UNIVERSITE LIBANAISE (Faculté de Génie) UNIVERSITE SAINT-JOSEPH (Faculté d’Ingénierie, ESIB) Sous l’égide de l’Agence des Universités Francophones AUPELF – UREF Diplôme d’Etudes Approfondies Réseaux de Télécommunications Etude de SNMPv3 par Antoine AOUN Soutenu le ?? / 12 / 1998 devant le jury composé de: MM. Samir TOHME Maroun ASMAR Imad MOUGHARBEL Maroun CHAMOUN Mahmoud DOUGHANE Amjad HAJJAR Nicholas ROUHANA président membre membre membre membre membre membre Le Protocole SNMPv3 Remerciements Avant tout, je tiens à remercier Dr Ahmed SEHROUCHNI et Mr Maroun CHAMOUN pour leur temps et leurs conseils précieux qui étaient indispensables, ainsi que toute personne qui m’a soutenu durant toutes les phases de ce projet. Projet DEA Réseaux de Telecom – 1998 1 / 85 Le Protocole SNMPv3 Table des matières I-LA GESTION DES RESEAUX 4 I.1-Le protocole SNMP ..................................................................................................................... 5 II-STRUCTURE OF MANAGEMENT INFORMATION 8 II.1-Les identificateurs d’objets ........................................................................................................ 8 III-MANAGEMENT INFORMATION BASE - MIB 11 III.1-Les classes d’objets ................................................................................................................ 11 III.2-La MIB II ................................................................................................................................ 12 III.3-Le standard RMON ................................................................................................................ 12 IV-LE PROTOCOLE SNMP 14 IV.1-Buts de cette architecture ....................................................................................................... 14 IV.2-Les relations administratives .................................................................................................. 15 IV.3-Résolution de l’ambiguïté dans les MIB ................................................................................. 16 IV.4-Spécification du protocole ...................................................................................................... 16 IV.5-Procédures de traitements ...................................................................................................... 18 IV.6-Les types de PDU ................................................................................................................... 19 IV.6.1-GetRequestPDU .............................................................................................................................. 19 IV.6.2-GetNextRequestPDU....................................................................................................................... 20 IV.6.3-Exemple: ......................................................................................................................................... 20 IV.6.4-GetResponsePDU ............................................................................................................................ 22 IV.6.5-SetRequestPDU ............................................................................................................................... 23 IV.6.6-TrapPDU ......................................................................................................................................... 23 V-LE PROTOCOLE SNMPV2 25 V.1-L’évolution de SNMPv2 ........................................................................................................... 25 V.2-Transport de SNMPv2 ............................................................................................................. 26 V.3-Taille des messages SNMPv2................................................................................................... 26 V.4-Les requêtes SNMPv2 .............................................................................................................. 26 V.4.1-GetBulkRequest PDU: ...................................................................................................................... 26 V.4.2-Exemple 1: ........................................................................................................................................ 27 V.4.3-Exemple 2: ........................................................................................................................................ 28 V.5-Les messages d’erreurs en SNMPv2 ........................................................................................ 29 V.5.1-InformRequest PDU ......................................................................................................................... 30 V.5.2-Report PDU ...................................................................................................................................... 30 V.6-Les protocoles de transport de SNMPv2 .................................................................................. 31 V.6.1-Protocole UDP .................................................................................................................................. 31 V.6.2-Protocole OSI: .................................................................................................................................. 31 V.6.3-Protocole DDP .................................................................................................................................. 31 V.6.4-Protocole Apple Talk ........................................................................................................................ 31 V.6.5-Protocole IPX ................................................................................................................................... 32 V.7-Coexistence entre SNMPv1 et SNMPv2 ................................................................................... 32 V.7.1-Conversion SNMPv2 vers SNMPv1: ................................................................................................ 32 V.7.2-Conversion SNMPv1 vers SNMPv2 ................................................................................................. 32 V.7.3-Transparence de la station de gestion ............................................................................................... 33 VI-LE PROTOCOLE SNMPV3 34 VI.1-Les objectifs de cette architecture: ......................................................................................... 34 VI.2-Les exigences de sécurisations ............................................................................................... 34 VI.3-Les documentations de SNMPv3 ............................................................................................ 36 VI.4-Description du paquet SNMP ................................................................................................. 39 VI.5-Description d’une entité SNMPv3 .......................................................................................... 41 VI.5.1-Moteur SNMP ................................................................................................................................. 42 Distributeur............................................................................................................................................. 42 Traitement des messages ........................................................................................................................ 43 Système de sécurité ................................................................................................................................ 43 Le contrôle d’accès ................................................................................................................................. 44 Projet DEA Réseaux de Telecom – 1998 2 / 85 Le Protocole SNMPv3 Les applications ...................................................................................................................................... 44 Command Generator Applications ......................................................................................................... 45 Command Responder Applications ........................................................................................................ 45 Notification Originator Applications ...................................................................................................... 45 Notification Receiver Applications ........................................................................................................ 45 Proxy Forwarder Applications................................................................................................................ 45 VI.6-Architecture d’une station de gestion SNMPv3 ...................................................................... 47 VI.7-Architecture d’un agent SNMPv3 ........................................................................................... 48 VI.8-Diagrammes de fonctionnement ............................................................................................. 49 Générateur de commande ou Originateur de notification ........................................................................... 49 Application de réponse ............................................................................................................................... 50 VII-LA SECURITE DANS SNMPV3 51 VII.1-LES MENACES ............................................................................................................................ 51 VII.2-SERVICES DE SECURITE .............................................................................................................. 51 Le module d’alignement temporel .................................................................................................. 52 Le protocole d’authentification ...................................................................................................... 52 Le protocole de personnalisation ................................................................................................... 53 Génération d’un message SNMP sécurisé ...................................................................................... 53 Traitement d’un message reçu ........................................................................................................ 55 Les protocoles d’authentification HMAC-MD5-96 et HMAC-SHA-96 .......................................... 56 La localisation des mots de passe ............................................................................................................... 57 Le protocole d’Encryption CBC-DES ........................................................................................................ 58 VIII- DIFFERENTES CONFIGURATIONS D’UN MOTEUR SNMP 61 IX- LES NOUVELLES ARCHITECTURES 64 IX.1 - AgentX : Agent eXtensibility ................................................................................................. 64 IX.2 - Web Management ................................................................................................................. 66 IX.3 - DR Web................................................................................................................................. 72 Introduction ............................................................................................................................................ 72 Sécurité................................................................................................................................................... 73 BRASS ................................................................................................................................................... 73 IX.4 - L’agent EMANATE ............................................................................................................... 75 IX.5 - LATIN : Legacy Adapter to Internet ..................................................................................... 77 IX.6 - Le manager intermédiaire .................................................................................................... 79 IX.7 - L’approche TMN (Telecommunication management Network) de l’ITU ............................. 79 IX.8 - Le modèle d’information CIM .............................................................................................. 83 BIBLIOGRAPHIE Projet DEA Réseaux de Telecom – 1998 86 3 / 85 Le Protocole SNMPv3 I-La gestion des réseaux La gestion du réseau recouvre l’ensemble des activités de surveillance, d’analyse, de contrôle et de planification du fonctionnement des ressources d’un réseau de télécommunications dans le but de fournir des services de télécommunications à des usagers avec un certain niveau de qualité La gestion couvre de nombreuses opérations, telles que l’initialisation des paramètres de configuration du système, statistiques, les diagnostics, la gestion des de gestion alarmes et des erreurs, les leur rapport, la reconfiguration, la gestion des ressources, la sécurité,… Pour arriver à interconnecter deux systèmes de gestion, une norme doit être respectée qu’elle soit le droit ou le fait. Dans les normes de droit, on retrouvera la normalisation provenant de l’ISO, que l’on appelle CMIS/CMIP (Common Management Information Service / Protocol), et celle de l’UIT-T qui porte le nom de TMN (Telecommunication Management Network) ou en français RGT (Réseau de Gestion des Télécommunications). En fait ces deux normes ne sont pas concurrentes, elles sont plutôt complémentaires. La norme de fait la plus utilisée est SNMP (Simple Network Management Protocol) qui provient de l’environnement Internet. Suivant le type de système, les taches de gestion varient et doivent donc être identifiées, et analysées. Des services et des protocoles de gestion sont nécessaires pour gérer les ressources logicielles et matériels d’un réseau. L’identification et la mise en œuvre des taches de gestion sont complexes en raison de la nature distribuée du système. On peut citer les fonctions suivantes: + Démarrage et arrêt du réseau: cette fonction de base est liée à la configuration du réseau et à l’initialisation des paramètres; + Traitement des alarmes: cette fonction est nécessaire à la reprise d’activité suite à une panne (du coupleur, d’une liaison,…) Projet DEA Réseaux de Telecom – 1998 4 / 85 Le Protocole SNMPv3 + Reconfiguration du réseau: Cette fonction est liée à l’ajout ou à la suppression de points d’accès de terminaux. Par exemple, des éléments du réseau doivent être mis hors circuit en cas de mauvais fonctionnement; + Contrôle de la qualité: cette fonction est liée aux techniques de contrôle, aux caractéristiques fonctionnelles du réseau et à la gestion des rapports de changement d’états. Les stations de gestion peuvent être matérielles ou logiciels. Les moniteurs matériels s’occupent des phénomènes rapides; les moniteurs logiciels sont plutôt orientes vers les applications. + Tests et diagnostics: les erreurs du système doivent être détectées. Un message de diagnostic peut être émis pour signaler qu’une erreur s’est produite et qu’un traitement peut avoir lieu. On doit pouvoir mettre un élément du système en état de diagnostic afin de pouvoir exécuter des séquences de tests; + Compte rendu d’alarmes: c’est une fonction destinée à notifier à l’opérateur du système tout mauvais fonctionnement; + Contrôle du réseau: cette fonction est liée à l’allocation et à la désallocation des ressources, et au contrôle de celles-ci. Le système de gestion peut contrôler tous les changements. Il est aussi responsable des allocations de noms, d’adresses et des associations entre elles. I.1-Le protocole SNMP Le protocole simple de gestion de réseaux, SNMP (Simple Network Management Protocol), à été développé par un groupe de travail de l’IETF (Internet Engineering Task Force) dans le cadre de la définition d’un système de gestion des réseaux utilisant les protocoles TCP/IP. SNMP à été approuvé par l’IAB (Internet Activities Board), responsable des spécifications de TCP/IP. Projet DEA Réseaux de Telecom – 1998 5 / 85 Le Protocole SNMPv3 Plusieurs documents définissent ce standard dont: + RFC 1155 SMI (Structure of management Information); + RFC 1156 MIB (Management Information Base); + RFC 1157 Protocole SNMP; + RFC 1158 MIB II (Management Information Base II). Dans ce contexte, trois composants essentiels ont été définis: + Le protocole SNMP, protocole situé au niveau application de l’architecture en couches de TCP/IP, définit la structure formelle des communications; + La base d’informations de gestion: MIB regroupe l’ensemble des variables relatives aux matériels et aux logiciels supportés par le réseau, et définit les objets de gestion dans l’environnement TCP/IP; + Les spécifications de la structure de l’information de gestion: SMI qui définit comment sont représentées, dans la MIB, les informations relatives aux objets de gestion (Les ressources) et comment sont obtenues ces informations. Toutes les stations du réseau possèdent une base de ressources. Une station de gestion NMS (Network Management Station), contient une base principale qui représente toutes les ressources du réseau et les informations de gestion associées. La structure des paquets SNMP est définie en utilisant la syntaxe ASN.1 (Abstract Syntax Notation 1). L’environnement SNMP à été défini comme un protocole destiné à surveiller la performance d’un réseau, détecter et analyser les fautes d’un réseau, et configurer ses éléments. Les systèmes SNMP ont deux éléments clés: + L’agent logiciel qui tourne dans les stations gérées. Ces stations sont généralement des nœuds de réseaux IP qui peuvent être des systèmes hôtes (Stations de travail, serveurs…), des équipements de transmission (multiplexeurs, …), des sondes ou des passerelles. Chaque agent comprend une MIB, une base d’objets gérés et des variables; Projet DEA Réseaux de Telecom – 1998 6 / 85 Le Protocole SNMPv3 + La station de gestion de réseau (Manager), système hôte qui contient le protocole de gestion de réseaux et les applications de gestion. Elle est composée généralement d’un calculateur contenant une console et une base de données représentant tous les périphériques gérés du réseau et toutes les variables MIB de ces agents. Elle permet de récolter et d’analyser les données relatives aux équipements physiques connectés au réseau (Ponts, Routeurs, Hubs) et de les gérer. Il est à noter qu’un agent peut être géré par plusieurs stations centrales. Il existe des agents appelés « proxy agents » qui permettent à un système de gestion SNMP de gérer des nœuds ne supportant pas la suite des protocoles Internet, c’est à dire des nœuds dialoguant avec un protocole propriétaire ou ISO. Projet DEA Réseaux de Telecom – 1998 7 / 85 Le Protocole SNMPv3 II-Structure of Management Information La SMI (Structure and Identification of Management Information for TCP/IP Based Internet) définit comment chaque élément d’information concernant les périphériques gérés et les agents est représenté dans la base d’information de gestion. La syntaxe utilisée est un sous-ensemble de celle définie par la norme ASN.1 (Abstract Syntaxe Notation 1). Chaque type d’objet a un nom, une syntaxe et un codage. Le nom est représenté uniquement comme « OBJECT IDENTIFIER » (Identificateur d’objet), qui est un nom administratif. Seuls quatre types de données sont utilisés: + Integer: type de données qui ne peut prendre que des valeurs entières; + Octet String: suite d’octets pouvant prendre des valeurs entre 0 et 255. + Object Identifier: type de donnée de type ASN.1 + Nul II.1-Les identificateurs d’objets L’identificateur d’objet est une séquence de numéro entier traversant un arbre global et séparé par des points (ex: 1.3.6.1.2.1). Cet arbre est formé d’une racine non numérotée relier à un nombre de branche qui se termine par un nœud identifié et unique. Le nombre minimal de nœud est 3: ISO(1), CCITT(0) et Joint-ISO-CCITT(2). Chaque nœud de l’arbre décrit un identificateur d’objet et peut par suite avoir d’autre nœud. Les feuilles de l’arbre correspondent alors aux instances de l’objet qui sont les variables. Sous le nœud ISO(1), l’ISO a désigné un seul nœud, à utiliser par les organisations nationales ou internationales, nommé ORG(3). Sous ce nœud Projet DEA Réseaux de Telecom – 1998 8 / 85 Le Protocole SNMPv3 on retrouve le DOD(6) (Department Of Defense) associé par la NBS (U.S. National Bureau of Standards) à l’U.S. Department of Defense. Racine ISO(1) CCITT(0) Joint-ISO-CCITT(2) ORG(3) DOD(6) Internet(1) Directory(1) Mgmt(2) Experimental(3) MIB(1) System(1) Interface(2) At(3) IP(4) Private(4) Enterprise(1) ICMP(5) TCP(6) UDP(7) Les identificateurs d’objets de la MIB Sous le DOD(6) on retrouve l’INTERNET(1) géré par l’IAB. Cette branche regroupe 4 nœuds: Directory OBJECT IDENTIFIER::= {internet 1} Mgmt OBJECT IDENTIFIER::= {internet 2} Experimental OBJECT IDENTIFIER::= {internet 3} Private OBJECT IDENTIFIER::= {internet 4} Directory : Qui sera décrit dans le future Mgmt : Il est utilisé pour identifier les objets définit dans les documents officiels de l’IAB. Experimental : Cette branche identifie les objets d’expérimentation Internet. Private : Identifie les objets définit unilatéralement. Projet DEA Réseaux de Telecom – 1998 9 / 85 Le Protocole SNMPv3 Cette dernière branche contient au moins un nœud Enterprises(1). Ce nœud permet aux producteurs de matériels réseaux d’enregistré les modèles de leurs produits. Ainsi si une entreprise veut définir son propre ensemble de variables de gestion, elle enregistrera son numéro d’objet sous le nœud: ISO.ORG.Internet.Private.Enterprise Qui correspond à la racine: 1.3.6.1.4.1 Projet DEA Réseaux de Telecom – 1998 10 / 85 Le Protocole SNMPv3 III-Management Information Base - MIB La MIB (Management Information Base) contient l’ensemble des variables gérées. La MIB définit: + Un jeu de variables qui a trait à la fois au matériel et au logiciel. + Un jeu de points de test et de contrôle qu’un système supportant la gestion SNMP est censée vérifier. La MIB attribue des noms aux éléments selon une hiérarchie d’enregistrements définie par l’ISO pour la nomination des objets réseaux; cela définit une structure dans laquelle les variables ayant une relation logique sont regroupées en tables. Par exemple, les variables concernant la vitesse, le taux d’erreurs et les adresses d’interface de communication sont placées dans une table «interface». Les objets de la MIB sont classés en une structure hiérarchisée de classes d’objets. III.1-Les classes d’objets Le premier niveau de classes d’objets de la MIB (MIB I) comprend les groupes d’objets suivants: + System: pour la gestion du nœud lui-même; + Interfaces: pour les ports et interfaces réseaux; + Address translation: traduction d’adresses IP; + IP: Internet Protocol (Table de routage); + ICMP: Internet Control Message Protocol; + TCP: Transmission Control Protocol; + UDP: User Datagram Protocol; + EGP: Exterior Gateway Protocol . Projet DEA Réseaux de Telecom – 1998 11 / 85 Le Protocole SNMPv3 Suivant le type d’équipements à gérer, seuls certains groupes d’objets peuvent être implémentés. Cette structure propose un grand nombre d’entrées permettant de décrire la majorité des objets réseau, mais certaines sociétés ont défini leur propre MIB. Des entrées propres aux constructeurs ont d’ailleurs été prévues dans cette organisation. III.2-La MIB II Le statut actuel de la MIB est défini dans les RFC 1066 et RFC 1158 (MIB II donne des extensions de la première génération de la MIB). La MIB II comprend ce qui à été défini pour la MIB I en y ajoutant des attributs ou des objets (2 groupes supplémentaires d’objets ont été définis: transmissions et SNMP). La MIB II gère environ 200 variables. III.3-Le standard RMON Une autre version permet d’étendre les possibilités de SNMP: RMON MIB (Remote Monitor Network Management Information Base). Elle permet aux moniteurs distants de contrôler les flux de trafics circulant à travers le réseau (elle est utilisée notamment pour les sondes). Le standard RMON couvre neuf groupes de données: Les statistiques (Par exemples, pour un réseau Ethernet, le taux de collisions); Les historiques qui décrivent le comportement du réseau pendant certaines périodes; Les alarmes; Les données relatives à la gestion des hôtes (enregistrement des hôtes sur le réseau,…); Les données rassemblant les statistiques d’un groupe hôtes possédant en commun un critère relatif à une donnée statistique; Projet DEA Réseaux de Telecom – 1998 12 / 85 Le Protocole SNMPv3 Les matrices de trafic qui contiennent des données relatives aux communications entre groupes d’adresses; Les filtres; Les paquets de contrôle envoyés aux stations de gestion; Les événements générés par les agents. RMON définit des variables relatives au contrôle du trafic sur réseaux Ethernet, Token Ring, FDDI et X25. Projet DEA Réseaux de Telecom – 1998 13 / 85 Le Protocole SNMPv3 IV-Le protocole SNMP Le protocole SNMP décrit le langage que les agents et les stations de gestion (managers) utilisent pour se communiquer. C’est un protocole de type question/réponse asynchrone. Les stations de gestion interrogent les agents pour observer leur fonctionnement et leur envoient des commandes pour les faire exécuter certaines taches. Les agents renvoient les informations requises aux stations de gestion. Certains événements transmission, peuvent déclencher du réseau, tels que des erreurs de des alarmes envoyées aux stations de gestion. Cependant, l’envoi de messages de façon spontanée de l’agent vers le manager est limité. Les managers effectuent une interrogation périodique des agents de manière à vérifier leur état. IV.1-Buts de cette architecture SNMP explicitement minimise le nombre et la complexité des fonctions de gestion à réaliser par l’agent. Ce but implique les 4 points suivant: La réduction du prix du développement du programme de l’agent. L’augmentation du nombre de fonctions de gestion à gérer à distance, permettant ainsi l’usage de l’Internet dans les fonctions de gestions. L’évolution des fonctions de gestion a permis la réduction même l’élimination des restrictions sur les équipements à gérer. La simplification, des modules de traitement, permet aux programmeurs une simplicité dans l’écriture de leur code. Projet DEA Réseaux de Telecom – 1998 14 / 85 Le Protocole SNMPv3 Un autre but de ce protocole, c’est la possibilité d’ajout ou l’extension de module de contrôle ou de surveillance, même de nouveaux modules d’opération et de gestion. Un troisième but de cette architecture, c’est quelle soit la plus possible indépendante de l’architecture et du fonctionnement d’un équipement particulier. IV.2-Les relations administratives L’architecture de SNMP permet de créer des relations administratives entre les entités qui participe dans le protocole. Les entités qui se trouvent dans les stations de gestion et les éléments du réseau qui se communiquent entre eux à travers SNMP sont les entités d’applications. Un agent SNMP avec un nombre quelconque d’entités d’applications est nommé une communauté SNMP. Chaque communauté est identifiée par une chaîne de caractères. Un message SNMP générer par une entité d’application SNMP qui appartient à une communauté identifiée par les composants de la communauté est un message SNMP authentique. Les lois qui identifie un message SNMP appartenant à une communauté s’appelle le schéma d’authentification. Une implémentation authentifié, d’une par une fonction ou qui plusieurs permet l’identification lois, est appelée de message un service d’authentification. Un couple de communauté SNMP avec un profil de communauté est appelé une police d’accès SNMP. La police d’accès représente le profil d’échange supporté par l’agent d’une communauté SNMP avec les autres membres de la même communauté. Toutes les relations administratives entre les entités d’applications SNMP sont définit en fonctions des polices d’accès SNMP. Pour chaque police d’accès, si l’élément du réseau ayant un agent ne supportant pas la même forme de MIB de la communauté spécifié, alors la police d’accès est dite une police d’accès SNMP proxy. Projet DEA Réseaux de Telecom – 1998 15 / 85 Le Protocole SNMPv3 Un agent SNMP associé à une police d’accès proxy est dit agent proxy. Les avantages d’un agent proxy sont: Permet le contrôle et la surveillance des éléments du réseau qui ne sont pas adressante en utilisant les protocoles de gestion et de transport, d’où un agent proxy a une fonction de conversion et d’adaptation protocolaire, permettant ainsi à une station de gestion de contrôlé n’importe quel élément du réseau, même les équipements comme les modems, multiplexeurs et d’autres équipements qui supporte d’autres cadres de gestions. Offre un écran pour les éléments du réseau contre les élaborations des polices de contrôle d’accès. Par exemple, sophistiquer, un agent permettant proxy l’accès peut aux implémenter variables des d’une contrôles MIB à d’accès différentes stations de gestion, sans pourtant augmenter la complexité des éléments du réseau. IV.3-Résolution de l’ambiguïté dans les MIB Comme les opérations d’SNMP sont conceptuellement limiter aux objets d’un élément du réseau, et comme toutes les références aux objets d’une MIB sont identifiés par des noms de variables uniques, alors c’est impossible qu’un appel à une variable définie dans la MIB puisse conclure en une réponse de plusieurs instances du même type. IV.4-Spécification du protocole Le protocole de gestion du réseau est un protocole d’application permettant de lire ou de changer (mettre à jour) les valeurs des variables d’une MIB d’un agent. La communication entre les entités du protocole se fait par des messages, qui sont représenter entièrement et indépendamment par un seul paquet UDP (User Datagram Protocol) utilisant le codage de l’ASN.1 Un message est formé d’un identificateur de version, un nom de communauté et d’un Protocole Data Unit PDU. Projet DEA Réseaux de Telecom – 1998 16 / 85 Le Protocole SNMPv3 Paquet SNMP Version SNMP Communauté PDU La version la plus utilisée est la version 1. Plusieurs versions 2 ont été proposées par des documents de travail, mais malheureusement, aucune d’entre elles n’a jamais été adoptée comme standard. On place la valeur 0 dans le champ version pour SNMPv1, et la valeur 3 pour SNMPv3. La communauté permet de créer des domaines d’administration. Par défaut, la communauté est « PUBLIC ». PDU Variable Binding List PDU Type Request ID PDU Type Error Status : Type Error Index de PDU, Object Name ceci Object Name Value peut être un Value GetRequest, GetResponse,… Type de PDU Nom 0 GetRequest 1 GetNextRequest 2 SetRequest 3 GetResponse 4 Trap Les types de PDU SNMP Request ID : Identificateur de requête, permet de correspondre une requête avec une réponse. Error Status : Type d’erreur, il est utilisé par les réponses à des requêtes. (Peut indiquer une valeur non existante, un accès interdit, un paquet trop long,…) Projet DEA Réseaux de Telecom – 1998 17 / 85 Le Protocole SNMPv3 Error Index : Position de l’erreur, s’il y a une erreur, ce champ indique quelle variable a causé l’erreur. Variable Binding List: Liste des variables, cette liste de variables est composée d’identificateurs et de valeurs. Object Name : Identificateur, c’est une suite de nombres comme décrit dans la MIB. : Valeur, peut être de n’importe quel type. Et correspond Value à la valeur de la variable tel que décrit par l’identificateur. IV.5-Procédures de traitements La génération d’un message SNMP suit les actions suivantes: La construction de la PDU. Ex: GetRequest PDU en objet ASN.1 Passage de cette PDU en ASN.1, avec le nom de la communauté, et l’adresse de transport source et destination, adresse de transport signifie dans le cas de UDP l’adresse IP en question et le numéro de port de UDP. Dans le cas d’un protocole de transport autre qu’UDP, il faut définir une adresse de transport en accord. Le passage est au service qui implémentera le schéma d’authentification désirer. Ce service d’authentification retourne un autre paquet en ASN.1 L’entité protocolaire construit un autre objet en ASN.1 en utilisant le nom de communauté et l’objet ASN.1 résultant du processus avant. Finalement, le paquet est codé en utilisant le codage de base de ASN.1 avant d’être renvoyé vers le service de transport. Projet DEA Réseaux de Telecom – 1998 18 / 85 Le Protocole SNMPv3 De même, les actions nécessaires à la réception d’un message SNMP: Le système fait une analyse du paquet reçu en utilisant le décodage d’ASN.1. Si l’analyse échoue alors le paquet est rejeté et le système revient à l’état d’attente. Puis il vérifie la version du message. Si la version n’est pas la même, il rejette le paquet et, le système s’arrête. L’entité protocolaire passe le nom de communauté et le paquet de donnée trouvé dans le message ASN.1 avant, avec les adresses de transport source et destination, au service qui implémente le schéma d’authentification désiré. Cette entité retourne un autre objet ASN.1 ou signale une fausse authentification. Dans le cas d’une fausse authentification, le protocole note cette erreur, génère un message TrapPDU (probablement) et rejette le paquet et s’arrête. Le protocole fait une analyse de l’objet ASN.1 retrouvé par le schéma d’authentification pour en tirer un objet ASN.1 qui correspond à un PDU en ASN.1. Si l’analyse échoue, il rejette le paquet et s’arrête. Autrement, en utilisant le nom de la communauté, il retrouve le profil, et par suite le PDU est exécuté. Si comme résultat de l’exécution, une réponse doit être retourner, alors l’adresse de la source de transport doit être identique à l’adresse destination du paquet original, et le Request ID doit être le même. IV.6-Les types de PDU IV.6.1-GetRequestPDU Ce message est généré par le protocole pour la recherche d’une entité d’application SNMP. Projet DEA Réseaux de Telecom – 1998 19 / 85 Le Protocole SNMPv3 IV.6.2-GetNextRequestPDU Ce message est généré par le protocole pour la recherche d’une entité d’application SNMP. Normalement ce message est précédé par un GetRequestPDU. Ainsi, à la réception du message GetNextRequestPDU le protocole recherche dans la table des objets de la MIB dans l’ordre lexicographique des noms des objets, l’objet successeur de celui donnée dans le message. IV.6.3-Exemple: Soit la table de routage suivante: La station Destination NextHop Metric 10.0.0.99 89.1.1.42 5 9.1.2.3 99.0.0.3 3 10.0.0.51 89.1.1.42 5 de gestion GETNextRequestPDU, envois contenant vers comme l’agent valeur des SNMP un identificateur message d’objets les noms des variable: GetNextRequest (ipRouteDest, ipRouteNextHop, ipRouteMetric1) La réponse de l’agent: GetResponse ( (ipRouteDest.9.1.2.3 (ipRouteNextHop.9.1.2.3 (ipRouteMetric1.9.1.2.3 = “9.1.2.3”), = “99.0.0.3”), = 3)) La station de gestion continue avec: GetNextRequest ( ipRouteDest.9.1.2.3, ipRouteNextHop.9.1.2.3, ipRouteMetric1.9.1.2.3) L’agent répond par: GetResponse ( (ipRouteDest.10.0.0.51 = “10.0.0.51”), (ipRouteNextHop. 10.0.0.51 = “89.1.1.42”), (ipRouteMetric1. 10.0.0.51 = 5)) La station de gestion continue avec: Projet DEA Réseaux de Telecom – 1998 20 / 85 Le Protocole SNMPv3 GetNextRequest ( Projet DEA Réseaux de Telecom – 1998 ipRouteDest. 10.0.0.51, ipRouteNextHop. 10.0.0.51, ipRouteMetric1. 10.0.0.51) 21 / 85 Le Protocole SNMPv3 L’agent répond par: GetResponse ( (ipRouteDest.10.0.0.99 = “10.0.0.99”), (ipRouteNextHop. 10.0.0.99 = “89.1.1.42”), (ipRouteMetric1. 10.0.0.99 = 5)) La station de gestion continue avec: GetNextRequest ( ipRouteDest. 10.0.0.99, ipRouteNextHop. 10.0.0.99, ipRouteMetric1. 10.0.0.99) L’agent répond par: GetResponse ( (ipRouteDest.9.1.2.3 (ipRouteNextHop.9.1.2.3 (ipRouteMetric1.9.1.2.3 = “9.1.2.3”), = “99.0.0.3”), = 3)) L’agent ayant répondue par ce message, la station de gestion reconnut la fin de la table de routage. IV.6.4-GetResponsePDU Ce message est généré par le protocole seulement après avoir reçu un message GetRequestPDU, GetNextRequestPDU ou SetRequestPDU. Ce message peut contenir parfois des identificateurs d’erreurs, le tableau suivant liste ces erreurs. Valeur Réponses Description 0 No Error Pas d’erreur 1 Too Big Erreur de longueur 2 No Such Name Objet non crée 3 Bad Value Valeur erronée 4 Read Only Pas de permission d’écrire 5 Gen err Erreur d’autorisation Les types de réponses d’erreurs de SNMP Projet DEA Réseaux de Telecom – 1998 22 / 85 Le Protocole SNMPv3 IV.6.5-SetRequestPDU Ce message est utilisé pour changer ou mettre à jour la valeur d’une variable de la MIB. IV.6.6-TrapPDU Ce message est une notification d’un événement qui se passe dans l’agent. Suite les messages Trap supportés par le protocole SNMP. Valeur Description 0 Cold Start 1 Warm Start 2 Link Down 3 Link Up 4 Authentification Failure 5 Egp Neighbor Loss 6 Enterprisespecific Type des messages Trap. Interprétations des messages Trap: ColdStart Trap (0) Un message ColdStart signifie que l’entité protocolaire se réinitialize, ce qui peut changer la configuration actuelle de l’agent ou, les paramètres de l’entité protocolaire. WarmStart Trap (1) Ce message signifie que l’entité protocolaire se réinitialize, sans changer la configuration de l’agent et les paramètres de l’entité protocolaire. LinkDown Trap (2) Ce message indique la coupure d’une liaison de communication de l’agent avec la station de gestion. Le message LinkDown contient le nom et l’index de la liaison affectée. Projet DEA Réseaux de Telecom – 1998 23 / 85 Le Protocole SNMPv3 LinkUp Trap (3) Ce message indique la connexion d’une liaison de communication. L’index et le nom de cette liaison comme enregistrés dans l’agent seront renvoyer dans ce message LinkUp Trap. AuthentificationFailure Trap (4) Ce message est émis quand l’entité protocolaire est adressée par un message non authentifié. Il est à noter qu’en cours d’installation du protocole SNMP la génération de ce message doit être paramétrable, pour pouvoir générer ou non ce message. EGPNeighborLoss Trap (5) Ce message signifie qu’un EGP voisin observé par l’entité protocolaire (de renvoie) est marqué perdue et que l’observation de ce dernier est arrêtée. EnterpriseSpecific Trap (6) Ce message indique la présence d’un événement spécifique pour le constructeur. Le message renvoyé contient dans le champ "SpecificTrap" l’identificateur de l’événement en cours. Projet DEA Réseaux de Telecom – 1998 24 / 85 Le Protocole SNMPv3 V-Le protocole SNMPv2 Comme la première version de SNMP ne comporte pas de sécurité, L’IETF a voulu faire la mise à jour de cette version en travaillant sur SNMPv2. V.1-L’évolution de SNMPv2 Les efforts pour définir un standard acceptable pour la sécurité, les études de la plate-forme de gestion et les configurations à distance ont poussé l’IETF à arrêter en septembre 1995, quand ils n’ont pas pu arriver à un accord sur ces aspects. Depuis l’IETF a: Abandonner les efforts d’accords sur la sécurité, les plateforme de gestions et les configurations à distance. Publié des mises à jour pour une partie des spécifications de SNMPv2 (Les RFC 1902 à 1908) qui sont devenues des brouillons du standard. Traduire les études antérieures de sécurité basé sur les groupes (User-Based Security), les plate-formes de gestion et les configurations à distance. (Les RFC 1445 à 1447) Publié une spécification expérimentale d’une plate-forme de gestion transitoire appelée SNMPv2c(RFC 1901), cette étude est basée sur SNMPv1 et par suite ne contient pas de sécurité. SNMPv2* est une extension de SNMPv1 et SNMPv2c, introduisant des nouvelles études de la plate-forme de gestion, sur le niveau authentification, autorisation, contrôle d’accès et personnalisation, en plus des études pour la configuration des objets de la MIB à distance. De même SNMPv2* supporte une coexistence et une transition douce nécessaires pour la conservation des investissements des clients ayant installé des stations de gestion SNMP. Projet DEA Réseaux de Telecom – 1998 25 / 85 Le Protocole SNMPv3 Puis l’IETF a publié des nouvelles spécifications sur le plan de la sécurité appelée SNMPv2U (les RFC 1909 et RFC 19010). V.2-Transport de SNMPv2 Le protocole SNMPv2 comme SNMPv1 ne nécessite qu’un protocole de transport de paquet non sûre, chaque message est envoyé totalement et indépendamment dans un seul paquet. Ce protocole peut être transmis par n’importe quel protocole de transport, mais le plus utilisé (Préféré) est UDP (User Datagram Protocol). V.3-Taille des messages SNMPv2 La taille maximale d’un message SNMPv2 est limitée par le minimum de: La taille maximale d’un message SNMPv2 qui peut être accepté par le système destination ou la station de gestion. La taille maximale d’un message SNMPv2 qui peut être généré par la source ou l’agent. Il faut noter que les messages de grandes tailles ne sont pas trop recommandées même si ces messages sont adaptés à l’agent et à la station de gestion. Ces messages peuvent être plus grands que la taille des tampons des nœuds de transfert des MTU (Message Transfer Unit) le long du chemin de parcourt dans le réseau. Dans ce cas les messages seront fragmentés. La fragmentation est considérée comme nuisible et, diminue la sûreté et de la validité de message transmis. V.4-Les requêtes SNMPv2 En plus des messages SNMPv1: GetRequest, GetNextRequest, Response et SetRequest. SNMPv2 introduit d’autres types de messages: GetBulkRequest, InformRequest, SNMPv2Trap et Report. V.4.1-GetBulkRequest PDU: Le but de ce message est le transport d’une large quantité de donnée, de même c’est une méthode efficace et rapide de recherche des grandes tables. Projet DEA Réseaux de Telecom – 1998 26 / 85 Le Protocole SNMPv3 L’agent répond à ce message par un message Response contenant les valeurs des variables demandés par le message GetBulkRequest. La suite montre deux exemples, le premier sans utiliser le message GetBulk, et le second l’utilisant, permettant un transfert plus rapide. V.4.2-Exemple 1: Soit la table de routage suivante: La Numéro d’interface Adresse réseau Adresse physique Type 1 10.0.0.51 00:00:10:01:23:45 statique 1 9.2.3.4 00:00:10:54:32:10 dynamique 2 10.0.0.15 00:00:10:98:76:54 dynamique station de gestion envois vers l’agent SNMP un message GETNextRequestPDU, contenant comme valeur des identificateurs d’objets les noms des variables: GetNextRequest ( SysUpTime, ipNetToMediaPhysAddress, ipNetToMediaType) La réponse de l’agent: GetResponse ( (SysUpTime.0 = “123456”), (ipNetToMediaPhysAddress.1.9.2.3.4= “000010543210”), (ipNetToMediaType.1.9.2.3.4 = «dynamique»)) La station de gestion continue avec: GetNextRequest ( SysUpTime, ipNetToMediaPhysAddress.1.9.2.3.4, ipNetToMediaType.1.9.2.3.4) L’agent répond par: GetResponse ( (SysUpTime.0 = “123461”), (ipNetToMediaPhysAddress.1.10.0.0.51= “000010012345”), (ipNetToMediaType.1.10.0.0.51= “statique”)) La station de gestion continue avec: GetNextRequest ( Projet DEA Réseaux de Telecom – 1998 SysUpTime, ipNetToMediaPhysAddress.1.10.0.0.51, ipNetToMediaType.1.10.0.0.51) 27 / 85 Le Protocole SNMPv3 L’agent répond par: GetResponse ( (SysUpTime.0= “123466”), (ipNetToMediaPhysAddress.2.10.0.0.15= “000010987654”), (ipNetToMediaType.2.10.0.0.15= “dynamique”)) La station de gestion continue avec: GetNextRequest ( SysUpTime, ipNetToMediaPhysAddress.2.10.0.0.15, ipNetToMediaType.2.10.0.0.15) L’agent répond par: GetResponse ( (SysUpTime.0= “123471”), (ipNetToMediaPhysAddress.1.9.2.3.4= “9.2.3.4”), (ipRoutimgDiscards.0=“2”)) L’agent ayant répondue par ce message, la station de gestion reconnut la fin de la table de routage. V.4.3-Exemple 2: Cet exemple montre l’usage du message GetBulkRequest comme une alternative du message GetNextRequest. La même traversée de la table de l’exemple 1 sera exécuter en un moins de message d’échange. La station de gestion commence la communication par un message GetBulkRequest: GetBulkRequest [non-repeaters=1,max-repetitions=2] (SysUpTime, ipNetToMediaPhysAddress, ipNetToMediaType) La réponse de l’agent: Response ( (SysUpTime.0= “123456”), (ipNetToMediaPhysAddress.1.9.2.3.4= “000010543210”), (ipNetToMediaType.1.9.2.3.4 = «dynamique») (ipNetToMediaPhysAddress.1.10.0.0.51= “000010012345”), (ipNetToMediaType.1.10.0.0.51= “statique”)) Projet DEA Réseaux de Telecom – 1998 28 / 85 Le Protocole SNMPv3 La station de gestion continue avec: GetBulkRequest [non-repeaters=1,max-repetitions=2] (SysUpTime, ipNetToMediaPhysAddress, ipNetToMediaType) L’agent répond par: Response ( (SysUpTime.0= “123466”), (ipNetToMediaPhysAddress.2.10.0.0.15= “000010987654”), (ipNetToMediaType.2.10.0.0.15= “dynamique”)) (ipNetToMediaPhysAddress.1.9.2.3.4= “9.2.3.4”), (ipRoutimgDiscards.0=“2”)) Ce message signale à la station de gestion la fin de traversée de la table. Dans cet exemple on remarque bien la réduction du nombre de message échanger entre les deux unités protocolaires. V.5-Les messages d’erreurs en SNMPv2 En réponse à un message GetRequest, GetNextRequest ou GetBulkRequest l’entité protocolaire répond en cas d’erreur l’un des identificateurs suivants, dans le champs error-status: NoError (0) WrongValue (10) TooBig (1) NoCreation (11) NoSuchName (2) InconsistentValue (12) BadValue (3) ResourceUnavailbale (13) ReadOnly (4) CommitFailed (14) GenErr (5) UndoFailed (15) NoAccess (6) AuthorizationError (16) WrongType (7) NotWritable (17) WrongLength (8) InconsistentName (18) WrongEncoding (9) NoError : Projet DEA Réseaux de Telecom – 1998 Indique la présence d’aucune erreur. 29 / 85 Le Protocole SNMPv3 NoAccess : Cet identificateur indique que la variable en question n’est pas dans la MIB en cours. WrongEncoding: Erreur générée par le décodeur ASN en cas d’échec. WrongValue : L’unité protocolaire génère cet identificateur quand elle ne peut dans aucune circonstance affectée à la variable, la valeur demandé par le message SetRequest. NoCreation : Indique l’impossibilité de création d’une variable non existante et ne peut être jamais crée. InconsistantValue: L’affectation d’une valeur à la variable ne peut pas être faite à l’état actuel. L’allocation ResourceUnavailable: l’affectation d’une d’une valeur ressource à une nécessaire variable n’est à pas possible à présent. CommitFailed: Cet indicateur d’affectation d’erreur d’une est liste renvoyé, de variable, si en une cours variable échoue à être affecter. Alors, toutes les affectations déjà faites par ce message seront supprimées (Retour aux anciennes valeurs). NotWritable : La variable existe mais sa valeur ne peut pas être changer. InconsistantName: Indique l’impossibilité de création d’une variable dans les circonstances actuelles (Peut être dans d’autres circonstances elle pourra être crée). V.5.1-InformRequest PDU Ce message est envoyé d’une station de gestion vers une autre station de gestion pour lui indiquant des informations concernants les MIB des agents contrôlés par l’application réceptrice. V.5.2-Report PDU Ce message n’est pas un message d’opération entre les agents et les stations de gestion SNMPv2, mais un message de rapport d’erreur entre les entités de Projet DEA Réseaux de Telecom – 1998 30 / 85 Le Protocole SNMPv3 SNMPv2. L’usage de ce message nécessite de l’administrateur une définition de son usage et de sa sémantique. V.6-Les protocoles de transport de SNMPv2 SNMPv2 est de préférence transporter par UDP, mais d’autres protocoles de transport (Dite optionnel) peuvent être utilisés, tels que: OSI, DDP ou Apple Talk. V.6.1-Protocole UDP Ce protocole est le plus utilisé pour le transport des paquets SNMP. Un message SNMP est paquetisé dans un seul paquet UDP, de taille minimale de 484 octets, des tailles plus larges sont recommandées. Il est recommandé que les entités protocolaires des agents soient configurés d’écouter le port 161 UDP, et les messages Trap seront envoyer sur le port 162 UDP. V.6.2-Protocole OSI: Avec ce protocole, le message est paquetisé dans un seul TSDU (Transport Service Definition Unit) pour le mode non-connexion CLTS du service de transport (Connexion Less Transport Service). De même le mode CO (Connexion Oriented) peut être aussi utiliser. La taille minimale d’un paquet doit être de 484 octets, les tailles plus larges sont recommandées. V.6.3-Protocole DDP Le message SNMP sera dans ce cas aussi paquetisé dans un seul paquet DDP. Les paquets seront envoyer en utilisant le protocole DDP type 8. Les entités protocolaires des agents écoutent sur le support 8 de DDP. Alors, que pour les messages Trap in utilisent le support 9 de DDP. V.6.4-Protocole Apple Talk Vu le dynamisme d’adressage de ce protocole, SNMP a des problèmes à pouvoir faire le contrôle de ces réseaux. Projet DEA Réseaux de Telecom – 1998 31 / 85 Le Protocole SNMPv3 Les nœuds TCP/IP ont des adresses IP uniques, qui les différencient les une des autres. Tandis qu’en Apple Talk, les adresses au niveau réseau peuvent être changer au moment de la ré-initialisation des systèmes. Alors, des systèmes comme NBP doivent être utilisé de façon à unifier chaque nœud du réseau Apple Talk. Mais ce système doit être bien installé et configuré de façon à ne pas surcharger le réseau et réduire la puissance utile du CPU. V.6.5-Protocole IPX Le message SNMP est paquetisé dans un seul paquet IPX, l’entité protocolaire doit être capable d’accepter 546 octets, les messages de largeur supérieurs sont recommandés. Les messages sont envoyés en utilisant le type 4 de IPX. Il est recommandé que les agents soient configurer d’écouter le support 36879 d’IPX (900F hexadécimale), et les messages Trap sur le support 36880 d’IPX (9010 hex). V.7-Coexistence entre SNMPv1 et SNMPv2 Pour pouvoir avoir une coexistence au niveau du protocole, un mécanisme proxy (relais de transfert) doit être utilisé. V.7.1-Conversion SNMPv2 vers SNMPv1: Si les messages sont du type GetRequest, GetNextRequest ou SetRequest, alors, ils sont renvoyés par l’agent proxy sans changement. Si les messages sont du type GetBulkRequest, l’agent proxy met les valeurs des champs de répétitions à zéro et change la valeur du champ type de message de façon à avoir un message GetNextRequest. V.7.2-Conversion SNMPv1 vers SNMPv2 Si le message est GetResponse il sera retransmis intact, même si les types d’erreur “NoSuchName”, “BadValue” ou “ReadOnly” n’existe pas dans SNMPv2, l’agent doit les laisser pour que la station de gestion puisse bien interpréter la réponse. Projet DEA Réseaux de Telecom – 1998 32 / 85 Le Protocole SNMPv3 Les messages Trap doivent être adapté par l’agent proxy de manière à être conforme au TrapSNMPv2 (Ajouter les variables: SystemUpTime,…) V.7.3-Transparence de la station de gestion Sur la station de gestion ont peut installer les deux versions du protocole SNMPv1 et SNMPv2. Et quand une application de gestion veut contacter un agent, l’entité protocolaire recherche dans une base de donnée pour retrouver la bonne entité protocolaire à utiliser. De même pour avoir une transparence vis à vis des applications de gestion, l’entité de gestion doit traiter les opérations comme si elle était un agent proxy. Projet DEA Réseaux de Telecom – 1998 33 / 85 Le Protocole SNMPv3 VI-Le protocole SNMPv3 Le but du développement de SNMPv3, c’est de réaliser un protocole ayant une architecture modulaire et évolutive, permettant l’évolution du protocole SNMP avec le temps, et une gestion plus effective et sécurisée d’une variété d’environnements et de configurations. VI.1-Les objectifs de cette architecture: L’utilisation du matériel existant. Se baser sur les études des versions SNMPv2u et SNMPv2*. Répondre aux besoins de la sécurisation des commandes de mise à jour des agents (Commande SET), qui était un point inefficace des versions SNMPv1 et SNMPv2c. Définir une architecture qui permet une longévité des travaux qui ont été déjà faites ou qui vont être faites. Laisser SNMP le plus simple possible. Réduire au plus le prix d’une implémentation minime et conforme. Pouvoir évoluer une partie de SNMP, sans avoir à renouveler toute l’architecture. Le support des fonctions nécessaires dans les larges réseaux, avec des prix de support de ces fonctions directement liés aux supports de ces fonctions. VI.2-Les exigences de sécurisations Les principaux menaces ou dangers pour lesquelles n’importe quel modèle de sécurité utiliser dans cette architecture, doit protéger contre sont: Projet DEA Réseaux de Telecom – 1998 34 / 85 Le Protocole SNMPv3 Modification des informations: Le danger de modification est, qu’une entité SNMP non authentifié change dans les messages SNMP, perturbant les valeurs des objets en effectuant des opérations de gestion non autorisé. Mascarade: La menace de mascarade vient du danger qu’une station de gestion non autorisée pour des opérations de gestion, tente de généré ces opérations en prétendant l’identité d’une autre station autorisée. Modification du flux des messages: Le protocole SNMP se base typiquement sur un protocole de transport non connecté travaillant au-dessus de n’importe quel type de sous réseau de service. Le délai, la répétition ou la ré-ordonnance des messages, sont des événements qui peuvent exister et, existent parfois pendant le fonctionnement normal de quels quelques types de ces sous réseaux. La menace de ces modifications est que les messages soient ré-ordonner, répéter ou retarder à une limite supérieure à la limite qui existe normalement dans le réseau, par des stations de gestion non autorisée. Révélation: La menace de la révélation est le danger d’espionnage sur les échanges entre les moteurs SNMP. La sécurisation contre ces menaces peut être considérer comme une politique locale. Il y a d’autres menaces pour lesquelles le modèle de sécurité ne doit pas offrir une protection, dont: Analyse du trafic: Le modèle de sécurité n’a pas besoin de protéger contre les menaces des demandes, d’une station de gestion non autorisée, pour des informations de trafics. Refus de service: Le modèle de sécurité n’a pas besoin de sécurisé toutes sortes d’attaque possible, à moins qu’ils ne soient pas refuser par un utilisateur autorisé. En faite, ces modèles d’attaque ne peuvent être identifiés des échoues ou pertes des réseaux de services. Projet DEA Réseaux de Telecom – 1998 35 / 85 Le Protocole SNMPv3 VI.3-Les documentations de SNMPv3 Vu la modularité de SNMPv3, des documents doivent expliquer chaque module à part. Ce document doit contenir toutes les informations reliées à ce module (les éléments des procédures, les objets MIB,…). Ces informations ne doivent, au possible, être définie dans un document ailleurs. La figure suivante montre les documentations adaptés à cette architecture: Document Set Document Roadmap Applicability Statement Coexistence & Transition Message Handling Transport Mappings Processing & Dispatching Security PDU Handling Protocol Operations Applications Access Control Information Model Textual Conventions SMI Conformance Statements MIBs Standard v1 RFC1157 Standard v1 RFC1212 Historic v2 RFC14XX Draft V2 RFC19XX A noter: RFC14XX représente les RFC 1442, 1443 et 1444 RFC19XX représente les RFC 1902, 1903 et 1904. Projet DEA Réseaux de Telecom – 1998 36 / 85 Le Protocole SNMPv3 Document Roadmap: Un ou plusieurs documents peuvent être écrits pour décrire comment prendre ensemble les documentations spécifiques à une plate forme de travail. La configuration des documents peut changer avec le temps, alors le « Road map » doit être maintenu à séparément des documents du standard. Ce document n’est pas à présent décrit. Il sera décrit ou remplacer dans le future. Applicability statement Le protocole SNMP est utilisé dans une variété de réseau caractérisé par leur grandeur, complexité et, par leur organisation, qui ont des demandes de gestion largement variées. Des modèles spécifiques seront désignés face à des problèmes de gestion spécifiques, tels des messages de sécurité. Alors, un ou environnements plusieurs appropriés documents pour certains seront écrit modèles pour SNMP, et décrire les ceux non appropriés. Coexistence and Transition L’architecture évolutive permet le remplacement des anciens modules par des nouveaux modules. L’interaction entre les modèles peut causer une incompatibilité, des trous de sécurité, et d’autres effets… Le but de ce document «coexistence and transition» est de détailler les anomalies reconnut et de décrire les recommandations et les pré-requis pour résoudre ces interactions entre les modèles d’une architecture. Transport mappings SNMP peut être transmis par n’importe quel protocole de transport. Le but de ce document c’est de décrire l’interface entre SNMP et le protocole de transport. Message Processing Dans ce document Message Processing (Traitement de message) on retrouve une description du message SNMP, identifier par le champ version, qui existe dans la tête du message. Projet DEA Réseaux de Telecom – 1998 37 / 85 Le Protocole SNMPv3 Un moteur SNMP, peut contenir un ou plusieurs modèle de traitement de message, et par suite devenir capable de recevoir et transmettre des messages de plusieurs version SNMP. Security La sécurité est appliquée normalement à deux niveaux différents: Au niveau de la transmission ou réception du message. Au niveau d’analyse du contenu du message. La sécurité au niveau protocole sera décrite dans les documents «Access Control», tandis que la sécurité au niveau message sera décrite sous le document «Security». L’authentification, le codage et l’alignement temporelle sont des fonctions du niveau analyse. Les documents de sécurité décrivent un modèle de sécurité, les menaces qu’il protège, les buts du modèle de sécurité, les protocoles qu’il utilise pour aboutir à ses buts, et définir une vue de la MIB pour décrire les données dont il a besoin en cour de traitement, et de permettre la configuration à distance des paramètres de sécurité, comme les mots de passe. Plusieurs modèles de sécurité peuvent être supportés en même temps par un même moteur SNMP. Access Control Ce document définit les procédures des permissions d’accès à un objet contrôlé. Un modèle de contrôle d’accès est défini par une MIB, utilisée pendant l’analyse, et permet la configuration à distance des polices de contrôle d’accès. Protocol Operations Les messages SNMP contiennent un PDU (Protocol Data Unit). Ce document définit les opérations pour le traitement de ses PDU. Projet DEA Réseaux de Telecom – 1998 38 / 85 Le Protocole SNMPv3 Applications Une entité SNMP contient plusieurs applications. Les applications utilisent les moteurs SNMP pour accomplir leurs travaux, et utilisent les messages SNMP pour communiquer avec d’autres entités. Le document d’une application décrit le but de l’application, les services nécessaires du moteur SNMP, ainsi que les opérations du protocole que l’application utilise pour exécuter ces opérations de gestion. Structure of Management Information SMI SMI définit comment chaque élément d’information concernant les périphériques gérés et les agents est représenté dans la base d’information virtuelle, qui est la MIB. Dans ce document on retrouve les syntaxes pour définir les objets, modules, et d’autres éléments des informations de gestion. Textual Conventions Ce document contient des nouveaux types de variables, similaire à ceux qui existent dans la SMI mais avec une sémantique plus précise ou une sémantique approprié à eux. Conformance Statements Dans ce document, seront définit les limites minimales d’une implémentation en accord avec les niveaux d’acquisition actuels. Management Information Base Modules - MIB Un document MIB définit une collection d’objet décrivant le nœud à contrôler. De même, on retrouve des descriptions de l’architecture de SNMP, comme les documents des modèles de traitement des messages, de la sécurité,…Et ceci pour l’instrumentation de ces modèles. VI.4-Description du paquet SNMP Le format du paquet de SNMPv3est différent du format de SNMPv1, ils sont toutefois codés tous deux Projet DEA Réseaux de Telecom – 1998 dans le format ASN.1, assurant ainsi une 39 / 85 Le Protocole SNMPv3 compatibilité des types de données entres les ordinateurs d’architectures différentes. La figure suivante montre un paquet SNMPv3: SNMPv3 Message Version SNMP Header Data MsgID Max Size Flags Security Parameters (Model Specific) Security Model Scoped PDU Data Context EngineID Context Name PDU Data Description du paquet SNMPv3 Version SNMP: Utilisé pour l’envoyé le paquet vers le bon module de décodage. Pour SNMPv3 on place 3, et pour SNMPv1 on place 0. MsgID: Identificateur de message, utilisé pour repérer les requêtes et les réponses. Max Size: Taille maximale du paquet réponse, ce champ indique à la station génératrice de la réponse de ne pas dépasser cette taille qui est limité par les capacités des mémoires tampons du moteur générateur de la requête. Flags: Drapeaux, indiquant si une réponse est attendue et si un modèle de sécurité a été utilisé. 0 0 0 0 0 1 1 1 Reportable Flag Privacy Flag Authentification Flag 1. Reportable Flag: indique si une réponse est attendue à la réception de ce flag 2. Privacy Flag: indique si une encryption a été utilisé. 3. Authentification Flag: indique si un modèle d’authentification a été utilisé. Projet DEA Réseaux de Telecom – 1998 40 / 85 Le Protocole SNMPv3 Security Model: ce champ identifie le modèle de sécurité utilisé, pour envoyer le paquet vers le bon module de sécurité. Security Parameters: Informations de sécurité, comme les clés publiques, les arrangements entre protocoles de sécurité,… Ce champ n’est pas décrit dans le standard SNMPv3, il est laissé au soin des modules de sécurité. Le module de sécurité DES a standardisé le contenu de ce champ. Context EngineID et Context Name: Identifie le context, une carte interface, un routeur,… Ce champ permet d’avoir plusieurs fois les mêmes variables. Par exemple, un commutateur ATM contient plusieurs cartes qui peuvent avoir chacune leurs propres bases d’informations. Le context permet de distinguer entre plusieurs bases d’informations et même plusieurs agents. PDU Data: Charge payante, les valeurs demandées ou les réponses à des demandes. PDU PDU Type Variable Binding List Request ID Error Status Error Index Object Name Value Object Name Value Description du PDU VI.5-Description d’une entité SNMPv3 Une entité SNMP consiste d’un moteur SNMP et d’une ou plusieurs applications. Projet DEA Réseaux de Telecom – 1998 41 / 85 Le Protocole SNMPv3 SNMP Entity SNMP Engine Message Processing Subsystem Dispatcher Security Subsystem Access Control Subsystem Applications Command Generator Notification Receiver Proxy Forwarder Command Responder Notification Originator Other VI.5.1-Moteur SNMP Le moteur SNMP, c’est le centre du système, il offre les services pour émettre et recevoir les messages, l’authentification et l’encription des messages, de même que le contrôle d’accès aux objets à contrôler. Le moteur contient: Distributeur des travaux (Dispatcher) Traitement des messages Système de sécurité Système de contrôle d’accès. Distributeur Il y a un seul distributeur dans un moteur SNMP. Il permet le support de plusieurs version SNMP en même temps. Son rôle est: Emettre et recevoir des messages du et vers le réseau. Déterminer la version SNMP d’un message, pour passer le message à la procédure de traitement de message correspondante. Projet DEA Réseaux de Telecom – 1998 42 / 85 Le Protocole SNMPv3 Offrir une interface abstraite pour les applications, pour la livraison d’un PDU à une application. Offrir une interface abstraite pour les applications qui permettent la transmission de PDU vers une entité SNMP distante. Traitement des messages Le rôle de la procédure de traitement des messages c’est de préparer les messages à émettre, et d’extraire les informations d’un message reçu. Une procédure de traitement des messages peut contenir plusieurs modèles de traitement. Système de traitement des messages SNMPv3 Traitement de message SNMPv1 Traitement de message SNMPv2c Traitement de message Autre modèle de Traitement Chaque modèle de traitement des messages définit le format d’une version SNMP particulière et, prépare et extrait de chaque message les informations spécifiques d’une version. Système de sécurité Le système l’authentification de et sécurité la offre les personnalisation services d’un de message. sécurité, Ce comme système peut contenir plusieurs modèle de sécurité. Système de sécurité User-Based Modèle de sécurité Projet DEA Réseaux de Telecom – 1998 Autre modèle de sécurité Autre modèle de sécurité 43 / 85 Le Protocole SNMPv3 Un modèle de sécurité définit les menaces contre lesquelles il offre une protection, les buts de ses services, et les protocoles de sécurité nécessaires pour les services sécurisés comme l’authentification et la privatisation. Les protocoles de sécurité contiennent les procédures, les algorithmes et les données MIB nécessaire pour les services de sécurités. Le contrôle d’accès Le contrôle d’accès offre les services d’autorisations, moyennant un ou plusieurs modèles de contrôle d’accès. Contrôle d’accès View-Based Modèle de contrôle d’accès Autre modèle de contrôle d’accès Autre modèle de contrôle d’accès Un modèle de contrôle d’accès définit une fonction particulière d’accès, de façon à pouvoir faire des décisions concernant les permis d’accès. Les applications Les applications SNMP peuvent être regroupées en cinq types: Des applications d’initiation de requête Get, GetNext, GetBulk et/ou Set, qui sont appelées ‘Command Generator’. Des applications qui répondent aux requêtes Get, GetNext, GetBulk et/ou Set, sont appelées ‘Command Responder’. Des applications qui génèrent des notifications, appelées reçoivent des notifications, appelées ‘Notification Originators’. Des applications qui ‘Notification Receivers’. Des applications qui transit des requêtes SNMP Get, GetNext, GetBulk et/ou Set, ou des notifications, appelées ‘Proxy Forwarder’. Projet DEA Réseaux de Telecom – 1998 44 / 85 Le Protocole SNMPv3 A noter, qu’il n’y a aucune restriction sur l’association de ces applications ensembles avec un moteur SNMP particulier. Par exemple, un moteur SNMP peut être associé en même temps avec les deux applications ‘Command Responder’ et ‘Command Generator’. Command Generator Applications Ces applications génèrent des requêtes SNMP Get, GetNext, GetBulk et/ou Set, de même que le traitement de la réponse à une requête qu’il a généré. Command Responder Applications Ces applications reçoivent les requêtes SNMP Get, GetNext, GetBulk et/ou Set, destinées au système local, ceci se fait en comparant le ContextEngineID dans la requête reçue avec le contexte du moteur local. Cette application utilise le module de contrôle d’accès et génère un message réponse à envoyer à l’application génératrice de la requête de demande. Notification Originator Applications Cette application surveille le système pour des événements particuliers ou conditions, et génère des messages Trap et/ou Inform, baser sur ces conditions et ces événements. Cette application doit être capable de décider où envoyer les messages, quelle version SNMP utilisé et les paramètres de sécurité à utiliser pour l’envoi du message. Notification Receiver Applications Cette application attend les messages de notification, et génère un message réponse à des requêtes Inform. Proxy Forwarder Applications Cette application transit les messages SNMP. Le rôle de cette application est: Le transit des requêtes SNMP vers d’autres entités, sans égard aux types d’objets de gestion. Par exemple, le transport d’un Projet DEA Réseaux de Telecom – 1998 45 / 85 Le Protocole SNMPv3 message SNMP d’un domaine à un autre, ou bien, la translation d’un message d’une version à une autre. La translation d’une requête, dans un environnement nonSNMP, en un message formater SNMP. Supporte l’assemblage des objets de gestion ou les valeurs d’une instance d’objet, dépend des valeurs d’autres éléments des informations de gestion. Projet DEA Réseaux de Telecom – 1998 46 / 85 Le Protocole SNMPv3 VI.6-Architecture d’une station de gestion SNMPv3 La figure suivante montre l’architecture d’une plate forme de gestion SNMPv3, on remarque le bloc distributeur qui est au milieu du système et gère tous les ordres de travail. SNMP entity NOTIFICATION ORIGINATOR applications NOTIFICATION RECEIVER application COMMAND GENERATOR application Message Processing Subsystem Security Subsystem PDU Dispatcher v1MP Security Dispatcher Model v3MP Transport Mapping User-based (e.g. RFC1906) Security otherMP UDP Other Message IPX Model other Network De même, on remarque que les différentes fonctions sont séparées permettant un une simple évolution du protocole. Projet DEA Réseaux de Telecom – 1998 47 / 85 Le Protocole SNMPv3 VI.7-Architecture d’un agent SNMPv3 La figure suivante montre l’architecture d’un agent SNMPv3, on remarque la présence d’un module de contrôle d’accès SNMP entity MIB instrumentation COMMAND RESPONDER application NOTIFICATION ORIGINATOR application ACCESS CONTROL Message Processing Subsystem PROXY FORWARDER application Security Subsystem PDU Dispatcher v1MP Message Dispatcher v3MP Transport Mapping (e.g. RFC1906) otherMP UDP IPX Other Security Model User-based Security Model other Network Projet DEA Réseaux de Telecom – 1998 48 / 85 Le Protocole SNMPv3 VI.8-Diagrammes de fonctionnement Générateur de commande ou Originateur de notification Le diagramme qui suit, montre une requête d’envoi d’un PDU, d’un générateur de commande ou d’un originateur de notification, et la réception en mode asynchrone d’un message réponse à cette requête. Command Generator Dispatcher Message Processing Model Security Model Send PDU Préparer le message de sortie Générer le message de requête Envoyer le message requête sur le réseau Recevoir le message réponse du réseau Préparer les éléments de donnée Préparer les éléments de donnée Traiter le PDU réponse Projet DEA Réseaux de Telecom – 1998 49 / 85 Le Protocole SNMPv3 Application de réponse Le diagramme qui suit, montre comment se fait le traitement d’un PDU reçu par une application de réponse « Command Responder » ou un récepteur de notification, et comment la réponse à ce message est renvoyé en mode asynchrone. On remarque bien le rôle du distributeur (Dispatcher), qui est au centre du travail, et gère toutes les transactions entre les différents modules de traitement du protocole. Command Responder Dispatcher Message Security Model Processing Model Enregistrer un type de PDU Recevoir un message SNMP du réseau Préparer les éléments de donnée Traiter le message reçu Traiter le PDU Réponse PDU Préparer le message réponse Générer le message de réponse Envoyer le message réponse sur le réseau Projet DEA Réseaux de Telecom – 1998 50 / 85 Le Protocole SNMPv3 VII-La sécurité dans SNMPv3 La sécurité de SNMPv3 est du type ‘User Based Security’ décrit dans RFC2274. Le principe est l’utilisation du concept utilisateur, identifié par un UserName, auquel sont associées les informations de sécurité. VII.1-Les menaces Les principales menacent contre lesquels le modèle de sécurité doit offrir une protection sont: Modification des informations Mascarade D’autres menaces secondaires doivent être prises en compte: Révélation Modification des flux de messages Les deux menaces qui suivent ne doivent pas être prises en considération: Analyse du trafic Refus du service VII.2-Services de sécurité Les services nécessaires pour le support des buts de ce modèle de sécurité dans SNMPv3, sont: Data integrity : S’assurer que les données ne sont pas changer ou détruit d’une manière non autorisée. Data origin l’identité authentification qu’il proclame, : S’assurer même si le que l’émetteur message a a une autorisation valide. Projet DEA Réseaux de Telecom – 1998 51 / 85 Le Protocole SNMPv3 Data Confidentiality: C’est la provision de la propriété des informations et de ne pas les passer ou révéler, à une entité ou un individuel ou un traiteur non autorisé. Message timeliness and limited replay protection: C’est la provision qu’un message dont le temps de génération dépasse une fenêtre temporelle, ne sera pas accepté. A noter que le réordonnement des messages ne sera pas pris en compte, et des événements pareils peuvent se trouver dans des conditions normales. La sécurité dans SNMPv3 est découpé en trois modules: Le module d’authentification. Le module d’alignement temporel. Le module de privatisation. Le module d’alignement temporel Le champ du temps de création, dans le message émis, est utilisé pour faire le test de l’alignement temporel. Mais le test d’alignement temporel ne se fait que si le message est authentifié. Après le contrôle d’authentification du message, le champ du temps de création est considéré sûre, et par suite le test peut se faire. Le protocole d’authentification Les protocoles d’authentifications supportés par le «User Based Security Model» sont le HMAC-MD5-96 qui est un MUST, et le HMAC-SHA-96. Le “User Based Security Model” ordonne que si l’authentification est utilisée, alors tout le message doit être testé pour son intégrité par le module d’authentification. Un message authentifié doit passé le test d’authentification et le test d’alignement temporel qui est obligatoire dans le “User Based Security Model”. Projet DEA Réseaux de Telecom – 1998 52 / 85 Le Protocole SNMPv3 Le protocole de personnalisation Le protocole de personnalisation, utilisé dans le «User Based Security Model» est le CBC-DES (Symetric Encryption Protocol). Le «User Based Security Model” force une protection contre les révélations quand les messages sont envoyés avec une personnalisation. Et dans ce cas le message doit être authentifié. Génération d’un message SNMP sécurisé L’algorithme qui suit, décrit la procédure suivit par un moteur SNMP pour la génération d’un message de gestion (Request, Response, Notification ou Report) avec un niveau de sécurité particulier. Projet DEA Réseaux de Telecom – 1998 53 / 85 Le Protocole SNMPv3 Début Recherche dans la base de donnée de sécurité les informations concernant la station destination Oui Non Oui Destination supporte l’authentification et la personnalisation ?? Oui Non Non Protection contre la révélation? Non Message à Authentifié? Destination Supporte L’authentification? Oui Passage au module de personnalisation Message Personnalisé? Non Oui Passage au module d’authentification Non Erreure Sortie Projet DEA Réseaux de Telecom – 1998 Message authentifié? Oui Fin 54 / 85 Le Protocole SNMPv3 Traitement d’un message reçu L’algorithme suivant décrit la procédure de traitement dans le moteur SNMP, d’un message reçu contenant des informations de gestion, en provenance d’un utilisateur (Destination) avec un niveau de sécurité particulière Début Non Oui Paramètres de Sécurité du message Valide? Incrémenter l’identificateur d’erreure Extraction des paramètres de référence et de sécurité Incrémenter l’identificateur d’erreure Non Oui Autorisation Permissible? Extraction des informations utilisateurs Incrémenter l’identificateur d’erreure Non Oui Utilsateur Reconnu aves un niveau sécuritaire? Passage au module d’authentification Incrémenter l’identificateur d’erreure Non Message authentifié? Oui A Projet DEA Réseaux de Telecom – 1998 55 / 85 Le Protocole SNMPv3 A Extarction des paramètres du temps Incrémenter l’identificateur d’erreure Non Oui Conditions temporelles valides? Passage au module de personnalisation Incrémenter l’identificateur d’erreure Non Oui Personalisation Valider? Sauvegarde des données de sécurité Erreure Sortie Message valider Retour au module initial Les protocoles HMAC-SHA-96 d’authentification HMAC-MD5-96 et Ces protocoles d’authentification sont utilisés par le “User Based Security Model”. HMAC-MD5-96 utilise la fonction de hachage MD5 décrit par le RFC2104 tronquer à 96 bits. HMAC-SHA-96 utilise la fonction de hachage SHA décrite par SHA-NIST (National Institut of Standards and Technologies) dans le RFC2104, tronquer aussi à 96 bits. - Pour le support de l’intégrité des données, un algorithme de message élaborer est nécessaire. La variable d’élaboration calculé du message Projet DEA Réseaux de Telecom – 1998 56 / 85 Le Protocole SNMPv3 SNMP, cette variable inclus dans le message SNMP est envoyé au récepteur. - Pour le support des intégrités des données et les données d’authentifications, un mot secret est ajouté au message SNMP avant le passage au module d’élaboration. La variable calculé est ajoutée au message SNMP avant la transmission. Donnée Mot secret MD5 Fonction de Hashage Donnée Hash Code Authentification d’un message - Transmetteur Donnée Hash Code Donnée Hash Code MD5 ? Hash Code 2 Authentification d’un message - Récepteur La localisation des mots de passe Une station de gestion gère une dizaines ou quelquefois des centaines d’agents. Si chaque agent à un mot de passe, alors la station de gestion doit connaître tous les mots de passe ce qui n’est pas raisonnable. Projet DEA Réseaux de Telecom – 1998 57 / 85 Le Protocole SNMPv3 Ou bien, si on utilise un seul mot de passe pour tous les agents; on court le risque si un agent est volé de dévoiler tous les messages d’administration du même domaine. Pour ne pas courir le risque, SNMPv3 a adopté la solution d’un seul mot de passe avec une localisation. La localisation consiste à utiliser le mot de passe avec le «Context EngineID» (Qui est un identificateur unique pour chaque agent), ainsi on tire un mot de passe dit localiser et unique pour chaque agent. Localisation d’un mot de passe Context EngineID Mot de Passe MD5 Mot de passe localisé Le protocole d’Encryption CBC-DES Le protocole d’encryption CBC-DES (Symmetric Encryption Protocol, Data Encryption Standard) est le premier protocole de personnalisation définie pour le «User based Security Model». Les données à crypter seront traitées comme une séquence d’octets. La clé est formée de 64 bits, comme DES crypte à la fois 64 bits alors si la longueur des données n’est pas un multiple de 64, des tampons si nécessaire seront ajoutés à la fin. Projet DEA Réseaux de Telecom – 1998 58 / 85 Le Protocole SNMPv3 La figure suivante montre le principe de cryptage avec DES. Mot de passe Données Données Vecteur d’init Données Données Données DES Cipher1 Données DES Cipher2 Données DES Cipher3 Données DES Cipher4 Projet DEA Réseaux de Telecom – 1998 59 / 85 Le Protocole SNMPv3 Projet DEA Réseaux de Telecom – 1998 60 / 85 Le Protocole SNMPv3 VIII- Différentes configurations d’un moteur SNMP Un moteur SNMP peut jouer plusieurs rôles. Il peut être agent, plate-forme, proxy… Un agent répond à des requêtes de gestion, la plate-forme fait des requêtes et le proxy relaie les requêtes et les réponses. Un moteur SNMP peut fonctionner dans un environnement déjà existant, et SNMPv1 Internet SNMPv1 Agent SNMPv1 Application Application de gestion Module Module de traitement de traitement Application de gestion MIB par suite contrôler les agents SNMPv1, sans avoir à les changer. Une autre implémentation du moteur SNMP, c’est la possibilité d’une communication entre gestionnaire et agent avec un modèle de sécurité et d’authentification offrant une privatisation des messages échanger entre eux. Projet DEA Réseaux de Telecom – 1998 61 / 85 Le Protocole SNMPv3 SNMPv3 Application Application SNMPv3 Agent SNMPv3 Application de gestion Internet Module de traitement SNMPv3 Module de traitement SNMPv3 MIB de gestion Module de sécurité Sécurité Comme il y a coexistence d’appareils SNMP de différentes versions, ou que ces appareils n’auront pas toujours SNMPv3 avec les modules d’encryption et d’authentification convenable, il est souvent nécessaire d’utiliser un agent proxy pour assurer des conversations sécuritaires ou le dialogue entre des versions différentes de SNMP. Projet DEA Réseaux de Telecom – 1998 62 / 85 Le Protocole SNMPv3 SNMPv3 SNMP SNMPv3 SNMPv3 Internet Internet Application Agent SNMPv3 SNMPv1 Agent SNMPv1 Application Proxy Application de gestion Application de gestion Module de traitement SNMPv3 Module de sécurité Projet DEA Réseaux de Telecom – 1998 Module de traitement SNMPv3 SNMPv1 Module de sécurité Module de traitement SNMPv3 SNMPv1 MIB 63 / 85 Le Protocole SNMPv3 IX- Nouvelles architectures de SNMP IX.1 - AgentX : Agent eXtensibility Le protocole AgentX permet à plusieurs sous agents, d’avoir une MIB d’information utilisable d’une manière transparente à une station de gestion SNMP. Avant ce protocole les utilisateurs devaient utiliser des solutions non standard ou bien d’installer plusieurs agent SNMP sur plusieurs port UDP, probablement utilisé des agents proxy pour adapter l’accès aux ports UDP standard. Mais les deux solutions ont des problèmes. Le manque de standard exige que les développeurs des sous agents doivent supporter plusieurs protocoles de sous agents si le même sous agents est supporté par plusieurs système d’opération. Les proxy ne sont pas transparent pour la station de gestion et par suite demande une intelligence supérieure de la part des stations de gestion. Le protocole AgentX offre une solution standard pour le problème d’extension d’agent. Il a été décrit dune manière à ce qu’il soit indépendant de la version SNMP. Un sous agent d’AgentX travail avec SNMPv1, SNMPv2 et/ou SNMPv3 comme agent principal sans aucun changement. Le protocole AgentX spécifie une méthode pour les sous agents d’échanger avec l’agent principal les informations qu’ils désirent gérer. Chacun des sous AgentX s’exécute dans son propre espace de travail, fournissant une alternative plus robuste qu’un agent SNMP tout seul. Les processus d’exécution sur les machines offrent un accès à leur état interne au protocole d’AgentX, qui est par suite accessible par une station de gestion moyennant SNMP. Projet DEA Réseaux de Telecom – 1998 64 / 85 Le Protocole SNMPv3 Un environnement d’AgentX consiste de deux systèmes: un agent principale et un ou plus sous agents, communiquant les un avec les autres en utilisant le protocole TCP ou à travers un protocole Unix. L’agent principal contient les deux protocoles AgentX et SNMP, et c’est son rôle de maintenir une table de référence pour chaque sous agent et la section de la MIB dont il est responsable. Quand l’AgentX reçoit une requête SNMP, il recherche le sous agent (ou les sous agents) responsable de la zone MIB demandé et transfert la requête vers le sous agent moyennant le protocole AgentX. L’AgentX principal n’a pas de rôle administratif à l’exception des informations concernant les sous agents connectés et les allocations des zones MIB. Du point de vue sécurité le protocole AgentX, n’a pas des méthodes de contrôle d’accès pour l’enregistrement d’un sous agent dans la MIB d’un agent principal, et par suite un agent non autorisé pourra accéder à la MIB de l’agent principal et ainsi envoyer des fausses informations à la station de gestion même si le transfert des messages SNMP entre l’agent principal et la station de gestion est sécuritaire. Projet DEA Réseaux de Telecom – 1998 65 / 85 Le Protocole SNMPv3 IX.2 - Solution Web Management La solution WBEM (Web-Based Entreprise Management) est née d’une initiative de CISCO, Microsoft, Intel, Compaq, BMC Software et bien d’autres industriels le 17 juillet 1997. Ceux-ci se sont retrouvés autour d’une charte commune insistant sur les efforts de l’industrie pour trouver des solutions d’administration interopérables, mais en intégrant les technologies déjà existantes. L'objectif du projet WBEM est de consolider et d'unifier les données fournies par des technologies d'administration existantes. Il ne remplacera jamais les protocoles d'administration existants (SNMP, CMIP, ...), mais il fournit un point d'intégration pour les données issues de ces technologies. Un autre objectif de WBEM est d’utiliser le browser Web comme principale interface usager, ce qui offre une indépendance de l’interface homme- machine par rapport à la plate-forme. L’architecture de WEBM s’articule autour de trois composantes principales : l’HyperMedia Management Schema (HMMS) : c’est un schéma objet hérité du Common Information Model (CIM) et utilisé pour modéliser les ressources à administrer; l’HyperMedia Management Protocol (HMMP) : il s’agit du protocole de communication qui sera utilisé pour accéder au HMMS; l’HyperMedia Object Manager (HMOM), qui gère les éléments du réseau comme des objets, et rend les services d’administration. Le HMOM joue un rôle central : il est à la fois en relation avec les objets à gérer, et avec les applications de gestion. De plus, c’est par son intermédiaire que l’accès se fait au HMMS. Projet DEA Réseaux de Telecom – 1998 66 / 85 Le Protocole SNMPv3 Internet Browser Plates-formes & Applications Applet Services de Directory Accès aux données (ex LDAP) (ex ODBC) HMMP Autres Services d’administration ( HMOM) SNMP, DMI, Autres Equipement ou Application Equipement ou Application HMMS HMMP Equipement ou Application HMMP : Hyper Media Management Protocol HMOM : Hyper Media Object Manager HMMS : Hyper Media Management Schema Cette architecture offre une accessibilité certaine. En effet, il est possible de créer des fournisseurs de données d’administration (providers) pour tous les protocoles de gestion existant (SNMP, CMIP, DMI, ...). De plus, ces données d’administration peuvent être publiées ou affichées par les protocoles HMMP ou HTML, puisque il est possible de développer des applets ou des applications utilisant l’accès HMMP. Projet DEA Réseaux de Telecom – 1998 67 / 85 Le Protocole SNMPv3 Autres Accès Applet Servcies de Directoire Internet Browser ODBC Hyper Media Management protocol Hyper Media Object manager Hyper Media Management Schema Hyper Media Management Protocol Object Providers HTTP Access SNMP sur UDP HMMP HTML sur HTTP HMOM DMI sur RPC Equipement, Programmes ou Collection Par ailleurs, d’HyperMedia il est également Management avec possible les d’interconnecter services de les services Directory comme Lightweight Directory Access Protocol (LDAP), ou encore avec des services d’accès aux données comme ODBC. Les clients peuvent être de simples process d'administration d'un équipement particulier, ou ils peuvent être également un navigateur interactif capable d'administrer n'importe quel objet administrante par HMMP. Les rôles de client et de serveur peuvent être combinés dans la même entité pour former un management hiérarchique et distribué. On peut distinguer deux types de serveurs les managers et les providers. Le serveur qui implémente une grande partie du protocole et qui combine les rôles de client et serveur pour agir comme un proxy pour propager les requêtes des clients est appelé HyperMedia Object Manager (HMOM). Le Projet DEA Réseaux de Telecom – 1998 68 / 85 Le Protocole SNMPv3 serveur qui implémente un sous-ensemble réduit du protocole, et qui se cantonne au rôle de serveur est appelé provider. En général, les clients se mettent en relation d'abord avec un HMOM, qui peut dans la plupart des cas satisfaire la requête du client. Si ce n'est pas le cas, le HMOM devient un client lui-même qui propage la requête au provider concerné. Cette architecture permet aux clients de ne pas avoir à s'inquiéter de la localisation des équipements, ni d'avoir à gérer une multitude de ces équipements. En effet, les clients envoient leurs requêtes à un HMOM désigné qui cache la complexité de la procédure et répartit les requêtes aux providers adéquats. Les providers rassemblent les données en utilisant des mécanismes standards ou propriétaires (CMIP, SNMP, ..) et les renvoient au HMOM. Le HMOM est donc un provider pour d'autres providers. Server Side Client Side Application HMMP HMMP HMMP Client Provider SNMP Provider CMIP HMOM HMMP HMMP Web Browser CIM Le Client/Serveur Une entité HMMP qui travaille avec une opération HMMP peut agir comme un client ou un serveur. Cette entité joue le rôle de serveur quand elle effectue une tâche d’administration (y compris la réponse à une opération HMMP) suite à la réception d’une demande d’opération HMMP. Par contre, cette entité joue le rôle de client quand elle est à l’origine de tâches d’administration en générant Projet DEA Réseaux de Telecom – 1998 une demande d’opération HMMP, ou en 69 / 85 Le Protocole SNMPv3 agissant selon des réponses d’opérations HMMP. Une entité HMMP peut jouer un ou les deux rôles selon son implémentation ou sa configuration. Producteur/Consommateur Une entité HMMP qui travaille avec une indication HMMP peut agir comme un producteur ou un consommateur. Cette entité joue le rôle de consommateur quand elle effectue une tâche d’administration (y compris l’envoi d’un acquittement à une indication HMMP) suite à la réception d’une indication HMMP. Par contre, cette entité joue le rôle de producteur quand elle envoie une indication HMMP. Comme pour les rôles précédents, une entité HMMP peut jouer un ou les deux rôles selon son implémentation ou sa configuration. Les modes HMMP utilise deux modes de procédures : opération et indication. Le client envoie une demande d’opération HMMP au serveur qui retourne une ou plusieurs réponses d’opération au client. Les opérations s’effectuent pour : Ramener des données d’administration du serveur; Modifier des données d’administration présentes sur le serveur; Exécuter une méthode; Le producteur éventuellement envoie (si une demandé indication par le HMMP producteur) au consommateur, renvoie un qui acquittement d’indication au producteur. L’interface entre HMMP et SNMP est réalisée par l’intermédiaire de deux providers SNMP. Ceux-ci intègrent la modélisation et la manipulation des Projet DEA Réseaux de Telecom – 1998 70 / 85 Le Protocole SNMPv3 données SNMP dans WBEM. Ainsi, on remarque que WBEM permet déjà, sans développement supplémentaire, d’intégrer la technologie SNMP. Conclusion WBEM permet donc de réduire la complexité des solutions d’administration, dans la mesure où elle offre une visualisation complète, et personnalisable par le biais d’un browser Web, des données d’administration. En effet, l’interface utilisateur est unique quel que soit la machine grâce à l’utilisation de browsers. Ensuite, WBEM fournit une uniformité dans la gestion des réseaux, des systèmes et des applications, puisqu’il permet l’accès et l’association de données de sources différentes. Puis, l’architecture est multitiers. Elle est donc dimensionnelle et distribuable. De plus, elle est basée sur des standards et elle est compatible avec les standards et protocoles existants, on peut donc dire qu’elle utilise des technologies déjà éprouvées. Par ailleurs, les frais d’investissements et de maintenance sont faibles. En effet, il n’y a pas besoin d’une station de travail coûteuse dédiée ou d’un framework compliqué, l’utilisation des browsers offre un coût faible et une utilisation indépendante des plates-formes bien que facilement extensible. Enfin, cette architecture permet de créer des nouveaux services, puisque l’intégration de services élémentaires permet la construction de services spécialisés. Projet DEA Réseaux de Telecom – 1998 71 / 85 Le Protocole SNMPv3 IX.3 - DR Web Introduction Le gestionneur DR-Web est une autre solution basée sur le Web, et elle est proposée par SNMP Research. Elle permet l’usage des gestionneurs SNMP moyennant les browsers Web populaire. Elle permet aux browsers Web l’accès aux informations basées sur SNMP dans un agent SNMP quelconque sans avoir à modifier ni le browser, ni l’agent SNMP. Le manager DR-Web permet à plusieurs Web browser d’accéder à des informations de gestion de plusieurs agent SNMP. Web Browser Web Browser HTTP Protocole Web Server DR – Web Manager BRASS System SNMPv1 Protocole SNMPv2 Protocole Agent SNMPv1 Aucun changement Agent SNMPv2 est nécessaire SNMPv3 Protocole Agent SNMPv3 dans l’architecture de SNMP pour l’introduction du manager DR-Web. Mais, il suffit d’ajouter une interface Web à cette architecture existante. Projet DEA Réseaux de Telecom – 1998 72 / 85 Le Protocole SNMPv3 Alors, de ce fait l’introduction de DR-Web n’affecte pas le réseau de gestion, basé sur SNMP, déjà implémenter, mais il offre une présentation des informations sur un browser Web qui est une interface simple, familière, portable et un coût faible. Sécurité L’interaction entre le Web browser et le manager DR Web est authentifié en utilisant un nom utilisateur et un mot de passe HTTP. L’utilisateur HTTP authentifié sera identifié pour retrouver les informations d’interaction avec l’agent SNMP ou bien, l’utilisateur fournira l’authentification SNMP dans l’URL ou bien après une demande du manager DR Web. Le manager DR Web utilise le même modèle administrative que SNMP pour la gestion des contrôles d’accès aux informations de gestion. Ainsi, un utilisateur HTTP aura un accès limité à la lecture, tandis qu’un autre utilisateur aura un accès non conditionné lecture/écriture pour un ensemble d’agents SNMP. La communication entre le Web browser et le manager DR Web pourra être sécurisé en utilisant SSL (Secure Socket Layer). BRASS BRASS renforçant ou Bilingual Request l’infrastructure d’une And Security plate-forme de Subsystem gestion est en une API offrant une architecture extensible des manager. Cette API permet aux applications de gestion de partager les bases de donnée d’un agent au lieu d’implémenter ces structures dans chaque application. En plus, BRASS est conçue de manière à permettre à plusieurs programmes l’usage simultané de l’API, sans avoir des conflits entre les applications. BRASS permet aux stations de gestion une extensibilité et une simplicité de plusieurs manières: Le support de SNMPv1, SNMPv2 et SNMPv3 simultanément. Projet DEA Réseaux de Telecom – 1998 73 / 85 Le Protocole SNMPv3 Les applications de gestion peuvent être ajouter sans avoir à comprendre les détailles de SNMP. Simplifie la configuration de sécurité pour les versions SNMPv2 et SNMPv3. Allouer un seul groupe de paramètres de sécurité pour chaque plate-forme de gestion. L’utilisation de BRASS dans une station de gestion simplifie la configuration des fichiers pour chaque agent du réseau, car avec cette conception chaque agent doit être configuré avec un seul groupe de paramètres de sécurité et pouvoir être contacter par un large système de gestion. Sans cette conception, chaque application de gestion aurait dû configurer l’agent pour pouvoir supporté ses paramètres de sécurité. L’architecture suivante montre une station de gestion utilisant BRASS. Un seul multiplexeur de gestion BRASS offre les services SNMP pour plusieurs applications. Ces services comprennent l’exécution des requêtes SNMP et la Application 1 Plate-forme d’une Station de gestion Application 2 Multiplexeur De Gestion BRASS Application 5 Application 6 Base de Donnée de configuration Application 4 Réseau réception des Trap SNMP. Projet DEA Réseaux de Telecom – 1998 74 / 85 Le Protocole SNMPv3 IX.4 - L’agent EMANATE L’agent EMANATE (Enhanced MANagement Agent Through Extensions) étend l’architecture des gestions SNMP par des agents SNMP extensibles. L’agent hiérarchique, modulaire EMANATE se constitue d’un agent Master avec zéro ou plusieurs sous agents supportant plusieurs modules MIB. Ce type d’agent est idéal pour les environnements supportant plusieurs type de produits et de constructeurs, tel que les équipements de contrôle et de surveillance des serveurs et des stations de travail… Les spécifications des interfaces EMANATE sont faciles à implémenter, et ceci en offrant un ensemble de API (Application Program Interface) utilisable par les développeurs pour étendre la capacité de gestion d’un agent. La modularité du modèle d’EMANATE réduit le niveau de coordination entre les différents groupes de développements d’un même projet. Ainsi plusieurs groupes de développement peuvent implémenter leurs éléments de gestion comme des sous agents indépendants, et par suite faciliter les problèmes d’intégration de produits, la paquetisation et le test. L’architecture d’EMANATE offre un environnement ouvert permettant à plusieurs sous agents de coexister dans le même environnement, offrant aux utilisateurs une architecture plus flexible et extensible. En même temps, l’agent Master et les sous agents apparaissent à la station de gestion comme un simple agent, offrant une vue monolithique des données, et facilitant la configuration du système. Les approches basées sur les agents proxy sont incapables d’offrir la simplicité et l’usage facile, avec une telle vue monolithique. Les sous agents EMANATE sont totalement compatibles avec les approches de sécurité et de Projet DEA Réseaux de Telecom – 1998 75 / 85 Le Protocole SNMPv3 privatisation définit récemment pour les plate-formes SNMP, et par suite peuvent être utiliser pour implémenter des approches proxy. Sous Agent Kernel Sous Agent PPP Sous Agent Manager Sous Agent Proxy API API API API Sous Agent RMON Interface Indépendante du système Interface Dépendante du système API Element Proxy Sous Agent Application API Interface Dépendante du système Interface Indépendante du système Sous Agent Système EMANATE Agent MASTER API Sous Agent Application API Réseau Projet DEA Réseaux de Telecom – 1998 76 / 85 Le Protocole SNMPv3 IX.5 - LATIN : Legacy Adapter to Internet LATIN offre une nouvelle plate-forme de gestion SNMP adapté pour les systèmes basés sur les ports d’interfaces séries. LATIN est une interface entre les ports RS232 des équipements déjà existants (Equipements legs) et une station supportant le protocole d’interconnexion réseau TCP/IP. Tous les éléments des réseaux actuels sont basés sur SNMP, mais tous les réseaux contiennent à présents des éléments ne supportant pas SNMP. Ainsi une solution doit être adaptée à ces types d’équipements legs. LATIN offre un système permettant : Détection accélérer des problèmes, en envoyant des SNMP Trap à la station de gestion en accord avec les messages provenant de l’équipement legs. Une analyse plus rehausser, en groupant et catégorisants les messages de ces équipements, filtré les messages non intéressants, sauvegardé une large quantité de message pour le support des problèmes de trace. Evolution de la sécurité, les équipements contrôler peuvent être configurés pour un contrôle d’accès dépendant des catégories de messages. De même, élimine le besoin d’accéder physiquement ses systèmes pour des raisons de diagnostiques, permettant à l’administrateur de restreindre l’accès physique aux systèmes sensibles (En bloquant l’accès aux chambres des ses équipements). Adaptation aux besoins clients, les clients décident la catégorisation des messages, quels messages natives envoient des messages SNMP Trap, et quels messages natifs à filtrer. Economisation, réduire le temps d’arrêt des systèmes legs, réutiliser les équipements déjà existant sans avoir à les remplacer par des nouveaux contrôlables à distant, faire la sauvegarde des messages sur des fichiers électroniques au lieu que sur des papiers. Projet DEA Réseaux de Telecom – 1998 77 / 85 Le Protocole SNMPv3 Projet DEA Réseaux de Telecom – 1998 78 / 85 Le Protocole SNMPv3 IX.6 - Le manager intermédiaire Le manager intermédiaire (Mid Level Manager) a un double rôle, il peut agir en même temps comme un agent d’une part et comme un manager d’une autre part. Pour les managers qui demandent des requêtes d’informations du manager intermédiaire, il apparaît comme un agent, et pour les agents qu’il interroge, il est un manager. Ce manager est utilisé le plus dans la gestion des réseaux distribués. La figure suivante montre comment un manager intermédiaire s’adapte à une hiérarchie de gestion de réseau, et ses relations avec ses supérieures et ses subordonnés. Manager d’entreprise Manager Intermédiaire Manager d’entreprise Manager Intermédiaire Manager Intermédiaire Agent SNMPv1, SNMPv2 et SNMPv3 Quand un manager intermédiaire est placé à distance du réseau local et est connecté à travers un WAN (Wide Area Network) avec le manager d’entreprise, cette architecture permet la réduction du trafic sur le réseau WAN (qui peut se traduire par une réduction significative des prix) tout en réservant le même niveau Projet DEA Réseaux de Telecom – 1998 de gestion des agents par les managers 79 / 85 Le Protocole SNMPv3 intermédiaires. Ces managers intermédiaires offrent une réponse de premier niveau aux problèmes des agents, laissant les managers d’entreprises en position d’autorisation finale. De même, si le WAN est bloqué ou arrêté, le manager intermédiaire pourra toujours continuer la gestion des agents au niveau local. Des codes applications peuvent être envoyés par des requêtes SNMP (Set request) des managers d’entreprises vers les managers intermédiaires, pour que ces derniers exécutes ses codes périodiquement ou sur demande. Et ainsi le trafic sur le WAN est réduit comme le scrute se fait localement. Ses codes d’applications sont flexibles et configurables de manières à permettre par exemple à un manager d’entreprise de lancer une seule requête vers un manager intermédiaire, qui se traduit par des requêtes attaquant plusieurs agents. Projet DEA Réseaux de Telecom – 1998 80 / 85 Le Protocole SNMPv3 IX.7 - L’approche TMN (Telecommunication management Network) de l’ITU L’ITU-T décrit une architecture physique et fonctionnelle qui puisse prendre en charge la gestion de tous les types de réseaux de télécommunication. Le TMN est une norme de l’ITU-T, applicable aux réseaux publics et privés, aux réseaux à commutation de circuits et de paquets et aux équipements associés. Les recommandations originales (M.3010), l’architecture du TMN est conceptuellement définie pour être une base de travail qui couvre tous les types de réseaux, dans les faits le TMN est plutôt orienté vers l’administration des réseaux de types circuits commutés que l’on rencontre dans les environnements de télécommunication. Le TMN détermine une structure des fonctions, des protocoles et des messages que l’administrateur de réseau peut sélectionner. Ces ensembles forment les spécifications d’un système TMN. Le TMN ne spécifie pas le système d’administration de réseau. Il ne donne aucune idée sur l’implantation du système et il ne spécifie pas la manière dont les fonctions TMN sont implantées. Seule une liste de fonctions qui peuvent être utilisées par l’administration de réseau. De plus, le TMN est applicable uniquement pour l’administration des ressources de communication, il ne l’est pas pour l’administration des applications. Le TMN offre une structure l’interconnexion de équipements télécommunication de différents de types réseaux de définie systèmes regroupés en pour permettre d’exploitation architectures t des hétérogènes. Ceci permet l’administration de différents réseaux et fournit un ensemble de normes à respecter par les constructeurs des équipements de télécommunications. De façon conceptuelle, c’est un réseau indépendant qui interface les réseaux de télécommunications en différant points pour en recevoir les informations et pour en contrôler les opérations. Le TMN utilise les architectures normalisées existantes comme le modèle OSI (Open System Interconnect) ou le modèle de l’ITU-T pour l’ATM (Asynchronous Transfert Mode) Dans le cas du modèle OSI, on retrouve l’architecture de gestion Projet DEA Réseaux de Telecom – 1998 normalisée par l’ISO (International Standard 81 / 85 Le Protocole SNMPv3 Organization): l’environnement CMIP / CMIS. Pour le modèle de l’ITU-T, une adaptation de CMIS / CMIP est effectuée. Le TMN est conceptuellement basé sur un réseau de communication de données, appelé DCN (Data Communication Network), séparé du réseau de Système d’Opération Système d’Opération Système d’Opération Accès à Distance DCN :Data Communication Network Réseau de Télécommunication télécommunication à gérer. Projet DEA Réseaux de Telecom – 1998 82 / 85 Le Protocole SNMPv3 IX.8 - Le modèle d’information CIM CIM (Common Information Model) est un modèle d’information mis au point par la DMTF (Desktop Management Task Force). CIM fournit un ensemble de classes avec leurs propriétés et des associations permettant une vue conceptuelle de la plate-forme sur laquelle on peut implémenter les informations et objets de l’environnement à administrer ou à gérer. CIM est structuré en plusieurs couches, les modèles. Modèle noyau, décrit un modèle d’information regroupant les notions applicables à tous les champs de gestion. Modèle commun, décrit un modèle d’information regroupant les notions communes à un champ de gestion, mais indépendamment implémentation d’une particulière. Ce technologie ou modèle recouvre d’une les systèmes, les applications, les réseaux et les circuits. Le modèle d’information est expliciter à un niveau permettant d’offrir une base pour les développeurs d’application de gestion. Extension de schémas, représente les extensions du modèle commun pour décrire une technologie particulière. Ces schémas sont spécifiques à un environnement comme par exemples les systèmes d’opérations (Unix, Microsoft Windows…) Le modèle noyau représente la racine pour l’extension du modèle commun. L’ajout de nouveau modèle noyau est toujours possible. Une ré-interprétation des modèles noyaux n’est pas à prévoir. Les extensions du modèle commun, sont des ajouts aux spécifications d’une plate-forme fournissant des classes concrètes et des implémentations des Projet DEA Réseaux de Telecom – 1998 83 / 85 Le Protocole SNMPv3 classes du modèle commun. Ces extensions du modèle commun offrent une liste plus étendue des informations. CIM est un modèle conceptuel qui n’est pas limiter à une implémentation particulière. Ceci permet son utilisation pour l’échange d’information de gestion de plusieurs méthodes et avec des combinaisons de ces dernières. Meta modèle de CIM Contenu de CIM À des instances Réalisation de CIM Réalisation Classe Objets (Instances de classes) Stock Sauvegarde du meta modèle d’information pour les programmes d’accès. Application DBMS Transforme les définitions conceptuelles en un schéma physique adapté à une technologie de base de donnée. Objets d’applications Définit un ensemble de donnée orienté application qui peut être instancié ou exécuté dans la technologie destination. Transfert de paramètre Le contenu d’une CIM est une instance de structure entre les applications Méthodes d’usage d’une CIM La première méthode (Stock), consiste à stocker la structure des informations dans une base de donnée. Ces structures ne sont pas des instances de l’objet, ni des relations… Mais des définitions utilisables pour l’établissement des objets et des relations. Le meta modèle utilisé par CIM est stocké dans un stock qui sera une représentation du meta modèle. Ceci est fait en balayant la structure du meta modèle en un schéma physique, puis en les stockant dans le stock sous forme de classe avec leurs propriétés exprimées en modèle noyau, modèle commun et extension de schéma. Projet DEA Réseaux de Telecom – 1998 84 / 85 Le Protocole SNMPv3 Pour une application DBMS (Data Base Management Schema), la CIM est balayée en un schéma physique de la technologie de la base de donnée (Relationnelle par exemple). Ces informations stockées dans la base de donnée sont ainsi des instances de la structure actuelle et, les applications peuvent échanger des informations s’ils ont accès à un DBMS commun et le balayage se fait d’une manière prédite. Pour les objets d’applications, La CIM est utilisée pour créer un ensemble d’objets d’applications définit par un langage particulier. Les applications peuvent ainsi échanger des informations de la CIM, s’ils ont une liaison avec les objets applications. Pour le transfert de paramètres, la CIM, exprimée en une forme de syntaxe agréer, est une classe neutre utiliser pour l’échange des informations de gestion, moyennant un ensembles d’API standards. L’échange se fait en appelant directement une ou plusieurs API, ou bien en envoyant une API orienté échange qui peut créer les objets demandés localement dans l’implémentation. Le mécanisme d’échange des informations de gestion est le format d’objet de gestion MOF (Management Object Format). La syntaxe MOF est une manière pour décrire les définitions d’objets en une forme textuelle. MOF établit la syntaxe d’écriture d’une définition. Les composants primaires des spécifications d’une MOF associations, propriétés, sont des références, descriptions méthodes et textuelles des des classes, déclarations des instances. Les remarques sont permises. Projet DEA Réseaux de Telecom – 1998 85 / 85 Le Protocole SNMPv3 Bibliographie [RFC 1155] Structure and identification of Management information for TCP/IP-based internets STD 16, RFC 1155, May 1990 [RFC 1157] The Simple Network Management Protocol STD 15, RFC 1157, May 1990 [RFC 1212] Concise MIB Definitions STD 16, RFC 1212, March 1991 [RFC 1901] Introduction to Community based SNMPv2 RFC 1901, January 1996 [RFC 1902] Structure of Management Information for Version 2 of the Simple Network Management Protocol (SNMPv2) RFC 1902, January 1996 [RFC 1905] Protocol Operations for Version 2 of the Simple Network Management Protocol (SNMPv2) RFC 1905, January 1996 [RFC 1906] Transport Mappings for Version 2 of the Simple Network Management Protocol (SNMPv2) RFC 1906, January 1906 [RFC 1907] Management Information Base for Version 2 of the Simple Network Management Protocol (SNMPv2) RFC 1907, January 1906 [RFC 1908] Coexistence between Version 1 and Version 2 of the Internet standard Network Management Framework RFC 1908, January 1996 [RFC 1909] An Administrative Infrastructure for SNMPv2 RFC 1909, February 1996 Projet DEA Réseaux de Telecom – 1998 86 / 85 Le Protocole SNMPv3 [RFC 1910] User Based Security Model for SNMPv2 RFC 1910, February 1996 [RFC 2271] An Architecture for Describing SNMP Management Frameworks RFC 2271, January 1998 [RFC 2272] Message Processing and Dispatching for the Simple Network Management Protocol (SNMP) RFC 2272, January 1998 [RFC 2273] SNMPv3 Applications RFC 2273, January 1998 [RFC 2274] The User Based Security Model for Version 3 of the Simple Network Management Protocol (SNMPv3) RFC 2274, January 1998 [RFC 2275] View Based Access Control Model for the Simple Network Management Protocol (SNMP) RFC 2275, January 1998 Ressources Internet http://www.ietf.org/ http://www.ietf.org/html.charters/snmpv3-charter.html http://www.simple-times.org/ http://www.cis.ohio-state.edu/htbin/rfc/rfc-index.thml http://www.ibr.cs.tu-bs.de/projects/snmpv3/ http://www.snmp.com/ ftp://ftp.tis.com/pub/ietf/snmpv3 ftp://ds.internic.net/rfc/rfcxxxx.txt Projet DEA Réseaux de Telecom – 1998 87 / 85