Définition

Ce composant (ou sonde) aura pour charge la découverte du réseau et de l'environnement. À la fois basé sur les protocoles ICMP, SNMP et le mécanisme de traceroute, son rôle est de découvrir les réseaux, les hôtes ainsi que les services disponibles sur ces derniers. À charge de l'utilisateur de définir avec lesquels il voudra avoir des alertes mais le rôle de ce composant doit se borner à récupérer les informations nécessaires et à les renvoyer au “core”.

• Nmap::Parser
• SNMP

• Récupération de la configuration du composant depuis le core (inclus le routeur final)
• En fonction du niveau de scan choisi, exécuter les tests suivants pour chaque réseau :
  • Simple scan ping (par défaut ICMP mais il sera possible d'utiliser UDP, ou TCP)
  • Scan pour découvrir les composants réseaux fournissant le service SNMP (scan des ports 161 en TCP/UDP)
  • Récupération via SNMP (pour les composants dont le port est disponible) des éléments suivants (ce service nécessite obligatoire l'activation du précédent)
    • Table de routage
    • Listes des services
  • Scan des ports via nmap (néanmoins, pour les composants dont la liste des services est disponible, ce test est ignoré)

Si l'option FOLLOW_NEW_NETWORKS est activé. à la fin de chaque boucle, si d'autres réseaux sont découverts via SNMP, on relance le processus de découverte.

D'autres tests sont égalements prévus dans un avenir proche :

• Scan RPC
• Scan des partages NetBIOS

Vu que le scan réseau est effectué par la commande nmap, on récupère quelques autres infos utiles comme la mac adresse, son vendeur, éventuellement des infos sur l'OS fingerprinting. Plusieurs régagles sont disponibles comme les différentes plages de port à scanner (notation nmap), et toute autre option nmap valide.

• URL du core (le serveur xmlrpc) incluant éventuellement un login/mot de passe

• Liste des hôtes et réseaux déjà connu
• Routeur final

• il serait interressant de se demander dans quelle mesure il ne serais pas mieux de faire en direct, avant tout le reste, un get snmp sur l'@ ip du device, pour choper le sysObjectId. Dans le cas d'un routeur ou d'un switch, on évite le scan de tout pleins de ports avec nmap, ce qui n'a pas vraiment d'interet pour se genre d'équipements. D'ailleurs, dans le cas ou le snmp est présent, il faut vraiment y regarder de plus pres, je pense que même pour une machine, si un agent ucdavis ou netsnmp est installé, il y a moyen de voir directement les ports ouverts sur la machine sans passer par la phase nmap (je vois nmap comme quelquechose de relativement intrusif, ce qui ne peux pas forcement plaire partout).

Retour