helft mir bitte mal ein wenig beim Denken:
ich möchte unsere bald endlich netzwerkmäßig getrennte Infrastruktur mit einem Check_MK-Monitoring überwachen und überlege nun gerade,
in welchem Netz ich den Monitoringserver platzieren soll (DMZ, da teilweise von außen erreichbar, Management-Netz,…)?
Wie die Verbindung in die verschiedensten Netze/VLANs erfolgen kann/sollte:
mehrere VLANs auf einer Netzwerkkarte? Oder Routen zu den einzelnen Netzen setzen und auf dem Router entsprechende Regeln eintragen?
Hebele ich so die Trennung wieder aus oder ist das so netzbriefkonform?
Vielen Dank für’s Mitdenken und viele Grüße,
Jochen
Hallo Jochen.
Ich habe hier zwei MoniPis laufen – aus genau dem gleichen Grund: Einer steckt in rot und überwacht von dort aus alles, was nach außen zeigt und einer läuft im Switch-Management-VLAN und überwacht alle Switches und alles wichtige im Servernetz. Das schien mir so am einfachsten zu sein.
Schöne Grüße,
Michael
wir haben halt deutlich mehr Netze (Pädagogik, Lehrer, Schulleitung, WLAN Lehrer, WLAN Schüler, WLAN Tablets, Drucker, Server, DMZ, Management,…), das würde den Rahmen mehrerer Monitoring-Server sprengen
HI.
Aus dem Grund hängt bei uns der MoniPi im Switch-Netz – von da aus sieht er auch den Server. Drucker habe ich nicht im Monitoring. Ich nehme an, dass dies ein Nachteil an Subnetting/VLAN ist, wenn du’s zentral über eine Instanz verwalten willst??
Michael
wenn es schon ein Management-Netz gibt, würde ich Check_MK in dieses Netz stellen. Für den Zugriff auf den Check_MK Server ist ssh (tcp/22) und https (tcp/443) notwendig. Check_MK selbst benötigt i.d.R. SNMP (udp/161), Check_MK-Agent (tcp/6556) und sonstige Ports, die überwacht werden sollen. Die Ports müssen auf dem Router/Firewall in entsprechenden ACLs/Regeln frei geschaltet werden.
im Management-Netz hängen nur die Management-NICs der Server und des ESXi. Ich möchte ja aber auch die laufenden Dienste überwachen, die erreiche ich nur über das jeweilige Netz.
Drucker hatten wir schon an meiner alten Schule im Monitoring. Der Kollege, der die Drucker supported hat, war froh, nicht auf Zettelmeldungen von Kollegen oder einen regelmßigen Rundgang zu allen Druckern angewiesen zu sein. Er hat Mails vom Monitoring bekommen, wenn es irgendwo einen Papierstau gab oder der Toner einen best. Schwellwert unterschritten hat. Muss natürlich alles nicht sein aber für ihn war das wohl sehr hilfreich.
Ja, was das Monitoring betrifft, verkompliziert sich da wohl Einiges aber das ist eben der Preis der (bei uns zugegebenermaßen vielleicht leicht übertriebenen) netzbriefkonformen Netztrennung.
ok, dann also nicht die Check_MK-Maschine direkt in alle VLANs hängen sondern die Routen zu den einzelnen Netzen setzen und wie Du sagst, auf dem Router/Firewall freigeben!?
Macht sicherheitstechnisch bestimmt auch mehr Sinn. Sollte der Monitoring-Server im ersten Fall kompromitiert werden, wäre er ja eine Alternativroute statt des Routers/Firewall. Dem will man sich wohl lieber nicht aussetzen…
Genau. Bei einem L3-Switch, wie dem Cisco SG300, muss halt nur beachtet werden, dass Dieser nicht „stateful“ arbeitet, d.h. ich brauche immer Regeln für den Hin- UND den Rückweg. Ist also arbeitsintensiver als bei einer Firewall wie IPFire. Die meisten Dinge sollten aber sowieso im Managementnetz zu finden sein.