Escolar Documentos
Profissional Documentos
Cultura Documentos
Instrutor:
deo@reitoria.unicamp.br
2012
O trabalho Gerenciamento de Redes com SNMP de Andr Luis Boni Do foi licenciado com uma
Licena Creative Commons - Atribuio - NoComercial - CompartilhaIgual 3.0 No Adaptada.
Em segundo lugar a minha amada esposa, grande parte do meu tempo dedicado
informtica, inclusive boa parte das minhas horas vagas, e ela tem sido uma companheira em
todos os momentos me apoiando e incentivando sempre.
Aos meus amigos Bruno Daniel Alves dos Santos e Marcos Antnio de Almeida Cor que
sempre me incentivaram a registrar esse conhecimento. Aos incansveis: Adriano Rodrigues
Paganotto, Aecio dos Santos Pires e Carlos Eduardo de Oliveira que foram os revisores desse
material, sempre me cobrando o melhor, mais detalhado, mais didtico, esse material no seria
metade do que , sem vocs amigos.
E por ltimo, mas no menos importante ao grande Conrado Pinto Rebessi, reponsvel
pela palestra que despertou meu interesse no assunto e por inmeras horas de consultoria sobre
o assunto, meu amigo esse material no existiria se no fosse por voc.
Conrado em 2007 no FLISOL Campinas com sua palestra: Monitoramento de servidores com SNMP
6. A MIB.............................................................................................................................................. 45
9.1. USM.............................................................................................................................................. 81
11.1. VIEWS VACM, OU COMO RESTRINGIR O ACESSO A DETERMINADOS RAMOS DA RVORE ............................... 123
11.1.1. Acessando o Agent SNMP com acesso restrito (sysUpTime.0) ........................................ 123
11.1.2. Acessando o Agent SNMP com acesso restrito (interfaces.ifTable.ifEntry.infIndex.1) ... 123
11.1.3. Acessando o Agent SNMP com acesso restrito (interfaces.ifTable.ifEntry) .................... 124
11.2. MSCARAS VACM, OU COMO RESTRINGIR O ACESSO A UM DETERMINADO NDICE (LINHA) EM UMA TABELA.... 125
11.2.1. Acessando o Agent SNMP com acesso restrito Uso do parmetro mask ..................... 128
11.2.2. Acessando o Agent SNMP com acesso restrito Uso do parmetro mask ..................... 128
1.4.3. Clientes:
Todo recurso utilizado pelo usurio para desempenhar suas atribuies e que
precisa de liberao e controle:
Softwares instalados;
Inventario de Hardware;
Controle de usurios;
Controle de acesso.
1.6.Como Gerenciar?
No existe uma receita pronta de como gerenciar uma rede, mas se utilizando de
padres, ferramentas e algumas aes especficas podemos alcanar este objetivo. O
qual consiste em:
Monitorar a operao dos equipamentos e servios;
Utilizar ferramentas (softwares) para a automatizao dos processos;
Utilizar padres de gerncia;
Construir um modelo hierrquico.
1.8.Habilidades
So muitas as habilidades que um profissional responsvel pela Gerncia de re-
des deve desenvolver, aes que vo desde o suporte tcnico a especificao de equi-
pamentos. Para citar alguns itens:
Efetuar o gerenciamento da rede;
Descrever configuraes para softwares de rede;
Efetuar configuraes nos softwares aplicativos;
Elaborar pesquisas (e no buscas) na Internet;
Fazer levantamento de informaes de trfego;
Instalar e configurar protocolos e software de rede;
Realizar pesquisa de novas tecnologias no mercado;
Redigir relatrios;
2.1.Gerenciamento de Redes
Compreende o Monitoramento e o Controle automatizado dos dispositivos
(hardware e software) e ferramentas, que alm de suas funes principais, pode agregar
funcionalidades de gerenciamento desde que o profissional que atua com estas ferra-
mentas e dispositivos esteja capacitado para tal.
Quando falamos de gerenciamento de redes devemos primeiro estabelecer o
que ser gerenciado e o que se espera como resultado desse gerenciamento.
Somente assim poderemos selecionar uma ferramenta adequada, seja de detec-
o de falhas, de estatsticas ou de anlise de pacotes, mas que atenda as necessidades.
2.2.Ciclo de Gerenciamento
2.2.1. Coleta de dados:
2.2.2. Diagnstico:
Tratamento e anlise dos dados colhidos na etapa anterior. Dentre toda a infor-
mao coletada separar os dados que sero manipulados posteriormente, daqueles sem
valor para o gerenciamento, essa com certeza uma etapa que demanda conhecimento
e disponibilidade de tempo.
2.2.3. Ao:
2.4.Definio do Ambiente
A delimitao do ambiente a ser gerenciado pode ser definida utilizando-se de
algumas diretivas:
Inventrio total dos dispositivos de rede (Hardware e Software);
Mapeamento lgico dos dispositivos de rede (Layout Lgico e Fsico da
Topologia).
2.5.Inventrio da Rede
Algumas informaes so extremamente necessrias para o gerenciamento:
Identificao do fabricante e fornecedor;
Anlise dos dispositivos que apresentam o suporte de gerenciamento e
qual a funo suportada (Verso do protocolo SNMP, Caractersticas do
Protocolo RMON);
Identificao da arquitetura da rede e do modelo de gerenciamento su-
portado;
Documentao das informaes apuradas de forma textual-grfica e em
mdia impressa e digital.
2.6.Mapeamento da Rede
O mapeamento da rede deve ser feito destacando-se os dispositivos que desem-
penham funes de interconexo ou prestam servios (Servidores), cujo tempo de inati-
vidade, inviabilizar os processos de comunicao, produo e obteno de informa-
es via rede, acarretando em prejuzos financeiros ou operacionais para a organizao.
2.7.Resultados Esperados
Antes de comear um projeto de gerncia de redes, preciso realizar um levan-
tamento do que se pretende monitorar em cada host, e os objetivos que pretendem ser
alcanados com esse gerenciamento, alguns itens bsicos:
Visualizao Grfica da Rede (Topologia);
Emisso de Alarmes (Erros e Falhas);
Dados sobre utilizao de Banda, CPU, Memria, Processos;
Envio de alertas (E-mail, SMS, Alertas sonoros) relatando falhas.
2.8.Relatrios
Ao final de um projeto de gerncia de redes espera-se ser capaz de gerar dados
sobre a rede, entre estes dados esto os relatrios, alguns exemplos:
Estatsticas de carga da rede;
Inventrio;
Grficos (% de utilizao da banda por exemplo);
Consumo de disco e memria;
Uptime e Downtime (SLI).
3.1.Ambiente Gerenciado
So mecanismos com suporte a funcionalidades de gerenciamento, juntamente
com os aspectos de comunicao que permitem suas interconexes.
O ambiente gerenciado pode ser constitudo de um ou mais mecanismos como:
Roteador(es), Switch(es);
Conexes TCP de um determinado nmero de servidores;
Todos os dispositivos gerenciveis de uma mesma sub-rede;
Todos os dispositivos gerenciveis de um conjunto de LANs interligadas.
3.2.Mecanismo Gerenciado
Hardware ou Software que apresenta necessidade e condies de serem geren-
ciados, como interfaces de rede, discos, impressoras, aspectos relacionados imple-
mentao da pilha TCP/IP, estatsticas sobre o processamento de datagramas IP.
3.4.Gerente
Permite a obteno e o envio de informaes de gerenciamento junto aos meca-
nismos gerenciados mediante comunicao com um ou mais agentes.
Informaes de gerenciamento podem ser obtidas com o uso de requisies efe-
tuadas pelo gerente ao agente ou mediante envio automtico do agente para um de-
terminado gerente.
3.5.Aplicao Gerente
O modelo SNMP apresenta a Aplicao Gerente como uma entidade de rede que
usa determinados protocolos das camadas de transporte, de rede, de acesso rede e de
aplicao, para a comunicao com a entidade de rede gerenciada.
3.6.Componentes Principais:
Operaes de Gerenciamento;
Management Information Base MIB;
Banco de dados;
Aplicaes de Gerenciamento;
Interface do usurio.
3.6.6. Agente
O Agente
A MIB do Agente
3.6.7.1.1. O Agente
Todo sistema gerenciado por SNMP dever conter uma entidade Agente rodando
em background.
Pode suportar mais de um protocolo de transporte. Porm, o UDP foi o protocolo
da Pilha TCP/IP escolhido por possibilitar a interoperao entre qualquer Gerente e
Agente.
4.1.1. Funcionamento
Figura 05 - MIB
5.2. ASN.1
uma linguagem de descrio de dados da ISO, definida em formato texto no
ambguo, que permite definir o modelo de dados com formato independente de mqui-
na. A implementao de dados no considerada.
Toda operao SNMP gera uma resposta, com exceo da Operao de Trap. Os
dados das operaes so transportados na porta 161 UDP/IP, e os traps so transporta-
dos na porta 162 UDP/IP.
A figura 18 mostra a estrutura das PDUs SNMP. Cada parte da PDU ser explica-
da nas sees seguintes.
5.4.1.1.1. Verso:
0: SNMPv1
1: SNMPv2c
2: SNMPv2u/SNMPv2p
3: SNMPv3
5.6.Operaes/Mensagens SNMP
5.6.1. Get-Request
Figura 20 - Get-Request
5.6.3. Get-Bulk-Request
5.6.4. Set-Request
5.6.5. TRAP
5.6.6. Inform-Request
5.7.Limitaes de SNMP
5.7.1. Falta de segurana
5.7.2. Ineficincia
5.7.4. No confivel:
Baseado em UDP/IP;
Traps sem reconhecimento.
5.9.Verses SNMP:
SNMP v1
SNMP v2
SNMP v3
5.9.1. SNMP V1
5.9.1.1. Get
Usado pelo NMS (Network Management System Sistema de Gerenciamento de
Redes) para adquirir o valor de uma ou mais instncias de um objeto de um agente.
5.9.1.2. GetNext
Usado pelo NMS para adquirir o valor do prximo objeto em uma tabela ou lista.
5.9.1.3. Set
Usado pelo NMS para atribuir um valor a um objeto no agente.
5.9.2. SNMP V2
5.9.3.1.1. Trap
Mensagem no solicitada, enviada por um agente para informar ao NMS sobre
um evento significante.
5.9.3.1.2. GetBulk
Usado pelo NMS para adquirir eficientemente grandes blocos de dados.
5.9.3.1.3. Inform
Permite que um NMS envie traps para outro NMS e receba respostas desses
traps.
5.9.4. SNMP V3
5.9.4.1. Melhorias de Segurana
5.9.4.1.1. USM
User-based Security Model: Modelo de Segurana Baseada em Usurios.
5.9.4.1.2. VACM
View-based Access Control Model: Modelo de controle de acesso baseado em vi-
ses.
public: Leitura;
private: Gravao.
5.11.1. Classificao
5.11.1.1.1. ColdStart:
Dispositivo foi ligado;
Configurao local pode ter sido alterada;
Informa ao gerente sobre sua existncia.
5.11.1.1.2. WarmStart:
Dispositivo foi reinicializado;
Configurao local no foi alterada.
5.11.1.1.3. LinkDown:
Link ou porta de comunicao ligada ao n falhou.
5.11.1.1.4. LinkUp:
Link ou porta local foi (re)ativada.
5.11.1.1.5. AuthenticationFailure:
O dispositivo recebeu mensagem SNMP no autorizada;
Comunidade no reconhecida;
Nmero IP de gerente invlido.
5.11.1.1.6. EgpNeighborLoss:
Exterior Gateway Protocol falhou no n;
Normalmente usado em roteadores.
Gerenciamento de Redes com SNMP | Gerenciamento de Redes - O Protocolo SNMP 42
5.11.1.1.7. EnterpriseSpecific:
Indica que a trap especfica de uma empresa;
Fornencedores definem suas prprias traps na ramificao da empresa
privada na rvore MIB.
6.1.Objetos Gerenciados
So estruturas de dados resultantes da modelagem dos recursos da rede a se-
rem gerenciados, podem ter permisses para serem lidos ou alterados sendo que cada
leitura representar o estado real do recurso e cada alterao ser refletida no prprio
recurso, isso permite automatizao de grande parte das tarefas de gerncia.
6.2.Modelos de Gerenciamento
O padro OSI define trs modelos para gerenciamento de redes:
Modelo Organizacional;
Modelo Funcional;
Modelo Informacional.
Descreve a forma pela qual a gerncia pode ser distribuda entre domnios e sis-
temas dentro de um domnio.
6.4.MIB da Internet
O RFC (Request for Comments) 1066 apresentou a primeira verso da MIB, a
MIB-1, o IAB (Internet Activities Board) aceita MIB como padro no RFC 1156.
O RFC 1158 props uma segunda MIB, a MIB-II, aceita e formalizada como pa-
dro no RFC 1213.
6.5.2. N iso
Figura 29 - N internet(1)
6.5.4. N mgmt
Figura 30 - N mgmt
6.5.7.1.2. OID
1.3.6.1.2.1.1
6.5.7.1.3. Componentes:
sysDesc(1): Descrio do sistema, nome completo e verso do tipo de
hardware, sistema operacional e software de rede;
sysObjectId(2): OID de registro (fabricante do sistema);
sysUpTime(3): Tempo de atividade do sistema (1/100 s);
sysContact (4): Pessoa ou grupo responsvel pelo n;
sysName(5): Nome do n na rede;
sysLocation(6): Localizao fsica do n;
sysServices(7): Flags indicando servios suportados.
6.5.7.2.2. OID
1.3.6.1.2.1.2
6.5.7.2.3. Componentes
ifNumber(1): Nmero de interfaces de rede (independentemente do seu
estado atual) presentes no sistema;
ifTable(2): A tabela de informaes sobre cada interface de rede, o nme-
ro de interfaces dado pelo valor do ifNumber;
ifEntry(ifTable 1): Entradas de valores sobre cada uma das interfaces;
ifIndex(ifEntry 1): Um valor nico para cada interface, permite identificar
a interface;
ifDescr(ifEntry 2): Identificao da interface, deve incluir o nome do fabri-
cante, o nome do produto e a verso da interface;
ifType(ifEntry 3): Tipo de interface;
ifMtu(ifEntry 4): Tamanho mximo do datagrama suportado pela interfa-
ce, especificado em octetos;
ifSpeed(ifEntry 5): Uma estimativa da largura de banda atual da interface
em bits por segundo. Para interfaces que no variam em largura de banda
ou ainda para aquelas onde essa estimativa no considerada necessria,
esse objeto deve conter a largura de banda nominal;
6.5.7.3.2. OID
1.3.6.1.2.1.3
6.5.7.3.3. Componentes
atTable(1): As tabelas de traduo de endereos, devem conter o endere-
o de rede para seu endereo fsico equivalente.
Algumas interfaces no usam tabelas de converso para determinar equi-
valncias endereo (por exemplo, DDN-X.25 tem um mtodo algortmico).
Se todas as interfaces so deste tipo, ento a tabela Address Translation
est vazia, ou seja, tem zero entradas;
atEntry(atTable 1): Cada entrada contm um endereo de rede para seu
endereo fsico equivalente;
atIfIndex(atEntry 1): A interface identificada por um determinado valor
deste ndice a mesma interface identificada pelo mesmo valor de ifIn-
dex;
atPhysAddress(atEntry 2): Endereo fsico da interface;
atNetAddress(atEntry 3): O endereo da rede (por exemplo, o endereo
IP).
6.5.7.4.2. OID
1.3.6.1.2.1.4
6.5.7.5.2. OID
1.3.6.1.2.1.5
6.5.7.6.2. OID
1.3.6.1.2.1.6
6.5.7.7.2. OID
1.3.6.1.2.1.7
6.5.7.7.3. Componentes
udpInDatagrams(1): O nmero total de datagramas UDP entregues aos
usurios UDP;
udpNoPorts(2): O nmero total de datagramas UDP recebidos para os
quais no houve aplicao na porta de destino;
udpInErrors(3): O nmero de datagramas UDP recebidos que no pude-
ram ser entregues por outras razes que no a falta de uma aplicao na
porta de destino;
udpOutDatagrams(4): O nmero total de datagramas UDP enviados a
partir desta entidade;
udpTable(5): Uma tabela contendo informaes sobre os ouvintes UDP;
udpEntry(udpTable 1): Informaes sobre um determinado ouvinte UDP;
udpLocalAddress(udpEntry 1): O endereo IP local para este ouvinte UDP.
No caso de um ouvinte UDP que est disposto a aceitar datagramas para
qualquer interface IP associado com o n, o valor 0.0.0.0 usado;
udpLocalPort(udpEntry 2): O nmero da porta local para este ouvinte
UDP.
Gerenciamento de Redes com SNMP | A MIB 54
6.5.7.8. Grupo EGP Protocolo EGP
6.5.7.8.2. OID
1.3.6.1.2.1.8
6.5.7.9.2. OID
1.3.6.1.2.1.9
Histrico.
6.5.7.10.2. OID
1.3.6.1.2.1.10
Histrico.
6.5.7.11.2. OID
1.3.6.1.2.1.11
6.5.7.11.3. Componentes
snmpInPkts(1): O nmero total de mensagens entregues entidade
SNMP pelo servio de transporte;
snmpOutPkts(2): O nmero total de mensagens SNMP que foram passa-
dos da entidade protocolo SNMP para o servio de transporte;
snmpInBadVersions(3): O nmero total de mensagens SNMP que foram
entregues entidade protocolo SNMP, mas eram de uma verso SNMP
no suportada;
7.2.Caractersticas do Protocolo
O protocolo RMON uma MIB SNMP e, portanto o dispositivo deve possuir um
agente SNMP.
especfico para tecnologias Ethernet e Token Ring, apesar de existir uma im-
plementao para ATM.
O dispositivo que implementa o suporte para RMON se chama probe RMON. Um
probe pode ser implementado em um dispositivo dedicado ou em um elemento de rede,
como um hub, switch ou roteador.
O probe visa monitorar trfego de um segmento da rede. Deve ficar em um pon-
to da rede por onde passa todo o trfego do segmento. Dessa forma deve haver um
probe RMON por segmento de rede a ser monitorado.
Em redes comutadas, o RMON implementado normalmente nos equipamentos
ativos ou atravs de espelhamento do trfego de suas portas para uma porta de monito-
rao (port mirroring).
7.3.Objetivos do RMON
Realizar anlise e levantar informaes estatsticas sobre os dados coletados em
uma sub-rede, liberando a estao gerente desta tarefa.
Reduzir trfego entre rede local gerenciada e a estao gerente remota.
Detectar, registrar e informar estao gerente sobre situaes de erro e even-
tos significativos da rede.
Permitir o gerenciamento pr-ativo da rede, diagnosticando e registrando even-
tos que possibilitem detectar o mal funcionamento e prever falhas que interrompam a
sua operao.
Enviar informaes de gerenciamento para mltiplas estaes gerentes.
7.5.Exemplo de funcionamento
Estatstico (Statistics);
Histrico (History);
Hosts;
Classificao de n Hosts (Host Top N);
Matriz (Matrix);
Token Ring.
Alarme (Alarm);
Filtro (Filter);
Captura de pacote (Packet Capture);
Evento (Event).
7.6.3.2.1. Configurao
Intervalos de amostragem;
Quantidade de amostras armazenadas.
7.6.3.3.1. Exemplos:
Nmero de bytes transmitidos e recebidos;
Nmero de pacotes transmitidos e recebidos;
Nmero de pacotes com erro transmitidos;
Nmero de pacotes broadcast transmitidos;
Nmero de pacotes multicast transmitidos.
Permite definir:
Varivel para ordenao;
Durao da amostragem;
Quantidade de hosts na lista.
7.6.3.5.1. Exemplos:
Pacotes transmitidos;
Octetos transmitidos;
Pacotes com erros transmitidos.
7.6.3.8.1. Exemplos:
Captura todos os pacotes vindos do servidor S1;
Conta quantos pacotes esto indo para o roteador e no so originrios
dos servidores: trfego entre segmentos de redes das estaes.
Visa a interoperabilidade.
Figura 41 - NTSYSV
# mv /etc/snmp/snmpd.conf /etc/snmp/snmpd.conf.orig
rocommunity nome_da_comunidade
Representa uma comunidade com direito de leitura.
rwcommunity nome_da_comunidade
Representa uma comunidade com direito de leitura e escrita.
# cat snmpd.conf
# /etc/snmp/snmpd.conf v1/v2c bsico (snmpd.conf.01)
#
rocommunity public
rwcommunity private
Aps alterar o arquivo, necessrio reiniciar o servio:
Observe que sempre que realizarmos uma alterao no host, receberemos uma
mensagem de retorno, que pode ser uma mensagem de falha ou a confirmao de que a
informao foi alterada, como no exemplo acima: SNMPv2-MIB::sysContact.0 =
STRING: aulas.
Mais um exemplo:
9.1.USM
At a verso 2 do protocolo SNMP, o controle de acesso era baseado em comu-
nidades(communities) como public, private. Este um sistema de segurana muito frgil
e limitado, pois se algum descobre o nome da comunidade, tem acesso total ao host,
ainda que ele esteja configurado apenas para leitura. Disponibilizar essas informaes a
uma pessoa mal intencionada o mesmo que deix-la visitar sua rede e realizar anota-
es, e posteriormente montar o plano de ataque sem pressa alguma.
9.2. VACM
Os usurios so colocados em grupos. So criadas views que representam partes
da rvore SNMP, semelhantes s views dos bancos de dados, ou compartilhamentos de
diretrios em servidores de arquivos. A view o recurso que desejamos disponibilizar, e
por fim permisses so dadas para os grupos acessarem as views.
Esse segundo passo opcional, pois podemos ter um host exclusivamente SNMP
v3 ou um host compatvel com SNMP v1, v2c e v3. Nesse caso queremos um host com-
patvel com todas as verses, e por isso vamos informar ao servidor que quando ele re-
ceber uma solicitao em nome de uma comunidade, ele vai transformar esse nome de
comunidade em um nome de usurio, essa linha faz este mapeamento:
# cat snmpd.conf
# /etc/snmp/snmpd.conf compativel com v1 e v2c (snmpd.conf.02)
#
# view name inc/excl tree mask
view all included .1 80
# cat snmpd.conf
# /etc/snmp/snmpd.conf v3 inicial (snmpd.conf.03)
#
# Declarando um usurio Inicial com permisso de escrita
rwuser initial
psyscontact aulas
setserialno 2003046206
engineBoots 13
/var/lib/net-snmp/snmpd.conf Aps adio do usurio Initial:
setserialno 2003046207
E o nmero de vezes que o servio foi reinicializado:
engineBoots 14
9.6.3.1. Parmetros:
passwd: Comando para alterar a senha;
setup_passphrase: Senha atual do usurio user1;
senhateste user1: Nova senha para o usurio user1, com mnimo de 8
caracteres.
# cat snmpd.conf
# /etc/snmp/snmpd.conf v3 inicial (snmpd.conf.04)
#
# Declarando um usurio Inicial com permisso de escrita
rwuser initial
Lembre-se que aps alterar o arquivo necessrio reiniciar o servio:
setserialno 2003046208
engineBoots 15
# cat snmpd.conf
# /etc/snmp/snmpd.conf v3 bsico (snmpd.conf.05)
#
# mantive o usurio initial com permisso de escrita
rwuser initial
# cat snmpd.conf
# /etc/snmp/snmpd.conf v3 devidamente configurado (snmpd.conf.06)
# Definir as Views
# view nome incl/excl. sub-rvore mscara
View all included .1 80
view ip included iso.org.dod.internet.mgmt.mib-2.ip
# Agrupar os usurios
#group nome modelo_de_segurana usurio
group rogroup1 usm user1
group rogroup1 usm user2
group rogroup2 usm user3
group rwgroup usm initial
# cat snmpd.conf
# /etc/snmp/snmpd.conf v3 inicial com autenticao e privacidade
(snmpd.conf.07)
#
# Declarando um usurio Inicial com permisso de escrita
rwuser initial
9.7.2.1. Parmetros:
snmpusm: Comando para criar e manipular usurios;
-v 3: Verso do protocolo SNMP;
-u initial: -u (User) initial, nome do usurio com permisso de escrita;
-n "": Contexto;
-x DES: Tipo de criptografia usada na senha (DES ou AES) protocolo usa-
do na privacidade;
-X setup_passkey: Chave criptogrfica;
-l authPriv: Nvel de segurana na autenticao; so trs nveis:
Gerenciamento de Redes com SNMP | Gerenciamento de Servidores GNU/Linux 95
Utilizando SNMP v3
o noAuthNoPriv: Sem autenticao e sem privacidade;
o authNoPriv: Com autenticao, sem privacidade;
o authPriv: Com autenticao e privacidade.
For privacy, the Security Model defines what portion of the mes-
sage is encrypted. IEEE - rfc3411
-a MD5: Tipo de Hash utilizado na senha (MD5 ou SHA);
-A: A senha ser hasheada; ser criado um hash da senha;
setup_passphrase: Senha do usurio initial;
localhost: Nome DNS ou IP do Servidor;
create user1 initial: Criar o usurio user1; clonando de initial, clona
inclusive a senha.
9.7.2.2.1. Parmetros:
-x DES -X 123 -a MD5 -A 234: Criptografia do tipo DES (-x), chave criptogrfica
123 (-X), hash do tipo MD5 (-a), chave criptogrfica 234 (-A). Veja este trecho do
man snmpcmd:
-a authProtocol
Set the authentication protocol (MD5 or SHA) used for authenti-
cated SNMPv3 messages. Overrides the defAuthType token in the snmp.conf
file.
-A authPassword
Set the authentication pass phrase used for authenticated SNMPv3
messages. Overrides the defAuthPassphrase token in the snmp.conf file.
It is insecure to specify pass phrases on the command line, see
snmp.conf(5).
-x privProtocol
Set the privacy protocol (DES or AES) used for encrypted SNMPv3
messages. Overrides the defPrivType token in the snmp.conf file. This
option is only valid if the Net-SNMP software was build to use OpenSSL.
-X privPassword
Set the privacy pass phrase used for encrypted SNMPv3 messages.
Overrides the defPrivPassphrase token in the snmp.conf file. It is in-
secure to specify pass phrases on the command line, see snmp.conf(5).
9.7.3.1. Parmetros:
-Ca: Alterar a chave de autenticao;
passwd: Comando para alterar a senha;
setup_passphrase: Senha atual do usurio user1;
senhateste user1: Nova senha para o usurio user1, com mnimo de 8
caracteres.
9.7.4.1. Parmetros:
-Cx: Alterar a chave de privacidade;
passwd: Comando para alterar a senha;
setup_passkey: Chave atual do usurio user1;
senha_key user1: Nova chave para o usurio user1, com mnimo de 8
caracteres.
# cat snmpd.conf
# /etc/snmp/snmpd.conf v3 bsico com autenticao e privacidade
(snmpd.conf.08)
#
# mantive o usurio initial com permisso de escrita
rwuser initial
# cat snmpd.conf
# /etc/snmp/snmpd.conf v3 devidamente configurado com autentica-
o e privacidade (snmpd.conf.09)
#
# Definir as Views
# view nome incl/excl. sub-rvore mscara
View all included .1 80
view ip included iso.org.dod.internet.mgmt.mib-2.ip
# Agrupar os usurios
#group nome modelo_de_segurana usurio
group rogroup1 usm user1
group rogroup1 usm user2
group rogroup2 usm user3
group rwgroup usm initial
# cat snmpd.conf
# /etc/snmp/snmpd.conf v3 devidamente configurado com autenticao
e privacidade (snmpd.conf.10)
#
# Definir as Views
#view nome incl/excl. sub-Arvore mascara
view all included .1 80
view ip included .iso.org.dod.internet.mgmt.mib-2.ip
# Agrupar os usuarios
#group nome modelo_de_seguranca usuario
group rogroup1 usm user1
group rogroup1 usm user2
group rogroup2 usm user3
group rwgroup usm initial
Mostrar apenas a primeira linha do resultado no til na maioria dos casos, po-
rm, olhando no /etc/snmp/snmpd.conf, encontramos outras OID que armazenam a
informao toda. Por questes bvias vou usar o /etc/fstab neste exemplo:
Usei o comando snmpwalk -On para que fossem exibidos os OIDs numricos.
.1.3.6.1.4.1.8072.1.3.2.4.1.2.6.84.101.115.116.101.49.1 = STRING:
.1.3.6.1.4.1.8072.1.3.2.4.1.2.6.84.101.115.116.101.49.2 = STRING:
#
.1.3.6.1.4.1.8072.1.3.2.4.1.2.6.84.101.115.116.101.49.3 = STRING:
# /etc/fstab
...
.1.3.6.1.4.1.8072.1.3.2.4.1.2.6.84.101.115.116.101.49.14 =
STRING: sysfs /sys sysfs de-
faults 0 0
.1.3.6.1.4.1.8072.1.3.2.4.1.2.6.84.101.115.116.101.49.15 =
STRING: proc /proc proc de-
faults 0 0
Vamos acrescentar mais um comando personalizado:
# cat snmpd.conf
# /etc/snmp/snmpd.conf v3 devidamente configurado Monitoramento
utilizando um comando customizado (snmpd.conf.17)
...
#exec Nome comando Parmetros
exec Teste1 /bin/cat /etc/passwd
exec Teste2 /bin/cat /etc/redhat-release
Lembre-se que aps alterar o arquivo necessrio reiniciar o servio:
.1.0 = INTEGER: 1
.2.1.2.6.84.101.115.116.101.50 = STRING: "/bin/cat"
.2.1.3.6.84.101.115.116.101.50 = STRING: "/etc/fstab"
.2.1.4.6.84.101.115.116.101.50 = ""
.2.1.5.6.84.101.115.116.101.50 = INTEGER: 5
.2.1.6.6.84.101.115.116.101.50 = INTEGER: 1
.2.1.7.6.84.101.115.116.101.50 = INTEGER: 1
.2.1.20.6.84.101.115.116.101.50 = INTEGER: 4
.2.1.21.6.84.101.115.116.101.50 = INTEGER: 1
.3.1.2.6.84.101.115.116.101.50 = STRING: "sada do comando"
# cat snmpd.conf
# /etc/snmp/snmpd.conf v3 Como restringir o acesso a determinados
ramos da rvore (snmpd.conf.19)
...
view all excluded .1
view all included sysUpTime.0
Lembre-se que aps alterar o arquivo necessrio reiniciar o servio:
# cat snmpd.conf
# /etc/snmp/snmpd.conf v3 Como restringir o acesso a determinados
ramos da rvore (snmpd.conf.20)
...
view all excluded .1
view all included sysUpTime.0
view all included interfac-
es.ifTable.ifEntry.ifIndex.1
# cat snmpd.conf
# /etc/snmp/snmpd.conf v3 Como restringir o acesso a determinados
ramos da rvore (snmpd.conf.21)
...
view all excluded .1
view all included sysUpTime.0
view all included interfaces.ifTable.ifEntry
Lembre-se que aps alterar o arquivo necessrio reiniciar o servio:
####
# Segundo, mapear o nome de acesso em um nome de grupo:
Gerenciamento de Redes com SNMP | Gerenciamento de Servidores GNU/Linux 125
Utilizando SNMP v3 - Casos Especiais e Exemplos
# sec.model sec.name
group MyRWGroup v1 local
group MyRWGroup v2c local
####
# Terceiro, criar as views para definir quais so os direitos dos
# grupos:
# incl/excl subtree
mask
view all included .1
####
# Por fim, definir as views para os grupos:
ifDescr
ifType
ifMtu
ifSpeed
ifPhysAddress
ifAdminStatus
ifOperStatus
ifLastChange
ifInOctets
ifInUcastPkts
ifInNUcastPkts
ifInDiscards
ifInErrors
ifInUnknownProtos
ifOutOctets
ifOutUcastPkts
ifOutNUcastPkts
ifOutDiscards
ifOutErrors
ifOutQLen
ifSpecific
l
1
lo
e
2
eth0
E
3
eth1
Tabela 04 Tabela referente s informaes de rede
Podemos variar a coluna, que contm as descries das informaes, mas esta-
mos presos na linha 2, ou seja, podemos ver qualquer informao referente a eth0.
# cat snmpd.conf
# /etc/snmp/snmpd.conf v3 Como restringir o acesso a um determi-
nado ndice (linha) em uma Tabela (snmpd.conf.22)
...
view all excluded .1
view all included sysUpTime.0
view all included interfaces.ifTable.ifEntry.ifIndex.2 ff.a0
Lembre-se que aps alterar o arquivo necessrio reiniciar o servio:
# cat snmpd.conf
# /etc/snmp/snmpd.conf v3 Como restringir o acesso a um determi-
nado ndice (linha) em uma Tabela (snmpd.conf.23)
...
view all excluded .1
view all included sysUpTime.0
view all included .1.3.6.1.2.1.2.2.1.2 FF.C0
view all included .1.3.6.1.2.1.2.2.1.7 FF.C0
view all included .1.3.6.1.2.1.2.2.1.8 FF.C0
Lembre-se que aps alterar o arquivo necessrio reiniciar o servio:
Mas existe uma maneira de simplificar isso: o net-snmp nos permite definir vari-
veis de configurao, vlidas para a execuo de todos os comandos.
# cd ~
# pwd
/root
# mkdir .snmp
# cd .snmp
# cat snmp.conf
defversion 3
defsecurityname initial
defsecuritylevel authPriv
defauthtype MD5
defauthpassphrase setup_passphrase
defprivtype DES
defprivpassphrase setup_passkey
12.1.1. Parmetros:
O comando snmpconf automatiza o processo, e pode ser usado para gerar vrios
arquivos de configurao, inclusive o citado acima.
# snmpconf
The following installed configuration files were found:
1: /etc/snmp/snmpd.conf
2: /etc/snmp/snmptrapd.conf
Would you like me to read them in? Their content will be merged
with the
output files created by this session.
Solicita ainda que seja escolhido um deles; o default a opo all. Basta pres-
sionar Enter para selecionar a opo default.
1: snmpd.conf
2: snmp.conf
3: snmptrapd.conf
A segunda opo nos informa quais arquivos podem ser gerados e solicita que seja escolhida
uma das opes.
Select section: 1
A terceira seo solicita que seja escolhida qual seo do arquivo de configurao ser alterada.
Select from:
Select section:
1: snmpd.conf
2: snmp.conf
3: snmptrapd.conf
snmp.conf
Or, if you want them for your personal use only, copy them to
/root/.snmp . In the future, if you add the -p option to the
command line I'll copy them there automatically for you.
Mensagem padro com instrues adicionais.
# snmptranslate .1.3.6.1.2.1.1.3
SNMPv2-MIB::sysUpTime
Router_C2600>enable
Router_C2600#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router_C2600(config)#snmp-server community public RO
Router_C2600(config)#snmp-server community private RW
Router_C2600(config)#exit
Router_C2600#
Router_C2600#write memory
Warning: Attempting to overwrite an NVRAM configuration previous-
ly written
by a different version of the system image.
Overwrite the previous NVRAM configuration?[confirm]
Building configuration...
[OK]
Router_C2600#
1. Router_C2600>enable
2. Router_C2600#configure terminal
3. Enter configuration commands, one per line. End with CNTL/Z.
Definir a view.
Router_C2600>enable
Router_C2600#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Definir a view.
Router_C2600>enable
Router_C2600#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Definir a view.
Observao:
http://net-snmp.sourceforge.net/wiki/index.php/Vacm
http://www.ietf.org/rfc/rfc3411.txt
http://www.ietf.org/rfc/rfc3415.txt
http://www.ietf.org/rfc/rfc1213.txt
http://www.net-snmp.org/docs/man/snmpusm.html
http://www.net-snmp.org/docs/man/snmpd.conf.html
http://www.net-snmp.org/docs/man/snmpd.conf.html#lbAH
http://www.net-snmp.org/docs/man/snmpd.conf.html#lbAI
http://www.webnms.com/simulator/help/sim_network/netsim_conf_snmpv3.ht
ml
http://net-snmp.sourceforge.net/wiki/index.php/Vacm
http://docstore.mik.ua/orelly/networking_2ndEd/snmp/appf_02.htm
http://www.net-snmp.org/wiki/index.php/TUT:SNMPv3_Options
http://www.webnms.com/agenttester/help/snmptester/sat_v3_security_testing
.html
http://tcpipguide.com/free/t_SNMPVersion2SNMPv2MessageFormats.htm
http://www.tcpipguide.com/free/t_TCPIPInternetStandardManagementFramew
orkandSNMPVer-3.htm
http://www.simpleweb.org
http://www.rnp.br/newsgen/9901/rmon.html
http://www.dsc.ufcg.edu.br/~jacques/cursos/gr/html/aplic/aplic5.htm
Stallings, W. SNMP, SNMPv2, SNMPv3 and RMON1 and 2. 3rd ed. 7th printing,
2003.