võrguhalduse laboritöö simple network management protocol … · 2015. 2. 5. · 18. november...
TRANSCRIPT
18. november 2011
Võrguhalduse laboritöö Simple Network Management
Protocol baasil
Andmeside IRT0030 Labor 4
Märt Erik
2
Teemad
Simple Network Management Protocol - SNMP
Võrguhaldusjaamad. Nagios Labori ülevaade
3
SNMP Võrguhalduse protokoll SNMP-ga hallatakse:
Erinevaid seadmeid Marsruuterid, kommutaatorid, printerid,
puhvertoiteallikad (UPS) jne Tarkvara
Veebiserverid, andmebaasid, Unix, Windows operatsioonisüsteemid jne
SNMP abil saab jälgida: Üldist informatsiooni- näiteks võrguliidest
läbinud liikluse mahtu Spetsiifilist informatsiooni- näiteks kindla
tootja marsruuteri protsessori temperatuuri
4
SNMP võrguhalduse struktuur – üksused ja nende vaheline suhtlus
Võrguhaldusjaam ehk Network Management Station (NMS) - server, mille peal töötab haldusülesandeid täitev tarkvara infrastruktuuri seadmete ja tarkvara seireks
Agent - tarkvara, mis töötab jälgitavate võrguseadmete peal
Transpordikihil kasutatakse UDP-d. Agent ootab serveri päringuid pordil 161 Server ootab agendilt trap teateid pordil 162
5
SNMP võrguhalduse struktuur – üksused ja nende vaheline suhtlus
6
SNMP võrguhalduse struktuur - haldusinfostruktuur SNMP tuumikuks on tegevuste kogumik- ja
haldusinfo, mida nende tegevuste käigus kogutakse-, mis annab võrgu haldajale võimaluse pärida ja muuta SNMP-d toetavate seadmete/ tarkvara objektide olekut
Haldusinfo koosneb hallatavatest objektidest (hallatav objekt ja hallatav seade on erinevad asjad)
Objektide täpne kirjeldamine, nimetamine ja objektidega seotud andmetüübid määratakse haldusinfostruktuuri (Structure of Management Information - SMI) poolt
Hallatav objekt määratakse ära unikaalselt objekti identifikaatoriga- object identifier - OID
7
SNMP võrguhalduse struktuur - haldusinfostruktuur
SNMP info saamiseks päritakse seadmest objekte Selleks, et teada missuguseid objekte otsida ja
kuidas neid üles leida, peavad olema kindlad reeglid ja struktuur
Sellise struktuuri saavutamiseks on objektid organiseeritud puulaadsesse hierarhiasse
Objekt (OID) koosneb täisarvude (integer) jadast, mis on eraldatud punktidega. On olemas ka inimloetav kuju- sel juhul koosneb OID nimede jadast, mis on samuti kõik eraldatud punktidega.
Seega saab kasutada numbreid kui ka numbritele vastavaid nimesid, et moodustada kindel objekt.
8
SNMP võrguhalduse struktuur - haldusinfostruktuur
sysDescr(1) OID: .1.3.6.1.2.1.1.1.0 .iso.org.dod.internet.
mgmt.mib-2. system.sysDescr.0
Seadmes hoitakse infot kahel viisil: skalaarsel- ja tabelkujul
9
SNMP võrguhalduse struktuur - haldusinfostruktuur
OID definitsioon sisaldab nelja osa: SYNTAX, MAX-ACCESS, STATUS, DESCRIPTION
sysDescr näide: sysDescr OBJECT-TYPE SYNTAX DisplayString (SIZE (0..255)) MAX-ACCESS read-only STATUS current DESCRIPTION "A textual description of the entity. This
value should include the full name and version identification of the system's hardware type, software operating- system, and networking software.“
::= { system 1 }
10
SNMP võrguhalduse struktuur - haldusinfobaas Kõik haldusinfo objektid on organiseeritud
kindlate tingimuste alusel ja pandud kirja baasidesse
Baase kutsutakse haldusinfobaasi mooduliteks ehk Management Information Base module – MIB
MIB-id on: Standardsed - toetavad kõik seadmed, mis toetavad
SNMP-d. Tootjaspetsiifilised – privaatsed MIB-id, mis sisaldavad
objekte, mis on kasutusel ainult kindla tootja seadmetes
11
SNMP võrguhalduse struktuur - haldusinfobaas
Väga oluline haldusinfobaas on MIB-2, sest iga seade, mis toetab SNMP-d peab toetama ka seda MIB-i
MIB-2 koosneb mitmest erinevast rühmast. Need rühmad on lahti võetud ning defineeritud erinevates MIB moodulites
12
SNMP protsessid
SNMP informatsiooni kogumiseks ja seadmiseks on erinevad protsessid. Tutvustatakse get, getnext, set ja trap protsesse
Protsesside rakendamiseks on Linuxis käsu üldkuju: snmp_protsessi_nimi võtmed seade OID
Enim kasutatavad võtmed on: -v mis määrab kasutatava SNMP versiooni -c mis nimetab kogukonnanime
Get protsessi rakendava käsu näide: snmpget -v 2c -c public 192.168.1.5 sysUpTime.0
13
SNMP protsessid - get
Get’i algatab NMS, mis saadab päringu agendile. Agent võtab päringu vastu, töötleb seda ja saadab vastuse NMS-ile
Get kasutatakse üldiselt üksikute OID väärtuste pärimiseks
Linuxi käsk: snmpget
14
SNMP protsessid - getnext Getnext protsess käigus
täidetakse käskude jada, et välja otsida hulk väärtusi MIB-ist
Getnext käsk vaatab terve MIB-i või alampuu läbi sõnaraamatu struktuuri põhimõttel
Linuxi käsk: snmpwalk (ja snmpgetnext)
15
SNMP protsessid - set
Set protsessi kasutatakse hallatava objekti väärtuse muutmiseks või tabelisse uue rea loomiseks
OID, mis on MIB-is määratud read-write õigustega, saab muuta ja lisada
Linuxi käsk: snmpset
16
SNMP protsessid - trap
Trap on agendi viis öelda võrguhaldusjaamale, et midagi on seadmega juhtunud
Trap pärineb agendist ja saadetakse sihtkohta, mis on agendis seadistatud- üldiselt on selleks NMS-i IP aadress
17
SNMP turvalisus
SNMP-ga hallatavale informatsioonile võivad rakenduda kindlad ohud
Ohtude realiseerumisel tekib informatsiooni turvalisuse kadu
Ohtudeks on näiteks: Teesklus (masquerading) Informatsiooni muutmine (modification of information) Sõnumivoo muutmine (message stream modification) Avalikustamine (disclosure) Teenusetõkestamine (Denial of Service ehk DoS)
18
SNMP versiooni 1 (SNMPv1) ja 2 (SNMPv2) turvalisus
SNMPv1-l on väga primitiivsed turvalisuse funktsioonid- kogukonnanimi Autentimine Ligipääsuõigused
SNMP sõnumid liiguvad võrgus avatud tekstina- seega lihtne teada saada kogukonnanime ja pealt kuulata kogu SNMP liiklust
SNMPv2-l ei tehtud turvalisuse osas mingeid muudatusi.
19
SNMP versiooni 3 (SNMPv3) turvalisus SNMPv3-le lisati turvalisuse funktsioonid
Tugev autentimine Ligipääsuõigused Krüpteerimine
Kasutajapõhine turvalisuse mudel (User-Based Security Model - USM) teostab turvalisuse teenuseid autentimise ja krüpteerimise jaoks (kasutatakse kahte erinevat salajast võtit). Lisaks võimaldab USM kasutajatel ligi pääseda samale agendile erinevate õigustega ja erinevale haldusinformatsioonile
SNMPv3 ei lase realiseeruda eelnevalt nimetatud ohtudel (v.a teenusetõkestamine)
SNMPv3 puhul lisandub SNMP protsesside rakendamiseks Linuxi käskudele mitmeid võtmeid.
20
Võrguhaldusjaamad
Hewlett-Packard OpenView Operations ServersCheck Monitoring Software Zabbix OpenNMS Nagios
21
Võrguhaldusjaamad - Nagios Võrguhaldusjaama tarkvara, mis võimaldab jälgida
teenuste, serverite ja võrguseadmete kättesaadavust Probleemide korral saadetakse teavitus määratud
kasutajatele - näiteks e-posti või SMS-i kaudu Haldus veebipõhise kasutajaliidese kaudu. Jälgitavad
seadmed ja teenused määratakse eelnevalt kindlas konfiguratsioonifailis
Nagiose töö aluseks on pistikprogrammid (plugin), mille abil päritakse teenuseid (näiteks SMTP, IMAP, HTTP, FTP, DNS), seadistusi, jälgitakse serveri "sisemist" infot, nagu koormus, kettamaht, protsesside arv, kontrollitakse seadme ülevalolekut jne.
Võimalik siduda mitmete muude tarkvaradega, näiteks NagiosGrapher (Nagiosest kogutud informatsiooni raporteerimiseks graafikute kujul) või Syslog-ng (Nagiose logide haldamiseks)
Nagios on kasutamiseks tasuta
22
Labori topoloogia
23
Labori ülesanded
SNMP-ga informatsiooni pärimine SNMP-ga informatsiooni muutmine Turvalise SNMPv3-e kasutamine SNMP trap’i saatmine Reaalsete olukordade lahendamine Nagiose seadistamine
24
Tänan!
Küsimusi?