  • Battery
  • Storage
  • Cable/Interconnect
  • Software components
  • Watchdog
  • Other

Alle informationerne bliver opsamlet via System Management Architecture for Server Hardware (SMASH). SMASH er en industri standard som omhandler protokoller for administration af systemer i datacenter. For mere information omkring SMASH kan man følge dette link http://www.dmtf.org/standards/smash

For hver komponent gives en status

  • green : Sensoren er ok
  • red : Sensoren er i kritisk tilstand, Der er en hardware fejl på serveren.
  • unknown : Der kan ikke indhentes information omkring sensoren. dette kan forekomme hvis SMASH driveren ikke fungerer.
  • yellow : Sensoren er ok, dog kan der være et problem med hardwaren

Via Neosec Security Server kan man overvåge denne sensor status.

VMware Host Hardware Status Monitor, overvåges ved at hente listen over alle Hardware sensorene og gennemgår status. Hvis status ikke er “Green”oprettes en alert.

VMware Powercli– VMware powercli benyttes til overvågning af VMware Hosts. via dette API kan man få fat i alle managemente elememterr i VMware. Der benyttes HTTPS for kommunikation mod ESXi Host eller via VMware vCenter.

HTTPS/SSL Certifikat Monitor

Undgå at dine websider bliver usikre og ikke tilgængelige for dine brugere. Udløbede SSL certifikater giver brugerne af dine websider falsk sikkerhed. Hvis et SSL certifikat udløber vil nogle webbrowsere blokere for adgangen til websiden og derved ikke give brugerne adgang.

Lad derfor Neosec Security Server holde øje med alle dine certifikater centralt. HTTPS/SSL certifikat monitoren kan monitorere interne såvel som eksterne websider der benytter SSL certifikater. Ved installation af Neosec Network Agent i f.eks. Microsoft Azure, kan man monitorere websiderne fra Internettet. Man har dermed mulighed for at få styr på de installerede certifikater på de websider der håndtere Internettet, samt websider der håndteres internt.

Med denne monitor, sikrer Neosec Security Server proaktivt, at dine SSL certifikater på webservere ikke udløber.

Funktioner

  • Monitorere SSL Certifikat udløbs dato
  • Notifikation hvis Certifikat udløbsdato er mindre end det valgte antal dage sat på monitoren.
  • Rapportering af alle monitorerede SSL Certifikater

Certificate Expiry Days

  • Antal dage før SSL Certifikatet udløber

Konfiguration af HTTPS/SSL Certificate Monitor

Angiv webadressen for det website hvor certifikatet er installeret. SSL Certifikat monitoren tjekker udløbs datoen for certifikater. Angiv herefter hvor mange dage før certifikatet udløber at der skal udløses en alarm.

Rapportering

HTTPS/SSL Monitor Certificate Expiry rapport.

  • Device Type : Windows, Network Agent
  • Agent Type : Port
  • Neosec Agent : Ja

Der kan trækkes en rapport som giver giver et godt overblik over alle de monitorerede SSL certifikater. Rapporten kan også benyttes på dashboardet.

Data der gemmes

  • HTTPS/SSL Certificate Expiry Days
  • HTTPS/SSL Certificate Expiry Monitor Response time
  • HTTPS/SSL Certificate Expiry Availability

Installer VMware tools i Windows Server 2016 Core

Ved installation af Windows Server 2016 Core i VMware vil man gerne have det mest optimale ud af serveren. For at kunne køre med den optimerede VMware VMXNET3 netværks driver, så skal der installeres VMware tools. Ved installation af Windows 2016 Core skal man huske at vælge VMXNET3 istedet for default netværks adapteren, ellers skal man til at slette netværks adapteren og tilføje den rigtige efter oprettelsen serveren i VMware.

Følgende vejledning viser hvordan man installerer VMware Tools i Windows 2016 Core.

Start med at logge på med en konto der har Administrator rettigheder. Og start Powershell.

Start VMware Tools installation via VMware vSphere klienten.

Tjek derefter om d:\ er mounted. Dette kan gøres ved at køre Get-PSDrive som viser alle de drev der er mounted på serveren.

Vælg D: drevet og start setup.exe.

Herefter starter installationen som ved den almindelige Desktop udgave af Windows 2016. Det er også muligt at køre installation i silent mode, hvor der ikke er nogen grafisk brugerflade for installationen.

Vælg Typical og tryk Next.

Gå igennem wizarden og installer VMware tools.

Tryk Finish.

Til sidst bliver man bedt om at genstarte, vælg “Yes” og serveren genstartes.

Herefter er VMware tools installeret, man kan nu få adgang til netværket med NetFX3 driveren. Man kan nu starte server konfigurationen ved at køre sconfig.

Cisco-5506-series-ASA-firewalls

Cisco ASA SNMP Konfiguration

For at kunne overvåge og monitorere Cisco ASA firewalls, så skal SNMP konfigureres. Cisco ASA firewalls understøtter SNMP version 1, 2c og 3. Cisco ASA firewalls understøtter kun læsning via SNMP, det vil sige man kan ikke ændre på konfiguration som man kan med Cisco switche.

Konfiguration af SNMP foretages via Seriel konsollen, SSH eller via den grafiske brugerflade ASDM.

SNMP Ver 1 og 2c konfigureres på følgende måde.

snmp-server enable

For at kunne kommunikere via SNMP, så skal der angives et community navn. Community navnet er et slags password eller delt nøgle der benyttes som validering og sikrer at det kun er de enheder der kender nøglen, der kan kommunikere sammen. Udover det skal man angive det logiske interface som man vil overvåge firewallen fra samt den IP adresse man kommer fra. Man kan ikke angive et range af adresser, som kan overvåge firewallen via SNMP.

snmp-server server host <logical-interface-name> poll community <string> version 2c

Konfigurationen vil se således ud, når man angiver en server der skal kunne overvåge firewallen interfacet inside.

Vi har i konfigurationen valgt at benytte SNMP version 2c i det at man her kan benytte 64bit countere. Dette er nødvendigt for overvågning af netværks interfaces der kan køre med mere end 100 Mbit. Vi har benyttet neosec som community navn.

snmp-server host inside 10.1.101.215 poll community neosec version 2c

For at identificere firewallen kan man konfigurere kontakt information og lokalitet. Disse informationer vises i Neosec Security Server når firewallen er tilføjet.

snmp-server contact IT Afdelingen
snmp-server location Hovedkrydsfelt

Husk at gemme konfigurationen bagefter.

write memory

Man kan lave yderligere ændringer til SNMP konfiguration udover standard. Som standard lytter Cisco ASA firewallen på port 161 for SNMP forespørgelser. Dette kan ændres med følgende kommando.

snmp-server listen-port 161

Yderligere så kan man konfigurere firewallen til at sende Traps via SNMP. Som standard benytter jeg Syslog som log kilde, men man kan også benytte SNMP som log kilde.

snmp-server host inside 10.1.101.215 trap community neosec version 2c

Følgende Trap categorier kan tilvælges:

  • All
  • Connection-limit-reached
  • CPU
  • Entity
  • ikev2
  • Interface-threshold
  • iPsec
  • Memory-threshold
  • Nat
  • Remote-access
  • SNMP
  • Syslog
snmp-server enable traps <categori>

For yderligere information omkring SNMP følge da dette link.