Michaël VOLLERIN – Introduction au protocole SNMP 1 INTRODUCTION AU PROTOCOLE S
Michaël VOLLERIN – Introduction au protocole SNMP 1 INTRODUCTION AU PROTOCOLE SNMP ( Simple Network Management ) Michaël VOLLERIN – Introduction au protocole SNMP 2 Sommair e Qu’est ce que le protocole SNMP ? Architecture de SNMP SNMPv1 et SNMPv2c SNMPv3 : La sécurité avant tout Synthèse Michaël VOLLERIN – Introduction au protocole SNMP 3 Qu’est ce que le protocole SNMP ? SNMP est un protocole de gestion réseaux proposé par l’IETF (Internet Engineering Task Force) Il s’appuie sur 4 composantes principales : Des agents Un ou plusieurs managers Une MIB (Management Information Base) Des trames Michaël VOLLERIN – Introduction au protocole SNMP 4 Les différentes versions de SNMP SNMPv1 (ancien standard) : Première version apparue en 1989. SNMPsec (historique): Ajout de sécurité par rapport à la version 1 SNMPv2p (historique) : Ajout de nouveau type de données. SNMPv2c (expérimental) : Amélioration des opérations du protocole SNMPv2u (expérimental) : Implémente la version 2c en ajoutant la sécurité utilisateurs. SNMPv2* (expérimental) : Combinaison des meilleures parties de v2u et v2p. SNMPv3 (nouveau standard) : La sécurité avant tout. Michaël VOLLERIN – Introduction au protocole SNMP 5 Architecture de SNMP Michaël VOLLERIN – Introduction au protocole SNMP 6 Le modèle OSI Michaël VOLLERIN – Introduction au protocole SNMP 7 La remontée d’informations Nous avons le choix entre deux méthodes complètement différentes mais qui peuvent être complémentaires : Le polling L’émission de trap Michaël VOLLERIN – Introduction au protocole SNMP 8 Les requêtes SNMP Recherche d’informations : GetRequest : recherche d’une variable sur un agent. GetNextRequest : recherche de la variable suivante. GetBulkRequest : recherche d’un groupe de variables Modification de valeurs : SetRequest : permet de changer la valeur d’une variable d’un agent. A titre d’information, d’autres requêtes existent (ex: InformRequest…) mais ne seront pas abordées dans cette présentation. Envoie d’informations Trap : détection d’un incident Michaël VOLLERIN – Introduction au protocole SNMP 9 Les réponses SNMP Une seule réponse existe. Elle est différente s’il y a une erreur ou non. Aucune erreur : GetResponse : renvoie la ou les valeurs souhaitées En cas d’erreur : GetResponse mais accompagné d’un NoSuchObject Michaël VOLLERIN – Introduction au protocole SNMP 10 MIB (Management Information Base) Ensemble d’objets structurés de manière arborescente Accès à un objet via un Object Identifier (OID) Deux MIB normalisées: MIB I et MIB II Références des informations réseau (interfaces, ip …) MIB privée sous le nœud enterprises Une MIB n’est pas une base de données mais une « dispatch table » Michaël VOLLERIN – Introduction au protocole SNMP 11 Exemple d’accès à un objet d’une MIB Objet de type simple (une seule variable) +--accelance(9697) +--general(1) +-- -R-- String release(1) +-- -R-- INTEGER nbeProcessus(2) +-- -R-- String currentDate(3) Accès à la variable realease : .1.3.6.1.4.1.9697.1.1.0 enterprises Numéro défini par IANA Correspond à l’entreprise Accelance Information souhaitée Convention Michaël VOLLERIN – Introduction au protocole SNMP 12 Objet complexe (ex : Tableau) Exemple d’accès à un objet d’une MIB (2) Accès à la variable ifSpeed : .1.3.6.1.2.1.2.2.1.5.x interfaces Information souhaitée Index Michaël VOLLERIN – Introduction au protocole SNMP 13 ASN.1 (Abstrat Syntax Notation One ) Standard ISO (ISO 8824) qui définit plusieurs types autorisés dans SNMP (ex : INTEGER, DisplayString …) Effectue la correspondance entre un OID et un nom ASN.1 se localise au niveau de la couche Présentation dans le modèle OSI. Michaël VOLLERIN – Introduction au protocole SNMP 14 Exemple de fichier ASN.1 Affectation de la branche general à la branche accelance via l’OID 1 ACCELANCE-MIB DEFINITIONS ::= BEGIN … accelance MODULE-IDENTITY … ::= { enterprises 9697 } general OBJECT IDENTIFIER ::= { accelance 1 } … release OBJECT-TYPE SYNTAX DisplayString MAX-ACCESS read-only STATUS current DESCRIPTION "Type d’OS utilisé" ::= { general 1 } Identification d’un fichier ASN.1 Rattachement de la branche Accelance à la branche enterprises via l’OID 9697 Définition de la variable realease & Rattachement de celle-ci à la branche general Désormais nous pouvons accéder à la variable release de la manière suivante : .iso.dod.internet.private.enterprises.accelance.general.release.0 Michaël VOLLERIN – Introduction au protocole SNMP 15 Présentation de SNMPv1 et SNMPv2c Michaël VOLLERIN – Introduction au protocole SNMP 16 La Trame Michaël VOLLERIN – Introduction au protocole SNMP 17 Détail du PDU (Packet Data Unit) Michaël VOLLERIN – Introduction au protocole SNMP 18 Les faiblesses de SNMPv1 – SNMPv2c L’authentification Le cryptage du PDU Le manque de confidentialité En un mot : LA SECURITE Michaël VOLLERIN – Introduction au protocole SNMP 19 SNMPv3 : La sécurité avant tout Michaël VOLLERIN – Introduction au protocole SNMP 20 Architecture d’un agent SNMPv3 Michaël VOLLERIN – Introduction au protocole SNMP 21 Le modèle de sécurité de SNMPv3 Il est basé sur deux concepts : USM ( User-based Security Model ) VACM ( View-based Access Control Model ) Michaël VOLLERIN – Introduction au protocole SNMP 22 USM (User Security Model) Ce module de sécurité se compose en 3 opérations : L’authentification Le cryptage L’estampillage du temps Michaël VOLLERIN – Introduction au protocole SNMP 23 L’authentificat ion Nous avons deux méthodes à notre disposition : HMAC-MD5-96 HMAC-SHA-96 (HMAC = Keyed-Hashing for Message Authentication) Michaël VOLLERIN – Introduction au protocole SNMP 24 Le cryptage du PDU A l’heure actuelle un seul mécanisme de cryptage est proposé : DES (Data Encryption Standard) Émetteur Récepteur Michaël VOLLERIN – Introduction au protocole SNMP 25 L’estampillage du temps Trame effective sur un temps restreint S’il y a une différence supérieur à 150 ms entre la date de création de la trame et son traitement, elle est détruite. Cette donnée est paramétrable. Empêche la réutilisation d’une trame (inhibe le système contre le « replay attack ») Michaël VOLLERIN – Introduction au protocole SNMP 26 Permet le contrôle d’accès au MIB. Possibilité de restriction d’accès en lecture et/ou écriture pour un groupe ou par utilisateur. VACM (View Access Control Model) Michaël VOLLERIN – Introduction au protocole SNMP 27 La trame de SNMPv3 Michaël VOLLERIN – Introduction au protocole SNMP 28 Synthès e Michaël VOLLERIN – Introduction au protocole SNMP 29 Le moteur SNMP Schema pasge 73. Si possible faire un mix avec 76 Michaël VOLLERIN – Introduction au protocole SNMP 30 Conclusion Manque de sécurité évidente dans SNMPv1 & SNMPv2. Ceci a été corrigé par SNMPv3 avec les systèmes de sécurité : User Security Model (USM) View Access Control Model (VACM) Depuis mars 2002, le standard est SNMPv3 mais SNMPv1 encore beaucoup utilisé. Conseil : Migrer vers la version 3 pour des raisons de sécurité uploads/Litterature/au-protocole-snmp-simple-network-management.pdf
Documents similaires
-
11
-
0
-
0
Licence et utilisation
Gratuit pour un usage personnel Attribution requise- Détails
- Publié le Jui 07, 2021
- Catégorie Literature / Litté...
- Langue French
- Taille du fichier 0.5765MB