1 2 3 Previous Next

THWACK EMEA

44 Posts authored by: Sascha Giese Employee

Did you know? In the U.K., nearly three-quarters of NHS trusts and Clinical Commissioning Groups reported experiencing up to 50 attempted cyberattacks in 2018.

It’s a compelling stat, revealed by our own Freedom of Information survey from earlier this year.

 

The finding supports our view that achieving strong cybersecurity in the healthcare industry has become mission-critical. Thankfully, the annual Healthcare Excellence Through Technology (HETT) event, happening at the ExCel in London next month, is the ideal platform to champion our cause. SolarWinds, together with direct reseller Kenson, will be at stand G32, talking to delegates about why it’s important to have strong cybersecurity measures in place, and what products can support this strategy.

 

The portfolio of products being showcased has been developed by SolarWinds and supplied by Kenson. Here’s a quick rundown of what you’ll be able to see (at stand G32):

 

The results of our FOI survey I mentioned at the beginning highlight the importance of finding simple-to-use, affordable, and scalable security solutions capable of working across varied IT environments like those in the NHS. These are vital services and deserve the most comprehensive protection.

Kenson Sales Manager Glen Kershaw couldn’t have put it better: “Being at HETT with SolarWinds means we can reach further into the healthcare sector, working together to help organisations solve their security challenges and put them in a stronger position to defend themselves, and ultimately the people who rely on these critical services.”

 

We’re excited about this security mission! If you’d like to join, the HETT event takes place October 1 – 2 at the ExCel in London. Did I mention we’ll be at stand G32?

Hallo Zusammen!

 

Nach 2018 sind wir direkt zum zweiten Mal auf der IT-SA vertreten und wie auch im letzten Jahr auf mehreren Ständen gleichzeitig.

Unser Hauptstandort ist in Halle 9 auf Stand 127 aber auch einige unserer Partner sind vertreten:

 

Ramge Software Distribution GmbH & Co KG       10-410
TAP.DE Solutions GmbH                                                11-519
UBM GmbH                                                                        9-230
ALSO Deutschland GmbH                                              9-516

 

Was gibt es zu sehen?

 

Selbstverständlich unser komplettes Security Portfolio, aber darüber hinaus alles zu den Themen Überwachung, Verwaltung, und Absicherung der IT.
Nach dem Motto „Ein Problem kommt selten allein“ zeigen wir die neuesten Updates aus dem Bereich Netzwerk- und Server-Management wie z.B. Network Insight für Palo Alto, AppInsight für Active Directory ®,  aus dem Bereich Security allen voran unseren Access Rights Manager sowie Security Event Manager, bis zu unserem Backup-Werkzeug sowie der SolarWinds RMM Plattform für MSPs.


Mit ein bisschen Glück wird es auf der IT-SA auch die eine oder andere Überraschung geben.
Schauen wir mal!
Oh Moment, wir sind ja im weiteren Bayern also „Schaung mar amoi, na seng ma’s scho.“

 

Aber, bei Nürnberg fällt mir ein, letztes Jahr hatte ich das hier zum ersten Mal gegessen und freue mich schon auf eine Wiederholung:

 

 

Fränkischer Sauerbraten. Ein Genuss!

 

Wir sehen uns am 08.10. auf der Messe, bis dahin macht’s gut!

Auf Reddit unter r/sysadmin habe ich diese Tage einen Beitrag entdeckt, in dem jemand frei übersetzt das folgende beklagt:

 

„Als genereller System Administrator muss man über eine Menge Dinge bescheid wissen. Unter anderem Windows, Linux, Mac, AD, Virtualisierung, Routing und Switching, Exchange, Vulnerability Management, Antivirus, Scripts, Datenbanken, und Hardware jeglicher Art. […] Obwohl man Generalist/Universalist ist, wird Expertenwissen erwartet.“

 

Hand aufs Herz, wer erkennt sich da wieder?

Gerade in KMUs ist es leider normal, dass ein zu kleines IT Team zu viele Aufgaben übernehmen muss, und um irgendwie über die Runden zu kommen, ist ein breit gestaffeltes Wissen sinnvoller als bei Randthemen in die Tiefe zu tauchen.

Im Bedarfsfalle kann man sich immer noch externes Wissen dazu holen, wie z.B. Herstellersupport, oder outsourced-DBA.

 

Ich möchte keine Diskussion darüber starten, ob diese Art und Weise die beste ist, aber wenn man dem folgt gibt es zwei Probleme – mindestens.
Zum einen stellt man sich selbst die Frage „Kann ich das noch, oder brauche ich dafür jemand anders?“ und zum anderen bekommt man die Frage gestellt „Warum konntest du das nicht selbst?“

Und selbst wenn man es selbst gelöst hat, sieht man sich vielleicht noch mit „Warum hat das so lange gedauert?“ konfrontiert.

Halt! Stopp! Keine Panik! Hier kommen wir ins Spiel.

 

Werkzeuge für SysAdmins

 

Troubleshooting kann nicht beginnen, bevor das Problem grob lokalisiert wurde. Wenn man auf die eingangs erwähnten Schichten schaut, kann das allein schon einen signifikanten Zeitaufwand darstellen.

Wie wäre es mit so etwas:

 

 

Für mich und manche Leser ist das ein vertrautes Werkzeug, andere sehen das sicher zum ersten Mal. Es gehört zu unserer Orion® Plattform und heißt AppStack.

 

Man sieht automatisch die Abhängigkeit zweier Anwendungen, das Betriebssystem, die Virtualisierungsschicht bis hinunter in den Bereich Storage, immer aktuell.

Ein simples mouse-over zeigt mir den Status der beteiligten Elemente an und in meinem Fall bringt mich die zweite rote Kugel schon ziemlich nahe zum Ziel:

 

 

Natürlich ist es nicht immer so einfach, aber ihr könnt euch vorstellen, wie viel Arbeit einem ein solches Werkzeug abnehmen kann, und wenn man quasi mit der Nase in die Richtung des eigentlichen Problems geschubst wird, hat man in vielen Fällen schon gewonnen.

Bei der Ansicht des Fensters sehe ich aber noch etwas anderes und möchte es mir im Detail ansehen. Die DB berichtet „irgendwas ist rot“:

 

 

Aber was genau bedeutet das? Hier bekommen wir mehr Informationen:

 

 

Ich kann mit meinen Werkzeugen noch tiefer gehen und tatsächlich das Query sehen, dass hier blockiert, auch von wo und von wem es ausgeführt wurde, sowie einige unterstützende Informationen.
Ich weiss aber jetzt schon, dass ich als Generalist entweder den Hersteller der jeweiligen Anwendung oder aber zumindest einen Entwickler brauchen werde.

Definitiv ein Fall der Kategorie Spezialwissen, aber ich kann es dokumentieren, und die mir durch Database Performance Analzyer (DPA)  zur Verfügung stehenden Informationen helfen dem Experten, das Problem schnell zu beseitigen.

 

Ein weiteres Feature der Orion Plattform, in diesem Fall geliefert durch Server & Application Monitor (SAM), ist das automatische Erkennen der Abhängigkeiten von Anwendungen und auch hier hilft ein Blick, um Zusammenhänge zu erkennen.

Auf einem meiner Webserver, dem Namen nach in der Cloud, können meine Benutzer nicht zuverlässig oder nur langsam Einloggen, um mit der Webanwendung zu arbeiten.

Wie man sieht, liegt die Ursache nicht am Webserver, sondern an der Verbindung zum Domain-Controller.

 

 

Ein Mausklick auf die Verbindung zeigt mir Details:

 

 

Ich muss kein Netzwerk-Spezialist sein, um sowohl den Webserver als auch den DC aus der Fehlerkette ausschließen zu können.

Für diejenigen die wissen möchten, wie dieses Feature funktioniert:

Der Orion Agent sitzt auf den Kisten und überprüft, welche internen Prozesse an welchen Ports lauschen, und von wo Daten herkommen bzw. hingehen.

Wenn die andere Maschine ebenfalls überwacht wird, geschieht dort das gleiche und Orion zeigt die Verbindung der Maschinen sowie der Anwendungen an.


Da beide Elemente wahrscheinlich kritisch für das Unternehmen sind, empfiehlt es sich die Verbindung als NetPath anzulegen, leider gibt meine Laborumgebung dieses Beispiel nicht her, also muss ich improvisieren.

Wer mit NetPath noch nicht vertraut ist: NetPath visualisiert die Verbindung von Anwendungen über verschiedene Standorte bis in die Cloud.

Um das Konzept zu verstehen, denkt kurz an Traceroute – aber dann stoppt. Traceroute nutzt entweder ICMP oder UDP was zwar nett, aber irrelevant für die meisten Anwendungen ist, die selbstverständlich über TCP kommunizieren.
Daher bietet NetPath eine TCP basierende „hop-by-hop“ Analyse.

 

Ich öffne einen hybriden Pfad, der meinem obigen Beispiel recht nahekommt:

 

 

Der Pfad selbst sieht so aus:

 

 

Im Produktivbetrieb ist der Pfad lebendig – man kann auf alles Klicken für weitere Informationen, eine Zeitachse benutzen, um Änderungen zu sehen, aber das Problem ist hier schon offensichtlich.
Links ist mein Netz, alles ist Grün, irgendwo in der Mitte lande ich bei meinem ISP und auch dort ist alles okay.
Rechts jedoch, beim Cloud-Anbieter, gibt es Paketverlust zu drei von vier Zielcontainern, die sich dort in der Rotation befinden.

 

Dies ist ein weiterer Fall von „jetzt muss der Hersteller ran“ und wir helfen sogar Kontaktdaten nach einem weiteren Mausklick:

 

 

Ein weitertes Beispiel gebe ich euch noch mit auf den Weg. Wieder muss ich etwas improvisieren.

Nehmen wir an, AppStack zeigt uns Probleme mit einem IIS an.

 

 

Und der darunterliegende Server ist nicht glücklich:

  

 

Schaut nach rechts oben und klickt auf „Perfstack“:

 

 

PerfStack ist ein Werkzeug, um beliebige Daten in Relation zu setzen. Man sieht gerade nur die CPU, die von der vorherigen Seite übernommen wurde.
Auf der rechten Seite ist ein Doppelwinkel:

 

 

Ein Klick öffnet den Knoten:

 

 

Und ein Klick darauf zeigt die Informationen an, die wir von dem Server sammeln:

 

 

Mittels Dragp&Drop kann man nun weitere Informationsschichten in die Grafiken ziehen.

 

 

Das Hinzufügen von Events und Konfigurationsänderungen zeigt mir auf der Zeitachse einen Zusammenhang mit dem Anstieg in der CPU Auslastung an:

 

 

Ich klicke auf die Spalte mit der Konfiguration:

 

 

Interessant. Ich brauche mehr Details:

 

 

Auch als nicht-IIS-Admin sehe ich, dass eine weitere Webseite hinzugefügt worden ist.
Tatsächlich sehe ich rechts oben sogar von wem.

 

Ich glaube, ich rufe Rose an, um den Sinn eines Change-Protokolls zu diskutieren.

 

 

Bis dahin, macht’s gut, und stresst euch nicht zu viel.

Hallo Zusammen,

 

Bei den letzten Updates der Netzwerk-Management Module unserer Orion® Plattform haben wir erweiterten Support für Palo Alto Firewalls implementiert, ein Feature, welches seit 2017 auf euren Wunschlisten stand.


Ich muss kurz ausholen: Das Feature selbst heißt „Network Insight für Palo Alto“, und es gibt bereits einige Network Insight sowie App-Insights innerhalb von Orion.
Wir nennen es „Insight,“ wenn wir bei komplexen Themen mehr Unterstützung bringen, als es mit gewöhnlichen Methoden möglich ist.

 

Mit den Insights haben wir es uns zur Aufgabe gemacht, komplizierte Technologien, die im Detail oft Spezialwissen erfordern, für den Allrounder (IT Generalist) zugänglich zu machen.

 

Im Bereich von Network Insight gibt es bereits Support für F5 Loadbalancer, Cisco Nexus sowie ASA.
Für den Support der ASAs haben wir von euch viel Lob erhalten, also lag der Schritt nahe, sich mit einer weiteren Firewall zu befassen.

Und wieder kamt ihr ins Spiel – kein Anbieter wurde von euch so oft vorgeschlagen wie PA.

 

 

Verwalten von Security Policies

 

Die Effektivität einer Firewall wird durch die Policies bzw. Regeln definiert. Idealerweise sichern die Regeln den Netzwerkverkehr ab ohne negativen Einfluss auf die Geschäftsprozesse.
Wenn es jedoch zu Flüchtigkeitsfehlern oder grober Fehlkonfiguration kommt, entstehen Probleme auf verschiedenen Ebenen. Für den Administrator reicht es an dieser Stelle nicht mehr aus, lediglich die Performance der Firewall zu beobachten.
Unglücklicherweise ist das Einpflegen von Regeln keine einmalige Aktion, sondern eine dynamische Angelegenheit.
Die Infrastruktur ändert sich ebenso wie Geschäftsprozesse und Anwendungen, und Regeln müssen ständig angepasst werden.

 

Network Configuration Manager (NCM) stellt die folgenden Features zur Verfügung:

  • Komplette Übersicht über alle Regeln
  • Details zu einzelnen Regeln sowie deren Änderungen
  • Die Benutzung von Regeln über mehrere PA Knoten
  • Das Vergleichen von Ausschnitten der Konfiguration
  • Interface Konfigurationen
  • Information zu Anwendungen, Adressen und Diensten innerhalb von Regeln

 

Nach dem ersten Einlesen der Konfiguration wird NCM automatisch die Regeln sowie die dazugehörigen Elemente anzeigen.
Die im Bild angezeigte Seite erlaubt das schnelle Auffinden von Regeln durch Such- und Filterfunktionen.

 

 

Ein Klick auf eine Regel zeigt Details der Konfiguration inklusive der Objekte und Objektgruppen, die von der Regel betroffen sind.

 

 

Manche Regeln werden über mehrere Firewalls hinweg eingesetzt. Wir zeigen dies automatisch an, um Situationen vorzubeugen, bei denen ein Administrator eine Änderung versehentlich auf allen Geräten gleichzeitig replizieren lässt.
Ebenso lässt sich sofort feststellen, ob eine neue Regel korrekt angewandt worden ist.

 

 

Was bei der Überwachung von jeglichen Konfigurationen wichtig ist, trifft um so mehr zu bei Firewalls; ein Audit über Veränderungen. Compliance erfordert ein Log, und wir zeigen direkt an wann und was verändert wurde.

 

 

 

VPN Tunnel Überwachung

 

Als wir mit der Planung des Network Insights begonnen hatten, haben wir in UX Diskussionen gefragt, wie ihr zur Zeit VPN Tunnel überwacht.
Die häufigste Antwort war „Ich pinge die Gegenstelle.“
Leider ist das nicht wirklich ausreichend. In vielen Konfigurationen hat das andere Ende des Tunnels keine direkte IP Adresse, oder es gibt verschiedene je nach Datenverkehr, also wird meist irgendwas am anderen Ende angepingt.

Das wiederum kann mit der Herausforderung kommen, dass die Gegenstelle aus Sicherheitsgründen nicht auf Ping antwortet.

Oder, noch schlimmer, wenn Pakete plötzlich nicht mehr zurück geliefert werden – das kann oft ein Problem mit der antwortenden Maschine anstatt dem Tunnel sein.
Das ist eine ganze Menge Arbeit, erfordert manuelles Nachforschen, ist nicht präzise und, vor allem, bringt nicht viel. Es zeigt lediglich den Status (up/down) an, aber keinerlei Grund, warum etwas gerade nicht aktiv ist.
Wenn der Tunnel down ist, wo muss sich ansetzen?
Wann hat es zuletzt funktioniert?
Wenn der Tunnel läuft, wieviel Datenverkehr wird gerade generiert?

 

Wenn man bedenkt, dass VPN Tunnel mit WAN Verbindungen gleichzusetzen sind – es werden Standorte verknüpft, oder aber Clouds – wird klar, dass die Tunnel als kritisch anzusehen sind, und Probleme so schnell wie möglich beseitigt werden müssen.

Nachdem Network Insight für Palo Alto aktiviert worden ist, wird Network Performance Monitor (NPM) automatisch die VPN Tunnel erkennen und anzeigen.

Das Site-to-site Element zeigt Details zu jedem Tunnel an:

 

 

Ein paar Dinge sollte man sich genauer anschauen.
Alle Tunnel zeigen Quell- und Ziel-IP. Wenn die Ziel IP bzw. das Gerät schon überwacht wird, vielleicht eine andere PA oder ASA, wird direkt auf den Knoten verlinkt, wie bei der 192.168.100.10 auf dem Screenshot.

Ebenso wird der Name des Tunnels angezeigt, sofern einer vorhanden ist.

Es werden unterschiedliche Informationen für Tunnel je nach Status angezeigt. Wenn ein Tunnel down ist, sieht man Zeit/Datum der Statusänderung. In den meisten Fällen sieht man auch, in welcher Phase der Tunnel gescheitert ist.

Das ist typischerweise die erste Information, die man für das Troubleshooting benötigt.

 

Bei aktiven Tunneln wird Zeit/Datum des Verbindungsaufbaus angezeigt und welche Verschlüsslung in Benutzung ist, inklusive des Hashs.

Die letzten zwei Spalten sind von besonderem Interesse – sie zeigen die Bandbreite an.
Bandbreite kann, durch die Verschlüsslung, ein Problem darstellen. Mit einem Tool zur Datenverkehrsanalyse kann die Bandbreite anhand der beiden kommunizierenden IP Adressen nach der Verschlüsslung identifiziert werden. Das ist ein bisschen Arbeit und zeigt nur die Gesamtanzahl übertragener Pakete bzw. Bytes an. Man hat keine Einsicht in die Anwendungen oder die tatsächlichen Endpunkte.

 

Wenn man sich Flows vor dem Verschlüsseln anschaut, sieht man zwar die direkten Endpunkte, aber das Filtern nach Anwendungen wird schwierig, und letzten Endes weiss man nicht, was genau es durch den Tunnel geschafft hat. Der Overhead durch die Einkapselung wird ignoriert.
Und das Ganze vor dem Hintergrund, dass VPN Tunnel über die WAN Verbindung laufen, was häufig ein sehr hoher Kostenfaktor ist.

 

Network Insight für Palo Alto zeigt die tatsächliche Bandbreite jedes einzelnen Tunnels an. Die Datensätze sind normalisiert und erlauben somit das Erstellen von Berichten für die Kapazität/Auslastung, sowie die Alarmierung für den Fall, dass sich etwas verabschiedet.
Aber wir wären nicht SolarWinds, wenn wir die Daten nicht auch im PerfStack Dashboard der Plattform bereit stellen würden:

 

 

 

GlobalProtect VPN Überwachung

 

Ich stelle eine Behauptung auf:
Wenn jemand ein Problem mit einer Endpunkt-VPN Verbindung hat, ist es meistens jemand aus der Führungsetage.

Würdet ihr zustimmen?

 

Das beim Troubleshooting von Endpunkt-VPNs ist, dass man meisten nicht wirklich viele Daten hat, bis man den Laptop tatsächlich in den Händen hält, und eine Antwort wie „Keine Ahnung was da los ist“ lässt Zweifel an der Kompetenz aufkommen.
Network Insight für Palo Alto überwacht GlobalProtect und erstellt einen Eintrag für jede einzelne Verbindung:

 

 

Dadurch kann man auf einige Probleme schließen. Wenn z.B. der gleiche User permanent Verbindungsprobleme hat, liegen lokale Probleme vor. Vielleicht einfach nur ein falsches Passwort.
Wenn jedoch keiner mehr Verbinden kann, liegt ein Problem mit der Firewall vor oder der Verbindung zum System für die Authentifizierung.

 

 

Datenverkehr nach Regel

 

Sogar Netflow Traffic Analyzer (NTA) trägt zum Network Insight bei. Wir haben Teile von NTA mit NCM integriert, und wenn beide Module vorhanden sind, kann man den Flow anhand einzelnen Policies einsehen.

Das beantwortet viele Fragen, wie z.B. „Wer oder was mag von einer Regeländerung beeinflusst werden?“ aber vereinfacht natürlich auch retrospektives Troubleshooting.

Es gibt verschiedene Wege, um die Daten anzusehen, hier starten wir auf der Detailseite des Knotens und klicken links auf Policies:

 

 

Dort wählen wir eine Regel von der Übersicht aus:

 

 

Und schließlich öffnen sich die Policy-Details:

 

 

Auf der linken Seite sieht man ein paar Daten zur Regel sowie die exakte Konfiguration.
Die Übersicht auf der rechten Seite ist nicht wie üblich nach Knoten oder Interface gefiltert, sondern tatsächlich nach der Policy, die den Datenfluss regelt.
Die angezeigten Endpunkte befinden sich in einer der konfigurierten Firewall-Zonen und die die Konversationen selbst definieren sich über die Application-IDs die in den Regeln gefunden werden.

Das sind wertvolle Informationen für jeden, der Regeln plant oder ändert, da hier grafisch aufbereitet wird, welchen Einfluss eine Änderung auf den Produktiv-Betrieb haben kann.

Für diese Ansicht werden sowohl NCM als auch NTA benötigt und NTA hat NPM als Voraussetzung.

 

 

Da kommt noch was – User Device Tracker

 

In den meisten Fällen benötigt User Device Tracker (UDT) lediglich SNMP Zugangsdaten, um Informationen über Ports und verbundene Endpunkte zu sammeln.

Bei manchen Geräten jedoch werden diese Informationen nicht oder nur limitiert über SNMP bereitgestellt, z.B. Cisco Nexus 5K, 7K und 9K, und Palo Alto! Hier wird die CLI benutzt.

Der CLI Zugriff kann entweder per Gerät oder im Bulk eingerichtet werden.

 

 

Nachdem die Auswahl der Geräte getroffen wurde, werden die Eigenschaften editiert:

 

 

Etwas weiter unten befinden sich die CLI Einstellungen:

 

Es ist wichtig, L3 Polling zu aktivieren:

 

 

Danach wird UDT die Endpunkte anzeigen, hier ein Bild von einem NX-7K:

 

Viel Spass mit dem neuen Network Insight!

Hallo Zusammen,

 

Um mal ein paar Buzzwords in den Raum zu werfen: AI, ML, Container, Automation und sogar Quantencomputer…ihr habt sicherlich das eine oder andere schon gehört. Des Öfteren.

Vielleicht sogar schon vom oberen Management zusammen mit der Frage „Warum setzen wir das noch nicht ein? Es klingt so großartig.“

 

Neue Technologien erfordern auch neues Wissen, und dabei möchten wir euch helfen.
Ein oder zweimal im Jahr starten wir eine Umfrage nach aktuellen Themen die euch bewegen, damit wir unsere Trainings daran anpassen können, wie z.B. unsere Lab-Episoden oder das THWACKcamp.

 

Jetzt ist euer Input gefragt!

  • Bis zum 09.08. kann die Umfrage hier ausgefüllt werden
  • THWACK® Benutzername mit angeben
  • Bis zum 16.08. werden euch 500 Punkte gutgeschrieben

 

Vielen Dank!

Hi there!

 

Some of you already know we invite our European Channel Partners to an event here in Ireland once a year.
Here are a few pictures from last February:

 

 

The next Partner Summit happens in September, but for the first time, we’ll be outside of Ireland. We’re coming to Berlin instead!

Like in Cork, we’re inviting all partners, and have two tracks – one is technical, the second, commercial.

For the technicians, the event will last five days, as we’re running a full SolarWinds Certified Professional® (SCP) bootcamp focused on Access Rights Manager (ARM) and Security Event Manager (SEM), including an option to sit an exam on Friday.

For the first time, this is an opportunity to earn the latest SCP certification, ARM.

The commercial track runs all day Tuesday and half of Wednesday, and we’ll be discussing our partner strategy and showing what’s new and what we’re planning for the next couple of months.

There will also be entertainment and proper food!

While we’re still working on the details, you can check the up-to-date agenda here.

WHEN                   September 2 – 6, 2019
WHERE                 Berlin, Abion Spreebogen Hotel

 

See you there!

Habt ihr ein paar Minuten Zeit?

 

Vogel IT-Medien führt gerade wieder die jährlichen „Reader’s Choice“ Kampagnen durch und SolarWinds ist gleich zweimal nominiert.

 

Einmal nominiert im Bereich Netzwerk-Überwachung ist unser Network Performance Monitor (NPM), und die Auszeichnung wird über IP-Insider vergeben.
Zur Umfrage geht es hier.

 

Bei der zweiten Auszeichnung ist Security Event Manager (SEM, vorher LEM) in der Kategorie SIEM beim Security-Insider nominiert und die Umfrage findet sich hier.

 

Aber!

Dort findet sich auch die Kategorie Access Management, bei der unser Access Rights Manager (ARM) nicht nominiert worden ist. Hier kommt ihr jetzt ins Spiel.
Bei der entsprechenden Position gibt es die Option ein ungenanntes Produkt vorzuschlagen.
Wenn ihr der Meinung seid, dass ARM dort auch unter die Besten gehört, tragt bitte „SolarWinds“ ein.

 

Die Umfragen laufen bis zum 31.August und ein Repräsentant der Firma kann die Preise in Augsburg im Oktober in Empfang nehmen.

 

Ich war noch nie in Augsburg. *zaunpfahl*

 

Leute, ihr müsst mehr Patchen.

 

Im April hatte ich die Gelegenheit auf vier verschiedenen Events mit IT Profis zu reden.
In Deutschland und UK, mit dem privaten sowie öffentlichen Sektor, mit Militär und Regierungen.
Und überall das gleiche Problem: Patching.

 

Das kann doch nicht so schwer sein! Was habe ich nicht alles gehört. Es fängt an mit:

 

 

„Ehrlich gesagt weiss ich gar nicht, welche Software in meinem Unternehmen im Umlauf ist.“


Die Aussage tut so weh.
Unglücklicherweise ist das tatsächlich ein Problem und nicht immer simpel zu lösen.


Vor ein paar Jahren war ich bei einem Hersteller von Computergames beschäftigt, und die Umgebung war damals noch „locked down.“
Hat Vorteile.
Die Endbenutzer sind keine lokalen Admins, also kein Wildwuchs bei der installierten Software.
Nach dem Erstellen einer Baseline weiss die IT genau, was wo bei wem installiert ist. Man braucht nur wenige Pakete unterstützen, und man braucht nur wenig Glaskugel, um das Verhalten der Geschäftssoftware bei einem neuen Patch vorab einzuschätzen.

 

Um meine eigenen Erfahrungen weiter zu nutzen; ich war auch ein paar Jahre bei einem anderen Unternehmen als Manager im technischen Support tätig.
Dort hatte ich zwar ausreichende Rechte um Software zu installieren, mein Team jedoch nicht. Wie nennen wir das…selektives Misstrauen?

 

Bei meinem aktuellen Arbeitgeber gibt es dagegen das Prinzip „Grundvertrauen“ nach Schulung der Mitarbeiter.

Die Vorteile dieses Systems liegen ebenfalls auf der Hand: Die Produktivität wird nicht gehemmt.

 

Die Diskussion, welche Regelung nun die Beste ist, überlasse ich anderen.

Klar ist jedoch, dass der Bedarf eines aktiven Software-Inventars bei der dritten Option absolut unabdingbar ist. Eine Baseline reicht hier nicht aus auf Grund der Dynamik.

Es gibt verschiedene Lösungen zur Inventarisierung bei der Suchmaschine eures Vertrauens, und wir sehen von handgestrickten PowerShell Scripts die manuell eine CSV befeuern bis zu omnipotenten Asset Management Systemen die sogar Bestellprozesse unterstützen.

 

Okay, der Punkt ist also valide, aber es gibt verschiedene Lösungsansätze für die jeweilige Situation.
Ich muss wissen mit welchen Paketen ich es zu tun habe, bevor ich eine Patch-Strategie entwickeln kann.
Weiter geht’s.


„Es gibt ständig neue Versionen von X und Y. Es ist schwierig, auf dem aktuellen Stand zu bleiben.“

 

Nö, ist es nicht.
Es gibt viele Webseiten die genau dafür existieren. Ich stelle auch die Behauptung auf, dass jeder IT Pro jeden Tag etwas Zeit auf generellen IT News Webseiten verbringt; das sollte zum Job gehören, und dort wird zumindest über die wichtigsten Updates berichtet.
Man kennt ja die üblichen Verdächtigen.

Eine Alternative wären Newsletter und man lässt sich dadurch auf dem Laufenden halten. Ist nur keine Alternative für mich, ich stehe mit Newslettern auf dem Kriegsfuß.

Luxuriöser wird es dann mit entsprechender Software. Auch hier gibt es wieder verschiedene Optionen wie Freeware, ebenso wird in manchen Unternehmen ein Desktop Security Client eingesetzt der solche Funktionen mitbringt, oder aber eine spezifische Lösung zu diesem Thema.


Der Zeitaufwand hierfür ist wirklich gering. Ab geht’s zum nächsten Punkt.

„Ich komme mit dem Testen nicht hinterher.“

 

Mein erster Gedanke war „Wirklich?“ aber ja, manchmal kann das immer noch ein Problem sein. Ein ernsthaftes.


Die gute Nachricht zuerst: Früher war alles Schlimmer!

Als wir noch eine geschätzte Million Desktopanwendungen genutzt haben, von denen die Hälfte auf obskuren Frameworks basierte, war das Testen ein Alptraum.

Wenn ich heute mal auf meinen eigenen Desktop schaue, so schreibe ich diesen Text im vermutlich am weitesten verbreiteten Textverarbeitungsprogram der Welt, aber das ist neben seinen Kollegen aus dem gleiche Paket und einem SSH Client auch so ziemlich die einzige Desktop-Anwendung die ich noch nutze. Alles andere wird über den Browser bedient und das wird bei vielen von euch ziemlich ähnlich sein.
Tatsächlich könnte ich den Text auch im Browser schreiben, aber manchmal bin ich einfach old-school. Moment, habe ich gerade manchmal geschrieben?

 

Aber natürlich gibt es noch verteilte Anwendungen mit „fat clients“, dringend benötigten lokalen Komponenten. Gerade in Behörden wird stellenweise noch mit Software gearbeitet die vermutlich beim geringsten Windhauch zu Staub zerfällt und nur unter sehr kontrollierten Bedingungen überhaupt lauffähig ist.

Da muss man testen. Sorry, kein Workaround verfügbar.
Jeder hat eine Kopie einer Produktivumgebung auf einer VM mit aktuellem Snapshot, aber meiner Erfahrung nach hat nicht jeder ein Testprotokoll dem Folge geleistet wird, was dann trotz dem Testen noch Überraschungen zur Folge haben kann.
Tatsächlich kostet das Erstellen eines Protokolls erst einmal Zeit, aber die wird locker wieder rausgeholt.

 

Das gibt mir das Stichwort zum nächsten Kommentar:

 

„Ich habe keine Zeit.“

 

Das ist wieder so ein Ding!
Klar, unabhängig von der jeweiligen Position hat man etliche Dinge in der IT um die man sich kümmern muss und manche haben eine höhere Priorität als andere. Jeder von uns kennt die Tage an denen uns die Dinge geradezu um die Ohren fliegen.
Aber was ist wichtiger als ein real existierendes Sicherheitsproblem? Und wessen Kopf liegt auf dem Silbertablett, wenn ein erfolgreicher Breach mit 10 Minuten Routineaufgaben am Tag vermeidbar gewesen wäre?
Ich bin mir sicher, dass das Ticket vom Karl-Heinz aus der Buchhaltung noch ein paar Minuten länger warten kann.

 

Nehmt euch die Zeit, plant vorab, nutzt sie sinnvoll, und vor allem: Dokumentiert, wenn ihr aktiv werdet. Das erleichtert das Leben auch abseits eines Ernstfalles.

 

Patching ist so wichtig.
Ich bin immer wieder erstaunt, wenn Probleme bekannt werden, bei denen eine Sicherheitslücke ausgenutzt worden ist, die der Hersteller schon vor sechs Monaten beseitigt hat. Nein, eigentlich bin ich nicht erstaunt, sondern traurig.
Cyber Security ist ein komplexes Thema, und das Antizipieren von Angriffsvektoren kann eine Vollzeitstelle erfordern.

 

Aber Software aktuell zu halten ist jetzt nicht wirklich Raketenforschung.

Selbst wenn im Unternehmen oder in der Behörde gerade die finanziellen Mittel knapp sind und der Erwerb einer spezialisierten Softwarelösung, die alle oben genannten Themen mehr oder weniger automatisiert, nicht realisierbar ist, kann das Erstellen eines Planes und das Benutzen von kostenlosen Tools zumindest helfen, die Risiken zu mindern.
Auch das Paretoprinzip ist keine Raketenforschung.

 

Was habe ich auf den Messen noch gehört? Ah, das war lustig:

 

„Ich weiss gar nicht, ob sich bei uns jemand darum kümmert.“

 

Der Gipfel des Dramas! Das war vermutlich ein Entwickler. Oder Karl-Heinz aus der Buchhaltung.

Sascha Giese

Gisec in Dubai

Posted by Sascha Giese Employee Mar 5, 2019

Hi there!

 

SolarWinds is attending GISEC in Dubai between April 1 – 3 this year.
GISEC is the number-one security-focused tech conference in the Middle East, and we’ll be there with our regional distributor Spire.

 

What can you expect from SolarWinds?
Our resident expert Tony Johnson will be there to show you the latest features we’ve added to the Orion® Platform, and how they can help to increase both security and compliance next to help ensure your IT infrastructure is behaving well.
Rumour has it that there might be loads of new features by early April.

Also, you’ll have a chance to meet Venkatesh Ayyala, who works for Spire and lives in Dubai. Venkatesh and his colleagues are providing professional services to SolarWinds customers in the region, from simple configurations to Orion SDK-based customizations.

 

The event itself takes place in the Dubai WTC, which is the same location as GITEX.
If you’ve never been to Dubai, it’s well worth a visit. Last October I took this lovely shot from level 148, only 555 meters above the ground:

 

Enjoy!

 

Nach vier Monaten wird es mal wieder Zeit über ein Produkt zu schreiben. Wie es der Zufall so will, haben wir auch ein neues Spielzeug im Portfolio:

 

SolarWinds Access Rights Manager

 

Einige von euch kennen das Produkt vielleicht noch unter dem alten Namen 8MAN.

Was genau macht ARM? Und wer kam überhaupt auf diese Abkürzung?

 

Das Werkzeug überprüft Berechtigungen innerhalb von Active Directory, Exchange, Sharepoint sowie Fileservern. Also, wer kann auf was zugreifen, und wo genau kommt die Berechtigung her?

Benutzer, Gruppen und effektive Berechtigungen lassen sich Erstellen, Verändern, oder Löschen.

Berichte und Instant-Analysen runden das Paket ab.

Alles aus einer charmanten Oberfläche und man kann es auch bedienen, wenn man kein Raketenforscher ist.

ARM wird auf einem beliebigen Mitgliedsserver installiert und ist sehr genügsam mit den Systemanforderungen. Das OS sollte mindestens ein 2008SP1 sein, 2 Kerne, 4 Gig Speicher reichen auch produktiv erst einmal aus. Sämtliche Daten werden in einer SQL gespeichert und auch hier passt 2008 oder jünger.

 

Der Installationsvorgang ist schnell erledigt:

 

Zuerst wird die Konfiguration gestartet mit dem rechten Icon.
Die Farbe ist…ja was ist es denn, 04C9D7, also laut Internet „vivid arctic blue“. Nennen wir es einfach Türkis!

 

Ein AD- und ein SQL®-Benutzer muss angelegt, und die Verbindung zur Datenbank eingerichtet werden:

 

ARM ist jetzt verfügbar:

 

Jedoch ist noch keine Quelle definiert, also hängen wir AD ein.
In den Grundeinstellungen nutzt ARM zum Verknüpfen des Verzeichnisses die bereits hinterlegten Anmeldeinformationen.

 

In meinem Beispiel wird das Verzeichnis jeden Abend einmal durchsucht. Bei der ersten Einrichtung bitte manuell auf den Pfeil drücken für einen sofortigen Scan. Nur bitte nicht bei 10 000 Benutzern morgens um Acht Uhr!

Ein Klick auf das Icon in Orange, Entschuldigung, F99D1C, startet dann das richtige Tool.

 

 

Das Login Fenster:

 

Begrüßt werden wir von diesem Dashboard:

 

 

Befassen uns mit der typischen Frage „Wieso kann dieser Schlumpf denn überhaupt auf X  zugreifen?“

Der Hauptgrund dafür ist vermutlich eine verschachtelte Berechtigung, die nicht auf den ersten Blick ersichtlich ist. Aber jetzt kommt ARM ins Spiel.
Klickt einmal auf Accounts und gebt einen Namen in die Suchbox oben ein:

 

Das Resultat ist ein Baumdiagramm mit den Gruppenmitgliedschaften.

Jeder Klick auf ein Element zeigt dann weitere Details an, probiert es einmal aus. Die Grafiken lassen sich übrigens als Bild exportieren.

Auf der rechten Seite finden wir die AD Attribute:

 

Und jetzt wird es richtig komfortabel. Ich kann den kompletten Datensatz von hier aus editieren:

 

Ja, richtig, ich traue keinem Vegetarier!

 

Übrigens, diese Box hier sieht man bei allen Änderungen. Ordentliches Change-Management erfordert das Setzen von Notizen.

Und wo wir gerade dabei sind, klickt einmal rechts auf ein Konto:

 

Wandern wir vom AD zu Datei-Berechtigungen. Ist nur eine kurze Strecke, wenn man oben auf Show access rights to resources klickt.
Ich wähle einen File Server und einen Pfad aus:

 

Rechts sehe ich die Berechtigungen im Detail:

 

 

ARM kommt noch mit einer zweiten Oberfläche zusätzlich zu dem Client – einem Web-GUI.

Hier stehen mir andere Werkzeuge zur Verfügung.

Viele typische Risiken können schon out-of-the-box betrachtet werden.
Dazu auf Risks klicken:

 

 

Wir sehen inaktive Konten:

 

Oder permanente Passwörter:

 

An gleicher Stelle finden wir auch die allseits beliebte „Everyone“ Berechtigung bei Ordnern:

 

Ein simpler Klick auf „Minimize Risks“ zeigt mir:

 

 

Ich könnte direkt von hier aus wieder Änderungen betreiben – auch im Bulk.

Selbstverständlich wird jede Änderung, die über ARM durchgeführt wird, automatisch protokolliert.
Das Logbuch befindet sich oben im lokalen Client und wir können Berichte erzeugen und exportieren:

 

Vermutlich habt ihr das oben schon gesehen, aber weitere vordefinierte Berichte findet man direkt auf dem Start-Dashboard:

Gehen wir ein oder zwei spezifische Themen an.

Seit Server 2016 gibt es das Feature von temporären Gruppenmitgliedschaften, um vielleicht einem Mitarbeiter für die Dauer eines Projektes Zugriff zu notwendigen Elementen zu bieten. Nach Ablauf des voreingestellten Zeitraums werden die Berechtigungen automatisch entfernt.
Praktisch, oder?

Das nicht ganz so schöne Szenario: Jemand hat sich selbst temporär Zugriff auf eine Ressource gegeben mit dem Hintergrund, dass die Änderung der Gruppenmitgliedschaft hinterher kaum nachvollziehbar ist.
Aber jetzt nicht mehr! Hier geht’s ab:

 

Wenn man mit der Maus über diese Box hier geht

Sieht man rechts Objekte, und für mein Beispiel sind Member added/removed interessant:

 

Leider gibt es in meinem Lab nicht wirklich viel zu sehen, also gehen wir weiter.

 

ARM erlaubt Standardaufgaben direkt aus dem UI durchzuführen, wie z.B. das Erstellen von neuen Benutzern oder Gruppen, Vergeben/Entfernen von Berechtigungen etc.
Wirklich interessant ist das Nutzen von Vorlagen bzw. Profilen.

Hierzu klicken wir im Webclient rechts oben auf das Zahnrad und Department Profiles

 

 

Rechts auf „Create new“

 

 

 

Geben dem Profil einen Namen:

 

 

Links sind weitere Optionen sowie der Button zum Speichern:

 

Ein neuer Mitarbeiter wird lediglich dem Profil zugewiesen, welches sich um sämtliche anderen Einstellungen kümmert – automatisch.

 

Selbstverständlich gibt es auch einen vordefinierten Bericht, der eventuelle Abweichungen zu den Profilen direkt anzeigt. Wir bleiben im Webclient, klicken auf Analyse und wählen die folgende Schaltfläche:

 

 

 

Dann suche ich mir ein Profil aus und ab geht’s:

 

 

Die gute Elyne ist konform, was aber auch wenig überraschend ist als einzige Mitarbeiterin im Marketing:

Das waren nur ein paar der Features von ARM. Weitere interessante Themen wären das Einbinden von anderen Quellen, oder Scripts für komplexere Automatismen. Das ist Futter für zukünftige Postings.

 

Aber, wisst ihr, was ich als Computer-Gamer ganz besonders am ARM mag?
Man kann auf so ziemlich alles klicken. Probiert einmal das hier aus, zu finden ganz links am Bildschirmrand auf dem Start Dashboard:

 

 

 

Viel Spass beim Erkunden!

 

Do you guys know that Tom is speaking during a breakout session?
Have a look here to learn how to bypass typical pitfalls in DB virtualization.
We should play a game. Whoever puts the best pic of him talking on Twitter gets…uh…a pair of socks maybe?

 

Speaking of pictures, I found a few from last year in Barcelona. This was our home for a few days:

 

I suggest checking Twitter for updates on how it will look next Monday!

 

Also, we discovered an interesting place for dinner.
Have a look at the nameplate to see whose table we were sitting at:

 

We didn’t meet them yet. Which is one of the reasons we go to Barcelona again, and again!

The other reason, obviously, is you guys! Come and see us!

It’s that time of the year again.

Normal people start thinking about Christmas presents, robots are asking for an oil change, but we at SolarWinds are busy planning our next Partner Summit here in Ireland.

 

While we are still in the process of finalizing the agenda—hey, even an oil change takes time—I have some facts to share with you.

Unfortunately, the dinner menu is not yet available, so I will come back to that later!

What do we know?

For starters, the date and location:
Monday, February 4, 2019, to Friday the 8th in Cork, Ireland.

Three keynote speakers agreed to drop by:

 

  • - Denny LeCompte (SVP, Product Marketing)
  • - Kevin Bury (SVP, Customer Success & Business Operations)
  • - Ludovic Neveu (GVP, Sales)

 

I am sure you are familiar with “never change a running system,” so we stick to the things that worked out very well in the past and split the whole agenda between a commercial and a technical track.

The commercial track will provide insights into what’s new at SolarWinds since the last February.
Let me copy some information from our press releases:

 

By the time we meet, we will have more news for you to make sure that you’re up to date on our latest releases, and how they can help your customers.

 

The technical track will continue diving into the different paths of SolarWinds certifications and we will be offering various classrooms and breakout sessions.

Remember in early 2018, when I was providing a technical session for the NTA beta exam with NTA beta materials?
Good news: You will be able to sit the official exam as it left beta. But we might have a new beta track available just in case you are feeling adventurous.

 

As we believe in “work hard, play hard” or, in this case, “study hard, play hard,” our famous evening entertainment will return, and I will make sure that appropriate food is being served for us.

For those of you who are following me on Twitter: No, I won’t cook for you, sorry!

 

Still, almost four months to go so stay tuned for updates as I get them. In the meantime, have a look at previous summits, summarized by my colleague Michael:

2017

2018

 

BRB!

Tach Zusammen,

 

SolarWinds® wird vom 09.-11. Oktober auf der IT-SA in Nürnberg vertreten sein, und zwar mehr als nur einmal!

Unsere Hauptpräsenz wird bei unserem Distributor Ramge Software in Halle 9 an Stand 140 sein.
Stand 140 ist der „hub“ für die anwesenden SolarWinds Mitarbeiter und es wird immer jemand verfügbar sein.

 

Weitere Distributionspartner auf der Messe sind Sysob IT-Distribution, in Halle 9, Stand 446, sowie ALSO Deutschland ebenfalls in Halle 9 an Stand 516.

Ebenso ist unser Partner I.Tresor in Halle 10.1, Stand 309 vertreten.

 

Vielleicht sieht man uns sogar noch an einem anderen Stand!

 

Warum sollte man vorbeischauen? Es gibt so viel Neues zu sehen!

Wir bringen die neuesten Updates für die Orion® Plattform mit inklusive dem Server Configuration Monitor (SCM) und natürlich den neuen Karten, ebenso zeigt unser MSP-Team die NetPath Integration in n-central sowie SolarWinds Backup.

Selbstverständlich bringen wir auch unsere berühmten Pins und Sticker mit!

 

Kommt einfach mal vorbei!

Mit dem Altern ist das ja so eine Sache.

Häufig überlege ich mit meiner Partnerin was man denn am Wochenende kochen könnte und sobald mir eine großartige Idee einfällt sagt sie „das hatten wir doch schon letztes Wochenende“.

 

Ach, richtig, vollkommen vergessen!

Trotzdem mag ich kein Log darüber führen was ich zuletzt gekocht habe. Wozu auch wenn man doch daran erinnert wird

 

In der IT haben wir ständig ähnliche Situationen:
Was habe ich denn neulich noch an diesem Server…das .Net Update, ach, richtig, vollkommen vergessen!
Was ist, wenn ich mich jetzt nicht mehr erinnere? Meine Partnerin kann mir hier nicht helfen, also benötige ich eine andere Lösung.

 

Jetzt kommt der SolarWinds® Server Configuration Monitor (SCM) ins Spiel!

Innerhalb von wenigen Monaten ist SCM jetzt schon das zweite neue Modul für die Orion® Plattform. Orion war bisher in der Lage, Konfigurations-Änderungen bei Netzwerkgeräten festzustellen.
Ihr habt uns das Feedback gegeben, dass da mehr gehen muss, und jetzt geht da auch mehr!

SCM bringt Konfigurationen von Servern und Anwendungen in die Plattform, damit sich bei Problemen mit der Performance oder Verfügbarkeit eventuelle Änderungen als Ursache entweder bestätigen oder ausschließen lassen, ohne externe Produkte zu konsultieren.
Vielleicht hatte ich ja tatsächlich etwas installiert! Oder viel schlimmer: Jemand anders!

 

SCM nutzt den schon bekannten Orion Agent um eine Inventarisierung von Hard- und Software durchzuführen sowie auf Veränderungen bei speziellen Anwendungen zu überwachen. Sollte eine Änderung festgestellt worden sein, kann natürlich ein Alarm ausgelöst werden.

Typische Situationen neben dem Nachverfolgen von Konfigurationsänderungen könnten aber auch Dinge wie das Downsizing bei VM-Ressourcen sein, oder vielleicht Registrierungsänderungen die von Malware verursacht worden sind.
Ebenso sollte man nicht vergessen, dass die Lösung zwar Server Configuration Monitor heisst, aber nichts kann euch hindern damit auch Desktops zu überprüfen um eventuelle nicht autorisierte Installationen von Endbenutzern auf deren Maschinen zu finden.


Also, SCM überwacht Dateien, Ordner und die Registrierung.

 

Eine kurze Tour gefälligst?
Klicken wir einmal den nagelneuen Reiter hier:

 

Ich besitze die unangenehme Eigenschaft bei neuen Spielzeugen direkt in die Einstellungen zu gehen („Oh was macht denn dieser Knopf?“) also klicke ich oben rechts auf die Settings

 

Was haben wir da jetzt:

 

Rechts stellen wir lediglich ein wie lange die Daten vorgehalten werden und das könnt ihr solange einstellen bis euch der Storage-Admin auf das Dach steigt.
In der Mitte wird angezeigt, welche Maschinen welche Profile zugewiesen haben:

 

Oben wäre dann eine Methode, um Profile zuzuweisen:

 

Aber was sind denn jetzt diese Profile?

Profile sind Vorlagen die der Überwachung von spezifischen Veränderungen dienen. Bei einer frischen Installation von SCM sind drei Profile direkt verfügbar: Die Inventarisierung von Hardware, Software sowie dem IIS.
Wir arbeiten bereits an weiteren Profilen wie z.B. Active Directory®, Exchange™ und anderen.

Natürlich könnt ihr auch eure eigenen Profile erstellen! Klickt auf „Add“ und gebt dem Ding einen Namen:

 

Dann noch einmal auf “Add” zum Erstellen der tatsächlichen Bedingung – dies können natürlich auch mehrere sein:

 

Okay das Profil ist drin. Wählt es aus und klickt „Assign to“

 

Nutzt eure Kreativität und verändert die Datei. Das Resultat wird direkt angezeigt:

 

Einen Mausklick weiter sieht man auch die Details:

 

Das war einfach. Jetzt mal etwas spannender!
Ich erstelle ein Profil mit dem Namen „Firewall Policy“ und füge ein neues Element hinzu aber diesmal „Registry“ und nicht Datei:

 

 

Hier wird ein kompletter Key überwacht. Je nach Anwendungsfall kann man in der Hierarchie nach oben wandern aber ich schlage vor es so spezifisch wie möglich zu gestalten, damit es bei Änderungen nicht zu unübersichtlich wird.
Behaltet eine der goldenen Regeln des Monitorings im Kopf:
Wenn etwas passiert wollt ihr keine Zeit damit verschwenden festzustellen, was denn passiert ist!

Okay die Regel habe ich gerade erfunden aber sie klingt gut, oder?

 

Ebenso kann man komplette Ordner überwachen. Das kann sehr interessant sein, daher schnell ein Beispiel.
Beachtet die Wildcards für alle Unterordner und alle Dateien, ebenso habe ich den Download deaktiviert:

 

Aufgepasst: Im Beispiel oben muss das Konto korrekt angegeben werden.
Aus offensichtlichen Gründen wird die Variable %userprofile% keine Resultate anzeigen! Ihr könnt aber %windir% oder andere Variablen nutzen, solange diese nicht an einen Benutzer gebunden sind.

 

Eine weitere Option wären ganz simple Binärdateien. Diese können zwar nicht eingelesen werden aber zumindest wird anhand der Checksumme eine Änderung erkannt.
Das heisst, ich muss mich korrigieren: SCM kann Binärdateien einlesen, nur wir Menschen können damit nichts anfangen.

Die Standard-Profile sind übrigens direkt beim Sonar verfügbar und können zugewiesen werden wie AppInsight:

 

Ich gehe davon aus, dass wir im Laufe der Zeit mehr Profile in thwack haben werden die importiert werden können. Ja, das war ein Wink mit dem Zaunpfahl!

 

Ein weiteres nettes Feature ist das Erstellen von Baselines, also Snapshots von gewünschten Konfigurationen. Das geht ganz einfach per Mausklick ganz rechts:

 

Und aus grau wird grün!

 

Selbstverständlich werden Features der Plattform unterstützt, so gibt es z.B. neue Alarme:

 

Hier ist ein neuer Auslöser für eure eigenen Alarme:

 

Sowie neue Berichte:

 

Und im PerfStack! Wie sagt meine Mutter immer „Niemals den PerfStack vergessen!“

 

Noch ein paar Stichpunkte zur Skalierung:

Wir haben SCM erfolgreich mit bis zu 1000 Agents pro Poller getestet und jeder Agent kommt mit 150 Änderungen pro Sekunde klar bei einem Maximum von insgesamt einer Million Änderungen pro Stunde für eine Orion Instanz.

Falls ihr noch nicht mit dem Orion Agent gearbeitet habt keine Sorge, der Overhead des Agents an CPU, Memory und Bandbreite ist sehr gering.

 

Wie oben schon erwähnt arbeiten wir bereits an den nächsten Features, darunter auch die Anzeige wer eine Änderung durchgeführt hat womit SCM dann für Audit & Compliance nutzbar ist, und schliesslich auch dem Support für Linux.
Schaut einfach hier hin um den jeweils aktuellen Stand zu erfahren:

https://thwack.solarwinds.com/docs/DOC-203089

 

Genug für eine schnelle Vorstellung, jetzt seid ihr dran mit dem Testen. Ich habe dringendere Dinge zu erledigen. Es ist Freitag. Ich muss in die Küche.

Die Vorspeise – Rucola, Prosciutto, Parmesan und Balsamico. Gebt dem Schinken etwas Zeit um auf Zimmertemperatur zu kommen für diese Kombination:

Wenn euch die Kombination von Balsamico und Rucola zu bitter ist empfehle ich etwas Honig.

 

Und schliesslich „Duchesse Di Parma“, Hühnchen mit Prosciutto in Sahnesauce mit etwas Käse.

 

Keine Pasta dieses Mal!!

Viel Spass mit SCM.

Sascha Giese

IPAM und UDT

Posted by Sascha Giese Employee Aug 2, 2018

Tach Zusammen!

 

Heute bin ich ein Beispiel für Effizienz und schreibe über zwei Module für die Orion® Plattform gleichzeitig – IP Address Manager (IPAM) und User Device Tracker (UDT).
Glücklicherweise sprechen beide Produkte die gleiche Zielgruppe an und harmonisieren perfekt miteinander!

 

Also, was machen die Dinger?

Fangen wir mit IPAM an. Das spricht man übrigens tatsächlich „eipäm“ aus!

Nutzt ihr noch Tabellen zur Verwaltung von Subnetzen? Das ist ungefähr so fortschrittlich wie dieses Gebäude hier:

 

 

Mit SolarWinds® IPAM kann man den kompletten Adressraum zentral verwalten und noch einiges mehr. Aber mal von Anfang an!

 

Nach dem Installieren gehen wir sofort in die Subnetz-Verwaltung.

Die erste Frage ist: Wie bekomme ich meine Daten dort hinein?

Es gibt drei verschiedene Möglichkeiten. Die komfortabelste ist das automatische Erkennen mit „Discover Subnets“:

 

Ich gebe dem System dazu ein Gateway – optimal: Coreswitch/Corerouter - und es wird versucht über SNMP Daten abzufragen. Dazu werden die folgenden OIDs ausgelesen um die Subnetze zu identifizieren:

   

NAME

OID

IpForwarding

  1. 1.3.6.1.2.1.4.1

IpRouteDest

  1. 1.3.6.1.2.1.4.21.1.1

IpRouteMask

  1. 1.3.6.1.2.1.4.21.1.11.

IpCidrRouteDest

  1. 1.3.6.1.2.1.4.24.4.1.1.

IpCidrRouteMask

  1. 1.3.6.1.2.1.4.24.4.1.2

ipRouteType

  1. 1.3.6.1.2.1.4.21.1.8

NexthopAddress

  1. 1.3.6.1.2.1.4.21.1.7

 

Tatsächlich entspricht das exakt RFC1213.

Leider trifft man sporadisch auf Hardware Hersteller die die Standards recht kreativ auslegen und in dem Falle wird die automatische Erkennung leider nicht funktionieren können.

Anstatt zur nächst gelegenen Glaskugel zu greifen nutzen wir dann einfach die zweite Funktion vom Screenshot oben, den Import.
Dazu kann man innerhalb von IPAM zuerst eine Vorlage herunterladen:

 

 

Diese befülle ich dann mittels Magie in Form von Copy&Paste von meinen alten Tabellen und importiere das fertige Element in das System.

 

Die dritte Methode ist das manuelle Einpflegen von Subnetzen. Dazu klickt bitte ganz links auf „Add“:

 

Natürlich legt man nicht dutzende von Subnetzen per Hand an aber die Funktion ist sinnvoll um Planspiele zu betreiben um, zum Beispiel, zukünftige Adressräume zu modellieren.

Nachdem wir nun die Subnetze gesammelt haben, empfiehlt es sich etwaige DHCP und/oder DNS Server anzulegen. Als Beispiel hier DHCP - dazu wechseln wir:

 

Jetzt kommt es eventuell zu einer Überraschung. Wir klicken auf „Add New/Hinzufügen“:

 

Ganz oben steht eine Warnung:

 

Die Maschine muss also schon innerhalb des Systems sein. Wenn noch nichts verfügbar ist wird entweder Sonar bemüht oder ich nehme die Maschine schnell manuell auf.
Bei mir sind die Maschinen schon vorhanden und ich wähle die entsprechende VM aus:

 

Und darunter kommen die Berechtigungen. Hier kommt es häufig zu Fragen – was genau wird benötigt?

Details gibt es hier:

https://support.solarwinds.com/Success_Center/IP_Address_Manager_(IPAM)/IPAM_Documentation/IPAM_Administrator_Guide/050_DHCP_management/050_Adding_DHCP_Servers_to_IPAM

https://support.solarwinds.com/Success_Center/IP_Address_Manager_(IPAM)/IPAM_Documentation/IPAM_Administrator_Guide/060_DNS_management

 

Ich kann nun einstellen wie oft die Scopes bzw Zonen synchronisiert werden:

 

Selbstverständlich kann man auch Scopes anlegen/ändern (Scope-Optionen wie z.B. das Gateway) oder DNS Zonen erstellen und manipulieren:

 

Um hier weiter zu kommen gehen wir also davon aus, dass wir sowohl DHCP als auch DNS im System haben und Daten eingelesen worden sind, und klicken wieder auf die Subnetz-Verwaltung.

In meiner kleinen Laborumgebung habe ich nur zwei Subnetze:

 

Wenn ich eines auswähle und auf Edit klicke stehen mir einige Eigenschaften zur Verfügung. Interessant sind dort sicherlich die Einstellungen der DNS Zone:

 

Einmal dort hinterlegt, ist IPAM klar wer für den Bereich verantwortlich ist und kommuniziert mit dem DNS Server.

Dann noch ein paar Kleinigkeiten:

 

Wenn die Automatik aus ist, habe ich eine passive Tabelle. Das ist sinnvoll zum Planen oder der reinen Übersicht halber, falls ein Subnetz nicht von IPAM aus erreichbar ist (DMZ).

Die Einstellung „Update but not erase“ nutze ich, wenn ich per Hand Attribute gesetzt habe.

Scan-Intervall ist klar, und die Auswahl der Polling Engine kann dann interessant werden, wenn ich mehrere Poller und doppelte Subnetze habe.

Klicke ich tatsächlich in ein Subnetz habe ich eine Tabellen-Ansicht und plötzlich gibt es viel zu sehen:

 

Zuerst einmal ganz links in violett (mein Kunstlehrer sagte immer „violett ist nicht lila“), gelb und grün – das ist der Status der IP und der ist ziemlich wichtig!

Wir erkennen dadurch nicht nur, was es mit der IP auf sich hat, sondern nutzen diese Information auch zur Lizensierung. Reserviert, in Benutzung und Transient werden lizensiert, verfügbare IP jedoch nicht.

Oben sehen wir die Spaltenbeschreibungen die im Prinzip selbsterklärend sind. Wir nutzen hier verschiedene Protokolle um euch möglichst viele Informationen zu den Adressen liefern zu können.

Man kann die Spalten übrigens auch verstecken bzw weitere dazu legen:

 

Die nächsten Spalten zeigen die MAC Adresse an sowie den Hersteller:

 

Die Herstellerinformationen werden bei Updates von IPAM mit eingepflegt. Wenn dort etwas als „unknown“ angezeigt wird wie bei mir, könntet ihr es als Feature Request einreichen damit wir es für euch in das Produkt hinzufügen können.

 

Die ich ja heute, wie schon bemerkt, so richtig effizient bin, habe ich für meine unbekannten Nodes einen FR angelegt.

https://thwack.solarwinds.com/ideas/10107

Falls ihr heute noch keine gute Tat erledigt habt könnt ihr dem Vorschlag gerne eine Stimme geben

 

In den weiteren Spalten wird überprüft ob ein DHCP Scope im System deckungsgleich mit dem Subnetz ist und falls ja, zeigen wir Reservierungen und ClientName an. Ebenso natürlich den Hostnamen über einen nslookup.

Protipp: Die Namensauflösung findet vom SolarWinds Server aus statt. Wenn kein Name angezeigt wird, bitte dort mit dem Troubleshooting starten und nicht von eurer Workstation aus.

 

Weiter hinten werden drei SNMP OIDs abgefragt:

 

Klicken wir einmal auf eine IP und editieren!

Interessant hier der Status und der Typ:

 

Bei „Scanning“ bedeutet off = der DHCP Status ist egal und wird nicht mehr abgefragt.

Wenn wir zurück auf die Startseite von IPAM gehen sehen wir einige sinnvolle Grafiken und Tabellen. Die meisten davon sind selbsterklärend aber guckt einmal kurz hier:

 

Was genau sehen wir hier? Es gibt unterschiedliche Verknüpfungen in der Vorwärts und Rückwärts Zone des DNS Servers.

Üblicherweise ist die FWD Zone immer aktuell und der Eintrag in BWD veraltet. Wir können es dann von hier korrigieren.

Und das hier ist wirklich klasse:

 

Wir sehen links eine IP und rechts zwei Maschinen mit der MAC Adresse, die gerne diese IP hätten. Ich weiss also jetzt schon, wer in meinem Netz einen Konflikt verursacht.

Aber! Guckt mal auf die Info in den blauen Spalten.
Dort wird angezeigt, dass beide oberen Maschinen auf dem gleichen 3850 sitzen, die linke in Port 20 im zweiten Stackmitglied, die rechte auch in Port 20 aber im dritten Switch.

Wo kommt das jetzt her?
Das, meine Freunde, kommt aus dem User Device Tracker (UDT)!

 

UDT ist ganz klassisches Switch Port Mapping und zeigt mir an, wer an welchem Port eingestöpselt ist.
Die Ports selbst werden durch die Sonar Suche der Orion Plattform gefunden und können weiter manuell geändert werden:

 

 

Dazu werden OIDs von den Switchen ausgelesen – und zwar eine ganze Menge.

Guckt bitte einmal hier:

https://support.solarwinds.com/Success_Center/User_Device_Tracker_(UDT)/Knowledgebase_Articles/MIB_tables_required_by_User_Device_Tracker_for_Layer_2_information

Für die komplette Übersicht bitte das Bild abspeichern und dann zoomen.

 

In den Standardeinstellungen werden die Daten alle 30 Minuten abgefragt sowohl für L2 als auch L3, sofern Multilayer verfügbar ist.

Typische Einsatzszenarien für den UDT sind natürlich ganz klassisch das Auffinden irgendeines Endpunktes oder Benutzers. Mein Lieblingsbeispiel ist „Karl-Heinz aus der Personalabteilung hat wieder ein Ticket geschrieben. Wo finde ich den?“

Dazu konsultiere ich oben rechts die Suche:

 

Vielleicht möchte ich aber auch einfach nur wissen, wer sich in meinem Netzwerk herumtreibt.
Dazu gibt es ein praktisches Element direkt auf der Zusammenfassung:

 

Aber Moment einmal – jetzt, wo wir diese Infos haben können wir gleich noch mehr damit anstellen!
Es gibt zwei verschiedene Listen innerhalb vom UDT: Eine „watch list“ und eine „white list“:

 

Falls ich das benutzen möchte, muss ich zuerst eine „white list“ definieren. Das Standard-Verhalten färbt erst einmal alles in weiss auch wenn es nicht wie ein Kühlschrank aussieht:

 

Wenn ich mir eine neue Regel erstellen möchte gibt es links einige Optionen:

 

Custom ist sicherlich die interessanteste davon, da auch Wildcards erlaubt sind:

 

Komplexe, verschachtelte Regeln sind allerdings nicht möglich. Hierzu sollte eine NAC Lösung in Betracht gezogen werden.

Nehmen wir einmal an wir haben eine simple Regel erstellt, die alle Knoten eines bestimmten Herstellers über die MAC Adresse erkennt. Was passiert jetzt, wenn ein neuer Hersteller auftaucht?

Dann würden wir den Knoten in dieser Tabelle sehen:

 

Rechts kann ich entscheiden was jetzt geschehen soll. Wenn ich das Ding kenne, klicke ich „safe device“ und es wird eine neue Regel nur für den Knoten erstellt.

 

Aber was ist, wenn jetzt irgendetwas verdächtig erscheint, ohne dass ihr euch sicher seid warum wie zum Bespiel hier:

 

In dem Fall klicke ich auf „watch“ und lasse es mir auf die andere Liste setzen:

 

Nun wird mir das Ding nachverfolgt:

 

Auch beim UDT gibt es direkt verfügbare Alarme:

 

Sowie Berichte, natürlich!

 

Zwei weitere Funktionen habe ich bisher unterschlagen! Hier die erste:

 

Der UDT kann auf Wunsch mit dem Domain Controller verbunden werden um die Event-IDs 4768 und 4769 auszulesen, die beim Authentifizieren geschrieben werden.

Dadurch lassen sich Benutzerlogins identifizieren und ich kann nicht nur nach Maschinen oder Adressen, sondern auch nach Benutzern suchen.

Diese Funktion ermöglicht aber auch im Zusammenspiel mit SolarWinds Netflow Traffic Analyzer (NTA), nicht nur den Computer, sondern auch den aktiven Benutzer zu finden der eine bestimmte Adresse angesteuert hat. Das ist schon ziemlich detailliert!

 

Aufgepasst: Der Einsatz dieser Funktion befindet sich in einer „Grauzone“ und sollte vorab mit dem Betriebsrat diskutiert werden.

 

Eines noch! Erinnert euch noch an die Geschichte mit den doppelten IPs:

 

Wenn man an dieser Stelle auf einen Port klickt kommt man zu der folgenden Seite:

 

Shutdown nutzt SNMP-RW um tatsächlich den Port herunterzufahren.

 

Wäre es jetzt nicht auch toll, wenn man die Informationen verknüpfen kann für Szenarien wie:
Unbekannte MAC im Netz --> Sperre mir den Port automatisch?

Folgt mir bitte unauffällig:

https://thwack.solarwinds.com/ideas/2328

 

Okay, wir sind im Schnelldurchlauf mit IPAM und UDT fertig.
Beide Module sind wirklich einfach zu verstehen und zu benutzen. Keine Geheimnisse.
Wenn es zu Herausforderungen kommt, ist es meistens auf mangelnde Kompatibilität der Hardware zurückzuführen.

Falls ihr einen solchen Fall habt, tretet einfach direkt mit uns in Kontakt und wir schauen uns das einmal an.

 

Bis dann macht’s gut, und ihr wisst ja, dass nach SolarWinds mein Lieblingsthema das Dinieren ist oder? Daher hier ein sommerliches Foto:

 

Salat mit angebratenem Lachs, Feta und einem Dressing auf Zitronen-Honig-Senf Basis. Der Ouzo ist mit Absicht nicht im Bild.

SolarWinds uses cookies on its websites to make your online experience easier and better. By using our website, you consent to our use of cookies. For more information on cookies, see our cookie policy.