SNMP: Sareko Gailuen Informazioa Partekatzeko Protokoloa

○ Simple Network Management Protocol

○ Sareko gailuen artean informazioa partekatzeko protokoloa

○ Administratzaileei sarearen funtzionamendu egokia ikuskatzeko aukera ematen die

○ SNMP sistema bat 4 osagaiz osatuta dago:

● SNMP Manager: administratzailearen ordenagailuan dagoen softwarea sareari buruzko informazioa jasotzeko

● SNMP Agent: Sare gailuetan erabiltzen den softwarea SNMP Manager-ei informazioa bidaltzeko

● Management Information Base (MIB): Manager batek agenteei egin diezazkien galderen multzoa dauka: CPU erabilera, memoria erabilera, trafikoa,…

● SNMP Protokoloa: Agente eta manager-en arteko mezuak arautzen ditu. UDP protokoloa erabiltzen du.

SNMP Bertsioak

○ 3 bertsio nagusi:

● 1. SNMP bertsioa:

○ Lehenengo bertsio originala

○ Segurtasun txikia, pasahitzak (community strings) testu soilean

● 2c SNMP bertsioa:

○ Eskaera motak gehitzen ditu

○ Segurtasun txikia, pasahitzak (community strings) testu soilean

○ Bertsio erabiliena da

·3. SNMP bertsioa:

○ Segurtasun hobekuntzak, entitateetan oinarritua, erabiltzaile eta erabiltzaile taldeak

● Integritatea: Mezuak ezin dira bidean daudenean aldatu

● Kautotzea: pasahitzak hash funtzioekin zifratuta

● Enkriptazioa: mezuak zifratuta bidaltzen dira

SNMP Mezuak

○ GET: agente baten MIB objektu baten balioa eskuratu

○ GET-NEXT: agente baten MIB-ko hurrengo objektuaren balioa eskuratu

○ GET-RESPONSE: agenteek erabiltzen dute GET eta GET-NEXT eskaerei erantzuteko

○ SET: agente baten MIB objektu baten balioa ezartzeko

○ TRAP: agenteetan erabilia gertaerak edo alarmak definitzeko (traps)

○ INFORM: agente bati, gertaera edo alarma baten informazioa ondo ailegatu dela esateko. Beharrezkoak dira SNMP protokoloak UDP erabiltzen duenez, informazioa galdu daitekeelako

○ GETBULK: informazio multzo handia eskuratzeko

SNMP Oinarrizko Konfigurazioa

○ Momentuko SNMP konfigurazioa ikusteko

● Switch# show snmp

○ SNMP gailuan administratzaile bat ezartzeko

● Switch(config)# snmp-server contact izena

○ SNMP gailuaren kokalekua ezartzeko

● Switch(config)# snmp-server location lekua

○ SNMP gailuan pasahitza (community string) ezartzeko

● Switch# snmp-server community pasahitza [ro|rw]

Net-SNMP

○ Linux-erako SNMP tresna multzoa

○ Makina lokala monitorizatzeko agente bat eta monitorizazio datuak jasotzeko manager bat ekartzen ditu

● SNMP gailuetatik informazioa eskuratzeko komandoak erabiltzeko aukera ematen du

○ snmp eta snmpd paketeak instalatu behar dira

○ snmpwalk:

● GET-NEXT motako eskaerak egiten ditu gailu baten informazio guztia jaso arte

● >snmpwalk –v snmp_bertsioa –c community_string gailuaren_IP

● > snmpwalk -v 1 -c public 10.14.7.109

○ snmpget:

● Objektu zehatz baten informazioa eskuratzeko

● >snmpget –v snmp_bertsioa –c community_string gailu_IP objektu_OID

● > snmpget -v 1 -c public 10.14.7.109 iso.3.6.1.2.1.2.2.1.7.24

○ snmpset:

● Agenteko objektu bati balio bat emateko

● >snmpset –v snmp_bertsioa –c community_string gailu_IP objektu_OID type balioa ○ Balio motak-> i: INTEGER, u: unsigned INTEGER, a: IPADDRESS, s: STRING...

● > snmpset -v 1 -c private 10.14.7.109 iso.3.6.1.2.1.2.2.1.7.24 u 2

● Kontuz! snmpset aginduaren bitartez urruneko gailu baten kontrola hartu daiteke, adibidez switch baten interfazeak itzaltzeko

Cacti

○ Web tresna SNMP gailuak monitorizatzeko

○ Gailuaren informazioa grafiko moduan aurkezten da

○ Instalazioa konplexua gerta daiteke, pakete ugari erabiltzen dituelako eta bertso ezberdinen artean talkak sortu daitezkeelako

● Pakete garrantzitsuenak: Apache2, MariaDB, PHP, SNMP eta RRDTool

○ Beste monitorizazio tresna batzuk: Pandora FMS, Nagios, Zabbix…

Cacti: Alertak

○ Cacti alertak sortzeko konfiguratu daiteke, maila bat gainditzen denean

● Alerta aktibatzen denean, email bat bidaltzen dio erabiltzaile zehatz bati

● Plug-in berri bat instalatu behar da Cacti-n: Thold

Zabbix

○ Beste web tresna bat sare baten trafikoa monitorizatzeko metodo ezberdinak erabiltzen dituena, hauen artean SNMP

○ Cacti baino errazagoa instalatzeko, baina konfiguratzeko zailagoa

○ Denbora luze xamarra behar du informazioa eskuratu eta erakusteko (maiz ordu bete baino gehiag)

SNMPv3

○ Segurtasun hobekuntza

● 3 segurtasun maila; batek enkriptatzen du trafikoa

SNMPv3 Ahalbidetu localhosten

○ snmpd konfigurazio fitxategia aldatu behar da. Erabiltzaile bat sortuko da segurtasun maila altuenarekin eta pasahitzak (community strings) desgaitua :

● $ sudo gedit /etc/snmp/snmpd.conf

● SNMPv3 AUTHENTICATION atalean erabiltzaile berria sortu behar da.

○ createUser username SHA password DES

● ACCESS CONTROL atalean pribilegio maila eman behar da eta pasahitzak (community strings) desgaitu.

○ #rocommunity public default

○ rouser username priv

SNMPv3 Ahalbidetu switchean

○ Erabiltzaile talde bat sortu pribilegio maila batekin

○ Sortu erabiltzailea talde barruan.