SNMP : Motivation

Administration et scurit des rseaux Chapitre 2

Le Protocole SNMP (Simple Network Management Protocol)

Ncessit d avoir un protocole permettant de remonter des informations sur l activit des diffrentes ressources du activit rseau (les serveurs, les routeurs, les hubs, etc).

trafics t fi

Ethernet Routeur

FDDI backbone Token ring LAN

Ethernet

K&M ELHDHILI

K&M ELHDHILI

Prsentation de SNMP
Protocole dadministration de machines supportant TCP/IP pp / SNMP Version 1 (SNMPv1) Dfini dans la RFC 1157 ( )
Mcanisme de scurit bas sur la notion de communaut (mot de passe en clair dans les requtes et rponses)

Prsentation de SNMP
Rpond un g p grand nombre de besoins :
Administrer distance des machines indpendamment de leur architecture Disposer d Di dune cartographie du rseau t hi d Fournir un inventaire prcis de chaque machine Mesurer la consommation dune application Signaler les disfonctionnements g

SNMP V i 2 (SNMPv2) Dfini d Version (SNMP 2) Dfi i dans l RFC 1905, 1906 les 1905 et 1907
Introduit deux nouveaux types de paquets get bulk request et get-bulk-request inform-request (communication entre plate-formes)

SNMP Version 3 (SNMPv3) Dfini dans les RFC 2570, ( ) , 2571, 2572, 2573, 2574 et 2575
Introduit de nouveaux mcanismes de scurit (authentification forte t f t et confidentialit) fid ti lit)
K&M ELHDHILI

K&M ELHDHILI

Modle d administration SNMP

Une administration SNMP est compose de trois types d lments d'lments :
des agents chargs de superviser un quipement. On parle d'agent SNMP install sur tout t pe d'quipement type d'quipement. une ou plusieurs stations de gestion capables d'interprter les donnes une MIB (Management Information Base) dcrivant les informations gres (objets administrs).

Modle d administration des rseaux

Le modle Manager-Agent ou modle deux-tiers. g g

Station d d i i t ti St ti dadministration Manager Manager

Systme administr

Objets administrs

SNMP permet la supervision, le contrle et la modification p des paramtres des lments du rseau.
K&M ELHDHILI

Agent g Oprations Notification

K&M ELHDHILI

Modle d administration SNMP

L architecture trois-tiers insre entre le Manager et l agent une sonde RMON ou une autre station d administration administration (modle SNMPv2).
La sonde RMON permet de faire la collecte d informations p d administration et quelques traitements sur le trafic.
Administrateur SNMP
AdministrateurAgent SNMP SNMP RMON Probe Agent SNMP Agent SNMP g
K&M ELHDHILI

L architecture de SNMP
SNMP fonctionne au dessus de UDP

AgentAdministrateur SNMP SNMP

Agent SNMP Element Rseau Support par snmpv2

Element Rseau

Element Rseau

K&M ELHDHILI

Les oprations SNMP

SNMP offre 3 oprations simples :
GET : Permet la station dadministration de retirer les valeurs dun objet d la station administre. bj t de l t ti d i i t

Les PDUs SNMP

demander les valeurs des objets

demander les valeurs des objets suivants SET:

Permet la station dadministration daffecter des valeurs un j objet dans la station administre.
TRAP:

Modifier les valeurs des objets

Permet une station administre d envoyer des notifications la denvoyer station dadministration pour les vnements significatifs.

Rponse aux requtes ci -dessus

Notification suite un vnement

K&M ELHDHILI

K&M ELHDHILI

10

La MIB (Management Information Base)

1 ressource grer = 1 objet Les objets administrables sont une abstraction des ressources physiques (interfaces, quipements,etc.) et logiques (connexion TCP, paquets IP, etc.) MIB : collection structure dobjets reconnus par les agents Chaque nud dans le systme doit maintenir une MIB qui reflte ltat des ressources gres Une entit d'administration peut accder aux ressources du nud en lisant l valeurs d l' bj ou en les modifiant li les l de l'objet l difi MIB: 2 objectifs Un schma commun : SMI (Structure of Management Information) Une dfinition commune des objets et de leur structure j
K&M ELHDHILI

Arbre des MIB accessibles

11

K&M ELHDHILI

12

Identificateur d un objet de la MIB

Identificateur d un objet: Identificateur unique = squence d entiers dont chacun reprsente la position de ces successeurs dans l arbre. Exemple: identificateur de l objet MIB : . 1 . 3 . 6 . 1 . 2 . 1
System (1) interface (2)

Le groupe MIB-2

Mib-2 ( ) (1)

rmon (16 snmp (11) at (3) ip (4) icmp (5) tcp (6)
Transmisson (10))

egp (8) udp (7)

La L racine i
K&M ELHDHILI

osi i

org

dod d d Internet

ib mgmt mib 13
K&M ELHDHILI

14

Le groupe MIB-2
MIB-2 groupe system interfaces i t f at ip i icmp tcp t udp egp transmission snmp rmon nbre l b lments t 7 25 5 65 26 21 8 22 114 28 218 commentaire t i nud dans le rseau interfaces rseau i t f IP address translation Internet Protocol I t tP t l Internet Control Message Protocol Transmission C t l P t T i i Control Protocol l User Datagram Protocol Exterior Gateway Protocol E t i G t P t l informations sur la transmission SNMP Remote network monitoring
15

La structure numrique de la MIB-2

system interfaces at ip icmp tcp udp egp rmon transmission snmp
K&M ELHDHILI

1.3.6.1.2.1.1 1.3.6.1.2.1.2 1.3.6.1.2.1.3 1.3.6.1.2.1.4 1.3.6.1.2.1.5 1.3.6.1.2.1.6 1.3.6.1.2.1.7 1361217 1.3.6.1.2.1.8 1.3.6.1.2.1.9 1.3.6.1.2.1.10 1.3.6.1.2.1.11
16

Le groupe System
System : correspond au nom de l'agent, n de version, type de la machine, y p nom du systme d'exploitation, etc.
system Mib-2 Mib 2 (1)
Une valeur dsignant les couches rseaux fournies par l quipement

Le groupe Interface
ifNumber : le nombre d interfaces interfaces ifIndex : Index de l interface (son numro) ifDescre : Description de l interface yp yp ( g ) ifType : le type de l interface (Ethernet, Token-Ring,...)

Interface (mib-2(2)) ifNumber(1) ifTable(2) ifT bl (2) ifEntry(3)

sysDescr(1) sysObjectID(2) sysUpTime(3) U Ti (3)

Description du systme d exploitation

cmot (9) sysServices(7) sysLocation(6) sysName(5) sysContact(4)

Le local o Le nom du se trouve l quipement systme

ifMtu : le nombre maximum d octet que l interface peut envoyer ou recevoir i ifSpped : Une estimation du dbit de l interface ifPhyAdress : l adresse physique de l interface ....
K&M ELHDHILI

ifIndex(1) ifDescre(2) ifType(3) ifMtu( 4) ifMtu(4) ifSpeed(5) ifPhyAdress(6) ifPh Ad (6) 18

Le temps en La personne Identificateur de l objet contacter qui reprsente l quipement centime de quipement (attribu par le constructeur seconde depuis (administrateur) la dernire mise K&M ELHDHILI en activit

17

Le groupe IP
ipForwarding : Agit comme passerelle, ou non

Les autres groupes

icmp : 26 compteurs
- pour chaque message icmp 2 compteurs pour compter les messages reus et mis icmp, - 4 compteurs pour compter le nombre total de messages icmp reus, reus par erreur ou non envoys,

ip (mib-2(2))
ipDefault TTL : la valeur par dfaut du TTL ajout dans un

ipForwarding(1)
paquet IP

ipDefaultTTL(2)
ipInReceives : Le nombre total de paquets IP reus IpInHdrErrors : Le nombre total de paquets carts dus une erreur sur l en-tte IpInAddrErrors : Le nombre total de paquets carts dus une erreur sur l adresse de destination IpForwDatagrams : Le nombre total de paquets dont l entit rceptrice ne reprsente pas la destination finale finale.
K&M ELHDHILI

tcp : rend compte des connexions TCP en cours et leurs paramtres

de type nombre max de connexions simultanes permises, nombre d'ouvertures actives, q (coute, time-wait,...). , , ) l'tat de chaque connexion (

ipInReceives(3) IpInHdrErrors(4) I I Hd E (4) IpInAddrErrors(5) IpForwDatagrams(6) IpInUnknowProtos(7) ipInDiscards(8) ipInDelivers(9) 19

udp : - 4 compteurs renseignent sur le nombre de datagramme

UDP envoys, reus, en erreur, ...

egp : gre le protocole egp (External gateway protocol)(routage

des paquets entre routeurs). On a le nbre de paquets entrants, sortants, en erreur, la table des routeurs adjacents, des infos sur les routeurs...

snmp : requis pour chaque entit mettant en oeuvre le protocole

SNMP. Contient le nombre de messages SNMP entrants et sortants, le nombre de mauvaises versions reues ou de nom de communaut invalide, la rpartition du type de requtes reues et envoyes (get, get_next, set et trap)

K&M ELHDHILI

20

Mcanismes de scurit de SNMP

SNMP implmente 3 mcanismes de scurit:
L authentification, l autorisation (politique d accs) (p q ) L identification de l objet

Mcanismes de scurit de SNMP

L autorisation est l intersection entre le mode d accs dfini par la communaut et l accs l objet dfini parmi les caractristiques de l objet. objet.
Mode daccs d accs read-only read-write read only read-only 3 3 read write write only not accessible read-write write-only not-accessible 3 1 1 2 4 1

L th tifi ti se f it par l choix d nom de authentification fait le h i un d communaut afin de restreindre l accs aux agents que par les administrateurs rseaux.
Le nom de communaut est vrifi pour chaque requte SNMP. p q q Il est reli au mode d accs aux objets de la MIB (lecture-criture).

o les classes sont dfinies par :

1 no right 2 get get-next set trap get, get next, set,
K&M ELHDHILI

3 get, get-next, trap 4 set trap set,

Chaque communaut dfi i un mode d qui peut t Ch t dfinie d accs i t tre soit Read-only, soit read-write.
21

22

Format gnral du Message SNMP

Dfinition ASN.1 du Message

Le numro de version pour SNMPv1 = 0

Le nom de communaut

Le Protocol Data User pour SNMPv1

SNMP community = Un ensemble dadministrateurs autoriss utiliser d administrateurs lagent Chaque communaut est dfinie en utilisant un nom unique Les administrateurs doivent prciser le nom de la communaut dans les requtes SNMP t
K&M ELHDHILI

23

K&M ELHDHILI

24

Format des Get, Get-Next et Set

Format de Variable Binding List

Index de l erreur sur la liste des variables binding Liste d instances d objets retirer ou modifier l ti difi leur valeur l L tat d erreur 0 : pas d erreur 25
K&M ELHDHILI

26

Format de Trap

Le champ Generic
Le champ Generic peut prendre une des valeurs suivantes :
coldStart (0) : Une rinitialisation inatendue due une dfaillance. warmStart (1) : Une dfaillance mineur linkDown (2) : Une dfaillance survenue sur une interface physique. linkUp (3) : Une interface devient active.

Type =4 pour trap

Le systme qui L adresse IP a gnr la trap de l agent (sysObjectID du groupe system)

Information propos de la nature de trap

Liste d instances d objets retirer ou modifier leurs valeurs

authenticationFailure (4) : Lagent a reu un message avec une authentification impropre egpNeighborLoss (5) : Un routeur voisin utilisant EGP (External Gateway

Information propos de la nature de l vnement vnement

Le temps entre la dernire initialisation de l agent et g p la gnration de la trap 27

) Protocol) est dclar comme tant non focntionnel enterpriseSpecific (6) : Lvnement relatif enterprise-specific est survenu

K&M ELHDHILI

K&M ELHDHILI

28

Exemple de Trap

La requte GET

L adresse IP de agent metteur : 132.18.54.21 L bj t concern par l t objet la trap est : 1 3 6 1 4 1 20 1 (MIB prive) t 1.3.6.1.4.1.20.1 i ) Type de trap : link up (generic=3)
Indication : le nombre de paquets reus est 956340 La dernire rinitialisation de lagent : 6 heures passes. 29 30

K&M ELHDHILI

K&M ELHDHILI

La requte GETNextRequest

La requte Set

K&M ELHDHILI

31

K&M ELHDHILI

32

La notification TRAP

Les requtes multiples

Les requtes Get, Get Next and Set Requests peuvent prciser plusieurs objets lire ou modifier leurs valeurs.

K&M ELHDHILI

33

K&M ELHDHILI

34

Exemple de Get Request

Exemple de GetNext Request

K&M ELHDHILI

35

36

Exemple de Set Request

Numros des Ports de SNMP

Por choisie rt Par le manage r er

K&M ELHDHILI

37

Port choisi ie Par lagen nt

K&M ELHDHILI

38

Introduction
SNMPv2: mmes lments de base que SNMPv1 Diffrence significative: un agent et un manager ont la mme fonction.

SNMPv2

Deux messages sont ajouts :

g get-bulk: demander et recevoir un grand volume de donnes g Inform request: pour la communication entre deux systmes d administration
Internet

Directory

Mgmt

Experimental

Private

Snmpv2

K&M ELHDHILI

39

K&M ELHDHILI

40

L architecture de SNMPv2
SNMP Manager Application Inf form-requ uest g get-reques st
Ge et-bulk-requ uest Get t-next-requ uest s snmpV2-trap set-request response e

Les oprations de SNMPv2

Les messages get-request, get-next-request, et set-request sont les mmes que ceux de SNMPv1 et ils sont gnrs par l application d administration administration. Le message response est le mme aussi que celui de SNMPv1, mais il est gnr dans ce cas par l agent ou le manager agent manager. Le message inform-request est gnr par le manager et envoy un autre manager. t Le message get-bulk-request est gnr par le manager afin de transfrer une grande quantit de d d i d donnes de l d agent vers le manager. l L vnement SNMPv2-trap (notification) est gnr et transmis quand une situation exceptionnelle apparat.
41
K&M ELHDHILI

Application pp SNMP Manager PDU Application

Ge et-bulk-requ uest Get t-next-requ uest

Application pp SNMP Agent PDU Application

Get t-next-requ uest Ge et-bulk-requ uest s snmpV2-tra ap get-reques st set-reques st snm mpV2-trap p response

Inf form-reque est g get-reques st

set-request

SNMP PDU

response e

SNMP PDU

SNMP UDP IP DLC PHY

SNMP UDP IP DLC PHY

SNMP UDP IP DLC PHY

Physical Medium y
K&M ELHDHILI

Physical Medium y

42

Les oprations de SNMPv2

La structure de donnes PDU dans SNMPv2 a t uniformise pour tous les messages ( g (sauf p pour le message get-bulk-request) afin d amliorer les g g q ) performances d change.
PDU Type yp RequestID Error Status Error Index VarBind 1 VarBind 1 ... name value VarBind n name VarBind n value

La MIB de SNMPv2
La MIB de SNMPv2 est dfinie dans la RFC 1907 Trois nouveaux groupes dansSNMP V2 MIB : system group :
extension du groupe original MIB-II system le groupe SNMP V1 system + de nouveaux objets

avec SNMPv1 Les VarBinds ne sont pas toutes retournes dans le cas d une erreur (Error Status 0), avec SNMPv2 uniquement la varBind qui gnre l erreur est ignore erreur et le reste sera retourne dans la rponse.

snmp group :
rafinement du groupe original MIB-II snmp
VarBind n name VarBind n value

La structure de donnes PDU get bulk request est : get-bulk-request

PDU Type RequestID NonRepeaters Max Repetitions VarBind 1 VarBind 1 ... name value

le groupe SNMP V1 snmp + de nouveaux objets

non-repeaters : nombre de variables non rpts retourner (variables atomiques) max-repeaters : nombre de lignes retourner (variables composes)

snmpMIBObjects group : traite les SNMPv2-Trap PDUs

snmpTrap subgroup : Informations propos des traps gnrs par les agents snmpSet subgroup : Utilis pour rsoudre des problmes qui proviennent des oprations SET. 44

get-next-request ne peut retourner quune seule ligne (la ligne qui suit 43 celle prcise par les varBinds)
K&M ELHDHILI

K&M ELHDHILI

La MIB
Le groupe system
system (mib-2(1)) t ( ib 2(1))

La MIB
Le groupe snmp
snmp (mib-2(11))

sysDescr(1) sysObjectID(2)

snmpInPks(1) I Pk (1)

SNMPv1

Le nombre total de messages dlivrs du service de transport

sysServices(7) sysORLastChange(8) sysORTable(9)

La valeur de sysUpTime qui indique le temps d un changement majeur sur l tat ou la valeur d une instance du snmpORID Table d T bl dynamique d bj t d i i objets dcrivant l ressources du systme t les d t

Le nombre total de messages du service de transport dont la SnmpInBadVersions(3) version est invalide Le nombre total de messages du service de transport dont le snmpInBadCommunityNames(4) nom de communaut est inconnu g p snmpInBadCommunityUses(5) Le nombre total de messages du service de transport dont le nom de communaut est non autoris par l opration snmpInASNParseError(6) Le nombre total d erreurs sur ASN.1 et BER Indique si l tit SNMPv2 est autorise gnrer des traps I di i entit SNMP 2 t t i d t pour un chec sur l authentification. Le nombre total de requtes choues cause d une rponse qui q i dpasse la taille ma imale o une exception s r varbinds maximale ou ne e ception sur arbinds Le nombre total de requtes choues cause d une 46 inaccessibilit avec un proxy

sysOREntry(3) sysORIndex(1) sysORID(2) sysORDescr(3) sysORUpTime(4)

K&M ELHDHILI

Index de la table L identificateur de l OR Description de l OR D i ti d La valeur de sysUpTime depuis que 45 l objet a t instanti

snmpEnableAuthenTraps(30) snmpsilentDrops(31) snmpProxyDrops(32)

K&M ELHDHILI

La MIB
Le groupe snmpMIBObjetcs
SnmpMIBObjects (snmpMIB (1)) snmpTraps(4) snmpTrapOID (1) snmpTrapEntreprise (3) sysTraps(5)

La MIB
Lagent accepte lopration SET sur le snmpSetSerialNo si la valeur invoque est la mme que celle de la valeur courante la valeur de snmpSetSerialNo est incrmente de 1

Identificateur de l objet du trap couramment envoy Identificateur de l objet de l entreprise associ au trap couramment envoy
ColdStart(1) warmStart(2) linkDown(3) ( ) linkUp(4)

snmpSet(6) snmpSetSerialNo(1)
K&M ELHDHILI

autentificationFailure (5)

Verrouillage utilis pour protger les objets de la MIB contre 47 des accs concurrents de plusieurs Managers avec l opration Set

K&M ELHDHILI

48

La MIB
Lagent refuse lopration SET sur snmpSetSerialNo si la valeur invoque est diffrente de la valeur courante

La MIB

K&M ELHDHILI

49

K&M ELHDHILI

50

Mise en place dun agent SNMP sous Linux

TP(S ) (SNMP)
Mise en place dun Agent et dun Manager SNMP Sous Linux

Implmentation de lagent SNMP p g snmpd dmon relatif au service SNMP de base coute du port 161 coute des SET, GET et gnration des Response snmptrapd Dmon responsable de la gnration des Trap Gre le port 162 p Agent SNMP activ par activation de ces deux dmons Configuration possible travers : /etc/snmp/snmpd.conf Journalisation et historique : /var/log/snmpd.log
52

K&M ELHDHILI

51

K&M ELHDHILI

Mise en place dun Manager

Agent et Manager doivent tre dans la mme communaut. Ensemble doutils permettant lexcution de requtes SNMP Exemple : les outils NET-SNMP
Intrrogation dun agent :

snmpget snmpgetnext snmpwalk

Modification dattributs de la MIB dun agent : snmpset Outils dditi O til additionnels : snmpstat, snmptranslate, snmpstatus etc. l t t t l t t t t Manuel dutilisation, page projet : http://www.net snmp.org d utilisation, http://www.net-snmp.org Tlchargement : http://rpm.pbone.net
K&M ELHDHILI

53