Cómo monitorizar con Pandora FMS y SNMP un appliance de seguridad Sonicwall SMA (Secure Mobile Access), para los agentes/sensores/sondas de: uso de CPU, uso de RAM, usuarios conectados, versión del firmware, ping, etc.
- Requisitos para monitorizar dispositivo Sonicwall SMA por SNMP con Pandora FMS.
- Monitorizar CPU RAM Usuarios VPN conectados de Sonicwall SMA con Pandora FMS y SNMP.
Requisitos para monitorizar dispositivo Sonicwall SMA por SNMP con Pandora FMS
Necesitaremos, como es lógico, disponer de un servidor con Pandora FMS Server. En los siguientes enlaces explicamos cómo montar un servidor de monitorización con Pandora FMS:
- Desplegar sistema de monitorización Pandora FMS en 5 minutos con Docker Compose en Linux Debian.
- Instalar sistema de monitorización completo con Pandora FMS sobre Linux Ubuntu Server 22.
- Monitorización de servidores y servicios gratuita con Pandora FMS 5.0 SP1.
Para la monitorización de los módulos de uso de CPU, RAM, usuarios conectados, etc., usaremos el protocolo SNMP. Por ello, deberemos configurar el appliance a tal efecto, como indicamos a continuación. Para ello, accederemos a la consola de gestión web del Sonicwall SMA y pulsaremos en «System» y en «Administration»:
En «SNMP SETTINGS» rellenaremos los datos siguientes:
- Enable SNMP: elegiremos la versión de SNMP que se usará para la conexión. Es recomendable, por seguridad, usar la versión 3 o superior (que cifra los datos).
- System Name: nombre identificativo del dispositivo, puede ser cualquiera, por ejemplo «appliance_sma».
- System Contact: nombre del contacto (puede ser cualquiera).
- System Location: ubicación del dispositivo (puede ser cualquiera).
- Asset Number: identificador de activo (puede ser cualquiera).
- Si hemos usado SNMPv3, nos solicitará los siguientes datos adicionales:
- Username: nombre de usuario de conexión SNMP.
- Authentication(SHA-1): clave de autenticación, con método SHA.
- Privacy(AES): clave de privacidad, con método AES.
Guardaremos los cambios para activar SNMP en Sonicwall SMA. A partir de ahora, podremos acceder a este dispositivo (conociendo su IP) mediante el protocolo SNMP.
Monitorizar CPU RAM Usuarios VPN conectados de Sonicwall SMA con Pandora FMS y SNMP
Una vez configurado el dispositivo SMA con SNMP, accederemos a la gestión web de Pandora FMS y a «Recursos» – «Gestionar agentes»:
Crearemos un nuevo agente pulsando en «Crear agente» (en la parte inferior derecha de la ventana):
Rellenaremos los datos básicos del agente, principalmente:
- Alias: nombre descriptivo del agente, por ejemplo, podemos hacerlo coincidir con el nombre que tiene el dispositivo (hostname), en nuestro caso «appliance_sma».
- Dirección IP: dato muy importante, será la dirección IP de gestión del dispositivo Sonicwall SMA, con la que Pandora FMS realizará la conexión SNMP para obtener los datos.
- Descripción: introduciremos una descripción más detallada del dispositivo, por ejemplo «Sonicwall SMA para VPN y WAF».
- El resto de valores, dejaremos los de defecto (en nuestro caso): marcamos «Modo de aprendizaje» en Definición de módulos y marcamos «Activo» en el Estado.
Pulsamos «Crear» para añadir el agente:
Una vez creado el agente, pulsaremos en «Módulos» para añadir las sondas/sensores/monitores/módulos que deseemos:
Como casi siempre, crearemos un primer módulo, de ping, que es el básico. Para ello, en el desplegable «Tipo» elegiremos «Crear un nuevo módulo de servidor de red» y pulsaremos «Crear»:
Para el ping, elegiremos «Network Management» en «Utilizar módulo de librería» y en el desplegable de la derecha, elegiremos «Host Alive». Introduciremos un nombre para el módulo, por ejemplo «Ping» y la IP objetivo, la IP a la que realizará el ping (la del dispositivo SMA). Crearemos el módulo pulsando en «Crear»:
A continuación crearemos un primer módulo SNMP, para ello volveremos a «Módulos»:
Y volveremos a elegir «Crear un nuevo módulo de servidor de red». Pulsaremos en «Crear»:
En este caso, para un módulo SNMP, elegiremos del desplegable de «Tipo» el acorde con el tipo de datos que obtendremos del valor SNMP. Por ejemplo, empezaremos por obtener la versión del firmware del dispositivo, que es un valor alfanumérico, por lo que elegiremos «Remote SNMP network agent, alphanumeric data»:
Para obtener la versión del firmware del dispositivo Sonicwall SMA, introduciremos la SNMP OID: .1.3.6.1.4.1.8741.2.1.1.3.0. Si hemos elegido el protocolo SNMPv3, deberemos introducir los datos de conexión, deben ser los mismos que hayamos establecido en el Sonicwall SMA:
- SNMP version: elegiremos v. 3.
- Autenticación de usuario: usuario SNMP, en nuestro caso «miusuariosnmp».
- Autenticación de contraseña: la contraseña de autenticación, la Authentication (SHA-1) del Sonicwall SMA.
- Método de privacidad: elegiremos «AES».
- Método de autenticación: elegiremos «SHA».
- Privacy pass: la contraseña de privacidad, la Privacy (AES) del Sonicwall SMA.
- Nivel de seguridad: elegiremos «método de autenticación y privacidad».
Introduciremos el resto de datos que queramos personalizar, como el nombre del módulo, que en nuestro caso será «Version_Firmware» y pulsaremos en «Crear» para crear la sonda:
Para el resto de módulos repetiremos el proceso, eligiendo el tipo de dato SNMP adecuado. Para el caso de la CPU consumida (porcentaje de CPU en uso) elegiremos «Remote SNMP network agent, numeric data»:
A continuación mostramos las SNMP OID de cada módulo para crearlos en Pandora FMS:
SNMP OID (MIB) | Valor obtenido | Tipo de dato |
.1.3.6.1.4.1.8741.6.2.1.3.0 | Porcentaje de CPU usado | Numérico |
.1.3.6.1.4.1.8741.6.2.1.5.0 | Porcentaje de memoria RAM usada | Numérico |
.1.3.6.1.4.1.8741.6.2.1.8.0 | Usuarios concurrentes | Numérico |
.1.3.6.1.4.1.8741.6.2.1.10.0 | Usuarios VPN conectados (NetExtender) | Numérico |
.1.3.6.1.4.1.8741.2.1.1.3.0 | Versión firmware | Alfanumérico |
Una vez añadidos todos los módulos, tendremos monitorizado el dispositivo Sonicwall SMA desde Pandora FMS:
Podremos añadir ahora los umbrales a partir de los cuales cada módulo pasará a estado crítico o de alerta. Por ejemplo, para el caso del sensor «CPU_Usada», si queremos que cambie a estado crítico cuando supere el 70% de utilización de la CPU, editaremos el módulo pulsando en el icono «Editar»:
Estableceremos los umbrales mínimo y máximo tanto para la condición crítica como para la condición warning (alerta). En este caso, solo establecemos umbrales para la condición crítica:
A partir de ahora, si el dispositivo Sonicwall SMA consume más del 70% de la CPU, el módulo pasará a estado crítico. Con esto, podríamos configurar una alarma para que nos llegue, por ejemplo, un correo electrónico si cambia a estado crítico. Podemos hacer esto desde «Alertas»:
Añadiendo una alerta para el módulo «CPU_Usada», con la acción «Mail_Admin_Sistemas» y con la plantilla «Condición crítica»: