Fritzbox-Datenverkehr mit Wireshark auswerten -Beitragsbild

Fritzbox und Wireshark: WLAN-Router von AVM monitoren (Teil 1)

Im Rahmen meiner Netzwerk-Monitoring-Serie habe ich bisher vor allem diejenigen Aspekte betrachtet, die sich auf größere IT-Infrastrukturen beziehen. Was aber, wenn in einem kleineren Büro, wie das in Agenturen häufig der Fall ist, nur ein WLAN-Router zum Einsatz kommt wie zum Beispiel die Fritzbox von AVM. Ist dann auch eines der komplexen Tools à la PRTG Network Monitor von Paessler vonnöten?

Die schlichte Antwort: Nein! Die etwas längere: Der gesamte Datenverkehr der Fritzbox kann mitgeschnitten und mithilfe eines passenden Tools ausgewertet werden. Im heutigen ersten Teil erfahren Sie, wie dies geschieht, im zweiten dann, wie sich diese Netzwerküberwachung praktisch anwenden lässt.

Um den Datenverkehr der Fritzbox aufzuzeichnen (oder auch nur Teile davon), ist folgende Vorgehensweise erforderlich:

Hinweis: Das folgende Beispiel wurde auf der Fritzbox 7590 mit der FritzOS-Software Version 6.92 durchgeführt.

1. Melden Sie sich an der Fritzbox an und klicken Sie auf den Menüeintrag „Inhalt“ am linken unteren Ende der Startseite.

Fritzbox - Datenpakte aufzeichnen - Schritt 2

2. Verzweigen Sie an das Ende der Übersichtsseite „Fritzbox Inhalt“ und klicken Sie auf „Fritzbox Support“.

3. Navigieren Sie zum Punkt „Paketmitschnitt“ und klicken dort auf „Paketmitschnitte“.

Fritzbox - Datenpakte aufzeichnen - Schritt 3

4. Nun sehen Sie sämtliche Schnittstellen der Fritzbox, die sich im laufenden Betrieb aufzeichnen lassen. Dazu stehen neben den klassischen LAN- und WLAN-Ports auch die USB-Buchsen und die Internetverbindung für die Überwachung zur Verfügung.

5. Klicken Sie auf Start, um den betreffenden Mitschnitt zu starten. Während der Aufzeichnung sollten Sie das Fenster nicht schließen. Der Datenmitschnitt erfolgt im Download-Ordner, zumindest ist das auf dem Mac der Fall. Sie können auch mehrere Schnittstellen gleichzeitig überwachen.

Fritzbox - Datenpakte aufzeichnen - Schritt 4

6. Sobald Sie die Datenpaketaufzeichnung beenden wollen, klicken Sie auf Stopp, und die Mitschnittsdatei(en) wird/werden auf dem Rechner mit der Kennung „eth“ gespeichert.

Mit Wireshark die Fritzbox-Protokolldaten auswerten und analysieren

Für die Auswertung der Mittschnittsdaten benötigen Sie das passende Software-Werkzeug. Ein sehr empfehlenswertes ist Wireshark, das für Windows, Mac OS und Linux gratis zum Download bereit steht.

1. Sobald Sie das Tool installiert haben, öffnen Sie mittels „Datei“, „Öffnen“ die aufgezeichnete Protokolldatei(en) des Fritzbox-Mitschnitts.

2. Der mitgeschnittene Datenverkehr (in diesem Fall der WLAN-Verbindung) gibt allerlei Aufschluss über die Verbindungsdaten der ausgewählten Schnittstelle. Dazu gehören die Quellen, auf die der WLAN-Client zugegriffen hat (in diesem Fall mein Macbook), das zugehörige Protokoll und weitere Zusatzinfos.

3. Was das in der Praxis bedeutet und wie sich die Daten interpretieren lassen, erfahren Sie im zweiten Teil dieser Fritzbox-Wireshark-Serie.

Serie: Wireless LAN per Monitoring-Software im Auge behalten

Das heimische Wireless LAN bzw. Drahtlosnetzwerk im Auge zu behalten, damit auch alles so funktioniert, wie man das möchte, ist an sich keine große Herausforderung. Sobald es aber ein komplexeres Konstrukt wird, das aus einer Vielfahl von Routern, Access Points und Repeatern wird, auf die zahlreiche Anwender gleichzeitig zugreifen, kommt der automatisierten Überwachung dieses Wireless LAN eine besondere Bedeutung zu. Da ist ein erprobtes Software-Tool vonnöten, mit dessen Hilfe das drahtlose Netzwerk permanent kontrolliert werden kann. Hierbei müssen zahlreiche Aspekte beachtet werden.

HäkchenSämtliche Router des WLAN sollten möglichst ständig verfügbar und online sein. Hierfür sollte man vor allem die Up- und Downtime aller Geräte im Auge behalten, und das am besten mithilfe geeigneter Sensoren wie dem Ping-Sensor.

Häkchen

In jedem Netzwerk gibt es bestimmte Spitzenzeiten, in denen verstärkt auf die Infrastruktur zugegriffen wird. Das gilt auch für das Wireless LAN. In diesem Fall können Sie mithilfe geeigneter Bandbreitenmessungen herausfinden, inwieweit sich die aktuelle Auslastung des Netzwerks verhält und ob diese Traffic-Spitzenzeiten verstärkt auftreten. Ist dies der Fall, sollte man eventuell über zusätzliche WLAN-Komponenten nachdenken.

HäkchenZu diesen Beobachtungen gehört auch die Entwicklung des gesamten Datenverkehrs über einen längeren Zeitraum. Dank geeigneter Traffic-Sensoren lässt sich auf Basis von Langzeitmessungen herausfinden, welche Daten über welche Router/Access Points/Repeater transportiert werden. Auch das liefert wertvolle Hinweise auf mögliche Überlastungen des Drathlosnetzwerks.

HäkchenDas kennen Sie bestimmt selber: Sobald man sich vom WLAN-Router entfernt, nimmt die Signalstärke und damit die Verbindungsqualität ab. Im heimischen Netzwerk ist das leicht zu lösen, in größeren Wireless LAN-Umgebungen ist das nicht ganz so trivial. Hierfür sind nämlich verschiedene Gründe verantwortlich, vom defekten Wifi-Chip des Routers bis hin zur schlechten Abdeckung des gesamten WLANs, da eine unzureichende Zahl an WLAN-Komponenten vorhanden ist.

Netzwerk-Sensor- SSL-Zustand

Serie: Weitere wichtige Netzwerk-Monitoring-Dienste im Detail

Ende vorletzter Woche habe ich hier über wichtige Dienste und Komponenten gebloggt, die sich mithilfe spezieller Sensoren überwachen und beobachten lassen. Da der Beitrag gut ankam, folgt heute der zweite Teil dieser „Serie innerhalb der Serie“. Die Rede ist von Sensoren für die Überwachung der Bandbreite, der virtuellen Maschinen, des E-Mail-Servers und der SQL-Datenbank.

Überwachung der Netzwerk-Bandbreite: IPFIX, Netflow und Co.

Für das Überwachen der Netzwerk-Bandbreite kommen diverse Methoden, Protokolle und Tools zum Einsatz, die sich teilweise recht ähnlich sind, aber auch Unterschiede aufweisen. So stellt beispielsweise IPFIX (Internet Protocol Flow Information Export) eine Weiterentwicklung des Netflow-Protokolls der Firma Cisco dar. Mit IPFIX kann der Netzwerk-Traffic einer kompatiblen Netzwerkkomponenten gemessen werden, und das von Diensten wie Chat, FTP, dem Webtraffic, usf. Ganz ähnlich verhält es sich mit Netflow und sFlow. Der wesentliche Unterschied besteht in den unterstützten Geräten, die mit dem jeweiligen Protokoll klarkommen.

Netzwerk-Sensor- IPFIX

Neben diesen speziellen Protokollsensoren gibt es auch allgemein gültige Sensoren, die auf dem Simple Network Management Protocol (SNMP) basieren. Damit lässt sich beispielsweise die ADSL-Bandbreite eines DSL-Routers überwachen (Download-/Upload-Bandbreite). Aber auch Remote Monitoring kann auf diese Weise abgebildet werden.

Überwachung der virtuellen Maschinen: XenServer, Hyper-V und VMware

Mit den richtigen Sensoren lasen sich die wichtigsten Virtual-Machine-Typen automatisiert überwachen. Dazu gehören unter anderem Sensoren für Citrix XenServer, Microsoft Hyper-V und VMware. Die wesentlichen Aufgaben dieser Kontrollinstanzen ist das Beobachten der Prozessor-, Speicher- und Netzwerkkomponenten einer virtuellen Maschine. Aber auch das permanente Überprüfen der Speicherauslastung einzelner Komponenten gehört zu den Aufgaben eines Monitoringsensors.

Netzwerk-Sensor- Hyper-V

Überwachung des E-Mail-Servers: POP3, IMAP und Co.

Das Überwachen des E-Mail-Servers ist eine wichtige Aufgabe des Netzwerk-Monitorings, denn jeder Stillstand dieser wichtigen Kommunikationszentrale kann (a) Revolten auslösen und (b) den digitalen Austausch mit Kunden und Partnern zum Erliegen bringen. Hierfür werden unter anderem Sensoren eingesetzt, die den Zustand des aktuellen Backups überwachen, den Status Quo der Server-Datenbank kontrollieren, die Verfügbarkeit der Mailprotokolle POP3, SMTP und IMAP im Auge behalten sowie den Gesundheitszustand der SSL- und TLS-Verschlüsselung beobachten.

Netzwerk-Sensor- SSL-Zustand

Überwachung der SQL-Datenbank: Windows Server, Oracle und mehr

Ob Microsoft, Oracle oder Postgre – der aktuelle Zustand der SQL-Datenbank ist von höchster Wichtigkeit. Denn ohne Datenbank gibt es keine Daten. Daher überwachen die passenden Sensoren unter anderem die für einen Datenbankabruf benötigte Zeit, die Aufschlüsse erlaubt über den aktuellen Zustand der gesamten Datenbank. Darüber hinaus lassen sich mit Tools wie WMI (Windows Management Instrumentation) zahlreiche Parameter der Windows-Server 2005 bis 2016 überwachen. Dazu gehören Informationen über die aktuelle Zahl der Datenbank-Verbindungen, aber auch die Logins und Logouts pro Zeiteinheit werden so erfasst. Auch damit können IT-Admins unerwartete Anomalien der Datenbank identifizieren und beheben, bevor ein richtiges Problem entsteht.

Netzwerk-Sensor- WMI Microsoft-SQL-Server

Netzwerk-Monitoring - FAQ

Serie: Wichtige Fragen rund um das Netzwerk-Monitoring

Rund um das Thema Netzwerk-Monitoring ranken sich zahlreiche Fragen, die allesamt auf eine Antwort hinauslaufen: Ja, mit dem richtigen Tool können Schwachstellen innerhalb der IT-Infrastruktur aufgedeckt werden, und das zu großen Teilen vollautomatisiert. Daher folgen an dieser Stelle die wichtigsten Fragen zum Thema „Überwachung von eigenen und fremden Netzwerken“. Los geht’s!

Hardware-Probleme/-Engpässe

Warum verhalten sich unsere Anwendungen so langsam?

Warum ist die Datei xy ganz plötzlich verschwunden?

Sind die klimatischen Bedingungen im Serverraum akzeptabel?

Wann wird der Speicherplatz auf dem Dateiserver knapp?

Brauchen wir einen schnelleren Internetanschluss?

Diese und weitere Beobachtungen lassen oft den Schluss zu, dass Netzwerkkomponenten und andere Hardware entweder überlastet sind oder gar einen Defekt aufweisen, der im schlimmsten Fall die komplette Infrastruktur lahmlegen kann.

Sicherheitslücken

Können ungewöhnliche Prozessor- und Speicherlasten auf ungebetene Gäste hinweisen?

Weist die Firewall unbekannte Datenzugriffe bzw. -verbindungen auf?

Ist die Antiviren-Software auf dem neuesten Stand?

Haben Hacker möglicherweise Zugriff auf unser Netzwerk?

Nicht überwachte Netzwerkkomponenten wie Firewalls und Router stellen eine permanent Gefahr dar, da sie das Einfallstor in das eigene Netzwerk sind. Daher sollte man diese Gerätschaften mithilfe geeigneter Tools rund um die Uhr bewachen. Das trifft auf Software natürlich genauso zu. Hierfür gibt es auch die passenden Werkzeuge, mit denen man den aktuellen Zustand und Status von Antivirus und Co. kontrollieren kann.

Ladenzeiten von Webseiten

Warum springen Besucher so schnell von meiner Webseite ab?

Es mehren sich die Kaufabbrüche auf meinem Onlineshop. Warum ist das so?

Wie kann ich feststellen, wenn mehr Besucher als sonst auf meiner Webseite sind?

Ein für Google und Webseitenbesucher relevantes Qualitätsmerkmal sind die Ladezeiten der Online-Präsenz. Denn nichts lässt potenzielle Käufer und Interessenten schneller abspringen als ein, zwei überflüssige Sekunden des Wartens. Daher ist es von größter Wichtigkeit, die Ladezeiten der eigenen Webseite zu kennen und darauf mit entsprechenden Maßnahmen zu reagieren. Aber auch ein erhöhtes Datenaufkommen auf der Internetseite kann mithilfe des geeigneten Monitoringtools identifiziert werden.

Virtuelle IT-Infrastrukturen

Warum stürzen bestimmte virtuelle Maschinen (VM) so häufig ab?

Wie stelle ich sicher, dass CPU und Speicher die gewünschte Leistung bringen?

Ist die zugrunde liegende Hardware der VM der Übeltäter für die Ausfälle?

Virtuelle IT-Umgebungen kommen immer häufiger zum Einsatz, daher ist die Kontrolle derselben unerlässlich. Wichtig ist dabei, das Prozessor- und Speicherverhalten jeder einzelnen virtuellen Maschine zu monitoren. Aber auch die Netzwerkleistung sollte kontrolliert werden. Und wenn man weiß, welche Abhängigkeiten zwischen der virtuellen Maschine und der Hardware bestehen, kann man mühelos feststellen, ob die VM oder der Server der Missetäter für die aufgetretenen Probleme ist.

Audio- und Videoqualität

Warum ist die Tonqualität unserer IP-basierten Telefonate schlechter geworden?

Bei Videokonferenzen und Skype-Chats ruckelt das Bild oft. Warum ist das so?

Gerade in Zeiten der voranschreitenden Umstellung auf die IP-Telefonie kommt der fehlerfreien Datenübertragung von Audiodaten eine immer höhere Bedeutung zu. Daher sollte tunlichst darauf geachtet werden, das eigene Netzwerk permanent auf mögliche Datenverluste und -verzögerungen zu überprüfen, die verantwortlich sein können für schlechte Audio- und Videosignale. Auch dies lässt sich mittels eines Monitoring-Tools überwachen, indem zum Beispiel kontrolliert wird, ob UDP-basierte Datenpakete innerhalb der erforderlichen Zeitabschnitte empfangen werden.

Datenbank-Leistung

Warum lädt die SQL-Datenbank so langsam?

Wie kann ich sicherstellen, dass eine bestimmte Zahl von Anwendern gleichzeitig auf die Datenbank zugreifen kann?

Warum dauert die Datenbanksuche so lange?

Oft liegt es an der Datenbank selbst, und nicht an der Verbindung zu derselben, wenn Daten nicht schnell genug geladen werden. Auch SQL-basierte Webanwendungen wie WordPress reagieren im Falle einer lahmenden Datenbank nicht zufriedenstellend, was den Rückgang von Besuchern zur Folge haben kann. Aber auch die Antwortenzeiten können mittels Monitoring überwacht werden, womit sich langsame Suchanfragen erklären lassen.

Serie Netzwerk-Monitoring: Wichtige Dienste auf einen Blick

Netzwerk-Monitoring kann eine ganze Menge: das Netzwerk überwachen, klar. Dabei auf Bandbreiten achten, die in Anspruch genommen werden. Auch klar. Doch mit dem passenden Tool lässt sich noch viel, viel mehr kontrollieren, steuern und im Auge behalten. Daher: Die alphabetisch sortierte Monitoring-Liste wichtiger Dienste.

Applikationen: Exchange- oder Server-Software, Cloud- oder Virtual-Machine-basierte Anwendungen oder einfach nur Word – Programme sollten sorgfältig beobachtet werden.

Datenbanken: Ob Verfügbarkeiten, Ausfälle, Probleme mit MySQL oder was auch immer – den Zustand der Datenbanken sollte man kennen.

Firewall: Die Überwachung der Überwachungsinstanz ist eine gute Idee. Damit identifiziert man problematische Verbindungsanfragen, genutzte Protokolle und Ports sowie Daten, die verschickt werden.

Hardware: Egal, ob Drucker, Server, Router, RAM oder andere Komponenten, für jedes Gerät und Einzelteil gibt es die richtigen „Aufpasser!“.

Internet Protocol: IP-Adressen können innerhalb des Netzwerks zur echten Herausforderungen mutieren, deshalb ist deren Monitoring eine gute Idee.

LAN: Netzwerke sind komplex, daher ist die Überwachung desselben gar nicht so einfach. Mit Monitoring und den passenden Sensoren schon.

Netflow: Wenn mal nicht die Daten, sonder das „Drumherum“ wie IP-Adressen, Protokolle, etc. im Vordergrund stehen, ist Netflow-Monitoring die richtige Wahl.

Ping: Ist der Server von außen erreichbar? Ist der Router noch „live“? Wie ist es um die Firewall bestellt? Mithilfe des Ping-Monitoring lässt sich dies herausfinden.

Port: Der Zustand von Ports und deren Auslastung sowie zugeordnete Protokolle steht bei vielen IT-Admins ganz oben auf der Liste.

Server: Ob Mail-, Web-, Datei-, Datenbank- oder andere Server – deren Gesundheitszustand kann man mit nur einem Tool überwachen.

SNMP: Die einfachste Art des Monitoring, denn damit behält man „Bandbreitenfresser“ jederzeit im Auge.

Storage: Egal, ob die Festplatten und Storage-Einheiten als physikalischer oder virtueller Speicher oder als Cluster vorliegen – dank Monitoring entgeht kein Defekt.

Update/Patch: Zu einer sicheren IT-Infrastruktur gehören Rechner und Komponenten, die stets auf den neuesten Software-Zustand sind. Auch hierbei hilft das richtige Monitoring.

VMware: Virtuelle Netzwerke und Maschinen bedürften genauso wie „echte“ Rechner und Komponenten der vollen Aufmerksamkeit seitens der IT-Abteilung.

VoIP: Mit der digitalen Telefonie kommen neue Herausforderungen auf IT-Admins zu wie Quality-of-Service, Latenzen und die Sprachqualität von VoIP-Telefonaten.

WLAN: Was für das LAN gilt, lässt sich auf das WLAN genauso anwenden. Bandbreite, Auslastung, Signalstärke – drei von zahlreichen Merkmalen, die überwacht gehören.

Liste wichtige Netzwerk-Monitoring-Dienste

Wichtige Netzwerk-Monitoring-Dienste

 

 

 

 

 

 

Der Cloud-HTTP-Sensor überwacht sämtliche HTTP-Verbindungen

Serie Netzwerk-Monitoring: Diese Dienste und Komponenten lassen sich überwachen

Die einen nennen es Sensoren, die anderen Aktoren, gemeint ist allerdings ein und dasselbe: Dienste oder Komponenten, die sich mithilfe eines geeigneten Software-Tools überwachen lassen, und das sowohl protokolliert über eine längere Dauer oder in Echtzeit zu Reaktionszwecken.

Von diesen Überwachungspunkten gibt es so viele, dass eine Aufzählung aller Sensoren den Rahmen eines üblichen Blogbeitrags sprengen würde. Daher werde ich von heute an immer wieder eine Klasse an Sensoren näher betrachten und die interessantesten etwas genauer erläutern. Damit ihr genau wisst, was sich innerhalb eines Netzwerks alles überwachen lässt.

Den Anfang machen die Standard-Sensoren, die ein besonderes Augenmerk des IT-Admins erfordern. Hierzu zählen die Sensoren HTTP, Ping, Port (Range), SNMP-Traffic sowie SSL-Zertifikat.

Der HTTP-Sensor ist vor allem bei einem unternehmenskritschen Webservice elementar. Dabei werden unterschiedliche Werte wie Ladezeiten, Up- und Downzeiten, etc. gemessen. Es geht also nicht nur um einen Ausfall einer kompletten Webseite, sondern auch um deren Verhalten. Überwacht wird im Allgemeinen die zugehörige URL, alternativ kann aber auch Port 80 kontrolliert werden.

Der Cloud-HTTP-Sensor überwacht sämtliche HTTP-Verbindungen

Der Cloud-HTTP-Sensor überwacht sämtliche HTTP-Verbindungen

Der Ping-Sensor überprüft in regelmäßigen, fest definierten Abstände, ob der zugeordnete Rechner „live“, also erreichbar. Dabei werden Werte wie die Ping-Zeiten und prozentuale Datenverlust pro Ping oder Ping-Intervall gemessen. Speziell bei geschäftskritischen Prozessen spielt ein zuverlässiges Ping-Verhalten eine große Rolle.

Der Ping-Sensor zeigt an, wie gesund die Verbindung zwischen zwei Komponenten ist

Der Ping-Sensor zeigt an, wie gesund die Verbindung zwischen zwei Komponenten ist

Der Port (Range)-Sensor ist vor allem beim Thema Sicherheit von zentraler Bedeutung. Denn Hacker greifen IT-Infrastrukturen unter anderem mithilfe sogenannter Portscans an, indem sie automatisiert die Firewall einer IT-Umgebung nach offenen oder nicht geschützten Ports untersuchen. Um in diesem Fall über einen möglichen Angriff von außen berichten zu können, überprüft der Port-Sensor regelmäßig, ob ein bestimmter Port offen oder geschlossen ist. Sollte er wider Erwarten offen sein, weist das auf einen möglichen Angriff hin. In diesem Zusammenhang ist auch der Port-Range-Sensor wichtig, da Hacker gerne komplette Port-Bereiche angreifen, die normalerweise unbenutzt und damit nicht überwacht sind.

Mithilfe des Port-Sensors lassen sich einzelne Ports überwachen

Mithilfe des Port-Sensors lassen sich einzelne Ports überwachen

Der SNMP-Traffic-Sensor kommt bei allen Diensten und Komponenten zum Einsatz, die das Simple Network Management Protocol unterstützen. Überwacht wird vor allem der ein- und ausgehende sowie der komplette Datenverkehr. Damit lassen sich zum einen Anomalien bei der Datenübertragung innerhalb des Netzwerks aufdecken (die auf einen möglichen Angriff von außen hinweisen können). Zum anderen können damit Langzeitprotokolle erstellt werden, die für künftige Anschaffungen neuer Komponenten erforderlich sind. Obendrein können Fehler bei der Datenübertragung sowie abgelehnte Datenpaket dargestellt werden, womit man mögliche Probleme innerhalb der Netzwerkinfrastruktur aufdecken kann.

Mit dem Sensor SNMP-Traffic lässt sich der Datenverkehr aller SNMP-tauglicher Komponenten überwachen

Mit dem Sensor SNMP-Traffic lässt sich der Datenverkehr aller SNMP-tauglicher Komponenten überwachen

Der SSL-Zertifikat-Sensor überwacht regelmäßig die Gültigkeit einer SSL-TLS-basierten Verbindung bzw. die Gültigkeit ihres Zertifikats. Dabei werden unter anderem das Ablaufdatum überprüft und ob das Zertifikat widerrufen, als vertrauenswürdig eingestuft oder sogar selbst signiert wurde. All diese Werte erhöhen die Sicherheit einer SSL-Netzverbindung.

Der Sensor SSL-Zertifikat zeigt an, ob mit der gesicherten Verbindung alles ok ist

Der Sensor SSL-Zertifikat zeigt an, ob mit der gesicherten Verbindung alles ok ist

Weitere Teile aus der Serie „Netzwerk-Monitoring“

Serie: Darin unterscheiden sich Langzeit- und Realtime-Netzwerk-Monitoring

Serie Netzwerk-Monitoring: So funktioniert das Überwachen von Komponenten

Serie: Warum Netzwerk-Monitoring so wichtig ist

Langzeit- versus Echtzeit-Netzwerk-Monitoring

Serie: Darin unterscheiden sich Langzeit- und Realtime-Netzwerk-Monitoring

Das Monitoring des eigenen oder eines fremden Netzwerks mit den passenden Tools kann aus zwei wesentlichen Gründen geschehen: Entweder will der IT-Admin längerfristige Aussagen über die Entwicklung der IT-Landschaft treffen, und das am besten auf Basis zuverlässiger Zahlen und Statistiken. Oder er will einfach nur das Netzwerk permanent im Auge behalten, um auf Anomalien oder Ausfälle schnellstmöglich reagieren zu können. Im besten Fall gehen beide Ansätze Hand in Hand.

Für beide Szenarien gibt es die passende Netzwerküberwachung, die sich historisches bzw. Echtzeit-Monitoring nennt. Beide Verfahren will ich heute ansehen und Vorzüge sowie Unterschiede genauer beleuchten.

Historisches bzw. Langzeit-Monitoring: Wohin geht die Reise

Historisches bzw. Langzeit-Monitoring stellt Messwerte aus der Vergangenheit zur Verfügungen, damit diese für eine Langzeitbeobachtung des Netzwerks ausgewertet werden können. Auf dieser Basis lassen sich voraussichtliche Entwicklungen und Trends des Netzwerk vorhersagen, womit länger- bis langfristige Kapazitätsplanungen möglich sind.

Damit kann der IT-Admin seine gesamte IT-Landschaft besser planen, da er genau weiß, wieviele Daten über einen längeren Zeitraum transferiert wurden, an welchen Stellen es möglicherweise Engpässe gab und an welchen Stellschrauben zu drehen ist.

Das alles führt schließlich zu einer verbesserten Planung, was die Anschaffung und Installation von neuen Kabelleitungen und neuer Hardware wie Switches betrifft. Mithilfe des Langzeit-Monitoring kann aber auch entschieden werden, ob sich möglicherweise die im Netzwerk identifizierten Probleme durch bestimmte Softwareupdates beheben lassen.

Realtime-Monitoring in Echtzeit: Wie gut geht es meinem Netzwerk

Im Gegensatz zum Langzeit-Monitoring steht bei der Überwachung des Netzwerks in Echtzeit der aktuelle Zustand sämtlicher Komponenten wie Switches, Router, Dienste, etc. im Vordergrund. In diesem Szenario teilt die Monitoring-Software im Fehler- oder Problemfall dem IT-Admin den genauen Befund mit, sodass dieser unmittelbar auf den Schadensfall reagieren kann. Das kann die Störung eines E-Mail-Diensts wie POP3 oder IMAP sein, es kann sich aber auch um den Ausfall eines einzelnen Switchports oder des kompletten Switches handeln.

Wichtig dabei ist vor allem, dass auf die Anomalie so schnell wie möglich reagiert werden kann, und das am besten, bevor der Anwender überhaupt etwas von dem Ausfall oder Fehler der Netzwerkkomponente merkt. Hierfür ist ein funktionierendes Benachrichtigungsystem unerlässlich. Damit Sie auch ja keine Störung verpassen.

Weitere Teile der Serie „Netzwerk-Monitoring“

Serie Netzwerk-Monitoring: Diese Dienste und Komponenten lassen sich überwachen

Serie Netzwerk-Monitoring: So funktioniert das Überwachen von Komponenten

Serie: Warum Netzwerk-Monitoring so wichtig ist

SNMP-Schichten

Serie Netzwerk-Monitoring: So funktioniert das Überwachen von Komponenten

Im ersten Teil dieser neuen Serie zum Thema Netzwerk-Monitoring zeige ich, warum es so wichtig ist, das eigene (und fremde) Netzwerk permanent zu überwachen. Im heutigen zweiten Teil geht es um die Techniken, die beim Monitoring hauptsächlich zum Einsatz kommen. Die Rede ist von SNMP, WMI und Co.

Simple Network Management Protocol (SNMP): Beim SNMP handelt es sich um ein Netzwerkprotokoll, das speziell für das Überwachen von Netzwerkkomponenten wie Router, Server, Switch, Computer, etc. entwickelt wurde. Dabei geht es vor allem um die Kommunikation zwischen dem zu überwachenden Gerät (z.B. einem Switch) und der Überwachungsinstanz (wie z.B. dem Server, auf dem das Monitoringtool installiert ist). SNMP liegt in der Version 3 vor und beschreibt den Aufbau der Datenpakete und den exakten Kommunikationsaufbau. Aus Sicht des Protokollstacks liegt es ganz oben, also noch oberhalb der Transportschicht, in diesem Fall UDP.

Für den Einsatz von SNMP sind sogenannte Agenten erforderlich, die permanent den Zustand des Geräts im Auge behalten. Im Falle eines ungewollten Zustands (also z.B. beim Ausfall der Komponente) löst der Agent eine zuvor definierte Aktion aus. Damit das Monitoringtool von dieser Aktion etwas erfährt, steuert SNMP die Kommunikation zwischen Netzwerkkomponente und Überwachungssoftware.

SNMP-Schichten

Windows Management Instrumentation (WMI): Mit WMI beschreibt Microsoft eine spezielle Erweiterung des Common Information Model (CIM), das die Verwaltung von IT-Systemen beschreibt. Hierfür steht eine Anbieter- und plattformunabhängige Managementschnittstelle zur Verfügung. WMI ermöglicht einen netzwerkübergreifenden Zugriff auf so ziemlich alle Windows-Einstellungen, womit sich Netzwerkcomputer mithilfe von Windows PowerShell und VBScript administrieren lassen. WMI ist Teil sämtlicher aktueller Windows-Versionen. Zu den Kernaufgaben von WMI gehören u.a. Inventardaten und Dienste verwalten, Ereignisprotokolle administrieren und die Registry bearbeiten.

Internet Protocol Flow Information Export (IPFIX): Das IPFIX standardisiert den Austausch von Informationen, die im Zusammenhang mit Netzwerk-Monitoring erhoben und erfasst werden. Der Begriff „Flow“ bezieht sich auf den Datenstrom einer Netzwerküberwachung, dessen Datenpakete dieselben Eigenschaften aufweisen. Damit schickt beispielsweise ein Router seine aktuelle Auslastung an den Netzwerk-Monitor, damit dieser entsprechende Maßnahmen einleiten kann. Bei IPFIX handelt es sich um ein reines Push-Protokoll, das im Allgemeinen SCTP als Transportprotokoll verwendet. Wahlweise können TCP und UDP eingesetzt werden.

Schichten des IPFIX

Paket-Sniffer: Diese Form der Netzwerküberwachung geht über das klassische Monitoring hinaus, da neben der Netzwerkdiagnose auch Angriffe von außen kontrolliert und aufgespürt werden können. Hierfür wird der Netzwerkverkehr kontinuierlich mithilfe geeigneter Filteralgorithmen auf verdächtige Inhalt untersucht, die einen Hinweis auf mögliche Eindringlinge geben können. Aber auch Angriffe von innen wie die Datenspionage können mithilfe von Paket-Sniffern entdeckt und blockiert werden.

Weitere Teile aus der Serie „Netzwerk-Monitoring“

Serie Netzwerk-Monitoring: Diese Dienste und Komponenten lassen sich überwachen

Serie: Darin unterscheiden sich Langzeit- und Realtime-Netzwerk-Monitoring

Serie: Warum Netzwerk-Monitoring so wichtig ist

PRTG Network Monitor - Ausgabegeräte

Serie: Warum Netzwerk-Monitoring so wichtig ist

Mit dieser heute beginnenden Serie möchte ich zeigen, warum und mit welchen Mitteln das Überwachen des eigenen oder fremder Netzwerke (zum Beispiel das eines Kunden) wichtig ist. Dabei steht kein spezielles Tool im Vordergrund, vielmehr will ich die Grundzüge und grundsätzlichen Überlegungen rund um dieses Thema beleuchten. Los geht’s mit den wichtigsten Gründen für das Network-Monitoring.

PC, WLAN-Router, Drucker – fertig ist das Netzwerk

Ein PC, ein WLAN-Router und ein drahtloser Drucker sind im Grunde schon eines kleines Netzwerk, das ganz eigenen Regeln folgt, was das Zusammenspiel der einzelnen Komponenten betrifft. So sollte man dieses Geflecht aus verschiedenen Geräten stets im Augen behalten, damit man schnellstmöglich auf Probleme und Fehler reagieren kann.

Bei solch einem kleinen Netzwerk ist das meist keine echte Herausforderung, wenn das Netzwerk aber aus Dutzenden von Komponenten wie Routern, Switches, Rechnern und weiteren Geräten besteht, ist es nicht mehr so trivial mit der Überwachung dieser Ansammlung an Computern und Netzwerkkomponenten.

Mini-Netzwerk, bestehend aus drei Mac-Rechnern

In diesem Fall sollte unbedingt ein Tool zum Einsatz kommen, mit dem sich das Netzwerk jederzeit und möglichst vollautomatisch überwachen lässt. Die wichtigsten Gründe für solch ein Werkzeug sehen wie folgt aus:

Kapazitätenengpässe ermitteln

Mit dem richtigen Monitoring-Werkzeug lassen sich Einbußen bei der Server-Rechenkapazität und der gesamten Netzwerkbandbreite ermitteln. Damit kann man Komponenten identifizieren, die aufgrund einer fehlerhaften Konfiguration oder eines anderen technischen Problems die Rechenleistung des gesamten Systems und die Datenübertragung nachhaltig beeinflussen.

Software-Bremsklötze ermitteln

Anwendungssoftware, die entweder auf Client-Rechnern oder Servern das komplette Netzwerk „ausbremsen“, lassen sich mithilfe eines passenden Tools ebenfalls ermitteln. So ist es durchaus möglich, dass eine bestimmte Applikation aufgrund fehlerhafter Einstellungen innerhalb des Netzwerks eine zu hohe Priorität eingeräumt bekommt. Das wiederum kann dazu führen, dass andere, eventuell gleich wichtige oder wichtigere Anwendungen weniger Bandbreite eingeräumt bekommen.

Anwenderzufriedenheit hoch halten

Aufgrund des permanenten Überwachens der IT-Infrastruktur lassen sich Engpässe relativ schnell beseitigen, was in vielen Fällen zu einer verbesserten Service-Qualität führt. Folge: Die Anwender sind zufriedener aufgrund des schnellen Netzwerks, der kurzen Zugriffszeiten auf den Server oder anderer subjektiv „meßbarer“ Eigenschaften der IT-Landschaft.

Qualitätssiegel

Netzwerk den Anforderungen anpassen

Auf Basis der kontinuierlichen Beobachtung der Infrastruktur lassen sich Vorhersagen über mögliche Speicher- und Rechnerengpässe schneller vorhersagen, was in proakativen Anschaffungen neuer Hardware  (Server, Netzwerkkomponenten, etc.) resultiert. Auch das sorgt für eine höhere Anwenderzufriedenheit mit der gesamten Rechner- und Netzwerkausstattung.

Weitere Teile aus der Serie „Netzwerk-Monitoring“

Serie Netzwerk-Monitoring: Diese Dienste und Komponenten lassen sich überwachen

Serie: Darin unterscheiden sich Langzeit- und Realtime-Netzwerk-Monitoring

Serie Netzwerk-Monitoring: So funktioniert das Überwachen von Komponenten

PRTG Network Monitor - Ausgabegeräte

Netzwerke mit geringem Aufwand überwachen: PRTG Network Monitor

Im Nordosten von Nürnberg ist eine Firma namens Paessler beheimatet, die sich seit ziemlich genau 20 Jahren damit beschäftigt, wie die IT-Admins dieses Erdballs möglichst einfach und elegant den physikalischen Zustand ihrer Netzwerktechnik im Auge behalten können.

Hierzu setzen bereits 200.000 Anwender in mehr als 170 Ländern eine Software ein, die sich PRTG Network Monitor nennt. Damit lassen sich eine Vielzahl von Hardware- und Software-Komponenten überwachen, und das mit relativ geringem Aufwand.

Automatische Installation per IP-Adressenbereich

Das hat vor allem mit der Installation und Skalierbarkeit von PRTG Network Monitor zu tun. So lädt ma das Windows-Programm auf einen geeigneten Server, installiert es dort, definiert den zu überwachenden IP-Adressen-Bereich und – wartet. Denn den Rest erledigt das Netzwerk-Tool von ganz allein, indem es sämtliche Hardware- und Software-Komponenten automatisch identifiziert und in die zugehörige, PRTG-eigene Datenbank einträgt.

Maps und Dashboards helfen beim Überwachen des Netzwerks

Sobald dieser erste Schritt erfolgt ist, kann der IT-Admin im nachfolgenden überprüfen, ob sämtliche Netzwerkkomponenten erfasst worden sind und in welchem Gesundheitszustand sich diese befinden. Dabei stößt er vermutlich auf die ein oder andere Schwachstelle, die es anschließend zu beheben gilt.

Das kann der Webserver sein, der möglicherweise nicht genau das tut, was er tun soll. Oder ein Netzwerk-Switch, dessen Port #3 nicht antwortet. Oder gar eine Firewall, die gar nicht in Betrieb ist, was eine enorme Gefahrenquelle für das Netzwerk und das Unternehmen darstellt.

Für das Darstellen sämtlicher Komponenten samt ihrer Fehlfunktionen stellt PRTG Network Monitor sogenannte Maps und Dashboards zur Verfügung, welche die aktuellen Zustände grafisch aufbereiten und per Webbrowser darstellen.

PRTG Network Monitor - Map

Für eine schnellstmögliche Benachrichtigung, dass eine wichtige Komponenten ausgefallen ist, lassen sich sogenannte Alerts definieren, die per Push-Nachricht auf dem Smartphone gelangen. Damit hat der IT-Admin das eigene Netzwerk stets im Blick und verpasst keine schwerwiegenden Fehler mehr.

VMware, Intel-CPUs und mehr – mit PRTG lässt sich alles überwachen

Mit PRTG Network Monitor lassen sich nahezu alle bekannten Software-Umgebungen wie VMware, Microsoft Exchange, Amazon Webservices, etc. überwachen, aber auch Hardware-Komponenten wie Switches, Speicher, Festplatten, Prozessoren, etc. lassen sich damit sehr gezielt monitoren.

Hierfür setzt PRTG Network Monitor sogenannte Sensoren ein, die einen bestimmten Zustand einer Komponenten darstellen. Das kann ein Switch-Port sein, der DNS-Server, eine URL oder ein bestimmter Temperaturwert eines Prozessors, der nicht überschritten werden darf.

PRTG Network Monitor - Software-Support

Von 0 bis 45.000 Euro – das kostet PRTG Network Monitor

An der Zahl der zu überwachende Sensoren orientiert sich übrigens der Preis, der für eine benötigte PRTG-Lizenz fällig wird. So sind die ersten 100 Sensoren kostenlos, wofür die Freeware-Edition bereit steht. Pro Gerät kommen etwa 10 Sensoren zum Einsatz, womit die Freeware-Variante etwa 10 Netzwerk-Komponeten überwacht. Das reicht für kleine Netzwerke völlig aus.

Darüber hinaus gibt es sechs weitere Lizenzmodelle, die von maximale 500 bis zu theoretisch unendlich vielen Sensoren reicht. Die Preise bewegen sich zwischen 1.200 Euro für bis zu 500 Sensoren bis zu 8.000 Euro für die 5.000-Sensoren-Variante. Die Unlimited-Versionen kosten 12.900 bzw. 45.000 Euro. In diesem Fall sollte man auf jeden Fall den Vertrieb der Paessler AG kontaktieren.

PRTG Network Monitor - Preistabelle