Ce este SNMP, componente ale SNMP Simple Network Management Protocol faciliteaz schimbul de informaii de management ntre echipamente

de reea. Este parte component din suita de protocoale TCP/IP i se afl la Layer 7 OSI, Application Layer. Este un protocol standardizat ce definete o metod de acces la informaii i parametrii de configuraie ale unui echipament din reea i un format de mesaje SNMPDU. Simple Network Management Protocol este folosit la scar larg i este standardul Internetului n ceea ce privete network management. Folosete ca protocol de transport n special UDP i suport la L3 protocoalele IP, IPX, Apple Talk. Se pot defini 3 componente cheie pentru o reea n care se poate face management prin SNMP: echipamentele din reea asupra crora se poate interveni prin SNMP, acestea pot fi: switch-uri, routere, servere, imprimante de reea. SNMP agent este un modul software ce rezid pe echipamentele ce pot fi administrate prin SNMP. Agentul colecteaz informaii despre echipamentul pe care se afl i le nregistreaz ntr-o baz de date local numit MIB (Management Information Base). Network Management System, calculator care prin intermediul unor aplicaii, cum este JDM, poate monitoriza i controla echipamentele pe care rezid agentul fcnd schimb de mesaje SNMP.

Management Information Base Fiecare sistem ntr-o reea, fie el switch, router, server, imprimant de reea, menine o baz de date cu informaii dinamice ce reflect caracteristici i resurse ale sistemului n cauz. Baza de date se numete Management Information Base. Intrrile din MIB se numesc obiecte. MIB-ul apare sub forma unui arbore, o ierarhie de obiecte, n care nivelul de top aparine diverselor organizaii de standardizare, iar nivelele inferioare sunt create de alte organizaii i de productori, care adaug obiecte specifice echipamentelor lor. Coleciile de obiecte sunt referite ca fiind MIB-uri. Nu toate obiectele din MIB-uri sunt accesabile prin SNMP. Fiecare obiect are un ObjectID, o valoare, un tip de dat pentru acea valoare care poate fi de tip simplu integer sau string sau de tip complex table, i o metod de acces. Metoda de acces poate fi read-only sau read-write, cele mai multe obiecte fiind read-only. Datele de tip table sunt necesare mai ales pe switch-uri, routere, pentru obiecte care pot avea mai mult de o valoare, de exemplu tabela de rutare, tabela ARP, obiectul ifOperStatus (cte o valoare pentru fiecare interfa), etc. Valorile multiple ale unui obiect se numesc instane ale acelui obiect i trebuie identificate atunci cnd vrem s accesm obiectul fiecare instan are un index, de exemplu pentru ifOperStatus este id-ul portului, care se adaug la sfritul OID-ului sub forma .index . Dac obiectul poate returna o singur valoare, se va pune .0 la sfritul OID-ului. Structura MIB

MIB-urile sunt structurate conform cu standardul SMI (Structure of Management Information), subset al ASN.1, standard ce descrie structurile de date n vederea reprezentrii, codrii, decodrii i transmiterii acelor date. Sunt 2 ramuri principale n arborele MIB, sub obiectul Internet, o ramur public (mgmt) i una privat (private). Mgmt conine obiecte, mib-uri general valabile pentru toate sistemele, n timp ce ramura private include mib-uri specifice productorilor. Acestea din urm vor aprea sub Enterprises/vendor_name:

Pentru switch-urile i routerele Nortel, arborele MIB are configuraia din imaginea alturat, unde n Enterprises nu apare Nortel, ci Synoptics i Rapid City, numele unor companii pe care Nortel Networks le-a achiziionat de-a lungul timpului.

Mesajele SNMP Accesul la echipament se face prin mesaje snmp: GetRequest mesaj trimis de NMS ctre agent pentru a cere valoarea unui obiect din MIB; GetResponse mesajul trimis de agent ctre NMS coninnd valoarea cerut; SetRequest de la NMS ctre agent, cu rolul de a seta, modifica o valoare.

Mesajele sunt generate pe NMS de ctre aplicaia de management i pot fi iniiate, n funcie de aplicaie folosind comenzi n linia de comand sau prin intermediul unei interfee grafice, cum este cazul JDM. Aplicaia de management prin SNMP de pe NMS poate fi specific unui productor (cum este Device Manager al Nortel) sau third-party, poate fi orice aplicaie capabil s lucreze cu mesajele SNMP i cu MIB-uri. Exemplu: Net-SNMP. SNMP folosete portul 161 pe agent pentru a primi mesajele, deci va fi portul destinaie n segmentul trimis de NMS, i portul 162 pe NMS pentru a primi snmp traps, un alt tip de mesaj SNMP, de notificare. Un SNMPDU are urmtoarele cmpuri: Version versiunea de SNMP; Community community string-ul; Request ID este trimis napoi la manager mpreun cu rspunsul pentru a ti la ce request se refer un response; Error code agentul plaseaz un cod de eroare n acest cmp dac are loc o eroare la procesarea request-ului (ex: se ncearc modificarea unei valori read-only); OID obiectul din MIB referit; Value valoarea care se vrea setat, dac mesajul este un SetRequest, o valoare nul dac mesajul este un GetRequest i valoarea returnat pentru OID, dac mesajul este un GetResponse. Community string Atunci cnd vrem s accesm un agent trebuie s specificm un community string pe NMS. Community-ul este o form simpl de autentificare. Se seteaz pe echipamentul care se vrea accesat prin snmp. Unui community i se asociaz o permisie de acces, care poate fi la fel ca la obiectele din MIB, de tip Read Only sau Read Write. Community-ul funcioneaz ca o parol, dar este o metod slab de securitate, fiind transmis peste reea n format clear text. Pentru acces cu drept de citire community-ul default este public iar pentru citire-scriere este private, la Nortel i la majoritatea productorilor. SNMP Traps SNMP Traps sunt mesaje SNMP de notificare pe care agentul le trimite la NMS atunci cnd are loc un anume eveniment. Trebuie configurat pe agent un trap receiver pentru a funciona, adic specificat ip-ul NMS-ului care s primeasc trap-urile. De asemenea se obinuiete specificarea unui community special pentru traps. Un NMS care se va conecta cu un alt community dect acesta va putea avea acces pe agent conform cu acel community, read only sau read write, dar nu va primi trap-uri. Pentru a primi trap-uri, MIB-urile cu obiectele pentru care se trimite trap trebuie ncrcate pe NMS, pentru a recunoate OID-ul din trap. Exemplu de trap-uri: un switch poate trimite un trap atunci cnd o interfa a sa a trecut n starea de down, cnd numrul de pachete primite sau transmise pe o interfa este prea mare sau prea mic, cnd o imprimant de reea nu mai are foi, etc. Tipuri generice de trap-uri SNMP: 3

Cold Start agentul iniializeaz tabelele de configuraie, cazul cnd se face power up; Warm Start agentul reiniializeaz tabelele, cazul cnd se face reset; LinkDown, per interface LinkUp, per interface authenticationFailure, cnd se acceseaz echipamentul cu un community invalid.

Pe lng trap-urile generice ne putem folosi de mesajele SNMP trap pentru a notifica NMS-ul de schimbri n valori pentru multe OID-uri, folosind alarme RMON care se seteaz pe agent. Cnd valoarea unui obiect depete un prag (threshold) maxim setat sau scade sub un prag minim setat, se trimite trap ctre trap receiver. Se configureaz alarma rmon pe un anumit OID folosind comanda rmon alarm, se specific pragurile, iar ca event (aciune) la atingerea sau depirea pragurilor se specific SNMP trap.

SNMPv2 SNMPv2-ul iniial a fost considerat prea complex ca securitate, folosea source and destination party-based security i nu a fost acceptat la scar larg. Versiunea care a fost preluat de cei mai muli productori i se gsete pe echipamente la pachet cu v1 i v3, este SNMPv2c (community-based security), deci fr securitate, dar cu unele mbuntiri fa de v1. SNMPv1 i v2 nu sunt interoperabile, dar pot coexista, mpreun cu SNMPv3, pe acelai echipament.

Dac nu tim cte instane are un obiect, nu sufixm cu nimic OID-ul i facem Get Next, care afieaz pe rnd cte o instan din obiect, sau Walk care trece prin toate, afindu-le. Un simplu GET pe un obiect cu instane multiple va da eroare.

 SNMPv3 Are o structur modular, permite adugri uoare la protocol, modificri, i este backwardcompatible cu versiunile anterioare de SNMP. Switch-urile Nortel suport autentificare (user authentication) cu MD5, SHA i criptare (privacy encryption) cu AES, DES i 3DES. Securitatea cu v3 nseamn: autentificare, pentru a permite doar surselor autorizate s genereze snmp requests, se realizeaz prin crearea de useri i parole, criptare, pentru a preveni citirea sau modificarea mesajelor snmp transmise prin reea, i controlul accesului la MIB-uri, pentru a limita accesul la anumite informaii. SNMPv3 nu folosete termenii de agent i manager, ci de entiti SNMPv3, fiecare entitate avnd un Engine i un modul software de funcii ce iniiaz sau rspund la SNMP requests. Engine-ul furnizeaz securitatea, controlul de acces, procesarea mesajelor. Fiecare entitate are un EngineID. Autentificare i criptare SNMPv3 folosete pentru autentificare i criptare modelul de securitate User-based Security Model (USM, RFC3414). Cum se realizeaz autentificarea cu MD5 sau SHA: parola fiecrui user se transform n cheie cu un algoritm de hashing care ine cont i de EngineID. Nivelele de securitate din cadrul USM sunt: noAuthNoPriv echivalentul securitii oferite de SNMPv1 i v2c; AuthNoPriv autentificare folosind MD5 sau SHA, fr criptare. La crearea user-ului se configureaz o parol pentru algoritmul de hash; AuthPriv autentificare cu MD5 sau SHA i criptare a mesajelor cu DES, AES sau 3DES. Controlul accesului SNMPv3 folosete un model de control al accesului numit VACM (View-based Access Control Model). Cu VACM se definesc view-uri i grupuri. Fiecare view definete poriunea din MIB care s fie accesibil, apoi view-ul este asociat cu useri prin intermediul grupurilor (unui grup de useri i se asociaz un view). Dezavantaje ale SNMPv3: schimbul de chei prin specificaiile USM este complicat i ineficient, se fac multe hashuri i se folosesc chei multiple derivate pentru a transmite o singur cheie peste reea, iar DES ca metod de criptare este slab. Pentru c structura SNMPv3 este flexibil i permite implementarea altor module de securitate, de autentificare i criptare dect cele din USM, providerii folosesc Diffie-Hillman sau Kerberos pentru key exchange i AES-128 pentru criptare. Dei a devenit standard n 2004 conform IETF, fcnd versiunile anterioare obsolete, SNMPv3 nu se impune nc n reele, principalul motiv fiind faptul c poate fi dificil de configurat n reele reale cu mai multe echipamente, depinde ns de aplicaia de management i dac echipamentele sunt de la productori diferii i nu permit copierea de configuraii de la unul la altul.