Service Monitoring TCSB-V2SMON-16 Les 3 SNMP v2c, MIB’s, SNMPv3 Institute for Information & Communication Technology Service Monitoring TCSB-V2SMON-16 Les 3 SNMP v2c, MIB’s, SNMPv3 1

Institute for Information & Communication Technology SNMP v2 2

SNMP v1 heeft nogal wat beperkingen en tekortkomingen. Institute for Information & Communication Technology SNMP v1 heeft nogal wat beperkingen en tekortkomingen. 3

Bedrijfspolitiek en lange vergaderingen!!! Institute for Information & Communication Technology SNMP v2 doet wat aan die beperkingen van SNMPv1. In de praktijk wordt alleen SNMP v2C gebruikt. Bedrijfspolitiek en lange vergaderingen!!! 4

Institute for Information & Communication Technology SNMP GET (V2) 5

ERRORS SNMP v1 SNMP v2 noSuchName noSuchInstance noSuchObject tooBig Institute for Information & Communication Technology ERRORS SNMP v1 noSuchName tooBig genErr SNMP v2 noSuchInstance noSuchObject tooBig genErr 6

Mogelijke exceptions: Institute for Information & Communication Technology SNMP GETNEXT (V2) Mogelijke exceptions: endOfMibView Verder de al bekende errors: genErr en tooBig 7

Werkt hetzelfde als bij SNMPv1 Wel veel nieuwe error codes Institute for Information & Communication Technology SNMP SET (V2) Werkt hetzelfde als bij SNMPv1 Wel veel nieuwe error codes 8

SNMP v1 en v2 error-codes en mapping Institute for Information & Communication Technology SNMP v1 en v2 error-codes en mapping 9

Met één commando een groot aantal objecten opvragen Institute for Information & Communication Technology SNMP GETBULK (v2) GETBULK nieuw in v2 Met één commando een groot aantal objecten opvragen Verbetert de performance Een getbulk request heeft 2 extra parameters in de PDU: -Cn (non-repeaters) -Cr (max repetitions) 10

snmpbulkget –v2c –c public –Cn1 –Cr3 localhost system interfaces Institute for Information & Communication Technology SNMP GETBULK snmpbulkget –v2c –c public –Cn1 –Cr3 localhost system interfaces Output: C:\Users\Rein>snmpbulkget -v2c -c public -Cn1 -Cr3 localhost system interfaces SNMPv2-MIB::sysDescr.0 = STRING: Hardware: Intel64 Family 6 Model 37 Stepping 2 AT/AT COMPATIBLE - Software: Windows Version 6.1 (Build 7601 Multiprocessor Free) IF-MIB::ifNumber.0 = INTEGER: 52 IF-MIB::ifIndex.1 = INTEGER: 1 IF-MIB::ifIndex.2 = INTEGER: 2 Wat gebeurt hier precies? 11

Doe 1x een get-next op de eerste groep na het ip-adres (localhost) Institute for Information & Communication Technology -Cn1: non-repeaters=1 Doe 1x een get-next op de eerste groep na het ip-adres (localhost) -Cr3: max-repetitions=3 Doe op alle andere groepen 3x een get-next De eerste groep na localhost is system. Daar wordt 1x een get-next op uitgevoerd. Resultaat is dat het eerste object uit de system group wordt opgehaald. Dat is sysDescr.0 Alle andere groepen is er maar één, namelijk interfaces. Op deze groep wordt 3 keer een get-next gedaan. Resultaat ifNumber, ifIndex.1 en ifIndex.2 12

-Cnx: Doe 1 keer een get-next op de eerste x groepen na het ip-adres Institute for Information & Communication Technology In het algemeen geldt: -Cnx: Doe 1 keer een get-next op de eerste x groepen na het ip-adres -Cry: Doe y keer een get-next op alle andere groepen. Vraag: Ik wil van de groepen system en interfaces het eerste object opvragen. Verder wil ik 5x een get-next op de groepen ip, tcp en udp. Antwoord: snmpbulkget ............................................... 13

Initiatief voor een trap ligt bij de agent Institute for Information & Communication Technology SNMP TRAP (v1 en v2) manager "agent" MIB trap Initiatief voor een trap ligt bij de agent Trap wordt niet bevestigd door manager Manager moet luisteren op port 162 om traps te ontvangen 14

Voor uitleg van deze traps zie RFC1157; paragraaf 4.1.6 Institute for Information & Communication Technology SNMP TRAP (v1 en v2) Standaard traps Voor uitleg van deze traps zie RFC1157; paragraaf 4.1.6 15

Institute for Information & Communication Technology SNMP TRAP (v1 en v2) PDU-type = 4 (SNMPv1) of 7 (SNMPv2) Enterprise= code voor enterprise (bv. Cisco= 1.3.6.1.4.1.9) Agent addr = IP-adres van systeem wat de trap genereert Generic trap=één van de standaard traps van de vorige sheet Specific trap=implementatie van een enterprise-specific trap Time stamp=timer voor logging 16

Configureren van traps op Cisco devices Institute for Information & Communication Technology Configureren van traps op Cisco devices 1. snmp-server community <community-string> [RO/RW] 2. snmp-server host host-addr [traps | informs] [version {1 | 2c | 3 [auth | noauth | priv]}] community-string [udp-port port] [notification-type] 3. snmp-server enable traps [notification-type] [notification-option] Voor meer info: http://www.cisco.com/c/en/us/support/docs/ip/simple-network-management-protocol-snmp/13506-snmp-traps.html 17

Inform = trap met bevestiging Zelfde format als trap PDU Institute for Information & Communication Technology SNMP Inform (v2) Inform = trap met bevestiging Zelfde format als trap PDU Configuratie verloopt hetzelfde als bij trap Wordt ook gebruikt in hierarchie van managers 18

Inform; toepassing in een management-hierarchie Institute for Information & Communication Technology SNMP Inform (v2) Inform; toepassing in een management-hierarchie 19

Management Information Base (MIB) Institute for Information & Communication Technology Management Information Base (MIB) 20

Management Information Base (MIB) Institute for Information & Communication Technology Management Information Base (MIB) Een MIB bevat de te managen objecten (variabelen), die uitgelezen en/of gewijzigd kunnen worden door een (remote) manager. Er zijn twee soorten objecten: scalars en tabellen. MIB’s zijn er in twee versies: V1 en V2. Dit staat los van de SNMP-versie, maar heeft te maken met de versie van de taal waarin de MIB geschreven is: SMI (Structure of Management Information) 21

Kies Search; je krijgt onderstaand scherm Institute for Information & Communication Technology www.mibdepot.com Kies Search; je krijgt onderstaand scherm V1 MIBs; zijn de MIBs geschreven in SMIv1 V2 MIBs; zijn de MIBs geschreven in SMIv2 22

MIB Opdracht VERKLARING ?? Institute for Information & Communication Technology MIB Opdracht Ga naar: www.mibdepot.com Kies: 1. Search Kies: v1 MIBs Zoek naar RFC 1213 (MIB-II) Vraag: Welke MIB-groepen zijn er ? Vraag: Welke objecten zie je als je SYSTEM aanklikt? Kies: V2 MIBs Zoek naar RFC 3418 (SNMPv2 MIB) Vraag: Welke MIB-groepen zijn er? VERKLARING ?? 23

Management Information Base (MIB) Institute for Information & Communication Technology Management Information Base (MIB) RFC 3418 en een aantal anderen zijn de opvolgers van RFC 1213 Ook te zien aan output NetSNMP snmpget –v1 –c public localhost sysOrTable In respons: SNMPv2-MIB (2 = SMI versie) Maar ook bij: snmpget –v1 –c public localhost sysName.0 Wat dan bij: snmpget –v1 –c public localhost ifNumber.0 Respons: IF-MIB::ifNumber.0 .............. Dus geen SNMPv2, Maar IF-MIB is wel een SMIv2 MIB! Er is ook een TCP-MIB, UDP-MIB, enzovoorts. Zat voorheen allemaal in RFC1213 24

Management Information Base (MIB) Institute for Information & Communication Technology Management Information Base (MIB) SYSTEM GROUP SNMPv2 MIB (RFC 3418) INTERFACES (IF) GROUP IF-MIB (RFC 2863) ADDRESS TRANSLATION (AT) DEPRECATED IP & ICMP GROUPS IP-MIB (RFC 2011) TCP GROUP TCP-MIB (RFC 2012) UDP GROUP UDP-MIB (RFC 2013) EGP GROUP OUTDATED (BGP) TRANSMISSION GROUP IS PLACEHOLDER SNMP GROUP SNMPv2 MIB (RFC 3418) Toelichting: Een placeholder is een punt in een MIB waar je weer andere MIBs onder kan hangen. 25

MIB-tabellen lezen en schrijven Institute for Information & Communication Technology MIB-tabellen lezen en schrijven Om een waarde te kunnen lezen of te schrijven heb je een key nodig. Key IP-adres Subnetmask Broadcast 1 172.16.32.32 255.255.0.0 172.16.255.255 2 192.168.10.10 255.255.255.0 192.168.10.255 3 10.0.0.1 255.0.0.0 10.255.255.255 Fictieve tabel Om het broadcast-adres in regel 2 te kunnen lezen zou je bijvoorbeeld kunnen intypen: snmpget –v1 –c public localhost broadcast.2 Gaat soms goed, maar meestal niet! Vaak weet je niet wat de key is!!! 26

Voorbeeld: deel van een interface tabel Institute for Information & Communication Technology Voorbeeld: deel van een interface tabel Key=ifIndex Om het type van StackPort1 op te vragen, kun je doen: snmpget –v1 –c public localhost ifType.5179 27

! Tabellen kun je echter prima met GETNEXT doorlopen of met SNMPTABLE Institute for Information & Communication Technology ! Tabelwaarden opvragen met GET werkt niet zo goed, omdat je vaak niet weet wat de key is (de index). ! Tabellen kun je echter prima met GETNEXT doorlopen of met SNMPTABLE OPDRACHT: Houd mibdepot.com erbij / RFC1213 / groep: TCP Vraag de tcpConnTable op met snmptable op je laptop. Wat is de key van deze tabel? Als je van de eerste rij uit de tabel de waarde van tcpConnState zou willen uitlezen met een SNMPGET, wat is dan het commando? 28

SNMPv3 maakt veilige communicatie mogelijk tussen manager en agents ! Institute for Information & Communication Technology SNMPv3 SNMPv3 maakt veilige communicatie mogelijk tussen manager en agents ! Vergelijk met v1 en v2 die alleen een community based beveiliging kennen (onversleuteld wachtwoord zoals Telnet) 29

Zeer zwakke authenticatie Institute for Information & Communication Technology Nadelen SNMPv1 en v2c Zeer zwakke authenticatie Community-strings in clear text over het netwerk Slechts 2 rollen mogelijk (read en read/write) Geen authenticatie van de bron mogelijk Geen privacy (encryptie) SNMP berichten zijn met een sniffer makkelijk te onderscheppen en te decoderen Geen access-control Eénmaal toegang gekregen tot een device betekent dat je onbeperkt toegang hebt. 30

SNMPv3; beknopte theorie Institute for Information & Communication Technology SNMPv3; beknopte theorie Het antwoord van SNMP op de 3 problemen van de vorige sheet is: Authenticatie op basis van User-Based Security Model (USM) Data encryptie View-Base Access Control (VBAC) 31

SNMPv3 – User-based Security Model (USM) / RFC 2274 Institute for Information & Communication Technology SNMPv3 – User-based Security Model (USM) / RFC 2274 Authenticatie van de bron: SNMPv3 berichten kunnen herleid worden naar de bron (bijv. een NMS) SNMPv3 berichten hebben timers om capture en replay te voorkomen Bijv. de uptime van het NMS. Dit wordt encrypted over de lijn verstuurd. Een hacker die het NMS wil spoofen, weet niet wat deze uptime is. SNMPv3 – Privacy Gaat om encryptie van de data Encryptie met DES, 3DES of AES 32

SNMPv3 – View-Based Access Control (VBAC) / RFC 2275 Institute for Information & Communication Technology SNMPv3 – View-Based Access Control (VBAC) / RFC 2275 Gaat om configuratie van agents met als doel authorisatie te regelen: Permit/deny access voor bepaalde delen van de MIB Definieer de rechten: read, read/write en trap per OID SNMPv3 Configuratie varianten noAuthNoPriv (geen authenticatie en geen encryptie) authNoPriv (authenticatie, maar geen encryptie) authPriv (authenticatie en privacy) 33

SNMPv3 regelt authenticatie en privacy Institute for Information & Communication Technology SNMPv3 regelt authenticatie en privacy 2 verschillende passwords (voor authenticatie en privacy) 34

INTERMEZZO: Beveiliging Institute for Information & Communication Technology INTERMEZZO: Beveiliging 35

INTERMEZZO: Beveiliging Institute for Information & Communication Technology INTERMEZZO: Beveiliging 36

SNMPv3 configureren op Cisco apparatuur Institute for Information & Communication Technology SNMPv3 configureren op Cisco apparatuur Configuratie bestaat uit 3 stappen: Engine-ID Users Usergroups Views (optioneel) Engine-ID is uniek hexadecimaal getal van minimaal 10 cijfers voor unieke identificatie van het cisco device. Bijv: R(config)# snmp-server engineID local 46468754684651ad7e4f 37

SNMPv3 configureren op Cisco apparatuur Institute for Information & Communication Technology SNMPv3 configureren op Cisco apparatuur Een user toevoegen: Bijv: R(config)# snmp-server user rein privGroup v3 auth md5 yn4ru priv des56 test1 38

SNMPv3 configureren op Cisco apparatuur Institute for Information & Communication Technology SNMPv3 configureren op Cisco apparatuur Een usergroup aanmaken: Bijv: R(config)# snmp-server group privGroup v3 priv read readview write writeview notify notifyview 39

SNMPv3 configureren op Cisco apparatuur Institute for Information & Communication Technology SNMPv3 configureren op Cisco apparatuur De views configureren: De views geven aan welke rechten men heeft op een device. Wat men mag lezen, schrijven en in welke MIB’s. R(config)#snmp-server view readview system included R(config)#snmp-server view writeview system included R(config)#snmp-server view notifyview system included R(config)#snmp-server view readview interfaces excluded De eerste 3 voorbeelden geven lees- schrijf rechten op de subtree system (onderdeel MIB2). Het laatste voorbeeld verbiedt om objecten uit de subtree interfaces (onderdeel MIB2) te lezen. 40

Institute for Information & Communication Technology De praktijk is soms weerbarstiger. Voorgaande sheets geven de basiscommando’s voor configureren SNMPv3. Soms kleine verschillen tussen verschillende IOS versies. Heel veel info online over configureren SNMPv3; bij Cisco zelf en o.a. Youtube. 41

Institute for Information & Communication Technology 42