L. ADMINISTRATION D'UN RÉSEAU
L. ADMINISTRATION D'UN RÉSEAU
Compte tenu de la quantité et de la variété des unités présentes dans le réseau, il est très important que l'administrateur puisse visualiser et/ou gérer toutes les entités disparates à partir d'un point unique. Un bon système d'administration doit être capable de fournir des informations d'état sur les différentes entités du réseau et d'exécuter toute action administrative ou corrective jugée nécessaire.
1. Protocole SNMP
SNMP (Simple Network Management Protocol) est le protocole standard de supervision des réseaux TCP/IP, issu de l'initiative du US Department of Defense. Il peut être subdivisé en trois composants majeurs : Architecture, System Information available (MIB), et Access Control.
2. Architecture SNMP
Les systèmes SNMP se composent de managers et d'agents. Le manager SNMP peut demander des informations à l'entité agent en utilisant une structure de commandes très élémentaire. Quand le manager a besoin d'informations en provenance de l'agent, il envoie une commande « get-request ». C'est en fait une demande d'accès à la MIB (Management Information Base) sur la machine agent. À réception de la commande, l'agent vérifie d'abord si l'entité de management a fourni le community string correct et, si oui, répond en fournissant l'information requise.
Les opérations SNMP de base sont :
· Get-Request : le manager demande la valeur de variables de la MIB.
· Get-Next-Request : permet de parcourir la MIB de manière séquentielle.
· Get-Bulk (SNMPv2+) : récupération efficace de grandes quantités de données.
· Set-Request : le manager modifie la valeur d'une variable de la MIB.
· Get-Response : réponse de l'agent aux requêtes Get.
· Trap : message d'événement envoyé par l'agent au manager en cas d'incident.
3. MIB — Management Information Base
La MIB est une définition du type d'information qui doit être rendue disponible par l'unité exécutant le logiciel agent SNMP.
Cette information peut inclure :
· L'état des interfaces réseau (up/down, vitesse, type).
· Le nombre de paquets transmis et reçus, le taux d'erreur.
· Les services disponibles sur l'unité et les connexions établies.
· Le nombre de paquets retransmis (indicateur de congestion ou de qualité de liaison).
· Les informations système (temps de fonctionnement uptime, version logicielle, etc.).
ℹ Champs lecture seule et lecture-écriture
Certains des champs à l'intérieur de la MIB sont du type lecture seule et ne sont là qu'à titre informatif. De manière plus utile, si un manager SNMP fournit le community string correct (Control Community), il aura la possibilité de modifier les valeurs sélectionnées dans la MIB. Cette capacité de modification doit être protégée avec soin pour éviter des modifications non autorisées.
4. Community Strings SNMP
SNMP fournit un mécanisme de sécurité rudimentaire pour contrôler l'accès manager-agent. Une « community string » est spécifiée dans la configuration et accompagne toutes les requêtes.
Il existe trois types de community string :
n Monitor Community : équivalent à l'accès Read-Only sur la MIB agent (lecture des statistiques).
n Control Community : équivalent à l'accès Read-Write sur la MIB agent (modification de la configuration).
n Trap Community : les SNMP Traps sont des messages d'événement transmis vers une machine pour journalisation.
Les community strings peuvent comporter jusqu'à 32 caractères (sensibles à la casse). Par défaut, les équipements utilisent 'public' (read-only) et 'private' (read-write), ce qui constitue une faille de sécurité si elles ne sont pas changées.
⚠ Sécurité SNMP — utiliser SNMPv3
SNMPv1 et SNMPv2c transmettent les community strings en clair sur le réseau, ce qui les rend vulnérables aux écoutes. SNMPv3 (RFC 3411-3418) apporte l'authentification (HMAC-MD5, HMAC-SHA) et le chiffrement des données (DES, AES) ainsi que le contrôle d'accès basé sur les utilisateurs (USM/VACM). SNMPv3 est aujourd'hui le standard de sécurité recommandé pour la supervision réseau.