Le protocole SNMP (Simple Network Management Protocol) est un outil fondamental pour les administrateurs réseau. Il permet de surveiller, contrôler et diagnostiquer les équipements informatiques à distance, tout en offrant une vue d’ensemble sur la santé du réseau.
Qu’est-ce que le protocole SNMP ?
SNMP est un protocole de gestion réseau standardisé, conçu pour faciliter la communication entre les équipements réseau et les outils de supervision. Il repose sur une architecture simple mais efficace :
- Manager SNMP : logiciel qui interroge les équipements pour collecter des données ou modifier des paramètres.
- Agent SNMP : programme embarqué sur chaque équipement, chargé de répondre aux requêtes et d’envoyer des alertes.
- MIB (Management Information Base) : base de données hiérarchique contenant les objets que l’agent peut surveiller ou modifier, identifiés par des OID (Object Identifier).
Comment fonctionne le protocole SNMP.
SNMP utilise des commandes simples pour interagir avec les équipements :
| Type de commandes | Fonction |
| GET | Récupère la valeur d’un objet MIB. |
| SET | Modifie la valeur d’un objet. |
| GETNEXT | Parcourt les objets de la base MIB 1 par 1. |
| GETBULK | Récupère plusieurs objets en une seule requête. |
| TRAP | Notification envoyée par l’agent en cas d’événement. |
| INFORM | Variante de TRAP avec accusé de reception. |
Les échanges réseau se font via le UDP, sur les port 161 (Requêtes) et 162 (TRAPs).
Les Différentes versions de SNMP.
SNMP a évolué pour répondre aux besoins croissants en sécurité et en performance :
| Version | Sécurité | Particularités. |
| SNMPv1 | Faible (authentification par communauté en clair) | Simple, mais obsolète |
| SNMPv2c | Faible (toujours basé sur les communautés) | Ajout de GETBULK, meilleure performance |
| SNMPv3 | Forte (authentification, intégrité, chiffrement) | Gestion des utilisateurs, sécurité renforcée |
Aujourd’hui SNMPv3 est recommandé pour les environnements professionnels et critique.
Cas d’usage concrets.
Le protocole SNMP est utilisé dans de nombreux contextes :
- Surveillance réseau : suivi de la bande passante, état des interfaces, température, etc.
- Gestion des configurations : activation/désactivation de ports, modification de paramètres.
- Alertes proactives : réception de TRAPs en cas de panne ou d’événement critique.
- Inventaire automatisé : collecte des versions de firmware, modèles, adresses IP/MAC.
Limites et bonnes pratiques.
Limites du protocole SNMP :
Malgré sa simplicité et sa large adoption, SNMP présente plusieurs faiblesses techniques et sécuritaires :
1. Sécurité insuffisante dans SNMPv1/v2c
- Les chaînes de communauté (ex. « public », « private ») sont transmises en clair, ce qui les rend vulnérables aux attaques par interception.
- Pas de chiffrement ni d’authentification forte dans ces versions.
2. Pas d’accusé de réception pour les TRAPs
- Les messages TRAP envoyés par les agents ne garantissent pas que le manager les a bien reçus.
- Cela peut entraîner une perte d’alertes critiques.
3. Pas de mécanisme de vérification de disponibilité
- SNMP est asynchrone : les agents n’envoient des données que lorsqu’ils sont interrogés ou en cas d’événement.
- Il n’y a pas de ping ou de heartbeat intégré pour vérifier si un équipement est toujours en ligne.
4. Compatibilité limitée
- SNMP n’est pas compatible avec d’autres protocoles industriels comme Modbus ou DNP3.
- Des convertisseurs ou des passerelles sont nécessaires dans les environnements hétérogènes.
5. Risques liés à l’accès en écriture
- Si l’accès en écriture est activé, un attaquant peut modifier la configuration d’un équipement (changer une IP, désactiver une interface…).
Bonnes pratique d’utilisation du Protocole SNMP.
Pour tirer le meilleur parti de SNMP tout en limitant les risques, voici les recommandations clés :
Sécuriser les accès
- Utiliser SNMPv3 : cette version offre authentification (SHA, MD5) et chiffrement (AES, DES).
- Désactiver SNMPv1/v2c si possible, ou limiter leur usage à des segments isolés.
Renforcer les chaînes de communauté
- Éviter les chaînes par défaut comme « public » ou « private ».
- Utiliser des chaînes complexes :
- ≥ 20 caractères
- Mélange de majuscules, minuscules, chiffres et caractères spéciaux
- Pas de mots du dictionnaire ni de références à l’entreprise
Segmenter le réseau
- Restreindre l’accès SNMP aux IPs autorisées via des ACLs ou des firewalls.
- Isoler les équipements critiques dans des VLANs ou zones DMZ.
Contrôler les permissions
- Limiter l’accès en écriture aux cas strictement nécessaires.
- Préférer un accès en lecture seule pour la majorité des équipements.
Monitorer les logs et les TRAPs
- Mettre en place un système de journalisation des requêtes SNMP.
- Vérifier régulièrement que les TRAPs sont bien reçus et traités.
Mettre à jour les équipements
- Vérifier que les équipements supportent SNMPv3.
- Mettre à jour les firmwares pour corriger les vulnérabilités connues.
Sources :
Wikipedia – Simple Network Management Protocol :
Comprendre le fonctionnement du SNMP:
GeeksforGeeks – SNMP Protocol Overview :
Auvik – Comparaison SNMPv2 vs SNMPv3 :
Motadata – Avantages et limites de SNMP :