Sledovanie Siete
Matej Klement, xklem (at) fi (dot) muni (dot) cz
Obsah
SNMP
O protokole
SNMP (Simple Network Management Protocol) je protokol aplika�nej vrstvy umo��uj�ci
v�menu inform�ci� potrebn�ch pre mana�ment siete medzi sie�ov�mi
zariadeniami. SNMP protokol je s��as� rady protokolov TCP/IP (Transmission
Control Protocol/Internet Protocol) a umo��uje administr�torom
spravova� v�konnos� siete a hlavne n�js� a rie�i�
probl�my, ktor� v sieti vznikli.
Existuj� 3 verzie protokolu SNMP, verzia 1 (SNMPv1), verzia 2 (SNMPv2) a verzia 3 (SNMPv3). Verzie
maj� ve�a spolo�n�, ale nov�ia verzia obsahuje vylep�enia oproti
predch�dzaj�cej verzi� ako dal�ie oper�cie tohoto protokolu.
Z�kladn� prvky SNMP
Siete mene�ovan� pomocou SNMP pozost�vaj� z troch z�kladn�ch komponentov: mene�ovan�
zariadenia, agenti a syst�my na mene�ovanie siete (NMS).
Mene�ovan� zariadenie je sie�ov� uzol, ktor� obsahuje SNMP agenta a je zapojen�
do mene�ovanej siete. Mene�ovan� zariadenia zbieraj� a ukladaj� inform�cie
a spr�stup�uj� ich pomocou SNMP syst�mom NMS. Mene�ovan� zariadenia,
niekedy volan� aj sie�ov� prvky, mo�u by� routre, pr�stupov� servery,
switche, bridge, huby, po��ta�e v sieti, tla�iarne
a in�...
Agent je softwarov� modul spravuj�ci sie� umiestnen� v mene�ovan�ch
zariadeniach. Tento modul preklad� inform�cie o syst�me do form�tu kompatibiln�ho s SNMP.
NMS vykon�va aplik�cie, ktor� monitoruj� a kontroluj� mene�ovan� zariadenia.
Jedno alebo viac syst�mov NMS je potrebn�ch v ka�dej mene�ovanej sieti.
Z�kladn� pr�kazy SNMP
V�etky mene�ovan� zariadneia s��monitorovan� a kontrolovan� cez 4 hlavn� typy pr�kazov protokolu SNMP: read, write, trap a traversal operations.
Pr�kaz read je pou��van� na vy��tavanie hodn�t pou��van�ch NMS na monitorovanie mene�ovan�ch zariaden�. NMS prever� hodnoty spravovan� na mene�ovan�ch zariadenaich.
Pr�kaz write je pou��van� na kontrolovanie mene�ovan�ch zariaden�. T�mto pr�kazom men� NMS premenn� v mene�ovan�ch zariadeniach.
Pr�kaz trap sa pou��va na vy��tavanie asynchr�nnych spr�v udalost� posielan�ch NMS, �o znamen�, �e po nastan� nejakej udalosti sa po�le trap pr�kaz NMS.
Traversal operations s� pou��van� NMS syst�mami k ur�eniu, ktor� veli�iny dan� zariadenie podporuje a k sekven�n�mu z�skavaniu premenn�ch tabuliek ako napr�klad smerovacie tabu�ky.
SNMP Mene�ovan� informa�n� z�klad�a
Mene�ovan� informa�n� z�klad�a (MIB) je kolekcia inform�ci� usporiadan�ch hierarchicky. Do MIB je pristupovan� pomocou protokolov spravuj�cich sie�, napr. SNMP. Tie sa skladaj� z mene�ovan�ch objektov a s� rozpozn�vane pomocou objektov�ch identifik�torov.
Mene�ovan� objekt (niekedy naz�van� aj MIB objekt , objekt alebo MIB) je jedna zo �pecifick�ch charakterist�k mene�ovan�ch zariaden�. Mene�ovan� objekty sa skladaj� z jedn�ho alebo viac in�tanci� objektu, ktor� s� hlavne premenn�.
Existuj� 2 typy mene�ovan�ch objektov: skal�rne a tabu�kov�. Skal�rne objekty definuj� jednu in�tanciu objektu. Tabu�kov� objekty definuj� nieko�ko s�visiacich in�tanci� objektov, ktor� s� zoskupene� v MIB tabu�ke.
Identifik�tor objektu (Objekt ID) definuje jedine�n� mene�ovan� objekt v MIB hierarchii. MIB hierarchia m��e by� zobrazen� ako strom s bezmenn�jm kore�om, ktor�ho listy s� priraden� jednotliv�m �tandardom spojen�ch s organiz�ciami.
Pr�klad mene�ovan�ho objektu je atInput, ktor� je skal�rn� objekt obsahuj�ci jednu in�tanciu, jeho hodnot indikuje mno�stvo prijat�ch paketov AppleTalk na routri.
Najvrchnej�� objekt MIB patr� do roznej skupiny �tandardu, pri�om spodnej�ie �rovene predstavuj� ID objektov umiestenen�ch jednotliv�mi organiz�ciami.
V�robcovia m��u definova� vlastn� vetvy pre ich vlastn� produkty. MIB ktor� nebol �tandardizovan� je ve�inou umiesten� v experiment�lnom kon�ry.
Objekt atInput m��e by� identifikovan� pomocou mena objektu - iso.identified-organization.dod.internet.private.enterprise.cisco.temporaryvariables.AppleTalk.atInput
Alebo popisova�om 1.3.6.1.4.1.9.3.3.1.
Nasleduj�ci obr�zok uv�dza pr�klad MIB stromu.
SNMP a reprezent�cia d�t
SNMP sa mus� prisp�sobi� a upravi� pr�padn� nezhody medzi mene�ovan�mi zariadeniami. R�zne po��ta�e pou��vaj� r�zne techniky reprezent�cie d�t, ktor� znehodnocuj�� schopnost SNMP na v�menu d�t medzi mene�ovan�mi zariadeniami.
SNMP pou��va Abstract Syntax Notation One (ASN.1) pre zabezpe�enie komunik�cie medzi r�znorod�mi syst�mami.
SNMP Verzia 1
SNMP verzia 1
(SNMPv1) je prv� implement�cia SNMP protokolu. Je vysvetlen� v Request For
Comments (RFC) 1157 a pracuje v medziach �pecifik�cie �trukt�ra
Mene�ovan�ch Inform�ci� (SMI). SNMPv1 funguje nad protokolmi UDP, IP, CLNS (OSI
Connectionles Network Service), DDP (AppleTalk Datagram-Delivery Protocol)
a IPX.
SNMPv1 a SMI
�trukt�ra Mene�ovan�ch Inform�ci� (SMI) definuje pravidl� pre popisovanie mene�ovan�ch
inform�ci� pou��vaj�c Abstract Syntax Notation One (ASN.1) SNMPv1 SMI je
definovan� v RFC 1155, ktor� tvor� tri k���ov�
�pecifik�cie:� ASN.1 D�tov� typy,
SMI-�pecifick� d�tov� typy a SNMP MIB tabu�ky.
SNMPv1 a D�tov� typy ASN.1
SNMPv1 SMI �pecifikuje, �e v�etky mene�ovan� objekty su pop�sovan� ur�itou podmno�inu
z d�tov�ch typov ASN.1. Tri d�tov� typy s� vy�adovan�: meno, syntax
a k�dovanie. Meno sl��i ako identifik�tor objektu (Object ID). Syntax definuje
d�tov� typ objektu (String, Integer..).
SNMPv1 a SMI-�pecifick� D�tov� typy
SNMPv1 SMI �pecifikuje pou�itie mno�stva d�tov�ch typov, ktor� s� rozdelen� do dvoch
kateg�ri�: jednoduch� d�tov� typy a d�tov� typy aplik�ci�.
SNMP MIB Tabu�ky
SNMPv1 SMI defunuje vysoko �trukturovan� tabu�ky, ktor� s� pou��van� na zoskupovanie
in�tanci� tabu�kov�ch objektov (objekt, ktor� obasahuje viac premenn�ch).
Tabu�ky sa skladaju z nula alebo viac riadkov, ktor� s� indexovan�
sp�sobom, ktor� umo��uje� SNMP ��ta� alebo meni� cel� riadok jedin�m pr�kazom Get, GetNext
alebo Set .
SNMPv1 Oper�cie protokolu
SNMP je jednoduch� request/response protokol. NMS po�le po�iadavku a mene�ovan� zariadenie
po�le odpove�. Toto spr�vanie je implementovan� pou�it�m 4 protokolov�ch
operci�: Get, GetNext, Set a Trap. Get je pou��van� NMS na ��tanie hodnoty jedn�ho alebo
viacer�ch in�tanci� objektov od agenta. Ak agent nem��e poskytn�� hodnoty
pre v�etky in�tancie objektov v zozname, neposiela �iadne hodnoty.
GetNext je pou��van� na pre��tanie
hodnoty �al�ej in�tancie objektu v tabu�ke alebo v zozname
vn�tri agenta. Set nastav� hodnotu in�tancie. Trap sa pou��va na
asynchr�nne informovanie NMS o d�le�it�ch udalostiach.
SNMP Verzia 2
SNMP verzia 2 (SNMPv2) je vylep�en� p�vodn� verzia, ktor� pracuje v medziach �pecifik�cie SMI a
poskytuje mno�stvo vylep�en� oproti SNMPv1 zahr�uj�c dal�ie oper�cie protokolu.
SNMPv2 SMI prid�va a vylep�uje niektor� SNMPv1 d�tov� typy zahr�uj�c bitov�
re�azce, sie�ov� adresy a po��tadl�. Bitov� re�azce s�
definovan� iba v SNMPv2 a obsahuj� 0 alebo viac pomenovan�ch bitov
ktor� �pecifikuj� hodnotu. Sie�ov� adresy reprezentuj� adresu
z niektorej protokolovej rodiny. SNMPv1 podporovalo iba 32-bitov� adresy.
Po��tadla s� kladn� ��sla, ktor� rast� pokia� nedosiahnu maximum
a potom spadn� na nulu. SNMPv1 obsahovalo iba 32-bitov� po��tadl�,
SNMPv2 obsahuje i 64 bitov�.
SNMPv2 Oper�cie protokolu
Oper�cie Get, GetNext a Set s� rovnak� ako v SNMPv1.
SNMPv2 prid�va a upravuje niektor� oper�cie. Napr. Trap sa pou��va na rovnak�
��el ako v SNMPv1 ale m� nov� form�t spr�vy a je navrhnut� na
nahradenie SNMPv1 Trap.
SNMPv2 tie� definuje 2 nov� oper�cie: GetBulk a Inform.
GetBulk je pou��van� NMS na vhodn� pre��tanie ve�k�ho
bloku d�t ako napr. nieko�ko riadkov v tabu�ke. Inform
umo�n� jedn�mu NMS posla� inform�cie druh�mu NMS a pre
vyzdvihnutie odpovede.
Bezpe�nos� SNMP
SNMPv1/v2 neobsahuje �iadne bezpe�nostn� provky, �o sp�sobuje zranite�nos� vo
ve�kej �k�le hrozieb. Preto�e SNMP neimplementuje autentifik�ciu,
ve�a v�robcov neimplementuje oper�ciu Set,
�i�e redukuj� SNMP iba na monitorovacie ��ely.
Kompatibilita SNMP
SNMPv2 je nekompatibiln� s SNMPv1 v 2 kl��ov�ch oblastiach: Form�t spr�vy
a Protocol data unit (PDU). SNMPv2 spr�vy pou��vaj� in� hlavi�ku
a PDU ako SNMPv1. A taktie� SNMPv2 pou��va 2 spr�vy, ktor� sa
v SNMPv1 nenach�dzauj�. Existuj� dva typy koexistencie SNMPv1/v2 na jednej
sieti: proxy agent a bilingu�lne NMS.
Proxy agent preklad� spr�vy pre SNMPv1 zariadenia a bilingualne NMS zase zist� �i
dan� zriadenie podporuje SNMPv2 ak nie tak pou��va SNMPv1.
SNMPv3
Hlavn� vylep�enie SNMPv3 oproti predch�dzaj�cim verzi�m je, �e u� obsahuje nieko�ko �rovn�
bezpe�nosti, ktor� umo��uj� enkryptovanie alebo pr�stup k d�tam na
z�klade u�ivate�ov. Jedna z t�chto �rovn� je User-based Security
Model (USM), ktor� poskytuje Autentifikovan� i S�kromn�
(enkryptovan�)� SNMP spr�vy. �al�ia v�hoda je View-based Access Control Model (VACM) poskytuj�ci mo�nos� limitovania
pr�stupu k rozdielnym� MIB objektom na z�klade pr�v pridelen�ch jednotliv�m u�ivate�om.
SNMPv3 pou��va SMI protokol verzie 2. Sp�sob koexistencie s predch�dzaj�cimi verziami je
rovnak�, ako pri SNMPv2 s verziou 1.
MIB-2
MIB-2 obsahuje 11 hlavn�ch skup�n, z ktor�ch je 9 nepou�it�, lebo tento projekt bol
opusten�(CMOT). MIB-2 je sp�tne kompatibiln� s MIB, obsahuje vylep�en�
podporu pre viacprotokolov� entity a bol "vy�isten�" pre lep�iu
jasnos� a �itate�nos�. Bol pridan� mark "deprecated"
pre objekty, ktor� hovor� o tom �o mus� by� podporovan� ale
pravdepodobne v najbli��ej verzii bude odstr�nen�.
SNMP software
Net-SNMP (UCD-SNMP) - obsahuje podporu agenta ale
i mene�ovanie a monitorovanie SNMP siete (NMS), �alej obsahuje grafick� MIB prehliada�, konzolov� pr�kazy Get,
GetNext, Set a dal�ie.
CMU SNMP - bal�k kni�n�c a n�strojov pre pr�kazov� riadok s TCL / TK interfaceom
MRTG - program na grafick� zobrazenie hlavne SNMP inform�ci� pomocout internetov�ho prehliada�a..
HP OpenView (HPOV) - mene�uje a monitoruje SNMP siete.
CiscoWorks 2000 Resource Manager Essentials - umo�nuje mene�ovanie a monitorovanie hlavne CISCO siet�
DMH Advanced SNMP-Agent - agent nap�san� v Ansi-C, �ahko implementovateln� na r�zne syst�my a platformy, podporuj�ci SNMPv3. je implementovan� do switchov, routrov ...
Tkined - sie�ov� editor, grafick� prehliada� MIB z�znamov a inform�ci� o sieti nap�san� hlavne pomocou scotty
Nagios - komplexn� monitor siete zahr�uj�ci i SNMP protokol ovl�dan� pomocou internetov�ho prehliada�a, umo�nuje pr�davn� moduly pre notifik�ciu o zlihaniach na mobiln� telef�ny / pagere a in�.
Konfigur�cia Agenta Net-SNMP
Aby �lovek
vedel, kde ma v�bec hlada�/vytvori� konfigura�n� s�bor by mal nap�sa�
snmpd -Dread_config -H 2>&1 | grep "config path" | sort -u
a potom by bolo zisti� �i u� nejak� existuje a kde
snmpd -Dread_config -H 2>&1 | grep "Reading" | sort �u
ak �iadny neexistuje ho vytvor� , ak je s�bor zle okomentovan�
snmpconf -R FILENAME -a -f snmpd.conf
okomentuje conf subor a potom je mo�n� u� pou��va� manu�lov� str�nky, pre zistenie dostupn�ch skup�n �treba nap�sa�
snmpconf -G
potom sa skupina nakonfiguruje cez
snmpconf -r none -g basic_setup
takto sa d� nakonfigurova� SNMP.
Pre pridanie u�ivate�a treba :)
man snmpusm
alebo pre nastavenie VACM
man snmpd.conf
Pou�it� literat�ra
RFC 1157
RFC 1902
RFC 3410
RFC 1213
http://www.cisco.com/univercd/cc/td/doc/cisintwk/ito_doc/snmp.htm
http://www.simple-times.org/pub/simple-times/issues/5-1.html