ESGIS - SÉCURITÉ INFORMATIQUE

Licence 2 - Semestre 03
Année Académique : 2024 - 2025

SUPERVISION DES RÉSEAUX

Enseignant: M. Arnold Yadega BANDAWA

Réseaux Télécom
yabandawa@[Link]
+228 91527884
 2
UE: Contenu

1 Présentation de la Supervision des Réseaux

2 Protocole SNMP >> MIB et ASN.1

3 Manipulation de SNMP.V1 et V3

4 Requêtes SNMP

5 Construction de MIB

6 Manipulation de Nagios ou Centreon

SUPERVISION DES RÉSEAUX

 SUPERVISION DES RÉSEAUX
3

3 Manipulation de
SNMP.V1 et V3

SUPERVISION DES RÉSEAUX

 SUPERVISION DES RÉSEAUX
3 Manipulation de SNMP.V1 et V3

Compatibilité entre les versions 1 et 2 de SNMP

L’interopérabilité entre SNMPv1 et SNMPv2c n’est pas préservée

➢ le format des messages change (nouvelles notifications)
➢ des commandes supplémentaires sont introduites

2 solutions :
➢ un agent SNMPv2 joue le rôle de proxy fait la traduction
➢ un manager supportant à la fois SNMPv1 et v2
 SUPERVISION DES RÉSEAUX
3 Manipulation de SNMP.V1 et V3

Architecture SNMP V3
➢ Propose une nouvelle terminologie : on ne parle plus de manager, d’agent mais d’entité
➢ Constitue une transition vers une architecture p2p et modulaire : une entité est composée
d’un engin de base et d’applications

Fig. 3.7 : Architecture SNMP V3

 SUPERVISION DES RÉSEAUX
3 Manipulation de SNMP.V1 et V3

Sécurité sur SNMP V3

SNMPv3 et la sécurité
Une entité SNMP est exposée à plusieurs dangers :
➢ Modification des informations
➢ Mascarade*
➢ Modification du flux de messages

A cet effet, SNMP propose

➢ Des mécanismes de sécurité
➢ Une configuration standardisée des mécanismes de sécurité

*Une mascarade a lieu lorsqu'une entité prétend être une autre

entité. Une attaque de ce type inclut habituellement une des autres
formes d'attaque active
 SUPERVISION DES RÉSEAUX
3 Manipulation de SNMP.V1 et V3

Sécurité sur SNMP V3

Mécanismes de sécurisation de SNMPv3

Les algorithmes de hachage MD5* (Message-Digest Algorithm) et Secure Hash (SHA) sont utilisés pour calculer des
hashs
➢ Se prémunir contre des attaques modifiant les données
➢ Fournir indirectement une authentification de l’origine
➢ Se défendre contre des attaques de type mascarade

Une synchronisation avec des indicateurs de temporisation permet de se prémunir de certaines attaques de
modification de flux. A cet effet, un mécanisme de synchronisation d’horloge sans intervention d’un tiers est proposé :
➢ Les messages sont chiffrés en ayant recours à DES (Data Encryption Standard)
➢ Un contrôle d’accès aux informations et aux terminaux administrés est proposé

*[Link]
 8
UE: Contenu

1 Présentation de la Supervision des Réseaux

2 Protocole SNMP >> MIB et ASN.1

3 Manipulation de SNMP.V1 et V3

4 Requêtes SNMP

5 Construction de MIB

6 Manipulation de Nagios ou Centreon

SUPERVISION DES RÉSEAUX

 SUPERVISION DES RÉSEAUX
9

4 Requêtes SNMP

SUPERVISION DES RÉSEAUX

 SUPERVISION DES RÉSEAUX
4 Requêtes SNMP

Message SNMP
Le message SNMP dans son ensemble est une séquence de 3 champs :

Format PDU
 SUPERVISION DES RÉSEAUX
4 Requêtes SNMP

Message SNMP

Format d’une trap – SNMPv1

Format d’une trap – SNMPv2

Recherche
Format d’une trap – SNMPv3
 SUPERVISION DES RÉSEAUX
4 Requêtes SNMP

Requêtes SNMP

snmp-server community esgis ro

snmp-server community esgis rw
 SUPERVISION DES RÉSEAUX
4 Requêtes SNMP

TP

*Centreon: Nom de connexion

P@ssword: MdP du Serveur de Supervision
 14
UE: Contenu

1 Présentation de la Supervision des Réseaux

2 Protocole SNMP >> MIB et ASN.1

3 Manipulation de SNMP.V1 et V3

4 Requêtes SNMP

5 Construction de MIB

6 Manipulation de Nagios ou Centreon

SUPERVISION DES RÉSEAUX

 SUPERVISION DES RÉSEAUX
15

5 Construction de
MIB

SUPERVISION DES RÉSEAUX

 SUPERVISION DES RÉSEAUX
5 Construction de MIB

Représentation des données MIB

Les paramètres pouvant être examinés ou modifiés par l’agent sont définis dans une MIB
(Management Information Base), qui est un document décrivant ces différents paramètres, leur type
(nombre entier, chaîne de caractères...), s’ils sont modifiables ou non (dans l’absolu,
indépendamment des droits d’accès), etc.

La MIB la plus utilisée est certainement la MIB-II, décrite dans le RFC 1213, qui définit un
ensemble cohérent de paramètres communs à tous les équipements.

Chaque élément d’une MIB est défini par un nom et un numéro (comme d’habitude, on retrouve
cette dualité, les noms étant plus faciles à manipuler pour nous, pauvres humains, et les nombres
plus faciles à manipuler par les ordinateurs). Ainsi, dans la MIB-II, l’objet sysContact, indiquant le
nom de la personne responsable d’un équipement, est défini ainsi :
 SUPERVISION DES RÉSEAUX
5 Construction de MIB

Représentation des données MIB

 SUPERVISION DES RÉSEAUX
5 Construction de MIB

Représentation des données MIB

SYNTAX indique le type de l’objet selon la syntaxe ASN.1 (Abstract Syntax Notation One).
ACCESS indique le mode d’accès à l’objet. Les valeurs suivantes sont possibles :
• read-only
• read-write
• write-only
• not-accessible

STATUS : Indique si l’objet doit obligatoirement être présent dans toute implémenta-tion de la MIB ou pas. Les valeurs
suivantes sont possibles :
• mandatory
• optional
• obsolete

DESCRIPTION : est un texte destiné à l’administrateur et qui décrit l’objet.

La dernière ligne de la définition attribue à l’objet sysContact le numéro 4 dans le groupe system. En effet, les MIB sont
hiérarchisées à la manière des répertoires dans un système de fichiers. Le nom complet de cet objet au sein de la MIB-II est
donc [Link] (le point est utilisé comme séparateur) ou bien system.4 ou bien [Link] (system a pour numéro 1)
ou, encore moins lisible, 1.4.
 SUPERVISION DES RÉSEAUX
5 Construction de MIB

Représentation des données MIB

• La racine de la hiérarchie n’a pas de nom et est désignée simplement par un point.
• iso (1) désigne l’International Organization for Standardization.
• org (3) a été créé par l’ISO à l’intention de divers organismes.
• dod (6) a été attribué au ministère de la Défense des États-Unis (Department of Defense).
• internet (1) regroupe tout ce qui touche à l’Internet.
• mgmt (2), enfin, est utilisé pour les standards de l’IAB.
Sous .[Link], la MIB-II a pour nom mib-2 et pour numéro 1, de telle sorte que l’objet
sysContact a pour nom absolu :
 SUPERVISION DES RÉSEAUX
5 Construction de MIB

Représentation des données MIB

En pratique, cet objet est d’un type discret (ce n’est pas un tableau et il ne contient donc qu’une valeur) donc
on lui ajoute un .0 final, ce qui donne comme nom absolu :

Les objets pouvant contenir plusieurs valeurs se voient ajouter à leur nom un .1 pour la première valeur, .2
pour la deuxième et ainsi de suite.

Les opérations
Sans rentrer dans le détail du protocole et des formats de paquets, il est néanmoins intéressant de savoir un
minimum comment fonctionne le dialogue entre un agent SNMP et un logiciel d’administration.
 SUPERVISION DES RÉSEAUX
5 Construction de MIB

TP

RouterO
snmp-server community read ro

Snmp-server community write rw

 22
UE: Contenu

1 Présentation de la Supervision des Réseaux

2 Protocole SNMP >> MIB et ASN.1

3 Manipulation de SNMP.V1 et V3

4 Requêtes SNMP

5 Construction de MIB

6 Manipulation de Nagios ou Centreon

SUPERVISION DES RÉSEAUX

 SUPERVISION DES RÉSEAUX
23

6 Manipulation de
Nagios

SUPERVISION DES RÉSEAUX