Mailinglist Archive: opensuse-es (758 mails)
| < Previous | Next > |
Re: [opensuse-es] Recoger o atrapar eventos snmp [Era: Sistemas de detección de intrusiones]
- From: "Carlos E. R." <robin.listas@xxxxxxxxxxxxxx>
- Date: Tue, 11 Mar 2008 13:11:01 +0100 (CET)
- Message-id: <alpine.LSU.1.00.0803111245240.6321@xxxxxxxxxxxxxxxx>
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Content-ID: <alpine.LSU.1.00.0803111250100.6321@xxxxxxxxxxxxxxxx>
El 2008-03-11 a las 11:58 +0100, miguel gmail escribió:
Me lo tengo a medio estudiar, no he terminado :-)
Traps, eso es lo que quiero capturar. ¿Con que daemon?
Lo tengo a medio leer.
Vale, la cuestión primera es conseguirlo.
Ah... no, pues de eso nada de nada.
¡JUASSSS! No, lo que hay es el manual en PDF, y punto. Hay lo que hay. Quizás, si ese fichero está contenido en el targz de los fuentes (lo tengo) pues igual.
El programa snmpwalk no acepta v2:
cer@nimrodel:~> snmpwalk -v2 router.valinor -c public
Invalid version specified after -v flag: 2
USAGE: snmpwalk [OPTIONS] AGENT [OID]
Version: 5.4.1
Web: http://www.net-snmp.org/
Email: net-snmp-coders@xxxxxxxxxxxxxxxxxxxxx
OPTIONS:
En el mio no.
Vale, pues las traps, como se llamen. La cuestión es verlas para saber como son y cuales envía my router. Si enviara por ahí el cambio de IP del proveedor, sería una gozada.
NAME
snmpwalk - retrieve a subtree of management values using SNMP
GETNEXT requests
Me has aclarado bastante. Me falta saber con que programa se capturan las traps que envíe el router. No puede ser una consola, no puedo tenerlo abierto todo el rato. Se trata de que el router envíe y el PC lo grabe en algún sitio, y cuando me apetezca lo miro. Debe ser un daemon.
...
En el targz no hay ningún fichero ".mib", pero hay un directorio "/userapps/opensource/net-snmp/mibs" que contiene un makefile y un montón de ficheros "ALGO-MIB.txt" - pero no se si son la descripción de lo que tiene el router, o una utilidad opensource que usaron para crear el suyo.
README.mibs:
About the MIBS distributed with Net-SNMP.
This directory contains a very basic set of MIB files, ready for use.
In addition, there are some scripts and table files to help you get a
fuller collection of MIB files.
smistrip - a script that can extract a MIB file from an RFC (or I-D)
mibfetch - a script that will fetch an RFC file from a mirror, and extract
the hosted MIB from it. It assumes that you have wget installed.
rfclist - a list of RFC numbers and corresponding MIB name(s)
ianalist - a list of files at the IANA server that holds IANA maintained
MIBs
Makefile.mib - rules for extracting current MIB files from RFC and IANA
files.
rfcmibs.diff - a set of required patches for MIB files extracted from RFCs
....
....
Esta gente publicó las fuentes, a palos, seguro, obligados, en un enlace muy dificil de encontrar, y sin documentación de como usarlas para generar el firmware de su router. Son las fuentes genéricas, ahí te las apañes.
Y sólo está la versión del que protestó, jazztel; no está la versión de tesa.
- -- Saludos
Carlos E.R.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.4-svn0 (GNU/Linux)
iD8DBQFH1nbXtTMYHG2NR9URAg7cAJ0d2n7KxX0SbomUwI5MCu3wrgkgAgCcCVKT
z/wx5d5X7cMwQRYvbTkqFEk=
=r286
-----END PGP SIGNATURE-----
Hash: SHA1
Content-ID: <alpine.LSU.1.00.0803111250100.6321@xxxxxxxxxxxxxxxx>
El 2008-03-11 a las 11:58 +0100, miguel gmail escribió:
Por partes, que dijo Jack el Destripador (no soy ningún experto en
SNMP, pero algo me quedó de un proyecto...)
Me lo tengo a medio estudiar, no he terminado :-)
SNMP usa dos puertos UDP. Según recuerdo, el 161 y el 162. El primero
sirve para pedirle contadores particulares, llamados SNMP messages
(por ejemplo, preguntarle por el uso de la memoria). El segundo sirve
para que el dispositivo envíe sus alarmas, llamadas SNMP traps (por
ejemplo, se ha llenado un disco duro).
Traps, eso es lo que quiero capturar. ¿Con que daemon?
Espera, la wiki lo explica mucho mejor que yo:
http://en.wikipedia.org/wiki/Simple_Network_Management_Protocol
Lo tengo a medio leer.
Lo mismo que el syslog del router: él me lo manda, y el syslog del linux
lo graba en un fichero, y yo lo leo.
El fichero de syslog está hecho para que un humanbeing lo pueda leer y
entender. Las traps y contadores de SNMP no mucho...
Vale, la cuestión primera es conseguirlo.
Ahora bien, si hago:
cer@nimrodel:~> snmpwalk -v1 router.valinor -c private
SNMPv2-MIB::sysDescr.0 = STRING: Broadcom Bcm963xx Software Version 2.20L.01
SNMPv2-MIB::sysObjectID.0 = OID: SNMPv2-SMI::enterprises.4413.2.10
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (260248020) 30 days,
2:54:40.20
SNMPv2-MIB::sysContact.0 = STRING: unknown
SNMPv2-MIB::sysName.0 = STRING: Broadcom
...
y mucho más. ¿Eso es el MIB?
Nope.
Eso son o los contadores o las traps (sospecho que los contadores).
En esencia, para poder entender lo que el router te envíe, o para tú
poder preguntarle al router por un contador determinado, necesitas
conocer la MIB, que no es más que un fichero de texto .mib que
describe en texto plano toooooooooodos los contadores y alarmas del
dispositivo en particular. Aqui tienes uno para un dispositivo linksys
(no tengo ni idea cual):
http://pages.videotron.com/flogator/SX41x1.mib
Ah... no, pues de eso nada de nada.
Lo que me parece que te está enviando el router son los contadores y/o
traps que le pides usando snmpwalk. Ahora bien, sospecho que snmpwalk
no lo sabe interpretar, precisamente porque no tiene la MIB. Tienes
que ver si le puedes cargar la MIB (y antes, claro está, encontrarla.
Pregunta al fabricante o mira en su web).
¡JUASSSS! No, lo que hay es el manual en PDF, y punto. Hay lo que hay. Quizás, si ese fichero está contenido en el targz de los fuentes (lo tengo) pues igual.
Por cierto que estás usando snmpwalk con el parametro v1, y el router
te está respondiendo con version 2 de snmp (v2 es la versión más
extendida y usada de snmp).
El programa snmpwalk no acepta v2:
cer@nimrodel:~> snmpwalk -v2 router.valinor -c public
Invalid version specified after -v flag: 2
USAGE: snmpwalk [OPTIONS] AGENT [OID]
Version: 5.4.1
Web: http://www.net-snmp.org/
Email: net-snmp-coders@xxxxxxxxxxxxxxxxxxxxx
OPTIONS:
No es lo que quiero: se lo he pedido yo al router, y yo quiero que me
envie sus cambios sin pedirselo. Como el syslog.
Uhm...
Lo que el dispositivo te va a enviar por defecto son sus traps
(alarmas), no sus contadores. No sé si se puede modificar el umbral a
partir del cual un contador es considerado una alarma.
En el mio no.
También parece que has hecho que el router te envíe los contadores con
la petición hecha a través de snmpwalk
Vale, pues las traps, como se llamen. La cuestión es verlas para saber como son y cuales envía my router. Si enviara por ahí el cambio de IP del proveedor, sería una gozada.
Para poder interpretar lo que envía el dispositivo, necesitas cargar
la MIB de turno en un programa llamado de forma genérica SNMP manager,
que no es más que una consola de monitorización (las típicas y
carísimas son el HP OpenView y el IBM Tivoli, pero las hay pequeñas y
gratuitas, mira las referencias de la wiki de snmp). snmpwalk parece
un snmp manager (pero no lo sé con seguridad).
NAME
snmpwalk - retrieve a subtree of management values using SNMP
GETNEXT requests
No se si me explico con claridad, o el mail es un batiburrillo de ideas...
Me has aclarado bastante. Me falta saber con que programa se capturan las traps que envíe el router. No puede ser una consola, no puedo tenerlo abierto todo el rato. Se trata de que el router envíe y el PC lo grabe en algún sitio, y cuando me apetezca lo miro. Debe ser un daemon.
...
En el targz no hay ningún fichero ".mib", pero hay un directorio "/userapps/opensource/net-snmp/mibs" que contiene un makefile y un montón de ficheros "ALGO-MIB.txt" - pero no se si son la descripción de lo que tiene el router, o una utilidad opensource que usaron para crear el suyo.
README.mibs:
About the MIBS distributed with Net-SNMP.
This directory contains a very basic set of MIB files, ready for use.
In addition, there are some scripts and table files to help you get a
fuller collection of MIB files.
smistrip - a script that can extract a MIB file from an RFC (or I-D)
mibfetch - a script that will fetch an RFC file from a mirror, and extract
the hosted MIB from it. It assumes that you have wget installed.
rfclist - a list of RFC numbers and corresponding MIB name(s)
ianalist - a list of files at the IANA server that holds IANA maintained
MIBs
Makefile.mib - rules for extracting current MIB files from RFC and IANA
files.
rfcmibs.diff - a set of required patches for MIB files extracted from RFCs
....
....
Esta gente publicó las fuentes, a palos, seguro, obligados, en un enlace muy dificil de encontrar, y sin documentación de como usarlas para generar el firmware de su router. Son las fuentes genéricas, ahí te las apañes.
Y sólo está la versión del que protestó, jazztel; no está la versión de tesa.
- -- Saludos
Carlos E.R.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.4-svn0 (GNU/Linux)
iD8DBQFH1nbXtTMYHG2NR9URAg7cAJ0d2n7KxX0SbomUwI5MCu3wrgkgAgCcCVKT
z/wx5d5X7cMwQRYvbTkqFEk=
=r286
-----END PGP SIGNATURE-----
| < Previous | Next > |