Netzwerkmonitoring mit Nagios und RRDtool

Transkript

1 Netzwerkmonitoring mit Nagios und RRDtool Monitoring networks with Nagios and RRDtool Bernhard Kuhlen WetterOnline Meteorologische Dienstleistungen GmbH Am Rheindorfer Ufer Bonn Tel.: : bkuhlen@wetteronline.de Diplomarbeit Betreuer: Prof. Dr. Andreas Künkler Bonn, August 2007

2

3 Vorwort Die WetterOnline GmbH mit Sitz in Bonn ist eine mittelständische, meteorologische Dienstleistungs-Firma mit einer Palette an Produkten für Privat- und Geschäftskunden. Große Bekanntheit hat das Unternehmen durch den Internetauftritt unter erlangt, ein Online-Angebot mit vielen Informationen zum Wetter weltweit, das seit 1997 abrufbar ist. Neben der Aufbereitung und Präsentation meteorologischer Daten im Internet sind Programmierung meteorologischer Webportale, Lieferung von Wetterdaten an Kunden und ein Programm zur Schadensregulierung für Versicherungen einige weitere Beispiele der angebotenen Produktpalette. Eine ausführliche Vorstellung des Unternehmens ist abrufbar unter Die vorliegende Arbeit ist im Rahmen eines Projektes zur Verbesserung der Überwachung des IT-Systems entstanden, ein Projekt das über diese Arbeit hinaus weitergeführt wird. Danken möchte ich insbesondere Herrn Prof. Dr. Künkler, der meine Arbeit betreut hat und stets ein offenes Ohr für meine Fragen hatte, meiner Freundin Annika Götze für ihre Geduld und Unterstützung während meiner Arbeit und insbesondere auch dafür, dass sie sich die Zeit nahm, dieses Dokument auf sprachliche Schwachstellen und Tippfehler zu untersuchen. Ebenfalls danke ich meinem Kollegen Thorsten Schlich für das Aufnden von Tippfehlern. Mein weiterer Dank gilt den Geschäftsführern von WetterOnline, Herrn Dr. Ulrich Römer und Herrn Dr. Joachim Klaßen für ihren Beitrag zur Förderung meines berufsbegleitenden Fernstudiums.

4

5 Kurzfassung Die Anforderung an ein IT-System im professionellen Umfeld ist neben der ordnungsgemäßen Funktionsweise die möglichst zeitnah erfolgende Problembehebung bei temporären Störungen. Dem für das System zuständigen Personal müssen Probleme schnellstmöglich und automatisiert mitgeteilt werden, im besten Falle, bevor ein Kunde den Mangel bemerkt oder ein langer Systemausfall einen hohen wirtschaftlichen Schaden zur Folge hat. Zudem werden Hilfsmittel benötigt, die die Transparenz der zum Teil komplexen Vorgänge in einem Netzwerk erhöhen und Analysewerkzeuge zur Problembehebung oder Systemverbesserung bereitstellen. Die vorliegende Arbeit hat das Ziel, diesen Anforderungen im Falle des IT-Systems der WetterOnline GmbH gerecht zu werden. Das IT-System der Firma WetterOnline besteht aus einem Intranet am Firmenstandort in Bonn und einem Servernetz in Frankfurt. Während das Intranet in Bonn ausschließlich Dienste (wie Mailserver und Nameserver) für die Mitarbeiter bereitstellt, benden sich am Standort Frankfurt die Server, die Dienste für die Kunden bereitstellen. Für diese beiden Netze soll im Rahmen der vorliegenden Arbeit ein Monitoring-System implementiert werden, bestehend aus der Aufzeichnung von Performancedaten wie CPU-Auslastung und Trafc und einer zentralen Überwachung von Diensten wie Webserver, FTP-Server und anderen Diensten. Bei der Aufzeichnung der Performancedaten geht es im wesentlichen um eine graphische Aufbereitung der für die System-Performance wichtigen Einflussgrößen, die einen Überblick über die Auslastung des Systems geben soll und damit u.a. ein objektives Hilfsmittel zur Bedarfsanalyse beim Kauf zukünftiger Hardware ist oder bei der Analyse von (zeitlich korrelierten) Problemen im Netzwerk hilft. Bei der Überwachung des Systems hingegen steht die Auflistung von Fehlern und Problemen im Netzwerk, sowie die Benachrichtigung der verantwortlichen Personen (per oder SMS) im Bedarfsfalle und wenn möglich, eine automatisierte Problembehebung im Vordergrund. Zentrales Ziel ist dabei die schnelle Problemerfassung und Behebung. Zur Aufzeichnung von Performancedaten wird im Rahmen dieser Arbeit die freie Software RRDtool genutzt (siehe [6]). Als Monitoring-Software für die Netzwerküberwachung kommt Nagios zum Einsatz. Neben der Online-Dokumentation unter sind hierzu auch Lehrbücher (siehe [2] und [3]) erschienen.

6

7 Inhaltsverzeichnis 1 Einleitung Ziele dieser Arbeit Ziel: Darstellung der System-Performance Ziel: Systemüberwachung Die verwendete Software Aufbau dieser Arbeit Vorbemerkung Grundlagen Das Simple Network Management Protocol SNMP Sicherheitsaspekte bei SNMP Funktionsweise von SNMP Visualisierung von Zeitreihen: RRDtool Die Notwendigkeit der Datenaufzeichnung RRDtool Systemüberwachung mit Nagios Einführung in Nagios Installation und Konguration von Nagios unter FreeBSD Zusammenfassung der wesentlichen Eigenschaften von Nagios Netztopologie bei WetterOnline Übersicht des WetterOnline-Netzes Die Netzkomponenten Das Netzwerk in Bonn Das Netzwerk in Frankfurt Aufzeichnung von Performancedaten Implementierung der Aufzeichnung mit RRDtool Performanceparameter Skripte und Verzeichnisse zur Aufzeichnung der Daten Diskussion einzelner Ergebnisse der Performanceanalyse

8 VIII Inhaltsverzeichnis 5 Systemüberwachung mit Nagios Die Weboberfläche und die Bedienung von Nagios Überwachung der Hosts Der Ausfall von Servern Serverausfall und Reboot durch Nagios-Eventhandler Notikation per SMS Überwachung der Services Service-Checks Remote-Checks mit NRPE Eventhandler für Service-Checks Verteiltes Monitoring mit NSCA Service-Dependencies Eskalationsmanagement Überwachung des Nagios-Prozesses Erhöhung der Netzwerk-Transparenz mit Nagios Zusammenfassung Ausblick Anhang Glossar Index Literatur

9 Abbildungsverzeichnis 2.1 Der MIB-Tree von SNMP-Geräten Darstellung des Round-Robin-Verfahrens Darstellung der CPU-Auslastung eines Servers Systemüberwachung mit Nagios Abhängigkeiten im Netzwerk Netztopologie im IT-System von WetterOnline Intranet von WetterOnline in Bonn Netzwerk von WetterOnline in Frankfurt Verzeichnisstruktur und Skripte für Performancediagramme Trafc-Analyse www-de Analyse der CPU-Load aktuell Analyse der zeitlichen CPU-Auslastung aktuell Trafc-Analyse aktuell Speicher-Analyse aktuell RTT-Analyse ns RTT-Analyse city Prozessanalyse von www-cn Plattendurchsatz-Analyse von mail Trafc-Analyse der Uplink-Ports Startseite der Nagios-Weboberfläche APC-Weboberfläche Überwachung der Hosts bei Nagios Statusinformationen eines Hosts Benachrichtigung bei Systemausfall per Service-Checks eines Hosts Benachrichtigung bei Service-Problemen durch NRPE und Firewalls Nagios Service Check Acceptor (NSCA) Service-Check-Meldungen ohne Abhängigkeit Service-Check-Meldungen mit Abhängigkeit Server-Status des WetterOnline-Netzes

10 X Abbildungsverzeichnis 5.13 Beispiel 1 eines Serverproblems Beispiel 2 eines Serverproblems Kommentare bei Problemen Problemübernahme Statistische Problemanalyse Statistische Problemanalyse Statistische Problemanalyse gw Verzögerungen im KKF-Netz nach Mitternacht Auflistung von Netzwerkproblemen mit Nagios

11 Tabellenverzeichnis 2.1 Rückgabewerte der Nagios-Plugins Verzeichnisse und Dateien für Nagios unter FreeBSD Verzeichnisstruktur für Performancedaten Eckdaten des IT-Systems bei WetterOnline

12

13 1 Einleitung In dieser Arbeit wird die Implementierung und Konguration eines Netzwerk- Monitoring-Systems in der IT-Umgebung der WetterOnline GmbH beschrieben. In diesem einleitenden Kapitel werden die wesentlichen Ziele und Ideen skizziert, der Aufbau des vorliegenden Dokuments erläutert, sowie das zu untersuchende IT-System kurz vorgestellt. WetterOnline versteht sich als IT-basierte, meteorologische Dienstleistungsrma, deren höchstes Gut (Daten und Programme) auf einem Pool von Servern gehalten und verwaltet wird. Dieser Pool umfasst derzeit (Frühling 2007) 60 Server. Die enorme Bedeutung, die das IT-System für WetterOnline hat, führt zu der Notwendigkeit, das System darzustellen, transparent zu machen und zu überwachen und somit direkt zu den Zielen, die im Rahmen dieser Arbeit erreicht werden sollen. Das Netzwerk der Firma WetterOnline (siehe hierzu auch Kapitel 3) besteht, wenn man mobile Notebooks einmal außer Acht lässt, aus einem Intranet in Bonn und einem Pool von Servern an einem Standort in Frankfurt mit sehr hoher Verfügbarkeit 1. Auf Betriebssystem-Ebene wird auf Serverseite das UNIX-Derivat FreeBSD (siehe [5]) in den Versionen 4, 5 und 6 verwendet. Die Server stellen meteorologische Informationen in vielfältiger Ausführung für Internetnutzer und Geschäftskunden bereit. Zu erwähnen seien beispielhaft ein FTP-Server, den Geschäftskunden zum Erhalt von Daten kontaktieren können, ein Versicherungstool für Versicherungsnehmer und -geber oder die frei abrufbare Webapplikation unter Neben diesen Servern, die aufbereitete Daten darstellen (bei dem in der Informatik bekannten EVA-Prinzip (Eingabe, Verarbeitung, Ausgabe) wird hier die Ausgabe oder Präsentation der fertigen Ergebnisse (Produkte) durchgeführt), gibt es noch solche Server, die die Veredelung der meteorologischen Rohdaten durchführen und diese Daten auch beziehen (Eingabe, Verarbeitung). Diese Produktionsserver übernehmen die Verarbeitung der meteorologischen Daten hin zu fertigen Produkten. 1 Seitens des Dienstleisters vor Ort wird eine Erreichbarkeit des Standortes zu 99,85% garantiert.

14 2 1 Einleitung 1.1 Ziele dieser Arbeit Ziel: Darstellung der System-Performance Ständig werden neue Produkte entwickelt, neue Kunden gewonnen und neue Anforderungen an Hard- und Software gestellt. Kaufentscheidungen für neue Hardware müssen objektive Analysemechanismen zum Auslastungszustand des Systems vorausgehen, was bedeutet, dass man zuerst ein Bild vom aktuellen Auslastungszustand darstellen muss. Dieses Ziel wird in Kapitel 4 verfolgt, indem die systemkritischen Parameter wie Servertrafc, CPU-Auslastung oder die Anzahl der laufenden Prozesse graphisch dargestellt werden. Künftige Kaufentscheidungen für mehr oder andere Hardware 2 werden durch Studium der Performancedaten auf eine objektive Basis gestellt, während sie bislang eher nach subjektiven Gesichtspunkten getroffen wurden Ziel: Systemüberwachung Kunden, die Dienste beziehen und bezahlen, erwarten eine hohe Verfügbarkeit der Daten und Programme. Ausfälle der Dienste oder Komplettausfälle der Server müssen schnell behoben werden. Eine zeitnahe Problembehebung kann nur funktionieren, wenn der zuständige Mitarbeiter (je nach Dringlichkeit) per oder SMS automatisiert eine Nachricht über das Problem erhält, sobald das Problem von einer Kontrollinstanz festgestellt wurde. Die Betonung des Wortes automatisiert soll an dieser Stelle klarstellen, dass diese Kontrollinstanz nach Möglichkeit nicht ein Mitarbeiter (der zufällig auf das Problem stößt) und keinesfalls der Kunde sein soll, sondern dass es ein System auf Software-Ebene geben muss, das diese Überprüfungen regelmäßig durchführt und somit die Zeit zwischen dem Auftreten eines Problems und der Benachrichtigung minimiert. Einige solcher Prüfungen werden bei WetterOnline bislang auf der Basis von Bash-Skripten durchgeführt. So werden SMS und/oder s bei Serverausfall, Plattenplatzproblemen auf Servern sowie fehlgeschlagenen Dateiaktualisierungen generiert und versandt. Diese Methodik hat aber entscheidende Nachteile. Zum einen werden die Probleme mit vielen verschiedenen Programmen (Skripten) gelöst, was die Wartung der Kontrollmechanismen verkompliziert und immer wieder die Notwendigkeit beinhaltet, die selbstprogrammierten Softwarelösungen ausgiebig zu testen. Zum anderen sind diese Lösungen oftmals nicht flexibel, wenn man z.b. neue Dienste 3 testen (man neigt dann dazu, wieder ein neues Kontrollprogramm zu schreiben) oder aber die Benachrichtigungen von zuständigen Personen bei Problemen kaskadiert durchführen will. So ist es beispielsweise sinnvoll, bei einem Ausfall eines Dienstes erst den Systemadministrator zu informieren. Kann 2 Meistens sind mit dem Begriff Hardware Server gemeint, also die Rechenmaschinen, auf denen die Daten verarbeitet werden. Manchmal geht es aber auch um andere Dinge, z.b. die Entscheidung, beim Provider einen anderen Bandbreiten-Tarif zu bestellen, wenn im Rahmen der Analyse der Bandbreite festgestellt wird, dass diese nicht mehr ausreicht. 3 Mit Diensten sind im Rahmen dieser Arbeit immer Netzwerkdienste wie HTTP, FTP und SNMP gemeint.

15 1.2 Die verwendete Software 3 dieser das Problem nicht nach einer bestimmten Zeit lösen, so ist dann evtl. auch ein Mitarbeiter aus dem Vertrieb zu verständigen, der bei kurzzeitigen Störungen in der Regel nicht informiert werden muss. Man sieht an dieser kurzen Ausführung schnell, dass es besser wäre, ein komplexeres Software-Paket zu haben, das diese Punkte miteinander verbindet und flexibel bei Neuerungen und transparent bei der Wartung ist. Neben der Warnung bei Netzwerkproblemen wie z.b. Ausfall von Servern, soll als weiteres wesentliches Ziel eine weitgehend automatisierte Problemlösung durchgeführt werden. Etwa 75% der derzeitigen Routinearbeit bei den Bereitschaftsdiensten der Systemadministration bei WetterOnline besteht daraus, stehengebliebene Server wieder neu zu starten. Sofern möglich, sollen diese Routineschritte bei einem entsprechenden Ausfall automatisiert erfolgen. Dadurch wird die Zeitspanne bis zur Problembehebung weiter verkürzt und der zuständige Mitarbeiter (vor allem nachts) nur in dringenden, nicht automatisiert lösbaren Notfällen informiert. Nebenbei spart die Firma hierdurch Nachtzuschläge für entsprechende Bereitschaftsdienste. Schließlich sollen die Instrumente des Systemmonitorings die Transparenz von Vorgängen im Netz erhöhen, indem beispielsweise durch Analyse von Systemmeldungen, Performancediagrammen und statistischen Auswertungen der gesammelten Daten Netzwerkprobleme offenkundig gemacht werden. Wünschenswert ist eine Oberfläche, die das Netz mit seinen Komponenten übersichtlich und umfassend darstellt und Probleme mit geeigneten Werkzeugen schnell aufdeckt. Die Ziele dieser Arbeit lassen sich so zusammenfassen: Schaffung eines zentralen Warnsystems bei Ausfall von Diensten / Servern (möglichst inklusive automatischer Problembehebung) oder kritischen Systemzuständen (z.b. hohe CPU-Last) Bereitstellung eines objektiven Hilfsmittels zur Unterstützung bei der Hardware- Bedarfs-Analyse sowie zur Erkennung / Analyse von Netzwerkproblemen und Erhöhung der Transparenz von Vorgängen im Netzwerk 1.2 Die verwendete Software Das im Rahmen dieser Arbeit durchgeführte Netzwerkmonitoring beinhaltet die wesentlichen Punkte der Systemüberwachung zum einen und der Aufzeichnung von Performancedaten zum anderen. Software zur Durchführung eines Netzwerkmonitorings gibt es in vielfältiger Ausführung, insbesondere auf Windows-Plattformen. Von der theoretischen Möglichkeit als Monitoring-Software ein fertiges Windows- Produkt zu wählen, wurde aus verschiedenen Gründen Abstand genommen, wie im Folgenden noch erläutert wird. Vielmehr wurde entschieden, freie UNIX-Software für den Bedarf zu implementieren und zu kongurieren. Bei der Recherche nach der richtigen Software stand im Vordergrund, dass die in Kapitel 1.1 denierten Ziele erreicht werden können und das Softwarepaket möglichst gut in das IT-System von WetterOnline integrierbar ist.

16 4 1 Einleitung Zum einen soll insbesondere der Serverstandort in Frankfurt überwacht werden, in dem nur UNIX-Server zum Einsatz kommen. Ausschlaggebend war hier, dass die UNIX-Server die Daten zur System-Performance selbst (lokal) aufzeichnen sollen, um unnötigen Netzwerkverkehr zu vermeiden. Das Aufzeichnen der Performancedaten stellt dabei ein dezentrales Monitoring dar, das auf jedem Server durchgeführt wird. Die Prüfung der Verfügbarkeit der Dienste (die Systemüberwachung) hingegen muss zentral auf einem Kontroll-Server durchgeführt werden, da ein ausgefallener Server das Problem in der Regel nicht mehr melden kann. Damit die UNIX-Server ihre Daten der System-Performance selbst aufzeichnen, musste die Aufzeichnung folglich mit einem UNIX-Tool erfolgen. Eine Wahl für ein Windows-Produkt, das parallel zur UNIX-gestützten Performanceanalyse, die zentrale Systemüberwachung übernimmt, hätte also eines besonderen Grundes bedurft. Zum anderen bietet die im Rahmen dieser Arbeit aufgezeigte Methode der Konguration freier Software-Tools wie Nagios oder RRDtool die maximale Freiheit, das Monitoring nach den Bedürfnissen der Firma WetterOnline anzupassen und höchste Flexibilität bei der Umsetzung oder anstehenden Änderungen. Die Administration bleibt komplett in eigener Hand, eine Abhängigkeit von proprietären Softwarelösungen oder Formaten wird vermieden. Die verwendeten Softwareprodukte stehen unter der General Public License (GPL) und sind somit kostenfrei, während vergleichbare Produkte auf Windows-Plattformen oftmals mit Lizenzund Anschaffungskosten verbunden sind. Schliesslich verrät eine Recherche im Internet, dass sich Nagios in den letzten Jahren als Monitoring-Tool etabliert hat und von großen Firmen eingesetzt wird. Hiervon konnte sich der Autor bei einer Nagios-Schulung (siehe [31]) überzeugen. 1.3 Aufbau dieser Arbeit Das Kapitel 2 wird die wesentlichen theoretischen Hintergründe der verwendeten Software und Protokolle beleuchten. Dabei handelt es sich selbstverständlich nicht um komplette, umfassende Darstellungen, die der Fachliteratur oder den jeweiligen Online-Referenzen zu entnehmen sind. Vielmehr soll dieses Kapitel den erfahrenen Leser in die Lage versetzen, die Ideen und Konzepte in dieser Arbeit ohne Lektüre der Fachliteratur nachvollziehen zu können. Das Simple Network Management Protocol ist das zentrale, verwendete Protokoll zur Informationsgewinnung in TCP/IP-Netzwerken und wird in Kapitel 2.1 kurz beschrieben. Die Darstellung der Performancedaten wird mit Hilfe der freien Software RRDtool erstellt, was in Kapitel skizziert ist. Die Software zur Überwachung von Servern und Diensten Nagios wird in Kapitel 2.3 beschrieben. Das im Rahmen dieser Arbeit implementierte Netzwerk-Monitoring beschreibt die

17 1.4 Vorbemerkung 5 Analyse des IT-Netzwerkes 4 bei WetterOnline. Die Struktur dieses zu überwachenden Netzwerks wird in Kapitel 3 erklärt. Die kurzen Theorie-Kapitel 2.2 und 2.3 stehen im unmittelbaren Zusammenhang mit den Kapiteln 4 und 5, in denen die Konguration und Implementierung im Praxisfall bei WetterOnline beschrieben und die wesentlichen Ergebnisse dargestellt sind. Wie im Vorwort erwähnt, stellt diese Arbeit die erste Stufe eines größer angelegten Projektes bei WetterOnline dar, wobei Monitoring im strengen Sinne kein Projekt ist (mit Projektabschluss), sondern ein zyklischer Prozess, der ständig beobachtet, gepflegt und weiter fortgeführt werden muss. Kapitel 6 fasst die wesentlichen Ergebnisse dieser Arbeit kurz zusammen. Im Kapitel 7 werden die Punkte skizziert, die im Anschluss an diese Arbeit fortzuführen, zu verbessern oder generell zu lösen sind. Ein Anhang listet die wichtigsten, im Rahmen dieser Arbeit verfassten (Bash-)Skripte auf. 1.4 Vorbemerkung Dieser Arbeit ist eine CD mit Online-Referenzen, Quellcodes und Kongurationsdateien beigefügt. Auf der CD bendet sich eine README-Datei, die den weiteren Aufbau beschreibt. Die meisten als Referenz angegebenen Links sind auch als PDF beigefügt, falls ein Link beim Lesen nicht mehr verfügbar sein sollte. Im Rahmen dieser Arbeit verwendete IP-Adressen, SNMP-Community-Strings oder Passwörter werden (insbesondere auch auf der CD) verfälscht, da es sich hierbei um sensible Daten handelt und diese schriftliche Ausarbeitung als Diplomarbeit das Firmenumfeld verlässt. Dem Autor ist bewusst, dass es im Falle der IP-Adressen dennoch sehr einfach ist, diese zu ermitteln. Die Serverlandschaft von WetterOnline ist in ständiger Bewegung. Durch einen Umzug der Firma zum wird sich das hier beschriebene Intranet stark ändern. Diese Arbeit nimmt nur auf das Intranet bis Juni 2007 Bezug. Auch sind im Rahmen der kommenden Ausführungen die Angaben zu den Serverbeständen nicht immer gleich, da im Laufe der Niederschrift weitere Server in das Netz integriert wurden. So ist beispielsweise an einzelnen Stellen von 66, an anderen von 68 Servern die Rede. Die Gesamtzahl der Server ist für diese Ausarbeitung unerheblich, so dass diese Ungenauigkeiten nicht wesentlich sind. Die wichtigsten, im Rahmen dieser schriftlichen Ausarbeitung verwendeten Begriffe stellt ein Glossar in einer Übersicht zusammen. 4 Zum IT-Netzwerk gehören auch Arbeitsplatzrechner, Drucker und andere Komponenten eines Bürostandorts. Im Rahmen dieser Arbeit wird nur das Server-Netzwerk betrachtet. Dennoch wird der Begriff IT-Netzwerk verwendet.

18

19 2 Grundlagen Die wesentlichen, im Rahmen der vorliegenden Arbeit verwendeten Protokolle und Softwarepakete sind das Simple Network Management Protocol SNMP, zum Auslesen (und ggf. auch Manipulieren) der Werten von Netzwerkkomponenten, wie Router, Switches oder UNIX-Server, das Programm rrdtool zum Visualisieren von Zeitreihen, welches im Rahmen dieser Arbeit zum Darstellen von Performancedaten wie der CPU-Last verwendet wird und die Systemüberwachungs-Software Nagios, die eine automatisierte Überwachung von Diensten, Servern und Netzwerken ermöglicht. Ziel dieses Kapitels ist es, die wesentliche Funktionsweise dieser Instrumente so darzustellen, dass ein Verständnis der in Kapitel 4 und 5 gezeigten Implementierung und Konguration ohne Sekundärliteratur möglich ist. Eine komplette Darstellung würde den Rahmen dieser Arbeit bei weitem sprengen und kann sowohl online als auch in entsprechenden Fachbüchern nachgeschlagen werden (siehe Literaturangaben). 2.1 Das Simple Network Management Protocol SNMP Das Simple Network Management Protocol SNMP wurde deniert, um Netzwerkgeräte zu überwachen und zu verwalten. Viele im Netzwerk eingesetzte Geräte wie Switches oder Router verfügen über eine SNMP-Schnittstelle. UNIX-Server (und auch Windows-Server) können nach Installation von entsprechenden Softwarepaketen ebenfalls per SNMP kommunizieren. Im Falle der FreeBSD-Server von WetterOnline ist dazu der Port 1 net-snmp4 zu installieren. Selbstverständlich kann dieses Kapitel nur eine kurze Einführung zu SNMP geben. Ausführliche Informationen können beispielsweise aus [10] oder einer Vielzahl von RFCs (Request for Comments) entnommen werden. Einen guten Einstieg zum Thema SNMP ermöglicht z.b. [19]. Hier ndet man insbesondere eine Auflistung der für SNMP relevanten RFCs. 1 Im Sprachgebrauch von FreeBSD-Softwareinstallationen bezeichnen so genannte Ports eine Verzeichnisstruktur, die es ermöglicht, Softwarequellen herunterzuladen, zu kompilieren und zu übersetzen. Im Gegensatz zu vorkompilierten Softwarepaketen dauert dieser Vorgang länger, ermöglicht aber eine für die jeweilige Hardwareplattform optimierte Softwareinstallation.

20 8 2 Grundlagen Sicherheitsaspekte bei SNMP Wer SNMP einsetzt, kann damit je nach Konguration Werte von Netzwerkgeräten auslesen aber auch setzen. So kann man beispielsweise den Datentransfer eines Cisco-Switches auslesen. Bei WetterOnline werden so genannte Power Distribution Units der Firma APC eingesetzt (siehe [9]). Diese Units versorgen die einzelnen Server und Switches im Netzwerk mit Strom. Per SNMP kann ausgelesen werden, welcher Port an oder aus ist und insbesondere können Komponenten gezielt ausund wieder angestellt werden, indem man den APC-Port 2, mit dem der Server verbunden ist, aus- und wieder einschaltet (siehe Abbildung 5.2). Dies kommt einem Hard-Reset gleich, den man anwenden muss, wenn ein Server stehen gelieben ist und nur noch auf diese Weise neu gestartet werden kann. Dieses Einsatzbeispiel macht bereits deutlich, dass bei der Verwendung von SNMP Sicherheitsaspekte eine wesentliche Rolle spielen. Weder möchte man, dass Unbefugte Daten von Netzkomponenten auslesen können, noch dass Serverkongurationen durch Unbefugte verändert oder Server per APC gar abgeschaltet werden können. Aus diesem Grund werden in den verschiedenen Versionen von SNMP so genannte Communities benutzt. Unterschieden wird 3 zwischen der öffentlichen Community public, so genannten Read Only Communities und Read-Write Communities. Der Name der Community stellt eine Art Passwortschutz dar, da man bei SNMP-Abfragen diesen Namen verwenden muss. Wer Kongurationen verändern will, muss beispielsweise den Namen der Read-Write Community kennen. Geräte wie Switches oder Power Distribution Units haben häug bei Auslieferung fest vorgegebene, bekannte Community-Bezeichner, die man vor Inbetriebnahme im Netzwerk dringend ändern sollte. SNMP ist bislang in den Versionen 1, 2 und 3 erschienen. Bei den Versionen 1 und 2 liefern die so genannten Community Strings aber nicht ausreichend Schutz, da diese Strings bei SNMP-Zugriffen im Klartext übertragen werden. Im Rahmen der Systemadministration von WetterOnline wird mit Ausnahme des oben beschriebenen Zugriffs auf APC-Geräte nur lesend auf Netzkomponenten zugegriffen. Zudem wird der Zugriff nur Servern und Netzkomponenten aus dem IP-Bereich von WetterOnline erlaubt. Um einen FreeBSD-Server beispielsweise vor SNMP-Zugriffen von nicht autorisierten IP-Bereichen zu schützen, kann man TCP-Wrapper einsetzen (siehe PDF der beigefügten CD oder [29]). Hierzu ist unter FreeBSD die Systemdatei /etc/hosts.allow folgendermaßen für SNMP zu kongurieren:... snmpd : / : allow snmpd : / : allow snmpd : ALL : deny... 2 Hiermit ist eine Art Steckdose gemeint, mit der die Server über Netzstecker mit der APC verbunden werden. Diese Steckdosen (Ports) können dann per SNMP-Anweisungen gezielt an- und ausgeschaltet werden. 3 Bei SNMP in den Versionen 1 und 2c

21 2.1 Das Simple Network Management Protocol SNMP 9 Diese Konguration gibt an, dass nur Netzwerkgeräte aus den beiden IP-Subnetzen in Frankfurt (siehe Kapitel 3) per SNMP Anfragen stellen dürfen. Die APCs sind ähnlich konguriert Funktionsweise von SNMP Agenten, Manager und MIB Geräte wie Server, Switches oder Router, die per SNMP angesprochen werden, um Statusinformationen zu ermitteln oder auch zur Fernsteuerung (wie im Fall der APC) nennt man Agenten. Bei der Kommunikation via SNMP verhalten sich diese Geräte passiv, indem sie Anfragen beantworten oder Aufgaben ausführen. Da Anfragen von mindestens einer Stelle aus erfolgen müssen, gibt es auch mindestens einen aktiven Kommunikationspartner, der die Anfragen stellt. Diese aktiven Kommunikationspartner nennt man Manager. Im Rahmen des Netzwerkmonitorings werden Performancedaten von den Servern selbst aufgezeichnet. Die Server stellen damit Anfragen an sich selbst und sind somit gleichzeitig Agent und Manager (siehe Kapitel 4). Bei der Systemüberwachung mit Nagios (siehe Kapitel 5) ist dies anders. Hier übernimmt der Nagios-Server, der Anfragen stellt, die Rolle des Managers, der abgefragte Server ist der Agent. Zur Standardisierung des Protokolls SNMP wurde eine wohldenierte Informationsstruktur, die so genannte Management Information Base (MIB) deniert, die es ermöglicht, dass sich beliebige Manager mit beliebigen Agenten verständigen können. Bei der Organisation der MIB handelt es sich um eine Baumstruktur, deren einzelne Knoten aus Zahlen bestehen. Diese Zahlen sind zur besseren Lesbarkeit mit Namen assoziiert, die die Bedeutung der einzelnen Knoten andeuten. Die Wurzel der MIB besteht aus einem Knoten 1 und ist mit dem Namen ISO assoziiert für International Organization for Standardization. Die darunterliegende Ebene bietet Raum für verschiedene Organisationen. Auf eine tiefgreifende Diskussion der Organisation der Baumstruktur soll an dieser Stelle verzichtet und auf die Literatur verwiesen werden. Ein konkretes Beispiel sei an dieser Stelle durch Abbildung 2.1 gezeigt. SNMP kennt zwei Anweisungen zum Auslesen von Daten der Netzwerkkomponenten: snmpget und snmpwalk. Während man per snmpget konkrete Werte eines Endknotens 5 abfragen kann, beispielsweise den Counter eines Netzwerkinterfaces, ermöglicht snmpwalk, wie der Name schon andeutet, ein Durchlaufen von Knoten und davon abhängigen Knoten unterer Ebenen, wenn der angegebene Knoten kein Endknoten ist. Um die in Abbildung 2.1 gezeigten Informationen über die Netzwerkschnittstellen eines Servers zu erhalten, ist in der Kommandozeile eines autorisierten Servers (also eines Servers, der per /etc/hosts.allow SNMP-Abfragen 4 Ein Angreifer könnte durch IP-Spoong (siehe CD) seine Identität verbergen und dennoch Zugriff auf die Server bekommen. Allerdings muss er die erforderlichen IP-Adressen (die zur Sicherheit verfälscht wurden) in Erfahrung bringen und kann darüberhinaus nicht ohne weiteres Antwortpakete mitlesen (es sei denn, er bedient sich auch des ARP-Spoongs (siehe CD)), da diese an den richtigen Kommunikationspartner gesendet werden. 5 Endknoten bei Baumstrukturen werden auch Blätter genannt.