Ethernet Supervision Interfaces Administration

Ethernet Supervision Interfaces Administration 1

Table des matières 1 Présentation... 3 2 Prérequis... 4 3 Programme utilisé... 5 3.1 PostGreSQL... 5 3.2 Net SNMP... 5 3.3 Apache2... 5 3.4 Smarty... 6 4 Esia... 7 4.1 Architecture... 7 4.2 EsiaDaemon... 8 4.3 EsiaTrapD... 8 4.4 Interface Web... 9 4.4.1 Modèle MVC... 9 4.4.2 Gestion des utilisateurs... 10 4.4.3 Gestion des nœuds... 10 4.4.4 Plugin Localisation... 12 4.4.5 Google Map... 12 4.4.6 Un plugin «Serveur»... 15 4.4.7 Un plugin «Switch»... 16 5 Développements futurs... 20 2

1 Présentation ESIA pour Ethernet Supervision Interfaces Administration est un logiciel de monitoring et de management. Il permet de reporter graphiquement des erreurs apparues sur le réseau et également de configurer les différents appareils le composant (Switch, serveur, etc.). Un point particulier est apporté à la sécurité notamment par le support de l'http ou https, l'utilisation de la nouvelle interface de connexion aux bases de données de PHP: PDO. Grâce à PDO les requêtes sont protégées des attaques de type «SQL injection». Un autre point important est la gestion d'utilisateurs. En effet, Esia permet de configurer précisément les droits d'accès. Par exemple, restreindre l'accès à un Switch ou lui permettre de voir juste la partie monitoring et lui bloquer les options de configuration, etc. L'interface graphique d'esia utilise les dernières technologies WEB (JavaScript, PHP5,...) permettant à tout appareil (pc, Smartphone,...) d'accéder à l'interface web du moment qu'il dispose d'un navigateur. Le noyau, quant à lui, est écrit en c++ suivant une architecture multi-threading permettant une optimisation des ressources et une rapidité d'exécution. L'architecture même d'esia est basée sur des plugins permettant de personnaliser l'affichage ou d'étendre les possibilités même d'esia. 3

2 Prérequis La puissance de la machine où installer Esia dépend avant tout du réseau à surveiller, mais dans la plupart des cas, 2Ghz pour le cpu et 2 Go de RAM suffisent. Système d'exploitation : Linux Debian 64 bit Serveur WEB : Apache 2 Version de PHP : PHP5+ Base de données : PostGreSQL 8.3 ou supérieur Programme annexe : snmpd et snmptrapd 4

3 Programme utilisé 3.1 PostGreSQL PostGreSQL est un système de gestion de bases de données relationnelles et objet (SGBDRO).Ce dernier a été développé à l'université de Californie, au département des sciences informatiques de Berkeley. C'est un outil libre sous licence BSD qui est multi-plateforme (Windows, Linux, Unix, Mac,..) et qui respecte la norme SQL. Il dispose de multiples fonctionnalités et d'une bonne stabilité. Parmi elles, citons : requêtes complexes ; triggers ; vues ; intégrité transactionnelle ; contrôle des versions concurrentes (MVCC ou multiversion concurrency control). 3.2 Net SNMP Net-SNMP est un ensemble de logiciels permettant d'utiliser et de déployer le protocole SNMP (v1, v2c et v3). Les logiciels supportent Ipv4 et Ipv6 notamment. Nous pouvons citer parmi les outils qu'il fournit : une API (Application Programming Interface) d accès à SNMP ; un agent SNMP extensible (snmpd) ; des commandes en ligne pour interroger des agents SNMP ; des commandes en ligne pour gérer et générer des TRAP SNMP (snmptrapd et snmptrap). Dracor s'interface avec l'agent snmpd et le démon snmptrapd. 3.3 Apache2 C'est le serveur HTTP le plus populaire du Web. C'est un logiciel multiplateforme, libre et gratuit. Apache est conçu pour prendre en charge de nombreux modules lui donnant des fonctionnalités supplémentaires : interprétation du langage Perl, PHP, Python et Ruby, serveur proxy, Common Gateway Interface, Server Side Includes, réécriture d'url, négociation de contenu, protocoles de communication additionnels, etc. L'interface web d Esia est générée par le serveur apache2. 5

3.4 Smarty Smarty est un moteur de template pour PHP. Plus précisément, il facilite la séparation entre la logique applicative et la présentation. Cela s'explique plus facilement dans une situation où le programmeur et le designer de templates jouent des rôles différents ou, comme dans la plupart du temps, ce sont deux personnes distinctes. Un des objectifs de Smarty est la séparation de la logique métier de la logique de présentation. Cela signifie que les templates peuvent contenir des traitements du moment qu'ils soient relatifs à de la présentation. Inclure d'autres templates, alterner les couleurs des lignes d'un tableau, mettre du texte en majuscule, parcourir un tableau de données pour l'afficher, etc. sont toutes des actions relatives à du traitement de présentation. Cela ne signifie pas que Smarty requiert une telle séparation de la part des programmeurs. Smarty ne sait pas ce qui est. C'est donc au programmeur de placer la logique de présentation dans les templates. Ainsi, si on ne désire pas disposer de logique métier dans les templates, il suffit de placer tous les contenus dans des variables au format texte uniquement. L'un des aspects uniques de Smarty est la compilation des templates. Cela signifie que Smarty lit les templates et crée des scripts PHP à partir de ces derniers. Une fois créés, ils sont exécutés. Il n'y a donc pas d'analyse coûteuse de templates à chaque requête et les templates peuvent bénéficier des solutions de cache PHP. 6

4 Esia 4.1 Architecture Esia est un modèle en couche permettant une mise à jour aisée des différents composants. Ainsi une mise à jour du noyau C++ n'influera pas l'interface Web et vice-versa. Via son architecture, Esia offre une personnalisation totale au niveau de l'interface WEB, des plugins pouvant effectuer des requêtes SNMP ou SSH/Telnet afin de récupérer des informations en temps réel. Outre les plugins de l'interface Web, il est important de noter que le démon n'interroge pas directement les appareils. Il le fait via l'intermédiaire de plugin également (cf. : Partie Développement). Que ce soit l'interface ou le démon, ils ne fournissent en réalité qu'une base de fonctionnement à des plugins extérieurs. 7

4.2 EsiaDaemon Le démon est écrit en C++ selon une architecture multi-threading. Il va exécuter les plugins ou les petits programmes de diagnostic périodiquement (intervalle en milliseconde). Une fois exécuté, le plugin doit retourner un des codes suivant : 0: OK ; 1: Warning ; 2: Critique ; 3: Inconnu ; 4: Report géré dans le programme (cf. : Documentation de développement). Les codes de 0 à 3 sont communs à Nagios assurant une compatibilité entre les plugins de celui-ci et Esia avec la possibilité d'envoyer un e-mail en cas d'erreur. 4.3 EsiaTrapD Le démon EsiaTrapd est chargé de dispatcher les différentes traps reçues. Il est écrit en C++ selon une architecture multi-threading. Son rôle est d'analyser les traps et d'offrir à des programmes de fin de traitement une interface d'exécution commune. Exemple : /home/esia/esiadaemon/plugin/trap/linknotification_update, pl $r $1 LinkUp Si nous configurons EsiaTrapd pour dispatcher les traps LinkUp et linkdown, trap faisant partie de la MIB standard sont presque tous gérés par les nœuds. Elles permettent d'envoyer une notification à Esia pour la prévenir qu'une interface réseau vient de passer à l'état up ou down. Dans notre exemple, c'est le programme «linknotification_update» qui va être appelé. Il prend 3 paramètres : le nom du nœud, le ifindex de l'interface et s'il s'agit d'un linkup ou linkdown. Pour Esia, la valeur «$r» signifie le nom du nœud et le remplacera par la valeur fournie par la trap et enfin le «$1» signifie que nous prenons la première variable de la trap. Cette méthode permet par un simple ajout dans la base de données d'esia de traiter toutes les trap linkup et linkdown envoyées à Esia quelques soit l'hôte. Tableau reprenant les différentes valeurs $r Nom du nœud $n (n = un chiffre) Variable n (ex : $1 est la première variable de la trap) $+n Variable précédée de son OID $* Toutes les variables 8

4.4 Interface Web L'interface WEB est entièrement écrite en PHP5 suivant le modèle MVC. Le moteur de templates smarty assure la génération des pages WEB. L'interface fournit également une série de classes facilitant le développement d'autre plugin. La sécurité n'est pas oubliée. Grâce à l'utilisation de PDO, Esia est protégée des attaques de type «SQL injection». 4.4.1 Modèle MVC Le client va effectuer une requête http/https au serveur web. Le script PHP ici est le contrôleur. Il va appeler PDO qui effectuera la requête SQL et lui fournira un objet contenant les données à traiter. Une fois les données traitées, le moteur de templates «smarty» va générer la page HTML et l'envoyer au client. Grâce à ce modèle, la maintenance est plus aisée et surtout, nous pouvons personnaliser et modifier l'aspect des pages facilement ou créer un nouveau thème. 9

4.4.2 Gestion des utilisateurs Esia met un point particulier sur la sécurité. Elle permet de gérer les droits d'accès des utilisateurs via des groupes, chaque groupe ayant ses propres droits d'accès (accès à l'administration, à un appareil, etc.). Esia fournit aux développeurs une classe facilitant la vérification des droits d'accès pour les développeurs (cf. : documentation de développement). Par exemple, il est possible sur le plugin «Switch», d'autoriser l'accès à la configuration du Switch à un groupe et pas à l'autre. Concernant la gestion des mots de passe, ils ne sont pas stockés en clair dans la base de données. Les mots de passe sont concaténés à différentes informations propres à l'utilisateur et ensuite le tout est «Hashé» en SHA1. Grâce à cette méthode, 2 utilisateurs ayant le même mot de passe n'auront pas le même «Hash» et ainsi, les attaques de comparaison de Hash seront fortement compliquées. 4.4.3 Gestion des nœuds La gestion des nœuds dans Esia est très simple et se gère via l'interface web. Une fois le nœud ajouté dans Esia, nous pouvons commencer à lui ajouter des services (programmes externes permettant de tester l'état d'un service par exemple :'état d'un serveur Web, etc.). 10

Nous pouvons voir son état via l'interface Web. Dans le premier cadre gris, nous avons quelques informations sur le nœud. Il est de type «server», porte l'adresse IP «10.7.0.10», fait partie du groupe «Heyra» et enfin sa description. Dans le deuxième cadre gris, nous pouvons voir que nous testons 11 services sur ce serveur et qu'ils sont tous dans un état «OK». Le cadre service nous affiche la totalité des services testés, l'heure et la date de leur dernière exécution ainsi que différentes informations fournies par les programmes de test : le service HTTP répond correctement (0,0016 seconde pour répondre) ; le serveur répond bien au PING ; le service SSH fonctionne ; le service FTP répond en 0,273 seconde ; nous savons nous connecter à la base de données PostGreSQL 'esia' ; 100% de l'espace swap est libre ; 66% de l'espace disque est utilisé (à 80% une alerte est générée) ; 8% de la RAM est utilisée ; il y a un processeur qui est utilisé à 41% (à 80% une alerte est générée). Et si nous cliquons sur le «%», nous pouvons connaître le pourcentage de disponibilité d'un service 11

4.4.4 Plugin Localisation 4.4.5 Google Map Lorsque le réseau s agrandit ou pour des réseaux étendus sur plusieurs bâtiments, il est important d'avoir une idée spatiale de son réseau. Esia permet via la «Google Map» de gérer la notion de zone (contenant plusieurs bâtiments) et les bâtiments. Ainsi en un clin d œil, nous pouvons surveiller le réseau. La Google Map est parfait pour afficher l'état du réseau sur un grand écran dans votre service informatique. Comme d'habitude, le rouge signifie un problème critique pour le réseau, jaune une alerte et le vert tout va bien. Il suffit de cliquer sur la zone pour afficher une infobulle contenant les informations relatives à l'erreur. 12

Nous pouvons voir que la zone contient un seul bâtiment, que le bâtiment est sur 1 seul étage, qu il y a une erreur critique de type «interface critical down» sur l'appareil «sw-c2950.home» avec le message correspondant. Il suffit de cliquer sur le nom de l'appareil pour être redirigé sur la page de la configuration du Switch. Si nous zoomons assez fort (le niveau est paramétrable), le dessin de la zone laisse place à un marqueur de couleur. Esia va plus loin dans la localisation et permet, si le plan d'un étage a été téléchargé sur le serveur, de pouvoir «glisser-déposer» les différents nœuds et d en afficher leur état. 13

Ici, il s'agit du Switch C2950.home ayant une erreur critique. Il suffit de cliquer dessus pour voir l'erreur. Dans le cas présent, il s'agit d'un Switch mais nous pouvons déposer toute sorte de nœuds (acces-point, baie informatique, serveur, etc.) 14

4.4.6 Un plugin «Serveur» Un plugin de gestion de serveurs était indispensable dans Esia et permet de reporter encore plus graphiquement les erreurs et l'état du serveur. Diverses informations sont reportées dans Esia. Tout d'abord, l'état de la RAM, du CPU et du disque dur qui ont affiché sur l'image. La couleur varie selon leur état (vert, jaune, rouge ou gris), la durée d'activité (sysuptime), l'adresse ip du serveur et les traditionnelles sysdescription, syslocaltion et syscontact. En dessous est affichée la page commune à tous les nœuds. Il est important de noter que l'affichage ne varie pas quelque soit le système installé sur la machine (Linux, Windows, etc.). Tout cela est possible grâce au MIB standard de SNMP 15

4.4.7 Un plugin «Switch» Le plugin «Switch» est le plugin à la base du projet Esia. Le but du plugin est d'offrir une interface web pour effectuer des changements courants sur les interfaces (changement vlan, activation du vlan de voix, etc.) et d'afficher des informations sur celles-ci (up/down, temps d'inactivité) en plus de la partie monitoring. 4.4.7.1 Fonctionnalités 16

Le plugin Switch permet une vue d'ensemble du Switch en une seule page web. Les différentes informations disponibles sont : le fabricant ; le Modèle ; le nombre d'interfaces ; la durée d'activité (sysuptime) ; l'adresse IP ; l'usage CPU ; la température ; le syscontact ; le syslocation ; le sysdescription. Pour chaque interface, nous pouvons connaître sont : état (up, down, alerte ou critique) ; le Vlan ; le mode de l'interface (statique, dynamiques, trunk) ; si le Voice Vlan est activé/désactivé ; une brève description ; la prise reliée à l'interface ; le login de l'utilisateur et la date de modification ; les mac-adresses connectés. Afin de récupérer toutes ces informations, le Switch doit impérativement être compatible SNMP et «Esia». Si le Switch est supporté, il est également possible de le configurer via l'interface graphique. Il est important de noter que l'interface de configuration ne change pas. En effet, si le Switch compatible Esia est capable de générer les commandes (ssh/telnet) nécessaires pour configurer le Switch, qu'importe le fabricant ou la version du système. 17

Il est également possible, via l'interface, de récupérer diverses informations en cliquant sur l'onglet «information». Le plugin effectuera une connexion telnet/ssh et renverra le résultat de la commande «show version» pour un Cisco ou la commande «system summary» pour un 3com, etc. Les temps de chargement des pages dépendent énormément du Switch et de la topologie, mais en guise d'exemple, la page principale mettra environ 1 seconde pour un 24 ports ou 1,8 seconde pour un 48 ports (3548 de marque Cisco) dans un réseau 100Mbit sachant que le plugin envoie plus de 200 requêtes SNMP sur un 48 ports. 4.4.7.2 Prérequis et compatibilité Le Switch doit être compatible SNMPv1, v2c ou v3 afin qu'esia puisse l'interroger et supporter les connexions Telnet ou SSH. Le Switch doit être compatible Esia c'est-à-dire que les templates de configuration et les templates SNMP contenant les OID doivent être présents. Si le Switch n'est pas encore compatible, vous pouvez nous contacter à l'adresse n.biersart@esianetwork.com ou alors lire la rubrique relative au développement. 4.4.7.3 Traps utilisées Afin d'avoir un monitoring parfait ainsi qu'une remontée d'erreur précise, il convient de configurer des traps SNMP sur les Switch (on peut les configurer via l'interface web d'esia). Trap LinkUp/LinkDown : les traps linkup/ linkdown font partie de la MIB standard (RFC 2233). Elles sont envoyées par l'agent lorsqu'une de ses interfaces passe à up (protocole et lien physique) ou à down. Nécessaire pour la gestion des liens critiques. 18

Trap RMON : Trap faisant partie de la mib standard (RFC 1757), le «remote monitoring» est utilisé pour capter les erreurs d'entrée des interfaces (ifinerror oid: 1.3.6.1.2.1.2.2.1.14). Optionnel, mais permet de gérer le report d'erreur CRC par exemple. Nous pouvons utiliser d'autres traps «propriétaires» (différentes selon les fabricants) par exemple chez Cisco : Trap Mac-notification : pour récupérer les mac-adresses en temps réel. Trap Err-disable : Trap propriétaire Cisco, supportée par les IOS 12.2(40) et supérieure. Lorsqu'une des interfaces du Switch passe en état «err-disable», une trap est envoyée au manager. Elle contient 1 seul et unique champ: cerrdisableifstatuscause pouvant prendre pas moins de 17 valeurs différentes (1. udld, 2. bpduguard, 3. channelmisconfig, 4. pagpflap, 5. dtpflap, 6. linkflap, 7. l2ptguard, 8. dot1xsecurityviolation, 9. portsecurityviolation, 10. gbicinvalid, 11. dhcpratelimit, 12. unicastflood, 13. vmps, 14. stormcontrol, 15. inlinepower, 16. arpinspection, 17. portloopback). Trap de la température : Les traps de la CISCO-ENVMON-MIB (mib propriétaire) permettent de recevoir une trap lorsque la température, utilisation cpu ou problème alimentation survient. Ici, on se charge de notifier uniquement les températures. 4.4.7.4 Gestion des liens critiques & des erreurs Le plugin Switch gère plusieurs erreurs et les trie selon leur gravité (critical, warning, ok et none) ainsi que la notion de lien critique. Les erreurs critiques: Err-disable: l'interface devient inutilisable et peut bloquer un utilisateur du réseau ; Temperature critical: la température du Switch est trop élevée et se trouve à un stade critique (alerte gérée par le Switch, donc le plugin ne définit pas de seuil) ; Critical input error: Erreurs d'entrée sur un lien critique (crc, etc.) ; Interface critical down: interface critique à down. Les erreurs non critiques «warning» : Input Error: Erreur d'entrée sur l'interface (crc, etc.) ; Température warning: température du Switch élevée, mais non critique. La notion de lien critique est gérée par l'utilisateur. Un lien critique est un lien qui ne peut avoir des erreurs d'entrée (crc, etc.) et qui ne doit pas tomber down (err-disable ou câble débranché). Si une interface est considérée comme critique (par exemple un trunk) et que des erreurs de CRC sont détectées, une erreur critique sera reportée dans l'interface plutôt qu'une simple alerte. Certaines erreurs sont automatiquement acquittées dès que le lien passe up, l' «Err-disable» et «Interface critical down». 19

5 Développements futurs De nombreuses idées dans le but d'enrichir Esia sont présentes. Toutefois, voici les grands points des futurs développements : EsiaTrapd : optimisation, ajout des traps de façon graphique ; Plugin «plan» : plugin permettant la gestion des plans des bâtiments et le positionnement des différents appareils ; Librairies de retour d'erreurs : une série de librairies en C++, perl et php permettant de développer facilement des plugins ainsi que des retours d'erreurs personnalisées ; ESIA mère / filles, développement effectué avec le concours du CETIC (Centre d Excellence en Technologies de l Information et de la Communication). 20