Administration système & réseau Partie IV : Administration...

40
Administration système & réseau Partie IV : Administration des réseaux 1 Prof. Rami Langar LIGM/UPEM http://perso.u-pem.fr/~langar

Transcript of Administration système & réseau Partie IV : Administration...

Page 1: Administration système & réseau Partie IV : Administration ...perso.u-pem.fr/~langar/UPEM_courses/Administration_Reseaux/Adm… · Supervision de réseaux : SNMP • Le réseau

Administration système & réseau

Partie IV : Administration des réseaux

1

Prof. Rami Langar LIGM/UPEM

http://perso.u-pem.fr/~langar

Page 2: Administration système & réseau Partie IV : Administration ...perso.u-pem.fr/~langar/UPEM_courses/Administration_Reseaux/Adm… · Supervision de réseaux : SNMP • Le réseau

Administration réseaux •  Ensemble des moyens mis en œuvre

–  pour garantir l’efficacité du système et sa disponibilité, –  pour assurer la surveillance des coûts et la planification des

évolutions

•  L’administration d’un réseau suppose l’existence d’une base d’information décrivant l’ensemble des objets administrés –  Grand nombres d’objets concernés –  Nécessite un dialogue entre les composants

Page 3: Administration système & réseau Partie IV : Administration ...perso.u-pem.fr/~langar/UPEM_courses/Administration_Reseaux/Adm… · Supervision de réseaux : SNMP • Le réseau

Administration réseaux •  L’ISO définit 5 domaines d’administration

–  Gestion des configurations •  Paramétrage des équipements et de la topologie

–  Gestion des performances •  Mesures, statistiques de la charge, des flux et des erreurs

–  Gestion des pannes •  Détection et localisation des défaillances et contournement

–  Gestion de la sécurité •  Protection du réseau et des utilisateurs contre les intrusions et

malveillances –  Gestion de la comptabilité

•  Recensement, facturation, rentabilisation, contrat de maintenance

Page 4: Administration système & réseau Partie IV : Administration ...perso.u-pem.fr/~langar/UPEM_courses/Administration_Reseaux/Adm… · Supervision de réseaux : SNMP • Le réseau

Gestion des configurations •  Consiste à maintenir un inventaire précis des

ressources matérielles (type, équipement, etc.,) et logicielles (version, fonction, etc.,)

•  Connaître la répartition géographique des équipements gérés

Page 5: Administration système & réseau Partie IV : Administration ...perso.u-pem.fr/~langar/UPEM_courses/Administration_Reseaux/Adm… · Supervision de réseaux : SNMP • Le réseau

Gestion des performances •  Mettre en œuvre des moyens permettant d’évaluer le

comportement des objets gérés •  Déterminer si la qualité de service (QoS) est rendue

aux utilisateurs •  On retrouve aussi :

–  La collecte d’information (audit) •  Mesure de trafic •  Temps de réponse •  Taux d’erreurs

–  Le stockage (archivage) –  L’interprétation des mesures (calcul de charge)

Page 6: Administration système & réseau Partie IV : Administration ...perso.u-pem.fr/~langar/UPEM_courses/Administration_Reseaux/Adm… · Supervision de réseaux : SNMP • Le réseau

Gestion des pannes

•  Diagnostic rapide de toute défaillance –  Externe : coupure d’un lien public, … –  Interne : panne d’un routeur, …

•  On retrouve aussi : –  Surveillance et traitement des alarmes –  Localisation et diagnostic des incidents –  Mémorisation des anomalies (journalisation) –  Définition des opérations curatives

Page 7: Administration système & réseau Partie IV : Administration ...perso.u-pem.fr/~langar/UPEM_courses/Administration_Reseaux/Adm… · Supervision de réseaux : SNMP • Le réseau

Gestion de la sécurité •  Regroupe tous les domaines de la sécurité afin

d’assurer l’intégrité des informations traitées et des objets administrés –  Contrôle d’accès au réseau –  Confidentialité des données –  Intégrité des données –  Authentification –  …

Page 8: Administration système & réseau Partie IV : Administration ...perso.u-pem.fr/~langar/UPEM_courses/Administration_Reseaux/Adm… · Supervision de réseaux : SNMP • Le réseau

Gestion de la comptabilité

•  Cette fonction permet essentiellement d’imputer les coûts du réseau à ses utilisateurs selon l’usage réel des moyens (comptabilité analytique)

•  On retrouve : –  Définition des centres de coût –  Mesure des dépenses (structure) et répartition –  Mesure des consommations par service –  Imputation des coûts

Page 9: Administration système & réseau Partie IV : Administration ...perso.u-pem.fr/~langar/UPEM_courses/Administration_Reseaux/Adm… · Supervision de réseaux : SNMP • Le réseau

Supervision de réseaux : SNMP •  Le réseau est hétérogène:

–  un seul ensemble d’opérations et un protocole d'administration (SNMP)

–  Une seule base d’information répartie (MIB)

•  SNMP (Simple Network Management Protocol) –  Protocole créé en 1988 par l’IETF (Internet Engineering

Task Force) pour répondre aux besoins d’administration du réseau Internet

•  Objectifs de SNMP : –  Fédérer en un standard unique des protocoles multiples liés

aux équipementiers –  Déploiement rapide et à moindre coût

Page 10: Administration système & réseau Partie IV : Administration ...perso.u-pem.fr/~langar/UPEM_courses/Administration_Reseaux/Adm… · Supervision de réseaux : SNMP • Le réseau

Supervision de réseaux : SNMP •  Permet aux administrateurs réseau

–  de gérer les équipements du réseau –  de surveiller leur comportement

•  Chaque élément potentiellement administrable est doté d’un agent –  Programme fonctionnant sur un élément réseau

(commutateurs, routeurs) et/ou stations de travail et serveurs •  Tous les agents sont contrôlés par une (ou des)

station(s) d’administration ou station(s) maîtresse(s) (NMS : Network Management System)

•  Les informations d’administration d’un élément du réseau sont stockées dans une structure arborescente appelée MIB (Management Information Base)

Page 11: Administration système & réseau Partie IV : Administration ...perso.u-pem.fr/~langar/UPEM_courses/Administration_Reseaux/Adm… · Supervision de réseaux : SNMP • Le réseau

SNMP : 4 parties clefs

•  Management information base (MIB) –  Information distribuée stockée sur les équipements gérés

•  Structure of Management Information (SMI) –  Langage de définition des objets de la MIB

•  Le protocole SNMP –  Communication gestionnaire <=> objets gérés

•  Sécurité –  Communautés en SNMPv1 et v2, les vues –  Ajout principal de SNMPv3

Page 12: Administration système & réseau Partie IV : Administration ...perso.u-pem.fr/~langar/UPEM_courses/Administration_Reseaux/Adm… · Supervision de réseaux : SNMP • Le réseau

Historique – version initiale SNMPv1 •  Est devenue et reste le standard de facto dans la

communauté Internet •  Cette version est largement critiquée du fait du

manque de sécurité : – L’authentification se base sur un mot de passe

(champs community string) transporté en clair sur le réseau

–  1992 : volonté de sécuriser SNMP avec SNMPsec

Page 13: Administration système & réseau Partie IV : Administration ...perso.u-pem.fr/~langar/UPEM_courses/Administration_Reseaux/Adm… · Supervision de réseaux : SNMP • Le réseau

Historique – SNMPv2 •  SNMPv2 reprend le modèle de SNMPv1 et

comble ces lacunes fonctionnelles : –  Introduit une communication entre managers – Améliore la modélisation des objets (qui reste proche

de SNMPv1) –  Introduit une primitive limitant le nombre d’objets

regroupés et envoyés sur le réseau – En améliore la structure des messages de notifications

Page 14: Administration système & réseau Partie IV : Administration ...perso.u-pem.fr/~langar/UPEM_courses/Administration_Reseaux/Adm… · Supervision de réseaux : SNMP • Le réseau

Historique – SNMPv3 •  Fait basculer le modèle client-serveur de

SNMPv1/v2 dans le modèle peer-to-peer et modulaire: –  la notion de maître/esclave est remplacée au profis de

celle d’entité – L’ensemble des fonctionnalités est décomposée en

modules •  Fournit un réel support en matière de sécurité :

confidentialité, authentification, intégrité des messages

Page 15: Administration système & réseau Partie IV : Administration ...perso.u-pem.fr/~langar/UPEM_courses/Administration_Reseaux/Adm… · Supervision de réseaux : SNMP • Le réseau

Le protocole SNMP •  SNMP est défini par 3 principaux RFCs (1157, 1213 et

1155) : 3 versions coexistent •  Le protocole est basé sur l’échange de messages

(requêtes et réponses) entre l’élément réseau à surveiller et la station d’administration

•  Les messages SNMP sont encapsulés dans des paquets UDP (numéros de port 161 (commandes) et 162 (traps)) –  Avantage : simplicité et peu de puissance nécessaire pour faire

fonctionner l’agent –  Inconvénient : protocole non fiable

•  Une écriture sera suivie d’une lecture de la valeur pour vérification •  En cas de non réponse, la requête est réitérée

Page 16: Administration système & réseau Partie IV : Administration ...perso.u-pem.fr/~langar/UPEM_courses/Administration_Reseaux/Adm… · Supervision de réseaux : SNMP • Le réseau

Format des données en SNMP

•  La version du protocole (=0 pour SNMPv1) •  La communauté : un environnement d’accès pour un groupe de

manager. Un agent ne connaissant pas le nom de la communauté est exclu.

Page 17: Administration système & réseau Partie IV : Administration ...perso.u-pem.fr/~langar/UPEM_courses/Administration_Reseaux/Adm… · Supervision de réseaux : SNMP • Le réseau

Le protocole SNMP •  La station maîtresse (manager) :

–  Est chargée d’interroger régulièrement les agents (questions/réponses) : approche de type pull

–  Est aussi le destinataire des alertes (traps) qui sont générés spontanément par les agents : approche de type push

•  Plus la fréquence d’interrogation est élevée, plus les informations remontées seront détaillées, mais plus le trafic sera important

Page 18: Administration système & réseau Partie IV : Administration ...perso.u-pem.fr/~langar/UPEM_courses/Administration_Reseaux/Adm… · Supervision de réseaux : SNMP • Le réseau

Le protocole SNMP •  L’agent :

–  Fournit un accès à un objet local MIB qui reflète l’état des ressources et l’activité de l’hôte

–  Répond aux requêtes de la station maîtresse en renvoyant la valeur du paramètre recherché (e.g., le nombre de messages reçus sur un lien)

–  Positionne des variables aux valeurs qui lui leur sont envoyées

–  Emet spontanément une alarme lors d’un événement critique

–  Possède des noms de communauté («public» par défaut) pour se protéger des requêtes de lecture ou d’écriture indésirables

Page 19: Administration système & réseau Partie IV : Administration ...perso.u-pem.fr/~langar/UPEM_courses/Administration_Reseaux/Adm… · Supervision de réseaux : SNMP • Le réseau

Le protocole SNMP •  5 types de messages ou requêtes SNMP peuvent être

échangés (SNMPv1) entre agent et manager –  Get Request

•  demande de la valeur courante de la variable indiquée (identifiée par un OID)

–  Get Next Request •  demande de la valeur «suivante» dans l’arborescence

–  Get Response •  envoi de la valeur demandée

–  Set Request •  configuration d’une variable à la valeur indiquée

–  Trap •  indication autonome de l’agent (notification non sollicitée)

Page 20: Administration système & réseau Partie IV : Administration ...perso.u-pem.fr/~langar/UPEM_courses/Administration_Reseaux/Adm… · Supervision de réseaux : SNMP • Le réseau

Le protocole SNMP

Page 21: Administration système & réseau Partie IV : Administration ...perso.u-pem.fr/~langar/UPEM_courses/Administration_Reseaux/Adm… · Supervision de réseaux : SNMP • Le réseau

Les Traps •  Envoyés par l’agent

–  Sans accusé de réception •  Trois types :

–  Traps génériques

Page 22: Administration système & réseau Partie IV : Administration ...perso.u-pem.fr/~langar/UPEM_courses/Administration_Reseaux/Adm… · Supervision de réseaux : SNMP • Le réseau

Les Traps •  Trap propriétaires

–  Inclus dans la MIB propriétaire –  Ex: pour CISCO –  Iso.org.dod.internet.private.enterprises.cisco.specific-trap-

number •  Trap de MIB non propriétaires

–  Ex: MIB RDBMS (bases de données relationnelles) RFC 1697

Page 23: Administration système & réseau Partie IV : Administration ...perso.u-pem.fr/~langar/UPEM_courses/Administration_Reseaux/Adm… · Supervision de réseaux : SNMP • Le réseau

Le protocole SNMP •  MIBs

–  Stockent les informations d’administration d’un élément du réseau sous forme arborescente

–  Chaque objet de la MIB •  possède un identificateur unique ou OID (Object ID) •  se conforme au codage ASN.1 (Abstract Syntax Notation) de l’ISO et

peut être de différents formats (numérique entier, suite de bits, suite d’octets, nul, identificateur d’objet)

–  De multiples MIB ont été définies en complément •  Par technologies : Ethernet, Token-Ring, FDDI, 100VG-AnyLan, X.

25 … •  Par équipements : répéteur Ethernet, Bridge, Source-Route bridge,

sonde •  Par protocole : BGP-4, PPP, RIP-2, OSPF, DNS, AppleTalk, …

Page 24: Administration système & réseau Partie IV : Administration ...perso.u-pem.fr/~langar/UPEM_courses/Administration_Reseaux/Adm… · Supervision de réseaux : SNMP • Le réseau

Le protocole SNMP •  Structure de la MIB

–  Se compose d’une racine non nommée à partir de laquelle sont référencés de façon absolue les objets (nœuds de l’arbre)

–  Chaque nœud de l’arbre possède un nom symbolique –  Chaque objet peut être identifié de façon symbolique ou

en utilisant son OID –  Les différents niveaux de la hiérarchie sont gérés par

différentes organisations (ISO, CCITT au niveau 1)

Page 25: Administration système & réseau Partie IV : Administration ...perso.u-pem.fr/~langar/UPEM_courses/Administration_Reseaux/Adm… · Supervision de réseaux : SNMP • Le réseau

Structure de la MIB •  La hiérarchie est organisée en deux

parties : •  La partie en dessous de 1.3.6 (dod)

–  est la seule à être utilisée par SNMP –  est prévue pour le dod, département

de la défense américain à l’origine de l’Internet

•  Private (4) : les vendeurs peuvent définir des branches privées incluant les objets MIB de leurs propres produits.

Page 26: Administration système & réseau Partie IV : Administration ...perso.u-pem.fr/~langar/UPEM_courses/Administration_Reseaux/Adm… · Supervision de réseaux : SNMP • Le réseau

Nommage SNMP

Page 27: Administration système & réseau Partie IV : Administration ...perso.u-pem.fr/~langar/UPEM_courses/Administration_Reseaux/Adm… · Supervision de réseaux : SNMP • Le réseau

Structure de la MIB

Exemple : pour connaitre le temps depuis lequel une machine est allumée, il suffit de regarder dans la MIB le chemin vers l’objet sysUpTime oid: .1.3.6.1.2.1.1.3

Page 28: Administration système & réseau Partie IV : Administration ...perso.u-pem.fr/~langar/UPEM_courses/Administration_Reseaux/Adm… · Supervision de réseaux : SNMP • Le réseau

Exemple de MIB : le module UDP

Page 29: Administration système & réseau Partie IV : Administration ...perso.u-pem.fr/~langar/UPEM_courses/Administration_Reseaux/Adm… · Supervision de réseaux : SNMP • Le réseau

Les MIBs propriétaires

•  Dans l’arbre général, un sous arbre est dédié aux entreprises iso.org.dod.internet.private.entreprises (1.3.6.1.4.1)

•  Dans ce sous arbre, les entreprises ont chacune un numéro (demandé à l’IANA ‒ Internet Asssigned Numbers Autority) –  Ex: CISCO a le numéro 9

•  iso.org.dod.internet.private.entreprises.cisco => 1.3.6.1.4.1.9

Page 30: Administration système & réseau Partie IV : Administration ...perso.u-pem.fr/~langar/UPEM_courses/Administration_Reseaux/Adm… · Supervision de réseaux : SNMP • Le réseau

La pratique

•  Commande snmpwalk (du package Net-SNMP) sous machines unix pour parcourir un sous arbre.

•  Obtenir la description d’un objet: snmptranslate -  IR : permet de ne pas donner le chemin absolu -  Td: détails

Page 31: Administration système & réseau Partie IV : Administration ...perso.u-pem.fr/~langar/UPEM_courses/Administration_Reseaux/Adm… · Supervision de réseaux : SNMP • Le réseau

Logiciels de supervision •  Ont pour tâche de mettre en œuvre tous les

mécanismes génériques autour de SNMP –  enregistrement (log) avec filtrage divers et déclenchement

d’actions sur événement (trap reçu) –  découverte du réseau (IP) et maintient d’une base de

données des éléments découverts (adresses MAC, adresses IP, type d’équipements …)

–  surveillance minimale de la présence de ces éléments (polling périodique)

–  aide à la construction de graphes par interrogation de variables spécifiques

–  mise en œuvre de script combinant polling, conditions et actions

Page 32: Administration système & réseau Partie IV : Administration ...perso.u-pem.fr/~langar/UPEM_courses/Administration_Reseaux/Adm… · Supervision de réseaux : SNMP • Le réseau

Logiciels de supervision •  Auto-découverte

–  Ne consiste pas à localiser physiquement les machines, mais à connaître leur existence par

•  écoute des adresses réseau qui communiquent •  interrogation des adresses potentielles à l’aide de ping •  interrogation SNMP

–  requête Get sur une valeur élémentaire de la MIB II (par exemple sysObjectID dans System)

–  Processus tournant sans arrêt en tâche de fond –  Prise en compte dynamique de

•  l’apparition des nouveaux nœuds dans le réseau •  la disparition (temporaire ou non) de certains autres (signalée par une

alarme)

Page 33: Administration système & réseau Partie IV : Administration ...perso.u-pem.fr/~langar/UPEM_courses/Administration_Reseaux/Adm… · Supervision de réseaux : SNMP • Le réseau

Logiciels de supervision •  Plusieurs logiciels d’administration disponibles

–  Commerciaux •  OpenView d’HP •  NetView/6000 d’IBM •  Solstice de SunSoft •  ISM de Bull •  Spectrum de Cabletron •  WhatsUpGold de Ipswitch

–  Open Source •  Nagios •  Zenoss •  OpenNMS •  Observium

Page 34: Administration système & réseau Partie IV : Administration ...perso.u-pem.fr/~langar/UPEM_courses/Administration_Reseaux/Adm… · Supervision de réseaux : SNMP • Le réseau

Observium •  SNMP based auto-discover network monitoring

tool –  Ecrit en PHP, comme une application Web –  Supporte des matériels de plusieurs équipementiers :

Cisco, Juniper, Brocade, Foundry, HP –  See: http://www.observium.org/wiki/Supported_Devises

•  Métriques de supervision: –  CPU, mémoire, statistiques sur le storage –  Trafic par interface, par paquet –  Process, charge…

Page 35: Administration système & réseau Partie IV : Administration ...perso.u-pem.fr/~langar/UPEM_courses/Administration_Reseaux/Adm… · Supervision de réseaux : SNMP • Le réseau

Observium

Page 36: Administration système & réseau Partie IV : Administration ...perso.u-pem.fr/~langar/UPEM_courses/Administration_Reseaux/Adm… · Supervision de réseaux : SNMP • Le réseau

Métrologie •  Par définition, désigne la science des mesures •  Dans le cadre des réseaux informatiques, son

objectif est de «connaître et comprendre le réseau» afin de pouvoir –  intervenir dans l'urgence en cas de problème, –  anticiper l'évolution du réseau, –  planifier l'introduction de nouvelle applications, –  améliorer les performances pour les utilisateurs

Page 37: Administration système & réseau Partie IV : Administration ...perso.u-pem.fr/~langar/UPEM_courses/Administration_Reseaux/Adm… · Supervision de réseaux : SNMP • Le réseau

Métrologie •  Protocoles utilisés

–  SNMP •  Récupération à intervalles réguliers des valeurs des compteurs

sur les équipements actifs •  Mise à jour d’histogrammes à partir des données collectées

–  NetFlow •  Protocole développé par Cisco permettant la comptabilisation

de flux réseaux •  Supporté par la majorité des vendeurs d’équipements réseaux •  Il existe des protocoles similaires (sFlow chez InMon, LFAP

chez Riverstone notamment)

Page 38: Administration système & réseau Partie IV : Administration ...perso.u-pem.fr/~langar/UPEM_courses/Administration_Reseaux/Adm… · Supervision de réseaux : SNMP • Le réseau

Métrologie •  MRTG (Multi Router Traffic Grapher) est un logiciel

développé sous licence GNU/GPL qui permet de créer des graphiques à partir d’une série de statistiques (charge réseau, bande passante, température,...) obtenue via SNMP

Trafic de/vers les clients

Trafic de/vers le serveur

Connexions TCP

Page 39: Administration système & réseau Partie IV : Administration ...perso.u-pem.fr/~langar/UPEM_courses/Administration_Reseaux/Adm… · Supervision de réseaux : SNMP • Le réseau

Autres outils •  Protocole HTTP

–  Utilisation d’un navigateur Web comme outil d’interrogation

–  L’agent est plus autonome (mini-serveur Web) mais doit prendre en charge une partie des fonctions de mises en forme des informations

–  Un protocole légèrement mieux adapté que HTTP doit être adopté pour gérer plus complètement les aspects liés à la sécurité (HTTPS par exemple)

•  Téléchargement

–  Mise à jour des OS et des fichiers de configuration par TFTP (Trivial File Transfert Protocol)

Page 40: Administration système & réseau Partie IV : Administration ...perso.u-pem.fr/~langar/UPEM_courses/Administration_Reseaux/Adm… · Supervision de réseaux : SNMP • Le réseau

Autres outils •  Telnet/SSH

–  Permet d’accéder à l’interface de configuration des matériels réseau (switch, routeur …)

•  Analyseurs de protocoles –  Logiciel permettant d’intercepter et de décoder le trafic

réseau (eg. Wireshark) –  La connexion réseau est placée dans un mode d’opération

«libéral» (promiscuous) •  tous les paquets transitant par le segment du réseau sont acceptés,

y compris ceux à destination des autres nœuds –  Utile pour comprendre les protocoles de réseau et en

corriger les dysfonctionnements, mais pose des problèmes de sécurité