SNMP Trap Nedir? Anlık Ağ Uyarıları ve Yapılandırma

SNMP Trap Nedir?

SNMP trap nedir? SNMP, basit ağ yönetim protokolü anlamına gelen bir açılıma sahiptir. Yönlendiriciler, anahtarlar, sunucular, yazıcılar gibi farklı cihazlar için performansı izlemek, yönetmek ve varsa sorunları çözmek amacıyla kullanılan protokoldür. SNMP trap ise periyodik bir sorguyu beklemeden olası sorunları tespit ederek ağ yönetim sistemine ve yöneticilere gönderilen bildirim mesajlarıdır.

Sunucular, router’ler ve switch’ler gelen bildirimleri SNMP trap receiver sayesinde alır. Beklenmedik durumları anlık ve otomatik olarak iletmeyi sağlar. Gelen bildirim SNMP aracısı sayesinde merkezi sisteme UDP portu üzerinden uyarı gönderir. SNMP trap receiver bu mesajları dinler ve alır. Gelen veriyi yorumladıktan sonra IP, cihaz bilgisi, hata kodu gibi detayları anlaşılır metinlere ve grafiklere dönüştürür ve yöneticilere iletir.

SNMP trap example olarak bilinen yaygın hata örnekleri arasında:

• Chassis intrusion (sunucu kapağının açılması), PSU (güç kaynağı arızası), aşırı ısınma gibi donanım hataları,
• Kritik bir arayüzün ya da portun kapalı duruma gelmesi yani ağ kesintileri,
• Ağ bant genişliğinin ya da işlemci kullanımının belirlenen kotayı aşması yani performansa dair uyarılar,
• Yetkisiz bir IP adresinden cihaza başarısız giriş denemesi yani güvenlik ihlalleri gibi durumlar yer alır.

SNMP Trap Nedir? Ağ İzlemede Gerçek Zamanlı Uyarı Mekanizması

SNMP trap nasıl çalışır? SNMP trap portu kapanırsa, cihaz ısınırsa ya da yüksek CPU kullanımı söz konusu olursa ajan devreye girer. SNMP ajanı, yetkisiz erişim denemesi gibi şüpheli durumları anında tespit ederek trap mesajı gönderir. Normal şartlar altında polling adı verilen sorgulama işlemiyle sistemde herhangi bir arıza ya da şüpheli durum olup olmadığı anlaşılabilir. Ama bu sadece sisteme herhangi bir kontrol yapıldığında tehlikeleri anlamayı sağlar. Oysa SNMP trap, herhangi bir sorgu beklemediği için olası tehlikeleri önceden haber vermeyi sağlar. Ağ izlemede eş zamanlı uyarı mekanizması bulunduğu için tehdit anında sinyal gönderir.

SNMP Trap ile SNMP Polling Arasındaki Kritik Farklar

SNMP trap vs polling karşılaştırmasında iletişimi kimin başlattığı önemlidir. Sunucu, router ya da switch gibi cihazların güvenliğini kontrol etmek için kullanılan bu iki yöntemden polling, sadece sorgulama sırasında mevcut durumu anlamayı sağlar. SNMP trap ise hiçbir sorgulama beklemeksizin sistemde olası bir tehdit, arıza veya beklenmedik durum gördüğünde cihazların anında bildirim vermesini sağlayan mekanizmadır.

SNMP Polling yönteminde merkezi izleme sistemi, her 5 dakikada bir düzenli olarak cihazların durumunu ve performansını görmek için istek gönderir. SNMP trap yönteminde ise sistem herhangi bir arıza ya da beklenmedik durum gerçekleşene kadar sessiz kalır. Olağandışı bir durum olduğunda otomatik mesaj göndererek durumu bildirir.

SNMP Trap Nasıl Çalışır? Adım Adım Paket İletim Süreci

SNMP trap nedir ve nasıl çalışır? SNMP agent yazılımı, cihazın performansını ve durumunu eş zamanlı olarak izler. Önceden tanımlanmış bir eşik aşımı ya da kritik sistem hatası meydana geldiğinde tetiklenme gerçekleşir. İkinci aşamada uyarı bilgileri paketlenir. Meydana gelen hataya yönelik cihazın kimliği, hatanın OID değeri, zaman damgası, hata mesajı gibi parametreler, SNMP ajanı tarafından oluşturulan veri yapısına dönüştürülür. Ajan, oluşan paketi, UDP 162 numaralı port üzerinden önceden tanımlanmış olan ağ yönetim sisteminin IP adresine doğru gönderir. NMS sunucusuna iletilen trap paketi, sunucu üzerindeki ilgili modül tarafından çözümlendikten sonra veri tabanına işlenir. Yöneticilere, bu noktadan sonra bildirim gösterge paneli, e-posta ya da SMS yoluyla iletilir.

Zabbix SNMP trap kurulumu şu şekildedir:

Linux dağıtımına göre sisteminize apt veya yum/dnf kurmalısınız.

bash

sudo apt install snmp snmpd snmp-mibs-downloader net-snmp net-snmp-utils

Sonraki aşamada Zabbix sunucu yapılandırması dosyasını açın:

sudo nano /etc/zabbix/zabbix_server.conf

İlgili satırların güncellemesini yapın:

text

StartSNMPTrapper=1
SNMPTrapperFile=/tmp/zabbix_traps.tmp

Son aşamada Zabbix sunucu servisini tekrar başlatmanız gerekir:

bash

sudo systemctl restart zabbix-server

SNMP Trap Listener kurulumu için şu adımları takip edin:

Yapılandırma dosyasını açın:

sudo nano /etc/snmp/snmptrapd.conf

Dosyanın en sonuna gelen uyarı bildirimlerini Zabbix’in okuyacağı dosyaya aktarmayı sağlayan komutu eklemelisiniz:

text

traphandle default /usr/sbin/snmptrap_zabbix.sh

SNMP ile gelen paketleri işleyerek Zabbix’e uygun hale getirecek basit bir perl betiği oluşturun:

sudo nano /usr/sbin/snmptrap_zabbix.sh

Buna aşağıdaki basit betiği ekleyin:

#!/usr/bin/perl
use POSIX;

my $timetick = ;
my $host = ;
my $address = ;
my $trapoid = ;
my @varbinds;

while () {
push @varbinds, $_;
}

my $fd;
# ZABBIX TRAPPER DOSYASI YOLU
open($fd, “>>”, “/tmp/zabbix_traps.tmp”) or exit 1;
print $fd “$address $trapoid @varbinds\n”;
close($fd);

Dosyaya çalıştırma izni verecek şu komutu girin:

bash

sudo chmod +x /usr/sbin/snmptrap_zabbix.sh

snmptrapd servisini başlatın ve aktif hale getirin:

sudo systemctl enable snmptrapd
sudo systemctl start snmptrapd

Generic ve Specific Trap Türleri: Kapsamlı Karşılaştırma

Generic Trap türleri, 0-5 arası 6 ayrı numarayla kodlanır. Spesific trap türleri ise 0 – 2.147.483.647 arasında herhangi bir tam sayı ile eşleştirilir. Spesific trap türlerinde bu sayı eşleştirmesi sınırsız varyasyon için geçerlidir. Bir de üreticiye özgü spesific trap’ler vardır. Bunlar Cisco, Juniper, Huawei gibi çeşitli üreticilerin, kendi cihazlarına özel durumları tanımlamak için spesific trap türlerini tercih ederler.

Generic trap türleri şunlardan oluşur:

0 (coldStart): Cihazın yeniden başladığını ya da tamamen kapatılıp açıldığını bildiren trap türüdür.
1 (warmStart): Cihazın yapılandırma ayarlarını değiştirmeden yazılımını veya aracı yeniden başlattığını gösterir.
2 (linkDown): İzlenen ara yüzlerden en az birinin kapandığını ve bağlantının koptuğunu bildiren trap türüdür.
3 (linkUP): Ara yüzlerden birinin aktif hale geldiğini ve bağlantının kurulduğunu bildiren trap’tir.
4 (authenticationFailure): Cihaza geçersiz bir topluluk adıyla erişilmeye çalışıldığını belirten yetkilendirme hatası uyarısıdır.
5 (egpNeighborLoss): Bir EGP komşuluğunun koptuğunu bildiren mesajdır.

Generic trap ve spesific trap arasındaki farklar şunlardır:

Generic trap genel ağ olaylarını kapsarken spesific trap cihaza ya da üreticiye özel olayları kapsar.
Generic trap bağlantı kopması gibi daha az öneme sahip konuları bildirirken spesific trap CPU sıcaklığının kritik seviyeye ulaşması gibi daha kritik konuları kapsar.
Generic trap herhangi bir yazılım tarafından kolayca anlaşılabilirken, spesific trap üretici MIB dosyaları olmadan anlaşılamaz.
MIB dosyaları, Generic trap için gerekli olmazken spesific trap için gelen mesajı anlamlandırma açısından hayati öneme sahiptir. Cihaz ve insan ağ yöneticiler arasında bir nevi çevirmen görevi görürler.

SNMP v1, v2c ve v3 Trap Formatları: Güvenlik Açısından Derinlemesine Analiz

SNMP V1, en ilkel protokoldür. Sadece 32 bite kadar olan sayaçları destekler. Modern teknoloji için artık yetersizdir. Community string denilen düz metin yani şifresiz bir parolayla kimlik doğrulaması gerçekleştirilir. Büyük veri paketlerini almakta zorlandığı için verimlilik düşüktür.

SNMP v2 trap güvenlik açısından SNMP v1 ile prensip olarak aynıdır. En yaygın ara sürüm olarak kullanılır. Tek seferde çok daha fazla veri çekebilir. SNMP V1’e göre çok daha gelişmiştir. 64 bitlik sayaçları da destekler.

SNMP v3 trap, en gelişmiş sürümdür. Yetkisiz girişleri engellemek için kullanıcı bazlı erişim protokolü kullanır. Düz metin parola yerine MD5 veya SHA ile kimlik doğrulaması yapar, DES veya AES algoritmalarıyla veriyi şifreler ve iletir.