Scribd Logo
Importer

Bienvenue sur Scribd !

  • Simple Network Management Protocol

    Transféré par

    bouga
    78 vues5 pages

    Copyright

    © © All Rights Reserved

    Formats disponibles

    DOCX, PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme DOCX, PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    78 vues5 pages

    Simple Network Management Protocol

    Transféré par

    bouga

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme DOCX, PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 5

    Simple Network Management Protocol (abrégé SNMP), en français « protocole simple de

    gestion de réseau », est un protocole de communication qui permet aux administrateurs réseau


    de gérer les équipements du réseau, de superviser et de diagnostiquer des problèmes réseaux et
    matériels à distance.
    Les systèmes de gestion de réseau sont basés sur trois éléments principaux : un superviseur
    (manager), des nœuds (nodes) et des agents. Dans la terminologie SNMP, le
    synonyme manager est plus souvent employé que superviseur. Le superviseur est la console qui
    permet à l'administrateur réseau d'exécuter des requêtes de gestion (management). Les agents
    sont des entités qui se trouvent au niveau de chaque interface, connectant au réseau
    l'équipement géré (nœud) et permettant de récupérer des informations sur différents objets.
    Commutateurs, concentrateurs, routeurs, postes de travail et serveurs (physiques ou virtuels)
    sont des exemples d'équipements contenant des objets gérables. Ces objets gérables peuvent
    être des informations matérielles, des paramètres de configuration, des statistiques de
    performance et autres objets qui sont directement liés au comportement en cours de
    l'équipement en question. Ces objets sont classés dans une sorte de base de données
    arborescente définie par l'ISO1 appelée MIB (« Management Information Base »). SNMP permet
    le dialogue entre le superviseur et les agents afin de recueillir les objets souhaités dans la MIB.
    L'architecture de gestion du réseau proposée par le protocole SNMP est donc fondée sur trois
    principaux éléments :

     les équipements gérés (managed devices) sont des éléments du réseau (ponts,
    commutateurs, concentrateurs, routeurs ou serveurs), contenant des « objets de gestion »
    (managed objects) pouvant être des informations sur le matériel, des éléments de
    configuration ou des informations statistiques ;
     les agents, c'est-à-dire les applications de gestion de réseau résidant dans un
    périphérique, sont chargés de transmettre les données locales de gestion du périphérique au
    format SNMP ;
     les systèmes de gestion de réseau (network management systems notés NMS), c'est-à-
    dire les consoles à travers lesquelles les administrateurs peuvent réaliser des tâches
    d'administration.
     Le LDAP ou Lightweight Directory Access Protocol est un protocole visant à interroger et
    manipuler de manière synchrone ou asynchrone les annuaires. Le LDAP est implémenté dans
    Microsoft Active Directory. Cet annuaire très important dans un réseau d’ordinateurs repose
    toute l’administration système sous Windows 2000,2003, XP…
     Quelques informations basiques sur la différence
    entre LDAP et Active Directory
     Active Directory est un annuaire au format Microsoft qui a pour objectif de stocker des
    données qualifiées d’objets. Quant au LDAP, il s’agit d’un protocole d’accès aux informations.
    L’outil permet d’échanger des renseignements entre les annuaires compatibles au protocole.
    Le LDAP est un langage de requêtes. Grâce au LDAP, l’utilisateur peut introduire dans
    l’interface n’importe quel annuaire même ceux qui sont indépendants au système.
     En répertoriant le programme, on peut faire tourner le logiciel qui peut fonctionner et être
    modifié dans l’annuaire. Si le LDAP est le protocole, Active Directory représente
    l’implémentation de la charte par Microsoft. L’outil est un Protocole annuaire pour Windows
    Server. On peut trouver un programme open source du LDAP qui s’intitule OpenLDAP.
     Que peut-on faire avec LDAP et Active Directory ?
     Le Lightweight Directory Access Protocol détermine la méthode d’accès aux données sur un
    serveur au niveau du client alors qu’Active Directory s’intéresse au stockage des informations
    en centralisant les données. Le LDAP fournit à l’utilisateur différentes méthodes permettant de
    se connecter, déconnecter, rechercher ou comparer des informations, insérer, modifier ou
    supprimer des entrées.
     En ce qui concerne l’objectif du système d’exploitation Windows Active Directory, le service
    d’annuaire écrit en C++ permet de centraliser l’identification et l’authentification d’un réseau
    d’ordinateur fonctionnant sous Windows. En plus d’autoriser les administrateurs à faire les
    mises à jour critiques, il distribue les logiciels, l’attribution et l’application de stratégies. Ce
    programme répertorie les éléments d’un réseau administré comme les comptes d’utilisateurs,
    les postes de travail, les serveurs, les imprimantes et les dossiers partagés.
     Différences structurelles entre Active Directory et
    LDAP
     La subdivision d’Active Directory est composée de la forêt qui est une structure hiérarchique
    dans plusieurs domaines indépendants. L’arbre ou arborescence regroupe toutes les
    ramifications et le domaine qui inclut les feuilles de la ramification.
     En ce qui concerne la structure de l’annuaire LDAP, elle est similaire au modèle X.500. Son
    architecture relativement multi-tenante est composée d’un annuaire qui est un arbre d’entrée,
    une entrée constituée d’un ensemble d’attributs. Les attributs qui sont définis dans des
    schémas possèdent un nom, un type ainsi qu’une ou plusieurs valeurs.

    La sécurité d'un serveur d'annuaire peut être considérablement améliorée en le


    configurant pour qu'il rejette les liaisons LDAP SASL (Simple Authentication and Security
    Layer) qui ne demandent pas de signature (vérification d'intégrité) ou pour qu'il rejette
    les liaisons LDAP simples effectuées sur une connexion avec texte en clair (non chiffrée
    via SSL/TLS). Les SASL peuvent inclure des protocoles tels que Negotiate, Kerberos,
    NTLM et Digest.

    Si le trafic réseau n'est pas signé, il est exposé à des attaques par relecture, où le pirate
    intercepte la tentative d'authentification et l'émission d'un ticket. Le pirate peut réutiliser
    le ticket pour usurper l'identité de l'utilisateur légitime. En outre, si le trafic réseau n'est
    pas signé, il est exposé à des attaques de l'intercepteur (man-in-the-middle attacks), où
    le pirate intercepte des paquets entre le client et le serveur, les modifie, puis les transfère
    au serveur. Si ce problème se produit sur un serveur LDAP, l'attaquant peut obliger le
    serveur à prendre des décisions basées sur des requêtes contrefaites provenant du
    client LDAP.

    Cet article explique comment configurer votre serveur d'annuaire pour le protéger de ces
    attaques.

    Les systèmes clients basés sur des liaisons LDAP SASL (Negotiate, Kerberos, NTLM ou
    Digest) non signées ou sur des liaisons LDAP simples sur une connexion non-SSL/TLS
    cessent de fonctionner après cette modification de configuration. Pour vous aider à
    identifier ces clients, le serveur d’annuaire enregistre le résumé d’événements 2887 une
    fois toutes les 24 heures pour indiquer le nombre de liaisons qui se sont produites. Nous
    vous recommandons de configurer les systèmes clients afin d'éviter d'utiliser ces types
    de liaisons. Si aucun événement correspondant n'est observé durant une longue période,
    il est recommandé de configurer le serveur de sorte qu'il rejette ces liaisons.

    Si vous avez besoin de plus d'informations pour identifier ces clients, vous pouvez
    configurer le serveur d'annuaire pour qu'il fournisse des journaux plus détaillés. Un
    événement 2889 est alors enregistré lorsqu'un client essaie d'établir une liaison LDAP
    non signée. Le journal affiche l'adresse IP du client et l'identité que le client a essayé
    d'utiliser pour l'authentification. Vous pouvez activer ces informations supplémentaires
    en définissant le paramètre de diagnostic Événements d'interface LDAP sur 2 (de
    base). Pour plus d'informations sur la modification des paramètres de diagnostic,
    consultez le site web de Microsoft à l'adresse suivante :

    PUBLICATION RAPIDE

    LES ARTICLES À PUBLICATION RAPIDE FOURNISSENT DES INFORMATIONS


    CONCERNANT DES SUJETS NOUVEAUX OU UNIQUES, ET ILS PEUVENT ÊTRE MIS À JOUR
    DÈS QUE DE NOUVELLES INFORMATIONS SONT DISPONIBLES.

    INTRODUCTION

    La sécurité d'un serveur d'annuaire peut être considérablement améliorée en le


    configurant pour qu'il rejette les liaisons LDAP SASL (Simple Authentication and Security
    Layer) qui ne demandent pas de signature (vérification d'intégrité) ou pour qu'il rejette
    les liaisons LDAP simples effectuées sur une connexion avec texte en clair (non chiffrée
    via SSL/TLS). Les SASL peuvent inclure des protocoles tels que Negotiate, Kerberos, NTLM
    et Digest.

    Si le trafic réseau n'est pas signé, il est exposé à des attaques par relecture, où le pirate
    intercepte la tentative d'authentification et l'émission d'un ticket. Le pirate peut réutiliser
    le ticket pour usurper l'identité de l'utilisateur légitime. En outre, si le trafic réseau n'est
    pas signé, il est exposé à des attaques de l'intercepteur (man-in-the-middle attacks), où
    le pirate intercepte des paquets entre le client et le serveur, les modifie, puis les transfère
    au serveur. Si ce problème se produit sur un serveur LDAP, l'attaquant peut obliger le
    serveur à prendre des décisions basées sur des requêtes contrefaites provenant du
    client LDAP.

    Cet article explique comment configurer votre serveur d'annuaire pour le protéger de ces
    attaques.

    Informations supplémentaires
    Comment découvrir les clients qui n'utilisent pas l'option « Exiger la signature »

    Les systèmes clients basés sur des liaisons LDAP SASL (Negotiate, Kerberos, NTLM ou
    Digest) non signées ou sur des liaisons LDAP simples sur une connexion non-SSL/TLS
    cessent de fonctionner après cette modification de configuration. Pour vous aider à
    identifier ces clients, le serveur d’annuaire enregistre le résumé d’événements 2887 une
    fois toutes les 24 heures pour indiquer le nombre de liaisons qui se sont produites. Nous
    vous recommandons de configurer les systèmes clients afin d'éviter d'utiliser ces types de
    liaisons. Si aucun événement correspondant n'est observé durant une longue période, il
    est recommandé de configurer le serveur de sorte qu'il rejette ces liaisons.

    Si vous avez besoin de plus d'informations pour identifier ces clients, vous pouvez
    configurer le serveur d'annuaire pour qu'il fournisse des journaux plus détaillés. Un
    événement 2889 est alors enregistré lorsqu'un client essaie d'établir une liaison LDAP
    non signée. Le journal affiche l'adresse IP du client et l'identité que le client a essayé
    d'utiliser pour l'authentification. Vous pouvez activer ces informations supplémentaires
    en définissant le paramètre de diagnostic Événements d'interface LDAP sur 2 (de
    base). Pour plus d'informations sur la modification des paramètres de diagnostic,
    consultez le site web de Microsoft à l'adresse suivante :

    http://go.microsoft.com/?linkid=9645087

    Si le serveur d'annuaire est configuré pour rejeter les liaisons LDAP simples ou les liaisons
    LDAP SASL non signées sur une connexion non-SSL/TLS, le serveur d'annuaire enregistre
    un événement de résumé 2888 une fois toutes les 24 heures lorsque ces tentatives de
    liaison se produisent.

    Comment configurer l'annuaire pour exiger la signature du serveur LDAP

    Utilisation d'une stratégie de groupe

    Comment définir la condition pour la signature de serveur LDAP

    1. Cliquez sur Démarrer, sur Exécuter, tapez mmc.exe, puis cliquez sur OK.


    2. Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel
    enfichable.
    3. Dans la boîte de dialogue Ajouter ou supprimer des composants logiciels
    enfichables, cliquez sur Éditeur de gestion des stratégies de groupe, puis
    sur Ajouter.
    4. Dans la boîte de dialogue Sélectionner un objet de stratégie de groupe, cliquez
    sur Parcourir.
    5. Dans la boîte de dialogue Rechercher un objet Stratégie de groupe, cliquez
    sur Stratégie de domaine par défaut, sous la section Domaines, unités
    d’organisation et objets de stratégie de groupe liés, puis cliquez sur OK.
    6. Cliquez sur Terminer.
    7. Cliquez sur OK.
    8. Développez Stratégie par défaut des contrôleurs de domaine, Configuration
    ordinateur, Stratégies, Paramètres Windows, Paramètres de sécurité, Stratégies
    locales, puis cliquez sur Options de sécurité.
    9. Cliquez avec le bouton droit sur Contrôleur de domaine : conditions requises
    pour la signature de serveur LDAP, puis cliquez sur Propriétés.
    10. Dans la boîte de dialogue Contrôleur de domaine : conditions requises pour la
    signature de serveur LDAP - Propriétés, activez l'option Définir ce paramètre de
    stratégie, cliquez sur Exiger la signature dans la liste déroulante Définir ce
    paramètre de stratégie, puis cliquez sur OK.

    Vous aimerez peut-être aussi