M2 ISIM SIC Pro (RS) 2012 2013 Réseaux - Sécurité R.Card & T.T. Dang Ngoc dntt@u-cergy.fr TD4 - L architecture de gestion du réseau proposée par le protocole SNMP est fondée sur trois principaux éléments : les équipements managés (managed devices) sont des éléments du réseau (ponts, commutateurs, concentrateurs, routeurs ou serveurs), contenant des objets de gestion (managed objects) pouvant être des informations sur le matériel, des éléments de configuration ou des informations statistiques ; les agents, c est-à-dire une application de gestion de réseau résidant dans un périphérique et chargé de transmettre les données locales de gestion du périphérique au format SNMP ; les systèmes de management de réseau (network management systems notés NMS), c est-à-dire une console à travers laquelle les administrateurs peuvent réaliser des tâches d administration. Simple Network Management Protocol (SNMP), protocole simple de gestion de réseau en français, est un protocole de communication qui permet aux administrateurs réseau de gérer les équipements du réseau, superviser et de diagnostiquer des problèmes réseaux, matériels à distance. Soit sur l ilot i d adresse réseau 194.51.118+i.0/24 : le vlan utilisateurs : 194.51.118+i.0/25 ; le vlan serveurs : 194.51.118+i.128/26 ; le vlan info : 194.51.118+i.192/26 ; le vlan équipements : 192.168.1.0/24. 1 Supervision des applications et services réseaux et des ressources locales 1.1 Routeurs et commutateurs Configurez vos équipements (routeurs, commutateurs et PC) pour faire partie de la communauté SalleReseau et positionnez leur MIB syslocation (.1.3.6.1.2.1.1.6.0) avec le nom de l ilot sur lequel se trouve l équipement et sysdescr (.1.3.6.1.2.1.1.1.0) avec la description de l équipement (ex. routeur CISCO vers l extérieur). A l aide de la commande snmpwalk, affichez : 1. l ensemble des OIDs et leur valeurs de chacun des équipements ; 2. la description des interfaces du routeur. A l aide de la commande snmpset, modifiez l information de contact du routeur (syscontact :.1.3.6.1.2.1.1.4.0) en y mettant votre prénom et votre nom par exemple. 1.2 PC Sur les PC, vous lancerez l agent SNMP snmpd en l ayant configuré à l aide de l aide à la configuration interactive snmpconf -i afin de : maintenir le trafic de chacune des interfaces réseau ; maintenir la charge CPU. Testez à l aide de la commande snmpwalk les différentes MIB ainsi définies. Page 1/6
1.3 Trappes SNMP Configurez les commutateurs et les routeurs afin qu ils envoient une trappe vers le NMS soit dans les cas où les interfaces changent d état (linkdown, linkup) soit dans le cas où l équipement est redémarré (coldstart, warmstart). 2 Outil de supervision : Nagios Nagios (anciennement Netsaint) est une application open-source permettant la surveillance système et réseau. Elle surveille les hôtes et services spécifiés, alertant lorsque les systèmes vont mal et quand ils vont mieux. C est un programme modulaire qui se décompose en trois parties : 1. le moteur de l application qui vient ordonnancer les tâches de supervision ; 2. l interface web, qui permet d avoir une vue d ensemble du système d information et des possibles anomalies ; 3. les plugins, une centaine de mini programmes que l on peut compléter en fonction des besoins de chacun pour superviser chaque service ou ressource disponible sur l ensemble des ordinateurs ou éléments réseaux du système d information : (a) l état des différentes interfaces de vos équipements réseaux ; (b) les services réseaux ICMP et SNMP ; (c) les services applicatifs : (SMTP, POP3, HTTP, NNTP, LDAP, etc.) ; (d) les ressources des serveurs (charge du processeur, occupation des disque durs, utilisation de la mémoire paginée). À l aide de l annexe, vous mettrez en place Nagios afin de surveiller : 1. l état des différentes interfaces de vos équipements réseaux ; 2. l accessibilité de vos différentes machines (check ping) ; 3. l état des différents services tournant sur vos machines. 3 Outil de métrologie : Cacti Cacti est un logiciel libre de mesure de performances réseau et serveur basé sur la puissance de stockage de données de RRDTool. Il permet de faire l étude d indicateurs sur une période donnée (moyenne sur le mois par exemple, ou maximum de la semaine, etc...) contrairement à la supervision qui permet de connaître l état de l indicateur en temps réel. Il fonctionne grâce à un serveur web équipé d une base de données et du langage PHP. À l aide de l annexe, vous mettrez en place Cacti afin de maintenir des graphes de : l activité CPU de vos équipements et serveurs ; le trafic lié à chacune des interfaces des équipements réseau et des serveurs. 4 Annexes 4.1 SNMP 4.1.1 Net-SNMP C est une suite logicielle libre et gratuite qui permet d utiliser le protocole SNMP. Page 2/6
Commandes snmpget OPTION IP-EQUIPEMENT OID récupère la valeur d un objet correspondant à un OID snmpgetnext OPTION IP-EQUIPEMENT OID récupère le prochain objet suivant l OID cité d une arborescence MIB snmpwalk OPTION IP-EQUIPEMENT OID(OPTIONNEL) affiche l ensemble des OID et leurs valeurs dans une arborescence snmpset OPTION IP-EQUIPEMENT TYPE OID VALEUR modifie la valeur d un objet correspondant à un OID Options : v 1 (ou v 2c / v 3) c nomdelacommunaute. Ob (affiche l index de manière numérique). Of (affiche les OID de manière complète). On (affiche les OID de manière numérique). Exemple : snmpwalk -v 1 -c SalleReseau -Of 127.0.0.1 4.1.2 Configuration/activation SNMP Configuration Routeur/switch CISCO snmp-server community NOM COMMUNAUTE ro/rw NUM ACL SIMPLE(OPTIONNEL) Configuration Routeur ENTERASYS snmp-server enable snmp-server community NOM COMMUNAUTE ro/rw NUM ACL SIMPLE(OPTIONNEL) Configuration Switch ALLIED snmp-server snmp-server community NOM COMMUNAUTE ro/rw IP NMS(OPTIONNEL) Configuration Switch ENTERASYS snmp-server snmp-server community NOM COMMUNAUTE ro/rw Serveur FreeBSD La suite net-snmp fournit un serveur snmp (snmpd) qui se configure facilement par la commande snmpconf -i. A l issu de cette configuration interactive, des fichiers de configuration (que vous pourrez éditer) seront générés et vous permettront de surveiller certains paramètres de votre système (processus, état du disque, etc.) 4.2 Activation du serveur Web Le serveur Web utilisé est Apache. Il nécessite que le répertoire /usr/local/www/apache22/data soit créé. Avant d activer le serveur Web, il est impératif que le nom de la machine soit défini (via la commande hostname), que ce nom soit enregistré dans le fichier /etc/hosts ou dans le DNS et que la directive ServerName soit correctement renseignée dans /usr/local/etc/apache22/httpd.conf Le fichier /etc/rc.conf doit contenir : apache22_enable="yes" Page 3/6
Le démarrage du serveur Web est effectué grâce à la commande : /usr/local/etc/rc.d/apache22 start 4.3 Nagios 4.3.1 Configuration générale de Nagios La configuration de nagios se trouve dans le répertoire /usr/local/etc/nagios. Des fichiers d exemples *.cfg-sample sont présents pour vous aider à écrire les fichiers *.cfg (les copier pour les modifier). Pour lancer nagios au démarrage, il faut ajouter dans /etc/rc.conf : nagios_enable="yes" Pour lancer ou relancer nagios : /usr/local/etc/rc.d/nagios start /usr/local/etc/rc.d/nagios restart Le fichier de configuration général de nagios est nagios.cfg ; il y est instancié un ensemble d objets rangés dans plusieurs fichiers *.cfg spécifiés par la clé cfg file : templates.cfg : les templates d objets génériques dont hérite tous les autres objets. host (generic-host : freebsd-server, windows-server, generic-printer, generic-switch) : il peut s agir des équipements actifs (routeurs, commutateurs), de serveurs, d imprimantes, de station, etc. contact (generic-contact) : il s agit des personnes concernées par les remontées d alertes. service (generic-service : local-service) : le service à superviser : un attribut de l hôte (charge CPU, usage disque, nombre d utilisateurs connectés, etc.), un service fourni par l hôte (http, ssh, smtp, etc.) ou autre information inhérent à l hôte (accessibilité ping, enregistrement DNS, etc.) timeperiods.cfg : les plages horaires permettant de controler : quand les hôtes ou les services doivent être supervisés quand les contacts peuvent recevoir les notifications commands.cfg : les commandes à exécuter par nagios les vérifications d hôtes ou de services (exemple : plugins du répertoire /usr/local/libexec/nagios/check *) des notifications des prises en charge d évènements. contacts.cfg : les personnes concernées par les remontées d alertes Bref aperçu de la syntaxe nagios La définition d un objet respecte la syntaxe suivante : define nom_objet { attribut1 valeur1 attribut2 valeur2... register 0 ou 1 } Le champ register n est pas hérité. S il est à 0, nagios n enregistrera pas l objet (l objet est abstrait et servira par exemple comme template). S il est à 1 (défaut), il sera enregistré par Nagios. Un template est un modèle d objet générique Page 4/6
define nom_objet { name nom_objet_generique attribut1 valeur1 attribut2 valeur2... } Un héritage (au sens objet du terme) permet ensuite de définir un autre objet étendant les propriétés d un objet précédemment défini (par exemple un template). define nom_objet { name nom_objet use nom_objet_pere attribut3 valeur3 attribut4 valeur4... } Les héritages multiples sont possibles (séparer les nom d objets pères par des virgules dans le use. L ordre a son importance pour les notions de précédence. 4.3.2 Interface web et Nagios Dans le fichier /usr/local/etc/apache22/httpd.conf, ajouter (en fin de fichier par exemple) la ligne : Include /usr/local/etc/apache22/includes/nagios.conf Afin d inclure le fichier (que vous créerez) et qui contiendra les directives liées au script Nagios. Dans ce fichier nagios.conf vous y mettrez les directives suivantes : Alias /nagios/ /usr/local/www/nagios/ <Directory "/usr/local/www/nagios/cgi-bin/"> AllowOverride AuthConfig Options ExecCGI Order allow,deny Allow from all </Directory> <Directory "/usr/local/www/nagios/"> AllowOverride AuthConfig Options None Order allow,deny Allow from all </Directory> addhandler cgi-script.cgi Puis pour permettre à certains utilisateurs d accéder à l interface, créez un fichier.htaccess dans /usr/local/www/nagios conteant les lignes suivantes : AuthName "Acces Nagios" AuthType Basic AuthUserFile /usr/local/etc/nagios/htpass require valid-user Création du fichier de mot de passe et ajout des utilisateurs : htpasswd -c NOM FICHIER NOM UTILISATEUR (-c pour Page 5/6
créer si l utilisateur n existe pas). exemple : htpasswd -c /usr/local/etc/nagios/htpass admin nagios 4.4 Cacti 4.4.1 Cacti et MySQL Les enregistrements se feront dans une base MySQL. Il s agit tout d abord de créer un compte cacti dans mysql : mysqladmin --user=root create cacti mysql -u root GRANT ALL ON cacti.* TO UTILISATEUR_CACTI@localhost IDENTIFIED BY MOT_DE_PASSE_CACTI; FLUSH PRIVILEGES; [CTRL D] mysql cacti < /usr/local/share/cacti/cacti.sql 4.4.2 Poller cacti Afin que les informations de la base puissent être régulièrement mis à jour, ajouter dans /etc/crontab : */5 * * * * cacti /usr/local/bin/php /usr/local/share/cacti/poller.php > /dev/null 2>&1 4.4.3 Configuration de Cacti Le fichier /usr/local/etc/share/cacti/include/config.php doit être édité afin de correspondre aux paramètres fixés, notamment en ce qui concerne l accès à la base MySQL. 4.4.4 Interface Web de Cacti Dans le fichier /usr/local/etc/apache22/httpd.conf, ajouter (en fin de fichier par exemple) la ligne : Include /usr/local/etc/apache22/includes/cacti.conf Afin d inclure le fichier (que vous créerez) et qui contiendra les directives liées au script Cacti. Dans ce fichier cacti.conf vous y mettrez les directives suivantes : Alias /cacti/ /usr/local/share/cacti/ <Directory "/usr/local/share/cacti/"> Order allow,deny Allow from all </Directory> DirectoryIndex index.php index.html Cacti sera ensuite accessible à l URL : http://votre_serveur_cacti/cacti Page 6/6