ADMIN

2023

05

2023-04-28T12:00:00

Lokale Netzwerke

TESTS

019

Netzwerk

Monitoring

ManageEngine OpUtils

Allrounder fürs Netz

von Thomas Bär

Veröffentlicht in Ausgabe 05/2023 - TESTS

OpUtils von ManageEngine ist ein Toolkit für das Netzwerkmanagement, mit dem Admins die Verwaltung von Switchports und IP-Adressen vornehmen. Mehr als 30 Werkzeuge helfen bei zahlreichen Netzwerkmonitoring-Aufgaben wie der Erkennung von Rogue-Geräten, dem Überwachen der Bandbreite oder der Verfügbarkeit unternehmenskritischer Geräte. Die Sammlung bietet zwar Altbekanntes, dies jedoch klug kombiniert und einfach zu bedienen.

Kleine Netzwerkbereiche machen es relativ einfach, den Überblick über verfügbare IP-Adressen oder Switchports zu bewahren. Selbst wenn das Netzwerk wächst, ist die gute alte Port- und Adressen-Übersichtsliste in Excel noch ein guter und zuverlässiger Begleiter. Jedoch gerät dieses Konzept schnell aus den verschiedensten Gründen an seine Grenzen. Glücklicherweise gibt es hierfür praktische und leistungsfähige Anwendungen, die Administratoren diese Dokumentation abnehmen und gleichzeitig historische Daten sammeln und somit auch Vorhersagen liefern.
Ein solcher Helfer ist OpUtils aud dem Hause ManageEngine – wobei es sich genau genommen um mehr als 30 Werkzeuge handelt, die das Monitoring von Netzwerkgeräten sowie die Fehlerdiagnose ermöglichen. OpUtils ist plattformübergreifend, webbasiert und bietet eine intuitive, in vielen Sprachen verfügbare Oberfläche und ergänzt diese noch mit Alarmfunktionen.
Neben der kostenpflichtigen Variante der OpUtils bietet der Hersteller auch eine kostenfreie Version mit dem Namen "Free Edition" an. Das ist von Interesse, da eine Testinstallation der Software ohne einen Lizenzschlüssel am Ende der dreißigtägigen Testphase automatisch zu einer freien Version wird. Wir haben uns aus der Sammlung der Tools auf drei Bereiche konzentriert, die auch im Wesentlichen die kostenfreie und die kostenpflichtige Version voneinander unterscheiden: IP- und Switchport-Management sowie die Identifikation von unbekannten Adressen, die sogenannte "Rogue Detection". Dies sind allesamt Funktionen, die es nur in der kostenpflichtigen Edition gibt.
Kleine Netzwerkbereiche machen es relativ einfach, den Überblick über verfügbare IP-Adressen oder Switchports zu bewahren. Selbst wenn das Netzwerk wächst, ist die gute alte Port- und Adressen-Übersichtsliste in Excel noch ein guter und zuverlässiger Begleiter. Jedoch gerät dieses Konzept schnell aus den verschiedensten Gründen an seine Grenzen. Glücklicherweise gibt es hierfür praktische und leistungsfähige Anwendungen, die Administratoren diese Dokumentation abnehmen und gleichzeitig historische Daten sammeln und somit auch Vorhersagen liefern.
Ein solcher Helfer ist OpUtils aud dem Hause ManageEngine – wobei es sich genau genommen um mehr als 30 Werkzeuge handelt, die das Monitoring von Netzwerkgeräten sowie die Fehlerdiagnose ermöglichen. OpUtils ist plattformübergreifend, webbasiert und bietet eine intuitive, in vielen Sprachen verfügbare Oberfläche und ergänzt diese noch mit Alarmfunktionen.
Neben der kostenpflichtigen Variante der OpUtils bietet der Hersteller auch eine kostenfreie Version mit dem Namen "Free Edition" an. Das ist von Interesse, da eine Testinstallation der Software ohne einen Lizenzschlüssel am Ende der dreißigtägigen Testphase automatisch zu einer freien Version wird. Wir haben uns aus der Sammlung der Tools auf drei Bereiche konzentriert, die auch im Wesentlichen die kostenfreie und die kostenpflichtige Version voneinander unterscheiden: IP- und Switchport-Management sowie die Identifikation von unbekannten Adressen, die sogenannte "Rogue Detection". Dies sind allesamt Funktionen, die es nur in der kostenpflichtigen Edition gibt.
ManageEngine OpUtils
Produkt
Software für das Router-, Switchport- und IP-Adress-Management.
Hersteller
ManageEngine
Preis
Die Software wird in Kauf- und Mietoption angeboten. Eine Basisinstallation für 250 Switchports und 250 IP-Adressen im IPAM für maximal zwei Benutzer kostet knapp 390 Euro beziehungsweise 156 Euro jährlich. Eine in Bezug auf Ports und IP-Adressen unlimitierte Einzelinstallation für maximal zwei administrative Benutzer kostet rund 16.270 Euro beziehungsweise rund 6510 Euro jährlich.
Systemvoraussetzungen
Duo- beziehungsweise Quad-Core CPU, 4 GByte RAM und rund 10 GByte Festplattenspeicherplatz. Unterstützt bei der Installation Windows Server 2008 R2 und höher, RedHat 7 bis 8.4, CentOS Stream 8 oder CentOS 7 bis 8.5.
Technische Daten
Zügige Installation
Die Installation hat ManageEngine besonders einfach gestaltet. Nicht selten dürfen IT-Profis die Erfahrung machen, dass bei der Einrichtung einer Software zunächst einmal ein stundenlanges Zusammenstellen von Voraussetzungen ansteht. Dies ist hier nicht der Fall. Der Download des knapp 290 MByte großen Installationspakets ist schnell erledigt. Befindet sich der aktuelle Computer, auf dem die Installation durchzuführen ist, in einer Domäne und verfügt der angemeldete Benutzer über Domänenadministrationsrechte, ist nichts weiter zu machen als eine Frage zum Installationsort und der Portadresse für den Webservice zu beantworten. Die Systemvoraussetzungen sind mit einer beliebigen Doppelkern-CPU, 4 GByte RAM und 10 GByte HDD-Speicher fast schon minimalistisch. Ein kleines Datenbankmodul für die integrierte PostgreSQL-DB installiert das Programm gleich mit. Bei Bedarf kann ManageEngine OpUtils aber auch eine bereits vorhandene Microsoft-SQL-Server-Datenbankumgebung nutzen.
Durch den Einsatz der Software entstehen für die Netzwerkumgebung keinerlei Abhängigkeiten. Die OpUtils lesen Informationen aus Switches, Routern oder dem DHCP-Server ausschließlich aus und stellen diese in einer zentralisierten Ansicht zur Verfügung. Es ist somit für den Betrieb des Gesamtsystems ohne Bedeutung, ob der Server mit der OpUtils-Installation arbeitet oder nicht. Apropos Server: Sofern die Software nur im Rahmen einer Evaluationsinstallation zum Einsatz kommt, ist eine Einrichtung auch auf einem Client mit Windows 8.1 oder höher möglich. Neben einer Windows-Variante bietet der Hersteller die Software bei identischem Leistungs- und Funktionsumfang auch für diverse Linux-Distributionen an.
Für den Test installierten wir das Paket auf einem virtualisierten Windows Server 2016 in einer Windows-2019-Domäne. Nach dem Aufsetzen erfolgt der Zugriff auf die Software ausschließlich per Webbrowser. Auch hier stießen wir im Zuge unserer Tests auf keinerlei Probleme, egal welchen Browser wir auf welcher Plattform nutzten. Und wie bei vielen Browser-basierten Applikationen haben es sich die Entwickler nicht nehmen lassen, eine App für Android und iOS zur Verfügung zu stellen, mit deren Hilfe ein Administrator auch einen Teil der Befehle und Übersichten auf seinem Mobilgerät nutzen beziehungsweise einsehen kann.
Bild 1: Das übersichtliche Dashboard von OpUtils fasst alle wichtigen Informationen grafisch ansprechend zusammen. Die dargestellten Elemente führen in eine feinere Auflistung.
Viel Unterstützung beim Einstieg
Nach der Installation öffnet sich auf dem Server automatisch der festgelegte Browser und gibt den Blick auf die OpUtils-Webseite frei. Freundlicherweise haben die Entwickler den Standard-Loginnamen und das Passwort (admin/admin) direkt auf die Webseite geschrieben – das spornt den auf Sicherheit getrimmten Administrator begrüßenswerterweise an, dieses Passwort unmittelbar zu ändern. Ein Dialogfenster empfiehlt zudem gleich den Wechsel von HTTP auf HTTPS vorzunehmen, um über eine gesicherte Verbindung zu kommunizieren. Beinahe überschlagen sich die Ereignisse zu diesem Zeitpunkt und ein Konfigurations-Wizard möchte sich sofort über das Netzwerk hermachen, um IP- und MAC-Adressen zu ermitteln. Hierzu empfiehlt es sich, die SNMP-Credentials schon einmal einzutragen, um ein besseres Bild zu gewinnen.
Schon beim ersten Blick hat sich die Software, abhängig vom IP-Bereich des Servers, mit dem Netzwerk vertraut gemacht und zeigt farblich ansprechend im Dashboard die "IP-Verfügbarkeit" in einer sogenannten Konzentrationskarte an. Weitere Elemente im Dashboard sind die Top-10-Subnetze, Top-10-Gruppen mit belegten IP-Adressen, eine IP-Verfügbarkeitsübersicht, ein DNS-Status und eine Donut-Grafik der verschiedenen Netzwerkkartentypen.
Am oberen Bildschirmrand thront das Hauptmenü mit den Einträgen Dashboard, IP-Adressmanager, Switchportzuordnung, Networking Tools, Alarme, Toolset, Einstellung und Berichte. Je nach Auswahl im Hauptmenü öffnet sich mitunter ein Untermenü für den Zugriff auf die einzelnen Werkzeuge. In jedem Fall reagiert die Oberfläche stets prompt, es finden sich an der passenden Stelle kleine Hilfstexte und insgesamt kann das Design und die Funktionalität als gelungen bezeichnet werden. Neben Deutsch kann der Benutzer die Oberfläche auf eine von 18 weiteren Sprachen einstellen. Rollenseitig gibt es zwei verschiedene Definitionen: Administrator oder Operator. Für die Benutzerverwaltung bietet das Programm eine eigene Verwaltung oder eine AD-Authentifizierung. Alle Konfigurationsschritte, von der AD-Einbindung, der Switch-Einbindung, dem E-Mail-Versand für Berichte bis hin zur Definition von Scheduler-Einstellungen, verliefen ohne Haken.
IP-Adressen im Griff
Die IP-Adressverwaltung (IPAM) von OpUtils hilft dem Administrator, den IP-Adressraum, einschließlich der IPv4- und IPv6-Adressen, mithilfe von IP-Adress-Tools einfach zu überwachen. Die IP-Adressverwaltung fungiert als eine zentralisierte IP-Verwaltung aller vernetzten Geräte über mehrere IP-Subnetze und -Supernetze hinweg. Praktischerweise unterstützt die Software verschiedene DHCP-Server-Typen, darunter Microsoft DHCP-Server, Linux-Server, Router von Cisco über SSH oder Telnet sowie Firewallsysteme von Fortinet und Palo Alto.
Bei Bedarf ist es aber auch möglich, IP-Bereiche komplett manuell zu hinterlegen, um so einen annähernd Echtzeitstatus jeder IP-Adresse im Unternehmensnetzwerk zu erhalten. Bewaffnet mit IP-Adressscannern prüft die Software, in Abhängigkeit zu den festlegbaren Richtlinien, regelmäßig die Netzwerke, um den Verfügbarkeitsstatus von IP-Adressen anzuzeigen. Anders als bei einer manuellen Excel-Liste weiß der Netzwerkverantwortliche mit einem Klick, ob die eine IP-Adresse reserviert oder frei ist.
Die IP-Adressverwaltungstools integrieren sich auch in das Active Directory und prüfen, ob die IP-Adresse zu einem Computerobjekt im AD gehört. Der IP-Verwaltungsdienst der Software durchsucht das Verzeichnis regelmäßig, um die Details der Computerobjekte abzurufen und die Datenbank zu aktualisieren. Bei Computern, die sich im AD befinden, werden die Details wie Erstellungszeit, GUID, letzte Anmeldung, Betriebssystemname und Betriebssystemversion vom IP-Adresstool abgerufen und angezeigt.
Sehr hilfreich für die historische Betrachtung und bei der Fehlersuche ist die mitlaufende Dokumentation der zugewiesenen IP-Adressen und dahintersteckenden MAC-Adressen. Dies hilft Administratoren, die mit IP-Adressenmanagern vorgenommenen Änderungen nachzuvollziehen und zu prüfen. IT-Verantwortliche können auch den Benutzer verfolgen, dem eine bestimmte IP-Adresse an einem bestimmten Datum zugewiesen wurde, indem sie den IP-Verlauf mit diesen IP-Adresstools verwenden.
Schnell lernt der IT-Profi bei der Arbeit mit OpUtils einen Begriff, den er normalerweise gar nicht im Sprachschatz hat: "Transient". In der Grundlogik der Software wird der Status einer IP-Adresse täglich geprüft. Ist sie in Verwendung, lautet der Status "Used", ist sie "Down", läuft ein Zähler über zehn Tage und trifft dieser Status seit mehr als zehn Tagen zu, gilt sie als "Available", ansonsten ist sie "Transient".
Der IP-Adressmanager besitzt wie zu erwarten eine Benachrichtigungsfunktion, die auf dem Versand von E-Mails beziehungsweise auf einem Syslog-Eintrag basiert. Insgesamt gibt es neun verschiedene Ereignisse, die eine Info auslösen können: Wenn eine IP-Adresse, die im Status von "Genutzt" zu "Transient" oder "Verfügbar" wechselt, beim DNS ein Rück- beziehungsweise Vorwärtsauflösen nicht möglich ist, eine Vorwärtsauflösung eine andere IP-Adresse erzeugt, die IP-Auslastung in einem Subnetz einen definierbaren Prozentwert unterschreitet, die IP-Auslastung höher als ein definierter Prozentwert ist, wenn es zu Änderungen bei der MAC- und IP-Adressenkombination kommt, der Reservierungsstatuts für eine IP-Adresse sich ändert oder wenn es zu einem IP-Adressenkonflikt kommt.
Bild 2: OpUtils ist ein hilfreiches Werkzeug beim Gesamtüberblick der Switchports.
Switches einfach verwaltet und geplant
Was OpUtils für IP-Adressen leistet, bietet das Programm auch für managebare Switches. Insbesondere wenn Geräte häufig zwischen Switch-Abschnitten wechseln, wird es für den Administrator schwieriger, den Überblick zu behalten. In einem großen Spanning-Tree-Netzwerk sind einzelne Switches sehr hohen Lasten ausgesetzt, während andere eher wenig zu tun haben. Darüber hinaus ist es schwierig, eine Fehlerbehebung durchzuführen, weil sich das betroffene Gerät nicht immer genau lokalisieren lässt.
Die Switchport-Nutzung stellt da keine Ausnahme dar. Nicht selten wird der Bedarf unterschätzt, was dazu führt, dass plötzlich keine Ports mehr zur Verfügung stehen. Aber auch der entgegengesetzte Fall ist häufig anzutreffen: Ports bleiben ungenutzt, da der Bedarf zu hoch geschätzt wurde. Aufgrund unzureichender Kapazitätsplanung investieren viele IT-Administratoren in teure Switch-Kapazität, was sich vermeiden lässt, wenn die Nutzung der Ports dokumentiert ist und sich wie mit dem OpUtils Trends darstellen lassen.
OpUtils dokumentiert die Verwendung von Ports und protokolliert die Daten im sogenannten "Switch Port Mapper" und arbeitet dabei herstellerunabhängig. Unterstützt sind am Markt bekannte Anbieter wie Cisco, Nortel, HP, Foundry, Extreme Networks, Intel, DLink, Huawei 3com, Allied Telesyn, Alcatel, Force 10 oder Dell. Je nachdem, wie das System konfiguriert ist und ob ein Active Directory im Einsatz ist, zeigt die Software auch an, welcher angemeldete Benutzer sich hinter dem Port-Nutzer verbirgt. Praktischerweise gibt es eine Suchfunktion für IP-Adressen, MAC-, DNS-Namen, Subnetze oder Standorte. Die Einbindung unseres SG350-28 28-Port-Switches von Cisco verlief vollkommen problemlos.
Bild 3: OpUtils überwacht den Status von MAC-Adressen und ist in der Lage, bei Bedarf Alarm zu schlagen, sofern es unbekannte Netzwerkgeräte findet.
Fremde Geräte leicht identifiziert
In vielen Unternehmen sind die Netzwerke schlichtweg gewachsene Strukturen und nicht wenige Administratoren müssen hinter vorgehaltener Hand zugeben, dass sie nicht exakt wissen, was für Geräte sich in ihrer Umgebung letztendlich befinden. Im Vergleich zu einer Verzeichnisstruktur wie dem Active Directory macht es das Netzwerk den IT-Profis schwerer, da auch ohne eine explizite Zustimmung eine Nutzung des Netzwerks möglich sein kann. Glücklich darf sich schätzen, wer sein LAN und hier insbesondere das VLAN bereits unter Kontrolle gebracht hat und weiterhin für Ordnung sorgt.
Auch bei unangemeldeten und somit unbekannten Geräten, also "Rogue Devices", bieten die OpUtils eine Hilfestellung. Üblicherweise sind dies unangemeldete Clients oder Access Points (AP). Dahinter können sich, wie in den meisten Fällen, harmlose Besucher-Computer verbergen, aber ebenso böswillige Angreifer. Vor diesem Hintergrund ist eine regelmäßige Überprüfung des Netzwerks auf Rogue-Geräte überaus sinnvoll. Da OpUtils ohnehin das Netzwerk nach Veränderungen in Bezug auf IP- und MAC-Adressen prüft, ist eine Identifikation von Fremd- beziehungsweise Neugeräten mit der Software recht einfach zu lösen.
Die Anwendung berücksichtigt dabei unterschiedliche Gerätetypen wie Desktops und Laptops, die über ein Kabel mit dem Netzwerk verbunden sind, mobile Anwender, die drahtlose Verbindungen nutzen, sowie Router oder Switches. Entdeckt OpUtils bei einem Scan neue Systeme oder Geräte, setzt es diese automatisch auf die Rogue-Liste. In der deutschen Sprachvariante der Software nennt sich diese Liste "Verdachterkennung". Neben der MAC-Adresse gibt das Programm die IP-Adresse, den DNS-Namen und den Netzwerkkartentyp aus, sofern dieser der Software bekannt ist. Marktführende Namen wie VMware oder Cisco, aber auch eher im Consumer-Segment aktive Firmen wie Tenda oder der kostengünstigere VoIP- und Telefonanbieter Grandstream wurden im Test korrekt identifiziert. Sofern das Netzwerkendgerät an einem verwaltbaren und im OpUtils bekanntgemachten Switch angeschlossen ist, gibt die Software auch die entsprechende Portadresse aus und zeigt in der Spalte "Verbundener Switch" das netzwerktechnische Stammgerät an.
Jedes neue, bis dahin unbekannte Gerät hat den Staus "Entdeckt". Über eine Markierung, die ein einzelnes oder mehrere Geräte umfassen kann, ordnet der Administrator die Geräte einem der anderen Status zu: Vertrauenswürdig, Verdächtig und Gast. Daneben findet sich in jener Liste ein weiterer Befehl, zumindest wenn der beteiligte Switch managebar ist. Markierte Geräte konnten wir über einen Switch-Befehl direkt blockieren oder wieder freigeben. Es war somit nicht erforderlich, sich den Switch-Port zu merken und in eine andere Oberfläche zu wechseln, um den Netzwerktransfer zu oder von dem Gerät zu blockieren beziehungsweise wieder freizugeben. Der Gast-Status sieht einen Zeitraum vor, indem das Gerät benutzt werden darf.
An sich eine sehr nützliche Funktion – doch leider nicht konsequent zu Ende gedacht: Zwar konnten wir uns weitere Informationen in der Spaltenübersicht anzeigen lassen, beispielsweise den Kom- mentar oder den Systemstandort, erhielten jedoch nicht die Information, ob dieser Port über diese Funktion blockiert wurde. In der Produktdokumentation schreibt der Hersteller, dass nach der Markierung als "Rogue" entsprechende Maßnahmen ergriffen werden können – ohne dass dies nun Aktivitäten wären, die sich aus dem Programm ergeben.
Praktischer indes ist die Variante, bei der alle bekannten Geräte den Status "Gast" ober "Vertrauenswürdig" besitzen und die Software eine Alarmierung durchführt, sobald sich ein unbekanntes oder nicht autorisiertes Gerät im Netzwerk tummelt. Die Benachrichtigung kann per SYSLOG-Eintrag oder per E-Mail-Versand geschehen und lässt sich in den "Einstellungen" definieren. Auch hier sind die verschiedenen Parameter zwar überschaubar, jedoch ergibt sich eine recht gute und einfach zu verwendende Form der Netzwerküberwachung. Basis der Überwachung ist dabei stets die MAC-Adresse.
Zweifaches Berichtswesen
OpUtils bietet eine ganze Menge an Berichten für das IP-Adressenmanagement und die Switchport-Zuordnung: Ungenutzte IP-Adressen, reservierte statische IP-Adressen, IP-Nutzungsübersicht, Betriebssystem-Typübersicht, per DHCP reservierte und vergebene IP-Adressen, Switchport-Zuordnung, Switches nach Nutzung und viele mehr. Durch einen Klick auf den Bericht erscheint eine tabellarische Ansicht mit den gewünschten Informationen und die Möglichkeit zur Filterung. Als Export bietet die Software die Formate PDF und CSV an. Über einen Zeitplaner konnten wir – leider nur getrennt für IP- und Switch-Management – die Informationen auch als PDF-, CSV- und XLSX-Datei an einen oder mehrere E-Mail-Empfänger schicken lassen.
Eine andere Auswertung stellt der Op-Utils-Auditbericht dar. Hierbei handelt es sich um eine Zeitstempel-gestützte Auflistung der Konfigurations- und Bearbeitungsaktionen von Seiten der OpUtil-Administratoren. Wird beispielsweise eine MAC-Adresse als vertrauenswürdig markiert oder ein Scheduler-Wert geändert, finden sich diese Einträge dokumentiert in dieser Auflistung, die mithilfe von fünf Filtern auf die gewünschten Bereiche eingrenzbar ist.
Fazit
Die OpUtils sind ein praktisches und hilfreiches Werkzeug für Netzwerkverantwortliche. Keines der Werkzeuge ist eine besondere technische Innovation oder einzigartig auf dem Markt. Aber, und eben das macht die OpUtils aus, die Mischung und besonders die sehr einfache Bedienung und Inbetriebnahme heben das Produkt in die Kategorie unverzichtbares Tool.
(jp)
So urteilt IT-Administrator
Bewertung
Switch-Management7
IP-Adressmanagement7
Rogue-Device-Erkennung7
Alarmfunktionen6
Berichtswesen6
Dieses Produkt eignet sich
optimal
für Firmen, die Kontrolle in einem großen oder komplexen Netz haben müssen.
bedingt
für Enterprise-Unternehmen, die bereits ein IPAM in Betrieb haben.
nicht
für kleine Firmen mit einem überschaubaren Netzwerk.