La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Administration SNMP avancée

Publié parAnatole Gillet Modifié depuis plus de 9 années

Présentations similaires

Présentation au sujet: "Administration SNMP avancée"— Transcription de la présentation:

1 Administration SNMP avancée
Chapitre 7 Administration SNMP avancée

2 Pourquoi authentification et confidentialité ?
Empêche les accès non-autorisés à une administration d’agent Empêche les modifications non-autorisées de la configuration de l'équipement administré L’authentification triviale SNMPv1 limite la sécurité de l'opération set Confidentialité : Protège les informations d’administration contre l’interception et les écoutes De quoi avons-nous besoin pour une application ? Authentification et/ou confidentialité ? L'authentification limite l'accès aux entités autorisées — pénalité minime sur la performance La confidentialité utilise des techniques de cryptage — cela peut consommer un temps CPU très important The main point on this slide is to stress that use of authentication techniques has very little performance penalty, whereas privacy has due to its use of cryptographic techniques. Most organizations probably only need authentication. So why pay the performance penalty for something that you don’t need?

3 Etapes dans le développement de la sécurité dans SNMP (suite)
1 R M O N M I B S e c u r e S N M P S N M P v 2 S N M P v 2 S e c u r i t y W o r k i n g G r o u p W o r k i n g G r o u p S N M P v 2 ( o r i g i n a l v e r s i o n ) S N M P v 2 C S N M P v 2 u S N M P v 2 * S N M P v 3

4 Le modèle de sécurité USM de SNMPv3 (User-Based Security Model)
RFC 2574 SNMPv3 supporte plusieurs modèles de sécurité, qui sont respectivement SNMPv1 SNMPv2C USM Le modèle USM comporte les mécanismes D’authentification Intégrité des données et authentification de la source De notion de temps Protection contre les tentatives de retarder ou rejouer les messages De confidentialité Protection contre l’espionnage du contenu du message De découverte Capacité pour une machine SNMP de prendre connaissance d’informations sur d’autres machines SNMP De gestion de clés pour la sécurité Génération, changement et utilisation de clés 7-8 to 7-16 You should either read the new Stallings book or the RFCs to learn about the SNMPv3 USM.

5 Machine (ou moteur) SNMPv3
Machine (ou moteur) SNMPv3 Machine SNMP (identifiée par snmpEngineID) Access control subsystem Dispatcher Message Processing subsystem Security Command initiator Command responder Notification initiator Notification receiver Entité SNMP Dispatcher — permet le support pour différentes versions concurrentes de SNMP Reçoit les PDUs des Applications SNMP à transmettre sur le réseau Transmet/reçoit les PDU vers le sous-système de traitement du message (MP) Transmet/reçoit les messages SNMP à destination du réseau

6 Machine (ou moteur) SNMPv3 (suite)
Sous-système de traitement du message (Message processing subsystem) Prépare les messages pour envoi Extrait les données des messages reçus Sous-système de sécurité (Security subsystem) Procure les services de sécurité, tels que l’authentification et le cryptage Sous-système de contrôle d’accès VACM (View based Access Control Module) Gère les autorisations d’accès Peut être utilisé par une application pour vérifier les droits d’accès

7 Cadre d’administration SNMPv3
10 -> 18 RFC2571 à RFC 2576 2 4 6 SNMPv2 MIB-2 Private snmpProxys snmpModules 1 2 3 14 14 14 1 10 11 12 13 14 15 16 18 snmpMIB Frame Work MPD Applications Notifications Proxys USM VACM 1 Admin 1 1 MIB Objects 1 Context Engine 2 3 MIB Objects Conformance 2 1 2 UsmUser 2 Security 1 Priv protocol 3 snmp Community Table 1 2 3 4 1 2 Access 1 2 3 EngineID EngineBoots Engine Time Max Message Size 4 TreeFamily MD5 SHA

8 Format du message SNMPv3
Format général du message SNMPv3 : msgGlobalData ::= SEQUENCE { msgID INTEGER ( ), msgMaxSize INTEGER ( ), msgFlags OCTET STRING (SIZE(1)), authFlag privFlag reportableFlag Please observe: is OK, means noAuthNoPriv is OK, means authNoPriv reserved, must NOT be used. is OK, means authPriv msgSecurityModel INTEGER ( ) } Message SNMPv3 m s g V e r s i o n ( 3 ) m s g G l o b a l D a t a m s g S e c u r i t y P a r a m e t e r s m s g D a t a

9 Format du message SNMPv3 (suite)
msgID Utilisé entre entités SNMP pour coordonner requêtes et réponses msgMaxSize Contient la taille maximum de message supportée par l’expéditeur La taille maximum que supporte l’expéditeur msgSecurityModel SNMPv3 supporte concurramment plusieurs modèles de sécurité Le modèle de sécurité utilisé est indiqué dans ce champ msgSecurityParameters Les paramètres de sécurité transmis à l’implémentation locale du modèle de sécurité

10 Paramètres de sécurité de SNMPv3
g A u t h o r i t a t i v e E n g i n e I D m s g A u t h o r i t a t i v e E n g i n e B o o t s m s g A u t h o r i t a t i v e E n g i n e T i m e m s g U s e r N a m e m s g A u t h e n t i c a t i o n P a r a m e t e r s m s g P r i v a c y P a r a m e t e r s Chaque machine SNMP a un identificateur (ID) unique On peut le configurer à la console ou le générer à l’aide d’un algorithme Tout échange SNMP implique une machine authoritative et une machine non-authoritative La machine SNMP authoritative joue en gros le rôle de “l’agent” en v1

11 Paramètres de sécurité de SNMPv3 (suite)
msgAuthoritativeEngineID L’identificateur snmpEngineID de la machine SNMP authoritative impliquée dans l’échange de ce message La machine SNMP authoritative représente ce qui est habituellement appelé “l’agent” en v1/v2C msgAuthoritativeEngineBoots Nombre de fois que cette machine SNMP a été initialisée ou réinitialisée depuis sa configuration d’origine msgAuthoritativeEngineTime Temps en secondes depuis la dernière incrémentation du paramètre snmpEngineBoots msgUserName L’entité (en anglais «principal») au bénéfice de laquelle est échangé ce message

12 Paramètres d’authentification de SNMPv3
USM autorise deux protocoles d’authentification HMAC-MD5-96 (Message Digest 5) HMAC-SHA-96 (Secure Hash Algorithm) Génération de msgAuthenticationParameters avec HMAC-MD5-96 Génération de msgAuthenticationParameters avec HMAC-SHA-96 (Tronqués à 96 bits) (Tronqués à 96 bits) (Tronqués à 96 bits) a u t h K e y ( 1 2 8 b i t s ) M D 5 O u t p u t m s g A u t h e n t i c a t i o n P a r a m e t e r s a l g o r i t h m ( 1 2 8 b i t s ) (Tronqués à 96 bits) S N M P m e s s a g e a u t h K e y ( 1 2 8 b i t s ) M D 5 O u t p u t m s g A u t h e n t i c a t i o n P a r a m e t e r s a l g o r i t h m ( 1 2 8 b i t s ) (Tronqués à 96 bits) S N M P m e s s a g e

13 Paramètres de confidentialité de SNMPv3
USM utilise DES-CBC (Data Encryption Standard avec cypher block chaining mode) pour l’encryptage Connu sous l’appellation DES-CBC Une valeur de 16 octets (privKey) est entrée pour l’encryptage Les 64 premiers bits sont utilisés comme clé d’encryptage Le bit le moins significatif de chaque octet est ignoré, donnant une clé de 56 bits DES-CBC requiert un vecteur d’initialisation de 64-bit pour chaque opération d’encryptage Généré en prenant les 64 derniers bits de privKey et une valeur aléatoire résiduelle (”salt”) Le champ msgPrivacyParameters est utilisé pour envoyer cette valeur aléatoire (”salt value”) qui permettra à la machine destinataire le déchiffrage du message

14 Contrôle de la notion de temps
Chaque machine authoritative doit maintenir deux objets qui font référence à sa notion locale du temps snmpEngineBoots (valeur maxima 231-1) Fixé à zéro à l’installation de la machine SNMP snmpEngineTime (valeur maxima 231-1) Fixé à zéro à l’installation de la machine SNMP ou à sa réinitialisation snmpEngineBoots est incrémenté quand on atteint la valeur maxima Un message est considéré en dehors de la fenêtre en temps si les paramètres de temps contenus dans le message entrant diffèrent de plus de 150 secondes de la copie locale du temps Ou si snmpEngineBoots a atteint sa valeur maxima

15 Synchronisation en temps
Toute machine SNMP non authoritative doit rester synchronisée de façon approximative avec la machine authoritative avec laquelle elle échange Elle utilise à cette fin une copie locale des trois variables suivantes : snmpEngineBoots snmpEngineTime latestReceivedEngineTime La synchronisation est maintenue par la machine authoritative qui envoie dans chaque message ses valeurs courantes de snmpEngineBoots et snmpEngineTime Utilisée par la machine non authoritative pour mettre à jour ses valeurs locales

16 MIB du groupe usmUser L’ensemble des MIB SNMPv3 est défini sous le branchement snmpModules (réservé pour SNMPv2/v3) Chaque entité SNMP maintient un MIB group contenant des informations sur les “principals” locaux et distants Le groupe usmUser comprend : usmUserSpinLock usmUserTable La variable usmUserSpinLock coordonne plusieurs applications pour l’utilisation des facilités de renouvellement de clés La table usmUserTable comprend une rangée pour chaque “principal” susceptible de communiquer avec cette machine SNMP, contenant Les protocoles d’authentification et de confidentialité à mettre en œuvre dans un échange avec ce principal Les objets à utiliser pour valider le renouvellement des clés

17 Le modèle de contrôle d’accès VACM (View-Based Access Control Model)
RFC 2575 Le modèle VACM présente deux caractéristiques de base Détermine si l’accès à un objet administré doit être autorisé Utilise une MIB qui définit la politique de contrôle d’accès pour cet agent La MIB VACM Cette MIB comprend des tables pour Les contextes locaux Un sous-ensemble d’instances des objets de la MIB locale Les Groupes Une énumération de principals au bénéfice desquels les objets sont accédés Droits d’accès Définit les accès autorisés à un contexte pour un groupe particulier MIB Views Définit un ensemble d’une sous-arborescence d’objets

18 Fonctionnalités du VACM
Le modèle VACM permet de restreindre l’accès concernant : Le Principal formulant la requête d’accès L’objet de la MIB sur lequel l’accès est demandé Sur le type d’accès (par ex., get ou set) requis En plus, le modèle VACM permet de renforcer des restrictions ultérieures telles que La mise en œuvre de l’authentification pour les opérations set L’utilisation de l’authentification et de la confidentialité pour l’accès à des informations privées dans les MIB

19 Motivation pour le contrôle à distance
Classiquement, le contrôle de réseau requiert une visite sur site avec un analyseur de protocole Ou une dépendance de produits propriétaires Les agents n'ont pas la possibilité d'envoyer des statistiques en bloc Faute de quoi les données de la MIB sont filtrées de manière à ce que seules les informations importantes soient communiquées au gestionnaire La solution SNMP est la MIB RMON RFC 2819 STD 0059 I think that RMON is one of the most interesting SNMP enhancements. Although similar functionality has been available prior to RMON, with proprietary products like HP LANProbe, RMON is “open” (in as much as SNMP is “open”).

20 Services RMON RMON est un enrichissement important de SNMP initial
Fournit un mécanisme pour contrôler le trafic d'un sous-réseau Différent des équipements connectés à un sous-réseau Basé sur l'idée d'un contrôle à distance Regroupe les informations, transmises ensuite au gestionnaire De concept similaire à certains produits "analyseur de réseau local" Le contrôle à distance peut être un équipement dédié Un routeur ou une station à usage général Les fonctions dispensées sont similaires aux équipements d'analyse de réseau local Le contrôle de l'activité globale ou entre équipements particuliers La collecte de statistiques et la capture de trafic

21 Services RMON (suite) Valable pour tout type de réseau physique
g e r R M O N I find that I am generally drawn into a discussion of the pros and cons of the various places to run the RMON agent. Here are some pros and cons: RMON agent in host:  Advantages Disadvantage Cheaper Host doing other things May interfere with fundamental job of the device RMON agent in router: Advantages Disadvantages Monitoring on several router ports. May interfere with primary function i.e., each of the subnets the router of device; i.e., routing is connected to have then got RMON Dedicated RMON box; e.g., NAT RB450: All resources of device Cost dedicated to the job of monitoring a g e n t R M O N P C R M O N R M O N a g e n t a g e n t Valable pour tout type de réseau physique Bien adapté pour les LAN

22 Fonctionnalités RMON (suite)
Contrôler un agent à partir de plusieurs gestionnaires, de manière sécurisée Le propriétaire d'une rangée est spécifié par une colonne dans une table de contrôle Par convention, les non-propriétaires considèrent que la rangée est de type lecture seule ("ro") Aucun protocole pour passer outre cette convention Modifier de manière sécurisée les tables de données dans l'agent SNMPv1 n’offre rien pour l'ajout et l'effacement des rangées de tables RMON fournit un guide avec des règles de conventions et de procédures Chaque table a une colonne EntryStatus permettant de contrôler les mises à jour des “entrées” EntryStatus ::= INTEGER {valid (1), createRequest (2), underCreation (3), invalid (4) RMON has rules to allow multiple manager stations to control the agent at the same time. Without these rules, what would happen if two managers were writing to a MIB object (especially a table object) at the same time?

23 Fonctionnalités RMON (suite)
Dispensent de plus deux services clé : Alarmes Définit une période d'évaluation et un seuil de déclenchement pour l'alarme Pour tout objet MIB de type compteur, jauge, TimeTicks ou INTEGER Définit un mécanisme d'hystérésis pour prévenir les fausses alarmes Evénements Une table d'événements à signaler, tels que les alarmes Peuvent être déclenchés par une condition à un autre endroit de la MIB Peuvent déclencher une action définie à un autre endroit de la MIB Peuvent faire en sorte que des informations soient enregistrées Peuvent occasionner l'émission d'une alerte SNMP

24 Exemple d’événement de type alarme
S a m p l e d - o b j c t v u R i s n g h r F E y f * A T This just illustrates that by setting different rising and falling thresholds, we can define some hysteresis in the alarm condition. Useful for avoiding multiple alarms when the measured quantity is hovering between just above and just below a threshold.

25 Evènements L'entrée de table d'événement contient
eventIndex : un identificateur unique pour cette rangée dans eventTable eventDescription : une description textuelle de cet événement eventType : none (1), log (2), trap (3) ou log et trap (4) eventCommunity : la communauté SNMPv1 pour trap, éventuellement eventLastTimeSent : sysUpTime lorsque l'événement est déclenché L'entrée de table d'enregistrement contient logEventIndex : identité de l'événement générant cette entrée logIndex : identificateur unique de cette entrée dans l'enregistrement logTime : sysUpTime lorsque cette entrée d'enregistrement a été créée logDescription : description dépendante de l'implémentation de l'événement occasionnant cette entrée d'enregistrement

26 MIB RMON-1 1 2 3 6 4 7 8 5 9 i n t e r d c o y m b - I g x p a l f s h
k u v

27 RMON-2 RMON2 est une extension de RMON-1
RFC 2021 RMON2 est une extension de RMON-1 La principale fonctionnalité ajoutée est de permettre à RMON une analyse jusqu’à la couche Application Cet enrichissement est obtenu en ajoutant 9 nouveaux groupes La RFC 2021 décrit également des ajouts à la MIB RMON On a rajouté DroppedFrames et LastCreateTime à chaque table définie dans la MIB RMON La table RMON filter est “augmentée” (instruction AUGMENT) par un mécanisme qui autorise le filtrage à partir d’un offset d’un certain protocole, même si les en-têtes de ces protocoles sont de longueur variable Les états des bits filtre et capture de RMON sont augmentés par des bits additionnels pour des médias étendus ou génériques Ces ajouts sont réservés uniquement pour les équipements qui supportent déjà Rmon-1 Read RFC 2021 for more information.

28 Groupes fonctionnels de la MIB RMON-2
Protocol Directory { rmon 11 } Inventorie les protocoles que la sonde peut analyser, en autorisant la configuration, l’addition et la suppression d’entrées dans cette liste Les identifiants de protocoles sont définis dans la RFC 2074 Protocol Distribution { rmon 12 } Collecte les octets et les paquets relatifs aux différents protocoles détectés sur le réseau Address Map { rmon 13 } Liste les correspondances adresses MAC et adresses réseau découvertes par la sonde et sur quelle interface elles ont été vues en dernier

29 Groupes fonctionnels de la MIB RMON-2 (suite)
Network Layer Host { rmon 14 } Comptabilise la quantité de trafic à partir et à destination de chaque adresse réseau découverte par la sonde Network Layer Matrix { rmon 15 } Comptabilise la quantité de trafic échangée entre chaque paire d’adresses réseau repérée par la sonde Application Layer Host { rmon 16 } Comptabilise la quantité de trafic, par protocole, à partir et à destination de chaque adresse réseau découverte par la sonde

30 Groupes fonctionnels de la MIB RMON-2 (suite)
Application Layer Matrix { rmon 17 } Comptabilise la quantité de trafic, par protocole, échangée entre chaque paire d’adresses réseau repérée par la sonde User History { rmon 18 } Combine les mécanismes des groupes History et Alarm (de Rmon) pour permettre une acquisition History sur mesure Probe Configuration { rmon 19 } Contrôle de la configuration des divers paramètres opérationnels de la sonde

31 Coexistence entre SNMPv1, v2 et v3
La stratégie de coexistence entre SNMPv1/v2/v3 est explicitée dans la RFC 2576 Les techniques décrites font appel aux options présentées dans les pages précédentes Utilisation d’agents ou de gestionnaires en mode dual Utilisation d’agents proxy De plus, pour une coexistence complète, la RFC 2576 recommande la conversion des MIB définies pour SMIv1 en SMIv2

Télécharger ppt "Administration SNMP avancée"

Présentations similaires

Module 5 : Implémentation de l'impression

Module 5 : Implémentation de l'impression
Protocole PPP* *Point-to-Point Protocol.

Protocole PPP* *Point-to-Point Protocol.
- ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs.

- ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs.
- Couche 7 - Couche application. Sommaire 1)Introduction 1)DNS 1)FTP et TFTP 1)HTTP 1)SNMP 1)SMTP 1)Telnet.

- Couche 7 - Couche application. Sommaire 1)Introduction 1)DNS 1)FTP et TFTP 1)HTTP 1)SNMP 1)SMTP 1)Telnet.
DUDIN Aymeric MARINO Andrès

DUDIN Aymeric MARINO Andrès
13 - Plate-forme logicielle Cisco IOS

13 - Plate-forme logicielle Cisco IOS
Vue d'ensemble Vue d'ensemble de la sécurité dans Windows Server 2003

Vue d'ensemble Vue d'ensemble de la sécurité dans Windows Server 2003
Module 3 : Gestion et analyse du service DHCP

Module 3 : Gestion et analyse du service DHCP
Vue d'ensemble Présentation multimédia : Rôle du routage dans l'infrastructure réseau Activation et configuration du service Routage et accès distant Configuration.

Vue d'ensemble Présentation multimédia : Rôle du routage dans l'infrastructure réseau Activation et configuration du service Routage et accès distant Configuration.
Vue d'ensemble Implémentation de la sécurité IPSec

Vue d'ensemble Implémentation de la sécurité IPSec
Module 2 : Allocation de l'adressage IP à l'aide du protocole DHCP

Module 2 : Allocation de l'adressage IP à l'aide du protocole DHCP
Module 7 : Résolution de noms NetBIOS à l'aide du service WINS

Module 7 : Résolution de noms NetBIOS à l'aide du service WINS
Module 9 : Configuration de l'accès réseau

Module 9 : Configuration de l'accès réseau
Réseaux Privés Virtuels

Réseaux Privés Virtuels
Plan de formation Chapitre 1 : Présentation de SAP

Plan de formation Chapitre 1 : Présentation de SAP
simulateur de réseau de machines UML connectées par WiFi mode ad-hoc

simulateur de réseau de machines UML connectées par WiFi mode ad-hoc
Cours Présenté par …………..

Cours Présenté par …………..
Fluke Networks NetWork Time Machine. Évolutions de loffre NTM Service Technique 2.

Fluke Networks NetWork Time Machine. Évolutions de loffre NTM Service Technique 2.
Initiation au système d’information et aux bases de données

Initiation au système d’information et aux bases de données
Les requêtes La Requête est une méthode pour afficher les enregistrements qui répondent à des conditions spécifiques. La requête est donc un filtre.

Les requêtes La Requête est une méthode pour afficher les enregistrements qui répondent à des conditions spécifiques. La requête est donc un filtre.

Présentations similaires

Annonces Google