GIỚI THIỆU VỀ GIAO THỨC SNMP
Khái niệm SNMP
SNMP (Simple Network Management Protocol) là giao thức ứng dụng hoạt động trên cổng UDP 160, 161 và 162, được sử dụng để quản lý và giám sát các thiết bị mạng Giao thức này cung cấp một ngôn ngữ chung cho các thiết bị mạng, cho phép truyền tải thông tin quản lý trong cả môi trường đa nhà cung cấp (multi-vendor) và đơn nhà cung cấp (single-vendor), phù hợp cho mạng cục bộ (LAN) và mạng diện rộng (WAN).
Hình 1.1, hình ảnh thể hiện khái quát giao thức SNMP
Giao thức SNMP là một trong những giao thức phổ biến nhất, được hỗ trợ trên nhiều loại phần cứng khác nhau, bao gồm bộ định tuyến, bộ chuyển mạch, điểm truy cập không dây, cũng như các thiết bị đầu cuối như máy in, scanner và thiết bị IoT Ngoài việc giám sát phần cứng, SNMP còn có khả năng theo dõi các dịch vụ như Dynamic Host Configuration Protocol (DHCP).
Giao thức cấu hình động (DHCP) cho phép các phần mềm đại lý trên thiết bị và dịch vụ giao tiếp với hệ thống quản lý mạng (NMS), hay còn gọi là trình quản lý SNMP, thông qua giao thức SNMP để truyền tải thông tin trạng thái và thực hiện các thay đổi cấu hình.
Mặc dù SNMP có thể áp dụng cho mọi quy mô mạng, nhưng giá trị lớn nhất của nó thể hiện rõ trong các mạng rộng lớn Việc đăng nhập thủ công vào hàng trăm hoặc hàng nghìn node sẽ rất tốn thời gian và tài nguyên Sử dụng SNMP kết hợp với một NMS cho phép quản trị viên mạng quản lý và theo dõi tất cả các node từ một giao diện duy nhất, thường hỗ trợ nhiều lệnh và cảnh báo tự động SNMP được mô tả trong IETF/RFC 1157 cùng với một số RFC liên quan khác.
Các phiên bản của giao thức SNMP
SNMP có các phiên bản: SNMPv1 (RFC 1155, RFC 1157), SNMPv2c(RFC 1901, RFC 1905, RFC
1906, RFC2578), SNMPv2u ( RFC 1909, RFC 1910) và SNMPv3 (RFC 1905, RFC 1906, RFC 3411, RFC
Phiên bản mới nhất của SNMP, phiên bản 3, đã được cải tiến với các tính năng bảo mật nâng cao, bao gồm xác thực và mã hóa tin nhắn SNMP, đồng thời bảo vệ các gói dữ liệu trong quá trình truyền tải.
Một số khái niệm cơ bản của giao thức SNMP
- Object: ỉ Mỗi thiết bị cú hỗ trợ SNMP cung cấp nhiều thụng tin khỏc nhau, mỗi thụng tin đú được gọi là object
Router chứa thông tin như tổng số card, tổng số cổng, tổng số bit đã truyền/nhận, tên router và trạng thái của các cổng Mỗi đối tượng có một tên gọi riêng và một mã số OID (Object ID) để nhận diện Chẳng hạn, tên thiết bị là sysName với OID là 1.3.6.1.2.1.1.5 Mỗi đối tượng chỉ có một OID duy nhất nhưng có thể có nhiều tên gọi, do đó người ta sử dụng chỉ số sub-id để phân biệt Ví dụ, nếu thiết bị có hai tên, chúng sẽ được gọi là sysName.0 và sysName.1 với OID lần lượt là 1.3.6.1.2.1.1.5.0 và 1.3.6.1.2.1.1.5.1.
Một số đối tượng phổ biến được chuẩn hóa bằng OID, trong khi các đối tượng mới được tạo ra theo yêu cầu cần được mô tả OID Để truy cập thông tin OID đã chuẩn hóa, ứng dụng SNMP phải gửi gói tin SNMP chứa OID của đối tượng đến SNMP agent, và SNMP agent sẽ trả lời với thông tin tương ứng Quyền truy cập đối tượng được quy định là READ_ONLY (chỉ cho phép đọc) hoặc READ_WRITE (cho phép đọc và thay đổi) Ví dụ, tên thiết bị (sysName) có quyền READ_WRITE vì có thể thay đổi, trong khi tổng số cổng của thiết bị (ifNumber) là READ_ONLY và không thể thay đổi.
Các thành phần của SNMP
Hình 1.2, Thể hiện các thành phần của SNMP
Có bốn thành phần chính trong mạng do SNMP quản lý:
1 SNMP Agent: Chương trình này chạy trên phần cứng hoặc dịch vụ đang được giám sát, thu thập dữ liệu về các số liệu khác nhau như tình trạng sử dụng băng thông hoặc dung lượng ổ đĩa Khi được người quản lý SNMP truy vấn, agent sẽ gửi thông tin này lại cho trình quản lý Một agent cũng có thể chủ động thông báo cho NMS nếu xảy ra lỗi Hầu hết các thiết bị đi kèm với một SNMP Agent được cài đặt sẵn; Thông thường nó chỉ cần được bật lên và cấu hình
2 Các thiết bị và tài nguyên do SNMP quản lý: Đây là các node mà một agent chạy trên đó
3 Trình quản lý SNMP (còn gọi là NMS): Nền tảng phần mềm này hoạt động như một bảng điều khiển tập trung mà các agent cung cấp thông tin Nó sẽ chủ động yêu cầu các agent gửi thông tin cập nhật qua SNMP theo định kỳ Những gì người quản lý mạng có thể làm với thông tin đó phụ thuộc rất nhiều vào số lượng tính năng của NMS Có một số trình quản lý SNMP miễn phí đang được cung cấp, nhưng chúng thường bị giới hạn về khả năng hoặc số lượng node mà chúng có thể hỗ trợ Ở mức độ cao hơn, các nền tảng cấp doanh nghiệp cung cấp các tính năng nâng cao cho các mạng phức tạp hơn, với một số sản phẩm hỗ trợ lên đến hàng chục nghìn node
4 Cơ sở thông tin quản lý (Management information base – MIB): Cơ sở dữ liệu này là một file văn bản (.mib) phân loại và mô tả tất cả các đối tượng được sử dụng bởi một thiết bị cụ thể có thể được truy vấn hoặc kiểm soát bằng SNMP Cơ sở dữ liệu này phải được tải vào NMS để có thể xác định và theo dõi trạng thái của các thuộc tính này Mỗi mục MIB được gán một định danh đối tượng (OID) Các thiết bị được quản lý bằng SNMP chỉ khi các ứng dụng SNMP manager và SNMP agent cùng hỗ trợ một MIB Các ứng dụng này cũng có thể hỗ trợ cùng lúc nhiều MIB.
CÔNG CỤ SNMPCHECK TRONG KALI LINUX
Giới thiệu về snmp-check
- snmpcheck là một tool liệt kê thông tin qua giao thức SNMP
- Cú pháp của snmp-check: snmpcheck [ -OPTIONS ] -t
Giống như snmpwalk, snmpcheck là công cụ cho phép liệt kê thông tin qua giao thức SNMP, bao gồm phần cứng, phần mềm và mạng của bất kỳ thiết bị nào hỗ trợ giao thức này Công cụ này rất hữu ích trong việc kiểm tra thâm nhập và giám sát hệ thống.
Snmpcheck hỗ trợ các kiểu liệt kê sau (theo thứ tự alfabetic):
The "Detect Write Access" tool has been tested on GNU/Linux, BSD, and Windows platforms, including Cygwin and ActivePerl It is distributed under the GPL license and is based on the "Athena-2k" script developed by jshaw.
Các phương phương thức của snmpcheck
Cổng SNMP; cổng mặc định là 161
Cộng đồng SNMP; mặc định là công khai
Phiên bản SNMP (1,2); mặc định là 1
-r yêu cầu thử lại; mặc định là 0
-T thời gian chờ buộc tính bằng giây; mặc định là 20 Tối đa là 60
-w phát hiện truy cập ghi (hành động riêng biệt bằng cách liệt kê)
-NS vô hiệu hóa liệt kê 'kết nối TCP'! "Việc liệt kê các kết nối TCP" có thể rất dài Sử dụng cờ -d để vô hiệu hóa nó
-NS cho phép gỡ lỗi
-NS hiển thị menu trợ giúp
DEMO
CHƯƠNG I : GIỚI THIỆU VỀ GIAO THỨC SNMP
SNMP (Simple Network Management Protocol) là giao thức ứng dụng hoạt động trên cổng 160, 161, 162 qua UDP, được sử dụng để quản lý và giám sát các thiết bị mạng Giao thức này cung cấp một ngôn ngữ chung cho các thiết bị mạng, cho phép chuyển tiếp thông tin quản lý trong môi trường đa nhà cung cấp (multi-vendor) và đơn nhà cung cấp (single-vendor) trong cả mạng cục bộ (LAN) và mạng diện rộng (WAN).
Hình 1.1, hình ảnh thể hiện khái quát giao thức SNMP
SNMP là một trong những giao thức phổ biến nhất, được hỗ trợ trên nhiều loại phần cứng khác nhau, bao gồm bộ định tuyến, bộ chuyển mạch, điểm truy cập không dây, máy in, máy quét và thiết bị IoT Ngoài việc giám sát phần cứng, SNMP cũng có khả năng theo dõi các dịch vụ như Dynamic Host Configuration Protocol (DHCP).
Giao thức cấu hình động (DHCP) cho phép các phần mềm agent trên thiết bị và dịch vụ giao tiếp với hệ thống quản lý mạng (NMS), hay còn gọi là trình quản lý SNMP, thông qua giao thức SNMP để chuyển tiếp thông tin trạng thái và thực hiện các thay đổi cấu hình.
Mặc dù SNMP có thể áp dụng cho mọi quy mô mạng, nhưng giá trị lớn nhất của nó thể hiện rõ trong các mạng rộng lớn Việc đăng nhập thủ công vào hàng trăm hoặc hàng nghìn node sẽ rất tốn thời gian và tài nguyên Sử dụng SNMP kết hợp với một Hệ thống Quản lý Mạng (NMS) cho phép quản trị viên theo dõi và quản lý tất cả các node từ một giao diện duy nhất, thường hỗ trợ các lệnh hàng loạt và cảnh báo tự động SNMP được mô tả trong IETF/RFC 1157 và các RFC liên quan khác.
1.2 Các phiên bản của giao thức SNMP
SNMP có các phiên bản: SNMPv1 (RFC 1155, RFC 1157), SNMPv2c(RFC 1901, RFC 1905, RFC
1906, RFC2578), SNMPv2u ( RFC 1909, RFC 1910) và SNMPv3 (RFC 1905, RFC 1906, RFC 3411, RFC
Phiên bản mới nhất của SNMP, tức SNMP version 3, đã tích cực cải thiện bảo mật thông qua việc xác thực và mã hóa tin nhắn, đồng thời bảo vệ các gói dữ liệu trong quá trình truyền tải.
1.3 Một số khái niệm cơ bản của giao thức SNMP
- Object: ỉ Mỗi thiết bị cú hỗ trợ SNMP cung cấp nhiều thụng tin khỏc nhau, mỗi thụng tin đú được gọi là object
Router chứa thông tin như tổng số card, tổng số cổng, tổng số bit đã truyền/nhận, tên router và trạng thái của các cổng Mỗi đối tượng (object) có một tên gọi riêng và một mã số OID (Object ID) để nhận diện Ví dụ, tên thiết bị được gọi là sysName với OID là 1.3.6.1.2.1.1.5 Mỗi đối tượng chỉ có một OID duy nhất nhưng có thể có nhiều tên gọi, do đó người ta sử dụng chỉ số sub-id để phân biệt Nếu thiết bị có hai tên, chúng sẽ được gọi là sysName.0 và sysName.1 với OID tương ứng là 1.3.6.1.2.1.1.5.0 và 1.3.6.1.2.1.1.5.1.
Một số object phổ biến được chuẩn hóa bằng OID, trong khi các object mới cần được mô tả OID theo yêu cầu Để truy xuất thông tin OID đã chuẩn hóa, ứng dụng SNMP phải gửi gói tin chứa OID đến SNMP agent, và agent sẽ phản hồi với thông tin tương ứng Quyền truy cập của mỗi object được phân loại thành READ_ONLY (chỉ đọc) hoặc READ_WRITE (đọc và thay đổi) Ví dụ, tên thiết bị (sysName) có quyền READ_WRITE vì có thể thay đổi, trong khi tổng số cổng thiết bị (ifNumber) là READ_ONLY và không thể sửa đổi.
1.4 Các thành phần của SNMP
Hình 1.2, Thể hiện các thành phần của SNMP
Có bốn thành phần chính trong mạng do SNMP quản lý:
SNMP Agent là chương trình hoạt động trên phần cứng hoặc dịch vụ được giám sát, có nhiệm vụ thu thập dữ liệu về các chỉ số như tình trạng sử dụng băng thông và dung lượng ổ đĩa Khi nhận được yêu cầu từ người quản lý SNMP, agent sẽ gửi thông tin này đến trình quản lý Ngoài ra, agent cũng có khả năng thông báo cho NMS về các lỗi xảy ra Hầu hết các thiết bị hiện nay đều được cài đặt sẵn SNMP Agent, chỉ cần bật và cấu hình là có thể sử dụng.
2 Các thiết bị và tài nguyên do SNMP quản lý: Đây là các node mà một agent chạy trên đó
Trình quản lý SNMP, hay còn gọi là NMS, là nền tảng phần mềm tập trung nhận thông tin từ các agent Nó chủ động yêu cầu các agent gửi cập nhật định kỳ qua SNMP Khả năng của người quản lý mạng trong việc sử dụng thông tin này phụ thuộc vào tính năng của NMS Mặc dù có một số trình quản lý SNMP miễn phí, nhưng chúng thường bị hạn chế về khả năng và số lượng node hỗ trợ Các nền tảng cấp doanh nghiệp cung cấp tính năng nâng cao cho mạng phức tạp, với khả năng hỗ trợ hàng chục nghìn node.
Cơ sở thông tin quản lý (MIB) là một tệp tin văn bản (.mib) chứa thông tin phân loại và mô tả các đối tượng của một thiết bị, cho phép truy vấn và kiểm soát thông qua SNMP Để theo dõi trạng thái của các thuộc tính, MIB cần được tải vào Hệ thống quản lý mạng (NMS) Mỗi mục trong MIB được gán một định danh đối tượng (OID), và các thiết bị chỉ có thể được quản lý qua SNMP khi cả ứng dụng SNMP manager và SNMP agent đều hỗ trợ cùng một MIB, có thể hỗ trợ nhiều MIB cùng lúc.
1.5 Cách hoạt dộng của giao thức SNMP
Hình 1.3 mô tả cách hoạt động SNMP
SNMP thực hiện nhiều chức năng quan trọng thông qua việc truyền tin push-and-pull giữa các thiết bị mạng và hệ thống quản lý Nó cho phép người dùng thực hiện các lệnh đọc hoặc ghi, như đặt lại mật khẩu và thay đổi cài đặt cấu hình Ngoài ra, SNMP cũng có khả năng báo cáo mức độ sử dụng băng thông, CPU và bộ nhớ, và một số trình quản lý SNMP có thể tự động gửi email hoặc thông báo tin nhắn văn bản cho người quản trị khi vượt quá ngưỡng đã được xác định trước.
SNMP thường hoạt động theo mô hình đồng bộ, trong đó giao tiếp được khởi tạo bởi người quản lý SNMP và tác nhân sẽ gửi phản hồi Các lệnh và thông báo trong giao thức này, thường được truyền qua UDP hoặc TCP/IP, được gọi là đơn vị dữ liệu giao thức (PDU).
1.5.1 Các Phương thức hoạt động của SNMP
SNMP hoạt động dựa trên 7 loại thông điệp
SNMPv2 PDU Mô tả tác dụng
Manager gửi GetRequest (chứa một hoặc nhiều OID) đến agent để lấy một hoặc nhiều giá trị của object trong MIB
Manager gửi GetNextRequest đến agent dùng để lấy giá trị của object nằm kế tiếp object được chỉ ra trong MIB
GetBulkRequest Manager gửi GetBulkRequest đến agent để lấy nhiều giá trị của nhiều object InformRequest Manager gửi InformRequest đến manager nhằm trao đổi thông tin với nhau SetRequest
The manager sends a SetRequest to the agent to establish the value for an object based on its OID Only objects with READ_WRITE permissions can have their values set.
Sau khi Agent nhận các thông điệp như GetRequest, GetNextRequest hoặc SetRequest, nó sẽ phản hồi bằng GetResponse Trong GetResponse, chứa OID của đối tượng được yêu cầu cùng với giá trị của đối tượng đó.
Trap là thông báo tự động từ agent gửi đến manager khi có sự kiện hoặc biến cố xảy ra, như khi cổng bị tắt hoặc người dùng đăng nhập thất bại Việc gửi trap phụ thuộc vào quy định của nhà sản xuất thiết bị agent SNMP request/reponse được sử dụng để quản lý, trong khi SNMP trap được dùng để cảnh báo Nguồn gửi trap gọi là Trap Sender, còn nơi nhận trap gọi là Trap Receiver, với mỗi Trap Sender có khả năng gửi nhiều trap đến nhiều Trap Receiver cùng lúc Trap được chia thành hai loại chính: generic trap (theo tiêu chuẩn SNMP) và specific trap (do nhà sản xuất định nghĩa) Có thể phân biệt loại trap qua mã số nguyên trong gói tin trap, với generic trap theo SNMPv1 bao gồm 7 loại: coldStart (0), warmStart (1), linkDown (2), linkUp (3), authenticationFailure (4), egpNeighborLoss (5), và enterpriseSpecific (6).
Bảng 1: các giao thức trong SNMP
10 Xem hình 1.3 sẽ cho t hiểu rõ hơn về cách hoạt dộng của SNMP
Hình 1.4 Mô tả phương thức hoạt động của SNMPv2
1.5.2 Cấu trúc gói tin SNMP Để hiểu rõ hơn về phương thức hoạt động của SNMP cần nắm được cấu trúc gói tin SNMP qua hình 1.5
Hình 1.5 Cấu trúc gói tin SNMP
