Cómo monitorizar el estado de un cortafuegos de seguridad perimetral Sonicwall con Pandora FMS y SNMP. Monitorizaremos el consumo de CPU, de RAM y el tráfico de entrada y salida, así como el estado de los interfaces más importantes (WAN, LAN, DMZ, Management, etc.).

Requisitos para monitorizar un firewall con Pandora FMS

Necesitaremos disponer del sistema de monitorización Pandora FMS. En los siguientes artículos explicamos cómo desplegarlo (en docker o en equipo Linux):

Tendremos usuario y contraseña de acceso a la consola web de gestión de Pandora FMS, dado que daremos de alta un nuevo agente.

Configuración del cortafuegos Sonicwall para permitir SNMP

Accederemos a la consola de gestión web del cortafuegos Sonicwall. Una vez dentro, accederemos a «Device» – «Settings» – «SNMP» (ruta …mgmt/system/snmp). Pulsaremos en «Configure»:

Introduciremos los datos para el protocolo SNMP:

  • System Name: nombre descriptivo del dispositivo. Es un dato meramente informativo.
  • System Contact: nombre del contacto del dispositivo. Es un dato meramente informativo.
  • System Location: ubicación del dispositivo. Es un dato meramente informativo.
  • Asset Number: número de identificación del activo. Es un dato meramente informativo.
  • Get Community Name: este valor es importante, debe coincidir con el que se introduzca en Pandora FMS (como expliaremos más adelante). En nuestro caso, introduciremos «fw_sna».

El resto de datos no son obligatorios:

En la pestaña «Advanced», desmarcaremos la opción «Mandatory Requiere SNMPv3», salvo que queramos usar expresamente SNMP versión 3. En nuestro caso usaremos la versión 2c, por lo que desactivaremos esta opción:

Pulsando en «OK» en la ventana anterior, activaremos el acceso SNMP marcando «Enable SNMP» y pulsando en «Accept»:

Nota: en caso de usar SNMP versión 3, tendremos que añadir un acceso en la pestaña «Access»:

Y unas claves de validación en la pestaña «User/Group»:

Por otro lado, en las interfaces del cortafuegos (en «Network» – «System» – «Interfaces»), para la interfaz que usaremos de conexión con Pandora FMS al cortafuegos, deberemos permitir el tráfico SNMP:

Alta de agente (dispositivo, servidor, equipo) en Pandora FMS para firewall Sonicwall

En Pandora FMS, daremos de alta un agente (si no lo hemos hecho ya) para el dispositivo Sonicwall. Para ello, desde la consola web de Pandora FMS, pulsaremos en «Recursos» – «Gestionar agentes»:

En la parte inferior, pulsaremos en «Crear agente»:

Introduciremos los datos básicos del cortafuegos, sobre todo el alias y la dirección IP (necesaria para contactar con él y obtener los datos SNMP):

  • Alias: un nombre descriptivo.
  • Dirección IP: dirección IP del dispositivo firewall Sonicwall. Muy importante que sea la correcta porque es la que se usará para el contacto y la obtención de los datos SNMP.
  • Descripción: una descripción del dispositivo y su uso.

Una vez creado el agente en Pandora FMS, le añadiremos los módulos SNMP que consideremos. Para ello, desde el agente, pulsaremos en «Gestionar»::

Para añadir un nuevo módulo SNMP, pulsaremos en «Módulos»:

Elegiremos «Crear un nuevo módulo de servidor de red» y pulsaremos en «Crear»:

Empezaremos por agregar el módulo de Uso de CPU del dispositivo, por lo que en «Nombre» introduciremos el nombre para el módulo, por ejemplo «CPU_Usada» y, muy importante, en «Tipo», elegiremos «Remote SNMP network agent, numeric data»:

Introduciremos los siguientes datos para añadir el módulo «CPU_Usada»:

  • IP objetivo: dirección IP del dispositivo cortafuegos Sonicwall.
  • Comunidad SNMP: introduciremos la misma comunidad que hayamos introducido en el cortafuegos, en este caso «fw_sna» [1].
  • SNMP version: elegiremos la versión de SNMP que usaremos, debe coincidir con la activada en el cortafuegos Sonicwall, en este caso la 2c.
  • SNMP OID: el dato más importante es el OID, el identificador MIB del SNMP para el consumo de CPU del dispositivo. Para el caso de un Sonicwall es .1.3.6.1.4.1.8741.1.3.1.3.0.

Si queremos que el módulo varíe su estado de normal a warning o crítico, podremos hacerlo eligiendo los umbrales correspondientes, en:

  • Umbral Warning mínimo: elegiremos, por ejemplo 50.
  • Umbral Warning máximo: elegiremos 0.
  • Umbral crítico mínimo: elegiremos, por ejemplo, 80.
  • Umbral crítico máximo: elegiremos 0.

De esta forma, si el consumo de CPU del dispositivo está entre 50 y 79 pasará a estado waring y si está entre 80 y 100 pasará a estado crítico. Su estado normal será entre 0 y 49.

Introduciremos todos los datos anteriores y pulsaremos en «Crear»:

Transcurridos unos segundos, si todo es correcto, el módulo obtendrá el estado actual del consumo de CPU del dispositivo Sonicwall:

Cuando pasen las horas, podremos consultar la gráfica del consumo de CPU en el tiempo:

Repetiremos el proceso anterior para añadir el esto de los módulos: uso de RAM, conexiones activas, conexiones máximas permitidas, datos de entrada y salida en las interfaces más importantes, estado de las interfaces, etc. Los MIB (SNMP OID) para cada uno de estos módulos para el dispositivo Sonicwall SNA son:

Módulo/SensorSNMP OID
Conexiones_Actuales (conexiones actuales en tiempo real).1.3.6.1.4.1.8741.1.3.1.2.0
RAM_Usada (porcentaje de uso de RAM).1.3.6.1.4.1.8741.1.3.1.4.0
Conexiones_Maximas_Permitidas (conexiones máximas permitidas por el dispositivo).1.3.6.1.4.1.8741.1.3.1.1.0
CPU_Usada (porcentaje de uso de CPU).1.3.6.1.4.1.8741.1.3.1.3.0
Interfaz_MNG_Trafico_Entrante (tráfico entrante en interfaz de gestión).1.3.6.1.2.1.2.2.1.10.32
Interfaz_MNG_Trafico_Saliente (tráfico saliente en interfaz de gestión).1.3.6.1.2.1.2.2.1.16.32
Interfaz_MNG_Estado (estado de la interfaz de gestión, posibles valores: 1 up, 2 down, 3 testing.1.3.6.1.2.1.2.2.1.7.32

Todas las interfaces del cortafuegos (LAN, WAN, DMZ, Management, etc.) tendrán su tres correspondientes SNMP OID para el tráfico entrante, tráfico saliente y estado, tal y como hemos indicando para la interfaz de ejemplo de management (gestión). Para averiguar cuál es cuál, podremos hacerlo explorando (con la herramienta SNM Walk que incorpora Pandora FMS) (desde la edición o inserción de un nuevo módulo):

Accediendo a la rama .1.3.6.1.2.1.2.2.1, donde tendremos un SNMP OID por cada interfaz, con su descripción. De esta forma identificaremos el número asignado a cada interfaz, para identificarla para el resto de valores (estado, tráfico entrante y tráfico saliente). Para el caso de la interfaz de management, en este caso, es: .1.3.6.1.2.1.2.2.1.2.32 (el último número es el que anotaremos para cada interfaz):

Una vez identificado el número asignado a cada interfaz (el 32 para la interfaz de management, por ejemplo), podremos obtener el tráfico entrante, tráfico saliente y estado de cada una de ellas. Para el caso de la interfaz de management lo hemos indicando en la tabla anterior. Para el resto de interfaces, únicamente tendremos que cambiar el número 32 por el correspondiente a la interfaz en los tres valores de estado, tráfico entrante y tráfico saliente.

De esta forma tendremos monitorizado el dispositivo firewall Sonicwall: