Resume

SNMP signifie protocole simple de gestion de rseau. Il s'agit d'un protocole qui permet aux administrateurs rseau de grer les quipements du rseau et de diagnostiquer les problmes de rseau.

Sommaire

Introduction 1 Principe et concept SNMP 2 rc!itecture du protocole SNMP o 2.1 Principe de client ser"eur o 2.2 #a MI$ o 2.% &u'est ce qu'un agent et un manager'

% #a communaut SNMP o %.1 (ommunaut SNMP et scurit o %.2 "antages et incon"nients de SNMP ) (onfiguration et rgle de filtrage * +c!ange de message o *.1 #es ,ets o *.2 #es sets et trap - .ormat des requ/tes

o o

-.1 SNMP globales

-.2 SNMP "10 "2 et "% et les formats P12

3 #es diffrences et diffrentes "ersions de SNMP 4 (ommandes gnrique a SNMP 5 +xemple de commandes SNMP 16 Structure de la MI$ 11 2tilit de SNMP au ni"eau de monitoring 12 Screens!ot du logiciel de monitoring Nagios (onclusion

Introduction

Le protocole SNMP (Simple Network Management Protocol) est trs utilis dans le milieu de ladministration rseau. En effet il permet de simplifier grandement la maintenance des rseau! en fournissant au! administrateurs la possi"ilit do"tenir de nom"reuses informations sur des #uipements prsents sur le rseau tels #ue des ser$eurs des routeurs ou encore des commutateurs. Le recueil de ces informations permet d%tre inform & tout moment de ce #ui se passe sur le rseau et permet de ragir rapidement en cas de pro"lme sur celui'ci notamment en permettant le management & distance des diffrents #uipements rseau! utilisant le protocole SNMP. (e plus ce protocole fonctionne sui$ant un mode ) client * ser$eur + ce #ui permet & un administrateur de no"tenir les informations recueillies par les #uipements rseau! #ue lors#uil en fait la demande ou lors#uune alerte aura t dclenc,e. -fin d$iter tout dtournement dinformation ou contr.le non autoris sur ces di$ers #uipements il est galement possi"le dinstaurer des mesures de scurit permettant de sassurer #ue seules des personnes autorises puissent consulter ces "ases dinformations et interagir a$ec ces #uipements.

1 Principe et concept SNMP

Le protocole SNMP dfinit des changes entre un client et un serveur afin de : Connatre ltat dun appareil.

,rer les "nements exceptionnels. Mesurer le trafic et les erreurs 7 distance. (onfigurer les appareils 7 distance.

Le protocole SNMP a 4 principaux avantages :

Il est simple et facile dutilisation.

Il implmente la gestion 7 distance. Il est indpendant des arc!itectures. Il est trs performant au ni"eau de gestion et de la sur"eillance des mac!ines.

8oici un exemple implmentant des ser"ices de ser"eillance rseau "ia le protocole SNMP 9

2 Architecture du protocole SNMP

2.1 Principe de client serveur

Le protocole SNMP est un protocole appartenant & la couc,e / du modle de rfrence 0S1 (couc,e application). 2ous trou$ere3 ci'dessous un sc,ma rcapitulatif des diffrentes couc,es du modle 0S1 ainsi #ue #uel#ues e!emples de protocoles utiliss pour c,acune de ces couc,es 4

Nous pou$ons lassimiler & une relation client ser$eur puis#ue une re#u%te est en$o5e par le client SNMP en utilisant le protocole 6(P ce #ui signifie #ue des accuss de rception ne sont pas en$o5 et une rponse lui est ren$o5e par l#uipement #ui a t interrog. Si la re#u%te na pas t transmise correctement il faut la ren$o5er. Lagent coute le rseau sur le port 6(P 787. (e m%me le manager coute les traps (autrement dit alarmes) sur le port 6(P 789. :,acune des informations rcoltes est enregistre dans une "ase. :ette "ase dinformation (M1;) est classe sui$ant une structure ar"orescente comme nous le $errons par la suite.

2.2 La MIB
La M1; est une "ase de donne #ui contient des $aria"les contenant les di$erses informations rcoltes par lagent SNMP. <outes ces $aria"les sont normalises par diffrentes normes 1S0. Lors#ue ladministrateur rseau rec,erc,e des informations sur une $aria"le prcise la structure normalise selon le t5pe de donnes lui facilite le tra$ail.

2.3 Qu'est ce qu'un agent et un manager?

La gestion du rseau est "ase sur deu! principau! lments4 Lagent et le manager.

2 ! 1 L"agent
:est a$ant tout un ser$eur puis#ue celui'ci coute un port 6(P #ui est indispensa"le sur c,a#ue #uipement rseau #ue lon $oudrait manager & distance. Lagent est un logiciel #ui fonctionne sur diffrents lments rseau! tel #uun ,u" switc, ou un routeur et*ou sur une station de tra$ail ou sur un ser$eur. Len$oi des messages par llment rseau est assur par celui'ci. Les messages sont en$o5s par les agents suite & 4 6ne re#u%te en$o5e par le manager. 6n $nement important.

Les rponses re=ues donnent des informations sur le statut dune interface rseau sur la $ersion du s5stme en place sur ltat des ta"les de routage etc...

2 ! 2 Le manager
:est le client #ui en$oie les re#u%tes au! diffrents agents SNMP du rseau. 1l se comporte comme un ser$eur puis#uil est & lcoute du port 6(P 789. (e plus des alertes peu$ent %tre mises par le client & nimporte #uel moment ce #ui permet une autonomie du rseau.

! La communaut# SNMP

3.1 Communaut

!"MP et s curit

6ne communaut est une c,a>ne de caractre. 1l e!iste deu! t5pes de communaut 4 pu"lic et pri$. 6ne communaut pu"li#ue peut lire des informations alors #uune communaut pri$e peut lire a?outer ou modifier des informations. 0n lutilise dans les re#u%tes SNMP pour permettre dta"lir des rgles de scurit. Ses rgles ont pour "ut de restreindre laccs au! utilisateurs au! diffrentes informations sur le rseau et de $rifier et modrer les diffrents t5pes dactions au!#uels ils ont accs.

6n agent SNMP est plus ou moins finement paramtr pour rpondre au! re#u%tes dont le paramtre communaut est $alid dans sa configuration. :,a#ue communaut SNMP est dfinie par une c,a>ne d@octets ainsi #ue le nom de la communaut. -fin dassurer la scurit des oprations le protocole SNMP utilise la notion de message aut,enti#ue. 1l se dfinit comme un message pour le#uel on a contr.l #ue lentit dapplication #ui lmet est "ien mem"re de la communaut spcifie dans ce message. 6ne administration scurise utilisant des entits applicati$es "ases sur SNMP doit o"ligatoirement a$oir des ser$ices d@aut,entification capa"les d@identifier et de contr.ler la $alidit et laut,enticit des messages SNMP. La seule identification possi"le rside sur le paramtre ) communaut +.

3.2 #vantages et inconv nients de !"MP

1l est possi"le de dfinir un ni$eau dopration en lecture seule ou en lecture*criture pour plusieurs communauts. En rgle gnrale la communaut pu"li#ue & des droits en lecture seule sur des donnes non sensi"le. (es re#u%tes #ui seraient effectues a$ec un paramtre ) communaut + inconnu ne sera pas trait. Nous pou$ons donc consulter des informations modifier des paramtres et crer des alarmes. <out cela en principe indpendamment du matriel et du logiciel. 1l faut donc #ue SNMP permette de retrou$er ces informations et d@agir sur les paramtres grAce & la M1;.
4 $on%iguration et r&gle de %iltrage

1l est possi"le daffecter des rgles de filtrage (-ccess'List) au! consultations SNMP. :e filtrage offre un complment de scurit car il permet d'autoriser une adresse IP ou un rang d'adresses IP communiquer avec l'agent. Voici un exemple de ce filtrage : access:list 1 permit 152.1-4.6.%6 access:list 2 permit 152.1-4.6.%1 snmp:ser"er communit; public <= 1 snmp:ser"er communit; pri"ate <> 2 Le paramtre ) snmp'ser$er + dfini et acti$e le ser$eur SNMP. -prs $alidation de cette commande les informations SNMP sont accessi"les. La liste 7 dfinie les adresses 1P a5ant accs en lecture seule (Bead 0nl5 ' B0) au! informations diffuses sous le paramtre communaut ) Pu"li#ue +. La liste 9 dfinie les adresses 1P a5ant accs en lecture * Ecriture (Bead*Crite ' BC) & ces m%mes informations

' (change de message

Les commandes Get-request, Get next request, Set request sont elles mise du manager $ers lagent et la commande Get response est mise de lagent $ers le manager. La commande Trap est une alerte. Elle est tou?ours mise par l@agent $ers le manager et celle'ci n@attend pas de rponse.

Le format P(6 de Det re#uest Det ne!t re#uest Det response et Set re#uest est reprsenter comme suit 4

Les diffrents types de PDU sont noncs ci'dessous 4 EFG Det re#uest. 7FG Det ne!t re#uest. 9FG Det response. HFG Set re#uest. L id de la requ!te est en fait un nom"re entier #ui met en relation la re#u%te demande par le manager et la rponse de lagent. L erreur de statut indi#ue si les oprations effectues sont $alides ou in$alides. Si celle si ne sont pas $alide il ren$oie un nom"re entier afin de spcifier de #uel t5pe derreur il sagit. L erreur d index identifie l@entre dans la liste d@attac,es $aria"le #ui a caus l@erreur. Les o"#ets et $aleur reprsentent les diffrentes $aria"les se liant entre elles a$ec leurs noms et leurs $aleurs.

$.1 Les %ets

Det re#uest 4 :e message interroge la M1; dun agent. Det ne!t re#uest 4 Le manager re=oit le contenu de la $aria"le #uil a demand. Det response 4 -ccus de rception des messages Det're#uest Det'ne!t're#uest et Set' re#uest.

$.2 Les sets et trap

Set're#uest 4 Permet de modifier une $aria"le dans la M1;. <rap 4 :est une alarme informant #uil e!iste une anomalie sur le rseau.

) *ormat des re+u,tes

&.1 !"MP glo'ales

&.2 !"MP v1( v2 et v3 et les )ormats P*+

P(64 I "its Be#uest 1dentifier4 I"its Error Status4 I"its Error 1nde!4 I"its 0"?ect J $alue J4 $aria"le
- Les di%%#rences et di%%#rentes versions de SNMP

La $ersion SNMP$7 est la moins scurise puis#ue la seule protection #uelle a est constitue d@une ) communit5 string + #ui soit dit en passant circule en clair sur le rseau. Les principales diffrences entre SNMP$7 et SNMP$9 est #uen 7KKH les BL: 7II7 & 7IM9 ont t ra?outees au! BL: de SNMP$7 #ui ont donc formes le protocole SNMP$9 a$ec les BL: 9M/7 & 9M/M . 1l en est de m%me pour SNMP$H. Les modifications apportes sont les sui$antes 4 ' Les re#u%tes SNMP ont t redfinies. ' :ration de deu! nou$elles "ranc,es dans la M1; 4 SNMP$9 et SNMP$9'M9M (manager to manager) ' Les failles de scurits ont t colmates. 1l n5 a plus de ) communit5 string + en clair sur le rseau ainsi #uune aut,entification des re#u%tes a t mis en place. La $ersion SNMP $9 est une $olution plus scuris de la $ersion 7 #ue nous pourrions #ualifier dintermdiaire & la $ersion SNMP$H #ui a o"tenu une scurit optimale a$ec de nom"reuses options supplmentaires. :ependant nous tenons a prciser #ue SNMP$H "ien #uil e!iste reste peu dplo5 SNMP$9 reste la $ersion la plus sta"le et la plus utilis pour le moment de SNMP.
. $ommandes g#n#ri+ue a SNMP

-cti$ation du protocole SNMP snmp enable :onfiguration du manager a$ec un dlais de!piration snmp-server manager snmp-server manager session-timeout 10000 :ration dune communaut pu"li#ue snmp-server community name ro :ration dune communaut pri$e snmp-server community name rw

 (sacti$ation de lagent SNMP no snmp-server :onfiguration de le!tinction d#uipement snmp-server system-shutdown :onfiguration dune re#u%te trap 4

snmp:ser"er !ost host ?traps @ informsA?"ersion B1 @ 2c @ % ?aut! @ noaut! @ pri"AC A community-string ?udp:port portA ?notification-typeA exemple : snmp-server host 192.168.0. 0 snmpv1 public bay-controller environment module :onfiguration dun nou$el utilisateur

snmp-server user username [groupname remote ip-address [udp-port port] {v1 | v2c | v3 [encr pted] [aut! {md" | s!a# auth-password [priv des"$ priv pass%ord]] [access access-list]
exemple 9 snmp:ser"er user userone groupone "1
/ (xemple de commandes SNMP

Le!emple sui$ant autorise ladresse 1P 7K9.78N.E.7. Puis acti$e le protocole SNMP. 1l autorise ensuite la lecture seule sur la communit57 Et la lecture*criture sur la communaut9. 1l nous spcifie #ue M. (upont est la personne & contacter en cas de pro"lme. Et le localise & S6P1NL0 Paris. Enfin acti$ation de la capture des re#u%tes SNMP Et configuration de linterface & capturer (loop"ack).

#ab:(isco DconfigEFaccess:list 3 permit 152.1-4.6.1 #ab:(isco DconfigEFsnmp enable #ab:(isco DconfigEFsnmp:ser"er communit; communit;1 ro 3 #ab:(isco DconfigEFsnmp:ser"er communit; communit;2 rG 3 #ab:(isco DconfigEFsnmp:ser"er contact Hean 1upont D%% 1)* 25- ))*E #ab:(isco DconfigEFsnmp:ser"er location S2PIN.= Paris #ab:(isco DconfigEFsnmp enable traps #ab:(isco DconfigEFsnmp trap:source lo6
10 Structure de la MI1

La M1; est une ar"orescence compara"le pour un informaticien & une ar"orescence de fic,iers. Elle contient H grandes parties 4

' ' '

6ne partie commune & tous les agents SNMP en gnral. 6ne partie commune & tous les agents SNMP dun m%me t5pe de matriel. 6ne partie spcifi#ue & c,a#ue constructeur.

La structure de la M1; est normalise ainsi #ue ses appellations des di$erses ru"ri#ues. Ses appellations ne ser$ent a rien & part a amliorer la lisi"ilit de la structure. Lutilit principale de la M1; est de contenir une sorte de rpertoire pour les administrateurs rseau! a$ec toutes les informations dont ils ont "esoin afin de grer au mieu! le rseau ainsi #ue les dfaillance de celui'ci. 1l faut de plus sa$oir #ue c,a#ue ni$eau de la ,irarc,ie de la M1; est inde! numri#uement comme dans le ta"leau #ui suit 4

1l nous parait essentiel de spcifier #ue les "ranc,es #ui na"outissent pas sur ce sc,ma sont aussi l& pour indi#uer #uil 5 a des lments #ue nous na$ons pas prit la peine de dtailler ici.

(e plus les "ranc,es #ui sem"lent termines ne le sont pas forcment puis#ue pour une meilleure lisi"ilit nous a$ons simplifier notre e!emple mais cela ne signifie pas #uil n5 ait pas dautre sous "ranc,es. ::1<< (:omit :onsultatif 1nternational <lgrap,i#ue et <lp,oni#ue). Propose des normes dont le nom commence par ) < + pour le fa! ) 2 + pour les tlcoms ou tlp,one et ) J + pour les rseau! (pu"lics). Le ::1<< n@e!iste plus il a t remplac par l@61<'< aussi appel 1<6'< (si on est anglop,one). Les implmentations en te!te comme standard(E) par e!emple peu$ent trs "ien $arier dune implmentation & lautre mais ce #ui ne $arie ?amais en re$anc,e cest linde! numri#ue plac entre parent,se. :e s5stme a un trs grand potentiel car il peut %tre adapt & de nom"reu! domaines. Pour le rseau 1P par e!emple il est clair #ue le nOud dod(8) puis 1nternet(7) sera le plus utilis. :omme lar"orescence dpend de lagent il pourrait %tre prati#ue de conna>tre la structure de cette ar"orescence grAce & un outil #ui e!iste d?& dans le manager SNMP. Si $ous rec,erc,er des informations plus complte sur la composition de la M1; ?e $ous in$ite a consulter ses diffrentes BL: 4 BL: 7EKM (:M0<) 797H (M1;'11) 7979 (M1;)et 77NK (:M0< P :M1P).
11 2tilit# de SNMP au niveau de monitoring

DrAce & toutes les alertes nous pou$ons nous rendre compte de la congestion rseau! des saturations de "ande passante etc... Nous pou$ons de plus modr une trop forte utilisation du rseau $rifier les tats de fonctionnement des diffrents #uipements ou ser$eurs ainsi #ue toutes les autres entits du rseau et pour cela de nom"reu! logiciel comme Nagios nous propose une interface grap,i#ue trs complte. E!emple 4 1maginons le cas dune entreprise commerciale dont les re$enus dpendent des acti$its de leur site Ce". 6ne panne du ser$eur Ce" signifierait une perte de "nfice pour lentreprise surtout si cette panne dure longtemps. DrAce au protocole SNMP et & son s5stme dalertes ladministrateur rseau pourra accro>tre sa racti$it en cas de pro"lme et rparer les ser$eurs ou #uipements rseau! tom"s en panne au plus $ite. En effet le SNMP pourra lui permettre de conna>tre prati#uement en temps rel l@tat du rseau et lui permettre de le sur$eiller de la manire la plus efficiente possi"le.

12 Screenshot du logiciel de monitoring Nagios

%&ttp:''((()nagios)org'screens&ot)p&p* (tail des statuts 4

E!emple d,istogramme Nagios 4

$onclusion

Le protocole SNMP grAce & un s5stme de rcolte dinformations permet au! administrateurs de conna>tre en temps rel ltat de leur rseau. Son efficacit et sa simplicit en ont fait un des protocoles les plus utiliss dans le monde de ladministration rseau.

Nous pou$ons de m%me dire #ua$ec les diffrentes $ersions de SNMP celui'ci est en $oie de scurisation et damlioration doQ le nom"re croissant de di$ersit logiciel tel #ue nagios. -$ec la $ersion $9 et $H SNMP $a c,erc,er des parts de marc, diffrentes cest & dire #ue l$olution de ses diffrentes $ersions le rende de plus en plus attractif pour les administrateurs rseau!. Son concurrent direct le :M1< a donc de plus en plus de mal & garder ) ses adeptes +. Plus pris par les milieu! commerciau! et militaires #ui sont les plus e!igeants au ni$eau scurit SNMP est une des meilleures solutions pour la gestion des rseau! du moment.