18. november 2011

Võrguhalduse laboritöö Simple Network Management

Protocol baasil

Andmeside IRT0030 Labor 4

Märt Erik

2

Teemad

Simple Network Management Protocol - SNMP

Võrguhaldusjaamad. Nagios Labori ülevaade

3

SNMP Võrguhalduse protokoll SNMP-ga hallatakse:

Erinevaid seadmeid Marsruuterid, kommutaatorid, printerid,

puhvertoiteallikad (UPS) jne Tarkvara

Veebiserverid, andmebaasid, Unix, Windows operatsioonisüsteemid jne

SNMP abil saab jälgida: Üldist informatsiooni- näiteks võrguliidest

läbinud liikluse mahtu Spetsiifilist informatsiooni- näiteks kindla

tootja marsruuteri protsessori temperatuuri

4

SNMP võrguhalduse struktuur – üksused ja nende vaheline suhtlus

Võrguhaldusjaam ehk Network Management Station (NMS) - server, mille peal töötab haldusülesandeid täitev tarkvara infrastruktuuri seadmete ja tarkvara seireks

Agent - tarkvara, mis töötab jälgitavate võrguseadmete peal

Transpordikihil kasutatakse UDP-d. Agent ootab serveri päringuid pordil 161 Server ootab agendilt trap teateid pordil 162

5

SNMP võrguhalduse struktuur – üksused ja nende vaheline suhtlus

6

SNMP võrguhalduse struktuur - haldusinfostruktuur SNMP tuumikuks on tegevuste kogumik- ja

haldusinfo, mida nende tegevuste käigus kogutakse-, mis annab võrgu haldajale võimaluse pärida ja muuta SNMP-d toetavate seadmete/ tarkvara objektide olekut

Haldusinfo koosneb hallatavatest objektidest (hallatav objekt ja hallatav seade on erinevad asjad)

Objektide täpne kirjeldamine, nimetamine ja objektidega seotud andmetüübid määratakse haldusinfostruktuuri (Structure of Management Information - SMI) poolt

Hallatav objekt määratakse ära unikaalselt objekti identifikaatoriga- object identifier - OID

7

SNMP võrguhalduse struktuur - haldusinfostruktuur

SNMP info saamiseks päritakse seadmest objekte Selleks, et teada missuguseid objekte otsida ja

kuidas neid üles leida, peavad olema kindlad reeglid ja struktuur

Sellise struktuuri saavutamiseks on objektid organiseeritud puulaadsesse hierarhiasse

Objekt (OID) koosneb täisarvude (integer) jadast, mis on eraldatud punktidega. On olemas ka inimloetav kuju- sel juhul koosneb OID nimede jadast, mis on samuti kõik eraldatud punktidega.

Seega saab kasutada numbreid kui ka numbritele vastavaid nimesid, et moodustada kindel objekt.

8

SNMP võrguhalduse struktuur - haldusinfostruktuur

sysDescr(1) OID: .1.3.6.1.2.1.1.1.0 .iso.org.dod.internet.

mgmt.mib-2. system.sysDescr.0

Seadmes hoitakse infot kahel viisil: skalaarsel- ja tabelkujul

9

SNMP võrguhalduse struktuur - haldusinfostruktuur

OID definitsioon sisaldab nelja osa: SYNTAX, MAX-ACCESS, STATUS, DESCRIPTION

sysDescr näide: sysDescr OBJECT-TYPE SYNTAX DisplayString (SIZE (0..255)) MAX-ACCESS read-only STATUS current DESCRIPTION "A textual description of the entity. This

value should include the full name and version identification of the system's hardware type, software operating- system, and networking software.“

::= { system 1 }

10

SNMP võrguhalduse struktuur - haldusinfobaas Kõik haldusinfo objektid on organiseeritud

kindlate tingimuste alusel ja pandud kirja baasidesse

Baase kutsutakse haldusinfobaasi mooduliteks ehk Management Information Base module – MIB

MIB-id on: Standardsed - toetavad kõik seadmed, mis toetavad

SNMP-d. Tootjaspetsiifilised – privaatsed MIB-id, mis sisaldavad

objekte, mis on kasutusel ainult kindla tootja seadmetes

11

SNMP võrguhalduse struktuur - haldusinfobaas

Väga oluline haldusinfobaas on MIB-2, sest iga seade, mis toetab SNMP-d peab toetama ka seda MIB-i

MIB-2 koosneb mitmest erinevast rühmast. Need rühmad on lahti võetud ning defineeritud erinevates MIB moodulites

12

SNMP protsessid

SNMP informatsiooni kogumiseks ja seadmiseks on erinevad protsessid. Tutvustatakse get, getnext, set ja trap protsesse

Protsesside rakendamiseks on Linuxis käsu üldkuju: snmp_protsessi_nimi võtmed seade OID

Enim kasutatavad võtmed on: -v mis määrab kasutatava SNMP versiooni -c mis nimetab kogukonnanime

Get protsessi rakendava käsu näide: snmpget -v 2c -c public 192.168.1.5 sysUpTime.0

13

SNMP protsessid - get

Get’i algatab NMS, mis saadab päringu agendile. Agent võtab päringu vastu, töötleb seda ja saadab vastuse NMS-ile

Get kasutatakse üldiselt üksikute OID väärtuste pärimiseks

Linuxi käsk: snmpget

14

SNMP protsessid - getnext Getnext protsess käigus

täidetakse käskude jada, et välja otsida hulk väärtusi MIB-ist

Getnext käsk vaatab terve MIB-i või alampuu läbi sõnaraamatu struktuuri põhimõttel

Linuxi käsk: snmpwalk (ja snmpgetnext)

15

SNMP protsessid - set

Set protsessi kasutatakse hallatava objekti väärtuse muutmiseks või tabelisse uue rea loomiseks

OID, mis on MIB-is määratud read-write õigustega, saab muuta ja lisada

Linuxi käsk: snmpset

16

SNMP protsessid - trap

Trap on agendi viis öelda võrguhaldusjaamale, et midagi on seadmega juhtunud

Trap pärineb agendist ja saadetakse sihtkohta, mis on agendis seadistatud- üldiselt on selleks NMS-i IP aadress

17

SNMP turvalisus

SNMP-ga hallatavale informatsioonile võivad rakenduda kindlad ohud

Ohtude realiseerumisel tekib informatsiooni turvalisuse kadu

Ohtudeks on näiteks: Teesklus (masquerading) Informatsiooni muutmine (modification of information) Sõnumivoo muutmine (message stream modification) Avalikustamine (disclosure) Teenusetõkestamine (Denial of Service ehk DoS)

18

SNMP versiooni 1 (SNMPv1) ja 2 (SNMPv2) turvalisus

SNMPv1-l on väga primitiivsed turvalisuse funktsioonid- kogukonnanimi Autentimine Ligipääsuõigused

SNMP sõnumid liiguvad võrgus avatud tekstina- seega lihtne teada saada kogukonnanime ja pealt kuulata kogu SNMP liiklust

SNMPv2-l ei tehtud turvalisuse osas mingeid muudatusi.

19

SNMP versiooni 3 (SNMPv3) turvalisus SNMPv3-le lisati turvalisuse funktsioonid

Tugev autentimine Ligipääsuõigused Krüpteerimine

Kasutajapõhine turvalisuse mudel (User-Based Security Model - USM) teostab turvalisuse teenuseid autentimise ja krüpteerimise jaoks (kasutatakse kahte erinevat salajast võtit). Lisaks võimaldab USM kasutajatel ligi pääseda samale agendile erinevate õigustega ja erinevale haldusinformatsioonile

SNMPv3 ei lase realiseeruda eelnevalt nimetatud ohtudel (v.a teenusetõkestamine)

SNMPv3 puhul lisandub SNMP protsesside rakendamiseks Linuxi käskudele mitmeid võtmeid.

20

Võrguhaldusjaamad

Hewlett-Packard OpenView Operations ServersCheck Monitoring Software Zabbix OpenNMS Nagios

21

Võrguhaldusjaamad - Nagios Võrguhaldusjaama tarkvara, mis võimaldab jälgida

teenuste, serverite ja võrguseadmete kättesaadavust Probleemide korral saadetakse teavitus määratud

kasutajatele - näiteks e-posti või SMS-i kaudu Haldus veebipõhise kasutajaliidese kaudu. Jälgitavad

seadmed ja teenused määratakse eelnevalt kindlas konfiguratsioonifailis

Nagiose töö aluseks on pistikprogrammid (plugin), mille abil päritakse teenuseid (näiteks SMTP, IMAP, HTTP, FTP, DNS), seadistusi, jälgitakse serveri "sisemist" infot, nagu koormus, kettamaht, protsesside arv, kontrollitakse seadme ülevalolekut jne.

Võimalik siduda mitmete muude tarkvaradega, näiteks NagiosGrapher (Nagiosest kogutud informatsiooni raporteerimiseks graafikute kujul) või Syslog-ng (Nagiose logide haldamiseks)

Nagios on kasutamiseks tasuta

22

Labori topoloogia

23

Labori ülesanded

SNMP-ga informatsiooni pärimine SNMP-ga informatsiooni muutmine Turvalise SNMPv3-e kasutamine SNMP trap’i saatmine Reaalsete olukordade lahendamine Nagiose seadistamine

24

Tänan!

Küsimusi?