Documente Academic
Documente Profesional
Documente Cultură
Eliceida Figuereo 20076741 Patricia Polanco 2008-6456 Earvin Garca 4/17/12 Enmanuel Toribio
PONTIFICIA Haga clic para UNIVERSIDAD modificar el CATLICA estilo de MADRE Y subttulo del MAESTRA patrn Asignatura: Ing. de Trfico Prof. Juan Prez
definicin
SNMP = Simple Network Management Protocol
Esun protocolo de la capa de aplicacin desarrolladoen 1988 con el objetivo de administrar los nodos(servidores, estaciones de trabajo, routers, switches, hubs, etc)en una red IP.
4/17/12
SNMPmaneja los datos de administracinde una red en forma devariables enun sistema que esta siendo administrado, las cuales que describenla configuracin del sistema.Luego, estas variablesse puede consultar(y en ocasionesmodificar)por el administrador de aplicaciones.
Actualmente existen tres versiones de SNMP: SNMP versin 1 (SNMPv1) y SNMP versin 2 (SNMPv2) y SNMP versin 3 (SNMPv3). Esta ltima posee cambios significativos con relacin a sus predecesores, sobre todo en aspectos de seguridad, sin embargo no ha sido mayoritariamente aceptado en la industria.
4/17/12
Componentes de la red
Administrador SNMP - sistema administrador de red(NMS) Agente SNMP Base de datos de informacin - Management Information Base (MIB) Dispositivos administrados por SNMP Protocolo de red.
4/17/12
AGENTES SNMP
4/17/12
ARQUITECTURA
4/17/12
4/17/12
El administrador SNMP supervisa y controla a los dispositivos administradosy proporciona la interfazentre eladministrador de la red humana yel sistema.
El agente SNMP es un mdulo de softwarede gestin de redque reside enun dispositivo administrado yproporciona la interfazentre el administrador yel dicho dispositivo fsico.
Dispositivosadministrados, a veces llamados elementos de red,pueden ser routersy servidoresde acceso, switches, hubs y puentes, oimpresoras.
4/17/12
Snmp mib
Base de informacin de la administracin (MIB) : Una base de datos relacional (organizada por objetos o variables y sus atributos o valores) que contiene informacin del estado y es actualizada por los agentes
4/17/12
Snmp mib
Una Base de Informacin de Administracin (Management Information Base, MIB)es una coleccin de informacin que est organizada jerrquicamente. ElMIB de SNMPse organiza enuna estructura de rbolcon las variables individuales.Una etiquetao identificadorobjeto (OID) se utiliza para distinguircada variablenicaen elMIB yen los mensajes SNMP.
4/17/12
Cada elementoSNMPmanejaobjetos especficosque tienen caractersticas especficas. Cada objeto tieneun identificador de objetonico (OID)que consistede nmeros separados porpuntos decimales(es decir,1.3.6.1.4.1.2682.1). Estosidentificadores de objetos, naturalmente,forman un rbol, como se muestraen la figura. La MIB asocia cada OIDcon una etiquetalegible y otros parmetrosrelacionados con el objeto.
El MIBsirve entonces comoun diccionario de datoso ellibro de cdigosque se utilizapara reunire 4/17/12 interpretarlos mensajes SNMP
4/17/12
Mensajes snmp
Para realizar las operaciones bsicas de administracin anteriormente nombradas, el protocolo SNMP utiliza un servicio no orientado a la conexin (UDP) para enviar un pequeo grupo de mensajes (PDUs) entre los administradores y agentes.
Cuando se utiliza conTransport Layer Security or Datagram 4/17/12 Transport Layer los request y response se recibenen el
Mensajes snmp
4/17/12
GetRequest
A travs de este mensaje el administrador (NMS) solicita al agente retornar el valor de un objeto de inters mediante su nombre. En respuesta el agente enva una un mensaje indicando el xito o fracaso de la peticin. Si la peticin fue correcta, el mensaje resultante tambin contendr el valor del objeto solicitado. Este mensaje puede ser usado para recoger un valor de un objeto, o varios valores de varios objetos, a travs del uso de listas.
SetRequest
Este tipo de mensaje es utilizado por el NMS para solicitar a un agente modificar valores de objetos. Para realizar esta operacin el NMS enva al agente una lista de nombres de objetos con sus correspondientes valores.
4/17/12
GetNextRequest
Este mensaje es usado para recorrer una tabla de objetos. Una vez que se ha usado un mensaje GetRequest para recoger el valor de un objeto, puede ser utilizado el mensaje GetNextRequest para repetir la operacin con el siguiente objeto de la tabla. Siempre el resultado de la operacin anterior ser utilizado para la nueva consulta. De esta forma un NMS puede recorrer una tabla de longitud variable hasta que haya extrado toda la informacin para cada fila existente.
GetResponse
Este mensaje es usado por el agente para responder un mensaje GetRequest, GetNextRequest, o SetRequest. En el campo "Identificador de Request" lleva el mismo identificador que el "request" al que est respondiendo.
4/17/12
4/17/12
G ET RED INTERN A
? ?
MI B
?
MI B
4/17/12
SNMP
1818
!!
RED INTERN A
TR AP
4/17/12
SNMP
1919
Obtencin de informacin
ESTACIN ADMINISTRADOR A NODO ADMINISTRADO ? MIB
UDP 161
UDP 161
Software:
GET REQUEST GET NEXT REQUEST GET NEXT BULK (SNMP v.2)
Respuesta a solicitud:
GET RESPONSE
4/17/12
SNMP
2020
Modificacin de informacin
ESTACIN ADMINISTRADOR A NODO ADMINISTRADO ! MIB
UDP 161
UDP 161
Software:
4/17/12
SNMP
2121
Generacin de interrupciones
ESTACIN ADMINISTRADOR A NODO ADMINISTRADO AGENT E Un Agente informa de un evento: MIB
UDP 162
Software:
TRAP
4/17/12
SNMP
2222
Versin: Nmero de versin de protocolo que se est utilizando (por ejemplo 1 para SNMPv1)
Comunidad: Nombre o palabra clave que se usa para la autenticacin. Generalmente existe una comunidad de lectura llamada "public" y una comunidad de escritura llamada "private
SNMP PDU: Contenido de la unidad de datos del protocolo, el que depende de la operacin que se ejecute.
4/17/12
Identificador: Es un nmero utilizado por el NMS y el agente para enviar request y respuestas diferentes en forma simultnea; Estado e ndice de error: Slo se usan en los mensajes GetResponse (en los request siempre se utiliza cero). El campo "ndice de error" slo se usa cuando "estado de error" es distinto de 0 y posee el objetivo de proporcionar informacin adicional sobre la causa del problema. El campo "estado de error" puede tener los siguientes valores: 0: No hay error; 1: Demasiado grande; 2: No existe esa variable; 3: Valor incorrecto; 4: El valor es de solo lectura; 5: Error genrico. Enlazado de variables: Es una serie de nombres de variables con 4/17/12 sus valores correspondientes (codificados en ASN.1).
Ejemplo de un mensaje
Cuando unadministrador de SNMP deseaconocer el valor deun objeto/caracterstica, comopor ejemplo el estado deun punto de alarma,el nombre del sistema o eltiempo de actividad delelemento,ensamblarun paquete deGET, que incluyeel OIDpara cada objeto/caracterstica de inters. El elementorecibe la solicitud ymira buscacada OIDen sulibro de cdigos(MIB).Siel OIDse encuentra(el objetoes manejado por elelemento),unpaquete de respuestase ensamblay se enva conel valoractual del objeto/caracterstica incluido. Siel OIDno se encuentra,una respuesta de errores enviado, loque identifica elobjeto no administrado por l.
4/17/12
jerarqua
Unmensaje SNMPno se envapor s mismo.Se montaen elProtocolode datagramas de usuario(UDP),que a su vezest envuelto enel Protocolo Internet (IP). Estosse refieren comnmentecomo capasy se basan enun modelode cuatro capas(TCP/IP).
4/17/12
4/17/12
Snmp versin 1
SNMP versin1 (SNMPv1) es la implementacininicial delprotocolo SNMP.SNMPv1operaa travs de protocoloscomo: User Datagram Protocol (UDP), Internet Protocol (IP), OSI Connectionless Network Service (CLNS), AppleTalk Datagram-Delivery Protocol (DDP), and Novell Internet Packet Exchange (IPX).
4/17/12
Snmp versin 2
La operacintrapSNMPv2, tiene la misma funcinque la utilizada enSNMPv1,pero utilizaunformato de mensajediferentey est diseadopara sustituir ala trap deSNMPv1.
4/17/12
SNMP Versin 2
GetBulkRequest
Este mensaje es usado por un NMS que utiliza la versin 2 3 del protocolo SNMP tpicamente cuando es requerida una larga transmisin de datos, tal como la recuperacin de largas tablas. En este sentido es similar al mensaje GetNextRequest usado en la versin 1 del protocolo, sin embargo, GetBulkRequest es un mensaje que implica un mtodo mucho ms rpido y eficiente, ya que a travs de un solo mensaje es posible solicitar la totalidad de la tabla.
InformRequest
Un NMS que utiliza la versin 2 3 del protocolo SNMP transmite un mensaje de este tipo a otro NMS con las mismas caractersticas, para notificar informacin sobre objetos administrados.
4/17/12
Snmp versin 2
Para esta versin se conserva la estructura de los mensajes SET, INFORM, GET, GETNEXT, SET Y TRAP.
Non repeaters:especifica elnmero deinstancias de objetosen el campo "variable" quese debe recuperarms de una vezdesde el iniciode la solicitud.Este campo se utilizacuando algunos de las instanciasson objetosescalaresconuna sola variable.
Max repetitions: define el nmeromximo de veces que otras variablesaparte de las especificadaspor el campo de "Non repeaters" deben serrecuperadas. 4/17/12
Snmp versin 3
Aadeseguridady capacidad de control remotode configuracin paralas versiones anteriores.La arquitectura deSNMPv3introduce el User-based Security Model (USM) para seguridad de los mensajesy View-based Access Control Model (VACM) parael control de acceso.La arquitectura soportael uso simultneo deseguridad diferente, control de acceso,y los modelos deprocesamiento de mensajes.
Ms especficame:
nombresde las entidades Las personasy las polticas Losnombres de usuario ygestin de claves Losdestinosde notificacin Configurable de forma remotaa travs deoperaciones deSNMP SNMPv3tambin introducela posibilidad de configurarde forma dinmicael agente SNMP mediantecomandos SNMPSETen contra de losobjetos MIB que representan ala configuracin del agente.Este apoyopermitela configuracin dinmicaadicin, supresiny modificacinde entradas de configuracinde forma local oremota.
4/17/12
Interoperabilidad de versiones
Tal como estespecificado,SNMPv2es incompatible conSNMPv1en dos reas claves:el formatos de mensajey las operacionesde protocolo.
Los mensajes SNMPv2utilizandiferentes encabezadosy formato de los mensajes del protocolo deunidad de datos(PDU) que los deSNMPv1.
4/17/12
Un agente deSNMPv2puede actuar comoun agente proxy y actuar en los dispositivos administrados de SNMPv1 de la siguiente manera:
1.
enviar SNMP
un
comando
2.
mensaje
parael
agente
3.
El agenteproxy reenvalos mensajes Get, GetNext,y SET alagente SNMPv1sin cambios. Los MensajesGetBulkson convertidos porel agenteproxy amensajesGetNext y luegose envanal agenteSNMPv1.
4.
4/17/12
Bilingual SNMPv2 network-management systems soportan ambas versiones (1 y 2) de SNMP. Para hacer esto el sistema debe contactar a los agentes. El NMS examinala informacin almacenada enuna base de datoslocal para determinarsi elagente es compatible conSNMPv1 oSNMPv2.Dependiendola informacin enla base de datos, elNMS se comunica conel agente mediantela versin adecuada deSNMP.
4/17/12
Implicaciones de seguridad
SNMP versiones1 y2estn sujetos ala deteccin de paquetes por lo obvio del campo comunidadpara el trfico de red,porque no implementa encriptacin. Todas las versiones deSNMPestn sujetos ala fuerza bruta yataques de diccionarioparaadivinarlas cadenas de comunidad, las cadenasde autenticacin, las clavesde autenticacin,cifrado decadenas, olas claves de cifrado,porque noponer en prcticaun challenge-response handshake.
Aunque SNMPtrabaja sobre TCPy otros protocolos,se usa ms comnmentea travs de UDPquees no orientado a conexin yvulnerables alos ataques de suplantacinde IP.Por lo tanto,todas las versionesestn sujetos apasar porlas listasde acceso a dispositivosque podran haberllevado a cabo pararestringir el accesoSNMP, 4/17/12 aunqueotros mecanismosde seguridad
POR Qu SIMPLE?
El otro factoresla dependencia del protocolo SNMPenunenlace de comunicacinsin supervisino sin conexin. Esta simplicidadha llevado directamente ala utilizacin generalizada de SNMP.
Se considera"slido" a causa dela independencia de los administradores SNMPy los agentes,por ejemplo,si un agenteSNMPfalla, eladministrador SNMPva a seguir funcionando,o viceversa.
4/17/12
Aplicacin: prTG
PRTG Network Monitor mide el trfico de red y nos proporciona resultados detallados en tablas y grficos. As podemos verificar el ancho de banda y analizar su uso basado en varios parmetros, como, por ejemplo, direcciones IP, nmero de puerto, protocolos, etc. Para ello, PRTG usa SNMP.
4/17/12
4/17/12
SNMP
4040
4/17/12
SNMP
4141
EJEMPLO DE MRTG: Esta pgina muestra el numero de lneas ocupadas en el servidor de acceso telefnico de la Universitat: annexy. Annexy dispone de un primario RDSI (30B+D), con 30 lneas disponibles para conexiones va modem Las estadsticas se ejecuten cada 5 minutos.
Sistema:
annexy.uv.es 30
4/17/12
SNMP
4242
Instalacin de MRTG
MRTG es de libre distribucin y debe ser utilizado bajo los trminos de GNU General Public License. Para la descarga de la aplicacin: http://www.mrtg.org/
4/17/12
SNMP
4343
Accounting/Billing
NetFlow Accounting:
NetFlow FlowCollector:
4/17/12
SNMP
Permiten ver la configuracin Muestran la topologa de la red Facilita la obtencin de reports Permite actualizar IOS y descubrir nuevas versiones.
Extensiones:
Cisco View. PIX Management. IDS Management. Router Management. Security Monitor Center
4545
4/17/12
SNMP
4646
Gracias!
4/17/12