snmp

Eliceida Figuereo 20076741 Patricia Polanco 2008-6456 Earvin Garca 4/17/12 Enmanuel Toribio

PONTIFICIA Haga clic para UNIVERSIDAD modificar el CATLICA estilo de MADRE Y subttulo del MAESTRA patrn Asignatura: Ing. de Trfico Prof. Juan Prez

definicin
SNMP = Simple Network Management Protocol

Esun protocolo de la capa de aplicacin desarrolladoen 1988 con el objetivo de administrar los nodos(servidores, estaciones de trabajo, routers, switches, hubs, etc)en una red IP.
4/17/12

SNMPmaneja los datos de administracinde una red en forma devariables enun sistema que esta siendo administrado, las cuales que describenla configuracin del sistema.Luego, estas variablesse puede consultar(y en ocasionesmodificar)por el administrador de aplicaciones.

Actualmente existen tres versiones de SNMP: SNMP versin 1 (SNMPv1) y SNMP versin 2 (SNMPv2) y SNMP versin 3 (SNMPv3). Esta ltima posee cambios significativos con relacin a sus predecesores, sobre todo en aspectos de seguridad, sin embargo no ha sido mayoritariamente aceptado en la industria.

4/17/12

Componentes de la red

Administrador SNMP - sistema administrador de red(NMS) Agente SNMP Base de datos de informacin - Management Information Base (MIB) Dispositivos administrados por SNMP Protocolo de red.

4/17/12

AGENTES SNMP

4/17/12

ARQUITECTURA

4/17/12

4/17/12

El administrador SNMP supervisa y controla a los dispositivos administradosy proporciona la interfazentre eladministrador de la red humana yel sistema.

El agente SNMP es un mdulo de softwarede gestin de redque reside enun dispositivo administrado yproporciona la interfazentre el administrador yel dicho dispositivo fsico.

Dispositivosadministrados, a veces llamados elementos de red,pueden ser routersy servidoresde acceso, switches, hubs y puentes, oimpresoras.

4/17/12

Snmp mib

Base de informacin de la administracin (MIB) : Una base de datos relacional (organizada por objetos o variables y sus atributos o valores) que contiene informacin del estado y es actualizada por los agentes

4/17/12

Snmp mib

Una Base de Informacin de Administracin (Management Information Base, MIB)es una coleccin de informacin que est organizada jerrquicamente. ElMIB de SNMPse organiza enuna estructura de rbolcon las variables individuales.Una etiquetao identificadorobjeto (OID) se utiliza para distinguircada variablenicaen elMIB yen los mensajes SNMP.

4/17/12

Cada elementoSNMPmanejaobjetos especficosque tienen caractersticas especficas. Cada objeto tieneun identificador de objetonico (OID)que consistede nmeros separados porpuntos decimales(es decir,1.3.6.1.4.1.2682.1). Estosidentificadores de objetos, naturalmente,forman un rbol, como se muestraen la figura. La MIB asocia cada OIDcon una etiquetalegible y otros parmetrosrelacionados con el objeto.

El MIBsirve entonces comoun diccionario de datoso ellibro de cdigosque se utilizapara reunire 4/17/12 interpretarlos mensajes SNMP

PILA DE PROTOCOLOS EN SNMP

4/17/12

Mensajes snmp

Para realizar las operaciones bsicas de administracin anteriormente nombradas, el protocolo SNMP utiliza un servicio no orientado a la conexin (UDP) para enviar un pequeo grupo de mensajes (PDUs) entre los administradores y agentes.

Cuando se utiliza conTransport Layer Security or Datagram 4/17/12 Transport Layer los request y response se recibenen el

Mensajes snmp

GET, GET-NEXT, GET-RESPONSE, SET, y TRAP,

4/17/12

GetRequest

A travs de este mensaje el administrador (NMS) solicita al agente retornar el valor de un objeto de inters mediante su nombre. En respuesta el agente enva una un mensaje indicando el xito o fracaso de la peticin. Si la peticin fue correcta, el mensaje resultante tambin contendr el valor del objeto solicitado. Este mensaje puede ser usado para recoger un valor de un objeto, o varios valores de varios objetos, a travs del uso de listas.

SetRequest

Este tipo de mensaje es utilizado por el NMS para solicitar a un agente modificar valores de objetos. Para realizar esta operacin el NMS enva al agente una lista de nombres de objetos con sus correspondientes valores.
4/17/12

GetNextRequest

Este mensaje es usado para recorrer una tabla de objetos. Una vez que se ha usado un mensaje GetRequest para recoger el valor de un objeto, puede ser utilizado el mensaje GetNextRequest para repetir la operacin con el siguiente objeto de la tabla. Siempre el resultado de la operacin anterior ser utilizado para la nueva consulta. De esta forma un NMS puede recorrer una tabla de longitud variable hasta que haya extrado toda la informacin para cada fila existente.

GetResponse

Este mensaje es usado por el agente para responder un mensaje GetRequest, GetNextRequest, o SetRequest. En el campo "Identificador de Request" lleva el mismo identificador que el "request" al que est respondiendo.
4/17/12

Trap el agentepueda administrador de informarde manera SNMPde unevento

Permite que espontneaal "importante".

4/17/12

Ejemplo funcionamiento protocolo SNMP

G ET RED INTERN A

? ?

MI B

?
MI B

4/17/12

SNMP

1818

Ejemplo funcionamiento protocolo SNMP

!!
RED INTERN A

TR AP

4/17/12

SNMP

1919

Obtencin de informacin
ESTACIN ADMINISTRADOR A NODO ADMINISTRADO ? MIB

UDP 161

UDP 161

AGENT Consulta/Solicitud de variable: E

Software:

GET REQUEST GET NEXT REQUEST GET NEXT BULK (SNMP v.2)

NetFlow CiscoWorks HP OpenView

Respuesta a solicitud:

GET RESPONSE

4/17/12

SNMP

2020

Modificacin de informacin
ESTACIN ADMINISTRADOR A NODO ADMINISTRADO ! MIB

UDP 161

UDP 161

AGENT E Modificacin de valor de variable:

Software:

SET REQUEST SET NEXT REQUEST

NetFlow CiscoWorks HP OpenView

EJEMPLO: Se puede usar para resetear el

valor de los contadores, como el nmero de paquetes procesados.

4/17/12

SNMP

2121

Generacin de interrupciones
ESTACIN ADMINISTRADOR A NODO ADMINISTRADO AGENT E Un Agente informa de un evento: MIB

UDP 162

Software:

TRAP

NetFlow CiscoWorks HP OpenView

EJEMPLO: El Agente de un router informa de que un enlace ha cado.

4/17/12

SNMP

2222

Formato de los mensajes

Versin: Nmero de versin de protocolo que se est utilizando (por ejemplo 1 para SNMPv1)

Comunidad: Nombre o palabra clave que se usa para la autenticacin. Generalmente existe una comunidad de lectura llamada "public" y una comunidad de escritura llamada "private

SNMP PDU: Contenido de la unidad de datos del protocolo, el que depende de la operacin que se ejecute.

4/17/12

Estructura del campo snmp pdu

Identificador: Es un nmero utilizado por el NMS y el agente para enviar request y respuestas diferentes en forma simultnea; Estado e ndice de error: Slo se usan en los mensajes GetResponse (en los request siempre se utiliza cero). El campo "ndice de error" slo se usa cuando "estado de error" es distinto de 0 y posee el objetivo de proporcionar informacin adicional sobre la causa del problema. El campo "estado de error" puede tener los siguientes valores: 0: No hay error; 1: Demasiado grande; 2: No existe esa variable; 3: Valor incorrecto; 4: El valor es de solo lectura; 5: Error genrico. Enlazado de variables: Es una serie de nombres de variables con 4/17/12 sus valores correspondientes (codificados en ASN.1).

Ejemplo de un mensaje

Cuando unadministrador de SNMP deseaconocer el valor deun objeto/caracterstica, comopor ejemplo el estado deun punto de alarma,el nombre del sistema o eltiempo de actividad delelemento,ensamblarun paquete deGET, que incluyeel OIDpara cada objeto/caracterstica de inters. El elementorecibe la solicitud ymira buscacada OIDen sulibro de cdigos(MIB).Siel OIDse encuentra(el objetoes manejado por elelemento),unpaquete de respuestase ensamblay se enva conel valoractual del objeto/caracterstica incluido. Siel OIDno se encuentra,una respuesta de errores enviado, loque identifica elobjeto no administrado por l.

4/17/12

jerarqua

Unmensaje SNMPno se envapor s mismo.Se montaen elProtocolode datagramas de usuario(UDP),que a su vezest envuelto enel Protocolo Internet (IP). Estosse refieren comnmentecomo capasy se basan enun modelode cuatro capas(TCP/IP).

4/17/12

4/17/12

Snmp versin 1

SNMP versin1 (SNMPv1) es la implementacininicial delprotocolo SNMP.SNMPv1operaa travs de protocoloscomo: User Datagram Protocol (UDP), Internet Protocol (IP), OSI Connectionless Network Service (CLNS), AppleTalk Datagram-Delivery Protocol (DDP), and Novell Internet Packet Exchange (IPX).

Operaciones bsicas: GET, GETNEXT, RESPONSE, SET,TRAP.

4/17/12

Snmp versin 2

Aade dos nuevos comandos: GetBulkRequest, InformRequest

La operacintrapSNMPv2, tiene la misma funcinque la utilizada enSNMPv1,pero utilizaunformato de mensajediferentey est diseadopara sustituir ala trap deSNMPv1.

4/17/12

SNMP Versin 2

GetBulkRequest

Este mensaje es usado por un NMS que utiliza la versin 2 3 del protocolo SNMP tpicamente cuando es requerida una larga transmisin de datos, tal como la recuperacin de largas tablas. En este sentido es similar al mensaje GetNextRequest usado en la versin 1 del protocolo, sin embargo, GetBulkRequest es un mensaje que implica un mtodo mucho ms rpido y eficiente, ya que a travs de un solo mensaje es posible solicitar la totalidad de la tabla.

InformRequest

Un NMS que utiliza la versin 2 3 del protocolo SNMP transmite un mensaje de este tipo a otro NMS con las mismas caractersticas, para notificar informacin sobre objetos administrados.
4/17/12

Snmp versin 2

Para esta versin se conserva la estructura de los mensajes SET, INFORM, GET, GETNEXT, SET Y TRAP.

Para el mesaje GETBULK el formato de la PDU es el siguiente:

Non repeaters:especifica elnmero deinstancias de objetosen el campo "variable" quese debe recuperarms de una vezdesde el iniciode la solicitud.Este campo se utilizacuando algunos de las instanciasson objetosescalaresconuna sola variable.

Max repetitions: define el nmeromximo de veces que otras variablesaparte de las especificadaspor el campo de "Non repeaters" deben serrecuperadas. 4/17/12

Snmp versin 3

Aadeseguridady capacidad de control remotode configuracin paralas versiones anteriores.La arquitectura deSNMPv3introduce el User-based Security Model (USM) para seguridad de los mensajesy View-based Access Control Model (VACM) parael control de acceso.La arquitectura soportael uso simultneo deseguridad diferente, control de acceso,y los modelos deprocesamiento de mensajes.

Ms especficame:

La autenticaciny la privacidad Seguridad 4/17/12 Autorizaciny control de acceso

nombresde las entidades Las personasy las polticas Losnombres de usuario ygestin de claves Losdestinosde notificacin Configurable de forma remotaa travs deoperaciones deSNMP SNMPv3tambin introducela posibilidad de configurarde forma dinmicael agente SNMP mediantecomandos SNMPSETen contra de losobjetos MIB que representan ala configuracin del agente.Este apoyopermitela configuracin dinmicaadicin, supresiny modificacinde entradas de configuracinde forma local oremota.
4/17/12

Interoperabilidad de versiones

Tal como estespecificado,SNMPv2es incompatible conSNMPv1en dos reas claves:el formatos de mensajey las operacionesde protocolo.

Los mensajes SNMPv2utilizandiferentes encabezadosy formato de los mensajes del protocolo deunidad de datos(PDU) que los deSNMPv1.

SNMPv2tambin utilizadosoperaciones de protocoloque no estn especificadosen elSNMPv1.Por otra parte.

4/17/12

Solucin 1: agente proxy

Un agente deSNMPv2puede actuar comoun agente proxy y actuar en los dispositivos administrados de SNMPv1 de la siguiente manera:

1.

El NMSSNMPv2intenta unagenteSNMPv1. El NMSenva proxySNMPv1. el

enviar SNMP

un

comando

2.

mensaje

parael

agente

3.

El agenteproxy reenvalos mensajes Get, GetNext,y SET alagente SNMPv1sin cambios. Los MensajesGetBulkson convertidos porel agenteproxy amensajesGetNext y luegose envanal agenteSNMPv1.

4.

4/17/12

Solucin 2: red bilinge

Bilingual SNMPv2 network-management systems soportan ambas versiones (1 y 2) de SNMP. Para hacer esto el sistema debe contactar a los agentes. El NMS examinala informacin almacenada enuna base de datoslocal para determinarsi elagente es compatible conSNMPv1 oSNMPv2.Dependiendola informacin enla base de datos, elNMS se comunica conel agente mediantela versin adecuada deSNMP.

4/17/12

Implicaciones de seguridad

SNMP versiones1 y2estn sujetos ala deteccin de paquetes por lo obvio del campo comunidadpara el trfico de red,porque no implementa encriptacin. Todas las versiones deSNMPestn sujetos ala fuerza bruta yataques de diccionarioparaadivinarlas cadenas de comunidad, las cadenasde autenticacin, las clavesde autenticacin,cifrado decadenas, olas claves de cifrado,porque noponer en prcticaun challenge-response handshake.

Aunque SNMPtrabaja sobre TCPy otros protocolos,se usa ms comnmentea travs de UDPquees no orientado a conexin yvulnerables alos ataques de suplantacinde IP.Por lo tanto,todas las versionesestn sujetos apasar porlas listasde acceso a dispositivosque podran haberllevado a cabo pararestringir el accesoSNMP, 4/17/12 aunqueotros mecanismosde seguridad

POR Qu SIMPLE?

Por el pequeo nmero decomandos que se utilizan.

El otro factoresla dependencia del protocolo SNMPenunenlace de comunicacinsin supervisino sin conexin. Esta simplicidadha llevado directamente ala utilizacin generalizada de SNMP.

Se considera"slido" a causa dela independencia de los administradores SNMPy los agentes,por ejemplo,si un agenteSNMPfalla, eladministrador SNMPva a seguir funcionando,o viceversa.

4/17/12

Aplicacin: prTG

PRTG Network Monitor mide el trfico de red y nos proporciona resultados detallados en tablas y grficos. As podemos verificar el ancho de banda y analizar su uso basado en varios parmetros, como, por ejemplo, direcciones IP, nmero de puerto, protocolos, etc. Para ello, PRTG usa SNMP.

4/17/12

MRTG: Multi Router Traffic Grapher (1/2)

Multi Router Traffic Grapher (MRTG) es una herramienta para monitorizacin de trfico en las redes y sus enlaces tanto internos como externos. MRTG genera pginas HTML con imgenes PNG, que ofrecen una visin en tiempo real del trfico. MRTG est escrito en el Perl y C y trabaja bajo UNIX y el NT.

4/17/12

SNMP

4040

MRTG: Multi Router Traffic Grapher (2/2)

MRTG es un script en Perl que utiliza SNMP para leer cualquiera de los atributos de los objetos (contadores) de los routers y un programa rpido en C que procesa la informacin para visualizarla grficamente en tiempo real. Adems, MRTG guarda la informacin por semanas, meses y aos, monitorizacin hasta 200 enlaces. MRTG se utiliza generalmente para monitorizar la carga del sistema, sesiones establecidas, trfico, errores, etc

4/17/12

SNMP

4141

EJEMPLO DE MRTG: Esta pgina muestra el numero de lneas ocupadas en el servidor de acceso telefnico de la Universitat: annexy. Annexy dispone de un primario RDSI (30B+D), con 30 lneas disponibles para conexiones va modem Las estadsticas se ejecuten cada 5 minutos.

Numero de lineas ocupadas de servidores Mximo esperado: annexy

Sistema:

annexy.uv.es 30

`Yearly' Graph (1 Day Average)

4/17/12

BLUE ### Lneas ocupadas en annexy

en annexy VIOLET### Mximo de lneas ocupadas

SNMP

4242

Instalacin de MRTG
MRTG es de libre distribucin y debe ser utilizado bajo los trminos de GNU General Public License. Para la descarga de la aplicacin: http://www.mrtg.org/

4/17/12

SNMP

4343

Aplicacin SNMP: Netflow

Network Planning Sonda RMON

Accounting/Billing

NetFlow Accounting:

NetFlow FlowCollector:

Recoleccin de datos Filtrado Agregacin Almacenamiento de datos

Conmutacin Exportacin Agragacin

Network Data Analyzer:

Presentacin de los datos NFC Control y Configuracin 4444

4/17/12

SNMP

Aplicacin SNMP: CiscoWorks 2000

Permiten ver la configuracin Muestran la topologa de la red Facilita la obtencin de reports Permite actualizar IOS y descubrir nuevas versiones.

Extensiones:

Cisco View. PIX Management. IDS Management. Router Management. Security Monitor Center
4545

Wireless LAN solution SNMP Engine 4/17/12

Aplicacin SNMP: otros

4/17/12

SNMP

4646

Gracias!
4/17/12