Commandcenter von Raritan im Test
Chefinspektor
Wohl kein Administrator auf der Welt würde von sich behaupten, dass er all seine Netzwerkkomponenten mit der MAC-Adresse anzusprechen vermag oder jede Sicherheitslücke kennt. Dafür finden sich schlicht zu viele unterschiedliche Geräte in den Netzen, die zu allem Überfluss in der Anzahl auch noch kontinuierlich wachsen.
Mit dem "Commandcenter" hat der Hersteller Raritan eine interessante Mischung von Funktionen in
einem 19-Zoll-Gerät zusammengeführt. Neben der Überwachung von Workstations, Servern und
Netzwerkkomponenten führt das System eine dauerhafte Analyse der IT-Infrastruktur durch. Neben der
Ermittlung von Inventarinformationen wird die Erreichbarkeit, Zuverlässigkeit und
Reaktionsgeschwindigkeit der Geräte überwacht. Des Weiteren bietet das Commandcenter eine
automatisierte Suche nach Sicherheitslücken die in der öffentlichen Datenbank
www.cve.mitre.org geführt werden. Eine Sucheinheit nach "Port-Scannern" sichert das Netzwerk
von Innen ab und hilft bei der Suche nach potenziellen Hackern.
Die Commandcenter von Raritan werden in unterschiedlichen Ausbaustufen angeboten. Mit dem Modell
NOC 100 lassen sich 100 Client-PCs, zehn Server und zehn Netzwerkgeräte überwachen. Mit der NOC 250
werden mittelgroße Unternehmen mit 250 Client-PCs, 25 Server und 25 Netzwerkgeräten angesprochen.
Entsprechend lässt sich mit der NOC 2500 die zehnfache Menge an Geräten überwachen.
Im Inneren des 19-Zoll-Gehäuses mit einer Höheneinheit werkelt eine nicht näher bezeichnete
Intel-Pentium 4-CPU auf einem Supermicro-Mainboard mit 2 GByte RAM. Als Betriebssystem kommt das
mit dem Red Hat verwandte "White-Box-Linux" zum Einsatz. Betriebssystem, Software und Daten
befinden sich auf einer 80 GByte Maxtor-Festplatte vom Typ 6L080L0. Backup-Files mit den
Einstellungen oder Daten des Geräts lassen sich herunterladen. Auf der Vorderseite finden sich
einige Kontrollleuchtdioden, ein Reset-Knopf und der Ein-/Aus-Schalter. Auf der Geräterückseite
zwei 10/100-NICs, RS232C-, USB-, PS/2- und VGA-Anschlüsse.
Raritan stellte uns für einen Test ein Commandcenter NOC 250 für einige Tage zur Verfügung.
Neben dem Gerät selbst finden sich im Lieferumfang lediglich ein Stromkabel und ein Nullmodemkabel.
Ein in Englisch gehaltenes Faltblatt beschreibt die ersten Schritte. Auch der Hinweis, die
Gerätenummer von der Unterseite zunächst abzuschreiben, bevor mit dem Einbau in den Schrank
begonnen wird, fehlt nicht. Wer hier ohne Blick in die Dokumentation startet, wird spätestens zur
Anforderung der notwendigen Lizenzdatei wieder den Schraubendreher in der Hand halten.
Gemäß der Anleitung wird das Nullmodemkabel mit einem Laptop verbunden und eine
Hyperterminal-Verbindung zur NOC 250 aufgebaut. Bis das Gerät jedoch einsatzbereit war, vergingen
erst einmal einige Minuten, da eine Prüfung des Filesystems eingefordert wurde. Nach der Prüfung
ist eine IP-Adresse zu vergeben.
Nach Abschluss der Konfiguration über die Konsole erfolgt der Kontakt mit dem Commandcenter
ausschließlich per Browser. Der Zugriff auf das Webinterface des Commandcenters geschieht entweder
unverschlüsselt oder gesichert. Jederzeit ist der Wechsel von einem Modus in den anderen über das
Menü möglich. Leider fordert das System nach der Erstanmeldung nicht die Änderung des
Benutzernamens und des Kennworts ein – bekanntermaßen siegt oft die Bequemlichkeit über die
Vernunft, und das Commandcenter verbleibt in der Originaleinstellung. Jeder, der sich die
PDF-Handbücher besorgen kann, ist so in der Lage, sich auf das Gerät aufzuschalten. Da die
IP-Adresse sowieso per Nullmodem-verbindung eingerichtet werden muss, wäre die Zwangseingabe von
Zugangsinformationen ein Leichtes gewesen. Die Reaktionszeit des integrierten Webservers ist
angenehm schnell und ein zügiges Arbeiten möglich. Nach einigen weiteren Konfigurationsdaten wie
DNS-Server, IP-Bereich, SNMP-Community-Strings oder E-Mail-Server-Informationen ist der Aufbau
innerhalb weniger Minuten abgeschlossen.
Für WMI-Zugriffe ist ein Proxy erforderlich
Zur Datensammlung verwendet das Commandcenter unterschiedlichste Quellen. Einerseits werden typische Eckdaten wie Reaktionsgeschwindigkeit auf eine ICMP/Ping-Anfrage verwendet, andererseits werden mit dem Simple Network Management Ptotocol (SNMP) in der Version 1 und 2 Daten aus Routern, Switches, Hubs oder anderen aktiven Netzwerkkomponenten ausgelesen. Über 2700 eindeutige Standard-SNMP-Traps und anbieterspezifische SNMP-Traps sind dem System bekannt. Syslog-Meldungen von Unix/Linux-Systemen oder Firewalls lassen sich direkt auf dem Commandcenter ausgeben. Workstations und Server die mit Microsoft Windows betrieben werden, liefern die meisten Detailinformationen über das Windows Management Instrumentation (WMI). Um dem Commandcenter ein Auslesen dieser Informationen zu ermöglichen, ist das Vorhalten eines WMI-Proxies erforderlich. Bei diesem Proxy handelt es sich um einen Windows XP-Professional Rechner mit installiertem Service-Pack 2. Alle Anfragen an Windows-Maschinen und deren Antworten werden über diesen Stellvertreter abgewickelt. Da die Proxy-Software mit einem administrativ berechtigten Benutzerkonto auszustatten ist, ist es aus Sicherheitsgründen nur konsequent, dass sich die IP-Adresse des Commandcenters hinterlegen lässt. Nur von dieser Netzwerkadresse aus ist ein Zugriff auf die Proxy-Funktionalität möglich.
Grundsätzlich ist die Nutzung von bereits etablierten Verfahren wie WMI, SNMP und Syslog zur Datenermittlung positiv zu bewerten. Im Gegensatz zu vielen anderen Produkten kann beim Commandcenter komplett auf die Verwendung von zu installierenden Agents auf den Maschinen verzichtet werden. Das Commandcenter überwacht die Dienste von DHCP, DNS, EyeLID, FTP, HTTP, IMAP, Informix, Exchange, MySQL, MS SQL Server, OpenSSH, Oracle, POP3, PostgreSQL, SMTP und Sybase. In der Standardeinstellung prüft das System alle fünf Minuten die Erreichbarkeit und Funktionalität der verschiedenen Dienste. Über das Webinterface können manuelle Änderungen an den Einstellungen, der so genannten "Pollers", durchgeführt werden.
Nicht alle Informationen die für die Administration wichtig sind, werden über automatisierte Verfahren erfasst. Daten wie Kaufdatum, Garantiedauer, Ansprechpartner beim Lieferanten oder dessen Telefonnummer sind in Handarbeit einzupflegen. Unter "Assets" im Menü des Webinterfaces lassen sich diese Daten mit den gesammelten Grund- und Leistungsinformationen verbinden. Eine Importfunktion vereinfacht die Übernahme bereits erfasster Daten. Andererseits besteht die Möglichkeit Daten an Tabellenkalkulationen zu exportieren.
Um Netzwerkanalysen und Trends berechnen zu können, ist es erforderlich, das zweite Netzwerk-Interface des Commandcenters mit einem gespiegelten Anschluss am Switch zu verbinden. Diese Karte wird im "Promiscuous Mode" betrieben, bei dem auch die Datenpakete angenommen werden, die eigentlich nicht an diese Maschine adressiert sind. Gemäß der Produktbeschreibung lassen sich Datenraten von über 20 MBit/s ohne Paketverlust mit der NOC 250 realisieren. Die Analyse der Netzwerkauslastung gibt Informationen wie Bandbreitenverbrauch, häufig aufgerufene Webseiten oder die TOP 10 der DNS-Abfragen zurück.
Die "Intrusion Detection" der NOC 250 basiert auf Signaturen, sprich über das im Promiscuous Mode betriebene Interface, wird der Netzwerkverkehr auf bekannte Eindringversuche hin überprüft. Übersteigt der Netzwerkverkehr die Fähigkeit zur Überprüfung durch das Commandcenter, so werden Datenpakete verworfen, was zu einer kurzfristigen Unsicherheit führen kann.
Neben der Eindringungserkennung bietet das Commandcenter eine Anfälligkeitsprüfung auf vier Ebenen. Diese Prüfung lässt sich mit einem Scheduler automatisiert in einem benannten IP-Bereich oder manuell auf einzelne Systeme anwenden. Während die Prüfung auf Ebene 1 lediglich einen Portscan darstellt, wird in Ebene 2 bereits ein Profil des Zielsystems erstellt. In der dritten Ebene versucht die Software des Commandcenters einen Eindringversuch und in der höchsten Ebene ein Eindringen unter Ausnutzung von bekannten Sicherheitslücken. Aktionen der dritten und vierten Stufe könnten ein aktiviertes Intrusion Detection System (IDS) aufhorchen lassen. Die Eindringversuche können Nebenwirkungen wie verzögerte Erreichbarkeit über das Netzwerk oder Datenverlust zur Folge haben. Ein Fenster mit einem deutlichen Warnhinweis informiert den Anwender vor jeder Definition eines Scans.
Prüfungsergebnisse werden in verschiedenen Abstufungen angezeigt. Als "Critical" deklarierte Sicherheitslücken werden von automatisierten Angriff-Tools bereits verwendet oder haben einen hohen Bekanntheitsgrad. Ebenfalls direkt reagieren sollte die IT-Abteilung bei Ergebnissen aus der Kategorie "Major" und "Minor". Als "Major Vulnerability" wurden im Test ein nicht aktualisierter Windows Media Player benannt, aber auch ein MySQL-Server ohne Passwortschutz. Ebenfalls kritisiert wurde eine ältere Version von ASP.NET und ein bereits veralteter Zope-Server. Glücklicherweise gibt das Commandcenter neben der Erklärung, was denn jetzt überhaupt das Problem ist, eine Lösung an. Diese besteht entweder darin, einen potenziell gefährlichen Dienst zu deaktivieren, sofern dieser nicht benötigt wird, oder in der Aktualisierung der betroffenen Software. In einer Vielzahl von Fällen wird auf weiter führende Webseiten verwiesen, von denen aus ein Download gestartet werden kann. Neben den Sicherheitslücken werden allgemeine Funktionen der zu prüfenden Maschinen analysiert. So bemängelt die Software, dass auf einem News-Server das Posting einer Testnachricht misslang oder die 404-Fehlerseite auf einem Webserver nicht konfiguriert wurde. Leider wird in der Übersicht der offenen Ports nicht der üblicherweise dahinter zu vermutende Dienst beziehungsweise Daemon benannt.
Die Anzahl der gesammelten Informationen des Commandcenters ist sehr groß. Ohne eine ordentliche Zusammenfassung ist mit der Datenmasse wenig anzufangen. Je nach Einstellung des Administrators erstellt das System automatisch Berichte und stellt diese per E-Mail zu. Standardberichtstypen wie Netzwerkberichtskarte, Verfügbarkeit, Ausfälle, Eindringungserkennung, Anfälligkeiten, SNMP-Leistungen, Inventarinformationen oder Leistungstrends sind bereits vorgefertigt. Bei direkter Betrachtung im Browser lassen sich Berichte im PDF- oder HTML-Format anzeigen. Ein direktes Speichern im ZIP-Format und ein XML-Export ist möglich.
Während der Testperiode kam es zu einer Unterbrechung der Netzwerkverbindung des Switches, an dem sich das Commandcenter befand. Konsequenterweise erfasste das NOC 250 den Ausfall der zu überwachenden Geräte. Da es so aus Sicht der NOC zu einem Ausfall von einer großen Anzahl von Geräten mit beinahe gleichem Zeitstempel kam, wäre es wünschenswert dem System mitteilen zu können - "Nein, du hattest ein Problem mit dem Netzwerk zu sprechen?". Anstelle dieses Hinweises findet sich zu jedem Gerät im Netzwerk die Ausfallmeldung mit entsprechender Auswirkung auf die berechnete Verfügbarkeit.
Fazit
Das Commandcenter ist ein interessantes Gerät mit sehr vielen Funktionen und einem
entsprechenden Listenpreis von 16.367 Euro. Innerhalb kürzester Zeit liegen Daten über
Verfügbarkeit oder Anfälligkeit des Netzwerks vor. Auch ohne den Blick in die PDF-Dokumentation
geht die Arbeit leicht von der Hand. Erwartungsgemäß integriert sich das System in die
KVM-Infrastruktur von Raritan. So ist es beispielsweise möglich, dass das Commandcenter eine
Alarmmeldung mit direktem Link zu einem problematischen Gerät aussendet. Durch einen Klick auf den
Link wird eine gesicherte KVM- oder Serial-over-IP-Verbindung aufgebaut. So ist ein Zugriff auch
dann möglich, wenn das System abgestürzt ist oder die Stromversorgung aus- und wieder eingeschaltet
werden muss.
Info: Raritan Tel.: 0201/74798-0 Web: www.raritan.com
Lesen Sie mehr zum Thema
