L'internet rapide et permanent

Outils pour utilisateurs

Outils du site

Vous êtes ici : L'internet rapide et permanent » SNMP » En savoir un peu plus

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
215snmp:50_plus [le 10/07/2010 à 15:09] prof215snmp:50_plus [le 21/04/2019 à 14:07] (Version actuelle) – [Particularité Debian] prof
Ligne 7: Ligne 7:
 La version 3 apporte des fonctions de sécurité (chiffrement et authentification) qui permettent d'utiliser SNMP dans un environnement « hostile », mais n'est pas implémenté sur tous les matériels. Cette version n'apportant rien de plus pour la compréhension du fonctionnement de SNMP, nous n'en parlerons pas d'avantage. La version 3 apporte des fonctions de sécurité (chiffrement et authentification) qui permettent d'utiliser SNMP dans un environnement « hostile », mais n'est pas implémenté sur tous les matériels. Cette version n'apportant rien de plus pour la compréhension du fonctionnement de SNMP, nous n'en parlerons pas d'avantage.
  
-La version 1 est généralement implémentée sur tous les équipements proposant SNMP, de même que la version 2c, qui ne fait qu'ajouter des compteurs sur 64 bits. Ces deux versions offrent une sécurité tout à fait indigente. Il n'y a ni chiffrement des données, ni authentification (aussi bien de l'agent que du manager). Dans un environnement « hostile » il restera possible de pallier cet inconvénient par l'usage de tunnels chiffrés, de vlans etc. Voyons tout de même ce que proposent les versions 1 et 2 en termes de restrictions d'accès.+La version 1 est généralement implémentée sur tous les équipements proposant SNMP, de même que la version 2c, qui ne fait qu'ajouter des compteurs sur 64 bits et une commande supplémentaire : ''GetBulk-Request''. Cette nouvelle commande donne le même résultat que la commande ''Get-next-request'', mais de façon plus efficace. Nous verrons cela plus loin dans les analyses de trames. 
 + 
 +Ces deux versions offrent une sécurité tout à fait indigente. Il n'y a ni chiffrement des données, ni authentification (aussi bien de l'agent que du manager). Dans un environnement « hostile » il restera possible de pallier cet inconvénient par l'usage de tunnels chiffrés, de vlans etc. Voyons tout de même ce que proposent les versions 1 et 2 en termes de restrictions d'accès. 
 ==== Les communautés et leurs privilèges ==== ==== Les communautés et leurs privilèges ====
  
Ligne 89: Ligne 92:
 Veut dire qu'il existe deux groupes, ''MyROGroup'' et ''MyRWGroup'' : Veut dire qu'il existe deux groupes, ''MyROGroup'' et ''MyRWGroup'' :
   * ''MyROGroup'' peut lire dans la vue ''all'' mais ne peut y écrire et ce, en utilisant aussi bien les protocoles v1 que v2c ;   * ''MyROGroup'' peut lire dans la vue ''all'' mais ne peut y écrire et ce, en utilisant aussi bien les protocoles v1 que v2c ;
-  * ''MyRWGroup'' peut aussi bien lire qu'écrire dans la vue ''all'' aussi vien en v1 qu'en v2c.+  * ''MyRWGroup'' peut aussi bien lire qu'écrire dans la vue ''all'' aussi bien en v1 qu'en v2c.
 == Le « com2sec » == == Le « com2sec » ==
 C'est ici que l'on recolle tous les morceaux, en ajoutant en prime les communautés. De la forme : C'est ici que l'on recolle tous les morceaux, en ajoutant en prime les communautés. De la forme :
Ligne 134: Ligne 137:
 SNMPDCOMPAT=yes SNMPDCOMPAT=yes
 </pre></html> </pre></html>
-Un simple ''man snmpd'' nous fera facilement (une fois n'est pas coutume) qu'il suffit d'enlever l'adresse locale dans la ligne d'options pour que ''snmpd'' écoute sur toutes les interfaces. Notez que si nous avons deux interfaces, dont par exemple une attachée à un vlan (un vlan pourquoi pas réservé à l'administration des équipements), nous pouvons forcer ''snmpd'' à n'écouter que sur cette interface, ce qui permettrait de sécuriser quelque peu le dispositif.+Un simple ''man snmpd'' nous indiquera clairement (une fois n'est pas coutume) qu'il suffit d'enlever l'adresse locale dans la ligne d'options pour que ''snmpd'' écoute sur toutes les interfaces. Notez que si nous avons deux interfaces, dont par exemple une attachée à un vlan (un vlan pourquoi pas réservé à l'administration des équipements), nous pouvons forcer ''snmpd'' à n'écouter que sur cette interface, ce qui permettrait de sécuriser quelque peu le dispositif.
  
 Après modification de cette ligne et redémarrage du service, nous pouvons constater que : Après modification de cette ligne et redémarrage du service, nous pouvons constater que :
Ligne 179: Ligne 182:
     - obtenir les informations de la branche ''.iso.org.dod.internet.mgmt.mib-2.interfaces'' s'il dispose de l'adresse 192.168.1.25 ?     - obtenir les informations de la branche ''.iso.org.dod.internet.mgmt.mib-2.interfaces'' s'il dispose de l'adresse 192.168.1.25 ?
     - obtenir les informations de la branche ''.iso.org.dod.internet.mgmt.mib-2.interfaces'' s'il dispose de l'adresse 192.168.0.25 ?     - obtenir les informations de la branche ''.iso.org.dod.internet.mgmt.mib-2.interfaces'' s'il dispose de l'adresse 192.168.0.25 ?
-  - Quelqu'un se déclarant de la communauté ''proprio'' depuis l'adresse IP 192.168.0.17+  - Quelqu'un se déclarant de la communauté ''admin'' depuis l'adresse IP 192.168.0.17
     - pourra-t-il obtenir les informations de la branche ''.1.3.6.1.2.1.2'' ?     - pourra-t-il obtenir les informations de la branche ''.1.3.6.1.2.1.2'' ?
     - pourra-t-il modifier une valeur accessible en écriture (SNMPv2-MIB::sysLocation par exemple) ?     - pourra-t-il modifier une valeur accessible en écriture (SNMPv2-MIB::sysLocation par exemple) ?
Ligne 185: Ligne 188:
 Réponses toujours en dernière page. Réponses toujours en dernière page.
  
-agent snmp en 192.168.0.112 
- 
-poste client en 172.16.254.20 
-<html><pre class="code"> 
-venus:~# snmpwalk -c public -v 2c 192.168.0.112 .1 
-SNMPv2-MIB::sysDescr.0 = STRING: Linux lucid-snmp 2.6.32-23-generic #37-Ubuntu SMP Fri Jun 11 07:54:58 UTC 2010 i686 
-SNMPv2-MIB::sysDescr.0 = No more variables left in this MIB View (It is past the end of the MIB tree) 
-venus:~# snmpwalk -c private -v 2c 192.168.0.112 .1 
-Timeout: No Response from 192.168.0.112 
-</pre></html> 
- 
- 
-poste client en 192.168.0.95 
- 
-# snmpwalk -c public -v 2c 192.168.0.112 .1 
-SNMPv2-MIB::sysDescr.0 = STRING: Linux lucid-snmp 2.6.32-23-generic #37-Ubuntu SMP Fri Jun 11 07:54:58 UTC 2010 i686 
-SNMPv2-MIB::sysDescr.0 = No more variables left in this MIB View (It is past the end of the MIB tree) 
- 
-# snmpwalk -c private -v 2c 192.168.0.112 .1 
-SNMPv2-MIB::sysDescr.0 = STRING: Linux lucid-snmp 2.6.32-23-generic #37-Ubuntu SMP Fri Jun 11 07:54:58 UTC 2010 i686 
-SNMPv2-MIB::sysObjectID.0 = OID: NET-SNMP-MIB::netSnmpAgentOIDs.10 
-DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (215546) 0:35:55.46 
-SNMPv2-MIB::sysContact.0 = STRING: Root <root@lucid-virt.nain-t.net> 
-SNMPv2-MIB::sysName.0 = STRING: lucid-snmp 
-SNMPv2-MIB::sysLocation.0 = STRING: Monde virtuel 
-SNMPv2-MIB::sysORLastChange.0 = Timeticks: (0) 0:00:00.00 
-SNMPv2-MIB::sysORID.1 = OID: SNMP-FRAMEWORK-MIB::snmpFrameworkMIBCompliance 
-SNMPv2-MIB::sysORID.2 = OID: SNMP-MPD-MIB::snmpMPDCompliance 
-SNMPv2-MIB::sysORID.3 = OID: SNMP-USER-BASED-SM-MIB::usmMIBCompliance 
-SNMPv2-MIB::sysORID.4 = OID: SNMPv2-MIB::snmpMIB 
-SNMPv2-MIB::sysORID.5 = OID: TCP-MIB::tcpMIB 
-SNMPv2-MIB::sysORID.6 = OID: IP-MIB::ip 
-SNMPv2-MIB::sysORID.7 = OID: UDP-MIB::udpMIB 
-SNMPv2-MIB::sysORID.8 = OID: SNMP-VIEW-BASED-ACM-MIB::vacmBasicGroup 
-SNMPv2-MIB::sysORDescr.1 = STRING: The SNMP Management Architecture MIB. 
-SNMPv2-MIB::sysORDescr.2 = STRING: The MIB for Message Processing and Dispatching. 
-SNMPv2-MIB::sysORDescr.3 = STRING: The management information definitions for the SNMP User-based Security Model. 
-SNMPv2-MIB::sysORDescr.4 = STRING: The MIB module for SNMPv2 entities 
-SNMPv2-MIB::sysORDescr.5 = STRING: The MIB module for managing TCP implementations 
-SNMPv2-MIB::sysORDescr.6 = STRING: The MIB module for managing IP and ICMP implementations 
-... 
- 
-# snmpwalk -c admin -v 2c 192.168.0.112 .1  
-Timeout: No Response from 192.168.0.112 
- 
- 
- 
- 
-poste client en 192.168.0.16 
- 
- 
- 
-interrogation du switch 
-  snmpwalk -m /usr/share/mibs/ietf/BRIDGE-MIB -OX -v 2c -c public sw-hp-2.eme.org dot1dTpFdbPort 
En savoir un peu plus: Dernière modification le: 10/07/2010 à 15:09 par prof