Configurer des services SNMP entre : un agent SNMP sur un routeur Cisco c2600 et un manager SNMP sur un Debian

Transcription

1 Configurer des services SNMP entre : un agent SNMP sur un routeur Cisco c2600 et un manager SNMP sur un Debian Florent FAUVIN Zhen Zhenxiu PARTIE 1 : Créer la topologie GNS3 et configurer les interfaces réseaux des machines. PARTIE 2 : Installer un manager et un agent SNMP sur la machine Debian. PARTIE 3 : Configurer un agent SNMP sur le routeur Cisco. PARTIE 4 : Cas d école : Résolution d un problème Compréhension des services SNMP PARTIE 5 : Communication entre les deux services PARTIE 6 : Importer la définition de MIBs PARTIE 1 Créer la topologie GNS3, et Configurer les interfaces réseaux des machines AVANT TOUTE CHOSE : Activer les interfaces réseaux de la machine hôte que l on va utiliser : l interface de son réseau local et les interfaces virtuelles de VMware (notamment VMnet8). Dans le cas contraire, l élément Cloud de GNS3 ne pourra pas voir ces interfaces. Architecture : Le Cloud représente le réseau VMnet8, virtualisé par VMware. Ses caractéristiques : Dans le réseau VMnet8, L hôte a pour interface sur ce réseau :

2 La machine Debian1 a pour interface sur ce réseau : (Attribution par DHCP) Le routeur R1 (sur la figure) a pour interface sur ce réseau : (Attribution statique) Commandes effectuées sur R1 : enable configure terminal hostname R1 interface FastEthernet0/0 ip address no shutdown end show ip interface brief A cette étape, vérifier que les machines se voient. La preuve par le ping : PARTIE 2 Installer un manager et un agent SNMP sur la machine Debian. Pour installer un agent/serveur SNMP sur la machine Debian1, exécuter la commande : apt-get install snmpd Pour le (re)démarrer : /etc/init.d/snmpd start /etc/init.d/snmpd restart Le daemon fournissant le service agent SNMP (snmpd) est alors lancé. Sur le port 161, il écoute les requêtes SNMP provenant de clients et leur fournira les réponses.

3 Traditionnellement, un agent SNMP est à l'écoute sur le port 161 en UDP pour recevoir des requêtes SNMP (GetRequest, GetNextRequest et SetRequest) en provenance d'un manager SNMP. Le manager SNMP doit donc connaître toutes les adresses IP des différents agents qu'il doit superviser. Le fichier de configuration est le fichier «/etc/snmp/snmp.conf» : cp /etc/snmp/snmpd.conf /etc/snmp/snmpd.conf.old gedit /etc/snmp/snmpd.conf & Quelques screen shot du fichier initial (voir le port «161» et la communauté «public») : Si on veut connaître son numéro de version : Cette installation, encore une fois «minimale», permet de disposer d'un agent SNMP basique sur lequel il va pouvoir être possible d'essayer les différents outils en ligne de commande. Il est possible de voir les logs générés par le démon «snmpd» dans le fichier «/var/log/snmp/snmpd.log», ainsi que les logs générés par le démon «snmptrapd» dans le fichier «/var/log/snmp/snmptrapd.log». Pour installer un client SNMP sur la machine Debian1, exécuter la commande : apt-get install snmp Plusieurs outils sont alors à notre disposition, par exemple : snmpget, snmpwalk et snmpset : le programme snmpwalk permet d'afficher tout l'arbre des OID de l'agent ; le programme snmpget permet de récupérer une variable (un OID donc) quelconque de l'agent ; le programme snmpset permet de modifier une variable de l'agent.

4 (A la fin : «End of MIB»). La commande retourne bien la chaine de caractères descriptive de la machine. À ce stade, il convient d'apporter une précision. Bien que l'oid de la variable MIB sysdescr soit : iso(1). org(3). dod(6). internet(1). mgmt(2). mib-2(1). system(1). sysdescr(1), il a tout de même fallu demander l'oid en ajoutant le suffixe (ou numéro d'instance ou indice) «.0». Lorsque l'on récupère une valeur, il est obligatoire avec SNMP de spécifier le numéro d'indice dans la table (SNMP parle plutôt de numéro d'instance). Même pour une variable scalaire (sysdescr est une variable scalaire, ce n'est pas une table), il est tout de même obligatoire d'effectuer la requête avec un numéro d'instance et dans ce cas, il faut demander le numéro d'instance 0. Si, au lieu d avoir un seul OID on veut un arbre, comme *, voir la commande : Cette requête n a affiché que les OID commençant par Maintenant, expliquons ces commandes La forme générale d'une commande SNMP en ligne de commande est la suivante : <snmpcmd> [OPTIONS] AGENT [PARAMETERS] Exemples de snmpcmd (commandes snmp) : snmpwalk snmpget snmpset

5 Exemples d'options, rencontrées durant le TP : -v 1 2c 3 Définit la version du protocole à utiliser : 1 (RFC ), 2c (RFC ), ou 3 (RFC ). La valeur par défaut est généralement la version 3. Remplace l'option defversion dans le fichier snmp.conf. -c community Définit la chaîne de communauté pour les transactions SNMPv1/v2c. Remplace l'option defcommunity dans le fichier snmp.conf. Le format de sortie des commandes SNMP peut être contrôlé en utilisant différents paramètres de l'option -O. -On Affiche les OID sous la forme numérique : = Timeticks: ( ) 1 day, 15:09: Of Inclut la liste complète des objets MIB lors de l'affichage d'un OID :.iso.org.dod.internet.mgmt.mib-2.system.sysuptime.0 = Timeticks: ( ) 1 day, 15:09: La sécurité SNMP a longtemps été critiquée, car elle était jugée trop faible. En effet, pour la version SNMPv1, cette authentification repose uniquement sur la connaissance partagée entre le manager SNMP et l'agent SNMP d'une chaîne de caractères appelée «Community String» ou encore «nom de communauté» : le nom de communauté par défaut en lecture est très souvent «public». Cette communauté en lecture est utilisée pour les requêtes SNMP GetRequest ; le nom de communauté par défaut en écriture est très souvent «private». Cette communauté en écriture est utilisée pour les requêtes SNMP SetRequest. L'expérience montre qu'il y a encore beaucoup (énormément?) d'équipements sur le réseau qui sont configurés avec ces noms de communauté par défaut et donc, adieu la sécurité. SNMP est un protocole qui gère un très grand nombre d'informations parfois très sensibles (les tables de routage ou les tables ARP par exemple). Ce protocole, s'il n'est pas sécurisé un tant soit peu, est une véritable aubaine pour un «hacker» Capture wireshark de la requête «snmpget» précédente :

6 PARTIE 3 Configurer un agent SNMP sur le routeur Cisco Configuration du routeur R1 en tant qu agent SNMP (= serveur SNMP) : R1#configure terminal R1(config)#snmp-server location? LINE The physical location of this node R1(config)#snmp-server location Velizy - Labo-Reseau R1(config)#snmp-server contact eleve@ubuntu R1(config)#snmp-server community TP1? <1-99> Std IP accesslist allowing access with this community string < > Expanded IP accesslist allowing access with this community string ro Read-only access with this community string rw Read-write access with this community string view Restrict this community to a named MIB view <cr> R1(config)#snmp-server community TP1 ro R1(config)#access-list? <1-99> IP standard access list < > IP extended access list < > Extended 48-bit MAC address access list < > IP standard access list (expanded range) < > Protocol type-code access list < > IP extended access list (expanded range) < > 48-bit MAC address access list dynamic-extended Extend the dynamic ACL absolute timer rate-limit Simple rate-limit specific access list R1(config)#access-list 1? deny Specify packets to reject permit Specify packets to forward remark Access list entry comment R1(config)#access-list 1 permit R1(config)#access-list 1 permit R1(config)#snmp-server community TP2 rw R1(config)#snmp-server host TP1 R1(config)#snmp-server host TP2 R1(config)#snmp-server trap-source FastEthernet 0/0 R1(config)#snmp-server enable? informs Enable SNMP Informs traps Enable SNMP Traps R1(config)#snmp-server enable traps

7 Affichage de la configuration du routeur : R1#sh run brief interface FastEthernet0/0 ip address duplex auto speed auto! access-list 1 permit access-list 1 permit ! snmp-server community TP1 RO snmp-server community TP2 RW snmp-server trap-source FastEthernet0/0 snmp-server location Velizy - Labo-Reseau snmp-server contact eleve@ubuntu snmp-server enable traps snmp authentication linkdown linkup coldstart warmstart snmp-server host TP1 snmp-server host TP2 PARTIE 4 Cas d école Résolution d un problème Compréhension des services SNMP La machine Debian1 arrive à pinger le routeur R1 mais ne reçoit pas de réponse si elle lui envoie une requête SNMP. Voir le screen shot ci-dessous : La capture Wireshark devrait nous aider à comprendre ce qui se passe :

8 D après cette capture réseau : _ Le routeur R1 reçoit bien la requête SNMP _ mais ne lui répond pas (pas de trame «get-response»)!! _ De plus, le routeur R1 envoie un trap à Debian1, mais Debian1 lui répond que la requête trap n a pas pu l atteindre! Il y a donc 2 problèmes distincts ici! Cette capture réseau permet de comprendre l enchaînement des deux problèmes : Problème (1) : Le routeur R1 reçoit la requête SNMP de Debian1 mais ne traite pas la requête (on verra la cause plus tard), Problème (2) : En conséquence, il répond par un trap, mais celui-ci ne peut apparemment atteindre Debian1. Cause de (2) : Le daemon «snmptrapd» n est pas activé sur Debian1. Il n écoute donc pas sur le port 162 par défaut. Toujours traditionnellement, un manager SNMP est en écoute sur le port 162 en UDP pour recevoir les notifications (trap en anglais) qui pourraient être envoyées par un agent SNMP. Un agent SNMP doit donc connaître l'adresse IP de son manager afin de pouvoir lui envoyer ces notifications. Cause de (1) : La community de la requête SNMP envoyée par Debian1 n est pas bonne! Pour s en assurer, regardons la raison du trap envoyé à Debian1 par le routeur R1 : La cause du trap : «authentificationfailure».

9 Il y a également les logs SNMP du routeur R1 qui peuvent nous aider : R1#show snmp Chassis: FTX0945W0MY ( ) Contact: eleve@ubuntu Location: Velizy - Labo-Reseau 30 SNMP packets input 0 Bad SNMP version errors 30 Unknown community name 0 Illegal operation for community name supplied 0 Encoding errors 0 Number of requested variables 0 Number of altered variables 0 Get-request PDUs 0 Get-next PDUs 0 Set-request PDUs 62 SNMP packets output 0 Too big errors (Maximum packet size 1500) 0 No such name errors 0 Bad values errors 0 General errors 0 Response PDUs 62 Trap PDUs Ainsi, au lieu de mettre la community à «public», on doit la mettre à «TP1» (voir la configuration SNMP du routeur R1). Et voici ce que l on obtient cette fois : Ca marche! Revoyons les logs SNMP de R1 : R1#sh snmp Chassis: FTX0945W0MY ( ) Contact: eleve@ubuntu Location: Velizy - Labo-Reseau 38 SNMP packets input 0 Bad SNMP version errors 36 Unknown community name 0 Illegal operation for community name supplied 0 Encoding errors 1 Number of requested variables 0 Number of altered variables 2 Get-request PDUs 0 Get-next PDUs 0 Set-request PDUs 76 SNMP packets output 0 Too big errors (Maximum packet size 1500)

10 1 No such name errors 0 Bad values errors 0 General errors 2 Response PDUs 74 Trap PDUs SNMP logging: enabled Logging to , 0/10, 74 sent, 0 dropped. Une capture wireshark confirme que tout se passe bien : On a résolu le problème (1) mais pas le problème (2) : le daemon «snmptrapd» n est toujours pas activé sur Debian1. Pour ce faire, dans le fichier «/etc/default/snmpd», Configurer : TRAPDRUN=yes Puis, dans le fichier «/etc/snmp/snmptrapd.conf», Configurer : authcommunity log,execute,net TP1 Pour aider : Ou : man snmptrapd.conf. Enfin, relancer snmpd puis vérifier que le daemon snmptrapd écoute bien sur le port 162 : Ainsi, si cette fois on refait exprès l erreur précédente, le trap envoyé du routeur R1 à Debian1 devrait être réceptionné par le daemon snmptrapd sur le port 162 : Pas d erreur «unreachable» cette fois!! Et d ailleurs, pour le vérifier, on peut aller voir si le log a bien été enregistré dans le fichier «/var/log/syslog» :

11 Le log est bien là! PARTIE 5 Communication entre les deux services Après la PARTIE 4, il devient très facile de faire les bonnes requêtes : configurer les bonnes autorisations, requêter la bonne communauté, etc. PARTIE 6 Importer la définition de MIBs Si on n importe pas des définitions de MIBs (qui peuvent varier suivant les propriétaires), les identifiers d objets ne pourront pas être résolus. Par exemple, ci-dessous, l identifier d objet «system.sysdescr» ne peut être résolu, ni l identifier «IF- MIB ::ifinoctets» : Voici une procédure à effectuer :

12 Modification du miroir Debian 1) Modifiez le fichier «/etc/apt/sources.list». Rajoutez «non-free» sur les dépôts : deb squeeze main non-free deb-src squeeze main non-free 2) Faites une mise à jour : apt-get update 3) Ajouter des mibs : apt-get install snmp-mibs-downloader Si l étape 1) n est pas faite, on obtient : 4) Modification de la configuration SNMP : Créez un lien symbolique : ln -s /usr/share/mibs/ /usr/share/snmp/mibs Modifiez le fichier «/etc/default/snmpd» : export MIBDIRS=/usr/share/snmp/mibs export MIBS=ALL Commentez la ligne du fichier «/etc/snmp/snmp.conf» : #mibs ALL 5) Redémarrez le service SNMP : service snmpd restart 6) Vérification du fonctionnement :

13 Pour vérifier le fonctionnement, saisir la ligne suivante snmpwalk -c public -v 2c localhost Pour en revenir à notre exemple, on voit cette fois que l identifier d objet «system.sysdescr» peut maintenant être résolu : ANNEXES Site utile : IF-MIB::ifInOctets IF-MIB = iso.org.dod.internet.mgmt.mib-2.interfaces =

14 IF-MIB::ifInOctets.6 = Counter IF-MIB::ifOutOctets.6 = Counter system.sysdescr snmptranslate The SNMP protocol tends to work with numeric OIDs and raw values. One of the main roles of the MIB files is to convert these into more meaningful textual names and sensibly formatted values. While most of the Net-SNMP command-line applications can control how the results of an SNMP query are displayed, there is one tool (snmptranslate) which can be used standalone, simply displays information drawn from the MIB files themselves. In its simplest form, snmptranslate takes a numeric OID and displays the corresponding textual MIB name: % snmptranslate SNMPv2-MIB::sysUpTime.0 It can also perform the reverse translation, taking the textual MIB name and displaying the numeric OID. This uses the -On flag: % snmptranslate -On SNMPv2-MIB::sysUpTime

15 Finally, it's possible to display a formatted diagram of a selected subset of the MIB tree, using the -Tp flag: % snmptranslate -Tp -IR system +--system(1) +-- -R-- String sysdescr(1) Textual Convention: DisplayString +-- -R-- ObjID sysobjectid(2) +-- -R-- TimeTicks sysuptime(3) +-- -RW- String syscontact(4) Textual Convention: DisplayString +-- -RW- String sysname(5) Textual Convention: DisplayString +-- -RW- String syslocation(6) Textual Convention: DisplayString +-- -R-- Integer sysservices(7) +-- -R-- TimeTicks sysorlastchange(8) Textual Convention: TimeStamp SNMPv2-MIB::sysDescr