SNMP

Michal VOLLERIN Introduction au protocole SNMP 1
INTRODUCTION
AU
PROTOCOLE SNMP
( Simple Network Management )
Sommaire
Quest ce que le protocole SNMP ?

Architecture de SNMP

SNMPv1 et SNMPv2c

SNMPv3 : La scurit avant tout

Synthse
Quest ce que le protocole SNMP ?
SNMP est un protocole de gestion rseaux propos
par lIETF (Internet Engineering Task Force)

Il sappuie sur 4 composantes principales :
Des agents
Un ou plusieurs managers
Une MIB (Management Information Base)
Des trames
Les diffrentes versions de SNMP
SNMPv1 (ancien standard) : Premire version apparue en 1989.
SNMPsec (historique): Ajout de scurit par rapport la
version 1
SNMPv2p (historique) : Ajout de nouveau type de donnes.
SNMPv2c (exprimental) : Amlioration des oprations du
protocole
SNMPv2u (exprimental) : Implmente la version 2c en
ajoutant la scurit utilisateurs.
SNMPv2* (exprimental) : Combinaison des meilleures parties
de v2u et v2p.
SNMPv3 (nouveau standard) : La scurit avant tout.
Architecture de SNMP
Le modle OSI
La remonte dinformations
Nous avons le choix entre deux mthodes compltement
diffrentes mais qui peuvent tre complmentaires :
Le polling
Lmission de trap
Les requtes SNMP
Recherche dinformations :
GetRequest : recherche dune variable sur un agent.
GetNextRequest : recherche de la variable suivante.
GetBulkRequest : recherche dun groupe de variables
Modification de valeurs :
SetRequest : permet de changer la valeur dune variable dun
agent.
A titre dinformation, dautres requtes existent (ex:
InformRequest) mais ne seront pas abordes dans
cette prsentation.

Envoie dinformations
Trap : dtection dun incident
Les rponses SNMP
Une seule rponse existe.
Elle est diffrente sil y a une erreur ou non.

Aucune erreur :
GetResponse : renvoie la ou les valeurs souhaites
En cas derreur :
GetResponse mais accompagn dun NoSuchObject
MIB (Management Information Base)
Ensemble dobjets structurs de manire arborescente
Accs un objet via un Object Identifier (OID)
Deux MIB normalises: MIB I et MIB II
Rfrences des informations rseau (interfaces, ip )
MIB prive sous le nud enterprises
Une MIB nest pas une base de donnes mais une
dispatch table

Exemple daccs un objet dune MIB
Objet de type simple (une seule variable)
+--accelance(9697)
+--general(1)
+-- -R-- String release(1)
+-- -R-- INTEGER nbeProcessus(2)
+-- -R-- String currentDate(3)
Accs la variable realease :
.1.3.6.1.4.1.9697.1.1.0

enterprises
Numro dfini par IANA
Correspond lentreprise Accelance
Information souhaite
Convention
Objet complexe (ex : Tableau)
Exemple daccs un objet dune MIB (2)
Accs la variable ifSpeed :
.1.3.6.1.2.1.2.2.1.5.x

interfaces
Information souhaite
Index
ASN.1 (Abstrat Syntax Notation One )
Standard ISO (ISO 8824) qui dfinit plusieurs types
autoriss dans SNMP (ex : INTEGER, DisplayString )

Effectue la correspondance entre un OID et un nom

ASN.1 se localise au niveau de la couche Prsentation
dans le modle OSI.
Exemple de fichier ASN.1
Affectation de la branche
general la branche
accelance via lOID 1
ACCELANCE-MIB DEFINITIONS ::= BEGIN

accelance MODULE-IDENTITY

::= { enterprises 9697 }

general OBJECT IDENTIFIER ::= { accelance 1 }

release OBJECT-TYPE
SYNTAX DisplayString
MAX-ACCESS read-only
STATUS current
DESCRIPTION
"Type dOS utilis"
::= { general 1 }
Identification dun
fichier ASN.1
Rattachement de la branche
Accelance la branche enterprises via
lOID 9697
Dfinition de la variable realease
&
Rattachement de celle-ci la
branche general
Dsormais nous pouvons accder la variable release de la manire suivante :
.iso.dod.internet.private.enterprises.accelance.general.release.0
Prsentation de
SNMPv1 et SNMPv2c
La Trame
Dtail du PDU (Packet Data Unit)
Les faiblesses de SNMPv1 SNMPv2c
Lauthentification

Le cryptage du PDU

Le manque de confidentialit
En un mot :
LA SECURITE
SNMPv3 : La scurit avant tout
Architecture dun agent SNMPv3
Le modle de scurit de SNMPv3
Il est bas sur deux concepts :

USM ( User-based Security Model )

VACM ( View-based Access Control Model )
USM (User Security Model)
Ce module de scurit se compose en 3 oprations :

Lauthentification

Le cryptage

Lestampillage du temps
Lauthentification
Nous avons deux mthodes notre disposition :
HMAC-MD5-96
HMAC-SHA-96
(HMAC = Keyed-Hashing for Message Authentication)
Le cryptage du PDU
A lheure actuelle un seul mcanisme de cryptage est
propos :
DES (Data Encryption Standard)
metteur Rcepteur
Lestampillage du temps
Trame effective sur un temps restreint
Sil y a une diffrence suprieur 150 ms entre
la date de cration de la trame et son traitement,
elle est dtruite. Cette donne est paramtrable.
Empche la rutilisation dune trame (inhibe le systme
contre le replay attack )
Permet le contrle daccs au MIB.
Possibilit de restriction daccs en lecture et/ou
criture pour un groupe ou par utilisateur.

VACM (View Access Control Model)
La trame de SNMPv3
Synthse
Le moteur SNMP
Schema pasge 73. Si possible
faire un mix avec 76
Conclusion
Manque de scurit vidente dans SNMPv1 & SNMPv2.
Ceci a t corrig par SNMPv3 avec les systmes de scurit :
User Security Model (USM)
View Access Control Model (VACM)

Depuis mars 2002, le standard est SNMPv3 mais SNMPv1
encore beaucoup utilis.

Conseil : Migrer vers la version 3 pour des raisons de
scurit

SNMP

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

SNMP

Загружено:

Авторское право:

Доступные форматы

Michal VOLLERIN Introduction au protocole SNMP 1

Вам также может понравиться