Tag 12: Monitoring

IHK-Vorbereitung · Fachinformatiker Systemintegration

Tag 12: Monitoring

Prüfungsbereich

AP Teil 2

„Konzeption & Administration" – Netzwerküberwachung und Fehleranalyse

Relevante Protokolle

SNMP, Syslog, ICMP (Ping), Traceroute, RMON – plus Werkzeuge Wireshark & Nmap

Grundidee

Was ist Netzwerk-Monitoring?

Monitoring bezeichnet die kontinuierliche Überwachung von IT-Systemen, Netzwerkgeräten und Diensten, um Verfügbarkeit, Leistung und Sicherheit sicherzustellen. Ziel ist die frühzeitige Erkennung von Ausfällen, Engpässen und Sicherheitsvorfällen.

In der IHK-Prüfung wird erwartet, dass man Monitoring-Protokolle und -Werkzeuge benennen, erklären und voneinander abgrenzen kann sowie ihre typischen Einsatzszenarien kennt.

Monitoring-Ebenen im Überblick

📡

Netzwerkprotokoll-Ebene

SNMP und Syslog liefern strukturierte Status- und Ereignisdaten von Geräten und Betriebssystemen direkt an zentrale Managementsysteme.

🔍

Diagnose & Erreichbarkeit

Ping (ICMP Echo) und Traceroute prüfen, ob Systeme erreichbar sind und über welchen Pfad Pakete reisen. Sensoren (CPU, Temperatur, etc.) überwachen physische Parameter.

🛠️

Analyse & Inventarisierung

Wireshark analysiert den Datenverkehr auf Paketebene (Protokollanalyse). Nmap inventarisiert Netzwerke, erkennt offene Ports und Betriebssysteme.

Abgrenzung: aktives vs. passives Monitoring

Eigenschaft	Aktives Monitoring	Passives Monitoring
Methode	Sendet selbst Testpakete / Abfragen	Beobachtet vorhandenen Datenverkehr
Beispiele	Ping, Traceroute, SNMP-Polling, Nmap	Wireshark (Sniffer), Syslog-Empfänger, NetFlow
Netzlast	Erzeugt zusätzlichen Traffic	Kein zusätzlicher Traffic
Echtzeit	Auf Anfrage (Pull)	Kontinuierlich (Push / Capture)

Typische IHK-Prüfungsfragen zum Thema Monitoring

„Welches Protokoll wird für die zentrale Verwaltung von Netzwerkgeräten verwendet?" → SNMP
„Wie werden Ereignismeldungen eines Linux-Servers zentral gesammelt?" → Syslog (rsyslog/Syslog-Server)
„Mit welchem Befehl prüfen Sie die Erreichbarkeit eines Hosts?" → ping <IP>
„Welches Tool zeigt den Pfad eines IP-Pakets durch das Netzwerk?" → Traceroute / tracert
„Womit analysieren Sie den Netzwerkverkehr auf Paketebene?" → Wireshark
„Wie ermitteln Sie, welche Ports auf einem System offen sind?" → Nmap (nmap -sS <IP>)

UDP 161 / 162

SNMP – Simple Network Management Protocol

SNMP ist ein Protokoll zur Überwachung und Verwaltung von Netzwerkgeräten (Router, Switches, Server, Drucker). Es arbeitet nach einem Manager/Agent-Prinzip und nutzt UDP.

Komponente	Funktion
Manager	Zentrale Managementstation (z.B. Zabbix, PRTG, Nagios) – sendet Abfragen und empfängt Traps
Agent	Läuft auf dem zu überwachenden Gerät – beantwortet Abfragen und sendet Traps
MIB (Management Information Base)	Strukturierte Datenbank aller verwaltbaren Objekte eines Geräts (Baumstruktur, OIDs)
OID (Object Identifier)	Eindeutige numerische Adresse eines MIB-Eintrags, z.B. `1.3.6.1.2.1.1.5` für den Hostnamen

SNMP-Versionen im Vergleich

Version	Sicherheit	Empfehlung
SNMPv1	Community-String (Klartext)	⚠ veraltet, unsicher
SNMPv2c	Community-String (Klartext), mehr Funktionen	⚠ weit verbreitet, aber unsicher
SNMPv3	Authentifizierung (MD5/SHA) + Verschlüsselung (AES/DES)	✓ empfohlen für produktive Umgebungen

Merkhilfe: „v1/v2c = Community-String im Klartext = Sicherheitsrisiko. SNMPv3 = Authentifizierung + Verschlüsselung."

SNMP-Operationen

GETManager fragt einen bestimmten OID-Wert beim Agenten ab (Pull-Prinzip).

GET-NEXTNächsten OID-Wert in der MIB abrufen – für das Durchlaufen (Walk) der MIB.

GET-BULKMehrere OIDs auf einmal abfragen (effizient, SNMPv2c/v3).

SETManager schreibt einen Wert auf dem Agenten (z.B. Interface deaktivieren).

TRAPUnaufgeforderte Meldung des Agenten an den Manager bei Ereignissen (Push-Prinzip). Port 162. Kein ACK.

INFORMWie Trap, aber mit Bestätigung (ACK). Nur SNMPv2c/v3.

UDP 514 / TCP 6514

Syslog – Systemprotokollierung

Syslog ist ein Standardprotokoll zur Übertragung von Ereignismeldungen (Log-Nachrichten) von Systemen an einen zentralen Syslog-Server. Es ist auf nahezu allen Betriebssystemen und Netzwerkgeräten verfügbar.

Sender: Alle Systeme (Linux, Windows via NXLog, Cisco-Router, Switches) senden Logs
Empfänger: Zentraler Syslog-Server (z.B. rsyslog, syslog-ng, SIEM-Systeme)
Transport: UDP 514 (klassisch, kein Verbindungsaufbau) oder TCP/TLS 6514 (sicher, zuverlässig)

Syslog – Prioritäten (Severity Levels)

Die acht Schweregrade sind prüfungsrelevant – Nummer und Name:

Level	Name	Bedeutung
0	Emergency	System nicht nutzbar – kritischster Fehler
1	Alert	Sofortiger Handlungsbedarf
2	Critical	Kritischer Systemfehler
3	Error	Fehlerzustand
4	Warning	Warnung, aber System läuft weiter
5	Notice	Normaler, aber wichtiger Vorgang
6	Informational	Allgemeine Betriebsmeldung
7	Debug	Debug-Informationen für Entwickler

Merkhilfe (englisch): „Every Awesome Cisco Engineer Will Need Ice Daily" → Emergency, Alert, Critical, Error, Warning, Notice, Informational, Debug

Syslog – Facilities

Neben dem Severity Level enthält jede Syslog-Nachricht eine Facility, die den Ursprungsbereich der Meldung angibt:

kern – Kernel user – Benutzer mail – E-Mail-System daemon – Systemdienste auth – Authentifizierung syslog – Syslog-Daemon selbst local0–local7 – Benutzerdefiniert

Die Priorität einer Nachricht wird als Facility × 8 + Severity berechnet und im Header als PRI-Wert in spitzen Klammern übertragen, z.B. <34>.

SNMP vs. Syslog – Vergleich

Kriterium	SNMP	Syslog
Richtung	Pull (Polling) + Push (Trap)	Push (unidirektional)
Inhalt	Strukturierte Gerätedaten (OIDs/MIB)	Freitext-Ereignismeldungen
Port	UDP 161 (Agent), UDP 162 (Trap)	UDP 514, TCP/TLS 6514
Sicherheit	SNMPv3: Auth + Verschlüsselung	TLS (RFC 5425) für sichere Übertragung
Typischer Einsatz	Gerätestatus, Interface-Auslastung, Ressourcen	Ereignislogs, Fehlermeldungen, Auditing

ICMP – Internet Control Message Protocol

Ping – Erreichbarkeitstest

ping sendet ICMP-Echo-Request-Pakete an einen Ziel-Host und misst, ob dieser antwortet (Echo-Reply). Es ist das einfachste und meistgenutzte Diagnosewerkzeug im Netzwerk.

Funktionsprinzip

Sender → ICMP Echo Request (Typ 8) → Ziel-Host
Ziel-Host → ICMP Echo Reply (Typ 0) → Sender
Gemessen wird die Round Trip Time (RTT) in Millisekunden.

Wichtige Parameter

-t (Windows): dauerhaft pingen
-c <n> (Linux): Anzahl Pakete
-s <bytes>: Paketgröße ändern (Fragmentierungstest)
-i <ttl>: TTL setzen

Interpretation der Ausgabe

Antwort erhalten: Host erreichbar, RTT gibt Latenz an
Request timeout: Host antwortet nicht (offline, Firewall blockiert ICMP, falsche Route)
TTL exceeded: Paket wurde auf dem Weg verworfen (Routing-Schleife oder TTL zu klein)
Destination unreachable: Kein Pfad zum Ziel vorhanden

ICMP / UDP-basiert

Traceroute / Tracert – Pfadverfolgung

Traceroute ermittelt den Weg (Hops) eines IP-Pakets durch das Netzwerk bis zum Zielhost. Jeder Router auf dem Weg wird sichtbar gemacht.

Windows tracert <Ziel> – nutzt ICMP Echo Requests mit steigendem TTL

Linux traceroute <Ziel> – nutzt UDP-Pakete (standardmäßig) oder ICMP mit -I

Funktionsprinzip (TTL-Mechanismus):

Paket 1 mit TTL=1: Erster Router verwirft es → sendet „ICMP Time Exceeded" zurück → Router 1 identifiziert
Paket 2 mit TTL=2: Zweiter Router verwirft es → Router 2 identifiziert
… bis das Ziel erreicht wird und „ICMP Echo Reply" (oder „Port Unreachable") antwortet

Hinweis: * * * in der Ausgabe bedeutet, dass dieser Hop keine Antwort gesendet hat (Firewall blockiert ICMP Time Exceeded). Der Weg läuft aber möglicherweise weiter.

Physische & logische Überwachung

Sensoren im IT-Monitoring

Sensoren im Monitoring-Kontext sind Messfühler oder softwarebasierte Agenten, die physische und logische Systemparameter kontinuierlich erfassen und an ein Monitoring-System (z.B. PRTG, Zabbix, Icinga) melden.

🌡️

Physische Sensoren (Hardware)

Temperatur (CPU, Gehäuse, Serverraum), Lüfterdrehzahl (RPM), Spannungspegel, USV-Status, Türkontakte / Bewegungsmelder in Serverräumen, Wassersensoren (Leckageerkennung)

IPMIBMCiDRACiLOSNMP-OIDs

💻

Logische / Performance-Sensoren (Software)

CPU-Auslastung (%), RAM-Nutzung, Festplattenbelegung, Netzwerkbandbreite (In/Out), Prozessstatus (läuft Dienst X?), Antwortzeiten von Diensten (HTTP, SMTP, DNS)

SNMPWMI (Windows)SSH-AbfragenAgenten

📊

Einsatz in Monitoring-Systemen

PRTG Network Monitor, Zabbix, Nagios/Icinga verwenden Sensoren/Checks, um Schwellenwerte (Thresholds) zu überwachen. Bei Überschreitung werden Alarme (Alerts) ausgelöst und z.B. E-Mails oder SMS versendet.

Weitere nützliche Diagnosebefehle

ipconfig / ip aZeigt IP-Konfiguration der lokalen Netzwerkschnittstellen (IP, Subnetz, Gateway, DNS)

nslookup / digDNS-Auflösung testen: Hostname → IP und IP → Hostname (Reverse DNS)

netstat / ssAktive Netzwerkverbindungen und lauschende Ports anzeigen (netstat -an)

arp -aARP-Tabelle anzeigen: welche IP-Adressen welchen MAC-Adressen zugeordnet sind

route print / ip routeRouting-Tabelle anzeigen: wohin leitet das System Pakete für welche Netzwerke

Protokollanalysator / Packet Sniffer

Wireshark

Wireshark ist ein Open-Source-Netzwerkanalysewerkzeug, das den Datenverkehr auf einer Netzwerkschnittstelle mitschneidet und auf Paketebene sichtbar macht. Es ist das meistverbreitete Tool zur Protokollanalyse und Fehlerdiagnose.

Funktionsweise

Wireshark versetzt die Netzwerkkarte in den Promiscuous Mode – die Karte empfängt alle Pakete im Netzwerksegment, nicht nur die eigenen. Jedes Paket wird dekodiert und nach Protokollschichten (Ethernet → IP → TCP → HTTP …) aufgeschlüsselt angezeigt.

Typische Einsatzszenarien

Netzwerkprobleme analysieren (z.B. TCP-Retransmissions, langsame Verbindungen)
Protokollverhalten verstehen (Handshakes, DNS-Anfragen, DHCP)
Sicherheitsanalyse: Unverschlüsselten Traffic aufdecken
Fehlkonfigurationen finden (z.B. ARP-Konflikte, Routing-Schleifen)

Display Filter (wichtige Beispiele)

ip.addr == 192.168.1.1 – nur Pakete von/zu dieser IP
tcp.port == 80 – nur HTTP-Traffic
http – alle HTTP-Pakete
dns – alle DNS-Anfragen und -Antworten
tcp.flags.syn == 1 – alle TCP-SYN-Pakete (Verbindungsaufbau)
!(arp or icmp) – ARP und ICMP ausblenden

Rechtliche Hinweise

Das Mitschneiden von Netzwerkverkehr ist nur im eigenen Netzwerk oder mit ausdrücklicher Genehmigung erlaubt. In fremden Netzwerken ist es strafbar (§ 202b StGB – Abfangen von Daten).

Network Mapper

Nmap

Nmap ist ein Open-Source-Netzwerk-Scanner zur Inventarisierung von Netzwerken, Erkennung aktiver Hosts, offener Ports, laufender Dienste und Betriebssysteme. Es ist sowohl als Administrations- als auch als Sicherheitstool essenziell.

Wichtige Nmap-Scan-Typen

-snPing Scan (Host Discovery) – Welche Hosts sind online? Kein Portscan. nmap -sn 192.168.1.0/24

-sSSYN Scan (Stealth Scan) – Schnellster Portscan; sendet SYN, wartet auf SYN-ACK, sendet RST (kein vollständiger Handshake). Benötigt Root/Admin.

-sTTCP Connect Scan – Vollständiger TCP-Handshake. Kein Root nötig, aber leicht erkennbar.

-sUUDP Scan – Offene UDP-Ports finden (langsam, da UDP zustandslos ist).

-sVVersion Detection – Dienst-Version auf offenem Port erkennen (z.B. Apache 2.4.51).

-OOS Detection – Betriebssystem des Ziels ermitteln (TTL-Fingerprinting).

-AAggressive Scan – Kombiniert -sV, -O, Traceroute und Script-Engine. Laut und erkennbar.

-pPort-Angabe – z.B. -p 22,80,443 oder -p 1-1024 oder -p- für alle 65535 Ports.

Nmap – Port-Zustände

Zustand	Bedeutung
open	Port ist offen, Dienst lauscht – Verbindung möglich
closed	Port ist erreichbar, aber kein Dienst lauscht – Antwort mit RST
filtered	Firewall filtert den Port – keine Antwort oder ICMP Unreachable
unfiltered	Port erreichbar, Zustand unklar (nur bei ACK-Scan)
open\|filtered	Nmap kann nicht unterscheiden – tritt beim UDP-Scan auf

Wireshark vs. Nmap – Abgrenzung

Kriterium	Wireshark	Nmap
Art	Passiver Sniffer / Protokollanalysator	Aktiver Netzwerkscanner
Zweck	Paketinhalte analysieren, Protokolle verstehen	Hosts, Ports, Dienste, OS entdecken
Einsatz	Fehlerdiagnose, Sicherheitsanalyse, Lernzwecke	Inventarisierung, Sicherheitsaudit, Pentesting
Netzlast	Kein eigener Traffic (passiv)	Erzeugt eigenen Scan-Traffic (aktiv)
Sichtbarkeit	Sieht vorhandenen Traffic	Wird in IDS/Firewall-Logs sichtbar

Rechtlicher Hinweis: Auch Nmap-Scans dürfen nur in Netzwerken durchgeführt werden, für die eine ausdrückliche Genehmigung vorliegt.

Fortschritt

0 von 8 beantwortet

1. Auf welchem Port empfängt ein SNMP-Agent Abfragen vom Manager?

2. Was versteht man unter einem SNMP-Trap?

3. Welcher Syslog-Severity-Level hat die Nummer 3?

4. Welches ICMP-Nachrichtentyp-Paar wird bei Ping verwendet?

5. Wie funktioniert Traceroute auf technischer Ebene?

6. Was bedeutet der Nmap-Port-Zustand „filtered"?

7. In welchem Modus muss eine Netzwerkkarte betrieben werden, damit Wireshark auch fremden Netzwerkverkehr mitschneiden kann?

8. Welche SNMPv3-Sicherheitsfunktionen unterscheiden es von SNMPv2c?