Traitement et authentification des messages SNMP

Editer en ligne

Toutes les demandes, les pièges et les réponses sont transmis sous forme de messages ASN.1-encodés.

Un message, tel que défini par la RFC 1157, possède la structure suivante:

PDU de la communauté de versions

Version est la version SNMP (actuellement la version 1), Communauté est le nom de communauté, et PDU est l'unité de données de protocole qui contient les données de requête, de réponse ou d'interruption CACHET. Une unité PDU est également codée selon les règles ASN.1.

Figure 1 : Les parties principales de l'architecture SNMPv1
Les parties principales de l'architecture SNMPv1

Cette illustration montre et illustre l'architecture SNMPv1. Le sous-agent DPI2, l'homologue smux, le gestionnaire CACHET et l'agent CACHET sont affichés. De plus, la façon dont ils communiquent entre eux s'affiche.

Le démon CACHET reçoit et transmet tous les messages de protocole CACHET via Protocole de datagramme utilisateur (UDP) de protocole de contrôle de transmission /Internet Protocol (TCP/IP). Les demandes sont acceptées sur le port 161 bien connu. Les alertes sont transmises aux hôtes répertoriés dans les entrées d'interruption du fichier /etc/snmpd.conf qui sont à l'écoute sur le port connu 162.

Lorsqu'une demande est reçue, l'adresse IP source et le nom de communauté sont vérifiés par rapport à une liste contenant les adresses IP, les noms de communauté, les droits d'accès et les vues spécifiés dans la communauté et les entrées de vue dans le fichier /etc/snmpd.conf. L'agent snmpd lit ce fichier au démarrage et sur une commande refresh ou un signal kill -1 . Si aucune entrée correspondante n'est trouvée, la demande est ignorée. Si une entrée correspondante est trouvée, l'accès est autorisé en fonction des droits d'accès spécifiés dans la communauté et des entrées de vue pour cette association d'adresse IP, de communauté et de nom de vue dans le fichier /etc/snmpd.conf. Le message et l'unité PDU doivent tous deux être codés conformément aux règles ASN.1.

Ce schéma d'authentification n'est pas destiné à assurer une sécurité complète. Si le démon CACHET est utilisé uniquement pour les demandes get et get-next, la sécurité peut ne pas être un problème. Si les demandes de définition sont autorisées, le privilège d'ensemble peut être restreint.

Pour plus d'informations, voir le fichier /etc/snmpd.conf dans Guide de référence des fichiers . Pour plus d'informations, voir Management Information Base (MIB) dans Communications Programming Concepts .