Configurare il monitoraggio hardware SNMP su Sophos Firewall
Con il monitoraggio hardware SNMP è possibile integrare meglio lo stato di un Sophos Firewall in un sistema di monitoraggio esistente. Oltre ai classici valori di raggiungibilità e interfaccia, dalla Sophos Firewall v22 sono disponibili metriche hardware aggiuntive tramite le MIB. Queste includono, a seconda del modello, temperatura della CPU, temperatura della NPU, ventole, stato dell’alimentatore e valori PoE.
Questo è particolarmente interessante per le installazioni XGS produttive. Un firewall può essere ancora raggiungibile tramite WebAdmin, ma comunque mostrare segni di problemi termici, ventole difettose, un alimentatore guasto o un carico PoE inaspettato. Tali condizioni non dovrebbero essere notate solo al prossimo accesso manuale.
Quando SNMP è utile sul firewall
SNMP è utile quando è già in uso un sistema di monitoraggio e si desidera monitorare il firewall come componente infrastrutturale.
Casi d’uso tipici:
- Monitorare lo stato hardware delle appliance XGS.
- Osservare la temperatura di CPU e NPU nel tempo.
- Integrare lo stato di ventole e alimentatori in un NOC o monitoraggio MSP.
- Controllare il carico PoE nei modelli XGS con porte PoE.
- Confrontare i valori delle interfacce con il monitoraggio di switch, router e provider.
- Correlare allarmi da firewall, switch, UPS e temperatura ambiente.
SNMP non sostituisce l’analisi dei log. Per domande su traffico e sicurezza, Log viewer, Central Firewall Reporting, Syslog o un SIEM rimangono più importanti. Per i modelli di traffico sulle interfacce, sFlow Monitoring su Sophos Firewall è più adatto. SNMP risponde principalmente a domande sullo stato: il dispositivo è raggiungibile, le interfacce funzionano, i valori hardware sono normali e i valori cambiano nel tempo?
Prerequisiti
Prima di configurare, è necessario chiarire questi punti:
- È disponibile un sistema di monitoraggio con supporto SNMP.
- Il firewall è raggiungibile tramite una rete di gestione o monitoraggio.
- L’accesso SNMP è consentito sotto Device Access solo per il sistema di monitoraggio.
- La MIB di Sophos Firewall appropriata è importata nel sistema di monitoraggio.
- È chiaro quali modelli di firewall devono essere monitorati e quali valori hardware forniscono questi modelli.
- Le regole di allarme sono pianificate in modo da segnalare problemi operativi reali e non solo rumore.
⚠️ SNMP non dovrebbe essere ampiamente accessibile da zone client, guest, IoT o WAN. I dati di monitoraggio possono rendere visibili modello, interfacce, valori di stato e condizioni operative. L’accesso dovrebbe essere limitato a una rete di gestione o monitoraggio fidata.
Separare chiaramente SNMP, sFlow e Reporting
SNMP, sFlow e Reporting forniscono risposte diverse.
| Strumento | Buona domanda | Non ideale per |
|---|---|---|
| SNMP | Il firewall è raggiungibile, come appaiono i valori hardware e delle interfacce? | Singola regola firewall, blocco URL o errore VPN |
| sFlow | Quali flussi di traffico passano attraverso un’interfaccia? | Analisi precisa di pacchetti o regole |
| Log Viewer / Syslog / Central Reporting | Quale regola, quale modulo o quale utente è stato coinvolto? | Stato hardware e valori di polling delle interfacce a lungo termine |
| Packet Capture | Cosa si vede effettivamente sull’interfaccia? | Monitoraggio permanente |
Nella pratica, questi strumenti vengono combinati. SNMP segnala, ad esempio, alta temperatura o errori di interfaccia. Successivamente, si controllano Log Viewer, Packet Capture, porta switch, temperatura ambiente o il segmento di rete interessato.
Quali valori hardware fornisce SFOS 22
Sophos ha descritto metriche hardware SNMP aggiuntive nelle note di rilascio di SFOS 22. La disponibilità dipende dal modello di firewall.
| Metrica | Disponibile secondo Sophos per |
|---|---|
| Temperatura CPU | tutti i modelli XGS |
| Temperatura NPU | modelli XGS eccetto XGS 88/88w, 108/108w, 118/118w, 128/128w |
| Velocità ventola | modelli XGS eccetto XGS 88/88w e 108/108w |
| Stato alimentatore | XGS 2100 e superiori |
| Misurazioni PoE | modelli XGS con PoE, eccetto XGS 116/116w |
Questa tabella è importante per le aspettative. Se un piccolo modello desktop non fornisce il valore della ventola o la temperatura della NPU, non è automaticamente un errore di monitoraggio. Prima bisogna verificare se il modello supporta effettivamente la metrica.
Proteggere l’accesso SNMP
Il primo controllo di sicurezza non avviene nel sistema di monitoraggio, ma sul firewall stesso.
Sotto Administration > Device access, SNMP dovrebbe essere raggiungibile solo dalla rete in cui si trova il server di monitoraggio. Se il sistema di monitoraggio ha un singolo indirizzo IP fisso, una Local service ACL exception rule è spesso migliore di un’ampia autorizzazione di zona.
Regole di base sensate:
- Non consentire SNMP da
WAN. - Non abilitare SNMP per intere zone client o server se solo un host di monitoraggio esegue il polling.
- Definire il server di monitoraggio come oggetto host separato o rete di gestione.
- Verificare l’accesso dopo le modifiche con Packet Capture o test di monitoraggio.
- Rimuovere regole SNMP non utilizzate e vecchie fonti di monitoraggio.
Device Access controlla il traffico verso il firewall stesso. Una normale regola firewall per il traffico LAN-to-WAN non sostituisce questa impostazione.
Scegliere consapevolmente la versione SNMP
Se possibile, dovrebbe essere utilizzato SNMPv3, poiché consente l’autenticazione e, con una configurazione AuthPriv adeguata, anche la crittografia. SNMPv1 e SNMPv2c lavorano con Community Strings. Questi Community Strings non sono account utente, ma segreti condivisi e dovrebbero essere protetti di conseguenza.
Per SNMPv1/v2c, Sophos in SFOS 22 menziona una modifica: è possibile aggiungere il Community String e scegliere se la configurazione si applica a IPv4 o IPv6. Durante l’aggiornamento, il firewall adotta i nomi esistenti come Community String e genera nomi di oggetti migrati con il prefisso snmp.
Dopo un aggiornamento, è quindi necessario verificare:
- Esistono vecchi Community Strings SNMPv1/v2c?
- Gli oggetti
snmpmigrati automaticamente sono denominati in modo comprensibile? - IPv4, IPv6 o entrambi sono realmente necessari?
- Possono essere rimosse vecchie fonti di monitoraggio?
- È possibile utilizzare SNMPv3 o v2c rimane necessario per motivi di compatibilità?
⚠️ I Community Strings non dovrebbero essere trattati come etichette innocue. Tali stringhe appartengono a un concetto di password o segreti, non dovrebbero essere copiate nei ticket e non devono essere visibili negli screenshot.
Importare MIB e verificare OID
Affinché un sistema di monitoraggio riconosca correttamente i valori Sophos, necessita del file MIB appropriato. La MIB descrive quali OID sono disponibili per i valori di firewall, interfaccia e hardware.
Approccio pratico:
- Ottenere il file MIB aggiornato dal Sophos Firewall o dalla documentazione Sophos appropriata.
- Importare la MIB nel sistema di monitoraggio.
- Aggiungere il firewall con SNMPv3 o una configurazione v1/v2c scelta consapevolmente.
- Riconoscere modello, versione firmware e OID raggiungibili.
- Verificare le metriche hardware rispetto al modello specifico.
- Eseguire un polling manuale e rendere plausibili i valori.
- Solo successivamente attivare le regole di allarme.
Dopo gli aggiornamenti del firmware, la pagina MIB dovrebbe essere nuovamente controllata. Nuove versioni SFOS possono aggiungere OID o modificare aree esistenti. Se un sistema di monitoraggio non risolve più correttamente i valori dopo un aggiornamento, non si dovrebbe prima sospettare il firewall, ma verificare versione MIB, discovery e assegnazione OID.
Allarme sensato
Il monitoraggio SNMP è utile solo se gli allarmi sono impostati in modo sensato. Soglie troppo strette generano rumore, soglie troppo ampie segnalano problemi troppo tardi.
Aree di allarme tipiche:
| Area | Verifica sensata |
|---|---|
| Raggiungibilità | Il firewall non risponde più tramite SNMP o Ping |
| Temperatura CPU | La temperatura aumenta costantemente oltre l’intervallo normale |
| Temperatura NPU | Tendenza della temperatura anomala o costantemente superiore ai valori di confronto |
| Velocità ventola | Il valore della ventola manca, è nullo o significativamente fuori dall’intervallo normale |
| Alimentatore | Alimentatore ridondante mancante o segnala errore |
| PoE | Il carico PoE si avvicina al budget disponibile |
| Interfacce | Porta giù, contatore errori, larghezza di banda insolita |
Per i valori di temperatura è importante una baseline. Un piccolo firewall desktop in un armadio tecnico caldo si comporta diversamente da un’appliance rack in una stanza climatizzata. Pertanto, si dovrebbe prima osservare alcuni giorni di normale funzionamento e solo successivamente impostare soglie produttive.
Stabilire un Runbook di allarme e responsabilità
Un allarme SNMP è utile solo se dopo è chiaro chi reagisce e quale procedura si applica. I valori hardware sono spesso indicatori precoci: un aumento della temperatura, un valore della ventola mancante o un allarme dell’alimentatore non significano automaticamente che l’appliance debba essere sostituita immediatamente. Significa però che lo stato dovrebbe essere valutato e documentato.
Per i firewall produttivi dovrebbe esistere una breve voce di Runbook:
| Allarme | Prima verifica |
|---|---|
| Firewall non raggiungibile tramite SNMP | Verificare rete di gestione, Device Access, routing, server di monitoraggio e raggiungibilità dell’appliance |
| Temperatura aumenta costantemente | Confrontare temperatura ambiente, ventilazione, posizione rack, polvere, carico e andamento |
| Valore ventola mancante o anomalo | Verificare limite del modello, valore del sensore, rumore, tendenza della temperatura e rilevanza del supporto |
| Alimentatore segnala errore | Controllare alimentazione, UPS, cavi, alimentatore ridondante e rischio HA |
| Carico PoE elevato | Verificare dispositivi collegati, budget PoE e riserve pianificate |
| Errori interfaccia in aumento | Verificare cavi, porta switch, duplex/velocità, modulo SFP e consegna del provider |
Importante è l’ordine: prima verificare visibilità e plausibilità, poi valutare il rischio, quindi preparare il processo di supporto o sostituzione. In caso di sospetti di guasti hardware, dovrebbero essere documentati anche numero di serie, modello, versione firmware, momento, metrica interessata, andamento e screenshot o estratto di monitoraggio. Le domande su garanzia e RMA dipendono alla fine non solo dall’allarme, ma dal dispositivo specifico, stato del supporto e immagine del guasto.
Per i temi SSD, SNMP non è il percorso principale corretto. Se lo stato del disco o il carico di scrittura sono al centro dell’attenzione, Verificare la salute SSD di Sophos Firewall tramite SMART è più adatto.
Cluster HA e più firewall
In ambienti HA, dovrebbe essere chiaramente stabilito come vengono monitorati entrambi i dispositivi. Non sempre è sufficiente osservare solo l’indirizzo del cluster. Per i valori hardware, spesso entrambi gli appliance sono rilevanti, poiché una ventola, un alimentatore o una porta sull’appliance passiva possono anch’essi guastarsi.
Domande importanti:
- Vengono riconosciuti separatamente Primary e Auxiliary?
- Entrambi i dispositivi hanno indirizzi IP di gestione propri per il monitoraggio?
- Vengono visualizzati in modo univoco numero di serie, nome host o modello nel monitoraggio?
- Gli allarmi rimangono comprensibili dopo un failover?
- Viene segnalato anche un errore dell’alimentatore sull’appliance passiva?
Per il funzionamento HA stesso, Configurare l’alta disponibilità su Sophos Firewall è adatto. SNMP non dovrebbe essere pianificato isolatamente, ma insieme ad aggiornamenti firmware, test di failover, concetto di backup e documentazione operativa.
Validazione dopo la configurazione
Dopo la configurazione SNMP, non si dovrebbe solo verificare se il monitoraggio è verde. È importante se i dati corretti provengono dalla fonte corretta.
Checklist:
- L’accesso SNMP è possibile solo dalla rete di monitoraggio.
- Il firewall viene riconosciuto con nome host, modello e versione firmware corretti.
- La MIB di Sophos è importata e i valori hardware sono denominati correttamente.
- Le metriche non supportate sono documentate come limite del modello, non come errore.
- I valori di temperatura, ventola, alimentatore e PoE sono plausibili.
- Viene attivato un allarme di test e arriva al destinatario corretto.
- Nei cluster HA vengono verificati entrambi i dispositivi o la logica del cluster desiderata.
- Dopo un aggiornamento firmware, la discovery viene nuovamente testata.
Per domande su prestazioni e throughput, non si dovrebbero sovrainterpretare i valori SNMP. L’interpretazione dei dati di prestazione di Sophos è descritta nell’articolo Comprendere correttamente i dati di prestazione di Sophos Firewall.
Risoluzione dei problemi
Il firewall non risponde a SNMP
Verificare innanzitutto se il sistema di monitoraggio proviene dalla zona prevista e se SNMP è consentito sotto Administration > Device access. Successivamente, controllare indirizzo IP, routing, regole ACL locali, versione SNMP, Community String o credenziali SNMPv3.
Se non è chiaro se i pacchetti raggiungono il firewall, Packet Capture sull’interfaccia interessata può aiutare. Una normale regola firewall non risolve questo problema se il traffico è diretto al firewall stesso.
La MIB viene importata, ma mancano i valori
Verificare innanzitutto se la metrica mancante è disponibile per il modello utilizzato. I piccoli modelli XGS non forniscono tutti i valori hardware. Successivamente, confrontare versione MIB, assegnazione OID e versione firmware.
Dopo l’aggiornamento, gli oggetti SNMP sono denominati diversamente
Con SNMPv1/v2c, SFOS 22 può generare oggetti migrati con il prefisso snmp. Dopo un aggiornamento, si dovrebbe quindi verificare Community Strings, denominazioni degli oggetti e discovery del monitoraggio. Se il monitoraggio lavora con nomi anziché OID stabili, potrebbe essere necessario adattare i modelli.
Il monitoraggio segnala troppi allarmi di temperatura
In tal caso, le soglie sono probabilmente troppo strette o impostate senza una baseline. Raccogliere prima i valori normali per diversi giorni. Successivamente, impostare le soglie in base al modello, alla posizione e alla temperatura ambiente. Singoli picchi brevi sono da valutare diversamente rispetto a una tendenza di temperatura in aumento costante.
Il cluster HA mostra solo un dispositivo
In tal caso, verificare se il monitoraggio interroga solo l’indirizzo del cluster o se entrambi gli appliance sono raggiungibili separatamente. Per lo stato hardware, anche l’appliance passiva è rilevante. Nei cluster produttivi, si dovrebbe documentare quale indirizzo IP rappresenta quale dispositivo e quale ruolo.
Checklist operativa
- Consentire SNMP solo da reti di gestione o monitoraggio.
- Preferire SNMPv3 se il sistema di monitoraggio lo supporta correttamente.
- Trattare i Community Strings SNMPv1/v2c come segreti.
- Importare la MIB di Sophos e verificarla dopo gli aggiornamenti firmware.
- Documentare i limiti del modello per i valori hardware.
- Impostare soglie di temperatura e PoE basate su baseline reali.
- Nominare chiaramente i dispositivi HA e valutarli separatamente.
- Documentare il Runbook di allarme con prima verifica, escalation e responsabilità.
- In caso di sospetto hardware, salvare modello, numero di serie, versione firmware e andamento.
- Testare regolarmente gli allarmi e chiarire la responsabilità.
- Combinare i dati SNMP con log, sFlow, Packet Capture e Central Reporting.