Tutoriel : Mise en place d`une administration

Windows 2008 supervisé
Agent snmp actif
(serveur)
SNMP
Objectif: Découvrir le rôle du protocole SNMP dans l'administration d'un réseau.
Condition : Le Tp est réalisé seul ou en binôme.
(Il faut 2 postes : windows 2008 + w7 (console) (ou 2 postes 2008)
La console d’administration supervisera le serveur 2008
Partie1: Introduction au protocole SNMP
SNMP utilise le modèle client-serveur où le client est représenté par la station d'administration
qui interroge des serveurs représentés par les agents SNMP implantés sur les nœuds
administrables.
Depuis une station d'administration, on peut alors interroger chaque nœud manageable du réseau,
prendre connaissance de son état, consulter les informations (nombre d'octets reçus ou émis...),
configurer certaines caractéristiques (interdire l'emploi de tel ou tel port ), etc.
Windows 2008 supervisé
Agent snmp actif
(serveur)
Console de supervision
(client)
Windows 2008 supervisé
Agent snmp actif
(serveur)
Le protocole SNMP (Simple Network Management Protocol) permet de contrôler à distance l'état des
principaux constituants du réseau.
Sur chaque composant du réseau qui peut être administré - MN (Managed Node) ou nœud manageable (station, serveur, imprimante réseau, concentrateur, commutateur, routeur, onduleur,  ), on installe un
agent SNMP. Cet agent est un programme qui enregistre en permanence certaines informations
relatives au composant et les stocke dans une base de données : la MIB (Management Information
Base).
Partie 2 : Installation et configuration du service SNMP
Préparation sur le serveur 2008 supervisé
-Vérifier la connexion entre les deux postes (attention aux adresses IP)
-Configurer le service DHCP avec une étendue de 10 adresses, attention aux conflits.
-Activer si nécessaire cette nouvelle étendue (pour la question 10).
sur la console de supervision
Installer iReasoning MIB browser pour collecter les informations d'un agent SNMP.
(site : http://ireasoning.com)
SNMP
1
Installation du service SNMP sur les deux postes
Sous windows 7
Open "Control Panel/Program and Features", click "Turn Window
features on or off", and check SNMP:
Configure SNMP service
Open
"Service/SNMP",
select "Security" tab,
make sure there is at
least one community
name (généralement
: public). If other hosts need to access this SNMP service,
check "Accept SNMP packets from any host".
Sous windows 2008
Afin de faire fonctionner la remonté d’informations SNMP, il
faut que le service SNMP soit démarré. Si il n’est pas
présent, il faut l’installer. Il est déjà préconfiguré sur les
templates VMware Windows 2003 et 2008.
Sous Windows 2008, c’est une fonctionnalité à ajouter et qui ne nécessite pas le CD de windows pour
être installé. Néanmoins, on est obligé de redémarrer le service pour avoir accès aux informations de
configuration.
-Puis clic droit sur service SNMP, Propriétés, Onglet Sécurité,
-Pour les noms des communautés acceptées, bouton Ajouter, nom : public
Accepter les paquets SNMP provenant de n’importe quel hôte.
-Bouton Appliquer et fermer la console Service.
redémarrer le service
SNMP
2
Afficher les données via SNMP et Mib Broswer
Dans cette phase, vous allez employer MibBroswer pour vérifier que l'agent SNMP est bien configuré
pour communiquer avec un gestionnaire SNMP.
Configurer MibBroswer pour obtenir des infos sur le serveur 2008
 Ip de la machine supervisée :
 Communauté :
public
 SNMP
version 2
 OID
.1.3.6.1.2.1.1.1.0  GET + GO
Qu’obtient-on ?
Variable = sysDescr.0
Value = String Hardware:
x86 Family 15 Model 43 Stepping 1 AT/AT COMPATIBLE Software: Windows Version 5.2 (Build 3790 Uniprocessor Free)
L'OID peut-être remplacé par le nom de la variable, donner la commande du a) en remplaçant
l'OID par le nom de la variable : (attention à la casse)
Nom correspondant :
sysDescr.0
Afficher le contenu de l’OID .1.3.6.1.2.1.1.5.0
Qu’obtient-on ?
Name/OID: hrMemorySize.0;
Value (Integer): 2096696
on peut aussi utiliser la MIB pour stocker ses propres informations.
Plus précisément, il existe deux champs de type string qui peuvent être utilisés et interrogés via
SNMP : SysLocation et SysContact
Ces deux champs sont en fait deux clés de registres. Si ces deux clefs sont renseignées on peut
alors obtenir leurs valeurs par une simple requête SNMP
Ouvrez la base de registre avec Regedit, Allez à la clef :
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SNMP\Parameters\RFC1156Agent
Donnez à la clef sysLocation la valeur Chartres
Donnez à la clef sysContact le valeur FulbertAdmin
Appuyez sur F5 pour mettre à jour la base de registre.
Tester avec Mib Broswer sur la machine supervisée les variables, donner l’oid et la valeur de :
sysLocation
sysContact
SNMP
3
Capture des trames SNMP
- lancer une capture de trames sur la carte réseau concernée,
-A partir du poste client, lancer une commande Mib Broswer
-Dans la console du moniteur réseau, Arrêter et afficher la capture.
-Combien de trames SNMP ? :2
-Quelle est la version du protocole SNMP : SNMPv1,
-Quel est le protocole de niveau transport utilisé : UDP
-Quel est le port utilisé par le protocole SNMP:161
version =0
Partie 3 : Parcourir la MIB . Utilisation de getnext et walk
La commande get permet d'obtenir la valeur d'une variable désignée et la commande getnext permet
d'obtenir la valeur de la prochaine variable. Faire les tests avec les commandes suivantes :
- commande Get avec OID .1.3.6.1.2.1.1.1
Résultat :Error:errorStatus=2, errorIndex=1,
-- commande GetNext
Résultat: OK intel64..
la variable n'est pas complètement désignée
avec OID.1.3.6.1.2.1.1.1
-- -- commande GetNext
Résultat: OK
avec OID.1.3
-- commande Walk avec OID.1.3
Résultat : combien d’entrées environ ?
Toutes les variables de la MIB près de 10000 lignes
Quel type d’infos peut-on récupérer ?
-Dans l'arborescence, sélectionner la branche IP selectionner Get SubTree bouton GO
Retrouver l'adresse physique de la carte réseau :
Variable Name/OID: ipAdEntAddr.192.168.1.240; Value (IpAddress): 192.168.1.240
et l’OID : .1.3.6.1.2.1.4.20.1.1
-Dans l'arborescence, sélectionner la branche IP selectionner Get SubTree bouton GO
Retrouver le nombre de datagrammes reçus par l'hôte :
Variable : IP.ipInReceives
et l’OID .1.3.6.1.2.1.4.3.0
-Dans l'arborescence, sélectionner la branche ICMP selectionner Get SubTree bouton GO
Retrouver le nombre de messages ICMP reçus par l'hôte :
Variable icmp.icmpInMsgs
Retester après un ping sur l’hôte
Incrémentation prise en compte
La nature nous a donné deux oreilles et seulement une langue afin de
pouvoir écouter davantage et parler moins.
-+- Zénon D'Elée -+-
SNMP
4
Ecrire grâce à la MIB


Ajouter sur l’hôte supervisé, une communauté SNMPv2 en lecture/écriture appelée private
Modifier les paramètres (Avanced) de MibBroswer pour prendre en compte les possibilités
d’écriture
Modifier avec Mib Broswer (set) sur la machine supervisée les variables avec les valeurs
suivantes :
sysLocation : StCheron
sysContact : ArleAdmin
commentaire :
Partie 4
Configuration de la MIB privée
Rechercher sur le serveur l’OID .1.3.6.1.4.1.311.1.3.1.1.0
N’existe pas
Afin d'exploiter au maximum les possibilités des divers composants des réseaux, les constructeurs
ajoutent souvent des informations spécifiques à tel ou tel agent. Ces informations constituent la MIB
privée et tous les clients ne sont pas capables de lire les MIB privées.
- récupérer les mibs complémentaires
http://www.oidview.com/mibs/311/DHCP-MIB.html
-ajouter DHCP-MIB
Ceci ajoute 19 entrées
Rechercher à nouveau sur le serveur l’OID .1.3.6.1.4.1.311.1.3.1.1.0
parDhcpStartTime
!@#.iso.org.dod.internet.private.enterprises.microsoft.software.dhcp.dhcpPar.parDhcpStartTime
Donne l’heure de démarrage du serveur DHCP
Rechercher sur la console de supervision l’OID .1.3.6.1.4.1.311.1.3.1.1.0
le client n'affiche rien car il n'a pas de service DHCP, le serveur affiche des
informations sur son service DHCP actif.
SNMP
5
-Pour le serveur DHCP, retrouver le nombre d'adresses IP non attribuées
OID :(.1.3.6.1.4.1.311.1.3.2.1.1.3)
variable
private.enterprises.microsoft.software.DHCP.dhcpScope.scopeTable.scopeTableEntry.no
AddFree =10
-Configurer le poste console en client DHCP, lancer ipconfig/renew
-Vérifier le nombre d'IP libres sur le serveur DHCP
résultat :9
-Remettre le poste client en adresse IP fixe (toujours compatible avec le serveur)
Arrêter le service DHCP
Partie 5 : Messages d'alerte de l'agent SNMP : TRAP
On vient de voir que l'agent SNMP peut être sollicité au travers de commandes ou de requêtes SNMP
(get, getnext, walk, set) afin d'obtenir différentes informations de la base de données MIB.
Mais il peut aussi envoyer des messages d'alerte (traps) au Manager sans forcément être sollicité
(vu de la console de supervision, il s’agit du mode passif ).
Alerte sur les tentatives d'accès non autorisées à l'agent SNMP
Configuration du service SNMP sur 2008
service SNMP, Propriétés, Onglet Interruptions,
-Saisir le nom de la communauté : « public » dans la liste déroulante et Ajouter à la liste,
-Pour la destination des interruptions, bouton Ajouter, saisir l'adresse IP de la console
-Bouton Appliquer et fermer la console Service.
Attention au pare-feu !
Configurer Windows pour envoyer des alertes SNMP
Il est possible de configurer Windows pour rediriger des messages d'erreurs de l'observateur
d'événements, sous forme d'alerte SNMP(trap). L'outil utilisé est evntwin.exe, il permet donc de
convertir un événement en interruption SNMP.
Dans cette dernière étape, vous allez configurer le poste supervisé pour envoyer une alerte
SNMP à la console, lorsqu'il détecte un conflit d'adresse IP.
- lancer l'outil evntwin.exe en ligne de commande
-Sélectionner personnalisée dans type de configuration et bouton Modifier,
-Dans la fenêtre sources de l'événement, développer DNS Server /DNS
-Dans la fenêtre de droite, Événements, faire un double clic sur l'événement N°3,
-Dans la description, à quel problème correspond cet événement ?
DNS arrêté
-Bouton Ok pour valider, bouton Appliquer et OK pour fermer le convertisseur d'événement.
Test à partir de la console
-Tools / Trap Receiver (cette fenêtre est en attente d'alerte SNMP)
- Lancer l’analyse de trames
Sur le serveur2008 - arrêter le service DNS
- Sur quel port a été transmise l’alerte ? : 162
- Quelles autres infos peut-on récupérer ? : durée de service ..
Tester d’autres événements :
System\ntfs, événement 3 7, Un utilisateur a atteint son quota sur le volume
Conflit d’adresses IP …
SNMP
6
Notes
Document réalisé à partir d’une idée originale de Daniel Régnier
A voir :
Prévoir d’explorer snmp v3 : authentification
Un bon logiciel de parcours de MIB
http://www.oidview.com/mibbrowser.ht
ml
trame snmp
Evntwin
Trap
SNMP
7
SNMP
8
Simple network management protocol
Simple Network Management Protocol (abrégé SNMP), en français « protocole simple de
gestion de réseau », est un protocole de communication qui permet aux administrateurs réseau
de gérer les équipements du réseau, de superviser et de diagnostiquer des problèmes réseaux et
matériels à distance.
o
Principe [modifier]
Les systèmes de gestion de réseau sont basés sur trois éléments principaux : un superviseur, des
nœuds (ou nodes) et des agents. Dans la terminologie SNMP, le synonyme manager est plus
souvent employé que superviseur. Le superviseur est la console qui permet à l'administrateur
réseau d'exécuter des requêtes de management. Les agents sont des entités qui se trouvent au
niveau de chaque interface, connectant au réseau l'équipement géré (nœud) et permettant de
récupérer des informations sur différents objets.
Switchs, hubs, routeurs et serveurs sont des exemples d'équipements contenant des objets
gérables. Ces objets gérables peuvent être des informations matérielles, des paramètres de
configuration, des statistiques de performance et autres objets qui sont directement liés au
comportement en cours de l'équipement en question. Ces objets sont classés dans une sorte de
base de données arborescente appelée MIB (« Management Information Base »). SNMP permet
le dialogue entre le superviseur et les agents afin de recueillir les objets souhaités dans la MIB.
L'architecture de gestion du réseau proposée par le protocole SNMP est donc fondée sur trois
principaux éléments :

Les équipements gérés (managed devices) sont des éléments du réseau (ponts, switchs, hubs,
routeurs ou serveurs), contenant des « objets de gestion » (managed objects) pouvant être
des informations sur le matériel, des éléments de configuration ou des informations
statistiques ;

Les agents, c'est-à-dire les applications de gestion de réseau résidant dans un périphérique,
sont chargées de transmettre les données locales de gestion du périphérique au format
SNMP ;

Les systèmes de gestion de réseau (network management systems notés NMS), c'est-à-dire les
consoles à travers lesquelles les administrateurs peuvent réaliser des tâches d'administration.
En pratique [modifier]
Concrètement, dans le cadre d'un réseau, SNMP est utilisé :

pour administrer les équipements

pour surveiller le comportement des équipements
Une requête SNMP est un datagramme UDP habituellement à destination du port 161. Les
schémas de sécurité dépendent des versions de SNMP (v1, v2 ou v3). Dans les versions 1 et 2,
une requête SNMP contient un nom appelé communauté, utilisé comme un mot de passe. Sur
de nombreux équipements, la valeur par défaut de communauté est public ou private. Pour des
raisons de sécurité, il convient de modifier cette valeur. Un nom de communauté différent peut
être envisagé pour les droits en lecture et ceux en écriture. Les versions 1 et 2 du protocole
SNMP comportent de nombreuses lacunes de sécurité. C'est pourquoi, les bonnes pratiques
recommandent de n'utiliser que la version 3. Pour les tâches d'administration de serveurs
SNMP
9
sensibles via SNMP (reboot, etc), la version 3 montre tout de même certaines limites en
sécurité (chiffrement plutôt faible).
Un grand nombre de logiciels libres et propriétaires utilisent SNMP pour interroger
régulièrement les équipements et produire des graphes rendant compte de l'évolution des
réseaux ou des systèmes informatiques (NetCrunch 5, MRTG, Cacti, Nagios, Zabbix...).
Le protocole SNMP définit aussi un concept de trap. Une fois défini, si un certain événement
se produit, comme par exemple le dépassement d'un seuil, l'agent envoie un paquet UDP à un
serveur. Ce processus d'alerte est utilisé dans les cas où il est possible de définir simplement un
seuil d'alerte. Les traps SNMP sont envoyés en UDP/162.
SNMP
10