Ungewollte SNMP Anfragen ins Netzwerk

[stditservices]

Hallo,

ich bin aktuell dabei, Opsi bei uns einzusetzen, um Windows 11 + Grundeinrichtung einfacher und schneller auszurollen. Über einige Hürden bin ich gekommen, geklappt hat es auch schon so weit dass sich Windows 11 installiert, sich das Gerät in der Domäne anmeldet und dass sich einzelne Programme von alleine installieren. Soweit so gut, allerdings senden eben diese eingerichteten Geräte SNMP anfragen an unsere APC USV, die dann immer eine Mail zurückschickt mit "System: Detected an unauthorized user attempting to access the SNMP interface from *IP_ADRESSE*". Die IP Adresse entspricht dann auch immer der IP des Notebooks, welches grad am LAN hängt. Dies passiert pro Gerät sporadisch, aber immer ein mal am Tag mehrere Male hintereinander und auch nur bei Geräten, die durch Opsi eingerichtet wurden. Was kann da der Fehler sein? Mir würde spontan nichts einfallen, warum diese besagten Geräte SNMP Abfragen an die USV schicken sollten.

Mit freundlichen Grüßen

[SisterOfMercy]

Maybe do a wireshark capture on one of those devices?

[mdecker]

Wie sicher ist denn, dass das wirklich der OPSI ist? Ich sehe gerade nicht, wozu der SNMP überhaupt machen würde, aber vielleicht habe ich dieses Feature auch einfach noch nicht entdeckt...

[SisterOfMercy]

Maybe do a wireshark capture on one of those devices?

Wireshark doesn't report the source application.

What might help:
netstat -ano
tasklist /v

Because I think you should find out which application is sending those SNMP requests. (And how does it know the USV address)
If you know what application it is, it should be easier to find out where it's coming from.

[Jan.Schmidt]

Hi,

das hört sich nicht gut an....

Unabhängig davon, dass du nicht schreibst was da alles für Pakete automatisch installiert werden (Vielleicht eine APC Software) - hast du mal
nachgesehen, ob (warum auch immer) snmp auf den Kisten läuft?

Code: Alles auswählen

DISM /online /Get-Capabilities

Und als Schlussbemerkung:

WENN deine Clients SNMP Abfragen an die USV schicken können, dann ist da beim Netzwerk Konzept was ganz gehörig schiefgelaufen.
Son duller Client darf doch nicht in das Netz kommen, wo deine Infrastruktur steht ?!?!!!???! einzdrölf.

[stditservices]

Moin,

die installierten Pakete sind aktuell 7-zip, Google Chrome, OpenVPN, PDF24, Jabra Direct, Teamviewer Host und Trend Micro Apex One. Durch Opsi installiert wurde allerdings nur 7-zip und Chrome, da gabs auch schon die SNMP Abfragen.

netstat -ano hat zwar viel zurückgegeben, allerdings nichts auf SNMP Ports.
DISM /online /Get-Capabilities hat ergeben: SNMP-Client, Nicht vorhanden

Im Anhang ist der Log der USV. Zu der letzten Anmerkung: Wir testen OPSI aktuell noch, wir in der IT sind die einzigen mit Geräten die über OPSI installiert wurden. Dass die Geräte überhaupt mit dem Management Netz reden können liegt daran, dass die LAN Dose an der die Geräte eingerichtet werden, zufällig im gleichen VLAN liegt. Pingen darf bei uns alles in alle Richtungen, aber eben nur Pingen, mehr nicht. In Zukunft soll nur noch Kommunikation zwischen Client Netz und OPSI Server im Server Netz erlaubt sein. Alles andere wird durch FW Regeln aufgefangen.

Und auch wenn es an sich durch die FW geblockt werden wird, ist es ja trotzdem nicht wirklich wünschenswert, dass SNMP Anfragen durchs Netzwerk schwirren, wenns an sich nicht wirklich nötig ist. Kann mir kaum vorstellen dass Win11, 7.zip oder Chrome irgendwas damit zu tun hat.
Ich würde ja gerne weiter testen, allerdings bekomm ich OPSI jetzt nicht mehr zum laufen. Jeder Client den ich versuche einzurichten, bleibt in einem schwarzen Bildschirm hängen. Nach dem "Boot via PXE" kommt einfach nichts mehr. Status der Installation geht auf failed und das wars.... Fehlersuche die zweite beginnt

Mit freundlichen Grüßen