Auto-Discovery ist ein Prozess, bei dem vorhandene Management-Schnittstellen wie WMI, SSH oder SNMP genutzt werden, um grundlegende Informationen wie Hersteller, Modell und mehr von Netzwerkgeräten zu erfassen.
Satelliten sind dabei separate virtuelle Maschinen, die für den Scan der Netzwerkbereiche benötigt werden. Sie sammeln lokal Scan-Ergebnisse ein und übertragen sie verschlüsselt an die zentrale Instanz zur Auswertung.
Man sollte nie so viel zu tun haben, dass man zum Nachdenken keine Zeit hat.
✅ Was versteht man unter Auto-Discovery?
Auto-Discovery ermöglicht die automatische Erkennung und Erfassung von Netzwerkgeräten ohne manuellen Aufwand.
Dabei werden Management-Schnittstellen wie WMI für Windows, SSH für Linux und VMware vSphere oder SNMP für Netzwerkgeräte genutzt.
Diese Schnittstellen liefern grundlegende Informationen wie Hersteller, Modell und mehr, ohne dass auf den Endgeräten eine Installation von Agents oder Diensten erforderlich ist und sind nahezu unverzichtbar für eine automatisierte Hardware-Inventarisierung.
Auto-Discovery = automatisierte Inventarisierung
🛰️ Satelliten: Die Schlüsselkomponente
Satelliten sind separate minimale virtuelle Maschinen, die für den Scan der Netzwerkbereiche benötigt werden. Das Konzept ist dabei ähnlich dem Ansatz von Monitoring Systemen, die häufig nach einem ähnlichen Ansatz arbeiten.
Sie agieren als lokaler Stellvertreter ziwchen den zu scannenden Endgeräten und dem Inventarisierungssystem.
Dies hat den Vorteil, dass die Netzwerkscans lokal beschränkt erfolgen und somit auch in abgelegenen Standorten und Netzwerksegmenten durchgeführt werden können.
Am Ende werden lediglich die eingesammelten Scan-Ergebnisse übertragen, was u.a. folgende Vorteile bietet:
- Keine umfassenden Firewallfreischaltungen
- Sicherheit durch lokale Datenverarbeitung im eigenen Netzwerk fernab des Internets
- Reduzierung von Internet-Traffic
- Entlastung der Standortverbindungen
🛰️ Satelliten: Die Funktionsweise
Die Satelliten nutzen die bei vielen Netzwerkgeräten bereits bestehenden Management-Schnittstellen wie WMI (= Windows), SSH (= Linux) oder SNMP (= Netzwerkgeräte) um relevante Informationen automatisiert auszulesen.
Diese Informationen werden zunächst lokal aggregiert, zwischengespeichert und anschließend verschlüsselt zur zentralen Inventarverwaltung übertragen.
Dort werden sie aufbereitet, analyisiert und in die Inventarisierung integriert.
☁️ Die Verbindung des Netzwerks
Es ist möglich, beliebig viele Satelliten mit dem Inventarisierungssystem zu verbinden. Dieser Ansatz ist besonders bei abgelegenen Standorten oder sensiblen / abgetrennten Netzwerksegmenten empfehlenswert.
Diese können als minimale virtuelle Appliances betrieben werden und sind flexibel in bestehende Netzwerk-Infrastrukturen integrierbar. Der Betrieb kann somit auch auf einem bereits bestehenden Server vor Ort erfolgen.
💡 Inventarisierung leicht gemacht
Kombiniert Hardware, Lizenzen, Verträge, Bestellungen und vieles mehr in einem System.
🔒 Sicherheit und Voraussetzungen
Sicherheitsaspekte sind von zentraler Bedeutung bei einer automatisierten Inventarisierung, da erfasste Daten oft sensible Informationen wie Namen von Benutzeraccounts, Seriennummern, Lizenzkeys, etc. enthalten.
Die Kommunikation zwischen Satelliten und der zentralen Instanz erfolgt verschlüsselt, um die Sicherheit dieser Daten zu gewährleisten.
Natürlich müssen für einen erfolgreichen Scan bestimmte Voraussetzungen erfüllt sein:
- Definierte Subnetzbereiche
- Netzwerkverbindung zwischen Satellit und Endgerät
- Authentifizierungsdaten für die Abfrage
⏳ Voraussetzungen für verschiedene Systeme
Die konkreten Anforderungen für den Scan variieren je nach System.
Bei Windows-Systemen sind beispielsweise nicht-administrative lokale oder Domänenkonten mit Remote-Zugriff auf WMI erforderlich.
Für Netzwerkgeräte müssen diese den SNMP-Standard unterstützen, während bei Linux und VMware ESXi/vSphere der SSH-Login erlaubt sein muss.
Auto-Discovery und Satelliten sind somit entscheidende Komponenten für die automatische Erfassung von Netzwerkgeräten, die eine effiziente und sichere Inventarisierung ermöglichen.
⚖ Agenten vs. agentenlose Inventarisierung
Ein ebenfalls häufig verbreiteter Ansatz zur automatischen Inventarisierung ist die Installation eines lokalen Agenten auf allen Endgeräten.
Dieser Ansatz bietet im Vergleich zur agentenlosen Inventarisierung per Satellit allerdings einige Nachteile und Besonderheiten:
-
Rollout: Der Agent muss initial auf allen Geräten installiert & konfiguriert werden
-
Aktualisierung: Der Agent muss laufend mit aktuellen (Sicherheits-)updates versorgt werden
-
Angriffsfläche: Als lokal installierte Anwendung oder Dienst besteht eine höhere Angriffsfläche für Viren und Malware
-
Berechtigungen: Je nach Agent sind teils administrative Berechtigungen auf das System notwendig
Dagegen stehen die konkreten Vorteile der Nutzung der integrierten Managementschnittstellen bei einem agentenlosen Ansatz:
-
Rollout: Schnittstellen sind bereits im Betriebssystem integriert oder können z.B. per Gruppenrichtlinie freigeschaltet werden
-
Aktualisierung: Wird automatisch durch die Systemupdates abgedeckt
-
Angriffsfläche: Keine lokalen Zusatzdienste oder Anwendungen
-
Berechtigungen: Nur eingeschränkte Rechte notwendig. Je nach System kann auf administrative Berechtigungen komplett verzichtet werden.
Remote-Work Konzepte ohne jegliche VPN-Verbindung können ebenfalls durch eine Synchronisation mit Standardschnittstellen wie z.B. dem Microsoft Endpoint Management (Intune) agentenlos abgedeckt werden.
📃 Fazit - Auto-Discovery und Satelliten sind entscheidende Komponenten für die automatische Erfassung von Netzwerkgeräten
Sie ermöglichen es Unternehmen, ihre IT-Infrastruktur effizient zu inventarisieren und einen umfassenden Überblick über ihre Netzwerkumgebung zu erhalten.
Durch die Nutzung vorhandener Management-Schnittstellen und die Verwendung von Scan-Satelliten können Unternehmen ihre Inventarisierung komplett automatisieren und somit sicherstellen, dass sie stets über aktuelle und genaue Informationen verfügen.
