Chanut, Nguyen, Tarditi, Yassa TP SNMP 1
Sommaire TP1 I) Installation ireasoning MIB browser... 3 II) Installation du service SNMP... 4 II.I) Sous Windows 7... 4 II.II) Sous Windows 2008 R2... 5 III) Afficher les données via SNMP et MIB browser... 6 TP2 I) Capture des trames SNMP... 8 II) Utilisation de getnext et walk... 8 III) Ecrire grâce à la MIB... 11 IV) Configuration de la MIB privée... 12 V) Messages d alerte de l agent SNMP : TRAP... 14 2
TP1 I) Installation ireasoning MIB browser Tout d abord commencez par installer ireasoning MIB browser sous Windows 2008 R2. 3
II) Installation du service SNMP II.I) Sous Windows 7 Nous allons à présent installer le service SNMP, pour cela allez dans le menu «Démarrer», «Panneau de configuration», puis allez dans «Programmes et fonctionnalités», ensuite «Activer ou désactiver des fonctionnalités Windows». Vous obtiendrez la page suivante : Comme ci-contre activez le protocole SNMP, puis cliquez sur «OK». Continuez en ouvrant le menu «Démarrer», dans la barre de recherche tapez «Service» et ouvrez le. Descendez jusqu à trouvez le «Service SNMP», bouton droit, propriétés : Ajoutez une communauté «Public» avec lecture et écriture, puis cochez la case «Accepter les paquets SNMP provenant de n importe quel hôte». 4
II.II) Sous Windows 2008 R2 Pour pouvoir installez le protocole SNMP sous 2008 R2 il va vous falloir ajouter le protocole dans «Assistant Ajout de fonctionnalités». Une fois le protocole ajouté redémarrez le service. Comme pour Windows 7 allez dans le menu «Démarrer», dans la barre de recherche tapez «Service», ouvrez le. Descendez jusqu à trouvez le «Service SNMP», bouton droit, propriétés : Ajoutez une communauté «Public» avec lecture et écriture, puis cochez la case «Accepter les paquets SNMP provenant de n importe quel hôte». 5
III) Afficher les données via SNMP et MIB browser Dans cette phase nous allons employer MinBrowser pour vérifier que l agent est bien configuré pour communiquer avec un gestionnaire SNMP. Configurez MibBrowser pour obtenir des infos sur le serveur 2008 : - IP de la machine supervisée - Communauté : Public - SNMP : v2 - OID :.1.3.6.1.2.1.1.1.0 -> GET + GO Nous obtenons donc le sysdescr de la machine, avec la Value qui est «Hardware : Intel64», le Type, l IP et le Port. Nous allons à présent afficher le contenu de l OID.1.3.6.1.2.1.1.5.0 : On obtient des informations différentes, ici nous avons le sysname avec comme Value «SP1-EQx-R2- CD1.po1.local» et le syslocation. Nous allons maintenant voir comment stocker ses propres informations. Il existe deux champs de type string qui peut être utilisés et interrogés via SNMP : SysLocation et SysContact. Ces deux champs sont en fait deux clés de registres. Si ces deux clefs sont renseignées on peut alors obtenir leurs valeurs par une simple requête SNMP. Dans le menu démarrer, ouvrez «Regedit» avec la barre de recherche, allez à la clef : «HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\SNMP\Parameters\RFC1156Agent» 6
Donnez à la clef SysLocation la valeur Chartres et à la clef SysContact la valeur FulbertAdmin. Maintenant tester sous Mib browser les variables suivantes : - SysLocation - SysContact Vous pourrez donc observez que vous obtenez les mêmes valeurs que vous avez entrées auparavant. Les OID récolté pour : SysLocation :.1.3.6.1.2.1.1.6 SysContact :.1.3.6.1.2.1.1.4 7
TP2 I) Capture des trames SNMP En lançant une commande Mib Browser de type GET vous pourrez visualiser deux trames SNMP : Nous avons donc une requête et une réponse. Nous pouvons constater que dans les trames SNMP on peut visualiser le port SNMP (161)et la version du protocole SNMP (v2), ici le protocole de transport utilisé est UDP. II) Utilisation de getnext et walk La commande get permet d obtenir la valeur d une variable désignée et la commande getnext permet d obtenir la valeur de la prochaine variable. Avec la commande get l OID.1.3.6.1.2.1.1.1 nous renvoi «No such name error» : 8
Alors qu avec la commande getnext et la même OID on obtient le sysobjectid.0 : Toujours avec la commande getnext mais cette fois avec l OID.1.3 nous obtenons le sysdescr : Cette fois ci nous allons utiliser la commande walk avec l OID.1.3, nous obtenons environ 20,000 résultats : Nous pouvons donc en conclure que la commande walk nous affiche tout les OIDs dont la base de l arborescence est.1.3. 9
Dans l arborescence, sélectionnez la branche IP et sélectionnez «Get SubTree» puis GO : Grâce à cette commande nous pouvons récupérer plusieurs informations telles que les adresses MAC des cartes réseau, qui a pour OID.1.3.6.1.2.4.22.1.2.11.10.1.1.1, et le nombre de datagrammes reçus par l hôte : Nous pouvons donc voir qu ici l hôte a reçu 60334 datagrames, son OID est.1.3.6.1.2.1.4.3.0. Maintenant toujours dans l arborescence, sélectionnez la branche ICMP et sélectionnez «Get SubTree» puis GO : Nous obtenons le nombre de trames ICMP reçus par l hôte, ici il y a eu 4276 messages reçus. Faites un ping sur l hôte : Il y a donc bien eu 4 messages de plus reçu par l hôte. 10
III) Ecrire grâce à la MIB Comme fais avant ajoutez à nouveau une communauté SNMP v2 en lecture/écriture appelée «SIO» : Après avoir modifié les paramètres Advanced sous Mib Browser, modifiez avec la commande «SET» sur la machine supervisée les variables «syslocation» avec Bonaparte et «syscontact» avec SIOadmin : Avec Wireshark nous pouvons visualiser à l intérieur des trames SNMP la modification : 11
Retournez sur la machine supervisée et regardez dans le registre la valeur des variables que vous venez de modifier : Nous pouvons donc constater que la commande SET permet bien de modifier les variables dont nous lui avons donné l accès. IV) Configuration de la MIB privée Afin d exploiter au maximum les possibilités des divers composants des réseaux, les constructeurs ajoutent souvent des informations spécifiques à tel ou tel agent. Ces informations constituent la MIB privée et tous mes clients ne sont pas capables de lire les MIB privées. Nous allons tester cela avec l OID.1.3.6.1.4.1.311.1.3.1.1.0, qui est une mib privée de Microsoft : On constate donc que l on est pas capable de lire cette mib pour y remédier installez les mibs complémentaires à l adresse suivante : «http://www.oidview.com/mibs/311/dhcp-mib.html». Télécharger les mibs et ajoutez les dans «C:\Program Files\ireasoning\mibbrowser\mibs»: 12
Nous pouvons donc constater qu une branche private est apparue avec la branche DHCP qui nous intéresse. A présent nous allons rechercher à nouveau l OID : On constate que la mib privée à bien fonctionné on obtient donc l heure est la date à laquelle le serveur dhcp a démarré. A présent avec l OID.1.3.6.1.4.1.311.1.3.1.1.2 et.1.3.6.1.4.1.311.1.3.1.1.3 nous pouvons voir les ip attribuées et non attribuées : Vous pouvez dés à présent arrêter le service DHCP. 13
V) Messages d alerte de l agent SNMP : TRAP On vient de voir que l agent SNMP peut être sollicité au travers de commandes ou de requêtes SNMP afin d obtenir différentes informations de la base de données MIB. Mais il peut aussi envoyer des messages d alerte qu on appelle trap. Nous allons configurer l agent émetteur de trap, allez sur le 2008 R2, service SNMP, propriétés, onglet interruptions : Saisissez le nom de la communauté (public) dans la liste déroulante et cliquez sur «Ajouter à la liste». Ajoutez une adresse ip de destination : 14
Cliquez sur «Appliquer» et fermez. N oubliez pas de désactiver votre pare-feu. Recherchez sur l agent un OID avec une communauté erronée : Analysez la trame : Nous pouvons voir dans la trame le port trap (162) Il est possible de configurer Windows pour rediriger des messages d erreurs de l observateur d événements, sous forme d alerte SNMP(trap). L outil utilisé est evntwin.exe, il permet donc de convertir un événement en interruption SNMP. Configurez le poste supervisée pour envoyer une alerte SNMP à la console, lancez evntwin, selectionnez «personnalisée» et cliquez sur «modifier», dans la fenêtre source développer DNS Server/DNS, dans la fenêtre de droite, Evénement, faites double clic sur l événement n 3 : 15
Cet événement correspond au problème d arrêt du serveur DNS, cliquez sur «OK». Allez sur MIB Browser, dans l onglet «Tools» / «Trap Receiver», lancez Wireshark et arrêtez le service DNS : On obtient donc une trap en alerte qui nous dit la cause du problème et le serveur concerné. 16