Protocole SNMP

Protocole SNMP

SNMP (Simple Network Management Protocol) L’informatique est de plus en plus présente dans notre vie de tous les jours. On compte désormais sur les services offerts par les réseaux pour le fonctionnement de l’outil informatique, que ce soit en entreprise, lors de transactions bancaires, lors de téléconférences, etc. Les services offerts sont devenus quasi- indispensables. Pour assurer que ces services soient convenables, il est nécessaire de surveiller le réseau et d’agir quand une erreur se produit.

Sur les réseaux physiques de nombreuses composantes sont donc à surveiller : l’utilisation de la largeur de bande, a l’état de fonctionnem détranglement, les p de l’information entr points stratégiques s concentrateurs, les li OF els goulets bon cheminement ce faire différents s routeurs, les mantes. Ainsi, en cas de panne ou de mauvais fonctionnement sur le réseau, l’administrateur doit pouvoir interpréter l’information reçue pour identifier la source du problème. Un protocole de gestion est nécessaire pour exercer les fonctions de gestion sur un réseau.

Il doit être capable de dialoguer avec tous les éléments de celui-ci. Présentation générale SNMP (Simple Network Management Protocol) est le protocole e gestion de réseaux proposé par l’IETF. Il est actuellement le protocole le plus utilisé pour la gestion des équipements

Désolé, mais les essais complets ne sont disponibles que pour les utilisateurs enregistrés

Choisissez un plan d'adhésion
de réseaux. SNMP est un protocole relativement Sv. ‘ipe to simple. Pourtant l’ensemble de ses fonctionnalités est suffisamment puissant pour permettre la gestion des réseaux hétérogènes complexes. Il est aussi utilisé pour la gestion ? distance des applications: les bases de données, les serveurs, les logiciels, etc.

L’environnement de gestion SNMP est constitué de plusieurs composantes : la station de supervision, les éléments actifs du réseau, les variables M13 et un protocole. Les différentes composantes du protocole SNMP sont les suivantes: Les éléments actifs du réseau sont les équipements ou les logiciels que l’on cherche à gérer. Cela va d’une station de travail à un concentrateur, un routeur, un pont, etc. Chaque élément du réseau dispose d’une entité dite agent qui répond aux requêtes de la station de supervision.

Les agents sont des modules qui résident dans les éléments réseau. Ils vont chercher l’information de gestion comme par exemple le nombre de paquets en reçus ou transmis. La station de supervision (appelée aussi manager) exécute les pplications de gestion qui contrôlent les éléments réseaux. Physiquement, la station est un poste de travail. La MIB (Management Information Base) est une collection d’objets résidant dans une base d’information virtuelle. Ces collections d’objets sont définies dans des modules MIB spécifiques.

Le protocole, qui permet à la station de supervision d’aller chercher les informations sur les éléments de réseaux et de recevoir des alertes provenant de ces mêmes éléments. Fonctionnement Le protocole SNMP est basé sur un fonctionnement asymétrique. Il est constitué d’un ensemble de requêtes, d 0F 14 protocole SNMP est basé sur un fonctionnement asymétrique. Il est constitué d’un ensemble de requêtes, de réponses et d’un nombre limité d’alertes. Le manager envoie des requêtes à l’agent, lequel retourne des réponses.

Lorsqu’un événement anormal surgit sur l’élément réseau, l’agent envoie une alerte (trap) au manager. SNMP utilise le protocole UDP [RFC 768]. Le port 161 est utilisé par l’agent pour recevoir les requêtes de la station de gestion. Le port 162 est réservé pour la station de gestion pour recevoir les alertes des agents. Les requêtes SNMP Il existe quatre types de requêtes: GetRequest, GetNextRequest, GetBulk, SetRequest. La requête GetRequest permet la recherche d’une variable sur un agent. La requête GetNextRequest permet la recherche de la variable suivante.

La requête GetBulk permet la recherche d’un ensemble de variables regroupées. La requête SetRequest permet de changer la valeur dune variable sur un agent. Les réponses de SNMP À la suite de requêtes, l’agent répond toujours par GetResponse. Toutefois si la variable demandée n’est pas disponible, le GetResponse sera accompagné d’une erreur noSuchObject Les alertes (Traps, Notifications) Les alertes sont envoyées quand un événement non attendu se produit sur l’agent. Celui-ci en informe la station de supervision via une trap.

Les alertes possibles sont: ColdStart, WarmStart, LinkDown, LinkUp, AuthentificationFailure. ces MBS La MIB (Management Information base) est la basé de données des informations de gestion maintenue par l’agent, auprès de laquelle le manager va venir our s’informer. D 30F 14 gestion maintenue par l’agent, auprès de laquelle le manager va venir pour s’informer. Deux MIB publics ont été normalisées: MIB et MIB Il (dite 1 et 2) Un fichier MIB est un document texte écrit en langage ASN. I (Abstract Syntax Notation 1) qui décrit les variables, les tables et les alarmes gérées au sein dune MIB.

La MIB est une structure arborescente dont chaque noeud est défini par un nombre ou OID (Object Identifier). Elle contient une partie commune à tous les agents SNMP en général, une partie commune à tous les agents SNMP d’un même type de matériel et une partie spécifique à chaque constructeur. Chaque équipement à superviser possède sa propre MIB. Non seulement la structure est normalisée, mais également les ppellations des diverses rubriques. Ces appellations ne sont présentes que dans un souci de lisibilité.

En réalité, chaque niveau de la hiérarchie est repéré par un index numérique et SNMP n’utilise que celui-ci pour y accéder. Voici un exemple de structure de table MIB Ainsi, pour interroger les différentes variables d’activité sur un appareil, il faudra explorer son arborescence MIB. Celle-ci est généralement fournie par le constructeur mais il est aussi possible d’utiliser un explorateur de MIB tel que « Getif MIB Browser Ensuite, pour accéder aux variables souhaitées, on utilisera l’OID Object Identification) qui désigne l’emplacement de la variable ? consulter dans la MIB.

On aura par exemple sur un commutateur Nortel passport l’OID . 1. 3. 6. 1. 4. I . 2272. 1. 1. 20 désignant le taux de charge du CPU. Lorsqu’une entreprise veut définir son propre ens 4 4 . 1. 3. 6. 1. 4. 1. 2272. 1. 1. 20 désignant le taux de charge du CPU. Lorsqu’une entreprise veut définir son propre ensemble de variables de gestion, elle va enregistrer son numéro d’objet sous le noeud iso. org. dod. internet. private. entreprise. Ces MIB seront dites privées. Elles correspondent à la racine 1. 3. 6. 1. 4. 1 . Voici la liste de toutes les affectations officielles : entreprise.

O-4998 entrepnse. 5000-9999 entreprise. 10000-14999 entreprise. 14999-19999 entreprise. 20000-24999 entrepnse. 25000-27274 Présentation, évolution des versions de SNMP Voici les différentes versions de SNMP: SNMPv1 (ancien standard): Ceci est la première version du protocole, tel que définie dans le RFC 1 157.. On dit que la sécurité de cette version est triviale, car la seule vérification qui est faite est basée sur la chaîne de caractères l’ community SNMPsec (historique): Cette version ajoute de la sécurité au protocole SNMPv1.

La sécurité est basée sur des groupes. Très peu ou aucun manufacturiers n’a utilisé cette version qui est maintenant largement oubliée. RFC 1155 SNMPv2p (historique): Beaucoup de travaux on été exécutés pour faire une mise à jour de SNMPv1. Ces travaux ne portaient pas seulement sur la sécurité. Le résultat est une mise à jour des opérations du protocole, des nouvelles opérations, des nouveaux types de données. La sécurité est basée sur les groupes de SN MPsec.

SNMPv2c (expérimental): Cette version du protocole est appelé ‘ community stringbased SNMPv2 Ceci est une amélioration des pérations de protocole et des types d’opérations de SNMPv2p et utili 4 opérations de protocole et des types dopérations de SNMPv2p et utilise la sécurité par chaîne de caractères « community  » de SNMPv1. RFC 1441 SN MPv2u (expérimental): Cette version du protocole utilise les opérations, les types de données de SNMPv2c et la sécurité basée sur les usagers. SNMPv2* (expérimental): Cette version combine les meilleures parties de SNMPv2p et SNMPv2u.

Les documents qui décrivent cette version n’ont jamais été publiés dans 12 les RFC. Des copies de ces documents peuvent être trouvées sur le site web et SNMP Research (un des premiers à défendre de cette version). RFC – 1901 SNMPv3 (standard actuel): Cette version comprend une combinaison de la sécurité basée sur les usagers et les types et les opérations de SNMPv2p, avec en plus la capacité pour les  » proxies La sécurité est basée sur ce qui se trouve dans SNMpvzu et SNMPV2*. RFC -3411 SNMPv1 et v2 ca trame SNMPVI est complètement encodée en ASN. I [ISO 87].

Les requêtes et les réponses ont le même format La version la plus utilisée est encore la version 1. Plusieurs versions 2 ont été proposées par des documents de travail, mais alheureusement, aucune d’entre elles n’a jamais été adoptée comme standard. La version 3 est actuellement en voie d’être adoptée. On place la valeur zéro dans le champ version pour SNMPVI et la valeur 3 pour SNMPV3. La communauté permet de créer des domaines d’administration. La communauté est décrite ar une chaîne de caractères. Par défaut, la communauté es 6 4 PUBLIC». Le PDU (Packet Data Unit).

Le « PDU type » décrit le type de requête, de réponse ou d’alerte. Le Tableau 2 donne les valeurs associées à ces champs. Le « Request ID » permet à la station de gestion d’associer les éponses à ses requêtes. Le « Error Status » est l’indicateur du type d’erreur. Si aucune erreur ne s’est produite, ce champ est mis à zéro. Les réponses négatives possibles sont décrites dans le tableau suivant : Les faiblesses de SNMPv1 Une des plus grandes faiblesses du protocole SNMPv1 est l’absence d’un mécanisme adéquat pour assurer la confidentialité et la sécurité des fonctions de gestion.

Les faiblesses comprennent aussi l’authentification et le chiffrement, en plus de l’absence d’un cadre administratif pour l’autorisation et le contrôle d’accès. Ce problème rend la sécurité sur SNMPv1 du ype : « SHOW-AND-TELNET’, c’est à dire qu’on utilise SNMP pour l’acquisition des données de gestion, mais pas pour effectuer le contrôle on utilise le protocole Telnet. Le groupe de travail de l’IETF qui a oeuvré sur SNMPv2 a voulu inclure la sécurité dans la nouvelle version. Malheureusement, ce groupe n’a pas pu atteindre un consensus sur le fonctionnement du mécanisme de sécurité.

Partant de là, deux propositions ont été développées (SNMPv2u et SNMPv2*). La plupart des experts s’entendent pour dire que deux standards SNMP ne peuvent pas coexister, et que ceci n’est pas une solution à long terme. Tous les consensus du groupe de travail ont été rassemblés (uniquement les améliorations qui ne portaient pas sur la sécurité), et le groupe de travail SNM sécurité), et le groupe de travail SNMPv2 de IIIETF a terminé ses travaux en publiant une version de SNMPv2 (on l’appelle SNMpsnc, RFC 1901, RFC 1905 et RFC 1906) sans sécurité.

Les améliorations de SNMPv2c SNMPv2c a introduit quelques nouveaux types, mais sa nouveauté majeure est l’opération GETBULK, qui permet ? une plate forme de gestion, de demander en bloc de plusieurs variables consécutives dans la MIB de l’agent. Généralement, n demande autant de variables que l’on peut mettre dans un paquet SN MP. Ceci règle un problème majeur de performance dans SNMPv1. Avec la version 1, la plate forme est obligée de faire un GETNEXT et d’attendre la réponse pour chaque variable de gestion. SNMP Cette nouvelle version du protocole SNMP vise essentiellement à Inclure la sécurité des transactions.

La sécurité comprend l’identification des parties qui communiquent et l’assurance que la conversation soit privée, même si elle passe par un réseau public. Cette sécurité est basée sur 2 concepts • USM (User-based Security Model) VACM (View- based Access Control Model) user security Module (USM) Trois mécanismes sont utilisés. Chacun de ces mécanismes a pour but d’empêcher un type d’attaque. L’authentification : Empêche quelqu’un de changer le paquet SNMPv3 en cours de route et de valider le mot de passe de la personne qui transmet la requête.

Le chiffrement : Empêche quiconque de lire les informations de gestions contenues dans un paquet SNMFh. ‘3. ‘estampillage du temps : Empêche la réutilisation d’un paquet SNMPV3 val B4 SN MPV3. L’estampillage du temps : Empêche la réutilisation d’un paquet SNMPv3 valide a déjà transmis par quelqu’un. L’authentification L’authentification a pour rôle dassurer que le paquet reste inchangé pendant la transmission, et que le mot de passe est valide pour l’usager qui fait la requête. Pour construire ce mécanisme, on doit avoir connaissance des fonctions de hachage à une seule direction.

Des exemples de ces fonctions sont : MDS et SHA-I . Ces fonctions prennent en entrée une chaîne de caractères de longueur indéfinie, et génèrent en sortie une chaîne d’octets de longueur finie (16 octets pour MD5, 20 octets pour SHA-I). pour authentifier l’information qui va être transmise, on doit aussi voir un mot de passe qui est « partagé Le mot de passe ne doit donc être connu que par les deux entités qui s’envoient les messages, et préférablement par personne d’autre.

La figure ci dessous montre le mécanisme d’authentification : es étapes d’authentification sont les suivantes : Le transmetteur groupe des informations à transmettre avec le mot de passe. On passe ensuite ce groupe dans la fonction de hachage à une direction. Les données et le code de hachage sont ensuite transmis sur le reseau. Le receveur prend le bloc des données, et y ajoute le mot de passe. On passe ce groupe dans la fonction de hachage à une direction. Si le code de hachage est identique à celui transmis, le transmetteur est authentifié.

Avec cette technique, le mot de passe est validé sans qu’il ait été transmis sur le réseau. Quelqu’un qui saisit les paquets SNMPv3 passants sur le réseau été transmis sur le réseau. Quelqu’un qui saisit les paquets SN MPv3 passants sur le réseau ne peut pas facilement trouver le Pour ce qui est de SNMPv3, l’authentification se fait à l’aide de HMAC-MD5-96 ou de HMAC-SHA- 96, qui est un peu plus compliqué que ce qui a été décrit ici. Le résultat de la fonction de hachage est placé dans le bloc paramètres de sécurité du paquet L’authentification se fait sur tout le paquet.

L’étape d’authentification ne vise pas à cacher l’existence du paquet ou à le chiffrement. Si l’on utilise uniquement l’authentification, les personnes qui saisissent les paquets passants sur le réseau peuvent encore en voir le contenu. Toutefois, elles ne peuvent pas changer le contenu sans connaître le mot de passe. e chiffrement Le chiffrement a pour but d’empêcher que quelqu’un n’obtienne les informations de gestion en écoutant sur le réseau les requêtes et les réponses de quelqu’un d’autre. Avec SNMPv3, le chiffrement de base se fait sur un mot de passe ? partagé » entre le manager et l’agent.

Ce mot de passe ne doit être connu par personne d’autre. pour des raisons de sécurité, SNMPv3 utilise deux mots de passe : un pour l’authentification et un pour le chiffrement. Ceci permet au système d’authentification et au système de chiffrement d’être indépendants. Un de ces systèmes ne peut pas compromettre l’autre. SNMPv3 se base sur DES (Data Encryption Standard) pour effectuer le chiffrement. On utilise une clé de 64 bits (8 des 64 bits sont des parités, la clé réelle est donc longue de 56 bits) et DES chiffrement 64 bits à la fois. Com 0 4