Concept d’administration Que signifie « administrer, gérer un réseau d’entreprise » ? Quels sont les éléments administrables ? Switch, routeurs, Stations, serveurs, Serveurs VPN, pare-feux Onduleurs, PABX, appareillages divers… Quels sont les paramètres sensibles ? (explorons le réseau d’entreprise) De quelles façons recevoir l’information ? Directement en accédant à l’équipement Log du système, des applications de surveillance réseau Historique graphique (jour, semaine, mois…) Par alertes/alarmes directement générées par l’équipement Utilité de personnaliser l’alarme (visuelle, sonore, SMS, mail…) Actions à mener à partir des informations reçues Procédures simples à suivre par le personnel non spécialisé Cas sensibles nécessitant une intervention du spécialiste Tenir à jour un cahier de bord détaillant problèmes survenus Objectives: Why we need network management in modern networks. Cours DESS Luminy 2004

Concept d’administration Réseau d’entreprise switches Transfix Internet onduleur routeurs Application D’administration Importance de la Carte graphique Du réseau WS Stations utilisateurs serveurs Cours DESS Luminy 2004

Concept d’administration, MRTG Statistiques /jour Statistiques /semaine Statistiques /mois Statistiques /an On reviendra sur MRTG plus loin Cours DESS Luminy 2004

Concept d’administration Démarche dans la conception d’une administration de réseau Choix du type de station de supervision (Windows ou UNIX/LINUX) Historique politique de l’entreprise Choix du mode de supervision Clé en main du constructeur Logiciel graphique élaboré indépendant des constructeur Développements logiciels maison (C, java, perl/python enrichis avec serveurs http, bases de données) adapté à la gestion des connexions, des prises bureau… Combinaison des différentes approches Dans tous les cas, prendre en compte taille du réseau, ressources humaines disponibles, coûts engagés Sortir l’information pertinente de la masse des données Gestion des remontées d’alarmes (aspect fondamental) Choix du protocole de gestion (OSI, TCP/IP, Constructeur …?) Cours DESS Luminy 2004

Administration réseau L ’administration des composants réseau est ancienne, prise en charge par les constructeurs jusqu ’à la fin des années 80 L ’environnement multi-constructeur imposait de travailler dans un cadre standard, admis par tous Obstacles : Les constructeurs avaient beaucoup investi dans leurs outils et cultivaient une clientèle captive Le standard officiel des réseaux (OSI) avait beaucoup déçu Utilisateurs et constructeurs s ’interrogeaient sur l ’avenir des protocoles (OSI, TCP/IP, NOVELL, SNA …..??) Le déblocage : montée en charge irrésistible de TCP/IP (fin 80), accélérée par la naissance du WEB (TCP/IP s ’impose progressivement ) Cours DESS Luminy 2004

Avant snmp ? Temps écoulé depuis le dernier redémarrage ?? Application Compaq 31245 s, sur 32 bit, big indian Compaq cisco 31245 34 1/100 s, sur 32 bit, little indian Application cisco hp 312454 s, sur 64 bit, big indian Application hp 3128 1/10s, sur 64 bit, big indian Application ibm Cours DESS Luminy 2004 ibm

Situation pre-snmp Ce qui est acquis fin des années 80 Plus grand monde ne croit dans le standard officiel des réseaux (OSI) trop lourd, trop lent à se mettre en place Toutes les architectures réseau (SNA, Novell, Microsoft..) ont intégré tcp/ip, ce qui permet de communiquer entre systèmes informatiques l ’IETF a développé un outil pour gérer les routeurs de l ’Internet qui connaît une croissance exponentielle Cet outil (SGMP) est tout à fait apte à administrer tout composant réseau ou système Cet outil s ’inspire du développement de l ’OSI dans le domaine de l ’administration Cours DESS Luminy 2004

SNMP, administrer de façon centralisée ? Comment administrer de la même façon un hub, un swich, une station, etc… quelque soit le type de matériel quelque soit le constructeur ? Charge CPU ? Charge CPU = 75% Dernier reboot ? 23 jours 2h 5mn 8s Alarme !!!! Disque plein Cours DESS Luminy 2004

Ce qu'implique une administration réseau De quoi doit disposer la fonction « gestionnaire » pour dialoguer avec un équipt ? Que faut il comme intelligence embarquée ? Temps depuis Dernier reboot ? 23 jours 2h 5mn 8s Comment nommer, cataloguer, repérer la variable « temps de fonctionnement » ? (de façon officielle) ? Quelle unité de temps ? Cours DESS Luminy 2004

Espace de nommage iso-ccitt L ’espace de nommage de l ’ISO était une bonne solution pour ranger les variables (ou objets) accessibles dans l ’équipement Ainsi : tout objet de la « Mib » sera repéré par un point dans cet espace et sera nommé par son parcours complet dans l ’arbre, soit 1.3.6.1.2.1…….. R o o t CCITT ISO Joint iso-ccitt 1 2 Organisations 1 2 3 1 2 3 4 5 6 DoD Internet 1 1 2 3 4 5 6 Cet objet « sysUpTime » (temps écoulé depuis le dernier reboot) est représenté par 1.3.6.1.2.1.1.3 sysUpTime apparaitra sous cette forme dans les opérations snmp Entrée constructeurs 1 1 1 Cisco, ibm... Les 7 objets du groupe system (sysDescr, sysObjectID, sysUpTime….) Cours DESS Luminy 2004

snmp et tcp/ip Tcp/ip : fonction client snmp : gestionnaire Commandes de lecture : get-request (oid de la variable ) response (oid de la variable = ….) Depuis quand ce switch a-t-il redémarré ? sysUpTime 1.3.6.1.2.1.1.3 ? 1.3.6.1.2.1.1.3 = 26543287 1/100 sec Tcp/ip : serveur snmp : agent Tcp/ip : fonction client snmp : gestionnaire Cours DESS Luminy 2004

Exemple d’objets scalaires : Le groupe System (un peu d'ASN.1) m i b – 2 O B J E C T I D N F R : = { g t 1 } - M s y e o n a c Y P S A X p l r ( Z . 5 ) d w U 4 3 6 j L DoD Status mandatory means that anything which is MIB-II compliant, and to which the object is relevant, must have those objects defined. Mécanisme pére-fils : sysName fils de system Les Mibs sont écrites dans un langage de description abstraite ASN.1 : Abstact Syntax Notation number 1 (à lecture humaine, ce n ’est pas un langage compilé) Cours DESS Luminy 2004

Opérations dans snmp SMIv1 RFC1155 + RFC1212 set_request get_request Network- management database (Mibs) Management information base (MIB) rfc1213 Application d’administration réseau set_request get_request get_response Trap Station d’administration Agent (équipement) SNMP protocol RFC1157 set_request : commande d ’écriture (positionnement d ’une variable) get_request : commande de lecture -> demande de la valeur de cette variable Trap : émission spontanée d ’une alerte ou alarme de l ’agent vers un gestionnaire Cours DESS Luminy 2004

communauté, sécurité insuffisante Mib restreinte agent : Application de gestion MIBs Gestionnaire Agent Messages snmp Interrogations : comment assurer la sécurisation des échanges ? Le message snmp contient une chaîne de caractères « la communauté », partagée entre agent et gestionnaire (circule malheureusement en clair sur le réseau) C ’est la faiblesse de snmpv1, pris en compte plus tard Cours DESS Luminy 2004

Conclusion : évolutions récentes de snmp : snmpv2c, snmpv3 La « communauté », seule protection dans les échanges est insuffisante SNMP devait rapidement évoluer vers une version sécurisée snmpv2 devait remplacer snmpv1 dès 1994… Une vraie sécurisation implique des mécanisme d ’authentification, de cryptage éventuel, et aussi de contrôle de timing Un développement trop hâtif a conduit à un échec : pas de gestion des clés, protocole trop lourd… rejet de la communauté snmp Une solution d ’attente snmpv2c, prenant en compte des améliorations de protocole a permis d ’attendre snmpv3, comportant une vraie sécurité Cette version, seulement achevée début 2000, peine à se diffuser Cours DESS Luminy 2004