Category Archives: Neosec Security Server

Ubuntu

Konfiguration af SNMP overvågning på Ubuntu server

For at kunne overvåge en Ubuntu server, skal der installeres en SNMP Daemon først [SNMPD]. SNMPD bliver ikke installeret som standard på en Ubuntu server. Tjek med følgende kommando om SNMPD allerede er installeret.

sudo service --status-all

[ + ] apparmor
[ + ] apport
[ + ] atd
[ - ] console-setup.sh
[ + ] cron
[ - ] cryptdisks
[ - ] cryptdisks-early
[ + ] dbus
[ + ] grub-common
[ - ] hwclock.sh
[ + ] irqbalance
[ - ] iscsid
[ - ] keyboard-setup.sh
[ + ] kmod
[ - ] lvm2
[ - ] lvm2-lvmpolld
[ + ] multipath-tools
[ - ] open-iscsi
[ + ] open-vm-tools
[ - ] plymouth
[ - ] plymouth-log
[ + ] procps
[ - ] rsync
[ + ] rsyslog
[ - ] screen-cleanup
[ + ] ssh
[ + ] udev
[ + ] ufw
[ + ] unattended-upgrades
[ - ] uuidd

Listen viser de services der er installeret på serveren, hvis der er angivet [+] så er servicen startet. Listen viser at SNMPD ikke er installeret.

Kør følgende for at installere SNMPD.

  1. opdater pakke listen: sudo apt-get update
  2. Installer SNMPD: sudo apt-get install snmp, snmpd

Herefter skal SNMPD konfigureres, dette gøres ved at ændre snmpd.conf filen. sudo nano /etc/snmp/snmpd.conf

Find linjen med følgende tekst: agentaddress 127.0.0.1,[::1]

Denne tekst skal ændres til følgende: agentaddress udp:161,udp6:[::1]:161

Find linjerne med følgende tekst:

rocommunity public default -V systemonly
rocommunity6 public default -V systemonly

Man benytter snmp community som password for at kunne få lov til at hente informationer fra serveren via snmp.

Ændre public til den SNMP Community som man ønsker eller benyt public som standard. Her er snmp community ændret til neosec.

rocommunity neosec default -V systemonly
rocommunity6 neosec default -V systemonly

Som standard er snmd konfigurereret med et systemonly view som ikke giver så mange informationer på systemet.

Hvis vi gerne vil overvåge disk, memory m.m. så skal snmp viewet ændres.

view systemonly included .1.3.6.1.2.1.1

View systemonly included .1.3.6.1.2.1.25.1

opret nyt view

view systemAll included .1

Gem ændringerne i snmpd.conf filen og start snmpd servicen. sudo service snmpd restart

[ + ] apparmor
[ + ] apport
[ + ] atd
[ - ] console-setup.sh
[ + ] cron
[ - ] cryptdisks
[ - ] cryptdisks-early
[ + ] dbus
[ + ] grub-common
[ - ] hwclock.sh
[ + ] irqbalance
[ - ] iscsid
[ - ] keyboard-setup.sh
[ + ] kmod
[ - ] lvm2
[ - ] lvm2-lvmpolld
[ + ] multipath-tools
[ - ] open-iscsi
[ + ] open-vm-tools
[ - ] plymouth
[ - ] plymouth-log
[ + ] procps
[ - ] rsync
[ + ] rsyslog
[ - ] screen-cleanup
[ + ] snmpd
[ + ] ssh
[ + ] udev
[ + ] ufw
[ + ] unattended-upgrades
[ - ] uuidd

Man kan nu se at snmpd er tilføjet i listen og servicen er startet.

Test nu om man kan hente snmp informationer fra serveren.

snmpwalk -v2c -c neosec localhost

iso.3.6.1.2.1.1.1.0 = STRING: "Linux ubuntudocker 5.4.0-62-generic #70-Ubuntu SMP Tue Jan 12 12:45:47 UTC 2021 x86_64"
iso.3.6.1.2.1.1.2.0 = OID: iso.3.6.1.4.1.8072.3.2.10
iso.3.6.1.2.1.1.3.0 = Timeticks: (2143) 0:00:21.43
iso.3.6.1.2.1.1.4.0 = STRING: "Me <me@example.org>"
iso.3.6.1.2.1.1.5.0 = STRING: "ubuntudocker"
iso.3.6.1.2.1.1.6.0 = STRING: "Sitting on the Dock of the Bay"
iso.3.6.1.2.1.1.7.0 = INTEGER: 72
iso.3.6.1.2.1.1.8.0 = Timeticks: (1) 0:00:00.01
iso.3.6.1.2.1.1.9.1.2.1 = OID: iso.3.6.1.6.3.10.3.1.1
iso.3.6.1.2.1.1.9.1.2.2 = OID: iso.3.6.1.6.3.11.3.1.1
iso.3.6.1.2.1.1.9.1.2.3 = OID: iso.3.6.1.6.3.15.2.1.1
iso.3.6.1.2.1.1.9.1.2.4 = OID: iso.3.6.1.6.3.1
iso.3.6.1.2.1.1.9.1.2.5 = OID: iso.3.6.1.6.3.16.2.2.1
iso.3.6.1.2.1.1.9.1.2.6 = OID: iso.3.6.1.2.1.49
iso.3.6.1.2.1.1.9.1.2.7 = OID: iso.3.6.1.2.1.4
iso.3.6.1.2.1.1.9.1.2.8 = OID: iso.3.6.1.2.1.50
iso.3.6.1.2.1.1.9.1.2.9 = OID: iso.3.6.1.6.3.13.3.1.3
...

Ovenstående resultat viser at SNMP Daemon servicen kører og man kan herefter konfigurere overvågning af serveren.

#slack integration

#slack er en kommunikations platform, i stil med Facebook Messenger, Google Chat, Apple Messages m.m.
Man kommunikere i kanaler #channels, hvor man deler sine budskaber. For at kunne kommunikere med hinnanden, skal
man inviteres til den enkelte #cahnnel.

Integration i Neosec Security Server

Vi har integreret #slack i Neosec Security Server som en ekstra besked service for alarmering. Man skal oprette en #channel som benyttes til de afsendte alarmer.
Alle medlemmer af denne #channel modtager de alarmer der er sat op i Neosec.

For at benytte #slack i Neosec, skal gøre følgende.

  • Oprette en konto hos #slack, dette er gratis.
  • Oprette en channel hvor man vil have vist alle sine alarmer.
  • Oprette et webhook for den nyoprettede channel. For hver channel bliver der oprettet en unik URL, som vores #slack klient skal benytte for at kunne sende beskeder til den oprettede #slack channel.

 

Oprettelse af notification i Neosec

  • Indsæt webhook
  • Indsæt #channel navn

#slack hjemmeside

VMware Host Hardware Health Monitorering

Hver VMware Host overvåger hardwaren der håndterer den enkelte host. Via VMware Host Health Status, får man den aktuelle status på følgende komponenter.

  • CPU Processors
  • Memory
  • Fans
  • Temperature
  • Voltage
  • Power
  • Network
  • Battery
  • Storage
  • Cable/Interconnect
  • Software components
  • Watchdog
  • Other

Alle informationerne bliver opsamlet via System Management Architecture for Server Hardware (SMASH). SMASH er en industri standard som omhandler protokoller for administration af systemer i datacenter. For mere information omkring SMASH kan man følge dette link http://www.dmtf.org/standards/smash

For hver komponent gives en status

  • green : Sensoren er ok
  • red : Sensoren er i kritisk tilstand, Der er en hardware fejl på serveren.
  • unknown : Der kan ikke indhentes information omkring sensoren. dette kan forekomme hvis SMASH driveren ikke fungerer.
  • yellow : Sensoren er ok, dog kan der være et problem med hardwaren

Via Neosec Security Server kan man overvåge denne sensor status.

VMware Host Hardware Status Monitor, overvåges ved at hente listen over alle Hardware sensorene og gennemgår status. Hvis status ikke er “Green”oprettes en alert.

VMware Powercli– VMware powercli benyttes til overvågning af VMware Hosts. via dette API kan man få fat i alle managemente elememterr i VMware. Der benyttes HTTPS for kommunikation mod ESXi Host eller via VMware vCenter.

HTTPS/SSL Certifikat Monitor

Undgå at dine websider bliver usikre og ikke tilgængelige for dine brugere. Udløbede SSL certifikater giver brugerne af dine websider falsk sikkerhed. Hvis et SSL certifikat udløber vil nogle webbrowsere blokere for adgangen til websiden og derved ikke give brugerne adgang.

Lad derfor Neosec Security Server holde øje med alle dine certifikater centralt. HTTPS/SSL certifikat monitoren kan monitorere interne såvel som eksterne websider der benytter SSL certifikater. Ved installation af Neosec Network Agent i f.eks. Microsoft Azure, kan man monitorere websiderne fra Internettet. Man har dermed mulighed for at få styr på de installerede certifikater på de websider der håndtere Internettet, samt websider der håndteres internt.

Med denne monitor, sikrer Neosec Security Server proaktivt, at dine SSL certifikater på webservere ikke udløber.

Funktioner

  • Monitorere SSL Certifikat udløbs dato
  • Notifikation hvis Certifikat udløbsdato er mindre end det valgte antal dage sat på monitoren.
  • Rapportering af alle monitorerede SSL Certifikater

Certificate Expiry Days

  • Antal dage før SSL Certifikatet udløber

Konfiguration af HTTPS/SSL Certificate Monitor

Angiv webadressen for det website hvor certifikatet er installeret. SSL Certifikat monitoren tjekker udløbs datoen for certifikater. Angiv herefter hvor mange dage før certifikatet udløber at der skal udløses en alarm.

Rapportering

HTTPS/SSL Monitor Certificate Expiry rapport.

  • Device Type : Windows, Network Agent
  • Agent Type : Port
  • Neosec Agent : Ja

Der kan trækkes en rapport som giver giver et godt overblik over alle de monitorerede SSL certifikater. Rapporten kan også benyttes på dashboardet.

Data der gemmes

  • HTTPS/SSL Certificate Expiry Days
  • HTTPS/SSL Certificate Expiry Monitor Response time
  • HTTPS/SSL Certificate Expiry Availability

Overvågnings protokoller

Neosec Security server, benytter følgende protokoller til overvågning.

ICMPInternet Control Message Protocol i daglig tale ping.

ICMP benyttes til at tjekke om de overvågede enheder er i live. Der sendes 3 x ping ud til hver enkelt enhed hvor Neosec Security Server afventer et svar. Ved hvert ping indhentes svartiden sådan at man kan beregne den gennemsnitlige svartid.

Udover dette benyttes ICMP også til at måle pakke tab. Hvis der ikke kommer 3 svar tilbage men kun 1, kan det skyldes at der er pakke tab til enheden eller at enheden er for belastet til at kunne svare.

Hvis de 3 ping besvares, ses enheden som oppe. Hvis de 3 ping ikke besvares ses enheden som nede.

Neosec Security Server benytter ICMP til at måle pakke tab og oppetid.

WMIWindows Management Instrumentation, dette er Microsofts framework for monitorering af deres operativ systemer.

WMI benyttes til monitorering af Windows server og arbejdspladser. Men WMI kan også benyttes til at udtrække informationer omkring hardware og software på de enkelte servere og arbejdsstationer.

SNMPSimple Network Management Protocol, en old school protokol der i høj grad benyttes til monitorering og overvågning af netværks enheder og servere. SNMP er en protokol der er understøttet på tværs af rigtig mange platforme. Den benyttes i dag på mange type netværks enheder, såsom switche, firewall, routere, arbejdsstationer og servere. Alle enheder har en SNMP agent som man spørger til.

Man benytter et Community navn for at kunne kommunikere med SNMP agenten. Dette er et slags brugernavn. Der kan på alle enheder sættes en Læse Community, nogle enheder understøtter også en skrive Community som kan benyttes til at sende kommandoer tilbage til SNMP Agenten for konfiguration af den enkelte enhed.

SNMP findes i 3 versioner, de adskiller sig på forskellige måder.

Version 1, den første version af SNMP protokollen. Begrænsningen er her 32 bit tællere.

Version 2, en nyere version der understøtter 64 bit tællere, samt nogle nye typer OID.

Version 3, har de samme funktioner som verision 2, men her er der en sikkerheds model hvor man kan kommunikere med SNMP agenten via en krypteret forbindelse, samt brugernavn og password.

Standard i dag er at man benytter Version 2.

Information

Oversigt over kendte kommunikations protokoller.

network-communication-protocols-map

 

 

 

 

 

Nyttige Link

MIB Depot http://www.mibdepot.com er et godt sted hvor man kan finde SNMP værdier for overvågning.

iReasoning MIB Browser, http://www.ireasoning.com en rigtig god SNMP MIB browser til check på enheder man ikke har overvåget før. I Neosec Securiy Server er der også en mulighed for at lave en SNMP Walk af alle MIB værdier på de enheder der overvåges.

Logkonsolidering

Logkonsolidering

I Neosec Security server er der indbygget central logkonsolidering. Neosec security server fungerer som syslog server for netværks udstyr og unix baserede systemer. Neosec Security server håndtere også windows eventlogs, der opsamles agentløst via WMI eller via den agent baserede Windows Agent.

For at få det bedste ud af logkonsolidering, bør man følge disse punkter.

NTP

NTP, Network Time Protocol. For at få det bedste ud af central loggnin er at man har samme tid på alle enheder.

NTP sikrer at alle log events på tværs af systemer er synkroniseret. Dette gør at man bedre kan fejlfinde på tværs af enheder når de har samme tid.

Ved Neosec, bliver tiden sat centralt i Neosec serveren. Neosec benytter ikke tiden fra log filerne. Det vil sige at når der komme en event til Neosec bliver den stemplet med den tid der er når den ankommer. Dette sikrer på samme måde med NTP at tiden er synkron ved fejlfinding.

Data Retention

Hvor længe vil du beholde data. Data fylder meget hvis man beholder alle log data.

En god regel er at holde minimum 365 dages log, hvis der er krav til at man skal holde det længere kan man benytte sig af log arkivering. I Neosec er log arkivering automatisk sat til at arkivere logfilerne hver dag. De bliver ZIPet og sendt til den oprettede arkiv folder.

Data i databasen bliver håndteret af Data Retention perioden. Som standard er den sat til at gemme data i databasen i 365 dage. Herefter slettes data.

Der kører et job hver dag som sletter data.

Event Filtre

Med event filtre kan man definere hvad man gerne vil gemme i databasen. Som standard gemmes alle data i rå logfiler som efterfølgende bliver arkiveret. Men det er kun udvalgte events der bliver gemt i databasen.

Backup

Sørg for at der er defineret en backup strategi for din log løsning. Som standard bør man lave inkremmental backup hver dag. Som standard bør man have en offsite kopi af backuppen.

Sikkerhedspolitik

Da man nu ligger inde med en masse data centralt, bør man lave en sikkerheds politik der gør at det kun er udvalgte der kan tilgå overvågning data og logs. I Neosec Security Server skal man have et brugernavn og password for at benytte systemet. Der er audit på de personer der har adgang til systemet via klienterne. Sørg for at selve serveren hvor Neosec Security server er installeret, er beskyttet mod uvedkommende.

 

Få mere information omkring Neosec’s produkter.

Udfyld kontakt formularen og vi vil fremsende information.

Kontakt
Networking Switch

Netværksovervågning

Netværksovervågning

Hvad skal man overvåge på et netværk, hvordan skal man overvåge et netværk dette er tit spørgsmål som systemadministratorer stiller sig.

Med Neosec Security Server har vi stillet et værktøj til rådighed som kan hjælpe med at træffe de rigtige valg.

Man skal overvåge det der er nødvendigt for at få et overblik over den generelle status på netværket. For at komme langsomme forbindelser i forkøbet, bør man overvåge båndbredde forbruget på de centrale Internet forbindelser og knudepunkter. Dette gør at man løbende kan se om forbruget er stigende eller normalt. Man kan også hurtigt finde ud af om at langsom kommunikation mellem lokaliteter er pga. at båndbredde forbruget er for højt.

Alle Switch Trunks og Router porte bør overvåges. Det er disse port typer der binder hele netværksinfrastrukturen sammen.

Man bør overvåge følgende parametre på knudepunkter.

  • Båndbredde
  • Errors
  • Discards
  • Interface Status

Ved overvågning af netværksinterfaces i Neosec Security Server, bliver ovenstående informationer automatisk opsamlet og gemt.

Udover overvågning af forbindelser, er det en god ide at overvåge strømforsyninger og blæsere. Især hvis det er på enheder med redundante strømforsyninger. Her kan man proaktivt sørge for at få udskiftet den defekte strømforsyning inden hele switchen eller routeren stopper med at fungere.

Netværks porte på routere der er i brug, bør aldrig være nede, derfor er det vigtigt at overvåge dem.

Det samme er gældende for Switch porte der binder andre switche sammen disse bør ikke være nede, de skal altid være oppe.

Hvis der måles mange discards, kan det være at porten er belastet. InDiscards kan tit betyde at der er VLANs som switch porten ikke kender til, men den modtager pakker for det enkelte VLAN.

Errors på Netværks porte skyldes tit forkert Hastighed og Duplex konfiguration. I nogle tilfælde kan det også give udfald ved dårlige kabler samt brud på fiberkabel.

Ved netværksovervågning benyttes en række protokoller til at teste og indsamle statistik data. I Neosec Security server benyttes ICMP, TCP, og SNMP til opsamling og test af netværksudstyr. ICMP benyttes ved ping, denne protokol benyttes til at se om en enhed er i live. TCP benyttes til at forbinde sig til en netværks service. Hvis man får en svar fra netværksservicen tilbyder enheden denne type service. Dette kunne være en service ala FTP, Web server, Telnet m.m. SNMP står for Simple Network Management Protocol, denne protokol benyttes til at indsamle statistikker fra netværks enheder. Vi benytter den i stor grad til opsamling af statistik for netværks interfaces, System ressourcer m.m. både på netværks enheder og servere.

Information

Overvågnings protokoller der benyttes i Neosec Security Server

Systemkrav

Systemkrav

For at kunne få det bedste ud af  Neosec Security Server, bør man følge systemkravene.

Kravene er baseret på best practice og er anbefalinger som er testet.

Neosec Security server kan fint køre i et virtuelt miljø [VMware, Hyper-V, Azure, Amazon, Google Cloud].

Neosec Security Server

Operativ system
  • Windows Server 2008
  • Windows Server 2008R2
  • Windows Server 2012
  • Windows Server 2012R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022
Hukommelse
  • 8 GB eller mere
Plads krav
  • 5 GB til system installation
  • 300 GB eller mere til Log Data samt Database

Det anbefales at oprette et drev til data udover drev til database log og selve databasen.

De indsamlede logdata arkiveres hver nat, her kan man benytte en ekstern lagerkilde til håndtering af de arkiverede data. Dette kunne f.eks. være en NAS eller anden form for ekstern fil server.

.Net Framework
  • Minimum Microsoft .Net 4.5.1
Database
  • Microsoft SQL Server 2005
  • Microsoft SQL Server 2008
  • Microsoft SQL Server 2008R2
  • Microsoft SQL 2012
  • Microsoft SQL 2014
  • Microsoft SQL 2016
  • Microsoft SQL 2017
  • Microsoft SQL 2018
  • Microsoft SQL 2019

Neosec Klienter

Operativ System
  • Windows 7
  • Windows 8
  • Windows 8.1
  • Windows 10
  • Windows 11
  • Windows Server 2008
  • Windows Server 2008R2
  • Windows Server 2012
  • Windows Server 2012R
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022
Hukommelse
  • 4 GB
Plads krav
  • Minimum 50 MB
.Net Framework
  • Minimum Microsoft .NET 4.5.1
Integration
  • Putty, Telnet/SSH client.
Neosec Security Manager Alerts Events

Licensering

Simpel licens model

Neosec Security Server licenseres pr. enhed der overvåges.

En enhed/IP adresse tæller som en licens, det vil sige der licenseres ikke med hvor mange sensorer, monitorer, interfaces den enkelte enhed indeholder. Denne model gør det nemmere at  beregne hvor mange licenser man skal bruge.

For at kunne få opdateringer samt nye versioner af Neosec Security Server, tegnes der en opdaterings aftale. Aftalen løber for et år af gangen og beregnes ud fra det antal licenser man har.

Kontakt os, for et uforpligtende tilbud her.

 

Overblik

Overblik

Neosec Security Server består af flere moduler:

Administration

Administrations interfacet til Neosec Security Server består af en administrations klient, samt en rapport klient. Administrations klienten benyttes til at konfigurere Neosec Security Server, samt de overvågede enheder. Via administrations klienten, kan man analysere de indsamlede data samt for et samlet status overblik over de overvågede enheder.

Storage

Neosec Security Server benytter Microsoft SQL Server for lagring af konfigurations informationer samt de opsamlede performance data og events. Neosec Security Server benytter lokal disk, til lagring af rå logdata, samt arkivering af logs.

Alerting

For afsendelse af alarmer udenfor systemet, benytter Neosec Security Server E-mail, SMS samt Instant Messaging, Microsoft Teams, #Slack. Alarmeringen fungerer ved at der oprettes notifications profiler som tilføjes de enkelte monitorer. For SMS afsendelse kan man benytte lokal SMS modem via Neosec SMS Server, eller via SMS Now integration.

Neosec opbygning