1. Anim par : LABRIGUI Jihane

2. Le mtier dadministrateur devient de plus en plus complexe. Un dfi majeur pour lquipe est de gagner en temps et en efficacit grce un bon outil de supervision. Les systmes dinformation tant par nature complexes, leur supervision est indispensable.

3. Les systmes dinformation sont tous diffrents de par leur taille, leur nature, leur criticit. Ils ont cependant pour point commun dtre le thtre dincidents, un moment ou un autre. La loi de Murphy est immuable. Si quelque chose peut mal tourner, alors elle finira infailliblement par mal tourner . Les administrateurs doivent concevoir larchitecture du systme dinformation de telle manire quune panne ait un impact minimal sur le reste du systme. Ils doivent aussi grer les ventuels problmes. 80% de lactivit dun administrateur consiste en la rsolution de problmes que rencontrent les utilisateurs.

4. Les utilisateurs : un moyen de supervision peu fiable et pas toujours agrable. Les utilisateurs ne manquent pas de signaler aux administrateurs les problmes quils y rencontrent. les problmes surviennent soit par manque de formation des utilisateurs, soit par relle carence du systme. Lutilisateur rclamant un problme nest gnralement ni tendre ni trs prcis. Une solution de supervision permet ladministrateur dviter ce genre de soucis.

5. Ladministrateur est prvenu rapidement dune situation anormale. Il dispose de plus dinformations pertinentes et peut immdiatement satteler la rsolution du problme. En outre, certaines ressources ne sont utilises quoccasionnellement, sans outil de supervision, lerreur nest pas remonte. Les systmes tant de plus en plus imbriqus, une simple erreur peut en produire un nombre incalculable dautres (effet domino).

6. Une ressource fait partie dune architecture plus large. En cas de problme, cette ressource peut emporter avec elle tout un pan de la construction. Assurer une vitesse de dtection et de raction. La rsolution rapide du problme pargne les autres lments. Gagner du temps et minimiser la charge du travail.

7. Un historique pour remonter la source des problmes. Un outil de supervision permet de conserver un historique des alertes. Analyser les incidents qui se sont produits juste avant le problme constat permet de remonter la source. On arrive rsoudre le problme rapidement.

8. Certains problmes sont prcds de signes annonciateurs avant de devenir bloquants. Reprer ces signes est une plus-value non ngligeable des outils de supervision. Surveiller le systme dinformation y compris pendant les priodes non ouvres prsente bien des avantages. tre proactif ; rsoudre les problmes, avant mme quils ne se prsentent, condition dtre bien inform.

9. Distinguer entre les plaintes abusives des utilisateurs et les vritables soucis de performance. Accorder des priorits sur les interventions pour se concentrer sur lessentiel. prvoir les besoins futurs et dimensionner au mieux le systme dinformation. Les outils de supervision ont souvent un champ daction qui stend au-del du seul primtre du systme dinformation.

10. La mise en place dun outil de supervision est un projet complexe, dont il faut prvoir et prvenir les plus gros obstacles. Un dfaut courant dans la mise en place dune solution de supervision est de la traiter comme une opration purement technique. la russite du projet de supervision sera autant technique quorganisationnelle. La supervision doit voluer avec le SI.

11. Trouver lquilibre entre ne rien rater dimportant et vouloir tout superviser . Il vaut mieux alors avoir trop dindicateurs que pas assez. Si un indicateur napporte aucune information par rapport un autre dj en place, il ne faut pas le surveiller. Il est vivement dconseill de mettre en place la totalit de la supervision en une seule opration.

12. Faire accepter le projet de supervision ses suprieurs. Intrt de faire adhrer toute lquipe loutil. Limiter le nombre dalertes et les hirarchiser. Alerter uniquement les bonnes personnes. Des indicateurs aussi simples et clairs que possible. Est peru comme un surveillant permanent.

13. Les indicateurs de mtrologie sont comme les pices dans un plat : sil ny en a pas assez, cest fade ; sil y en a trop, cest curant. Un nombre insuffisant dindicateurs ne permet pas coup sr que lun dentre eux claire sur la cause probable dun problme. Sil y en a trop, les informations risquent dtre en double , de prendre plus despace et de capacit de calcul et cela fait perdre du temps. Trouver un juste milieu est ncessaire.

14. Les outils de supervision ne doivent pas se contenter dun rle de supervision. Ils doivent galement tre lcoute des autres outils afin de centraliser les informations. Une seule console de supervision. La modularit : rduire si possible le nombre de superviseurs.

15. L'organisme international de normalisation ISO (International Standards Organization) a cr un comit visant produire un modle pour l'administration rseau, sous la direction du groupe OSI. Ce modle se dcline en quatre parties: Le modle dorganisation Le modle dinformations Le modle de communication Le modle fonctionnel

16. Le modle d'organisation dcrit les composants de l'administration rseau, par exemple administrateur, agent, et ainsi de suite, avec leurs relations. La disposition de ces composants mne diffrents types d'architecture. Le modle dinformations est relatif la structure et au stockage des informations d'administration rseau. Ces informations sont stockes dans une base de donnes, appele base d'informations de management (MIB). L'ISO a tabli la structure des informations d'administration (SMI) pour dfinir la syntaxe et la smantique des informations d'administration stockes dans la MIB. Le modle de communication traite de la manire dont les donnes d'administration sont transmises entre les processus agent et administrateur. Il est relatif au protocole d'acheminement, au protocole d'application et aux commandes et rponses entre gaux. Le modle fonctionnel concerne les applications d'administration rseau qui rsident sur la station d'administration rseau (NMS). Le modle d'administration OSI compte cinq domaines fonctionnels, parfois appels le modle FCAPS.

17. La gestion de la configuration rseau. La gestion des performances. La gestion des anomalies. La gestion de la scurit. La gestion de la comptabilit.

18. La gestion des anomalies est souvent le module le plus populaire au sein des outils de gestion rseaux. Permet de dtecter, isoler et rsoudre les problmes rseaux rencontrs voire mme de prdire des incidents potentiels. Rduire les temps darrt, la dgradation des performances ou tout autre incident Dtection des incidents, correction des anomalies, isolation des incidents, notifications des incidents, corrlation des alertes,

19. La gestion de la configuration permet de collecter et de stocker les informations de configuration des quipements ; que ce soit physiques ou systmes. Il permet donc dobtenir un inventaire des quipements et des programmes prsents. De plus, cet inventaire sera continuellement jours. Simplifie le processus de changement et en obtenir un rel suivi. Rcolte des informations systmes, gnration de statistiques, gestion des backups, management des changements, analyse des tendances (dusage) pour prparer la consommation future,

20. La gestion des accs permet de faire des statistiques utilisateurs. En effet, en prenant en compte les usages ainsi que lanalyse des accs aux quipement, on peut tablir une relle estimation des cots. Rpartition des ressources de faon optimale et quitable entre les utilisateurs du rseau. Utilisation des systmes plus efficace, en minimisant le cot des oprations. Analyse de lusage matriel et logiciel, gestion des cots,

21. La gestion des performances vise mesurer les diffrents aspects de la performance des quipements et des systmes. Permet de comprendre ltat actuel du rseaux et de savoir comment il se comporte. Prparer le rseaux pour les futurs besoins. Gestion des performances inclus la mesure de diffrents indicateurs. Assurer la disponibilit du service et les performances un niveau optimal. Gestion des seuils pour les alertes, gnration de graphs concernant diffrents indicateurs, prdire lutilisation futur en analysant les perfs,

22. La gestion de la scurit prend en charge la protection des quipements, la scurit daccs via une authentification encrypte ainsi que la protection des informations confidentielles. Protger le rseau contre les hackers, les utilisateurs non autoriss, ou mme contre le sabotage physique du matriel. La confidentialit des donnes doit tre grer selon les besoins clients et doit tre maintenue un seuil donn tout au long du cycle de vie du rseau. Gestion des autorisations, historique des accs, gnration daudit,

23. Simple Network Management Protocol. Protocole de communication entre agent et station de gestion(NMS). Permet aux administrateurs rseau de superviser, diagnostiquer et de grer les quipements du rseau. Dvelopp par lIETF. RFC 1157.

24. Le protocole SNMP a commenc merger dans les annes 1980 et a volu en plusieurs versions. SNMPv1 : c'est la premire version du protocole. La scurit de cette version est minimale, car elle est base sur la connaissance entre les parties d'une chane de caractres appele "communaut" ; SNMPv2c : cette version du protocole est appele "community string based SNMPv2". Elle amliore encore les requtes protocolaires par rapport SNMPv2p et utilise la scurit par chane de caractres "communaut" de SNMPv1 ; SNMPv3 : cette version, supportant les "proxies", est une combinaison de la scurit base sur les usagers, les types et les oprations dfinis dans SNMPv2p. La scurit est base sur les versions SNMPv2u et SNMPv2*. Autres version rarement adoptes : SNMPsec , SNMPv2p, SNMPv2u , SNMPv2*

25. Actuellement, les versions les plus utilises sont : SNMPV1, SNMPV3 et SNMPV2c. Le fait que la version 1 de SNMP perdure de nos jours s'explique par plusieurs facteurs : Les infrastructures dployes en version 1 ne sont plus modifies sous prtexte que l'on ne modifie pas quelque chose qui fonctionne ; Les nouvelles versions de SNMP ont t implmentes avec beaucoup de retard par les diffrents quipementiers (Le protocole CMIP t dvelopp en parallle). SNMPv1 est un protocole trs simple qui demande peu de ressources lors de son implantation sur un petit quipement (une imprimante ou un hub ).

26. Les buts du protocole SNMP sont de : Connatre l'tat global d'un quipement (actif, inactif, partiellement oprationnel...) ; Grer les vnements exceptionnels (perte d'un lien rseau, arrt brutal d'un quipement...) ; Analyser diffrents indicateurs afin d'anticiper les problmes futurs (engorgement rseau...) ; Agir sur certains lments de la configuration des quipements.

27. Un agent SNMP est un logiciel implant sur un quipement superviser. Il s'agit souvent d'un quipement rseau (switch, hub, routeur...) mais on trouve aussi des agents sur des serveurs. Le rle d'un agent SNMP est : d'instancier les diffrentes variables de la MIB spcifiques cet quipement ; de mettre jour les valeurs dynamiques de ces diffrentes variables ; de recevoir les requtes SNMP envoyes par le superviseur SNMP et d'y rpondre ; d'envoyer les messages SNMP "Trap" ou "Inform" au superviseur SNMP pour le prvenir d'un vnement exceptionnel sur l'quipement ; de grer la scurit des accs aux variables de la MIB

28. Le rle d'un superviseur (NMS) SNMP est de : prsenter (si possible de manire graphique), une vue de l'infrastructure supervise avec l'tat des diffrents quipements qui la composent. Dans les grosses infrastructures, il est courant que le superviseur SNMP affiche son cran sur un mur d'images dans la salle de supervision ; communiquer avec les diffrents agents SNMP pour rcuprer rgulirement les diffrents tats des quipements ; ragir en consquence lorsqu'une variable de la MIB sort des limites dfinies par l'oprateur (engorgement du rseau, taux de remplissage du disque dur...). On peut dfinir les actions raliser en cas de raction automatique (envoi d'un mail par exemple). Le comportement le plus courant d'un superviseur SNMP sera de modifier la couleur de l'quipement en cause pour alerter visuellement l'oprateur ; recevoir en temps rel les messages SNMP "Trap" ou "Inform" en provenance des quipements et modifier l'affichage gnral en consquence pour reflter le nouvel tat ; prendre en compte l'volution de l'infrastructure en permettant l'ajout de nouveaux quipements dans le primtre de supervision.

29. HP OpenView (dsormais Network Node Manager). C'est une solution payante, rfrence en matire de supervision rseau ; Nagios (anciennement appel Netsaint). C'est une application permettant la surveillance systme et rseau. Elle surveille les htes et services spcifis, alertant lorsque les systmes vont mal et quand ils vont mieux. C'est un logiciel libre sous licence GPL ; Zabbix. C'est un logiciel open source cr par Alexei Vladishev qui permet de surveiller le statut de divers services rseau, serveurs et autres matriels rseau ; Multi Router Traffic Grapher (MRTG). C'est un logiciel dvelopp sous licence GNU/GPL l'initiative de Tobi Oetiker. Ce logiciel permet de crer des graphiques sur le trafic rseau. Il utilise le protocole SNMP pour interroger des quipements rseau tels que des routeurs, des commutateurs, ou des serveurs, disposant d'une MIB ; Centreon. C'est un logiciel de surveillance et de supervision rseau, fond sur le moteur de rcupration d'information libre Nagios.

30. Vigilo. C'est un logiciel de supervision capable de grer des systmes htrognes (autant rseau que serveurs) de grande taille grce une architecture rpartie et modulaire construite autour de Nagios. BMC ProactiveNet Performance Management (anciennement BMC Patrol). C'est une solution de supervision payante dont l'diteur estBMC Software. OpenNMS. OpenNMS est une plateforme de management et de supervision rseau dvelopp dans le cadre du logiciel libre ou le modle open source. Il dispose d'une communaut ainsi que d'une organisation offrant des services commerciaux, de formation et de soutien. NerveCenter. NerveCenter est une plateforme de gestion de rseau qui permet aux responsables informatiques de facilement et rapidement dtecter et corriger les problmes qui affectent les rseaux distribus d'aujourd'hui. NetView. NetView est une solution de gestion rseau distribu dveloppe par IBM Tivoli. WhatsUpGold. WhatsUpGold est une solution payante de supervision et de management rseau dite par la socit IPSWITCH

31. Avec SNMP, tout est ASN.1 (Abstract Syntax Number 1). ASN.1 est un standard international spcifiant une notation destine dcrire des structures de donnes. La description en ASN.1 d'une structure de donnes a pour but d'obtenir une spcification de la structure qui est indpendante d'un encodage li un matriel particulier et sans ambigut. Les trames transportes par le rseau sont aussi codes en ASN.1.

32. Le protocole SNMP est un protocole rseau qui comporte diffrentes requtes. Ces requtes sont regroupes en 3 familles : les messages du superviseur SNMP vers l'agent SNMP ; les messages de l'agent SNMP vers le superviseur SNMP ; les messages entre agents SNMP. Le protocole SNMP est un protocole qui utilise UDP. Traditionnellement, les ports suivants sont utiliss : l'agent SNMP utilise le port UDP 161 pour recevoir les messages "Get Request", "Get Next Request" et "Set Request" ; le superviseur SNMP utilise le port UDP 162 pour recevoir les messages "Trap", "Notification" et "Inform".

33. Les messages envoys par le superviseur SNMP vers l'agent SNMP sont : Message "Get Request" : ce message permet au superviseur d'interroger un agent sur les valeurs d'un ou de plusieurs objets de la MIB ; Message "Get Next Request" : ce message permet au superviseur d'interroger un agent pour obtenir la valeur de l'objet suivant dans l'arbre des objets de l'agent. Ce message permet de balayer des objets indexs de type tableau ; Message "Get Bulk Request" : introduite avec la version 2 du protocole SNMP, ce message permet de mixer les messages "Get Request" et "Get Next Request" pour obtenir des blocs entiers de rponses de la part de l'agent ; Message "Set Request" : ce message permet au superviseur de positionner ou modifier la valeur d'un objet dans l'agent ;

34. Les messages envoys par l'agent SNMP vers le superviseur SNMP sont : Message "Get Response" : ce message est utilis par l'agent pour rpondre aux messages "Get Request", "Get Next Request" et "Get Bulk Request" envoys par le superviseur ; Message "Trap" : ce message est envoy par l'agent son superviseur de manire asynchrone pour signaler un vnement, un changement d'tat ou un dfaut. L'agent n'attend pas d'acquittement de la part du superviseur ; Message "Notification" : introduit avec la version 2 du protocole SNMP, ce message est similaire au message "Trap". Il est envoy par l'agent son superviseur de manire asynchrone pour signaler un vnement, un changement d'tat ou un dfaut. L'agent n'attend pas d'acquittement de la part du manager ; Message "Inform" : introduit avec la version 2 du protocole SNMP, ce message est envoy par l'agent son superviseur de manire asynchrone pour signaler un vnement, un changement d'tat ou un dfaut. L'agent attend un acquittement de la part du superviseur et il y aura une retransmission en cas de non rponse.

35. Le seul message envoy entre les agents SNMP est : Message "Report" : introduit avec la version 2 du protocole SNMP mais jamais implment, ce message permet aux diffrents agents de communiquer entre eux (principalement pour remonter des problmes de traitement des messages SNMP).

36. La scurit apporte par la version 3 de SNMP repose sur les concepts suivants : le modle USM (User-based Security Model). Ce modle est dfini par le RFC 3414 ; le modle VACM (View-based Access Control Model). Ce modle est dfini par le RFC 3415. Trois mcanismes sont utiliss par le modle USM. Chacun de ces mcanismes a pour but d'empcher les attaques suivantes : l'authentification, qui permet d'empcher la modification d'un paquet SNMPv3 en cours de route et de valider le mot de passe de la personne qui transmet la requte ; le cryptage, qui permet d'empcher la lecture des informations de gestions contenues dans un paquet SNMPv3 ; l'estampillage du temps qui permet d'empcher la rutilisation d'un paquet SNMPv3 valide a dj transmis. Le modle VACM quant lui, permet de contrler l'accs aux variables de la MIB en restreignant leur accs en lecture ou en criture pour un groupe d'utilisateurs ou pour un utilisateur spcifique.

37. Les tapes d'authentification sont les suivantes : Le transmetteur groupe des informations transmettre avec le mot de passe. On passe ensuite ce groupe dans la fonction de hachage une direction. Les donnes et le code de hachage sont ensuite transmis sur le rseau. Le receveur prend le bloc des donnes, et y ajoute le mot de passe. On passe ce groupe dans la fonction de hachage une direction. Si le code de hachage est identique celui transmis, le transmetteur est authentifi.

38. Le cryptage a pour but d'empcher que quelqu'un n'obtienne les informations de gestion en coutant sur le rseau les requtes et les rponses de quelqu'un d'autre. Avec SNMPv3, le cryptage de base se fait sur un mot de passe partag entre le manager et l'agent. Pour des raisons de scurit, SNMPv3 utilise deux mots de passe : un pour l'authentification et un pour le cryptage. Ceci permet au systme d'authentification et au systme de cryptage d'tre indpendants. SNMPv3 se base sur DES (Data Encryption Standard) pour effectuer le cryptage.

39. Si une requte est transmise, les mcanismes d'authentification et de cryptage n'empchent pas quelqu'un de saisir un paquet SNMPv3 valide du rseau et de tenter de le rutiliser plus tard, sans modification. On appelle ce type d'attaques le Replay Attack . Pour viter ceci, le temps est estampill sur chaque paquet. Quand on reoit un paquet SNMPv3, on compare le temps actuel avec le temps dans le paquet. Si la diffrence est plus que suprieur 150 secondes, le paquet est ignor.

40. La MIB est la base d'informations de gestion. Il y est : des informations consulter, des paramtres modifier, des alarmes mettre... SNMP permet de retrouver les informations et d'agir sur les paramtres de faon indpendante du matriel, comme du logiciel. La MIB se prsente comme une base de donnes normalise, qui permettra de lire et d'crire sur les quipements distants, de faon galement normalise. L'agent quant lui se chargera de faire la traduction entre les informations transmises par SNMP et la plate- forme.

41. La structure de la MIB est hirarchique. les informations sont regroupes en arbre. Chaque information a un object identifier qui est une suite de chiffres spars par des points, qui l'identifie de faon unique et un nom, indiqu dans le document qui dcrit la MIB. Par exemple, 1.3.6.1.2.1.2.2.1.2 est l'object identifier ifDescr qui est la chane de caractres dcrivant une interface rseau.

42. L'arbre de la MIB, contient une branche particulire qui est "private enterprises" (OID 1.3.6.1.4.1). Cette branche permet aux diffrentes entreprises de grer leurs MIB spcifiques. Chaque entreprise se voit attribuer un OID unique et elles ont ensuite le droit de dcrire leurs OID spcifiques en dessous de leur OID d'entreprise. La gestion de la branche d'une entreprise est entirement laisse cette entreprise. Les diffrents OID d'entreprises sont allous par l'IANA. On retrouve par exemple : Cisco avec un OID 1.3.6.1.4.1.9 ; HP avec 1.3.6.1.4.1.11 ; Novell avec 1.3.6.1.4.1.23 ;

43. Le standard RMON (Remote network Monitoring) est fond sur lutilisation de SNMP. Le standard RMON dfinit des jeux de compteurs de trafic et de fonctions quil rassemble dans des groupes numrots et spcifis dans des fichiers MIB. RMON se dcline en deux versions, RMON1 et RMON2, pour couvrir les 7 couches du modle OSI.

44. Le standard RMON 1 a t cr initialement pour avoir des informations sur les changes rseau dans les couches physique et liaison et prend en charge les protocoles Ethernet et Token Ring. Le standard RMON1 est dfini par le RFC 1757 de lIETF. Une sonde RMON ou un commutateur Ethernet prenant en charge le standard RMON1 fournit des statistiques sur le(s) segments Ethernet : Quantit de paquets et doctets reus et transmis globalement sur le segment. Quantit de paquets de broadcast, de multicast et derreurs globalement sur le segment. Tailles des paquets et rpartition Quantit de paquets et doctets reus et transmis par une adresse Ethernet (MAC). ..

45. Le standard RMON version 2 a tendu lanalyse du trafic rseau de RMON1 limit au niveau Ethernet aux protocoles de niveau suprieur. Le standard RMON2 est dfini par le RFC 2021 de lIETF. Des informations statistiques sont disponibles comme : Quantit de paquets et doctets reus et transmis par protocole de transport (IP, IPX, AppleTalk etc.). Quantit de paquets et doctets reus et transmis par un host IP (adresse IP). Quantit de paquets et doctets reus et transmis pour une paire dadresses IP dans le sens source vers destination. Quantit de paquets et doctets reus et transmis pour une paire dadresses IP dans le sens destination vers source. Quantit de paquets et doctets reus et transmis par un host IP (adresse IP) pour une application identifie par le port TCP/UDP. ..

46. Le CMIP (Common Management Information Protocol) est un protocole de gestion dvelopp par ISO pouvant fonctionner sur des rseaux htrognes. Nous pouvons le comparer au SNMP sur le fait que les deux protocoles se servent de tables MIB pour effectuer leur travail. Dailleurs, le CMIP a t construit partir du SNMP. Par contre, leur fonctionnement est plutt diffrent puisque dans le protocole CMIP, la station soccupant de la gestion ne va pas chercher elle- mme les informations; elle attend que les stations rapportent leur tat. SNMP n'alourdit pas beaucoup la charge du systme. CMIP a besoin de dix fois plus de ressources et est donc support par beaucoup moins de rseaux. Le SNMP demeure donc le protocole de gestion le plus utilis puisquil est simple implanter et configurer, malgr quil entrane un trafic plus lev sur le rseau.