Netzwerk-Überwachung mit der Telemetrybox

Wer Netzwerke verwalten muss, der braucht eine Vielzahl unterschiedlicher Tools zur Überwachung, Benachrichtigung, statistischen Auswertung oder Steuerung. Viele dieser Tools sind freie Software. Was liegt also näher, als die wichtigsten in einer Linux-Distribution für genau diesen speziellen Zweck zusammenzufassen. Genau das leistet die Telemetrybox.

Sie stellt ein komplett konfiguriertes Debian-GNU/Linux-System mit lauffähig eingebundenem Netsaint und zusätzlichen Programmen bereit. Perl und Apache sind bereits installiert, Letzterer ist für Netsaint vorkonfiguriert. Der Anwender muss lediglich die Tbox installieren oder auch nur von der Live-CD starten, um eine sofort nutzbare Netzwerküberwachung zu erhalten. Alle Funktionen sind über ein Web-Interface erreichbar, Browser genügt.

Die aktuelle Release 1.6.9 basiert auf Debian GNU/Linux 3.0 (Woody) mit Kernel 2.4.18. Zusätzlich sind noch X-Window, KDE 2.2 und etliche Dienste vorhanden, mit denen die Telemetrybox weit mehr kann als Netzwerke überwachen (siehe Kasten "Te-lemetrybox in Kürze"). Die Basisversion unterliegt nach Angaben der Hersteller der GPL und steht als ISO-Image zum Download bereit. Allerdings nur nach einer Registrierung, bei der man sein Einverständnis zu Kundenbefragungen erklären muss. Daneben gibt es auch noch kommerzielle Programmvarianten.

Man kann mit der vom ISO-Image gebrannten CD das System auf die Platte installieren, aber auch mit einem Testsystem komplett von CD arbeiten. Auf diese Weise können sich an der Tbox Interessierte einen ersten Eindruck verschaffen. Nützlich ist das auch für nur kurz andauerende Überwachungsaufgaben, etwa in Heimnetzen.

Abbildung 1: Das Zertifikat von Snake Oil ist schon etwas in die Jahre gekommen, aber auf diese Weise begreift der Administrator schneller, dass er sich ein eigenes bauen muss.

Schweigsame Installation

Die Boot-CD installiert das System wahlweise mit automatischer Partitionierung oder manuell per »cfdisk«. Die Komplettinstallation belegt etwa 650 MByte. Die Installation selbst verläuft ziemlich wortkarg: Weder die Partitionierung noch das anschließende Kopieren der Pakete verfügt über eine Fortschrittsanzeige. Nach etwa 15 Minuten auf einem 1-GHz-PC ist die Installation beendet, außer den Überwachungswerkzeugen sind dann auch KOffice, Abiword, Mozilla und Evolution auf der Festplatte. Eine gewisse Überraschung ist die elektronisch verfügbare Bibel. Der Tbox-Entwickler Christoph Lameter bezeichnet sich als gläubigen Christen.

Via Ascii-Konsole kann nun ein X-Window konfiguriert oder das Tastaturlayout angepasst werden. Für den Betrieb der Tbox ist das X-Window-System nicht erforderlich. Konsequenterweise bootet die Tbox auch nur in den Konsolenmodus durch. Administratoren, die den Überwachungsrechner auch als Workstation nutzen, werden etwas Desktop-Komfort jedoch zu schätzen wissen. Da ein Admin des Englischen ohnehin mächtig sein muss, fällt auch die fehlende deutsche Sprachunterstützung des KDE kaum ins Gewicht.

Eine Aktualisierung der Tbox-Suite erfolgt am besten per Internet-Update; dazu verbindet sich die Tbox per FTP mit den entsprechenden Debian-Servern. Auch das Einspielen zusätzlicher Pakete wie Webmin oder Squid kann auf diesem Weg geschehen.

Die Tbox unterstützt SSH; Arbeiten, die nicht über das Web-Interface durchgeführt werden können, sind auf diesem Weg bequem und sicher auch remote zu erledigen. Dafür reichen die installierten Editoren ViM und Joe völlig aus. Zugang zu den eigentlichen Funktionen erhält man erst nach einem Login, alle dazu erforderlichen Informationen stehen leider direkt auf der Index-Seite. Das sofortige Ändern der Passwörter ist deshalb unumgänglich.

Der Zugriff über den Browser kann per Default sowohl verschlüsselt (HTTPS) als auch unverschlüsselt (HTTP) erfolgen. Wird eine Verbindung per HTTPS aufgebaut, dann sorgt zunächst die Meldung über ein veraltetes Zertifikat für Erstaunen (siehe Abbildung 1), allerdings muss man in einer Produktionsumgebung ohnehin eigene Zertifikate verwenden. Auch die Hostkeys für SSH sind übrigens unbedingt zu ändern. Die Telemetrybox bringt nämlich einen fest eingestellten Hostkey mit, der folglich überall gleich ist.

Nach der Authentifizierung als »admin« gelangt man in den Hauptbereich der Tbox, hier überrascht zunächst einmal die Fülle der Funktionen: DNS, Firewall, Router, SQL-Editor und vieles mehr - das geht doch ein wenig über den eigentlichen Zweck der Netzwerküberwachung hinaus.

Mittels Nmap können einzelne Hosts oder ganze Netzwerke gescannt werden. Der Output dieses Scans lässt sich automatisch in die entsprechenden Netsaint-Konfigurationsfiles umwandeln. So geht kein Rechner verloren und Syntaxfehler sind ausgeschlossen. Kombiniert man die automatische Erfassung mittels Nmap jedoch mit dem manuellen Eintrag von Hosts, kommt es gelegentlich zu Inkonsistenzen.

Abbildung 2: Die Startseite der Tbox. Nach dem Login erhält der Nutzer Zugriff auf die einzelnen Programme.

Die anschließende Feinkonfiguration erfolgt über das eingebundene Netsaint Easy Administration Tool (NEAT), hier lassen sich Hosts zu Gruppen zusammenfassen, Abhängigkeiten einzelner Dienste voneinander definieren und so weiter. Schade ist allerdings, dass nur jene Dienste aufgelistet sind, zu denen auch ein entsprechendes Netsaint-Modul verfügbar ist.

Findet Nmap einen offenen Port, zu dem kein Netsaint-Modul existiert, dann taucht dieser Port auch später nirgendwo mehr auf. Es kann also leicht passieren, dass man Dienste übersieht. Schön wäre es, wenn solche unbekannten Ports separat aufgelistet würden, der Administrator hätte damit eine Gelegenheit, diese Ports als offene Punkte auf seiner To-do-Liste zu führen. Beim gegenwärtigen Stand bleibt nur der Ausweg, den Output eines Nmap-Scans per Zwischenablage aus der Browser-Page in ein Textfile zu kopieren und dann später abzuarbeiten.

Abbildung 3: Die Host-Konfiguration erfolgt mit dem NEA-Tool.

Nach dem Scannen Neustart nicht vergessen

Nach dem Scannen mit Nmap und der Feinkonfiguration durch NEAT ist ein Neustart von Netsaint fällig, damit die Änderungen wirksam werden. Er kann entweder sofort oder mit einer einstellbaren Verzögerung über das Web-Interface erfolgen.

Werden Services konfiguriert, fällt ein falsch gesetztes Datei-Attribut auf: In die Datei »/etc/netsaint/plugins-auto.cfg« kann nicht geschrieben werden. Mit

chmod 644
/etc/netsaint/plugins-auto.cfg

ist das aber behebbar. Danach lässt sich das so konfigurierte Netzwerk auf korrekte Funktion überwachen. Den Hostnamen sollte man übrigens nicht über das Web-Interface ändern, denn er bleibt trotzdem noch im Original innerhalb der »hosts.cfg« und bei diversen anderen Einträgen stehen, lässt sich also nicht einfach auflösen. Besser ist es, den Aliasnamen des Hosts zu ändern.

Abschluss dieser Konfigurationen ist ein Plausibilitätscheck, NEAT prüft die Angaben auf Vollständigkeit und Stimmigkeit. Danach sollte Netsaint neu gestartet werden, um die Änderungen in den laufenden Betrieb zu übernehmen.

Abbildung 4: Das Ergebnis eines Portscans auf die Standardinstallation der Tbox.

Wer die angebotenen grafischen Ansichten nutzen möchte, muss per Hand die Datei »/etc/netsaint/nscgi.cfg« editieren und die entsprechenden Einträge unterhalb der Rubrik »Hostextinfo« vornehmen. Ohne diese Änderungen erscheinen die zu überwachenden Rechner nur als leere Rechtecke. Damit die Grafiken auch zu finden sind, ist es notwendig, im Verzeichnis »/usr/share/netsaint« einen Link auf das Verzeichnis »images« zu setzen:

cd /usr/share/netsaint
ln -s /usr/share/netsaint/htdocs/images images

Zu allen Hosts und Services lassen sich Kommentare hinterlegen, so können Kollegen über den Stand der Dinge informiert oder auch Zusatzinformationen abgelegt werden. Es besteht auch die Möglichkeit, gezielt weitere Checks zu unterbinden oder zeitweise abzuschalten. Das empfiehlt sich, um bei geplanten Wartungsarbeiten oder Abschaltungen aus anderen Gründen den Alarm zu unterdrücken (Abbildung 5).

Wer sich erst einmal in die Grundzüge von Netsaint eingearbeitet hat, kann die Tbox rasch konfigurieren. Dabei sind die zusätzlichen Programme der Tbox sehr hilfreich, auch wenn sie nicht so sorgfältig vorkonfiguriert sind wie Netsaint. Wer die Tbox an einer öffentlichen IP betreibt, sollte sich noch ein wenig mit der Konfiguration des gesamten Systems beschäftigen, denn in der Voreinstellung gibt sich das System sehr auskunftsfreudig, wie ein Portscan zeigt: SSH, SMTP und HHTP klären jeden über die installierten Versionen auf.

Die kommerziellen Versionen sind laut Auskunft von Christopher Lambert weniger geschwätzig, sondern entsprechend gehärtet. Wichtiger als die Auskunftsfreude bei der Versionsangabe sind jedoch der erwähnte SSH-Hostkey und das SSL-Zertifkat.

Abbildung 5: Jeder Host lässt sich individuell modifizieren.