Vous êtes sur la page 1sur 7

SNMP - Simple network management protocol Un protocole pour superviser/administrer les quipements dun rseau SNMP - Le modle de gestion

Noeuds grer : les agents SNMP = ordinateurs, Hub, swirches, routeurs, imprimantes etc. Station de supervision : en mode texte ou en mode graphique Informations de gestion : la MIB = Quelles informations une station de supervision peut-elle demander un agent SNMP ? Protocole de gestion : Quest-ce qui circule sur le rseau entre les agents et les stations ?

Les noeuds grs peuvent tre des ordinateurs, imprimantes, matriels actifs, etc... Il suffit qu'ils intgrent et excutent un agent SNMP , le logiciel sachant rpondre des demandes des stations de supervision. La station de management est un ordinateur excutant un logiciel de gestion, capable de communiquer avec des agents SNMP, leur posant des questions, obtenant des rponses, et mettant jour des informations. Les noeuds administrables doivent donc inclure une base de donnes contenant toutes les informations jour pour permettre une station d'administration de connatre, l'instant T, l'tat du rseau. Cette base de donnes est appele MIB.
Les MIB (Management Information Base)

La plupart des matriels et des logiciels rseau possdent une base de donnes stocke dans le matriel ou dans le logiciel appele MIB. La MIB est une base de donnes d'administration de rseau. Elle dfinit et dcrit tous les lments d'informations ncessaires l'administrateur de rseaux autant sur le plan technique que sur le plan administratif. En complment des normes fournies par la MIB, un ensemble de rgles sont utilises pour identifier et dfinir les variables MIB. Avant d'aborder les concepts de SNMP, il est indispensable d'tudier ces rgles regroupes sous le nom de Structure des Informations d'administration (Structure Management Information ou SMI).

Groupe Esaip

P. Tregout

La SMI dfinit pour tout objet trois attributs

son nom : caractris par un identifiant unique appel "identifiant de l'objet"

la syntaxe de son type : C'est une dfinition abstraite d'une structure de donne utilisant la syntaxe ASN1 (Abstract Syntax Notation One).

son codage : C'est une reprsentation interne de l'objet en vue de l'change d'informations entre les agents et le manager. Le contenu du message est ralis au moyen du codage BER (Basic Encoding Rules).

Les objets de la MIB sont hirarchiss en fonction de leur nature fonctionnelle. Cette hirarchie peut se visualiser sous la forme d'une arborescence appel Arbre d'informations d'administration (MIT: Management Information Tree). Vue partielle de l'arbre MIT : root iso (1) ccitt (2) iso-ccitt (3) standard registration member identified(0) -authority -body organization (1) (2) (3) dod (6) internet (1) management (2) mib2 (1) system interfaces at (3) ip (4) icmp (5) tcp udp egp (8) transmission snmp (1) (2) (6) (7) (10) (11) A la racine, sont lis par filiation trois noeuds : le CCITT, l'ISO, l'union ISO-CCITT. La branche menant aux informations relatives l'objet SNMP commence au sous-arbre ISO lequel se divise en quatre branches : Standard, Registration-Authority, Member-Body, et IdentifiedOrganization. De la branche Identified-Organization, partent six nouvelles branches dont celle du DoD (Departement of Defense) qui a allou son premier noeud l'IAB (Internet Activities Board). De l'IAB partent quatre autres branches : Directory, Management, Experimental, Private. La branche Management (Administration) contient les lments (dits objets) dfinis dans les documents de l'IAB tels que les RFC. La branche PRIVATE contient le sous-arbre Enterprise, destin aux entreprises prives et organisations qui souhaitent dvelopper des objets propres leurs quipements (MIB prives). Par ailleurs, ces entreprises peuvent apporter des extensions la MIB standard.

Groupe Esaip

P. Tregout

La branche Experimental est utilise pour dcrire les objets situs dans un tat non dfinitif. L'identifiant d'un objet (Object Identifier) se prsente sous la forme d'une suite d'entiers dcrivant sa position dans l'arbre de la racine jusqu'au noeud correspondant. Ex : l'objet SNMP a pour identifiant 1.3.6.1.2.1.11 ce qui se traduit par iso.organization.dod.internet.management.mib2.snmp Ex2 : l'objet Microsoft a pour identifiant 1.3.6.1.4.1.311 ce qui se traduit par iso.organization.dod.internet.private.entreprise Le nom cod est utilis par les machines, et le nom en clair, par les individus ou personnes physiques.

Remarque : Un agent SNMP nest pas oblig de grer une MIB complte. Par contre, sil importe un groupe, il doit grer toutes les variables de ce groupe.

Sondes SNMP RMON Contrairement au systme SNMP classique dans lequel la station dadministration interroge rgulirement par polling les agents SNMP rpartis sur le rseau, les sondes RMON utilisent les changes existants sans surcharge du rseau, pour tablir un diagnostique sur ce rseau. Remarque : pour une vue optimale du rseau, il serait ncessaire dinterroger, intervalles rguliers, tous les quipements du rseau. Une sonde fonctionne de manire autonome et ne transmet que des informations rellement ncessaires. Les informations sont stockes et traites par la sonde et envoyes la demande la station de supervision.

Groupe Esaip

P. Tregout

Elments du protocole SNMP Numros de ports standard demo@forum:~> grep snmp -i /etc/services snmp 161/tcp # SNMP snmp 161/udp # SNMP snmptrap 162/tcp # SNMPTRAP snmptrap 162/udp # SNMPTRAP synotics-relay synotics-relay snmp-tcp-port snmp-tcp-port oce-snmp-trap oce-snmp-trap websphere-snmp websphere-snmp patrol-snmp patrol-snmp 391/tcp # 391/udp # 1993/tcp # 1993/udp # 2697/tcp # 2697/udp # 3427/tcp # 3427/udp # 8161/tcp 8161/udp SynOptics SNMP Relay Port SynOptics SNMP Relay Port cisco SNMP TCP port cisco SNMP TCP port Oce SNMP Trap Port Oce SNMP Trap Port WebSphere SNMP WebSphere SNMP # Patrol SNMP # Patrol SNMP

Un change SNMP : contenu de la trame SNMP Identifiant : @ IP source @ IP destination Port UDP source Port UDP destination Request-id ..

Ds la rception dune trame, on vrifie quil y a concordance des droits (nom de communaut).

Groupe Esaip

P. Tregout

Un agent SNMP intgre 4 composants :


Les fonctions spcifiques de lagent comportant une image de la MIB constructeur Le protocole dadministration incluant la pile de protocoles IP, ICMP, ARP, UDP, SNMP Les outils locaux de communication inter processus, le logiciel SNMP agissant en tche de fond Les paramtres de configuration

SNMP est un protocole de type Question/Rponse, Il dfinit les rgles de syntaxe pour les questions et les rponses entre les managers et les agents. Ces questions sont : GET GET NEXT SET TRAP Pour recueillir des informations. Get dsigne ncessairement une variable instancie Pour obtenir des informations en mode de traverse Pour positionner des valeurs Pour permettre un agent dmettre une alarme sur vnement vers une station de supervision.

Remarque : Le positionnement des TRAP nexclue pas le polling : Si lagent meurt, il ne pourra en avertir la station de supervision.

Groupe Esaip

P. Tregout

SNMP : Applications Outils SNMP sous Linux

ucd-snmp : outils d'interrogation (station de supervision)


snmpwalk snmpget etc...

ucd-snmp : agent snmp sur Linux MIB : /usr/share/snmp/mibs snmptranslate voir man snmptranslate

Mettre des rsultats de supervision sur le web grce MRTG

MRTG : Multirouteur traffic grapher Installation et mise en oeuvre avec Apache

TP rseaux SNMP En s'inspirant des fichiers ~ptregouet/snmp.agents et ~ptregouet/snmp.stats crer une procdure shell qui permette d'interroger toutes les minutes un des agents snmp lists dans ~ptregouet/snmp.agents, afin de connatre le nombres d'octets mis ou reus sur la premire interface rseau de l'quipement correspondant, switches sw-hp1 ou sw-hp2 ou imprimante pr-cn1. On enregistrera les donnes dans un fichier texte sur une priode de 15 minutes au minimum. Ce fichier sera ensuite transfr manuellement sur un machine Windows par FTP puis import dans Excel, afin de produire un graphique mettant en vidence les variations du trafic minute par minute (bien entendu le nombre d'octets mis ou reus sur chaque priode de une minute est la diffrence entre les valeurs du compteur observes sur 2 priodes successives) Rsultat demand par binme (ce rsultat sera not) le fichier contenant le texte de la procdure shell le fichier texte gnr par cette procdure le fichier Excel contenant les valeurs du trafic minute par minute, calcules sous Excel, et le graphe montrant l'volution du trafic sur la priode d'observation. Ces 3 fichiers sont adresser par e-mail P. Trgout, avec si possible comme sujet TPC SNMP

Groupe Esaip

P. Tregout

Faiblesse de la scurit du protocole SNMP


(d'aprs un article de Dcision Micro & Rseaux de Fvrier 2002)

Rgles lmentaires de protection des quipements supportant un agent SNMP

adapter les rgles des coupe-feu ou les ACL (listes de contrle d'accs) des routeurs afin que le trafic SNMP (UDP et TCP 161 et 162 pour l'essentiel) ne soit autoris que depuis et vers des Managers et des Agents autoriss. interdire le trafic SNMP depuis et vers Internet. C'est inutile et dangereux. Crer si possible un VLAN (rseau virtuel) ddi l'administration des quipements SNMP supprimer les fonctions SNMP des quipements qui n'utilisent pas le protocole. Attention toutefois, certains pourront toujours tre vulnrables. rendre (lorsque cela est possible) la pile non excutable dans les quipements SNMP, afin de limiter le risque de dpassement de la mmoire tampon. Ne pas utiliser les Community Strings par dfaut pour l'authentification. Toutefois, les vulnrabilits dcrites peuvent tre exploites avant que l'quipement ne gre l'authentification. Cela ne protge donc pas des attaques dcrites ici, mais protge des intrusions les plus simples.

SNMP enfin scuris avec la version 4

Lies au systme d'authentification par communaut (simples mots-cls transitant en clair, non chiffrs, sur le rseau), les failles de la version 1 de SNMP, en ralit, ne surprennent qu' moiti les spcialistes. La premire alerte, Publie par le groupe de recherche SecureTeam, date du 20 novembre 1998. Mais malgr les avertissements rpts, les tentatives, engages ds 1998, pour combler ce trou de scurit ont jusqu' prsent chou.

L'une des dclinaisons de la version 2 de SNMP (connue sous le nom de SNMPv2p) prvoit ainsi de restreindre les permissions de lecture/criture des machines ou des noeuds dment identifis (party-based SNMP). Cisco a sans doute t l'un des rares fabricants mettre en oeuvre ce protocole exprimental, pour l'abandonner assez rapidement en raison de sa complexit d'exploitation. Dans son avis, le Cert reste imprcis quant la vulnrabilit de SNMPV3 et v4

Selon certains spcialistes, la scurit de ces nouvelles versions est cependant renforce: elle hrite en effet d'une troisime version exprimentale de SNMPV2, baptise SNMPv2star, qui n'a jamais t publie par l'IETF. Cette dernire visait combiner l'authentification des noeuds ou des machines et celle des utilisateurs autoriss excuter les oprations d'criture, fermant ainsi beaucoup plus srement la porte aux tentatives d'intrusion.

Groupe Esaip

P. Tregout