Gerenciamento de Redes com SNMP

Transcrição

1

2

3 Gerenciamento de Redes com SNMP Instrutor: André Luis Boni Déo 2012 O trabalho Gerenciamento de Redes com SNMP de André Luis Boni Déo foi licenciado com uma Licença Creative Commons - Atribuição - NãoComercial - CompartilhaIgual 3.0 Não Adaptada. Gerenciamento de Redes com SNMP Conceitos de Gerência de Redes - Visão Geral 1

4 2 Conceitos de Gerência de Redes - Visão Geral Gerenciamento de Redes com SNMP

5 Queria agradecer em primeiro lugar a Deus pelos talentos a mim confiados, inclusive o dom maravilhoso do ensino. Em segundo lugar a minha amada esposa, grande parte do meu tempo é dedicado à informática, inclusive boa parte das minhas horas vagas, e ela tem sido uma companheira em todos os momentos me apoiando e incentivando sempre. Aos meus amigos Bruno Daniel Alves dos Santos e Marcos Antônio de Almeida Corá que sempre me incentivaram a registrar esse conhecimento. Aos incansáveis: Adriano Rodrigues Paganotto, Aecio dos Santos Pires e Carlos Eduardo de Oliveira que foram os revisores desse material, sempre me cobrando o melhor, mais detalhado, mais didático, esse material não seria metade do que é, sem vocês amigos. E por último, mas não menos importante ao grande Conrado Pinto Rebessi, reponsável pela palestra que despertou meu interesse no assunto e por inúmeras horas de consultoria sobre o assunto, meu amigo esse material não existiria se não fosse por você. Conrado em 2007 no FLISOL Campinas com sua palestra: Monitoramento de servidores com SNMP Gerenciamento de Redes com SNMP Conceitos de Gerência de Redes - Visão Geral 3

6 4 Conceitos de Gerência de Redes - Visão Geral Gerenciamento de Redes com SNMP

7 1. CONCEITOS DE GERÊNCIA DE REDES - VISÃO GERAL O QUE É GERÊNCIA DE REDES? QUAIS OS OBJETIVOS DA GERÊNCIA DE REDES? POR QUE GERENCIAR UMA REDE? O QUE GERENCIAR? Elementos ativos: Servidores: Clientes: PARA QUE GERENCIAR? COMO GERENCIAR? CONCEITOS E COMPETÊNCIAS HABILIDADES PROFISSIONAIS ENVOLVIDOS NO GERENCIAMENTO DE REDES Gerente de Redes Administrador de Redes Gerente de Sistemas Gerente de TI CONCEITOS DE GERÊNCIA DE REDES - INTRODUÇÃO GERENCIAMENTO DE REDES CICLO DE GERENCIAMENTO Coleta de dados: Diagnóstico: Ação: PERFIL DO GERENTE DE REDES DEFINIÇÃO DO AMBIENTE INVENTÁRIO DA REDE MAPEAMENTO DA REDE RESULTADOS ESPERADOS RELATÓRIOS CONCEITOS E DEFINIÇÕES DE GERÊNCIA DE REDES AMBIENTE GERENCIADO MECANISMO GERENCIADO SISTEMA DE GERENCIAMENTO DE REDES GERENTE APLICAÇÃO GERENTE COMPONENTES PRINCIPAIS: Operações de Gerenciamento Management Information Base MIB Banco de Dados BD Aplicações de Gerenciamento Interface do usuário Agente Aplicação Agente Componentes chaves: O Agente A MIB do Agente Gerenciamento de Redes com SNMP Conceitos de Gerência de Redes - Visão Geral 5

8 4. MODELO DE GERENCIAMENTO OSI E MODELO DE GERENCIAMENTO SNMP MODELO DE GERENCIAMENTO OSI Funcionamento Tarefas/Processos de Gerenciamento Gerenciamento de Falhas Gerenciamento de Configuração Gerenciamento de Contabilização Gerenciamento de Desempenho Gerenciamento de Segurança MODELO DE GERENCIAMENTO SNMP Estação de Gerenciamento contendo entidades SNMP (Gerente) Nós gerenciados contendo a entidade SNMP (Agente) Entidade com Dupla Função Informações de Gerenciamento Protocolo de Gerenciamento Monitoramento via SNMP Monitoramento via SNMP utilizando Entidade com Dupla Função GERENCIAMENTO DE REDES - O PROTOCOLO SNMP SMI ASN Sintaxe básica em ASN Tipos de dados Notações em ASN Exemplos de Definição ASN Campo SYNTAX: Campo ACCESS: Campo STATUS MENSAGEM SNMP AS PDUS SNMP Estrutura das PDUs SNMP Preâmbulo e Cabeçalho Versão: Tipo de PDU: Request ID: Códigos de erro: Error index: A ARQUITETURA SNMP OPERAÇÕES/MENSAGENS SNMP Get-Request Get-Next-Request Get-Bulk-Request Set-Request TRAP Inform-Request Exemplo de Operação LIMITAÇÕES DE SNMP Falta de segurança Ineficiência Falta de funções específicas Não confiável: Conceitos de Gerência de Redes - Visão Geral Gerenciamento de Redes com SNMP

9 5.8. VULNERABILIDADE SNMP - PROTEÇÃO: VERSÕES SNMP: SNMP V Get GetNext Set SNMP V SNMPv2 Original SNMPv2 baseado na comunidade SNMPv2 baseada no usuário SNMPv2 Estrela SNMP V2 (v2c) Características e Operações adicionais Trap GetBulk Inform SNMP V Melhorias de Segurança USM VACM Configuração dinâmica de agentes SNMP utilizando comandos SNMP MODELO DE SEGURANÇA SNMP Modelo mais comum Comunidade default: Uma comunidade define Serviço de autenticação TRAPS EM SNMP Classificação Traps genéricos ColdStart: WarmStart: LinkDown: LinkUp: AuthenticationFailure: EgpNeighborLoss: EnterpriseSpecific: A MIB OBJETOS GERENCIADOS MODELOS DE GERENCIAMENTO Modelo Organizacional Modelo funcional Modelo informacional CARACTERÍSTICAS DO MODELO OSI Classe, Subclasse e Superclasse Hierarquias dos Objetos Gerenciados Hierarquia de Herança Hierarquia de Nomeação Hierarquia de Registro MIB DA INTERNET A ÁRVORE DA MIB II Nó Raiz Gerenciamento de Redes com SNMP Conceitos de Gerência de Redes - Visão Geral 7

10 Nó iso Nó internet Nó mgmt Árvore MIB II Exemplo de Objeto da MIB Exemplos de Grupos Grupo System Descrição textual: OID Componentes: Grupo Interfaces - Interface da rede com o meio físico Descrição textual OID Componentes Grupo at (Address Translation) Descrição textual OID Componentes Grupo ip - Protocolo IP Descrição textual OID Componentes (Apenas Alguns) Grupo icmp Protocolo ICMP Descrição textual OID Componentes (Apenas Alguns) Grupo TCP Protocolos TCP Descrição textual OID Componentes (Apenas Alguns) Grupo UDP Protocolos UDP Descrição textual OID Componentes Grupo EGP Protocolo EGP Descrição textual OID Componentes (Apenas Alguns) Grupo cmot Protocolo CMOT Descrição textual OID Grupo Transmission Meios de Transmissões Descrição textual OID Grupo SNMP Protocolo SNMP Descrição textual OID Componentes PROTOCOLO DE GERENCIAMENTO RMON ALGUMAS RFCS TRATAM DO PROTOCOLO RMON: CARACTERÍSTICAS DO PROTOCOLO OBJETIVOS DO RMON ABRANGÊNCIA DAS VERSÕES Conceitos de Gerência de Redes - Visão Geral Gerenciamento de Redes com SNMP

11 7.5. EXEMPLO DE FUNCIONAMENTO MIB RMON Aquisição de Estatísticas de Tráfego: Detecção e Resolução de Situações Críticas e de Erro: Exemplos de Grupos RMON1 Statistics Exemplos de estatísticas Ethernet RMON1 History Configuração RMON1 Hosts Exemplos: RMON1 Hosts Top N Exemplo: RMON1 Matrix Exemplos: RMON1 Token Ring RMON1 Alarm Exemplos: RMON1 Filter Exemplos: RMON1 Packet Capture Captura pacotes para análise na rede RMON1 Event RMON MIB RMON RMON2 Protocol Directory RMON2 Protocol Distribution RMON2 Network Layer Host/Matrix e Application Layer Host/Matrix RMON2 User History RMON2 Probe Configuration Exemplos: RMON2 Address Map RMON CONSIDERAÇÕES FINAIS GERENCIAMENTO DE SERVIDORES GNU/LINUX UTILIZANDO SNMP V1 E V2C INSTALAÇÃO DOS BINÁRIOS ESTRUTURA DO NET-SNMP APÓS A INSTALAÇÃO DOS BINÁRIOS BACKUP DO ARQUIVO DE CONFIGURAÇÃO ORIGINAL (SNMPD.CONF) CONFIGURAÇÃO BÁSICA DE UM AGENTE SNMP V1/V2C ACESSANDO UM AGENTE SNMP V1/V2C Comando snmpget Explicando o comando: Comando snmpset Explicando o comando: Comando snmpgetnetxt Comando snmpwalk Comando snmpbulkget Comando snmpbulkwalk Informações Adicionais GERENCIAMENTO DE SERVIDORES GNU/LINUX UTILIZANDO SNMP V USM Gerenciamento de Redes com SNMP Conceitos de Gerência de Redes - Visão Geral 9

12 9.2. VACM MODELO DE PERMISSÕES VACM CONFIGURAÇÃO BÁSICA DE UM AGENTE SNMP V3 COMPATÍVEL COM SNMP V1/V2C Disponibilizando os recursos Seção View Seção com2sec Seção Group Seção Access Compreendendo os Parâmetros Seção View Seção Com2sec: Seção Group: Seção Access: ACESSANDO UM AGENTE SNMP V3 COMPATÍVEL COM SNMP V1/V2C: CONFIGURAÇÃO INICIAL DE UM AGENTE EXCLUSIVAMENTE V Criar o usuário inicial com permissão de escrita: Criar os usuários adicionais: Parâmetros: Alterar a senha dos usuários: Parâmetros: snmpd.conf v3 básico: Acessando um Agente SNMP v3: snmpd.conf v3 com VACM devidamente configurado: Acessando um Agent SNMP v3: CONFIGURAÇÃO INICIAL DE UM AGENTE EXCLUSIVAMENTE V3 COM AUTENTICAÇÃO E PRIVACIDADE Criar o usuário inicial com permissão de escrita: Criar os usuários adicionais: Parâmetros: Outro exemplo: Parâmetros: Alterar a senha dos usuários: Parâmetros: Alterar a chave dos usuários: Parâmetros: snmpd.conf v3 básico: Acessando um Agente SNMP v3: snmpd.conf v3 com VACM devidamente configurado: Acessando um Agent SNMP v3: SEGURANÇA EM SNMP V3: Requisição SNMP v Requisição SNMP v3com Autenticação Requisição SNMP v3com Autenticação e Privacidade MONITORANDO RECURSOS DO SISTEMA INFORMAÇÕES DO SISTEMA Acessando o Agent SNMP para leitura de informações do sistema MONITORAMENTO DE PROCESSOS Acessando o Agent SNMP para leitura de informações sobre processos MONITORAMENTO DE USO DE DISCO Acessando o Agent SNMP para leitura de informações sobre o disco MONITORAMENTO DE CARGA DO SISTEMA Conceitos de Gerência de Redes - Visão Geral Gerenciamento de Redes com SNMP

13 Acessando o Agent SNMP para leitura de informações sobre Carga de sistema (Load) MONITORAMENTO DE TAMANHO DE ARQUIVO Acessando o Agent SNMP para leitura de informações sobre tamanho de arquivo MONITORAMENTO UTILIZANDO UM COMANDO CUSTOMIZADO Acessando o Agent SNMP para leitura de informações com comandos customizados MONITORAMENTO UTILIZANDO UM COMANDO CUSTOMIZADO, COM OID PERSONALIZADA Acessando o Agent SNMP para leitura de informações com comandos customizados usando OID personalizada GERENCIAMENTO DE SERVIDORES GNU/LINUX UTILIZANDO SNMP V3 - CASOS ESPECIAIS E EXEMPLOS VIEWS VACM, OU COMO RESTRINGIR O ACESSO A DETERMINADOS RAMOS DA ÁRVORE Acessando o Agent SNMP com acesso restrito (sysuptime.0) Acessando o Agent SNMP com acesso restrito (interfaces.iftable.ifentry.infindex.1) Acessando o Agent SNMP com acesso restrito (interfaces.iftable.ifentry) MÁSCARAS VACM, OU COMO RESTRINGIR O ACESSO A UM DETERMINADO ÍNDICE (LINHA) EM UMA TABELA Acessando o Agent SNMP com acesso restrito Uso do parâmetro mask Acessando o Agent SNMP com acesso restrito Uso do parâmetro mask COMANDOS SNMP ÚTEIS SIMPLIFICANDO COMANDOS POR MEIO DE DEFINIÇÕES DE VALORES PRÉ-DEFINIDOS Parâmetros: Acessando o Agent SNMP Comando snmpconf VARIAÇÕES NA FORMA COMO O RESULTADO DA CONSULTA É EXIBIDO Exibição padrão Exibindo o OID Completo Exibindo o OID completo na forma numérica Exibindo o OID abreviado Exibindo o OID abreviado na forma numérica Exibindo apenas o valor, sem OID TRADUZINDO INFORMAÇÕES Exibindo o OID numérico de um objeto Exibindo o OID nominal de um objeto: Exibindo o OID numérico de um objeto e sua descrição: Exibindo o OID nominal de um OID numérico: Exibindo a descrição de um OID numérico: Exibindo a hierarquia da MIB a partir de um galho: Exibindo a Tabela de Informações no formato de tabela: UTILIZANDO O SNMP EM ATIVOS DE REDE SWITCH D-LINK Definir as views Mapear nome de comunidade para nome de acesso Definir os grupos Definir acesso do grupo na view Definir o IP do gerente ROUTER CISCO Habilitar SNMP v1/v2c Acessando um Agent SNMP do router para leitura de informações Gerenciamento de Redes com SNMP Conceitos de Gerência de Redes - Visão Geral 11

14 Habilitar SNMP V3 compatível com SNMP v1/v2c Acessando um Agente SNMP v3 compatível com SNMP v2c: Habilitar SNMP V Acessando um Agente SNMP v3: Habilitar SNMP V3 com Autenticação e Privacidade Acessando um Agente SNMP v3: ALGUMAS EXTENSÕES AO SNMP REFERÊNCIAS Conceitos de Gerência de Redes - Visão Geral Gerenciamento de Redes com SNMP

15 1. Conceitos de Gerência de Redes - Visão Geral Neste primeiro capítulo teremos uma visão geral sobre o tema e os profissionais envolvidos O que é Gerência de Redes? É um conjunto de ferramentas, procedimentos, técnicas e políticas usadas para manter a eficiência e o funcionamento de uma rede de computadores. Independentemente de seu tamanho. A gerência pode ser integrada através de ferramentas que cooperam entre si, aplicando políticas homogêneas em um ambiente heterogêneo Quais os objetivos da Gerência de redes? O objetivo principal da Gerência de redes é garantir a disponibilidade e eficiência da rede. Para atingir esse objetivo podemos destacar alguns itens: Monitorar e manter o funcionamento da rede; Coletar informações sobre os diversos dispositivos; Gerar informações sobre a qualidade dos equipamentos e dos links; Gerar informações para revisar o projeto de rede e sua arquitetura; Gerar informações para previsões de possíveis falhas (gerenciamento próativo); Justificar os investimentos em ativos de rede e links de comunicação mais apropriados à demanda da rede Por que gerenciar uma rede? Não é possível realizar os objetivos da Gerência de redes sem realizar algumas ações: Controlar o desempenho da rede; Registrar a ocorrência de eventos; Garantir a segurança da rede; Contabilizar os recursos disponíveis e indisponíveis da rede; Detectar, diagnosticar e prevenir possíveis falhas; Planejar o crescimento organizado da rede; Minimizar os impactos gerados pela diversidade de plataformas O que gerenciar? Elementos ativos: Todo equipamento conectado a rede: Switches; Roteadores; No-Break; Racks Gerenciáveis; Câmeras de Vigilância IP; Catracas eletrônicas; Leitores de acesso Biométricos; Impressoras. Gerenciamento de Redes com SNMP Conceitos de Gerência de Redes - Visão Geral 13

16 Servidores: Todo equipamento de rede que prove um serviço na rede: DNS; SMTP; POP; HTTP; Banco de Dados; Arquivos; Autenticação de usuários Clientes: Todo recurso utilizado pelo usuário para desempenhar suas atribuições e que precisa de liberação e controle: Softwares instalados; Inventario de Hardware; Controle de usuários; Controle de acesso Para que gerenciar? Para alcançar os objetivos da Gerência de redes precisamos obter informações referentes à rede. Isso nos possibilita: Dominar a complexidade da rede, a sua dimensão e a diversidade de serviços; Melhorar a qualidade dos serviços, mantendo-os sempre eficientes, sem gargalos ; Reduzir o tempo de down-time; Reduzir custos de gerenciamento e administração Como Gerenciar? Não existe uma receita pronta de como gerenciar uma rede, mas se utilizando de padrões, ferramentas e algumas ações específicas podemos alcançar este objetivo. O qual consiste em: Monitorar a operação dos equipamentos e serviços; Utilizar ferramentas (softwares) para a automatização dos processos; Utilizar padrões de gerência; Construir um modelo hierárquico. 14 Conceitos de Gerência de Redes - Visão Geral Gerenciamento de Redes com SNMP

17 1.7. Conceitos e Competências Para que o profissional responsável pela gerência da rede desempenhe seu trabalho de maneira eficiente, alguns conceitos devem ser inocorporados e algumas competências desenvolvidas: Analisar, compreender e configurar os serviços e funções dos sistemas operacionais, ferramentas de administração, recursos disponíveis, manipulação de arquivos, segurança e etc. Compreender as arquiteturas de rede, serviços e funções de servidores de rede. Conhecer as principais áreas de gerenciamento de uma rede de computadores: o Falhas Fault Management; o Configuração Configuration Management; o Contabilização Accounting Management; o Desempenho Performance Management; o Segurança Security Management. Controlar o tráfego de dados na rede. Descrever componentes de redes de computadores. Desenvolver os serviços de administração do sistema operacional de rede e protocolos de comunicação. Gerenciar a segurança e contabilização dos serviços da rede. Descrever características técnicas de equipamentos e componentes de acordo com parâmetros de custos e benefícios, atendendo às necessidades da organização e do usuário. Identificar e informar as necessidades dos usuários em relação à segurança da rede conforme as políticas corporativas de acesso aos recursos computacionais. Avaliar e especificar as necessidades de treinamento e de suporte técnico aos usuários. Selecionar programas de aplicação a partir da avaliação das necessidades do usuário. Conhecer técnicas de trabalho em grupo Habilidades São muitas as habilidades que um profissional responsável pela Gerência de redes deve desenvolver, ações que vão desde o suporte técnico a especificação de equipamentos. Para citar alguns itens: Efetuar o gerenciamento da rede; Descrever configurações para softwares de rede; Efetuar configurações nos softwares aplicativos; Elaborar pesquisas (e não buscas) na Internet; Fazer levantamento de informações de tráfego; Instalar e configurar protocolos e software de rede; Realizar pesquisa de novas tecnologias no mercado; Redigir relatórios; Gerenciamento de Redes com SNMP Conceitos de Gerência de Redes - Visão Geral 15

18 Utilizar adequadamente os principais softwares aplicativos na resolução de problemas; Executar ações de suporte técnico; Descrever as necessidades do usuário entre os recursos da rede; Orientar os usuários quanto ao uso dos recursos da rede; Utilizar os recursos oferecidos pela rede atendendo às especificações e necessidades dos usuários; Aplicar as técnicas de trabalho realizadas em grupo; Manter ética profissional Profissionais Envolvidos no Gerenciamento de Redes Dependendo do tamanho e complexidade da rede a ser gerenciada, as funções abaixo podem ser executadas por uma única pessoa, ou por uma equipe para cada uma das funções Gerente de Redes O gerente de redes é responsável por monitorar e manter o funcionamento da rede (hardware e software). O gerente de redes precisa garantir que a rede sob sua responsabilidade possa oferecer operações ininterruptas. Nos dias de hoje se a rede parar, o negócio também para. Ao mesmo tempo em que o gerente de redes é pressionado a oferecer esses níveis de serviço, ele é obrigado a trabalhar dentro dos limites do orçamento e com recursos limitados Administrador de Redes O Administrador de redes é responsável por desenvolver, implantar e dar manutenção ao hardware e ao software básico utilizados no desenvolvimento de aplicações e serviços de rede e aos recursos computacionais ligados a esta rede. No aspecto pessoal, o profissional deve ser dinâmico e ter interesse em buscar alternativas técnicas e gerenciais através de auto-dedicação Gerente de Sistemas O Gerenciamento de sistemas compreende monitorar e manter dispositivos individuais como softwares, backups, no-breaks, usuários, etc. Deve negociar entre as diversas áreas das organizações com o objetivo de propor soluções, com o menor impacto possível a rede, bem como do ponto de vista financeiro, de forma que se possam suprir todas as necessidades solicitadas, não interferindo no processo normal de cada área e sim melhorando os processos internos e externos da organização. 16 Conceitos de Gerência de Redes - Visão Geral Gerenciamento de Redes com SNMP

19 Gerente de TI O gerente de TI deve se preocupar em estabelecer para a sua equipe uma visão geral do processo de gerência, planejar, conhecer as prioridades do negócio, ter bom relacionamento com todos, ser organizado, responsável e, principalmente, que saiba atender, com agilidade, os requisitos de custos, prazos, qualidade e especificações estabelecidas pelas organizações. Para um profissional bem sucedido obter essas características é necessário que, além do seu esforço, busque treinamentos adequados, que o qualifiquem conforme as exigências atuais. Deve estar adequado às tecnologias do momento e sempre aberto às novas tecnologias e tendências. Deve ter domínio completo de tudo o que trafega na organização e sempre estar pronto para reconstruir processos quando necessário. Estar bem representado por uma equipe capacitada e com bom ânimo. Geralmente sabe mais da organização que o próprio proprietário ou diretor. Gerenciamento de Redes com SNMP Conceitos de Gerência de Redes - Visão Geral 17

20 18 Conceitos de Gerência de Redes - Visão Geral Gerenciamento de Redes com SNMP

21 2. Conceitos de Gerência de Redes - Introdução 2.1. Gerenciamento de Redes Compreende o Monitoramento e o Controle automatizado dos dispositivos (hardware e software) e ferramentas, que além de suas funções principais, pode agregar funcionalidades de gerenciamento desde que o profissional que atua com estas ferramentas e dispositivos esteja capacitado para tal. Quando falamos de gerenciamento de redes devemos primeiro estabelecer o que será gerenciado e o que se espera como resultado desse gerenciamento. Somente assim poderemos selecionar uma ferramenta adequada, seja de detecção de falhas, de estatísticas ou de análise de pacotes, mas que atenda as necessidades Ciclo de Gerenciamento Coleta de dados: Compreende o monitoramento automático dos recursos. Nessa fase o administrador de redes vai coletar uma quantidade imensa de informações, que será a base para o próximo passo Diagnóstico: Tratamento e análise dos dados colhidos na etapa anterior. Dentre toda a informação coletada separar os dados que serão manipulados posteriormente, daqueles sem valor para o gerenciamento, essa com certeza é uma etapa que demanda conhecimento e disponibilidade de tempo Ação: Controle sobre os recursos gerenciados. Ação neste contexto pode em muitos casos não ser necessariamente a resolução de um problema imediato. Mas uma interversão justamente para evitar o surgimento do mesmo. Desta forma temos uma ação proativa e antecipada, tendo como base os dados colhidos e analisados nas etapas anteriores. Efetuada as alterações e configurações necessárias, reinicia-se todo o processo de comparar os dados anteriores com os atuais. Figura 1 - Ciclo de Gerenciamento Gerenciamento de Redes com SNMP Conceitos de Gerência de Redes - Introdução 19

22 2.3. Perfil do Gerente de Redes O perfil do gerente de redes está relacionado ao tamanho e a estrutura da rede, mas alguns pontos são essenciais, como conhecer detalhadamente os protocolos envolvidos na arquitetura da rede, conhecer a arquitetura de hardware da rede, estar sempre atualizado, tomar ações para evitar perda de performance e reduzir o downtime Definição do Ambiente A delimitação do ambiente a ser gerenciado pode ser definida utilizando-se de algumas diretivas: Inventário total dos dispositivos de rede (Hardware e Software); Mapeamento lógico dos dispositivos de rede (Layout Lógico e Físico da Topologia) Inventário da Rede Algumas informações são extremamente necessárias para o gerenciamento: Identificação do fabricante e fornecedor; Análise dos dispositivos que apresentam o suporte de gerenciamento e qual a função suportada (Versão do protocolo SNMP, Características do Protocolo RMON); Identificação da arquitetura da rede e do modelo de gerenciamento suportado; Documentação das informações apuradas de forma textual-gráfica e em mídia impressa e digital Mapeamento da Rede O mapeamento da rede deve ser feito destacando-se os dispositivos que desempenham funções de interconexão ou prestam serviços (Servidores), cujo tempo de inatividade, inviabilizará os processos de comunicação, produção e obtenção de informações via rede, acarretando em prejuízos financeiros ou operacionais para a organização Resultados Esperados Antes de começar um projeto de gerência de redes, é preciso realizar um levantamento do que se pretende monitorar em cada host, e os objetivos que pretendem ser alcançados com esse gerenciamento, alguns itens básicos: Visualização Gráfica da Rede (Topologia); Emissão de Alarmes (Erros e Falhas); Dados sobre utilização de Banda, CPU, Memória, Processos; Envio de alertas ( , SMS, Alertas sonoros) relatando falhas Relatórios Ao final de um projeto de gerência de redes espera-se ser capaz de gerar dados sobre a rede, entre estes dados estão os relatórios, alguns exemplos: Estatísticas de carga da rede; Inventário; Gráficos (% de utilização da banda por exemplo); Consumo de disco e memória; Uptime e Downtime (SLI). 20 Conceitos de Gerência de Redes - Introdução Gerenciamento de Redes com SNMP

23 3. Conceitos e Definições de Gerência de Redes Existem diferentes Modelos de Gerenciamento e Arquiteturas, porém, seus princípios são semelhantes. Os conceitos e definições a seguir servem para fundamentar nossos estudos sobre Gerenciamento de Redes Ambiente Gerenciado São mecanismos com suporte a funcionalidades de gerenciamento, juntamente com os aspectos de comunicação que permitem suas interconexões. O ambiente gerenciado pode ser constituído de um ou mais mecanismos como: Roteador(es), Switch(es); Conexões TCP de um determinado número de servidores; Todos os dispositivos gerenciáveis de uma mesma sub-rede; Todos os dispositivos gerenciáveis de um conjunto de LANs interligadas Mecanismo Gerenciado Hardware ou Software que apresenta necessidade e condições de serem gerenciados, como interfaces de rede, discos, impressoras, aspectos relacionados à implementação da pilha TCP/IP, estatísticas sobre o processamento de datagramas IP Sistema de Gerenciamento de Redes Grupo de ferramentas utilizadas para monitoramento e controle da rede. Normalmente uma arquitetura genérica, organizada em três camadas, poderá ser usada para representar as categorias de software presentes em um sistema de gerenciamento de rede. A coleção de software de um sistema de gerenciamento é também organizada para assumir o papel de gerente, agente ou ambos Gerente Permite a obtenção e o envio de informações de gerenciamento junto aos mecanismos gerenciados mediante comunicação com um ou mais agentes. Informações de gerenciamento podem ser obtidas com o uso de requisições efetuadas pelo gerente ao agente ou mediante envio automático do agente para um determinado gerente Aplicação Gerente O modelo SNMP apresenta a Aplicação Gerente como uma entidade de rede que usa determinados protocolos das camadas de transporte, de rede, de acesso à rede e de aplicação, para a comunicação com a entidade de rede gerenciada Componentes Principais: Operações de Gerenciamento; Management Information Base MIB; Banco de dados; Aplicações de Gerenciamento; Interface do usuário. Gerenciamento de Redes com SNMP Conceitos e Definições de Gerência de Redes 21

24 Figura 2 - Aplicação Gerente Operações de Gerenciamento São componentes da Aplicação Gerente que controlam e monitoram os Agentes pertencentes à comunidade de um determinado domínio de gerenciamento. Uma Operação de gerenciamento é uma entidade de software que implementa as regras estabelecidas no protocolo SNMP. Podem ler e escrever em variáveis da MIB de cada Agente. Podem armazenar informações de gerenciamento recuperadas junto aos Agentes em uma MIB própria e/ou em um Banco de Dados. Devem implementar processos para execução das requisições de GetRequest, SetRequest e GetNextRequest PDUs (Protocol Data Units) Management Information Base MIB A MIB da Aplicação Gerente, quando existir, conterá a relação mestre para as MIBs de todos os Agentes pertencentes à comunidade de gerenciamento. 22 Conceitos e Definições de Gerência de Redes Gerenciamento de Redes com SNMP

25 Banco de Dados BD É constituído por um conjunto de variáveis de interesse, que compreendem todos os nomes, configurações, topologia e dados de auditoria dos dispositivos gerenciados. Obs.: Deve ser do tipo relacional e de preferência, ser SQL Aplicações de Gerenciamento São programas que transformam os dados SNMP em informações usadas pelos usuários da Aplicação Gerente. As aplicações de gerenciamento auxiliam no processamento e análise dos dados obtidos via operações de gerenciamento, ou junto ao Banco de Dados Interface do usuário São interfaces não especificadas pelo modelo SNMP que permitem a interação do usuário com o Sistema de Gerenciamento: Comandos de Gerenciamento (I/O); Visualização de mensagens (traps). Interfaces do tipo GUI (Graphic User Interface) permitem ainda: Apresentação de estatísticas de desempenho; Resumos de contabilização; Relatório de falhas; Inventários de configuração; Formulários para criação de queries e mapas da topologia de rede Agente Software específico presente nos dispositivos gerenciados, cuja função principal é o atendimento das requisições enviadas pelo gerente e o envio automático de informações ao gerente, indicando a ocorrência de um evento previamente programado Aplicação Agente É definida como uma Entidade junto a um dispositivo de rede. A aplicação Agente utiliza os protocolos de rede e o protocolo SNMP para se comunicar via interconexão de rede com uma Aplicação Gerente. Figura 3 - Aplicação Agente Gerenciamento de Redes com SNMP Conceitos e Definições de Gerência de Redes 23

26 Componentes chaves: Os componentes chave da Aplicação Agente são: O Agente A MIB do Agente O Agente Todo sistema gerenciado por SNMP deverá conter uma entidade Agente rodando em background. Pode suportar mais de um protocolo de transporte. Porém, o UDP foi o protocolo da Pilha TCP/IP escolhido por possibilitar a interoperação entre qualquer Gerente e Agente A MIB do Agente A MIB é uma coleção de variáveis de interesse. Seus valores dependem das funcionalidades do dispositivo e de quais recursos ou serviços o agente deverá gerenciar. 24 Conceitos e Definições de Gerência de Redes Gerenciamento de Redes com SNMP

27 4. Modelo de Gerenciamento OSI e Modelo de Gerenciamento SNMP Vários modelos foram criados por diversos órgãos com o objetivo de gerenciar redes, dados e telecomunicações em geral. Neste capítulo serão abordados os dois dos principais modelos, o modelo OSI e o modelo SNMP Modelo de Gerenciamento OSI O Modelo OSI (Open Systems Interconnection), pertencente a ISO (International Organization for Standardization), baseia-se na teoria da orientação a objetos. Com isso, o sistema representa os recursos gerenciados através de entidades lógicas, as quais recebem a denominação de objetos gerenciados. Provê uma arquitetura de gerenciamento capaz de atender à diversidade de equipamentos da rede Funcionamento O Gerente transmite operações de gerenciamento aos agentes a fim de obter informações atualizadas sobre os objetos gerenciados. O Agente recebe as operações de gerenciamento emitidas pelo gerente e executa as ações necessárias sobre os objetos gerenciados. Ele ainda pode transmitir ao gerente notificações geradas pelos objetos gerenciados ou notificações sobre a ocorrência de eventos. Figura 4 - Operações de Gerenciamento O conjunto de objetos gerenciados constitui a Base de Informações de Gerenciamento, a MIB. Figura 5 - MIB Gerenciamento de Redes com SNMP Modelo de Gerenciamento OSI e Modelo de Gerenciamento SNMP 25

28 Para efetuar a troca de informações de Gerenciamento o Modelo OSI utiliza o serviço CMIS (Common Management Information Service) e o protocolo CMIP (Common Management Information Protocol). Figura 6 - Informações de Gerenciamento Tarefas/Processos de Gerenciamento O Modelo de Gerenciamento OSI divide as Tarefas/Processos de Gerenciamento em cinco áreas funcionais: Gerenciamento de Falhas(Fault Management); Gerenciamento de Configuração (Configuration Management); Gerenciamento de Contabilização (Accounting Management); Gerenciamento de Desempenho (PerformanceManagement); Gerenciamento de Segurança (Security Management). Também conhecido como Modelo FCAPS, formado a partir das iniciais de cada área de gerenciamento, em inglês Gerenciamento de Falhas Deve detectar e resolver rapidamente situações que degradam o funcionamento da rede. Possui um conjunto de facilidades que habilitam: Detecção de falhas; Notificação de usuários; Isolamento da falha; Correção do problema; Gravação de log (com a detecção e sua resolução). É a área mais amplamente implementada, pois tem procedência sobre as demais. Pode ser reativa, reage às falhas na medida em que ocorrem, ou pró-ativa, busca detectar falhas antes que elas ocorram Gerenciamento de Configuração Utilizado para que se tenha controle sobre diferentes versões de elementos de hardware e software presentes na rede. Verifica a mudança de estado dos objetos, conexões físicas e lógicas entre dispositivos, modo de operação de cada dispositivo. 26 Modelo de Gerenciamento OSI e Modelo de Gerenciamento SNMP Gerenciamento de Redes com SNMP

29 Pode ser divida em três aspectos: Inventário: Conjunto de dispositivos na rede, hardware e software; Configuração: Mapeamento das conexões entre os dispositivos; Provisão: Parâmetros operacionais modificáveis que apresentam o comportamento de cada dispositivo Gerenciamento de Contabilização Distribuição justa dos custos da rede, fazendo apropriação e tarifação de acordo com a utilização. Planejar o crescimento da rede e evitar abusos na utilização de recursos da organização Gerenciamento de Desempenho Conjunto de funções para medir, monitorar, avaliar e relatar os níveis de desempenho alcançados pela rede garantindo um nível de serviço aceitável ao usuário. Quando a performance se torna inaceitável, envia mensagens de alerta ao Operador Gerenciamento de Segurança A meta é controlar o acesso aos recursos da rede de acordo com as definições de cada organização para evitar sabotagens e proteger os dados para que não sejam acessados por pessoas não autorizadas. Visa: Proteção das informações; Controle de acesso ao sistema; Monitorar uso dos recursos; Criar, manter e examinar log-files. É essencial em hosts conectados a Internet Modelo de Gerenciamento SNMP O modelo SNMP, também chamado de Modelo Internet, possui uma abordagem genérica, podendo gerenciar diferentes tipos de sistemas, bastando apenas possuir alguns componentes elementares: Gerente; Agente; Entidade com Dupla Função (Opcional); Informações de Gerenciamento; Protocolo de Gerenciamento. Gerenciamento de Redes com SNMP Modelo de Gerenciamento OSI e Modelo de Gerenciamento SNMP 27

30 Estação de Gerenciamento contendo entidades SNMP (Gerente) Estação de Gerenciamento, contendo o Gerente que recebe todas as informações e realiza ações nos agentes. Aplicação de Gerenciamento, o software escolhido para interpretar as informações coletadas e adicionar funcionalidades como a geração de gráfico, armazenamento em Banco de Dados, disparo de alertas para dispositivos específicos entre outros. Figura 7 - Gerente SNMP Nós gerenciados contendo a entidade SNMP (Agente) Dispositivos dos quais os dados serão coletados e enviados ao Gerente. Em casos extremos dispara os Traps. Figura 8 - Agentes SNMP 28 Modelo de Gerenciamento OSI e Modelo de Gerenciamento SNMP Gerenciamento de Redes com SNMP

31 Entidade com Dupla Função Opcionalmente, entidades SNMP com dupla função, capazes de desempenhar o papel de Agente e Gerente simultaneamente. Figura 9 - Entidade Dupla Função Informações de Gerenciamento Informações de gerenciamento em cada nó, as quais descrevem a configuração, o estado, as estatísticas e as ações que controlam os nós gerenciados. Figura 10 - informações de Gerenciamento Protocolo de Gerenciamento Um protocolo de gerenciamento utilizado pelos Gerentes e Agentes durante a troca de mensagens. Figura 11 - Protocolo de Gerenciamento Gerenciamento de Redes com SNMP Modelo de Gerenciamento OSI e Modelo de Gerenciamento SNMP 29

32 Monitoramento via SNMP Visão do processo completo de comunicação entre Agente e Gerente. A comunicação entre os agentes e a aplicação gerente ocorre por meio do protocolo SNMP é através deste protocolos que as Informações de Gerenciamento colhidas pelo Agente são enviadas pelo Gerente, que por sua vez irá repassar à Aplicação de gerenciamento, que efetuará as ações adicionais como armazenar em banco de dados, alimentar gráficos, disparar alertas entre outras. Figura 12 - Monitoramento via SNMP Monitoramento via SNMP utilizando Entidade com Dupla Função Visão do conjunto de elementos envolvidos em uma solução de gerenciamento com SNMP. Figura 13 - Monitoramento via SNMP (Entidade com Dupla Função) 30 Modelo de Gerenciamento OSI e Modelo de Gerenciamento SNMP Gerenciamento de Redes com SNMP

33 5. Gerenciamento de Redes - O Protocolo SNMP O SNMP (Simple Network Management Protocol) é um protocolo da camada de aplicação que tem como objetivo principal coletar informações de dispositivos gerenciáveis. É o responsável por veicular informações de gerência (valores das MIBs). Figura 14 - Protocolo SNMP Suas interações são sem conexão, trabalha com mensagens no protocolo UDP/IP, utiliza as portas 161 e 162 e seus pacotes tem tamanho variável. Esse protocolo se tornou padrão para gerência na Internet, por ser simples de implementar e amplamente difundido. É composto de um protocolo para troca de mensagens e padrões para estruturar a informação. Figura 15 - Componentes SNMP As Informações de Gerenciamento são armazenadas em MIBs que são definidas através da SMI (Structure of Management Information) e transportadas através do protocolo SNMP. Gerenciamento de Redes com SNMP Gerenciamento de Redes - O Protocolo SNMP 31

34 5.1. SMI Podemos entender a SMI como uma descrição lógica das informações. É composta dos seguintes elementos: Nomes dos objetos gerenciados: Referenciados através dos OIDs (Object IDentifiers); Sintaxe dos dados: Seguindo os padrões da ASN.1 (Abstract Syntax Notation 1); Sintaxe de transferência: Seguindo as regras da BER (Basic Encoding Rules) ASN.1 É uma linguagem de descrição de dados da ISO, definida em formato texto não ambíguo, que permite definir o modelo de dados com formato independente de máquina. A implementação de dados não é considerada Sintaxe básica em ASN Tipos de dados Primitivos: INTEGER, OCTET STRING, OBJECT IDENTIFIER, NULL, Subtipos; Construtores: Listas e Tabelas; Definidos: Nomes alternativos para tipos ASN Notações em ASN.1 As notações em ASN.1 seguem algumas convenções: Tabela 01 - Notações em ASN Exemplos de Definição ASN.1 Estrutura genérica: syscontact OBJECT-TYPE SYNTAX DisplayString (SIZE ( )) ACCESS read-write STATUS mandatory DESCRIPTION Texto xxxxxxxxxxxxxxxxxxxxxxxx 32 Gerenciamento de Redes - O Protocolo SNMP Gerenciamento de Redes com SNMP

35 Exemplo real de definição: pardhcpstarttime OBJECT-TYPE SYNTAX DisplayString (SIZE (1..30)) ACCESS read-only STATUS mandatory DESCRIPTION Dhcp Server start time Campo SYNTAX: Define o conteúdo do objeto, que pode ser do tipo: INTEGER: Inteiros de 32 bits; INTEGER ( ) Sub-tipo inteiro; OCTET STRING: String de bytes; OBJECT IDENTIFIER: Localização de outro objeto na MIB. Aceita alguns tipos específicos de aplicação: IpAddress: OCTET STRING com 4 bytes; Counter: Inteiro 32 bits; Gauge: Inteiro 32 bits; TimeTicks: Inteiro 32 bits (1/100 de segundo) Campo ACCESS: Define a acessibilidade do objeto: read only: Somente leitura; read-write: Leitura e escrita; write-only: Somente escrita, senha do equipamento, por exemplo; not-accessible: Não acessível, campo para operações internas, por exemplo Campo STATUS Representa a situação do objeto na MIB: Mandatory: Devem ser implementados por todos os agentes, os valores contidos devem ser válidos; Optional: Pode ou não ser implementado; Deprecated: Foi substituido por novo objeto, mas ainda é válido, tornando-se obsoleto mais tarde; Obsolete: Não deve ser considerado. Gerenciamento de Redes com SNMP Gerenciamento de Redes - O Protocolo SNMP 33

36 5.3. Mensagem SNMP A mensagem possui tamanho variável, limitada a 484 bytes. Message length: Tamanho da mensagem lembre-se que o pacote SNMP tem tamanho variável; Protocol Version: Versão do Protocolo SNMP; Community String: Nome da comunidade; PDU Header: Cabeçalho do PDU; PDU Body: Dados da PDU. Figura 16 - Mensagem SNMP 5.4. As PDUs SNMP PDU (Protocol Data Unit) ou simplesmente Unidade de Dados de Protocolo, identifica uma série de informações, como versão do protocolo, tipo de operação e códigos de erro. Figura 17 - PDUs SNMP Toda operação SNMP gera uma resposta, com exceção da Operação de Trap. Os dados das operações são transportados na porta 161 UDP/IP, e os traps são transportados na porta 162 UDP/IP. 34 Gerenciamento de Redes - O Protocolo SNMP Gerenciamento de Redes com SNMP

37 Estrutura das PDUs SNMP A figura 18 mostra a estrutura das PDU s SNMP. Cada parte da PDU será explicada nas seções seguintes. Figura 18 - Estrutura das PDUs SNMP Preâmbulo e Cabeçalho Versão: 0: SNMPv1 1: SNMPv2c 2: SNMPv2u/SNMPv2p 3: SNMPv Tipo de PDU: 0: getrequest 1: getnextrequest 2: getresponse 3: setrequest 4: trap Request ID: Valor numérico usado para fazer referência a pedidos e respostas Códigos de erro: 0: noerror: Sucesso na operação. 1: toobig: Resposta muito grande. 2: nosuchname: OID não suportado pelo agente. 3: badvalue: Valor incorreto para operação set. 4: readonly: Tentativa de escrita inválida. 5: generr: Erro não relacionado ao protocolo Error index: Indica qual variável listada na PDU causou o erro. Gerenciamento de Redes com SNMP Gerenciamento de Redes - O Protocolo SNMP 35

38 5.5. A Arquitetura SNMP O Sistema de Gerenciamento possui a Aplicação Gerente que além de receber as informações do Gerente SNMP, pode também solicita-las. O Gerente SNMP irá disparar então uma operação no Agente SNMP. No Sistema Gerenciado as requisições que chegam ao Agent SNMP, são submetidas às MIBs para validar a existência dos objetos, permissões, tipos de dados e etc. A etapa seguinte consiste em consultar o recurso para obter o valor, lembre-se que a MIB só organiza os objetos, mas não possui dados Operações/Mensagens SNMP Get-Request Figura 19 - Arquitetura SNMP Recupera o valor de informações de gerenciamento. Figura 19 - Get-Request 36 Gerenciamento de Redes - O Protocolo SNMP Gerenciamento de Redes com SNMP

39 Get-Next-Request Recupera o valor de informações de gerenciamento existentes após um determinado identificador; pega o valor da próxima variável Get-Bulk-Request Figura Get-Next-Request Estende a funcionalidade da função Get-Next. Traz um bloco de informações de cada vez Set-Request Figura Get-Bulk-Request Modifica o valor de informações de gerenciamento. Figura 23 - Set-Request Gerenciamento de Redes com SNMP Gerenciamento de Redes - O Protocolo SNMP 37

40 TRAP Informa um evento ocorrido no sistema gerenciado Inform-Request Figura Trap Fornece uma informação de gerenciamento não solicitada. É usado entre gerentes, porém, diferentemente do Trap, no caso do Inform-Request existe a confirmação do recebimento da mensagem. Figura Inform-Request 38 Gerenciamento de Redes - O Protocolo SNMP Gerenciamento de Redes com SNMP

41 Exemplo de Operação Na figura 26 temos um exemplo de operação, primeiro uma ação do tipo Get- Request, que retorna o nome do equipamento, em seguida uma ação de GetNext- Request que retorna a informação referente a versão do equipamento e por último uma ação de Set-Request em um objeto que é apenas leitura (read only) e portanto a resposta de erro Limitações de SNMP Falta de segurança Figura Exemplo de Operação SNMP Esquema de autenticação trivial; Limitações no uso do método SET Ineficiência Esquema de eventos limitado e fixo; Operação baseada em pooling; Comandos transportam poucos dados Falta de funções específicas MIB com estrutura fixa; Falta de comandos de controle; Falta de comunicação entre gerenciadores Não confiável: Baseado em UDP/IP; Traps sem reconhecimento. Gerenciamento de Redes com SNMP Gerenciamento de Redes - O Protocolo SNMP 39

42 5.8. Vulnerabilidade SNMP - Proteção: Aplicar patchs fornecidos pelo fabricante; Utilizar aplicações SNMP somente onde seja necessário; Filtrar o acesso aos dispositivos gerenciados, permitindo somente o tráfego a partir de seus próprios servidores de gerenciamento; Alterar o nome padrão das comunidades; Isolar o tráfego de gerência em uma rede específica, uma VLAN por exemplo Versões SNMP: SNMP v1 SNMP v2 SNMP v SNMP V1 Características e Operações Básicas Get Usado pelo NMS (Network Management System Sistema de Gerenciamento de Redes) para adquirir o valor de uma ou mais instâncias de um objeto de um agente GetNext Usado pelo NMS para adquirir o valor do próximo objeto em uma tabela ou lista Set Usado pelo NMS para atribuir um valor a um objeto no agente SNMP V2 Durante a divergência SNMP v2 foram definidos quatro variações: SNMPv2 Original SNMPv2p: Com o "p" referindo-se a "party-based security; SNMPv2 baseado na comunidade SNMPv2c: Padrão utilizado até hoje SNMPv2 baseada no usuário SNMPv2u: Esquema de segurança baseado em usuários e senha SNMPv2 Estrela SNMPv2*: Combina elementos de SNMPv2p e SNMPv2u. Nunca foi formalmente padronizado. As três primeiras variações foram documentadas em conjuntos de padrões SNMP RFC Standard, a quarta não foi. 40 Gerenciamento de Redes - O Protocolo SNMP Gerenciamento de Redes com SNMP

43 A estrutura do formato de mensagem global para cada variante é discutida num padrão administrativo ou de segurança para a variação em questão, que faz referência à norma SNMPv2 compartilhada para o formato de PDU (RFC 1905) SNMP V2 (v2c) Características e Operações adicionais Trap Mensagem não solicitada, enviada por um agente para informar ao NMS sobre um evento significante GetBulk Usado pelo NMS para adquirir eficientemente grandes blocos de dados. traps Inform Permite que um NMS envie traps para outro NMS e receba respostas desses SNMP V Melhorias de Segurança USM User-based Security Model: Modelo de Segurança Baseada em Usuários VACM View-based Access Control Model: Modelo de controle de acesso baseado em visões Configuração dinâmica de agentes SNMP utilizando comandos SNMP Apresenta a capacidade de configurar dinamicamente o agente SNMP usando comandos SET SNMP contra os objetos MIB que representam a configuração do agente. Permite configuração dinâmica de adição, exclusão e modificação de entradas de configuração local ou remotamente. Podemos via comando alterar as configurações do snmpd.conf do host local ou remoto Modelo de Segurança SNMP Modelo mais comum SNMP V2c: Baseado no conceito de comunidade, cada dispositivo implementa uma ou mais comunidades Comunidade default: public: Leitura; private: Gravação. Gerenciamento de Redes com SNMP Gerenciamento de Redes - O Protocolo SNMP 41

44 Uma comunidade define Método para autenticar o acesso (senha); Visibilidade da MIB; Privilégios de acesso à MIB Serviço de autenticação Todas as mensagens SNMP são autenticadas; o nome da comunidade serve como senha, porém, esse é um sistema de segurança frágil e limitado, além de não permitir a operação SET em alguns casos. Alguns dispositivos controlam o acesso usando o nome da comunidade e o número IP do(s) gerente(s), o que eleva um pouco a segurança, mas não resolve o problema Traps em SNMP São mensagens enviadas pelo agente ao gerente; não são respostas a pedidos, ou seja, são mensagens não solicitadas e representam eventos anormais Classificação Genéricos: Presentes na MIB padrão; Específicos: Definidos na MIB enterprises Traps genéricos ColdStart: Dispositivo foi ligado; Configuração local pode ter sido alterada; Informa ao gerente sobre sua existência WarmStart: Dispositivo foi reinicializado; Configuração local não foi alterada LinkDown: Link ou porta de comunicação ligada ao nó falhou LinkUp: Link ou porta local foi (re)ativada AuthenticationFailure: O dispositivo recebeu mensagem SNMP não autorizada; Comunidade não reconhecida; Número IP de gerente inválido EgpNeighborLoss: Exterior Gateway Protocol falhou no nó; Normalmente usado em roteadores. 42 Gerenciamento de Redes - O Protocolo SNMP Gerenciamento de Redes com SNMP

45 EnterpriseSpecific: Indica que a trap é específica de uma empresa; Fornencedores definem suas próprias traps na ramificação da empresa privada na árvore MIB. Gerenciamento de Redes com SNMP Gerenciamento de Redes - O Protocolo SNMP 43

46 44 Gerenciamento de Redes - O Protocolo SNMP Gerenciamento de Redes com SNMP

47 6. A MIB A MIB (Management Information Base - Base de Informações de Gerenciamento) é um conjunto dos objetos gerenciados, com o objetivo de abranger informações necessárias para a gerência da rede. É importante salientar que a MIB não contém objetos reais, somente os organiza Objetos Gerenciados São estruturas de dados resultantes da modelagem dos recursos da rede a serem gerenciados, podem ter permissões para serem lidos ou alterados sendo que cada leitura representará o estado real do recurso e cada alteração será refletida no próprio recurso, isso permite automatização de grande parte das tarefas de gerência Modelos de Gerenciamento O padrão OSI define três modelos para gerenciamento de redes: Modelo Organizacional; Modelo Funcional; Modelo Informacional Modelo Organizacional Descreve a forma pela qual a gerência pode ser distribuída entre domínios e sistemas dentro de um domínio Modelo funcional Descreve as áreas funcionais e seus relacionamentos Modelo informacional Provê a base para a definição de objetos gerenciados e suas relações, classes atributos, ações e nomes Características do Modelo OSI Na definição de objetos gerenciados é utilizada a orientação a objetos. Objetos com características semelhantes são agrupados em classes de objetos, uma classe pode ser uma subclasse de outra, e a segunda herda todas as propriedades da primeira, também chamada de super-classe Classe, Subclasse e Superclasse Uma classe é definida por: Atributos da classe; Ações que podem ser invocadas; Eventos que podem ser relatados; Subclasse a qual ela deriva; Superclasse na qual ela está contida. Gerenciamento de Redes com SNMP A MIB 45

48 Hierarquias dos Objetos Gerenciados Para a definição dos objetos gerenciados deve-se considerar três hierarquias: Hierarquia de herança; Hierarquia de nomeação; Hierarquia de registros: Usados na caracterização e identificação de objetos gerenciados Hierarquia de Herança Conhecida também como hierarquia de classe tem como objetivo facilitar a modelagem dos objetos, através da utilização do paradigma da orientação a objetos. Essa característica facilita a definição de classes, superclasses, subclasses Hierarquia de Nomeação Hierarquia usada para identificar uma instância de um objeto. Conhecida como Hierarquia de containment, descreve a relação de "estar contido em" aplicado aos objetos. Um objeto gerenciado está contido dentro de um (e somente um) objeto gerenciado, um objeto gerenciado existe somente se o objeto que o contém existir Hierarquia de Registro Hierarquia usada para identificar os objetos, independentemente das hierarquias de heranças e nomeação. É especificada segundo regras estabelecidas pela notação ASN.1 (Abstract Syntax Notation. One). Cada objeto é identificado por uma sequência de números, correspondente aos nós percorridos desde a raiz, até o objeto em questão MIB da Internet O RFC (Request for Comments) 1066 apresentou a primeira versão da MIB, a MIB-1, o IAB (Internet Activities Board) aceita MIB como padrão no RFC O RFC 1158 propôs uma segunda MIB, a MIB-II, aceita e formalizada como padrão no RFC A árvore da MIB II Usa arquitetura de árvore de registro, cada parte da informação da árvore é um nó rotulado formado por: Identificador de objetos (OID): Descrição textual: directory(1) 46 A MIB Gerenciamento de Redes com SNMP

49 Nó Raiz O nó raiz da árvore (MIB) possui três sub-árvores: ccitt(0): Administração CCITT (Comite Consultatif Internationale de Telegraphie et Telephonie); iso(1): Administração ISO; joint-iso-ccitt(2): Administração ISO e CCITT Nó iso Sob o nó iso(1) temos as subárvores: org(3); dod(6); Internet(1). Figura 27 - Nó raiz da árvore MIB Figura 258 -Nó iso(1) Gerenciamento de Redes com SNMP A MIB 47

50 Nó internet O nó Internet(1) possui quatro subárvores: directory(1): Contém informações sobre o serviço de diretórios OSI; mgmt(2): Informações de gerenciamento; experimental(3): Objetos em pesquisa pela IAB; private(4): Objetos definidos por outras organizações Nó mgmt Figura 29 - Nó internet(1) Abaixo do nó mgmt(2) estão os objetos usados para se obter informações específicas de rede. Figura 30 - Nó mgmt 48 A MIB Gerenciamento de Redes com SNMP

51 Árvore MIB II Visão geral da árvore da MIB II. Figura 31 - Árvore MIB II Exemplo de Objeto da MIB Objeto System ( ) Exemplos de Grupos Figura 32 - Objeto System ( ) Grupo System Sistema de operação dos dispositivos da rede Descrição textual: iso.org.dod.internet.mgmt.mib-2.system Gerenciamento de Redes com SNMP A MIB 49

52 OID Componentes: sysdesc(1): Descrição do sistema, nome completo e versão do tipo de hardware, sistema operacional e software de rede; sysobjectid(2): OID de registro (fabricante do sistema); sysuptime(3): Tempo de atividade do sistema (1/100 s); syscontact (4): Pessoa ou grupo responsável pelo nó; sysname(5): Nome do nó na rede; syslocation(6): Localização física do nó; sysservices(7): Flags indicando serviços suportados Grupo Interfaces - Interface da rede com o meio físico Descrição textual iso.org.dod.internet.mgmt.mib-2.interface OID Componentes ifnumber(1): Número de interfaces de rede (independentemente do seu estado atual) presentes no sistema; iftable(2): A tabela de informações sobre cada interface de rede, o número de interfaces é dado pelo valor do ifnumber; ifentry(iftable 1): Entradas de valores sobre cada uma das interfaces; ifindex(ifentry 1): Um valor único para cada interface, permite identificar a interface; ifdescr(ifentry 2): Identificação da interface, deve incluir o nome do fabricante, o nome do produto e a versão da interface; iftype(ifentry 3): Tipo de interface; ifmtu(ifentry 4): Tamanho máximo do datagrama suportado pela interface, especificado em octetos; ifspeed(ifentry 5): Uma estimativa da largura de banda atual da interface em bits por segundo. Para interfaces que não variam em largura de banda ou ainda para aquelas onde essa estimativa não é considerada necessária, esse objeto deve conter a largura de banda nominal; ifphysaddress(ifentry 6): Endereço físico da interface, Para interfaces que não têm tal endereço (por exemplo, uma linha serial), esse objeto deve conter um octeto string de comprimento zero; ifadminstatus(ifentry 7): Indica o estado desejado da interface; ifoperstatus(ifentry 8): Indica o estado atual de funcionamento do interface; o up(1), -- pronto para passar pacotes; o down(2), -- interface desabilitada; o testing(3) -- indica que nenhum pacote em estado operacional podem ser passados. 50 A MIB Gerenciamento de Redes com SNMP

53 iflastchange(ifentry 9): O tempo de funcionamento desde que a interface entrou em estado operacional; ifinoctets(ifentry 10): O número total de octetos recebidos na interface, incluindo caracteres de enquadramento (framing characters); ifinucastpkts(ifentry 11): O número de pacotes unicast entregues a um protocolo de camada superior; ifinnucastpkts(ifentry 12): O número de pacotes não unicast (ou seja, broadcast ou multicast) entregues a um protocolo de camada superior; ifindiscards(ifentry 13): O número de pacotes de entrada que foram escolhidos para serem descartados, mesmo que nenhum erro tenha sido detectado, impede a entrega dos pacotes a um protocolo de camada superior. Uma razão possível para descartar tais pacotes poderia ser para liberar espaço de buffer; ifinerrors(ifentry 14): O número de pacotes de entrada que continham erros que impedem seu fornecimento a um protocolo de camada superior; ifinunknownprotos(ifentry 15): O número de pacotes recebidos através da interface que foram descartados por causa de um protocolo desconhecido ou não suportado; ifoutoctets(ifentry 16): O número total de octetos transmitidos na interface, incluindo caracteres de enquadramento (framing characters); ifoutucastpkts(ifentry 17): O número total de pacotes que o protocolo de camada superior solicitou que fossem transmitidos, incluindo aqueles que foram descartados ou não enviados; ifoutnucastpkts(ifentry 18): O número total de pacotes não unicast (ou seja, broadcast ou multicast) que o protocolo de camada superior solicitou que fossem transmitidos, incluindo aqueles que foram descartados ou não enviados; ifoutdiscards(ifentry 19): O número de pacotes de saída que foram escolhidos para serem descartados, mesmo que nenhum erro tenha sido detectado, impede a transmissão dos pacotes. Uma razão possível para descartar tais pacotes poderia ser para liberar espaço de buffer; ifouterrors(ifentry 20): O número de pacotes de saída que não puderam ser transmitidos devido a erros; ifoutqlen(ifentry 21): O comprimento da fila de saída de pacotes (em pacotes); ifspecific(ifentry 22): Uma referência a definições MIB específicas para uma mídia em particular, sendo usado para realizar a interface com o objeto. Por exemplo, se a interface é realizado por uma ethernet, então o valor deste objeto refere-se a um documento que define objetos específicos para ethernet. Se esta informação não é presente, seu valor deve ser definido como OBJECT IDENTIFIER { 0 0 }, que é uma sintaxe válida para identificador de objeto, e estará em conformidade com qualquer implementação de ASN.1 e BER que deverá ser capaz de gerar e reconhecer esse valor. Gerenciamento de Redes com SNMP A MIB 51

54 Grupo at (Address Translation) Mapeamento de endereços IP em endereços físicos Descrição textual iso.org.dod.internet.mgmt.mib-2.at OID Componentes attable(1): As tabelas de tradução de endereços, devem conter o endereço de rede para seu endereço físico equivalente. Algumas interfaces não usam tabelas de conversão para determinar equivalências endereço (por exemplo, DDN-X.25 tem um método algorítmico). Se todas as interfaces são deste tipo, então a tabela Address Translation está vazia, ou seja, tem zero entradas; atentry(attable 1): Cada entrada contém um endereço de rede para seu endereço físico equivalente; atifindex(atentry 1): A interface identificada por um determinado valor deste índice é a mesma interface identificada pelo mesmo valor de ifindex; atphysaddress(atentry 2): Endereço físico da interface; atnetaddress(atentry 3): O endereço da rede (por exemplo, o endereço IP) Grupo ip - Protocolo IP Descrição textual iso.org.dod.internet.mgmt.mib-2.ip OID Componentes (Apenas Alguns) ipforwarding(1): Se o IP Forward está ou não habilitado no dispositivo; o forwarding(1) o not-forwarding(2) ipinreceives(3): O número total de datagramas de entrada recebidos pela interface,incluindo aqueles recebidos com erro; ipinaddrerrors(5): O número de datagramas de entrada descartados porque o endereço IP de destino em seu campo de cabeçalho IP não era um endereço válido. Essa contagem inclui endereços inválidos (por exemplo, ) e os endereços de Classes não suportsadas (por exemplo, Classe E); ipinunknownprotos(7): O número de datagramas recebido com sucesso, mas descartados por causa de um protocolo desconhecido ou não suportado; 52 A MIB Gerenciamento de Redes com SNMP

55 ipoutdiscards(11): O número de datagramas IP de saída para os quais não foram encontrados problemas para impedir a sua transmissão ao seu destino, mas que foram descartados (por exemplo, por falta de espaço de buffer); ipoutnoroutes(12): O número de datagramas IP descartados, porque nenhuma rota podia ser encontrada para transmiti-los aos seus destinos; ipaddrtable(20): Tabela de endereçamento IP; ipadentreasmmaxsize(ipaddrentry 5): O tamanho do maior datagrama IP que esta entidade pode re-montar a partir dos datagramas IP fragmentados recebidos por esta interface; iproutetable(21): Tabela de roteamento IP; iproutedest(iprouteentry 1): Endereço IP do destino da rota. Uma entrada com valor é considerada uma rota padrão; iproutemetric1(iprouteentry 3): A métrica de roteamento primário para esta rota. A semântica desta métrica é determinada pelo protocolo de roteamento especificado na rota do valor iprouteproto. Se essa métrica não é utilizada, seu valor deve ser definido como -1; iproutenexthop(iprouteentry 7): O endereço IP do próximo salto da rota. (No caso de uma rota ligada a uma interface que se realiza através de uma mídia de broadcast, o valor deste campo é o endereço IP do agente daquela interface) Grupo icmp Protocolo ICMP Descrição textual iso.org.dod.internet.mgmt.mib-2.icmp OID Componentes (Apenas Alguns) icmpinmsgs(icmp 1): O número total de mensagens ICMP que a entidade recebeu. Note que a contagem inclui todos os contadores de icmpinerrors; icmpinerrors(icmp 2): O número de mensagens ICMP que a entidade recebeu, mas determinada por erros ICMP específicos (ICMP checksums com erro, erro no tamanho, etc); icmpindestunreachs(icmp 3): O número de mensagens ICMP recebidas com destino inacessível; icmpintimeexcds(icmp 4): O número de mensagens ICMP recebidas com tempo excedido. Gerenciamento de Redes com SNMP A MIB 53

56 Grupo TCP Protocolos TCP Descrição textual iso.org.dod.internet.mgmt.mib-2.tcp OID Componentes (Apenas Alguns) tcpconntable(13): Uma tabela contendo informações de conexão TCP específicas; tcpconnstate(tcpconnentry 1): O estado da conexão TCP; tcpconnlocaladdress(tcpconnentry 2): O endereço IP local para esta conexão TCP. No caso de uma conexão no estado ouvindo, disposta a aceitar conexões para qualquer interface IP associada ao nó, o valor é usado; tcpconnremaddress(tcpconnentry 4): O endereço IP remoto para essa conexão TCP; tcpconnremport(tcpconnentry 5): O número da porta remota para esta conexão TCP Grupo UDP Protocolos UDP Descrição textual iso.org.dod.internet.mgmt.mib-2.udp OID Componentes udpindatagrams(1): O número total de datagramas UDP entregues aos usuários UDP; udpnoports(2): O número total de datagramas UDP recebidos para os quais não houve aplicação na porta de destino; udpinerrors(3): O número de datagramas UDP recebidos que não puderam ser entregues por outras razões que não a falta de uma aplicação na porta de destino; udpoutdatagrams(4): O número total de datagramas UDP enviados a partir desta entidade; udptable(5): Uma tabela contendo informações sobre os ouvintes UDP; udpentry(udptable 1): Informações sobre um determinado ouvinte UDP; udplocaladdress(udpentry 1): O endereço IP local para este ouvinte UDP. No caso de um ouvinte UDP que está disposto a aceitar datagramas para qualquer interface IP associado com o nó, o valor é usado; udplocalport(udpentry 2): O número da porta local para este ouvinte UDP. 54 A MIB Gerenciamento de Redes com SNMP

57 Grupo EGP Protocolo EGP Descrição textual iso.org.dod.internet.mgmt.mib-2.egp OID Componentes (Apenas Alguns) egpinmsgs(1): O número de mensagens EGP recebidas sem erro; egpinerrors(2): O número de mensagens EGP recebidas com erro; egpoutmsgs(3): O número total de mensagens EGP gerados localmente; egpouterros(4): O número de mensagens EGP gerados localmente não enviadas devido a limitações de recursos dentro de uma entidade EGP; egpneightable(5): A tabela de vizinhos EGP Grupo cmot Protocolo CMOT Descrição textual iso.org.dod.internet.mgmt.mib-2.cmot OID Histórico Grupo Transmission Meios de Transmissões Descrição textual iso.org.dod.internet.mgmt.mib-2.transmission OID Histórico Grupo SNMP Protocolo SNMP Descrição textual iso.org.dod.internet.mgmt.mib-2.snmp OID Componentes snmpinpkts(1): O número total de mensagens entregues à entidade SNMP pelo serviço de transporte; snmpoutpkts(2): O número total de mensagens SNMP que foram passados da entidade protocolo SNMP para o serviço de transporte; snmpinbadversions(3): O número total de mensagens SNMP que foram entregues à entidade protocolo SNMP, mas eram de uma versão SNMP não suportada; Gerenciamento de Redes com SNMP A MIB 55

58 snmpinbadcommunitynames(4): O número total de mensagens SNMP entregues à entidade protocolo SNMP, mas que usaram um nome da comunidade SNMP desconhecida pela entidade; snmpinbadcommunityuses(5): O número total de mensagens SNMP entregues à entidade protocolo SNMP que representaram uma operação SNMP que não era permitida pela comunidade SNMP nomeada na mensagem; snmpinasnparseerrs(6): O número total de erros ASN.1 ou BER encontrados pela entidade protocolo SNMP quando decodificou as Mensagens SNMP recebidas; -- (7): Não é usado; snmpintoobigs(8): O número total de PDUs SNMP que foram entregues à entidade protocolo SNMP e para os quais o valor do campo status de erro é `toobig '; SnmpInNoSuchNames(9): O número total de PDUs SNMP que foram entregues à entidade protocolo SNMP e para os quais o valor do campo status de erro é `nosuchname '; SnmpInBadValues(10): O número total de PDUs SNMP que foram entregues à entidade protocolo SNMP e para os quais o valor do campo status de erro é `badvalue '; snmpinreadonlys(11): O número total válido de PDUs SNMP que foram entregues à entidade protocolo SNMP e para os quais o valor do campo status de erro é 'readonly'. Note que é um erro de protocolo para gerar um PDU SNMP que contém o valor `readonly ' no campo erro de status, e como tal, este objeto é fornecido como um meio de detectar implementações incorretas do SNMP; snmpingenerrs(12): O número total de PDUs SNMP que foram entregues à entidade protocolo SNMP e para os quais o valor do campo status de erro é `generr'; snmpintotalreqvars(13): O número total de objetos MIB que foram recuperados com sucesso pela entidade protocolo SNMP como o resultado de receber PDUs SNMP Get-Request e Get-Next válidos; snmpintotalsetvars(14): O número total de objetos MIB que foram alterados com sucesso pela entidade protocolo SNMP, como o resultado de receber PDUs SNMP Set-Request válidos; snmpingetrequests(15): O número total de PDUs SNMP Get-Request que foram aceitas e processadas pela entidade protocolo SNMP; snmpingetnexts(16): O número total de PDUs SNMP Get-Next que foram aceitas e processadas pela entidade protocolo SNMP; snmpinsetrequests(17): O número total de PDUs SNMP Set-Request que foram aceitas e processadas pela entidade protocolo SNMP; snmpingetresponses(18): O número total de PDUs SNMP Get-Response que foram aceitas e processadas pela entidade protocolo SNMP; snmpintraps(19): O número total de PDUs SNMP Trap que foram aceitas e processadas pela entidade protocolo SNMP; 56 A MIB Gerenciamento de Redes com SNMP

59 snmpouttoobigs(20): O número total de PDUs SNMP que foram gerados pela entidade protocolo SNMP e para os quais o valor do campo status de erro é `toobig '; snmpoutnosuchnames(21): O número total de PDUs SNMP que foram gerados pela entidade protocolo SNMP e para os quais o valor do campo status de erro é ` nosuchname '; snmpoutbadvalues(22): O número total de PDUs SNMP que foram gerados pela entidade protocolo SNMP e para os quais o valor do campo status de erro é ` badvalue '; -- (23): Não é usado; snmpoutgenerrs(24): O número total de PDUs SNMP que foram gerados pela entidade protocolo SNMP e para os quais o valor do campo status de erro é ` generr '; snmpoutgetrequests(25): O número total de PDUs SNMP Get-Request que foram gerados pela entidade protocolo SNMP; snmpoutgetnexts(26): O número total de PDUs SNMP Get-Next que foram gerados pela entidade protocolo SNMP; snmpoutsetrequests(27): O número total de PDUs SNMP Set-Request que foram gerados pela entidade protocolo SNMP; snmpoutgetresponses(28): O número total de PDUs SNMP Get- Response que foram gerados pela entidade protocolo SNMP; snmpouttraps(29): O número total de PDUs SNMP Trap que foram gerados pela entidade protocolo SNMP; snmpenableauthentraps(30): Indica se o processo do agente SNMP esta configurado para gerar traps de falha de autenticação. O valor deste objeto substitui qualquer informação de configuração, como tal, fornece um meio pelo qual todos os traps de falha de autenticação possam ser desabilitados. Note que é altamente recomendável que esse objeto seja armazenados em memória não-volátil para que ele permaneça constante entre as reinicializações do sistema de gerencia de rede. o enabled(1); o disabled(2). Gerenciamento de Redes com SNMP A MIB 57

60 58 A MIB Gerenciamento de Redes com SNMP

61 7. Protocolo de Gerenciamento RMON O padrão RMON para monitoramento remoto oferece uma arquitetura de gerenciamento distribuída para análise de tráfego, resolução de problemas, demonstração de tendências e gerenciamento proativo de redes de modo geral. Criado pelos mesmos grupos que desenvolveram o TCP/IP e o SNMP, o RMON é um padrão IETF (Internet Engineering Task Force) de gerenciamento de redes cuja sigla significa Remote Network Monitoring MIB. Primeiramente, desenvolveu-se o padrão SNMP, somente depois se pensou no RMON. O Simple Network Management Protocol, ou SNMP, é um protocolo de gerenciamento realmente simples: a única informação que se tem através de um alerta SNMP é que existe um problema em um ponto da rede. Os alertas do SNMP padrão notificam um problema somente quando ele já atingiu uma condição extrema suficiente a ponto de comprometer a comunicação na rede como um todo. Ao contrário do que se pode imaginar, o SNMP não é capaz de definir o problema, nem sua gravidade, nem fornece, tampouco, recursos para uma investigação das causas desse problema. O diagnóstico do problema é uma tarefa do administrador da rede. O comitê do IETF decidiu que, para promover uma expansão qualificada das tecnologias de rede, era necessário um padrão de gerenciamento de redes mais sofisticado. As principais características do novo padrão, o RMON, seriam: Interoperabilidade independentemente de fabricante; Capacidade de fornecer informações precisas a respeito das causas de falha no funcionamento normal da rede, assim como da severidade dessa falha; Oferecer ferramentas adequadas para diagnóstico da rede. Além destas características, o padrão deveria oferecer um mecanismo proativo para alertar o administrador dos eventuais problemas da rede, além de métodos automáticos capazes de coletar dados a respeito desses problemas. Assim, o RMON tornou-se um padrão por volta de O RMON II foi publicado para estender as capacidades do RMON Algumas RFCs tratam do protocolo RMON: RMON1: RFC Remote Network Monitoring Management Information Base (Draft) Fev. 1995; RMON1: RFC Remote Network Monitoring Management Information Base Mai 2000; RFC Token Ring Extensions to the Remote Network Monitoring MIB Set 1993; RMON2: RFC Remote Network Monitoring Management Information Base Version 2 using SMIv2 (Obsolete) Jan 1997*; RFC Remote Network Monitoring Management Information Base for High Capacity Networks Jul 2002 **; RMON2: RFC Remote Network Monitoring Management Information Base Version 2 using SMIv2 Mai 2006; o * Substituiu; o ** Atualizou. Gerenciamento de Redes com SNMP Protocolo de Gerenciamento RMON 59

62 SMON: RFC Remote Network Monitoring MIB Extensions for Switched Networks (Proposto) Jun 1999; Overview: RFC Introduction to the RMON Family of MIB Modules Ago Características do Protocolo O protocolo RMON é uma MIB SNMP e, portanto o dispositivo deve possuir um agente SNMP. É específico para tecnologias Ethernet e Token Ring, apesar de existir uma implementação para ATM. O dispositivo que implementa o suporte para RMON se chama probe RMON. Um probe pode ser implementado em um dispositivo dedicado ou em um elemento de rede, como um hub, switch ou roteador. O probe visa monitorar tráfego de um segmento da rede. Deve ficar em um ponto da rede por onde passa todo o tráfego do segmento. Dessa forma deve haver um probe RMON por segmento de rede a ser monitorado. Em redes comutadas, o RMON é implementado normalmente nos equipamentos ativos ou através de espelhamento do tráfego de suas portas para uma porta de monitoração (port mirroring) Objetivos do RMON Realizar análise e levantar informações estatísticas sobre os dados coletados em uma sub-rede, liberando a estação gerente desta tarefa. Reduzir tráfego entre rede local gerenciada e a estação gerente remota. Detectar, registrar e informar à estação gerente sobre situações de erro e eventos significativos da rede. Permitir o gerenciamento pró-ativo da rede, diagnosticando e registrando eventos que possibilitem detectar o mal funcionamento e prever falhas que interrompam a sua operação. Enviar informações de gerenciamento para múltiplas estações gerentes. 60 Protocolo de Gerenciamento RMON Gerenciamento de Redes com SNMP

63 7.4. Abrangência das versões Tabela 02 - Camadas de atuação de cada versão do Protocolo RMON 7.5. Exemplo de funcionamento Figura 33 - Exemplo de consulta RMON Gerenciamento de Redes com SNMP Protocolo de Gerenciamento RMON 61

64 7.6. MIB RMON1 Figura MIB RMON I Aquisição de Estatísticas de Tráfego: Estatístico (Statistics); Histórico (History); Hosts; Classificação de n Hosts (Host Top N); Matriz (Matrix); Token Ring Detecção e Resolução de Situações Críticas e de Erro: Alarme (Alarm); Filtro (Filter); Captura de pacote (Packet Capture); Evento (Event) Exemplos de Grupos RMON1 Statistics Estatísticas básicas do tráfego em cada segmento de rede Ethernet Exemplos de estatísticas Ethernet Bytes trafegados; Pacotes trafegados (<uni/broad/multi>cast); Pacotes < 64 bytes; Pacotes > 1518 bytes; Pacotes com erro de CRC; Número de colisões. 62 Protocolo de Gerenciamento RMON Gerenciamento de Redes com SNMP

65 RMON1 History Armazena n últimas estatísticas da rede Configuração Intervalos de amostragem; Quantidade de amostras armazenadas. Análise da tendência de comportamento de uma rede: Cria subsídios para um gerenciamento pró-ativo. Figura Exemplo coleta Grupo History RMON I RMON1 Hosts Estatísticas para cada host do segmento de rede Exemplos: Número de bytes transmitidos e recebidos; Número de pacotes transmitidos e recebidos; Número de pacotes com erro transmitidos; Número de pacotes broadcast transmitidos; Número de pacotes multicast transmitidos RMON1 Hosts Top N Classifica os hosts de acordo com valores de variáveis do grupo hosts. Permite definir: Variável para ordenação; Duração da amostragem; Quantidade de hosts na lista. Gerenciamento de Redes com SNMP Protocolo de Gerenciamento RMON 63

66 Exemplo: As 10 máquinas que mais transmitiram pacotes na rede hoje; As 5 máquinas que mais transmitiram pacotes com erros nas últimas 2 horas; As 20 máquinas que mais geraram tráfego de broadcast na semana RMON1 Matrix Associa estatísticas de tráfego entre pares de máquinas. Exemplos: Pacotes transmitidos; Octetos transmitidos; Pacotes com erros transmitidos. Facilita a obtenção de informações em relação à comunicação entre um par qualquer de estações. Figura Grupo Matrix RMON I RMON1 Token Ring O suporte a Token Ring pode ser feito de 2 formas: Extensão dos grupos Statistics e History para redes Token Ring: Grupos Statistics e History originais eram dependentes de Ethernet. Novo grupo Token Ring RMON1 Alarm Estabelece limites de operação para variáveis de MIB. Se os limites forem ultrapassados, alarmes são gerados. 64 Protocolo de Gerenciamento RMON Gerenciamento de Redes com SNMP

67 Exemplos: Mais de 20 pacotes com erro nos últimos 5 minutos; Se a taxa de bytes enviados for menor que /5s. Figura Grupo Alarm RMON I RMON1 Filter Define condições associadas a pacotes trafegados pela rede. Se o pacote atende às condições estabelecidas: Captura o pacote ou Registra estatísticas baseadas no mesmo. Exemplos: Captura todos os pacotes vindos do servidor S1; Conta quantos pacotes estão indo para o roteador e não são originários dos servidores: tráfego entre segmentos de redes das estações. Gerenciamento de Redes com SNMP Protocolo de Gerenciamento RMON 65

68 RMON1 Packet Capture Troubleshooting em segmentos de redes remotos. Como capturar o tráfego em um segmento de rede? Colocar no segmento um sniffer; Utilizar o probe RMON. Figura 38 - Grupo Packet Capture RMON I Captura pacotes para análise na rede. Parâmetros da captura: Quantos bytes de cada pacote serão armazenados? Default são os 100 primeiros bytes; Qual filtro determina os pacotes a serem capturados? Qual o tamanho do buffer a ser utilizado? RMON1 Event Algumas ações do probe provocam eventos, por exemplo: Alarme disparado; Pacote que atende condições de um filtro. Grupo event determina o que fazer nestes casos: Log interno; snmp-trap; Log-and-trap. 66 Protocolo de Gerenciamento RMON Gerenciamento de Redes com SNMP

69 7.7. RMON2 O RMON1 trabalha na camada de enlace de dados. Mas e as demandadas de Estatísticas de IP, IPX? Estatísticas de HTTP, FTP, etc? O RMON2 visa atender a essas necessidades MIB RMON2 A MIB do RMON2 é um subconjunto da árvore MIB: São 9 novos grupos básicos de variáveis. Figura 39 - MIB RMON II RMON2 Protocol Directory Diretório de Protocolo. Lista dos protocolos que o probe RMON2 consegue monitorar. Visa a interoperabilidade. Gerenciamento de Redes com SNMP Protocolo de Gerenciamento RMON 67

70 RMON2 Protocol Distribution Estatísticas sobre todos os protocolos suportados pelo probe. Número de bytes e de pacotes referentes a cada protocolo trafegando naquele segmento de rede. Figura 40 - Grupo Protocol Distribution RMON II RMON2 Network Layer Host/Matrix e Application Layer Host/Matrix Tabela 03 - Network Layer Hot/Matrix e Application Layer Host/Matrix RMON II RMON2 User History Histórico de Coleta do Usuário. Equivalente ao grupo history do RMON1, porém, permite configurar quais variáveis serão mantidas no histórico, além do intervalo e quantidade da amostragem RMON2 Probe Configuration Configuração do Probe. Padroniza a configuração do probe RMON, visando interoperabilidade entre probes e softwares gerentes de diferentes fabricantes Exemplos: Reboot do probe; Atualização de Software. 68 Protocolo de Gerenciamento RMON Gerenciamento de Redes com SNMP

71 RMON2 Address Map Mapeamento de Endereços. Relaciona endereços MAC e endereços de Rede (IP, IPX) RMON Considerações Finais O RMON pode exigir bastante processamento: nem sempre um determinado equipamento ou dispositivo tem recursos de processamento e armazenamento para suportar todos os grupos de variáveis da RMON-MIB. É suficiente que seja implementado um único desses grupos, para o elemento ser considerado em conformidade com o RMON. Na especificação dos dispositivos são definidos quais grupos de RMON eles suportam. No caso de existirem múltiplos gerentes, o elemento RMON deve determinar quais informações de gerenciamento devem ser encaminhadas para cada gerente. Gerenciamento de Redes com SNMP Protocolo de Gerenciamento RMON 69

72 70 Protocolo de Gerenciamento RMON Gerenciamento de Redes com SNMP

73 8. Gerenciamento de Servidores GNU/Linux Utilizando SNMP v1 e v2c A implementação do protocolo SNMP em Servidores Linux se dá geralmente através do net-snmp ( Na distribuição CentOS ( utilizada durante todos os exemplo práticos, temos 4 pacotes que fazem essa implementação: # yum -y install net-snmp net-snmp-devel net-snmp-utils net-snmplibs net-snmp: Binários, arquivos de configuração, arquivos de inicialização e documentação; net-snmp-devel: Arquivos fontes; net-snmp-utils: Binários adicionais, como snmpget, snmpgetnext, snmpset, snmpwalk, etc; e arquivos man; net-snmp-libs: Bibliotecas, documentações e MIBS default localizadas no /usr/share/snmp/mibs Instalação dos binários 8.2. Estrutura do net-snmp após a instalação dos binários /etc/rc.d/init.d/: Arquivos de inicialização; /etc/snmp: Arquivos de configuração; /etc/sysconfig/snmpd: Arquivos de configuração de sistema; geram o /var/run/snmpd.pid; /usr/bin/ e /usr/sbin/: Binários do sistema; /usr/include/net-snmp: Arquivos fonte; /usr/lib64/: Bibliotecas 64 bits; /usr/share/doc/ e /usr/share/man/: Documentação; /usr/share/snmp: Arquivos e dados de configuração usados pelo sistema e MIBs default; /var/lib/net-snmp: No momento em que o serviço é iniciado, carrega a configuração do net-snmpd.conf e as mibs disponíveis no sistema; /var/run/net-snmp: Previsto para armazenar dados temporários de execução que descrevem o estado do sistema, como PIDs, por exemplo, que no caso do CentOS é armazenado direto em /var/run/snmpd.pid Backup do arquivo de configuração original (snmpd.conf) As boas práticas em administração de servidores nos sinalizam que é importante realizar um backup dos arquivos de configuração originais de todo e qualquer serviço, antes de realizarmos alterações nas condigurações padrão. A fora isso, no caso do snmpd.conf, o mesmo é uma exelente fonte de estudos. Em nosso caso, vamos mover o arquivo, pois em todos os exemplos criaremos o nosso próprio arquivo de configuração. # mv /etc/snmp/snmpd.conf /etc/snmp/snmpd.conf.orig Gerenciamento de Redes com SNMP Gerenciamento de Servidores GNU/Linux Utilizando SNMP v1 e v2c 71

74 8.4. Configuração Básica de um Agente SNMP v1/v2c Para que um servidor responda às solicitações do protocolo SNMP v1 e v2c, ele só precisa de uma linha no seguinte formato: rocommunity nome_da_comunidade Representa uma comunidade com direito de leitura. rwcommunity nome_da_comunidade Representa uma comunidade com direito de leitura e escrita. Podem ser informadas apenas comunidades com direito de leitura, comunidades com direito de escrita ou ambas; basta colocar uma informação por linha. # cat snmpd.conf # /etc/snmp/snmpd.conf v1/v2c basico # rocommunity public rwcommunity private Após alterar o arquivo, é necessário reiniciar o serviço: # service snmpd restart O status do serviço pode ser verificado através do comando: # service snmpd status 8.5. Acessando um Agente SNMP v1/v2c Comando snmpget A leitura de informações de um host é feita através do comando snmpget: # snmpget -v 1 -c public localhost syscontact.0 SNMPv2-MIB::sysContact.0 = STRING: root@localhost # snmpget -v 2c -c public localhost syscontact.0 SNMPv2-MIB::sysContact.0 = STRING: root@localhost Explicando o comando: snmpget: Comando para ler informações do host; -v: Versão do protocolo pode ser 1 ou 2c; -c: Comunidade, no nosso exemplo, public; localhost: Endereço do host ao qual será solicitada a informação, sendo nome DNS ou IP. syscontact.0: Informação que será solicitada ao host. Como pode ser observado acima, o servidor responde às solicitações da versão 1 e 2c do protocolo SNMP. Nesse caso solicitamos a informação syscontact.0, que corres- 72 Gerenciamento de Servidores GNU/Linux Utilizando SNMP v1 e v2c Gerenciamento de Redes com SNMP

75 ponde ao responsável pelo host. Como isso não foi informado no arquivo de configuração, a resposta é a default do sistema. Por que syscontact.0 e não apenas syscontact? Como já mencionamos anteriormente, cada objeto possui uma identificação única, que é sua posição na árvore da MIB. No caso do contato, teremos apenas um responsável cadastrado, mas se pensarmos, em interfaces de rede, por exemplo, geralmente teremos mais de uma, e nesse caso poderíamos ler informações como: A descrição da primeira interface de rede: # snmpget -v 2c -c public localhost ifdescr.1 IF-MIB::ifDescr.1 = STRING: lo A descrição da segunda interface de rede: # snmpget -v 2c -c public localhost ifdescr.2 IF-MIB::ifDescr.2 = STRING: eth Comando snmpset A alteração de informações de um host é feita através do comando snmpset, que vai confirmar se a comunidade utilizada possui ou não privilégio suficiente para executar essa ação: # snmpset -v 1 -c public localhost syscontact.0 s aulas Error in packet. Reason: (nosuchname) There is no such variable name in this MIB. Failed object: SNMPv2-MIB::sysContact.0 # snmpset -v 2c -c public localhost syscontact.0 s aulas Error in packet. Reason: noaccess Failed object: SNMPv2-MIB::sysContact.0 Observe que na versão 2c as mensagens se tornaram mais claras, por isso sempre que o host possuir suporte, é aconselhável utilizar a versão 2c. Nesses exemplos o problema foi a utilização da comunidade public, que tem direito apenas de leitura no host. # snmpset -v 2c -c private localhost syscontact.0 s aulas SNMPv2-MIB::sysContact.0 = STRING: aulas Explicando o comando: snmpset: Comando para alterar informações do host; -v: Versão do protocolo pode ser 1 ou 2c; -c: Comunidade no nosso exemplo private; Gerenciamento de Redes com SNMP Gerenciamento de Servidores GNU/Linux Utilizando SNMP v1 e v2c 73

76 localhost: Endereço do host ao qual será solicitada a informação, sendo nome DNS ou IP. syscontact.0: Informação que será alterada no host; s: Tipo de dado da informação, neste caso String; aulas: Dado que será gravado no campo syscontact.0. Observe que sempre que realizarmos uma alteração no host, receberemos uma mensagem de retorno, que pode ser uma mensagem de falha ou a confirmação de que a informação foi alterada, como no exemplo acima: SNMPv2-MIB::sysContact.0 = STRING: aulas Comando snmpgetnetxt Sabendo da existência de uma determinada informação, podemos solicitar ao host qual é a próxima informação, e assim percorrer todas as informações daquele host, para isso utilizamos o comando snmpgetnext: # snmpgetnext -v 2c -c public localhost syscontact.0 SNMPv2-MIB::sysName.0 = STRING: aulas O comando retorna que a próxima informação depois de syscontact.0 é sysname.0, dado do tipo string, e que o valor atual é aulas: SNMPv2-MIB::sysName.0 = STRING: aulas. sysname.0 é o campo que contem o nome que identifica este host. Mais um exemplo: # snmpgetnext -v 2c -c public localhost sysname.0 SNMPv2-MIB::sysLocation.0 = STRING: Unknown O comando retorna que a próxima informação, depois de sysname.0, é syslocation.0, dado do tipo string e que o valor atual é desconhecido: SNMPv2- MIB::sysLocation.0 = STRING: Unknown. syslocation.0 é o campo com a identificação da localização do host Comando snmpwalk O comando snmpgetnext é útil quando desejamos conhecer uma ou duas informações a partir de determinado ponto da árvore da MIB, mas para percorrermos um galho inteiro ou mesmo toda a árvore, o mesmo se torna inviável. Para isso temos o comando snmpwalk: # snmpwalk -v 2c -c public localhost system SNMPv2-MIB::sysDescr.0 = STRING: Linux aulas el6.i686 #1 SMP Mon Jun 27 18:07:00 BST 2011 i686 SNMPv2-MIB::sysObjectID.0 = OID: NET-SNMP- MIB::netSnmpAgentOIDs.10 DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (88242) 0:14:42.42 SNMPv2-MIB::sysContact.0 = STRING: aulas 74 Gerenciamento de Servidores GNU/Linux Utilizando SNMP v1 e v2c Gerenciamento de Redes com SNMP

77 SNMPv2-MIB::sysName.0 = STRING: aulas SNMPv2-MIB::sysLocation.0 = STRING: Unknown Neste exemplo percorremos todo o galho system; se o objetivo é ler todas as informações do host, basta executar: # snmpwalk -v 2c -c public localhost Comando snmpbulkget Conforme visto nos capítulos anteriores, na versão 2c do protocolo SNMP foram acrescentadas as funções de Bulk* (bulkget, bulkwalk), que ao invés de trazer uma única informação, trazem um bloco de informações da tabela na qual a informação está contida, o que torna a execução dos comandos mais eficiente e consequentemente mais rápida. # snmpbulkget -v 2c -c public localhost system SNMPv2-MIB::sysDescr.0 = STRING: Linux aulas el6.i686 #1 SMP Mon Jun 27 18:07:00 BST 2011 i686 SNMPv2-MIB::sysObjectID.0 = OID: NET-SNMP- MIB::netSnmpAgentOIDs.10 DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (146987) 0:24:29.87 SNMPv2-MIB::sysContact.0 = STRING: aulas SNMPv2-MIB::sysName.0 = STRING: aulas SNMPv2-MIB::sysLocation.0 = STRING: Unknown SNMPv2-MIB::sysORLastChange.0 = Timeticks: (14) 0:00:00.14 SNMPv2-MIB::sysORID.1 = OID: SNMP-MPD- MIB::snmpMPDMIBObjects SNMPv2-MIB::sysORID.2 = OID: SNMP-USER-BASED-SM- MIB::usmMIBCompliance SNMPv2-MIB::sysORID.3 = OID: SNMP-FRAMEWORK- MIB::snmpFrameworkMIBCompliance Nesse exemplo, o comando retornou toda a tabela system, mas veja o que acontece ao solicitar uma única informação, syslocation, por exemplo: # snmpbulkget -v 2c -c public localhost syslocation SNMPv2-MIB::sysLocation.0 = STRING: Unknown SNMPv2-MIB::sysORLastChange.0 = Timeticks: (14) 0:00:00.14 SNMPv2-MIB::sysORID.1 = OID: SNMP-MPD- MIB::snmpMPDMIBObjects SNMPv2-MIB::sysORID.2 = OID: SNMP-USER-BASED-SM- MIB::usmMIBCompliance SNMPv2-MIB::sysORID.3 = OID: SNMP-FRAMEWORK- MIB::snmpFrameworkMIBCompliance SNMPv2-MIB::sysORID.4 = OID: SNMPv2-MIB::snmpMIB SNMPv2-MIB::sysORID.5 = OID: TCP-MIB::tcpMIB SNMPv2-MIB::sysORID.6 = OID: IP-MIB::ip SNMPv2-MIB::sysORID.7 = OID: UDP-MIB::udpMIB SNMPv2-MIB::sysORID.8 = OID: SNMP-VIEW-BASED-ACM- MIB::vacmBasicGroup Gerenciamento de Redes com SNMP Gerenciamento de Servidores GNU/Linux Utilizando SNMP v1 e v2c 75

78 O bloco de informações começou na linha que continha a informação solicitada syslocation.0, e foi até sysorid.8, ao contrário da execução anterior, que foi até sysorid Comando snmpbulkwalk Ao executarmos o comando snmpbulkwalk, o resultado será o mesmo da execução do snmpwalk: # snmpbulkwalk -v 2c -c public localhost system SNMPv2-MIB::sysDescr.0 = STRING: Linux aulas el6.i686 #1 SMP Mon Jun 27 18:07:00 BST 2011 i686 SNMPv2-MIB::sysObjectID.0 = OID: NET-SNMP- MIB::netSnmpAgentOIDs.10 DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (199795) 0:33:17.95 SNMPv2-MIB::sysContact.0 = STRING: aulas SNMPv2-MIB::sysName.0 = STRING: aulas SNMPv2-MIB::sysLocation.0 = STRING: Unknown Entretanto, o tempo de resposta e o consumo de recursos da máquina são muito menores: # time snmpwalk -v 2c -c public localhost system SNMPv2-MIB::sysDescr.0 = STRING: Linux aulas el6.i686 #1 SMP Mon Jun 27 18:07:00 BST 2011 i686 SNMPv2-MIB::sysObjectID.0 = OID: NET-SNMP- MIB::netSnmpAgentOIDs.10 real 0m0.623s user 0m0.111s sys 0m0.192s # time snmpbulkwalk -v 2c -c public localhost system SNMPv2-MIB::sysDescr.0 = STRING: Linux aulas el6.i686 #1 SMP Mon Jun 27 18:07:00 BST 2011 i686 SNMPv2-MIB::sysObjectID.0 = OID: NET-SNMP- MIB::netSnmpAgentOIDs.10 real 0m0.348s user 0m0.112s sys 0m0.114s 76 Gerenciamento de Servidores GNU/Linux Utilizando SNMP v1 e v2c Gerenciamento de Redes com SNMP

79 Informações Adicionais Vale a pena lembrar que esses comandos não são compatíveis com a versão 1 do protocolo SNMP: # snmpbulkget -v 1 -c public localhost system snmpbulkget: Cannot send V2 PDU on V1 session (Sub-id not found: (top) -> system) # snmpbulkwalk -v 1 -c public localhost system snmpbulkwalk: Cannot send V2 PDU on V1 session (Sub-id not found: (top) -> system) Mas e o que vem antes da informação: SNMPv2-MIB::, IF-MIB::, DISMAN- EVENT-MIB::?. Esta informação nos diz quem foi a MIB que respondeu aquela solicitação. Lembre-se: se eu não possuir a MIB do equipamento do qual estou solicitando as informações, poderei ler o dado se souber a OID do objeto, mas não vou ter condições de interpreta-lo. Por exemplo: # snmpget -v 2c -c public localhost IF-MIB::ifDescr.1 = STRING: lo O OID representa o objeto ifdescr.1. Podemos observar acima que a resposta foi a mesma da execução anterior; agora veja o que acontece se eu não possuir a MIB: # snmpget -v 2c -c public localhost SNMPv2-SMI::mib = STRING: "lo" Obtivemos a resposta STRING: "lo", mas que dado é esse? Fica muito difícil identificar, já se eu possuir a MIB, receberei a resposta ifdescr.1 = STRING: lo, muito mais fácil de identificar o que é esse objeto. Além disso, aprenderemos um comando que consulta o objeto na MIB e nos traz a descrição desse objeto, que nesse caso seria: A textual string containing information about the interface. This string should include the name of the manufacturer, the product name and the version of the interface hardware/software." Por isso é tão importante possuir uma cópia da MIB de todos os equipamentos que você deseja monitorar através do seu servidor de gerenciamento (Estação de gerenciamento). Gerenciamento de Redes com SNMP Gerenciamento de Servidores GNU/Linux Utilizando SNMP v1 e v2c 77

80 78 Gerenciamento de Servidores GNU/Linux Utilizando SNMP v1 e v2c Gerenciamento de Redes com SNMP

81 9. Gerenciamento de Servidores GNU/Linux Utilizando SNMP v3 A versão 3 do protocolo SNMP é focada em melhorias de segurança. Conforme visto anteriormente, na versão 3 foram adotados: USM - User-based Security Model: Modelo de Segurança Baseada em Usuários; VACM - View-based Access Control Model: Modelo de controle de acesso baseado em visões; Configuração dinâmica de agentes SNMP utilizando comandos SNMP USM Até a versão 2 do protocolo SNMP, o controle de acesso era baseado em comunidades(communities) como public, private. Este é um sistema de segurança muito frágil e limitado, pois se alguém descobre o nome da comunidade, tem acesso total ao host, ainda que ele esteja configurado apenas para leitura. Disponibilizar essas informações a uma pessoa mal intencionada é o mesmo que deixá-la visitar sua rede e realizar anotações, e posteriormente montar o plano de ataque sem pressa alguma. A partir do SNMPv3, os usuários e suas respectivas senhas devem ser cadastrados na base de dados SNMP, sendo que esses dados são salvos criptografados VACM Os usuários são colocados em grupos. São criadas views que representam partes da árvore SNMP, semelhantes às views dos bancos de dados, ou compartilhamentos de diretórios em servidores de arquivos. A view é o recurso que desejamos disponibilizar, e por fim permissões são dadas para os grupos acessarem as views. Gerenciamento de Redes com SNMP Gerenciamento de Servidores GNU/Linux Utilizando SNMP v3 79

82 9.3. Modelo de Permissões VACM Este esquema demonstra como esse processo é estruturado no arquivo de configuração (snmpd.conf): Figura 41 - snmpd.conf de acordo com o Modelo VACM O primeiro passo é compartilhar os recursos, ou seja, definir as views: view nome tipo sub-árvore máscara view demowrite included view demoread included Neste caso, estamos definindo duas views, a view demowrite e a view demoread, e estamos incluindo a informação: (.iso.org.dod.internet.private.enterprises.ucdavis.ucddemomib.ucddemomibobjects. ucddemopublic); este é o recurso que estamos disponibilizando. Fazendo uma analogia com o servidor de arquivos, é como se existissem dois nomes de compartilhamento diferentes para o mesmo diretório. Esse segundo passo é opcional, pois podemos ter um host exclusivamente SNMP v3 ou um host compatível com SNMP v1, v2c e v3. Nesse caso queremos um host compatível com todas as versões, e por isso vamos informar ao servidor que quando ele receber uma solicitação em nome de uma comunidade, ele vai transformar esse nome de comunidade em um nome de usuário, essa linha faz este mapeamento: com2sec nome origem comunidade com2sec v2cuser default demopublic Essa linha informa que toda vez que uma solicitação v1 ou v2c for realizada de qualquer endereço IP, por isso a palavra default, com a comunidade demopublic, o servidor deve interpretar isso como uma solicitação do usuário v2cuser. 80 Gerenciamento de Servidores GNU/Linux Utilizando SNMP v3 Gerenciamento de Redes com SNMP

83 O próximo passo é colocar os usuários existentes em grupos: group nome modelo segurança group demogroup v2c v2cuser Essa linha indica que o usuário v2cuser será membro do grupo demogroup, e que esse grupo só responde a solicitações da versão 2c do protocolo SNMP. Por último, vamos definir qual é a permissão do grupo no recurso compartilhado, exatamente como fazemos no compartilhamento de diretórios: access nome contexto modelo nível prefixo leitura escrita notificação access demogroup any noauth prefix demoread demowrite none Essa linha indica que o grupo demogroup em qualquer contexto ( ), recebendo solicitações de qualquer versão do protocolo, pois na linha anterior já foram definidas as versões que ele vai responder, com nível de autenticação noauth e com prefixo do tipo prefix, possui direito de leitura na view demoread e escrita na view demowrite, e que não enviará notificações (Traps) para nenhum servidor Configuração Básica de um Agente SNMP v3 compatível com SNMP v1/v2c Como já dito, podemos ter um host configurado para trabalhar com o SNMP v3, mas mantendo a compatibilidade com as versões 1 e 2c. Exemplo: # cat snmpd.conf # /etc/snmp/snmpd.conf compativel com v1 e v2c (snmpd.conf.2) # # view name inc/excl tree mask view all included.1 80 #com2sec user source(ip,host...) community com2sec readonly default public com2sec readwrite default private #group name v1/v2c/usm user group compat v1 readonly group compat v2c readonly group compat1 v1 readwrite group compat1 v2c readwrite #access user context any/v1/v2c/usm level prefx read write notify access compat "" any noauth exact all none none access compat1 "" any noauth exact all all none Gerenciamento de Redes com SNMP Gerenciamento de Servidores GNU/Linux Utilizando SNMP v3 81

84 Lembre-se que após alterar o arquivo é necessário reiniciar o serviço: # service snmpd restart Disponibilizando os recursos Seção View A primeira seção a ser configurada é a das "views", ou seja, partes da árvore de OIDs que poderão ser visualizadas, e possui o seguinte formato: view nome included/excluded parte_da_árvore_mib máscara Por exemplo: view all included Seção com2sec A segunda seção trata do processo de associação entre as comunidades e os níveis de acesso são realizados através das linhas com2sec, e possui o seguinte formato: com2sec "security name" origem_da_requisição community Por exemplo: com2sec readonly default public com2sec readwrite default private Seção Group O próximo passo é realizar a associação dos grupos de acessos à versão do protocolo snmp e a um "security name", definindo acessos a informações diferentes dependendo da versão do protocolo utilizado. Estas linhas possuem o seguinte formato: group grupo versão_do_protocolo security_name Por exemplo: group compat v1 readonly group compat v2c readonly group compat1 v1 readwrite group compat1 v2c readwrite Seção Access Finalmente devem-se aplicar as permissões (visualizar/alterar) nas views pelos grupos. A configuração padrão irá permitir que compat possa visualizar qualquer configuração, enquanto compat1 poderá visualizar e alterar qualquer configuração. Possui o seguinte formato: access usuário contexto versão_do_protocolo level prefixo read write notify 82 Gerenciamento de Servidores GNU/Linux Utilizando SNMP v3 Gerenciamento de Redes com SNMP

85 Por Exemplo: access compat "" any noauth exact all none none access compat1 "" any noauth exact all all none Compreendendo os Parâmetros Seção View View: Comando para definir uma nova view; Name: Nome da view; Included/Excluded: Partes da árvore MIB que serão incluídas ou excluídas na view; Tree: As informações referentes à opção anterior, o que eu estou incluindo ou excluindo da view; posso, por exemplo, excluir a árvore toda (.1) e depois disponibilizar apenas galhos da árvore, como por exemplo, as informações referentes ao protocolo IP (.iso.org.dod.internet.mgmt.mib- 2.ip). Nesse caso essa view só apresentará essas informações; Mask: Máscara no formato hexadecimal; permite criar filtros avançados dentro do galho disponibilizado Seção Com2sec: Com2sec: Comando para definir uma nova associação entre nome de comunidade (v1/v2c) e nível de acesso (v3); Name: Nome do usuário; Source: Origem da requisição, indica a máquina que pode realizar requisições nesse host. Pode ser informado no formato ip/prefixo ou pode-se utilizar a palavra "default", que indica qualquer origem. Community: Nome da comunidade no modelo v1/v2c; esse nome será passado no momento da requisição Seção Group: Group: Comando para definir um novo grupo; Name: Nome do grupo; Model: Versão do protocolo que o host aceita ao receber requisições: o Qualquer versão: any; o Requisições v1: v1; o Requisições v2c: v2c; o Requisições v3: usm. User: Nome do usuário que pertence ao grupo Seção Access: Access: Comando para definir um novo acesso; Group: Nome do grupo ao qual será liberado acesso; Gerenciamento de Redes com SNMP Gerenciamento de Servidores GNU/Linux Utilizando SNMP v3 83

86 Context: Contexto ou escopo; é uma maneira de se criar filtros de acesso para determinadas situações. Pode ser contexto em um dispositivo, contexto em um conjunto de dispositivos, etc. Por exemplo: o Ler as informações de espaço em disco de todos os meus dispositivos; o Ler as informações de tráfego de portas do switch1; o Ler as informações de tráfego de rede de entrada da porta 24 (... iftable.ifentry.ifinoctets.24 ) do switch 2. Security Model: Versão do protocolo que o host aceita ao receber requisições: o Qualquer versão: any; o Requisições v1: v1; o Requisições v2c: v2c; o Requisições v3: usm. Level: Nível de segurança da autenticação: o NoAuth: Sem autenticação; o Auth: Com autenticação; o Priv: Autenticação com Criptografia. Prefix: Define o que será analisado no momento da requisição: o Exact: A correspondência exata de prefixo e contexto; o Prefix: Apenas o prefixo, que é o OID numérico ou identificação do objeto como, por exemplo, sysname. Read: Qual view o grupo tem direito de leitura; Write: Qual view o grupo tem direito de escrita; Notify: Qual host receberá as notificações em caso de situações anormais (Traps) Acessando um Agente SNMP v3 compatível com SNMP v1/v2c: # snmpget -v 1 -c public localhost syscontact.0 SNMPv2-MIB::sysContact.0 = STRING: aulas # snmpset -v 2c -c private localhost syscontact.0 s Curso SNMPv2-MIB::sysContact.0 = STRING: Curso # snmpgetnext -v 1 -c public localhost syscontact.0 SNMPv2-MIB::sysName.0 = STRING: aulas # snmpwalk -v 2c -c public localhost system SNMPv2-MIB::sysDescr.0 = STRING: Linux aulas el6.i686 #1 SMP Mon Jun 27 18:07:00 BST 2011 i686 SNMPv2-MIB::sysObjectID.0 = OID: NET-SNMP- MIB::netSnmpAgentOIDs Gerenciamento de Servidores GNU/Linux Utilizando SNMP v3 Gerenciamento de Redes com SNMP

87 DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (12017) 0:02:00.17 SNMPv2-MIB::sysContact.0 = STRING: Curso SNMPv2-MIB::sysName.0 = STRING: aulas SNMPv2-MIB::sysLocation.0 = STRING: Unknown # snmpbulkget -v 2c -c public localhost system SNMPv2-MIB::sysDescr.0 = STRING: Linux aulas el6.i686 #1 SMP Mon Jun 27 18:07:00 BST 2011 i686 SNMPv2-MIB::sysObjectID.0 = OID: NET-SNMP- MIB::netSnmpAgentOIDs.10 DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (12831) 0:02:08.31 SNMPv2-MIB::sysContact.0 = STRING: Curso SNMPv2-MIB::sysName.0 = STRING: aulas SNMPv2-MIB::sysLocation.0 = STRING: Unknown SNMPv2-MIB::sysORLastChange.0 = Timeticks: (24) 0:00:00.24 SNMPv2-MIB::sysORID.1 = OID: SNMP-MPD- MIB::snmpMPDMIBObjects SNMPv2-MIB::sysORID.2 = OID: SNMP-USER-BASED-SM- MIB::usmMIBCompliance SNMPv2-MIB::sysORID.3 = OID: SNMP-FRAMEWORK- MIB::snmpFrameworkMIBCompliance Como pode ser observado realizamos várias requisições v1 e v2c, utilizando tanto a comunidade public quanto a private e o host respondeu perfeitamente às requisições, ou seja, podemos ter um host configurado para SNMP v3, mas mantendo a compatibilidade com as versões anteriores se isso for uma necessidade do ambiente Configuração inicial de um Agente exclusivamente v3 Como abordado no inicio do artigo, o SNMP v3 é focado em segurança, por isso é importante trabalhar exclusivamente com a versão 3, sempre que isso for possível no seu ambiente Criar o usuário inicial com permissão de escrita: # cat snmpd.conf # /etc/snmp/snmpd.conf v3 inicial (snmpd.conf.3) # # Declarando um usuário Inicial com permissão de escrita rwuser initial # Criando o usuário na base do snmp #IMPORTANTE: Esta linha deve ser apagada após a adição dos novos usuários createuser initial MD5 setup_passphrase DES Lembre-se que após alterar o arquivo é necessário reiniciar o serviço: # service snmpd restart Gerenciamento de Redes com SNMP Gerenciamento de Servidores GNU/Linux Utilizando SNMP v3 85

88 Os usuários criptografados são armazenados no arquivo /var/lib/netsnmp/snmpd.conf. Abaixo, seguem as diferenças entre o arquivo antes e depois da criação do usuário initial. NUNCA EDITE ESSE ARQUIVO! /var/lib/net-snmp/snmpd.conf Antes da adição do usuário Initial: psyscontact aulas setserialno engineboots 13 /var/lib/net-snmp/snmpd.conf Após adição do usuário Initial: usmuser 1 3 0x80001f888056bd9740f0601d4f 0x696e c00 0x696e c00 NULL xa7b4e95eaa45873c69a0815fc1736d xa7b4e95eaa45873c69a0815fc1736d31 "" psyscontact Curso setserialno engineboots 14 Podemos observar a linha que contem as informações referentes ao usuário initial, devidamente criptografada: usmuser 1 3 0x80001f888056bd9740f0601d4f 0x696e c00 0x696e c00 NULL xa7b4e95eaa45873c69a0815fc1736d xa7b4e95eaa45873c69a0815fc1736d31 "" O serial alterado: setserialno E o número de vezes que o serviço foi reinicializado: engineboots Criar os usuários adicionais: # snmpusm -v 3 -u initial -n "" -x DES -l authnopriv -a MD5 -A setup_passphrase localhost create user1 initial User successfully created. # snmpusm -v 3 -u initial -n "" -x DES -l authnopriv -a MD5 -A setup_passphrase localhost create user2 initial User successfully created. # snmpusm -v 3 -u initial -n "" -x DES -l authnopriv -a MD5 -A setup_passphrase localhost create user3 initial User successfully created. 86 Gerenciamento de Servidores GNU/Linux Utilizando SNMP v3 Gerenciamento de Redes com SNMP

89 Parâmetros: snmpusm: Comando para criar e manipular usuários; -v 3: Versão do protocolo SNMP; -u initial: -u (User) initial, nome do usuário com permissão de escrita; -n "": Contexto; -x DES: Tipo de criptografia usada na senha (DES ou AES) protocolo usado na privacidade; -l authnopriv: Nível de segurança na autenticação, são três níveis: o noauthnopriv: Sem autenticação e sem privacidade; o authnopriv: Com autenticação, sem privacidade; o authpriv: Com autenticação e privacidade. For privacy, the Security Model defines what portion of the message is encrypted. IEEE - rfc3411 -a MD5: Tipo de Hash utilizado na senha (MD5 ou SHA); -A: A senha será hasheada ; será criado um hash da senha; setup_passphrase: Senha do usuário initial; localhost: Nome DNS ou IP do Servidor; create user1 initial: Criar o usuário user1, clonando de initial ; clona inclusive a senha Alterar a senha dos usuários: # snmpusm -v 3 -u initial -n "" -x DES -l authnopriv -a MD5 -A setup_passphrase localhost passwd setup_passphrase senhateste user1 SNMPv3 Key(s) successfully changed. # snmpusm -v 3 -u initial -n "" -x DES -l authnopriv -a MD5 -A setup_passphrase localhost passwd setup_passphrase senhateste2 user2 SNMPv3 Key(s) successfully changed. # snmpusm -v 3 -u initial -n "" -x DES -l authnopriv -a MD5 -A setup_passphrase localhost passwd setup_passphrase senhateste3 user3 SNMPv3 Key(s) successfully changed Parâmetros: passwd: Comando para alterar a senha; setup_passphrase: Senha atual do usuário user1 ; senhateste user1: Nova senha para o usuário user1, com mínimo de 8 caracteres. Gerenciamento de Redes com SNMP Gerenciamento de Servidores GNU/Linux Utilizando SNMP v3 87

90 /var/lib/net-snmp/snmpd.conf Após adição dos usuários user2, user3 e user4 : usmuser 1 3 0x80001f888056bd9740f0601d4f 0x x NULL x90d09d5d787216facf896a3540b462c x90d09d5d787216facf896a3540b462c9 0x usmuser 1 3 0x80001f888056bd9740f0601d4f 0x x NULL xf972172c26d4928dd2035e6c8d713d6f xf972172c26d4928dd2035e6c8d713d6f 0x usmuser 1 3 0x80001f888056bd9740f0601d4f 0x x NULL x4fb0c593d c47e7809d88c4d x4fb0c593d c47e7809d88c4d6 0x usmuser 1 3 0x80001f888056bd9740f0601d4f 0x696e c00 0x696e c00 NULL xa7b4e95eaa45873c69a0815fc1736d xa7b4e95eaa45873c69a0815fc1736d31 0x psyscontact Curso setserialno engineboots 15 Podemos observar as linhas que contem as informações referentes aos novos usuários devidamente criptografada: usmuser 1 3 0x80001f888056bd9740f0601d4f 0x x NULL x90d09d5d787216facf896a3540b462c x90d09d5d787216facf896a3540b462c9 0x usmuser 1 3 0x80001f888056bd9740f0601d4f 0x x NULL xf972172c26d4928dd2035e6c8d713d6f xf972172c26d4928dd2035e6c8d713d6f 0x usmuser 1 3 0x80001f888056bd9740f0601d4f 0x x NULL x4fb0c593d c47e7809d88c4d x4fb0c593d c47e7809d88c4d6 0x O serial alterado: setserialno E o número de vezes que o serviço foi reinicializado: engineboots Gerenciamento de Servidores GNU/Linux Utilizando SNMP v3 Gerenciamento de Redes com SNMP

91 snmpd.conf v3 básico: # cat snmpd.conf # /etc/snmp/snmpd.conf v3 básico (snmpd.conf.4) # # mantive o usuário initial com permissão de escrita rwuser initial # Dei permissão de leitura aos 3 usuários # recém-criados. rouser user1 rouser user2 rouser user3 Lembre-se que após alterar o arquivo é necessário reiniciar o serviço: # service snmpd restart Acessando um Agente SNMP v3: # snmpget -v 3 -u user3 -n "" -l authnopriv -a MD5 -A senhateste3 -x DES localhost syscontact.0 SNMPv2-MIB::sysContact.0 = STRING: Curso # snmpset -v 3 -u initial -n "" -l authnopriv -a MD5 -A setup_passphrase -x DES localhost syscontact.0 s "André Déo" SNMPv2-MIB::sysContact.0 = STRING: André Déo # snmpgetnext -v 3 -u initial -n "" -l authnopriv -a MD5 -A setup_passphrase -x DES localhost syscontact.0 SNMPv2-MIB::sysName.0 = STRING: aulas # snmpbulkget -v 3 -u initial -n "" -l authnopriv -a MD5 -A setup_passphrase -x DES localhost system SNMPv2-MIB::sysDescr.0 = STRING: Linux aulas el6.i686 #1 SMP Mon Jun 27 18:07:00 BST 2011 i686 SNMPv2-MIB::sysObjectID.0 = OID: NET-SNMP- MIB::netSnmpAgentOIDs.10 DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (19793) 0:03:17.93 SNMPv2-MIB::sysContact.0 = STRING: André Déo SNMPv2-MIB::sysName.0 = STRING: aulas SNMPv2-MIB::sysLocation.0 = STRING: Unknown SNMPv2-MIB::sysORLastChange.0 = Timeticks: (19) 0:00:00.19 SNMPv2-MIB::sysORID.1 = OID: SNMP-MPD- MIB::snmpMPDMIBObjects SNMPv2-MIB::sysORID.2 = OID: SNMP-USER-BASED-SM- MIB::usmMIBCompliance Gerenciamento de Redes com SNMP Gerenciamento de Servidores GNU/Linux Utilizando SNMP v3 89

92 SNMPv2-MIB::sysORID.3 = OID: SNMP-FRAMEWORK- MIB::snmpFrameworkMIBCompliance snmpd.conf v3 com VACM devidamente configurado: # cat snmpd.conf # /etc/snmp/snmpd.conf v3 devidamente configurado (snmpd.conf.5) # Definir as Views # view nome incl/excl. sub-árvore máscara View all included.1 80 view ip included iso.org.dod.internet.mgmt.mib-2.ip # Agrupar os usuários #group nome modelo_de_segurança usuário group rogroup1 usm user1 group rogroup1 usm user2 group rogroup2 usm user3 group rwgroup usm initial # Atribuir Permissões aos grupos #access grupo contexto mod_seg nível_seg coincidir ler alterar notificar access rogroup2 any noauth exact ip none none access rogroup1 any noauth exact all none none access rwgroup any noauth exact all all none Lembre-se que após alterar o arquivo é necessário reiniciar o serviço: # service snmpd restart Acessando um Agent SNMP v3: # snmpget -v 3 -u user3 -n "" -l authnopriv -a MD5 -A senhateste3 -x DES localhost syscontact.0 SNMPv2-MIB::sysContact.0 = No Such Object available on this agent at this OID Esse erro ocorre porque o usuário user3 faz parte do grupo rogroup2, cuja única permissão é ler a view ip, que disponibiliza o galho.iso.org.dod.internet.mgmt.mib-2.ip, no qual não existe a informação syscontact.0. # snmpget -v 3 -u user2 -n "" -l authnopriv -a MD5 -A senhateste2 -x DES localhost syscontact.0 SNMPv2-MIB::sysContact.0 = STRING: André Déo O usuário user2 faz parte do grupo rogroup1, cuja permissão é de leitura na view all, que disponibiliza a raiz inteira da MIB (.1). Portanto, ele pode ler a informação sys- Contact Gerenciamento de Servidores GNU/Linux Utilizando SNMP v3 Gerenciamento de Redes com SNMP

93 # snmpset -v 3 -u user2 -n "" -l authnopriv -a MD5 -A setup_passphrase -x DES localhost syslocation.0 s Curso snmpset: Authentication failure (incorrect password, community or key) (Sub-id not found: (top) -> syslocation) Esse erro ocorre porque o user2 não possui privilégios de escrita na view all. # snmpset -v 3 -u initial -n "" -l authnopriv -a MD5 -A setup_passphrase -x DES localhost syslocation.0 s Curso SNMPv2-MIB::sysLocation.0 = STRING: Curso O usuário initial faz parte do grupo rwgroup, cuja permissão é de leitura e escrita na view all, que disponibiliza a raiz inteira da MIB (.1). Portanto ele pode alterar a informação syslocation.0. # snmpbulkwalk -v 3 -u user3 -n "" -l authnopriv -a MD5 -A senhateste3 -x DES localhost IP-MIB::ipForwarding.0 = INTEGER: notforwarding(2) IP-MIB::ipDefaultTTL.0 = INTEGER: 64 IP-MIB::ipInReceives.0 = Counter32: 6946 IP-MIB::ipInHdrErrors.0 = Counter32: 0 IP-MIB::ipInAddrErrors.0 = Counter32: 7 IP-MIB::ipForwDatagrams.0 = Counter32: 0... IP-MIB::ipDefaultRouterLifetime.ipv4." ".2 = Gauge32: seconds IP-MIB::ipDefaultRouterPreference.ipv4." ".2 = INTEGER: medium(0) IP-MIB::ipDefaultRouterPreference.ipv4." ".2 = No more variables left in this MIB View (It is past the end of the MIB tree) O usuário user3 faz parte do grupo rogroup2, cuja única permissão é ler a view ip, que disponibiliza o galho.iso.org.dod.internet.mgmt.mib-2.ip. Por isso todas as informações apresentadas são da MIB IP-MIB. Outro detalhe interessante é a mensagem no final da execução do comando No more variables left in this MIB View (It is past the end of the MIB tree). Todas as vezes que essa mensagem for apresentada não significa que você não chegou ao fim da MIB, significa que você chegou ao fim da sua permissão. Se não for essa a sua intenção, é preciso revisar a configuração do host e alterar o que for necessário Configuração inicial de um Agente exclusivamente v3 com Autenticação e Privacidade Nesse capítulo veremos como criar um usuário SNMP v3 com o nível máximo de segurança. Se o seu ambiente permite a configuração exclusiva da versão 3, não tem porque não aproveitar ao máximo os recursos oferecidos por ela Criar o usuário inicial com permissão de escrita: # cat snmpd.conf # /etc/snmp/snmpd.conf v3 inicial com autenticação e privacidade (snmpd.conf.6) Gerenciamento de Redes com SNMP Gerenciamento de Servidores GNU/Linux Utilizando SNMP v3 91

94 # # Declarando um usuário Inicial com permissão de escrita rwuser initial # Criando o usuário na base do snmp #IMPORTANTE: Esta linha deve ser apagada após a adição dos novos usuários createuser initial MD5 setup_passphrase DES setup_passkey Lembre-se que após alterar o arquivo é necessário reiniciar o serviço: # service snmpd restart Criar os usuários adicionais: # snmpusm -v 3 -u initial -n "" -x DES -X setup_passkey -l authpriv -a MD5 -A setup_passphrase localhost create user1 initial User successfully created. # snmpusm -v 3 -u initial -n "" -x DES -X setup_passkey -l authpriv -a MD5 -A setup_passphrase localhost create user2 initial User successfully created. # snmpusm -v 3 -u initial -n "" -x DES -X setup_passkey -l authpriv -a MD5 -A setup_passphrase localhost create user3 initial User successfully created Parâmetros: snmpusm: Comando para criar e manipular usuários; -v 3: Versão do protocolo SNMP; -u initial: -u (User) initial, nome do usuário com permissão de escrita; -n "": Contexto; -x DES: Tipo de criptografia usada na senha (DES ou AES) protocolo usado na privacidade; -X setup_passkey: Chave criptográfica; -l authpriv: Nível de segurança na autenticação; são três níveis: o noauthnopriv: Sem autenticação e sem privacidade; o authnopriv: Com autenticação, sem privacidade; o authpriv: Com autenticação e privacidade. For privacy, the Security Model defines what portion of the message is encrypted. IEEE - rfc3411 -a MD5: Tipo de Hash utilizado na senha (MD5 ou SHA); -A: A senha será hasheada ; será criado um hash da senha; setup_passphrase: Senha do usuário initial; localhost: Nome DNS ou IP do Servidor; create user1 initial: Criar o usuário user1 ; clonando de initial, clona inclusive a senha. 92 Gerenciamento de Servidores GNU/Linux Utilizando SNMP v3 Gerenciamento de Redes com SNMP

95 Outro exemplo: # snmpusm -v3 -u initial -n "" -l authpriv -x DES -X 123 -a MD5 - A 234 localhost create user1 initial Parâmetros: -x DES -X 123 -a MD5 -A 234 : Criptografia do tipo DES (-x), chave criptográfica 123 (-X), hash do tipo MD5 (-a), chave criptográfica 234 (-A). Veja este trecho do man snmpcmd: -a authprotocol Set the authentication protocol (MD5 or SHA) used for authenticated SNMPv3 messages. Overrides the defauthtype token in the snmp.conf file. -A authpassword Set the authentication pass phrase used for authenticated SNMPv3 messages. Overrides the defauthpassphrase token in the snmp.conf file. It is insecure to specify pass phrases on the command line, see snmp.conf(5). -x privprotocol Set the privacy protocol (DES or AES) used for encrypted SNMPv3 messages. Overrides the defprivtype token in the snmp.conf file. This option is only valid if the Net-SNMP software was build to use OpenSSL. -X privpassword Set the privacy pass phrase used for encrypted SNMPv3 messages. Overrides the defprivpassphrase token in the snmp.conf file. It is insecure to specify pass phrases on the command line, see snmp.conf(5) Alterar a senha dos usuários: # snmpusm -v 3 -u initial -n "" -x DES -X setup_passkey -l authpriv -a MD5 -A setup_passphrase localhost -Ca passwd setup_passphrase senhateste user1 SNMPv3 Key(s) successfully changed. # snmpusm -v 3 -u initial -n "" -x DES -X setup_passkey -l authpriv -a MD5 -A setup_passphrase localhost -Ca passwd setup_passphrase senhateste2 user2 SNMPv3 Key(s) successfully changed. # snmpusm -v 3 -u initial -n "" -x DES -X setup_passkey -l authpriv -a MD5 -A setup_passphrase localhost -Ca passwd setup_passphrase senhateste3 user3 SNMPv3 Key(s) successfully changed Parâmetros: -Ca: Alterar a chave de autenticação; passwd: Comando para alterar a senha; setup_passphrase: Senha atual do usuário user1 ; Gerenciamento de Redes com SNMP Gerenciamento de Servidores GNU/Linux Utilizando SNMP v3 93

96 senhateste user1: Nova senha para o usuário user1, com mínimo de 8 caracteres Alterar a chave dos usuários: # snmpusm -v 3 -u initial -n "" -x DES -X setup_passkey -l authpriv -a MD5 -A setup_passphrase localhost -Cx passwd setup_passkey senha_key user1 SNMPv3 Key(s) successfully changed. # snmpusm -v 3 -u initial -n "" -x DES -X setup_passkey -l authpriv -a MD5 -A setup_passphrase localhost -Cx passwd setup_passkey senha_key2 user2 SNMPv3 Key(s) successfully changed. # snmpusm -v 3 -u initial -n "" -x DES -X setup_passkey -l authpriv -a MD5 -A setup_passphrase localhost -Cx passwd setup_passkey senha_key3 user3 SNMPv3 Key(s) successfully changed Parâmetros: -Cx: Alterar a chave de privacidade; passwd: Comando para alterar a senha; setup_passkey: Chave atual do usuário user1 ; senha_key user1: Nova chave para o usuário user1, com mínimo de 8 caracteres snmpd.conf v3 básico: # cat snmpd.conf # /etc/snmp/snmpd.conf v3 básico com autenticação e privacidade (snmpd.conf.7) # # mantive o usuário initial com permissão de escrita rwuser initial # Dei permissão de leitura aos 3 usuários # recém-criados. rouser user1 rouser user2 rouser user3 Lembre-se que após alterar o arquivo é necessário reiniciar o serviço: # service snmpd restart 94 Gerenciamento de Servidores GNU/Linux Utilizando SNMP v3 Gerenciamento de Redes com SNMP

97 Acessando um Agente SNMP v3: # snmpget -v 3 -u user1 -n "" -x DES -X senha_key -l authpriv -a MD5 -A senhateste localhost syscontact.0 SNMPv2-MIB::sysContact.0 = STRING: Curso # snmpset -v 3 -u initial -n "" -x DES -X setup_passkey -l authpriv -a MD5 -A setup_passphrase localhost syscontact.0 s "André Déo" SNMPv2-MIB::sysContact.0 = STRING: André Déo # snmpgetnext -v 3 -u user3 -n "" -x DES -X senha_key3 -l authpriv -a MD5 -A senhateste3 localhost syscontact.0 SNMPv2-MIB::sysName.0 = STRING: aulas # snmpbulkget -v 3 -u user2 -n "" -x DES -X senha_key2 -l authpriv -a MD5 -A senhateste2 localhost system SNMPv2-MIB::sysDescr.0 = STRING: Linux aulas el6.i686 #1 SMP Mon Jun 27 18:07:00 BST 2011 i686 SNMPv2-MIB::sysObjectID.0 = OID: NET-SNMP- MIB::netSnmpAgentOIDs.10 DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (19793) 0:03:17.93 SNMPv2-MIB::sysContact.0 = STRING: André Déo SNMPv2-MIB::sysName.0 = STRING: aulas SNMPv2-MIB::sysLocation.0 = STRING: Unknown SNMPv2-MIB::sysORLastChange.0 = Timeticks: (19) 0:00:00.19 SNMPv2-MIB::sysORID.1 = OID: SNMP-MPD- MIB::snmpMPDMIBObjects SNMPv2-MIB::sysORID.2 = OID: SNMP-USER-BASED-SM- MIB::usmMIBCompliance SNMPv2-MIB::sysORID.3 = OID: SNMP-FRAMEWORK- MIB::snmpFrameworkMIBCompliance snmpd.conf v3 com VACM devidamente configurado: # cat snmpd.conf # /etc/snmp/snmpd.conf v3 devidamente configurado com autenticação e privacidade (snmpd.conf.8) # Definir as Views # view nome incl/excl. sub-árvore máscara View all included.1 80 view ip included iso.org.dod.internet.mgmt.mib-2.ip # Agrupar os usuários #group nome modelo_de_segurança usuário group rogroup1 usm user1 group rogroup1 usm user2 group rogroup2 usm user3 Gerenciamento de Redes com SNMP Gerenciamento de Servidores GNU/Linux Utilizando SNMP v3 95

98 group rwgroup usm initial # Atribuir Permissões aos grupos #access grupo contexto mod_seg nível_seg coincidir ler alterar notificar access rogroup2 any noauth exact ip none none access rogroup1 any noauth exact all none none access rwgroup any noauth exact all all none Lembre-se que após alterar o arquivo é necessário reiniciar o serviço: # service snmpd restart Acessando um Agent SNMP v3: # snmpget -v 3 -u user3 -n "" -x DES -X senha_key3 -l authpriv -a MD5 -A senhateste3 localhost syscontact.0 SNMPv2-MIB::sysContact.0 = No Such Object available on this agent at this OID Esse erro ocorre porque o usuário user3 faz parte do grupo rogroup2, cuja única permissão é ler a view ip, que disponibiliza o galho.iso.org.dod.internet.mgmt.mib-2.ip, no qual não existe a informação syscontact.0. # snmpget -v 3 -u user2 -n "" -x DES -X senha_key2 -l authpriv -a MD5 -A senhateste2 localhost syscontact.0 SNMPv2-MIB::sysContact.0 = STRING: André Déo O usuário user2 faz parte do grupo rogroup1, cuja permissão é de leitura na view all, que disponibiliza a raiz inteira da MIB (.1). Portanto, ele pode ler a informação sys- Contact.0. # snmpset -v 3 -u user2 -n "" -x DES -X senha_key2 -l authpriv -a MD5 -A senhateste2 localhost syslocation.0 s Curso Error in packet. Reason: noaccess Failed object: SNMPv2-MIB::sysLocation.0 Esse erro ocorre porque o user2 não possui privilégios de escrita na view all. # snmpset -v 3 -u initial -n "" -x DES -X setup_passkey -l authpriv -a MD5 -A setup_passphrase localhost syslocation.0 s Curso SNMPv2-MIB::sysLocation.0 = STRING: Curso O usuário initial faz parte do grupo rwgroup, cuja permissão é de leitura e escrita na view all, que disponibiliza a raiz inteira da MIB (.1). Portanto, ele pode alterar a informação syslocation.0. # snmpbulkwalk -v 3 -u user3 -n "" -x DES -X senha_key3 -l authpriv -a MD5 -A senhateste3 localhost IP-MIB::ipForwarding.0 = INTEGER: notforwarding(2) IP-MIB::ipDefaultTTL.0 = INTEGER: Gerenciamento de Servidores GNU/Linux Utilizando SNMP v3 Gerenciamento de Redes com SNMP

99 IP-MIB::ipInReceives.0 = Counter32: 6946 IP-MIB::ipInHdrErrors.0 = Counter32: 0 IP-MIB::ipInAddrErrors.0 = Counter32: 7 IP-MIB::ipForwDatagrams.0 = Counter32: 0... IP-MIB::ipDefaultRouterLifetime.ipv4." ".2 = Gauge32: seconds IP-MIB::ipDefaultRouterPreference.ipv4." ".2 = INTEGER: medium(0) IP-MIB::ipDefaultRouterPreference.ipv4." ".2 = No more variables left in this MIB View (It is past the end of the MIB tree) O usuário user3 faz parte do grupo rogroup2, cuja única permissão é ler a view ip, que disponibiliza o galho.iso.org.dod.internet.mgmt.mib-2.ip, e por isso todas as informações apresentadas são da MIB IP-MIB Segurança em SNMP V3: Estou usando apenas SNMP v3 na minha rede, por isso estou seguro Será mesmo? O SNMP v3 só garante a segurança quando usamos o nível máximo de autenticidade e privacidade (authpriv), pois nesse modelo a senha e os dados são transmitidos na rede de forma criptografada Requisição SNMP v2 Figura Requisição SNMP v2 Gerenciamento de Redes com SNMP Gerenciamento de Servidores GNU/Linux Utilizando SNMP v3 97

100 Figura Tráfego SNMP v2 capturado Dados em texto plano Requisição SNMP v3com Autenticação Figura 44 - Requisição SNMP v3 com Autenticação 98 Gerenciamento de Servidores GNU/Linux Utilizando SNMP v3 Gerenciamento de Redes com SNMP

101 Figura 45 - Tráfego SNMP v3 capturado Dados em texto plano Requisição SNMP v3com Autenticação e Privacidade Figura 46 - Requisição SNMP v3 com Autenticação e Privacidade Gerenciamento de Redes com SNMP Gerenciamento de Servidores GNU/Linux Utilizando SNMP v3 99

102 Figura 47 - Tráfego SNMP v3 capturado Dados Criptografados 100 Gerenciamento de Servidores GNU/Linux Utilizando SNMP v3 Gerenciamento de Redes com SNMP

103 10. Monitorando Recursos do Sistema Essas informações são compatíveis com todas as versões do protocolo SNMP, no entanto, vou continuar com a versão 3 do protocolo SNMP, sempre acrescentando a nova informação ao final do arquivo anterior Informações do Sistema # cat snmpd.conf # /etc/snmp/snmpd.conf v3 devidamente configurado Informações do Sistema (snmpd.conf.9)... # local syslocation Curso # Contato syscontact André Déo andredeo@gmail.com # Descricao sysdescr Computador do curso Lembre-se que após alterar o arquivo é necessário reiniciar o serviço: # service snmpd restart Acessando o Agent SNMP para leitura de informações do sistema # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost syslocation.0 SNMPv2-MIB::sysLocation.0 = STRING: Curso # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost syscontact.0 SNMPv2-MIB::sysContact.0 = STRING: André Déo andredeo@gmail.com # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost sysdescr.0 SNMPv2-MIB::sysDescr.0 = STRING: Computador do Curso Monitoramento de Processos # cat snmpd.conf # /etc/snmp/snmpd.conf v3 devidamente configurado Monitoramento de Processos (snmpd.conf.10)... # proc processo máximo mínimo proc httpd 9 5 proc mysqld 3 proc postfix Lembre-se que após alterar o arquivo é necessário reiniciar o serviço: # service snmpd restart Gerenciamento de Redes com SNMP Monitorando Recursos do Sistema 101

104 As saídas estarão abaixo do OID: enterprises.ucdavis.prtable.prentry (), sendo elas:.1.x prindex = INTEGER: 1.2.X prnames = STRING: httpd.3.x prmin = INTEGER: 5.4.X prmax = INTEGER: 9.5.X prcount = INTEGER: X prerrorflag = INTEGER: error(1).101.x prerrmessage = STRING: Too many httpd running (# = 10).102.X prerrfix = INTEGER: noerror(0).103.x prerrfixcmd = STRING: Acessando o Agent SNMP para leitura de informações sobre processos # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::prIndex.1 = INTEGER: 1 Número de índice do processo 1: 1 # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::prNames.1 = STRING: httpd Nome do processo 1: httpd # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::prMin.1 = INTEGER: 5 Número mínimo de processos do processo 1: 5 # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::prMax.1 = INTEGER: 9 Número máximo de processos do processo 1: 9 # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::prCount.1 = INTEGER: 10 Contagem de processos do processo 1: 10 # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::prErrorFlag.1 = INTEGER: error(1) Processo 1 está com flag de erro: error(1) 102 Monitorando Recursos do Sistema Gerenciamento de Redes com SNMP

105 # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::prErrMessage.1 = STRING: Too many httpd running (# = 10) Mensagem de erro do processo 1: Too many httpd running (# = 10) # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::prErrFix.1 = INTEGER: noerror(0) Executar correções quando ocorrer erro no processo 1: noerror(0) # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::prErrFixCmd.1 = STRING: Comando a ser executado quando ocorrer erro no processo 1: # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::prNames.2 = STRING: mysqld Nome do processo 2: mysqld # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::prMin.2 = INTEGER: 0 Número mínimo de processos do processo 2: 0 # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::prMax.2 = INTEGER: 3 Número máximo de processos do processo 2: 3 # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::prCount.2 = INTEGER: 1 Contagem de processos do processo 2: 1 # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::prNames.3 = STRING: postfix Nome do processo 3: postfix # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::prMin.3 = INTEGER: 0 Número mínimo de processos do processo 3: 0 # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::prMax.3 = INTEGER: 0 Número máximo de processos do processo 3: 0 Gerenciamento de Redes com SNMP Monitorando Recursos do Sistema 103

106 # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::prCount.3 = INTEGER: 0 Contagem de processos do processo 3: Monitoramento de uso de disco # cat snmpd.conf # /etc/snmp/snmpd.conf v3 devidamente configurado Monitoramento de uso de disco (snmpd.conf.11)... #disk Ponto de Montagem Espaço/Porcentagem mínima disponível disk / 90% disk /boot Lembre-se que após alterar o arquivo é necessário reiniciar o serviço: # service snmpd restart As saídas estarão abaixo do OID: enterprises.ucdavis.dsktable.dskentry (), sendo elas:.1.x dskindex = INTEGER: 1.2.X dskpath = STRING: /.3.X dskdevice = STRING: /dev/sda3.4.x dskminimum = INTEGER: -1.5.X dskminpercent = INTEGER: 90.6.X dsktotal = INTEGER: X dskavail = INTEGER: X dskused = INTEGER: X dskpercent = INTEGER: X dskpercentnode = INTEGER: X dskerrorflag = INTEGER: error(1).101.x dskerrormsg = less than 90% free (= 71%) Acessando o Agent SNMP para leitura de informações sobre o disco # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::dskIndex.1 = INTEGER: 1 Número de índice do ponto de montagem 1: 1 # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::dskPath.1 = STRING: / Ponto de montagem 1: / 104 Monitorando Recursos do Sistema Gerenciamento de Redes com SNMP

107 # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::dskDevice.1 = STRING: /dev/sda3 Partição do ponto de montagem 1: /dev/sda3 # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::dskMinimum.1 = INTEGER: -1 Espaço mínimo no ponto de montagem 1: Não configurado (-1) # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::dskMinPercent.1 = INTEGER: 90 Porcentagem mínima no ponto de montagem 1: 90(%) # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::dskTotal.1 = INTEGER: Tamanho do ponto de montagem 1: # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::dskAvail.1 = INTEGER: Espaço livre no ponto de montagem 1: # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::dskUsed.1 = INTEGER: Espaço utilizado no ponto de montagem 1: # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::dskPercent.1 = INTEGER: 71 Percentual utilizado no ponto de montagem 1: 71(%) # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::dskPercentNode.1 = INTEGER: 41 Percentual de inodes usados no ponto de montagem 1: 41(%) # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::dskErrorFlag.1 = INTEGER: error(1) Ponto de montagem 1 está com flag de erro: error(1) # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::dskErrorMsg.1 = STRING: /: less than 90% free (= 71%) Mensagem de erro no ponto de montagem 1: less than 90% free (= 71%) Gerenciamento de Redes com SNMP Monitorando Recursos do Sistema 105

108 # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::dskPath.2 = STRING: /boot Ponto de montagem 2: /boot # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::dskDevice.2 = STRING: /dev/sda1 Partição do ponto de montagem 2: /dev/sda1 # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::dskMinimum.2 = INTEGER: Espaço mínimo no ponto de montagem 2: # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::dskMinPercent.2 = INTEGER: -1 Porcentagem mínima no ponto de montagem 2: Não configurado (-1) Monitoramento de Carga do sistema # cat snmpd.conf # /etc/snmp/snmpd.conf v3 devidamente configurado Monitoramento de Carga do sistema (snmpd.conf.12)... #Limite máximo de carga nos últimos 1min 5min 15min load Lembre-se que após alterar o arquivo é necessário reiniciar o serviço: # service snmpd restart As saídas estarão abaixo do OID: enterprises.ucdavis.dsktable.dskentry (), sendo elas:.1.1 laindex = INTEGER: laindex = INTEGER: laindex = INTEGER: lanames = STRING: Load lanames = STRING: Load lanames = STRING: Load laload = STRING: laload = STRING: laload = STRING: laconfig = STRING: laconfig = STRING: laconfig = STRING: laloadint = INTEGER: laloadint = INTEGER: laloadint = INTEGER: Monitorando Recursos do Sistema Gerenciamento de Redes com SNMP

109 1.27).6.1 laloadfloat = Opaque: Float: laloadfloat = Opaque: Float: laloadfloat = Opaque: Float: laerrorflag = INTEGER: error(1) laerrorflag = INTEGER: noerror(0) laerrorflag = INTEGER: noerror(0) laerrmessage = STRING: 1 min Load Average too high (= laerrmessage = STRING: laerrmessage = STRING: Acessando o Agent SNMP para leitura de informações sobre Carga de sistema (Load) # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::laIndex.1 = INTEGER: 1 Número de índice do Load 1: 1 # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::laIndex.2 = INTEGER: 2 Número de índice do Load 2: 2 # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::laIndex.3 = INTEGER: 3 Número de índice do Load 3: 3 # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::laNames.1 = STRING: Load-1 Nome do Load 1: Load-1 # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::laNames.2 = STRING: Load-5 Nome do Load 2: Load-5 # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::laNames.3 = STRING: Load-15 Nome do Load 3: Load-15 # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::laLoad.1 = STRING: 3.77 Carga do Load 1: 3.77 Gerenciamento de Redes com SNMP Monitorando Recursos do Sistema 107

110 # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::laLoad.2 = STRING: 1.39 Carga do Load 2: 1.39 # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::laLoad.3 = STRING: 0.50 Carga do Load 3: 0.50 # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::laConfig.1 = STRING: 1.00 Configuração de limite do Load 1: 1.00 # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::laConfig.2 = STRING: 5.00 Configuração de limite do Load 2: 5.00 # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::laConfig.3 = STRING: 5.00 Configuração de limite do Load 3: 5.00 # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::laLoadInt.1 = INTEGER: 210 Conversão da leitura do Load 1 para inteiro: 210 The 1, 5 and 15 minute load averages as an integer. This is computed by taking the floating point loadaverage value and multiplying by 100, then converting the value to an integer. # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::laLoadInt.2 = INTEGER: 126 Conversão da leitura do Load 2 para inteiro: 126 # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::laLoadInt.3 = INTEGER: 48 Conversão da leitura do Load 3 para inteiro: 48 # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::laLoadFloat.1 = Opaque: Float: Leitura do Load 1 em Float: Monitorando Recursos do Sistema Gerenciamento de Redes com SNMP

111 The 1,5 and 15 minute load averages as an opaquely wrapped floating point number. # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::laLoadFloat.2 = Opaque: Float: Leitura do Load 2 em Float: # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::laLoadFloat.3 = Opaque: Float: Leitura do Load 3 em Float: # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::laErrorFlag.1 = INTEGER: error(1) Load 1 está com erro: error(1) # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::laErrorFlag.2 = INTEGER: noerror(0) Load 2 está com erro: noerror(0) # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::laErrorFlag.3 = INTEGER: noerror(0) Load 3 está com erro: noerror(0) # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::laErrMessage.1 = STRING: 1 min Load Average too high (= 1.27) Mensagem de erro do Load 1: 1 min Load Average too high (= 1.27) # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::laErrMessage.2 = STRING: Mensagem de erro do Load 2: # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::laErrMessage.3 = STRING: Mensagem de erro do Load 3: Gerenciamento de Redes com SNMP Monitorando Recursos do Sistema 109

112 10.5. Monitoramento de Tamanho de arquivo # cat snmpd.conf # /etc/snmp/snmpd.conf v3 devidamente configurado Monitoramento de Tamanho de arquivo (snmpd.conf.13)... # Tamanho do arquivo #file Caminho_do_arquivo tamanho_maximo (kb) file /etc/services 16 file /boot/grub/menu.lst 4 Lembre-se que após alterar o arquivo é necessário reiniciar o serviço: # service snmpd restart As saídas estarão abaixo do OID: enterprises.ucdavis.filetable.fileentry (), sendo elas:.1.x fileindex = INTEGER: 1.2.X filename = STRING: /etc/services.3.x filesize = INTEGER: 626 kb.4.x filemax = INTEGER: 16 kb.100.x fileerrorflag = INTEGER: error(1).101.x fileerrormsg = STRING: /etc/services: size exceeds 16kb (= 626kb) Acessando o Agent SNMP para leitura de informações sobre tamanho de arquivo # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::fileIndex.1 = INTEGER: 1 Número de índice do Arquivo 1: 1 # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::fileName.1 = STRING: /etc/services Nome do Arquivo 1: /etc/services # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::fileSize.1 = INTEGER: 626 kb Tamanho do Arquivo 1: 626 kb # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::fileMax.1 = INTEGER: 16 kb Tamanho Máximo do Arquivo 1: 16 kb 110 Monitorando Recursos do Sistema Gerenciamento de Redes com SNMP

113 # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::fileErrorFlag.1 = INTEGER: error(1) Arquivo 1 está com flag de erro: error(1) # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::fileErrorMsg.1 = STRING: /etc/services: size exceeds 16kb (= 626kb) Mensagem de erro do Arquivo 1: /etc/services: size exceeds 16kb (= 626kb) # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::fileIndex.2 = INTEGER: 2 Número de índice do Arquivo 2: 1 # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::fileName.2 = STRING: /boot/grub/menu.lst Nome do Arquivo 2: /boot/grub/menu.lst # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::fileSize.2 = INTEGER: 1 kb Tamanho do Arquivo 2: 1 kb # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::fileMax.2 = INTEGER: 4 kb Tamanho Máximo do Arquivo 2: 4 kb # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::fileErrorFlag.2 = INTEGER: noerror(0) Arquivo 2 está com flag de erro: noerror(0) # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::fileErrorMsg.2 = STRING: Mensagem de erro do Arquivo 2: Monitoramento utilizando um comando customizado # cat snmpd.conf # /etc/snmp/snmpd.conf v3 devidamente configurado Monitoramento utilizando um comando customizado (snmpd.conf.14)... #exec Nome comando Parâmetros exec Teste1 /bin/cat /etc/passwd Gerenciamento de Redes com SNMP Monitorando Recursos do Sistema 111

114 Lembre-se que após alterar o arquivo é necessário reiniciar o serviço: # service snmpd restart As saídas estarão abaixo do OID: enterprises.ucdavis.exttable.extentry (), sendo elas:.1.x extindex = INTEGER: 1.2.X extnames = STRING: Teste1.3.X extcommand = STRING: /bin/cat.100.x extresult = INTEGER: X extoutput = STRING:... 1ª linha da saída do comando x exterrfix = INTEGER: noerror(0).103.x exterrfixcmd = STRING: Acessando o Agent SNMP para leitura de informações com comandos customizados # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::extIndex.1 = INTEGER: 1 Número de índice do Comando 1: 1 # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::extNames.1 = STRING: Teste1 Nome do Comando 1: Teste1 # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::extCommand.1 = STRING: /bin/cat Comando 1 sem parâmetros: /bin/cat # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::extResult.1 = INTEGER: 0 Código de execução (exit status) do Comando 1: 0 # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::extOutput.1 = STRING: root:x:0:0:root:/root:/bin/bash Resultado da execução do Comando 1, exibe apenas a primeira linha: root:x:0:0:root:/root:/bin/bash 112 Monitorando Recursos do Sistema Gerenciamento de Redes com SNMP

115 # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::extErrFix.1 = INTEGER: noerror(0) Executar comando para corrigir erros, se Comando 1 apresentar erro: noerror(0) # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost UCD-SNMP-MIB::extErrFixCmd.1 = STRING: Comando a ser executado, caso a opção anterior esteja configurada como 1: Mostrar apenas a primeira linha do resultado não é útil na maioria dos casos, porém, olhando no /etc/snmp/snmpd.conf, encontramos outras OID que armazenam a informação toda. Por questões óbvias vou usar o /etc/fstab neste exemplo: # snmpwalk -On -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost = INTEGER: = STRING: /bin/cat = STRING: /etc/fstab = STRING: = INTEGER: = INTEGER: exec(1) = INTEGER: run-on-read(1) = INTEGER: permanent(4) = INTEGER: active(1) = STRING: = STRING: # # /etc/fstab # Created by anaconda on Wed Jul 13 08:18: # # Accessible filesystems, by reference, are maintained under '/dev/disk' # See man pages fstab(5), findfs(8), mount(8) and/or blkid(8) for more info # UUID=971a8fa b2cd-731a986164f4 / ext4 defaults 1 1 UUID=16eba1c b056-64aeb35bb7c4 /boot ext4 defaults 1 2 UUID= bca7-41c5-a2b7-fe2acb1d54d2 swap swap defaults 0 0 tmpfs /dev/shm tmpfs defaults 0 0 Gerenciamento de Redes com SNMP Monitorando Recursos do Sistema 113

116 devpts /dev/pts devpts gid=5,mode= sysfs /sys sysfs defaults 0 0 proc /proc proc defaults = INTEGER: = INTEGER: = STRING: = STRING: # = STRING: # /etc/fstab = STRING: # Created by anaconda on Wed Jul 13 08:18: = STRING: # = STRING: # Accessible filesystems, by reference, are maintained under '/dev/disk' = STRING: # See man pages fstab(5), findfs(8), mount(8) and/or blkid(8) for more info = STRING: # = STRING: UUID=971a8fa b2cd-731a986164f4 / ext4 defaults = STRING: UUID=16eba1c b056-64aeb35bb7c4 /boot ext4 defaults = STRING: UUID= bca7-41c5-a2b7-fe2acb1d54d2 swap swap defaults = STRING: tmpfs /dev/shm tmpfs defaults = STRING: devpts /dev/pts devpts gid=5,mode= = STRING: sysfs /sys sysfs defaults = STRING: proc /proc proc defaults Monitorando Recursos do Sistema Gerenciamento de Redes com SNMP

117 Alguns detalhes a serem observados: Usei o comando snmpwalk -On para que fossem exibidos os OIDs numéricos. No OID é exibida a quantidade de linhas que a execução do comando retornou (INTEGER: 15), e esse número será a base para as próximas OIDs, retornando uma linha por OID: = STRING: = STRING: # = STRING: # /etc/fstab = STRING: sysfs /sys sysfs defaults = STRING: proc /proc proc defaults Monitoramento utilizando um comando customizado, com OID personalizada # cat snmpd.conf # /etc/snmp/snmpd.conf v3 devidamente configurado Monitoramento utilizando um comando customizado com OID personalizada (snmpd.conf.15)... # Caso seja especificado um OID, a saída difere um pouco: #extend OID Nome comando Parâmetros extend Teste2 /bin/cat /etc/fstab Lembre-se que após alterar o arquivo é necessário reiniciar o serviço: # service snmpd restart As saídas estarão abaixo do OID especificado, sendo elas:.1.0 = INTEGER: = STRING: "/bin/cat" = STRING: "/etc/fstab" = "" = INTEGER: = INTEGER: = INTEGER: = INTEGER: = INTEGER: = STRING: "saída do comando" Gerenciamento de Redes com SNMP Monitorando Recursos do Sistema 115

118 Acessando o Agent SNMP para leitura de informações com comandos customizados usando OID personalizada # snmpwalk -On -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost = INTEGER: = STRING: "/bin/cat" = STRING: "/etc/fstab" = "" = INTEGER: = INTEGER: = INTEGER: = INTEGER: = INTEGER: = "" = STRING: " # # /etc/fstab # Created by anaconda on Wed Jul 13 08:18: # # Accessible filesystems, by reference, are maintained under '/dev/disk' # See man pages fstab(5), findfs(8), mount(8) and/or blkid(8) for more info # UUID=971a8fa b2cd-731a986164f4 / ext4 defaults 1 1 UUID=16eba1c b056-64aeb35bb7c4 /boot ext4 defaults 1 2 UUID= bca7-41c5-a2b7-fe2acb1d54d2 swap swap defaults 0 0 tmpfs /dev/shm tmpfs defaults 0 0 devpts /dev/pts devpts gid=5,mode= sysfs /sys sysfs defaults 0 0 proc /proc proc defaults 0 0" = INTEGER: = INTEGER: = "" = STRING: "#" = STRING: "# /etc/fstab" = STRING: "# Created by anaconda on Wed Jul 13 08:18: " = STRING: "#" = STRING: "# Accessible filesystems, by reference, are maintained under '/dev/disk'" = STRING: "# See man pages fstab(5), findfs(8), mount(8) and/or blkid(8) for more info" = STRING: "#" 116 Monitorando Recursos do Sistema Gerenciamento de Redes com SNMP

119 = STRING: "UUID=971a8fa b2cd-731a986164f4 / ext4 defaults 1 1" = STRING: "UUID=16eba1c b056-64aeb35bb7c4 /boot ext4 defaults 1 2" = STRING: "UUID= bca7-41c5-a2b7-fe2acb1d54d2 swap swap defaults 0 0" = STRING: "tmpfs /dev/shm tmpfs defaults 0 0" = STRING: "devpts /dev/pts devpts gid=5,mode= " = STRING: "sysfs /sys sysfs defaults 0 0" = STRING: "proc /proc proc defaults 0 0" Gerenciamento de Redes com SNMP Monitorando Recursos do Sistema 117

120 118 Monitorando Recursos do Sistema Gerenciamento de Redes com SNMP

121 11. Gerenciamento de Servidores GNU/Linux Utilizando SNMP v3 - Casos Especiais e Exemplos Aqui estão alguns exemplos de configurações mais complexas, incluindo suporte a diferentes views para um usuário SNMP v3 com base em seu nível de segurança Views VACM, ou Como restringir o acesso a determinados ramos da árvore Para restringir o acesso a determinados ramos da árvore usamos a string excluded, primeiro negando e depois liberando: # cat snmpd.conf # /etc/snmp/snmpd.conf v3 Como restringir o acesso a determinados ramos da árvore (snmpd.conf.16)... view all excluded.1 view all included sysuptime.0 Lembre-se que após alterar o arquivo é necessário reiniciar o serviço: # service snmpd restart Como podemos observar no arquivo acima, excluímos a árvore inteira e incluímos apenas a informação sysuptime.0, ou seja,a única informação disponível sobre esse host será essa Acessando o Agent SNMP com acesso restrito (sysuptime.0) # snmpwalk -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (15753) 0:02:37.53 DISMAN-EVENT-MIB::sysUpTimeInstance = No more variables left in this MIB View (It is past the end of the MIB tree) Mais um exemplo; vamos disponibilizar também a informação do número de índice da primeira interface de rede do host Acessando o Agent SNMP com acesso restrito (interfaces.iftable.ifentry.infindex.1) # cat snmpd.conf # /etc/snmp/snmpd.conf v3 Como restringir o acesso a determinados ramos da árvore (snmpd.conf.17)... view all excluded.1 view all included sysuptime.0 view all included interfaces.iftable.ifentry.ifindex.1 Gerenciamento de Redes com SNMP Gerenciamento de Servidores GNU/Linux Utilizando SNMP v3 - Casos Especiais e Exemplos 119

122 Lembre-se que após alterar o arquivo é necessário reiniciar o serviço: # service snmpd restart # snmpwalk -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (2395) 0:00:23.95 IF-MIB::ifIndex.1 = INTEGER: 1 IF-MIB::ifIndex.1 = No more variables left in this MIB View (It is past the end of the MIB tree) Por último, vou liberar apenas o sysuptime.0 e as informações referentes as interfaces de rede do host Acessando o Agent SNMP com acesso restrito (interfaces.iftable.ifentry) # cat snmpd.conf # /etc/snmp/snmpd.conf v3 Como restringir o acesso a determinados ramos da árvore (snmpd.conf.18)... view all excluded.1 view all included sysuptime.0 view all included interfaces.iftable.ifentry Lembre-se que após alterar o arquivo é necessário reiniciar o serviço: # service snmpd restart # snmpwalk -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (16119) 0:02:41.19 IF-MIB::ifIndex.1 = INTEGER: 1 IF-MIB::ifIndex.2 = INTEGER: 2 IF-MIB::ifDescr.1 = STRING: lo IF-MIB::ifDescr.2 = STRING: eth0 IF-MIB::ifSpecific.1 = OID: SNMPv2-SMI::zeroDotZero IF-MIB::ifSpecific.2 = OID: SNMPv2-SMI::zeroDotZero IF-MIB::ifSpecific.2 = No more variables left in this MIB View (It is past the end of the MIB tree) 120 Gerenciamento de Servidores GNU/Linux Utilizando SNMP v3 - Casos Especiais e Exemplos Gerenciamento de Redes com SNMP

123 11.2. Máscaras VACM, ou Como restringir o acesso a um determinado índice (linha) em uma Tabela Usando a diretiva view no snmpd.conf, pode-se limitar os usuários a uma única linha em uma tabela. Para fazer isso, o parâmetro opcional mask é especificado. Aqui está um trecho do man page: view NAME TYPE SUBTREE [MASK] view NAME define o nome da view. TYPE se ela será incluída (included) ou excluída (excluded). MASK é uma lista de octetos hexadecimais, separados por '.' ou ':'. A MASK default será "ff" se não for especificada. A razão da mascara é que ela permite que você controle o acesso a uma linha em uma tabela, de uma maneira relativamente simples. Por e- xemplo, como um provedor de internet (ISP) você pode considerar dar a- cesso para cada cliente a sua própria interface: view cust1 included interfaces.iftable.ifentry.ifindex.1 ff.a0 view cust2 included interfaces.iftable.ifentry.ifindex.2 ff.a0 (interfaces.iftable.ifentry.ifindex.1 == , ff.a0 == Engloba, inclusive, o índice da linha, mas permite ao usuário variar o campo (coluna) da linha) Nota: O caractere separador da mascara pode ser "." ou ":". Então, um exemplo um pouco mais visual sobre isso: == interfaces.iftable.ifentry.ifindex (00000) == (ff.a0) ^ ^ ^ ^ -- o índice (the index) ---- a coluna (the column) ifentry iftable Assim, cada bit na máscara indica se os OID correspondentes devem coincidir (1) ou não (0). No exemplo acima, todas as partes do OID exceto a coluna (the column) devem coincidir. Então, essa visão permite o acesso a qualquer coluna da primeira linha no iftable. Assim, combinado com uma linha excluída (excluded) para o iftable, somente a linha 1 estaria acessível para o usuário. Agora, para trazê-lo todos juntos com outras diretrizes de controle de acesso. Assumindo 2 clientes, e cada um está conectado a uma interface específica (por ex. cliente 1 está conectado à eth0 e cliente 2 está conectado a eth1): #### # Primeiro, mapear o nome da comunidade (COMMUNITY) para um nome de # acesso (security name) # (local ou minha_rede, dependendo da origem da requisição): # # sec.name source community com2sec local localhost secret42 com2sec cust1_sec /24 public com2sec cust2_sec /24 public #### # Segundo, mapear o nome de acesso em um nome de grupo: Gerenciamento de Redes com SNMP Gerenciamento de Servidores GNU/Linux Utilizando SNMP v3 - Casos Especiais e Exemplos 121

124 # sec.model sec.name Group MyRWGroup v1 local group MyRWGroup v2c local group cust1_grp v1 cust1_sec group cust1_grp v2c cust1_sec group cust2_grp v1 cust2_sec group cust2_grp v2c cust2_sec #### # Terceiro, criar as views para definir quais são os direitos dos # grupos: mask # incl/excl subtree view all included.1 ff.a0 ff.a0 view cust1_v excluded.1 view cust1_v included sysuptime.0 view cust1_v included interfaces.iftable.ifentry.ifindex.1 view cust2_v excluded.1 view cust2_v included sysuptime.0 view cust2_v included interfaces.iftable.ifentry.ifindex.2 #### # Por fim, definir as views para os grupos: # context sec.model sec.level match read write notif access MyRWGroup "" any noauth exact all all none access cust1_grp "" any noauth exact cust1_v none none access cust2_grp "" any noauth exact cust2_v none none É importante notar que isso funciona porque os clientes estão em redes diferentes. Se todos os clientes estão na mesma rede, o tráfego de rede pode ser capturado por um analisador de redes (sniffer), o que pode expor a "comunidade" ("community string") de um cliente para outro cliente, permitindo que o segundo cliente possa visualizar as estatísticas de interface de rede do primeiro cliente via SNMP. Neste caso, você deve usar os recursos de criptografia oferecidos pelo SNMPv3 (usm), em vez de strings de comunidade SNMPv1 e SNMPv Gerenciamento de Servidores GNU/Linux Utilizando SNMP v3 - Casos Especiais e Exemplos Gerenciamento de Redes com SNMP

125 ifspecific ifoutqlen ifouterrors ifoutdiscards ifoutnucastpkts ifoutucastpkts ifoutoctets ifinunknownprotos ifinerrors ifindiscards ifinnucastpkts ifinucastpkts ifinoctets iflastchange ifoperstatus ifadminstatus ifphysaddress ifspeed ifmtu iftype ifdescr ifindex Vamos liberar acesso à informação sysuptime.0 e a todas as informações (pode variar a coluna) da interface 2 (não pode mudar de linha) do host. Para ilustrar, é como se essa view montasse a seguinte tabela referente às informações de rede: lo eth0 eth1 Tabela 04 Tabela referente às informações de rede Podemos variar a coluna, que contém as descrições das informações, mas estamos presos na linha 2, ou seja, podemos ver qualquer informação referente a eth0. # cat snmpd.conf # /etc/snmp/snmpd.conf v3 Como restringir o acesso a um determinado índice (linha) em uma Tabela (snmpd.conf.19)... view all excluded.1 view all included sysuptime.0 view all included interfaces.iftable.ifentry.ifindex.2 ff.a0 Lembre-se que após alterar o arquivo é necessário reiniciar o serviço: # service snmpd restart Gerenciamento de Redes com SNMP Gerenciamento de Servidores GNU/Linux Utilizando SNMP v3 - Casos Especiais e Exemplos 123

126 Acessando o Agent SNMP com acesso restrito Uso do parâmetro mask # snmpwalk -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (115102) 0:19:11.02 IF-MIB::ifIndex.2 = INTEGER: 2 IF-MIB::ifDescr.2 = STRING: eth0 IF-MIB::ifType.2 = INTEGER: ethernetcsmacd(6) IF-MIB::ifOutQLen.2 = Gauge32: 0 IF-MIB::ifSpecific.2 = OID: SNMPv2-SMI::zeroDotZero IF-MIB::ifSpecific.2 = No more variables left in this MIB View (It is past the end of the MIB tree) Outro exemplo; desejo liberar apenas as informações de descrição, e estados administrativo e operacional das interfaces do sistema: # cat snmpd.conf # /etc/snmp/snmpd.conf v3 Como restringir o acesso a um determinado índice (linha) em uma Tabela (snmpd.conf.20)... view all excluded.1 view all included sysuptime.0 view all included FF.C0 view all included FF.C0 view all included FF.C0 Lembre-se que após alterar o arquivo é necessário reiniciar o serviço: # service snmpd restart Acessando o Agent SNMP com acesso restrito Uso do parâmetro mask # snmpwalk -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (379) 0:00:03.79 IF-MIB::ifDescr.1 = STRING: lo IF-MIB::ifDescr.2 = STRING: eth0 IF-MIB::ifAdminStatus.1 = INTEGER: up(1) IF-MIB::ifAdminStatus.2 = INTEGER: up(1) IF-MIB::ifOperStatus.1 = INTEGER: up(1) IF-MIB::ifOperStatus.2 = INTEGER: up(1) IF-MIB::ifOperStatus.2 = No more variables left in this MIB View (It is past the end of the MIB tree) 124 Gerenciamento de Servidores GNU/Linux Utilizando SNMP v3 - Casos Especiais e Exemplos Gerenciamento de Redes com SNMP

127 12. Comandos SNMP úteis Apresento a seguir uma série de comandos SNMP que são úteis nas tarefas diárias Simplificando comandos por meio de definições de valores pré-definidos Os comandos na versão 3 são complexos e longos, o que dificulta bastante no dia-a-dia para guardar a sintaxe e executá-los sem erro. Mas existe uma maneira de simplificar isso: o net-snmp, que nos permite definir variáveis de configuração, válidas para a execução de todos os comandos. # cd ~ # pwd /root # mkdir.snmp # cd.snmp # cat snmp.conf defversion 3 defsecurityname initial defsecuritylevel authpriv defauthtype MD5 defauthpassphrase setup_passphrase defprivtype DES defprivpassphrase setup_passkey Parâmetros: defversion: Versão do protocolo a ser utilizada; defsecurityname: Nome de usuário v3; defsecuritylevel: Nível de autenticação do usuário; defauthtype: Método de autenticação; defauthpassphrase: Senha do usuário; defprivtype: Protocolo de privacidade; defprivpassphrase: Senha de privacide; Gerenciamento de Redes com SNMP Comandos SNMP úteis 125

128 Acessando o Agent SNMP # snmpget -v 3 -u initial -n "" -x DES -X setup_passkey -l authpriv -a MD5 -A setup_passphrase localhost syscontact.0 SNMPv2-MIB::sysContact.0 = STRING: André Déo Essa era a sintaxe dos comandos utilizados até esse momento. # snmpget localhost syscontact.0 SNMPv2-MIB::sysContact.0 = STRING: André Déo Essa é a nova sintaxe de comandos, após a definição dos valores pré-definidos Comando snmpconf O comando snmpconf automatiza o processo, e pode ser usado para gerar vários arquivos de configuração, inclusive o citado acima. # snmpconf The following installed configuration files were found: 1: /etc/snmp/snmpd.conf 2: /etc/snmp/snmptrapd.conf Would you like me to read them in? Their content will be merged with the output files created by this session. Valid answer examples: "all", "none","3","1,2,5" Read in which (default = all): I can create the following types of configuration files for you. Select the file type you wish to create: (you can create more than one as you run this program) A primeira opção nos informa quais arquivos de configuração foram encontrados, que esses arquivos podem ser lidos e que as informações futuras serão mescladas com os arquivos atuais. Solicita ainda que seja escolhido um deles; o default é a opção all. Basta pressionar Enter para selecionar a opção default. I can create the following types of configuration files for you. Select the file type you wish to create: (you can create more than one as you run this program) 1: snmpd.conf 2: snmp.conf 3: snmptrapd.conf Other options: quit 126 Comandos SNMP úteis Gerenciamento de Redes com SNMP

129 Select File: 2 A segunda opção nos informa quais arquivos podem ser gerados e solicita que seja escolhida uma das opções. Nesse caso escolha a opção 2, que gera o arquivo snmp.conf. The configuration information which can be put into snmp.conf is divided into sections. Select a configuration section for snmp.conf that you wish to create: 1: Default Authentication Options 2: Output style options 3: Textual mib parsing 4: Debugging output options Other options: finished Select section: 1 A terceira seção solicita que seja escolhida qual seção do arquivo de configuração será alterada. Nesse caso escolha a opção 1, seção de Opções Padrões de Autenticação. Section: Default Authentication Options Description: This section defines the default authentication information. Setting these up properly in your ~/.snmp/snmp.conf file will greatly reduce the amount of command line arguments you need to type (especially for snmpv3). needed. Select from: 1: The default port number to use 2: The default snmp version number to use. 3: The default snmpv1 and snmpv2c community name to use when 4: The default snmpv3 security name to use when using snmpv3 5: The default snmpv3 context name to use 6: The default snmpv3 security level to use 7: The default snmpv3 authentication type name to use 8: The default snmpv3 authentication pass phrase to use 9: The default snmpv3 privacy (encryption) type name to use 10: The default snmpv3 privacy pass phrase to use Other options: finished, list Select section: Gerenciamento de Redes com SNMP Comandos SNMP úteis 127

130 Nesse momento são apresentadas 10 opções; escolha as opções uma por vez, e informe os parâmetros desejados. Select section: finished Depois utilize a opção finished, para encerrar esse menu de opções. The configuration information which can be put into snmp.conf is divided into sections. Select a configuration section for snmp.conf that you wish to create: 1: Default Authentication Options 2: Output style options 3: Textual mib parsing 4: Debugging output options Other options: finished Select section: finished Retorna às opções anteriores. Utilize a opção finished para encerrar. I can create the following types of configuration files for you. Select the file type you wish to create: (you can create more than one as you run this program) 1: snmpd.conf 2: snmp.conf 3: snmptrapd.conf Other options: quit Select File: quit Retorna às opções iniciais. Utilize a opção quit para encerrar. 128 Comandos SNMP úteis Gerenciamento de Redes com SNMP

131 The following files were created: snmp.conf These files should be moved to /usr/share/snmp if you want them used by everyone on the system. In the future, if you add the -i option to the command line I'll copy them there automatically for you. Or, if you want them for your personal use only, copy them to /root/.snmp. In the future, if you add the -p option to the command line I'll copy them there automatically for you. Mensagem padrão com instruções adicionais Variações na forma como o resultado da consulta é exibido Exibição padrão # snmpget -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost ifdescr.2 IF-MIB::ifDescr.2 = STRING: eth Exibindo o OID Completo -Of: Exibe o OID completo. # snmpget -Of -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost ifdescr.2.iso.org.dod.internet.mgmt.mib- 2.interfaces.ifTable.ifEntry.ifDescr.2 = STRING: eth Exibindo o OID completo na forma numérica -On: Exibe o OID completo na forma numérica. # snmpget -On -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost ifdescr = STRING: eth Exibindo o OID abreviado -Oq: Exibe o OID abreviado; apenas o final do OID. # snmpget -Oq -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost ifdescr.2 IF-MIB::ifDescr.2 eth0 Gerenciamento de Redes com SNMP Comandos SNMP úteis 129

132 Exibindo o OID abreviado na forma numérica -Oqn: Exibe o OID abreviado; apenas o final do OID na forma numérica. # snmpget -Oqn -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost ifdescr eth Exibindo apenas o valor, sem OID -Ov: Exibe apenas o valor, sem o OID. # snmpget -Ov -v 3 -u user1 -n "" -l authnopriv -a MD5 -A senhateste -x DES localhost ifdescr.2 STRING: eth Traduzindo Informações Exibindo o OID numérico de um objeto -On -lb / -On -IR: Exibe o OID numérico de um objeto. # snmptranslate -On -Ib sysuptime # snmptranslate -On -IR sysuptime Exibindo o OID nominal de um objeto: -Of -Ib / -Of -IR: Exibe o OID nominal de um objeto. # snmptranslate -Of -Ib sysuptime.iso.org.dod.internet.mgmt.mib-2.system.sysuptime # snmptranslate -Of -IR sysuptime.iso.org.dod.internet.mgmt.mib-2.system.sysuptime Exibindo o OID numérico de um objeto e sua descrição: -On -Ib -Td: Exibe o OID numérico de um objeto e sua descrição. # snmptranslate -On -Ib -Td sysuptime sysuptime OBJECT-TYPE -- FROM SNMPv2-MIB, RFC1213-MIB SYNTAX TimeTicks MAX-ACCESS read-only STATUS current 130 Comandos SNMP úteis Gerenciamento de Redes com SNMP

133 3 } 3 } DESCRIPTION "The time (in hundredths of a second) since the network management portion of the system was last re-initialized." ::= { iso(1) org(3) dod(6) internet(1) mgmt(2) mib-2(1) system(1) Exibindo o OID nominal de um objeto e sua descrição: # snmptranslate -Of -Ib -Td sysuptime.iso.org.dod.internet.mgmt.mib-2.system.sysuptime sysuptime OBJECT-TYPE -- FROM SNMPv2-MIB, RFC1213-MIB SYNTAX TimeTicks MAX-ACCESS read-only STATUS current DESCRIPTION "The time (in hundredths of a second) since the network management portion of the system was last re-initialized." ::= { iso(1) org(3) dod(6) internet(1) mgmt(2) mib-2(1) system(1) Exibindo o OID nominal de um OID numérico: # snmptranslate SNMPv2-MIB::sysUpTime Exibindo a descrição de um OID numérico: 3 } # snmptranslate -Td SNMPv2-MIB::sysUpTime sysuptime OBJECT-TYPE -- FROM SNMPv2-MIB, RFC1213-MIB SYNTAX TimeTicks MAX-ACCESS read-only STATUS current DESCRIPTION "The time (in hundredths of a second) since the network management portion of the system was last re-initialized." ::= { iso(1) org(3) dod(6) internet(1) mgmt(2) mib-2(1) system(1) Gerenciamento de Redes com SNMP Comandos SNMP úteis 131

134 Exibindo a hierarquia da MIB a partir de um galho: # snmptranslate -Tp -IR system Figura 48 Hierarquia do galho System Exibindo a Tabela de Informações no formato de tabela: # snmptable -v 3 -u initial -n "" -l authnopriv -a MD5 -A setup_passphrase -x DES localhost sysortable Figura 49 - Tabela sysortable 132 Comandos SNMP úteis Gerenciamento de Redes com SNMP

135 13. Utilizando o SNMP em ativos de rede Os conceitos adquiridos nessa apostila servem de base para que você possa configurar SNMP em ativos de redes como Swithes e Roteadores, por exemplo Switch D-Link Definir as views Figura 50 - Definindo as view no ativo Mapear nome de comunidade para nome de acesso Figura 51 - com2sec no ativo Gerenciamento de Redes com SNMP Utilizando o SNMP em ativos de rede 133

136 Definir os grupos Figura 52 - Definindo os grupos no ativo Definir acesso do grupo na view Figura 53 - Definindo acesso dos grupos nas views no ativo 134 Utilizando o SNMP em ativos de rede Gerenciamento de Redes com SNMP

137 Definir o IP do gerente Figura 54 - Definindo IP do gerente no ativo Router Cisco Habilitar SNMP v1/v2c Os comandos abaixo são usados para habilitar o SNMP v1/v2c no roteador CISCO. Router_C2600>enable Router_C2600#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router_C2600(config)#snmp-server community public RO Router_C2600(config)#snmp-server community private RW Router_C2600(config)#exit Router_C2600# Router_C2600#write memory Warning: Attempting to overwrite an NVRAM configuration previously written by a different version of the system image. Overwrite the previous NVRAM configuration?[confirm] Building configuration... [OK] Router_C2600# Gerenciamento de Redes com SNMP Utilizando o SNMP em ativos de rede 135