Firewalleinstellungen und Voraussetzungen für Smart Monitoring

Dies ist eine Übersicht über die Voraussetzungen, die vom Auftraggeber vor der Implementierung der Monitoring Lösung zu schaffen sind. Wir garantieren nicht für die Vollständigkeit der Angaben, je nach Projekt können weitere, individuelle Anforderungen hinzukommen. Bitte wenden Sie sich hierfür an Ihren technischen Ansprechpartner.

 

Benötigte Infos zur Einrichtung der Probe
Als Bauform wird die Monitoring-Appliance in einer 19" rackfähigen Gehäusevariante geliefert. 
 
Für die Netzwerkeinstellungen benötigen wir zur Konfiguration des Geräts folgende Informationen:
• Für das System: eine IP-Adresse (bitte teilen Sie uns eine statische Adresse zu, hierfür benötigt das Gerät einen Switch-Port), Netzmaske, Standard-Gateway und DNS-Server Adresse
○ Bitte vergeben Sie dem Gerät auch einen DNS-Namen, den Sie in Ihrem DNS hinterlegen (inkl. Reverse-DNS Eintrag) und teilen ihn uns mit.
• Für den Management-Port (z. B. ILO): eine weitere IP-Adresse (bitte teilen Sie uns dafür eine weitere statische Adresse zu, hierfür benötigt das Gerät einen weiteren Switch-Port), Netzmaske, Standard-Gateway, DNS-Server Adresse
• Öffentliche IP, von der aus die Probe Daten an uns versendet (damit wir entsprechend unsere Seite konfigurieren können). Sollte eine zweite (Backup-) Internet-Leitung existieren, über die eine weitere öffentliche IP verwendet wird, benötigen wir diese bitte ebenfalls.

Vorbereitende Einrichtungen 
In Ihrer Firewall müssen bitte (sofern sie geblockt sind) für die Probe folgende Kommunikationswege geöffnet werden:
Probe-IP in Richtung Internet:
• Quelle: Probe-IP (Port: any) -> Ziel (Internet: prtg-probes.hamburg-cloud.de, IP 188.94.27.83): Port 23560 (TCP)
• Quelle: Probe-IP (Port: any) -> Ziel (Internet: ibcm.hamburg-cloud.de): Port 443 (TCP) für Windows-Sicherheitsupdates aus der Hamburg-Cloud
• Quelle: Probe-IP (Port: any) -> Ziel (Internet: fks-gitlab.hamburg-cloud.de,
IP 188.94.28.217): Port 22 (TCP) für PRTG Skripte Updates
• Quelle: Probe-IP (Port: any) -> Ziel (Internet): Ports 80, 443 (TCP) für z. B. Windows- und PRTG-Updates
• Quelle: Probe-IP (Port: any) -> Ziel (Internet): Port 123 (UDP) für NTP

Sollte zwischen Probe und internem Netz eine Firewall stehen, sind bitte zusätzlich folgende Ports (für jedes zu überwachende System, ggf. sind hier zusätzlich VLAN Konfigurationen vorzunehmen) freizugeben:
Probe-IP in Richtung überwachendes System:
• Quelle: Probe-IP -> Ziel (internes Netz): ICMP
• Quelle: Probe-IP (Port 1024-65535) -> Ziel (internes Netz): Port 53 (TCP, UDP) für DNS
• Quelle: Probe-IP (Port: any) -> Ziel (internes Netz): Port 161 (UDP) für SNMP
• Quelle: Probe-IP (Port: any) -> Ziel (internes Netz): Port 135 (TCP & UDP) für WMI
• Quelle: Probe-IP (Port: any) -> Ziel (internes Netz): Ports 1025-5000 (UDP & TCP) für DCOM (WMI Windows 2000, Windows XP und Windows Server 2003) bzw.
• Quelle: Probe-IP (Port: any) -> Ziel (internes Netz): Ports 49152-65535 (UDP & TCP) für DCOM (WMI Windows Server 2008, Windows Vista und höher)
• Quelle: Probe-IP (Port: any) -> Ziel (internes Netz): Ports 5985, 5986 (TCP) für WinRM (PS Remoting und WMI ab Windows Server 2012)
• optional, je nach Bedarf weitere Ziel-Ports (z.B. 80,443 zum Überwachen von Webdiensten, 1433 für MSSQL, 3306 für MySQL etc.). Beispiele weiterer Ports und Übersicht der von PRTG benötigten Ports siehe https://kb.paessler.com/en/topic/61462-which-ports-does-prtg-use-on-my-system. Details zur WMI Konfiguration und alternative Einstellungen (Port-Bereich verkleinern, Zugriffsrechte WMI Konto) siehe https://kb.paessler.com/en/topic/1043-my-wmi-sensors-don-t-work-what-can-i-do
 
Die Firewalls der zu überwachenden Systeme müssen diesen Datenverkehr zulassen (z. B. Windows-Firewall den WMI/DCOM- und Remote-PS Verkehr).

Zugangsdaten für die zu überwachenden Systeme und Produkte müssen vorliegen. Für die Probe sind dies am Beispiel von SNMPv2c ein Community String, bei SNMPv3 Benutzername und Passwort, bei WMI ist dies ein Konto in der Gruppe Domänen-Admins (bzw. auf jedem der Systeme Mitglied der lokalen Administratoren-, DCOM- und Performance Monitoring Gruppen).

"Remote Access Rights" müssen für die Probe (bzw. das verwendete Benutzerkonto) auf den zu überwachenden Systemen erlaubt sein. SNMP sollte als Feature auf den Windows-Servern installiert sein. PSRemoting muss gestattet (Enable-PSRemoting -Force), ein Zugriff über WinRM erlaubt sein (winrm quickconfig, ggf., falls HTTPS gewünscht wird, muss ein Client-Zertifikat übergeben werden).

Ein Zugriff auf die Probe von extern muss uns zur Verwaltung/Aktualisierung ermöglicht werden, z. B. per VPN-Zugang in Ihr Netzwerk inkl. entsprechender Firewall-Regeln (RDP zur Probe).

Kommentieren nicht möglich