Está en la página 1de 340

1/340

Sistema de Gestin mediante SNMP


Parte 1
Los protocolos TCP/IP
El surgimiento de SNMP (Simple Network Management Protocol)
Componentes bsicos (agente, gestor, MIB)
Tipos de mensajes (Get, Set, GetNext, Response, Trap)
Formato de los mensajes
Autenticacin y nombre de la comunidad
Estructura de la MIB y el OID
Estructura de la informacin de gestin (SMI) y sntaxis ASN
Grupos de variables MIB pblicas y privadas
Agentes SNMP y MIB para Windows y Linux
2/340
Sistema de Gestin mediante SNMP
Parte 2
Limitaciones de la primera versin de SNMP
Evolucin de SNMPv1 hacia SNMPv2
Nuevos tipos de datos y de mensajes en SNMPv2
GetBulkRequest e InformRequest
Seguridad en SNMPv2
Caractersticas y arquitectura de SNMPv3
Modelos de seguridad USM y VACM
Coexistencia de SNMP v1, v2 y v3 y uso de Proxy
3/340
Los protocolos TCP/IP
En el ao 1968, en los Estados Unidos la organizacin
ARPA (Advanced Research Projects Agency) del DoD
(Department of Defense) dio inicio al desarrollo de
una red de computadoras conocida como ARPANET.
Posteriormente a comienzos de la dcada de los 70,
DARPA (Defense Advanced Research Project Agency)
suplant a la ARPA, y condujo los trabajos para
desarrollar un protocolo para las comunicaciones de
ARPANET, basado en Unix.
El resultado de ese esfuerzo fue el protocolo TCP/IP
(Transmission Control Protocol/Internet Protocol).
4/340
A mediados de la dcada de los 70, entr en
funcionamiento Internet.
Esta red, originalmente basada en Unix, adopt al
protocolo TCP/IP para sus comunicaciones.
Hoy en da TCP/IP es el protocolo ms utilizado a nivel
mundial, debido a la extensa cobertura de Internet,
siendo el protocolo estndar para las comunicaciones
en ambiente corporativo.
5/340
Originalmente TCP/IP representaba dos protocolos, pero
actualmente el nombre se utiliza para designar un
conjunto de protocolos que cumplen diferentes labores
dentro de un modelo de capas similar al modelo OSI.
Entre los protocolos ms conocidos de este conjunto,
adems de TCP e IP, se encuentran:
FTP (protocolo de transferencia de archivos).
SMTP (protocolo de correo electrnico)
UDP (al igual que TCP es un protocolo de transporte)
ICMP (protocolo de intercambio de mensajes de control)
SNMP (protocolo de gestin)
6/340
El modelo TCP/IP presenta cuatro capas, desglosadas
de la siguiente forma:
Protocolo de aplicacin, tal como Web, correo
electrnico o gestin de redes: HTTP, SMTP,
SNMP, FTP, etc.
Protocolo proveedor de los servicios utilizados
por los protocolos de aplicacin (p.e. transporte):
TCP, UDP e ICMP.
Protocolo proveedor de los mecanismos bsicos
para llevar los datagramas a su destino: IP, ARP,
RARP, etc.
Protocolos necesarios para utilizar un medio
fsico especfico: Ethernet, Token Ring, PPP, etc.
7/340
La figura ilustra el modelo del stack TCP/IP, donde en
resaltado se muestran algunos de los protocolos.
8/340
FTP
REXEC
RSH
NFS
RPC
SMTP
POP
ARP
RARP
TELNET
ICMP UDP TCP
IP
ETHERNET IEEE 802 PPP
RIP SNMP PING
Varios protocolos del stack TCP/IP
9/340
Puertos, direcciones IP y direcciones LAN
en el stack TCP/IP
10/340
Encapsulamiento de protocolos en TCP/IP
11/340
Ejemplo: encapsulamiento de una peticin HTTP
Ethernet
12/340
La trama Ethernet lleva encapsulados los dems protocolos
uno dentro del otro, como las muecas rusas (matriuska)
13/340
14/340
Para saber ms sobre protocolos de redes
Modelo de Referencia OSI de 7 Capas
Protocolos TCP/IP
Internetworking
15/340
TCP/IP Architecture, Protocols
and Implementation with IPv6 and
IP Security.
McGraw-Hill, 1999
Libro sobre TCP/IP
16/340
17/340
El surgimiento de SNMP
A mediados de 1988, el Consejo de Actividades de
Internet (Internet Activities Board - IAB ) se reuni para
elaborar las recomendaciones para el desarrollo de un
protocolo de gestin.
La IAB se encarga de la administracin de la organizacin
de Internet.
Ese mismo ao la Fuerza de Tareas de Ingeniera de
Internet (Internet Engineering Task Force - IETF)
design un grupo que comenzara a trabajar en el
desarrollo de tal protocolo.
18/340
SNMP (Simple Network Management Protocol) fue
definido inicialmente en agosto de 1988 en la RFC 1067 y
fue elevado a la categora de estndar recomendadoen
abril de 1989 en la RFC 1098.
Los RFCs (Request For Comments) son notas tcnicas y
especificaciones de los protocolos de Internet.
Con esta herramienta a disposicin, diferentes
proveedores de sistemas de computacin (IBM,
Hewlett-Packard, Racal, AT&T, Novell, etc) iniciaron
labores para desarrollar sistemas de gestin basados en
ese protocolo y a finales de la dcada de los 80 y
comienzos de los 90, fueron lanzados al mercado los
primeros sistemas comerciales.
SNMP fue actualizado en la RFC 1157 de mayo de 1990.
19/340
Para aprender sobre SNMP
20/340
Introduction
Chapter 1Network Management Architectures
Chapter 2The Structure of Management
Information
Chapter 3Management Information Bases
Chapter 4The Simple Network Management
Protocol
Chapter 5SNMP Version 2
Chapter 6Lower Layer Support for SNMP
Chapter 7Case Studies in Implementing SNMP
Appendix A-G
Index
21/340
22/340
Tutorial sobre SNMP
23/340
24/340
25/340
26/340
Estndares SNMP
RFC 1155: Estructura e identificacin de la
informacin de gestin para redes basadas en
TCP/IP. Mayo de 1990. Describe cmo se definen
en la MIB los objetos gestionados.
RFC 1157: A Simple Network Management Protocol
(SNMP). Mayo de 1990. Define el protocolo para
gestionar los objetos.
RFC 1213: Management Information Base para
gestin dee red en redes basadas en TCP/IP: MIB-
II. Marzo de 1991. Describe los objetos
almacenados en la MIB.
27/340
Componentes bsicos de un sistema SNMP
Agente: software residente en el equipo a ser
gestionado. Cada agente almacena datos de gestin y
responde a las peticiones de datos por parte de la
estacin de gestin.
Los agentes ejecutan dos funciones bsicas: inspeccin
y modificacin de variables MIB.
La MIB es la base de datos de informacin de gestin.
Usualmente, la inspeccin de variables significa
examinar los valores de contadores, umbrales, estados
y otros parmetros, mientras que modificar significa
cambiar los valores de las variables que inspecciona.
28/340
Gestor (manager): software residente en la estacin
de gestin la red.
El gestor hace solicitudes al agente utilizando los
comandos de SNMP.
Los gestores ejecutan las funciones de la estacin de
gestin de la red y usualmente proveen una interfaz
grfica con el usuario, presentando un mapa de la red.
29/340
Gestor y agente en SNMP
30/340
Gestor y agente en SNMP
31/340
Network Management
Software (Manager)
Network
Management
Agent (Agent),
Objects
RMON Probe
Network
Management
Agent (Agent),
Objects
Manager talks to an network
management agent on each
managed device
Gestor y agente en SNMP
32/340
Management
Information
Base (MIB)
Management
Information
Base (MIB)
Management
Information
Base (MIB)
Network Management
Software (Manager)
RMON Probe
MIB stores data about devices.
MIB on manager stores all.
MIB on device stores local information
Management Information Base (MIB)
33/340
Monitoreo mediante SNMP
Polling =
Interrogar
peridicamente a
los agentes
34/340
La importancia de la frecuencia
de monitoreo (polling)
35/340
La popularidad de SNMP
36/340
Power Protection &
Connectivity Products
http://www.tripplite.com
Con PowerAlert basado en lenguaje de programacin JAVA y
los estndares SNMP, los UPS tienen la capacidad de ser
monitoreados remotamente, por lo que un administrador de
red puede verificar el funcionamiento de los Sistemas UPS
por medio de un navegador Web, con solo escribir la
direccin IP de la tarjeta de red instalada en el UPS, an
estando a miles de kilmetros de distancia.
37/340
Mensajes en SNMP
SNMP es un protocolo simple que contiene unos cuantos
comandos bsicos:
GetRequest: Peticin para solicitar el valor de una
variable (read) por parte del manager.
GetNextRequest: Peticin para solicitar el valor de la
siguiente variable (read) por parte del manager.
SetRequest: Peticin para modificar el valor en una
variable (write) por parte del manager.
GetResponse (Replay): Respuesta a la peticin por parte
del agente.
Hay adems un mensaje Trap (captura, interrupcin,
notificacin) que enva el agente al manager cuando ocurre
un evento extraordinario, por ejemplo un problema.
38/340
Mensajes SNMP
39/340
Get response
Get response
Mensajes SNMP
40/340
Mensajes SNMP
41/340
agente datos
Dispositivo administrable
Entidad
administradora
respuesta
agente datos
Dispositivo administrable
Entidad
administradora
Mensaje trap
solicitud
Modo solicitud/respuesta Modo trap
Mensajes SNMP
42/340
Resumen de mensajes SNMPv1
43/340
Uso de SNMP en una red corporativa
NMS = Network Management System
44/340
Uso de SNMP en una red corporativa
NMS = Network Management System
45/340
SNMP en el contexto de TCP/IP
46/340
El puerto 161 lo abre el
agente para escuchar las
peticiones del manager
(GetRequest,
GetNextRequest y
SetRequest).
El puerto 162 lo abre el
manager para escuchar
los traps de los agentes.
SNMP utiliza puertos UDP
47/340
Utilizacin del puerto UDP 161 en el agente
48/340
Utilizacin del puerto UDP 162 en el manager
49/340
Ejemplo de direcciones IP y puertos SNMP
50/340
Ejemplo de envo de un trap
RED RED

Enlace cado
(Link down)
Manager
SNMP
51/340
Simplicidad de SNMP
La simplicidad de SNMP permite que las implantaciones
de gestin de la red fueran llevadas a cabo rpidamente
para satisfacer las necesidades inmediatas de Internet.
Esta simplicidad permite adems, que las implantaciones
en los agentes sean ms compactas y eficientes,
permitiendo que los agentes utilicen la mayor parte de
la memoria y recursos de procesamiento disponibles en
llevar a cabo sus funciones primarias en vez de procesar
peticiones del administrador.
52/340
No obstante su simplicidad, SNMP es un protocolo
robusto, que se desenvuelve exitosamente ante
condiciones adversas de la red.
Es ms importante para la gestin de una red el
trabajar bajo condiciones adversas que bajo
condiciones normales, particularmente para gestin de
fallas y desempeo, mientras se diagnostican y
rectifican las causas que generaron tales condiciones.
53/340
Estas caractersticas de SNMP permiten que sea
orientado a datagrama y basado en transaccin.
Siendo orientado a datagrama, permite la utilizacin de
UDP como mecanismo de transporte y as se elimina la
necesidad de establecer una conexin antes de la
operacin del protocolo.
Adems (por ser orientado a datagrama) no tiene
conexin que pueda fallar bajo condiciones adversas.
En contraparte, la orientacin a datagrama impone que
los mensajes SNMP sean enviados completamente en un
datagrama, lo que se traduce en una limitante a la
longitud de los mensajes.
54/340
Comunicacin entre gestor y agente
55/340
Comunicacin entre gestor y agente
56/340
Comunicacin entre gestor y agente
GESTOR
AGENTE
SISTEMA DE GESTIN SISTEMA GESTIONADO
FUNCIONES DE GESTIN
SNMP (GESTOR)
UDP
IP
ACCESO DE RED
(Ej. Ethernet)
SNMP (AGENTE)
UDP
IP
ACCESO DE RED
(Ej. Ethernet)
SNMP PDUs
RED DE COMUNICACIONES
PROTOCOL
DATA UNIT
57/340
Mensaje SNMP en LAN (Ethernet)
58/340
Codificacin de mensajes SNMP
La sntaxis para codificar los datos del mensaje se basa en
Basic Encoding Rules (BER), estndar ISO 8825-1.
BER
59/340
La codificacin de los datos del mensaje SNMP se
compone de 3 partes: Type, Length, Value (TLV)
60/340
Codificacin TLV
Idea: los datos transmitidos se autoidentifican
T: tipo de dato, uno de los tipos definidos en ASN.1
L: longitud de los datos en bytes
V: valor de los datos, codificado de acuerdo con el
estndar ASN.1
1
2
3
4
5
6
9
Boolean
Integer
Bitstring
Octet string
Null
Object Identifier
Real
Valor Tipo
61/340
Ejemplo de
codificacin TLV
Valor, 5 octetos
Longitud, 5 bytes
Tipo=4, cadena de octetos
Valor, 259
Longitud, 2 bytes
Tipo=2, integer
62/340
GetRequest, GetNextRequest y GetResponse
El manager enva mensajes GetRequest y GetNextRequest al
agente para obtener los valores de una o varias variables MIB.
Con GetRequest se obtienen valores sencillos, mientras que
GetNextRequest permite obtener ms fcilmente las variables
almacenadas en tablas.
El agente reporta los resultados a las peticiones del gestor por
medio del mensaje GetResponse.
0, 1 o 2
63/340
SetRequest
Por medio de este mensaje el gestor pide a un agente
que altere el valor de una o varias variables MIB.
El agente enva un mensaje GetResponse al gestor para
indicarle si tuvo xito o no.
3
64/340
Request ID
Es un nmero (secuencial o aleatorio) que lo pone el
manager para identificar el mensaje.
Cuando el agente responde (GetResponse), copia
ese mismo nmero.
72643534
65/340
Cdigos de error en Get Response
El manager lo pone en 0
El agente lo pone en 0....5
66/340
Mensaje trap (captura)
Es generado por un agente para enviar una notificacin al
manager, indicando la ocurrencia de algn evento
significativo.
El mensaje incluye la identificacin del agente que gener
el trap, cundo se gener y qu tipo de trap se gener.
Specific-Trap Generic-Trap Agent-Address Enterprise PDU Type Time-stamp Variable-binding
Tipo
de
PDU
Tipo
de
objeto
generado por
el TRAP
Direccin
IP
generada
por el TRAP
Tipo
de
TRAP
Cdigo
especifico
del
TRAP
Tiempo de la
ltima
inicializacin
de la red y la
generacin
del TRAP
Lista de nombres
de variables con su
valor asociado
67/340
Encapsulamiento de trap en TCP/IP
68/340
Formato del mensaje trap SNMP
PDU Type: contiene el valor 4 que corresponde a un mensaje tipo trap.
Enterprise: especifica el OID de la empresa fabricante del equipo o sistema
que genera el TRAP especfico con cdigo 6 (EnterpriseSpecific).
Por ejemplo. Microsoft sera 1.3.6.1.4.1.311
Agent Address: contiene la direccin IP del agente que genera el trap.
Generic Trap Type: especifica el tipo de trap (entre 0 a 6).
Specific-Trap Generic-Trap Agent-Address Enterprise PDU Type Time-stamp Variable-binding
69/340
Private Enterprise Numbers (RFC 1700)
http://www.iana.org/assignments/enterprise-numbers
Prefijo: iso.org.dod.internet.private.enterprise (1.3.6.1.4.1)
Ejemplos:
1.3.6.1.4.1.9 Cisco 1.3.6.1.4.1.42 Sun Microsystems
1.3.6.1.4.1.52 Cabletron Systems 1.3.6.1.4.1.77 LAN Manager
1.3.6.1.4.1.186 Toshiba Corporation 1.3.6.1.4.1.193 Ericsson
1.3.6.1.4.1.231 Siemens Nixdorf 1.3.6.1.4.1.232 Compaq
1.3.6.1.4.1.311 Microsoft 1.3.6.1.4.1.343 Intel Corporation

70/340
Cdigos para los tipos de trap SNMP
Tipo de trap Valor Descripcin
ColdStart 0 Arranque en fri (reinicio sistema)
WarmStart 1 Arranque en caliente (Ejemplo:
cambio de configuracin)
LinkDown 2 Enlace cado
LinkUp 3 Enlace levantado
AuthenticationFailure 4 Nombre de la comunidad Incorrecto
EgpNeighborLoss 5 Falla de enlace hacia un router
vecino
EnterpriseSpecific 6 Evento especfico del equipo o
sistema del fabricante
Specific-Trap Generic-Trap Agent-Address Enterprise PDU Type Time-stamp Variable-binding
71/340
Generic trap
72/340
Time Stamp: Contiene el valor del tiempo transcurrido desde que se
arranc el equipo. Ese valor est contenido en la variable sysUpTime.
Variable Binding: Es una lista de los OID y sus correspondientes
valores.
Specific Trap: Si el campo Generic trap tiene el cdigo 6, significa que
el trap es especfico, y entonces el campo Generic trap junto con el
campo Enterprise contienen la informacin para identificar ms
especficamente el tipo trap correspondiente a ese equipo.
Specific-Trap Generic-Trap Agent-Address Enterprise PDU Type Time-stamp Variable-binding
Specific trap
73/340
Generadores de trap
TrapGen: es un programa sencillo que permite el envo de traps
usando la lnea de comandos (DOS).
74/340
Capturadores de trap
SNMP Trap Watcher: permite recibir traps SNMP de un equipo de la
red, incluyendo routers, switchs y estaciones.
Los traps son enviados al puerto UDP 162 del manager cuando
ocurren errores o eventos especficos.

75/340
Uso de analizadores de redes (sniffers)
para capturar trfico SNMP
76/340
Mensaje GetRequest
Decodificacin de mensajes SNMP
77/340
Decodificacin de mensajes SNMP
Mensaje GetResponse
78/340
Codificacin BER
79/340
Importante: Para decodificar SNMP con Ethereal/Wireshark
debe seleccionar SNMP MIBs durante su instalacin
80/340
Autenticacin en SNMP
En la versin 1 de SNMP, que es todava la ms utilizada,
se utiliza un esquema de autenticacin muy simple, pero
poco seguro.
En cada mensaje SNMP existe un campo llamado
community name (nombre de la comunidad), el cual
funciona como una especie de contrasea.
Si el community name en el mensaje SNMP es reconocido
por el agente, entonces considera que el mensaje es
autntico y se procede con la accin solicitada (GET o
SET).
81/340
En SNMP existen 2 modos de acceso a las variables:
1. Read-only (para GET)
En este caso se usan para community nombres tpicos
como public.
2. Read and write (para GET y SET)
En este caso se usan para community nombres tpicos
netadm, admin, private, secret.
El agente responde de acuerdo a ese nombre.
Por ejemplo, si recibe un mensaje GET con community
name = abc123 no lo considera vlido.
Tampoco es vlido un mensaje SET con community
name = public.
82/340
El nombre de la comunidad se utiliza para
polticas de acceso a las variables
83/340
Ejemplo de nombre de comunidad
en agente SNMP para Windows XP
84/340
Cuando un agente recibe un mensaje SNMP con el nombre
de comunidad invlido, enva un trap de Authentication
failure a uno o varios managers, para alertar.
85/340
Ejemplo de envo de traps
86/340
El community name no est encriptado, as que un intruso
lo podra capturar con un sniffer y luego enviar
mensajes GET y SET que puedan alterar el
funcionamiento de equipos y de la red completa.
En consecuencia, muchos administradores de red
desactivan la funcin de escritura, conviertiendo a
SNMP en un simple sistema de monitoreo, pero no de
control.
Para modificar los parmetros, se puede recurrir al
mtodo CLI (command line interface) usando una cnsola
local o remota (mediante telnet).
87/340
Ejemplo de CLI (command line interface) va Telnet
Peligro: La contrasea
no viaja encriptada
88/340
Una forma de telnet segura es SSH (Secure Shell),
ya que todo el trfico viaja encriptado
PuTTy es un
cliente gratuito
para SSH
89/340
Modernamente una forma prctica y segura es
mediante la interfaz Web y HTTPS
90/340
Conexin al equipo desde Internet en
forma segura mediante HTTPS
El trfico viaja encriptado con SSL
91/340
Seguridad mediante el nuevo SNMPv3
92/340
La Base de Informacin de Gestin (MIB)
La MIB especifica la estructura de datos de un
dispositivo para poder efectuar su gestin.
Esto permite que los fabricantes de equipos puedan
implantar un software de gestin sin estar amarrados
a una plataforma comercial en particular y que los
usuarios cambien de plataforma de gestin sin
necesidad de cambiar el software de gestin en sus
equipos.
93/340
En 1988 se public la primera versin de la MIB en el
documento RFC 1066, donde se especifican 114
variables publicas, es decir que no son exclusivas de
ningn equipo o producto en particular.
En 1990 apareci la MIB-II en el RFC 1158 y que fue
actualizada en 1991 en el RFC 1213.
La variables pasaron a ser 171.
94/340
95/340
Representacin del Nombre de Objeto MIB
Las variables MIB forman parte de una estructura en
rbol jerrquico llamado identificador de objeto (OID,
object identifier), administrado por el ISO y el ITU-T
(antiguamente conocido como CCITT).
La raz del rbol
jerrquico es annima,
pero tiene tres
descendentes directos
administrados por ISO,
ITU-TSS y la unin
ISO/ITU-TSS.
96/340
El OID de una variable o objeto MIB consiste de una
secuencia de nmeros correspondientes a la trayectoria
desde la raz hasta el objeto, separados por puntos.
Ejemplo: Variable SysUpTime
Forma numrica:
OID 1.3.6.1.2.1.1.3
Forma literal:

iso.org.dod.internet.mgmt.mib.
system.sysuptime
97/340
El OID es absoluto, lo que significa que los nombres
son globales y nicos, y su uso no est restringido a
variables usadas en gestin de redes (incluye nombres
de objetos arbitrarios).
Se puede usar la forma literal para hacer los nombres
de objetos entendibles por seres humanos, pero en la
red el OID se transmite slo en forma numrica.
Ejemplo: Variable SysUpTime
Forma numrica:
OID 1.3.6.1.2.1.1.3
Forma literal:
iso.org.dod.internet.mgmt.mib.system.sysuptime
98/340
Estructura de la Informacin de Gestin
Structure of Management Information (SMI) est
definida en la RFC 1155.
Este estndar especifica las reglas utilizadas para
definir, identificar y accesar las variables MIB.
SMI especifica que todas las variables MIB deben ser
definidas y referenciadas utilizando la Notacin de
Sintaxis Abstracta N 1 (Abstract Syntax Notation 1 -
ASN.1) de ISO.
99/340
ASN.1 es un lenguaje formal que tiene dos
caractersticas importantes:
1. Es una notacin utilizada en documentos para
humanos y a la vez es una representacin
compacta y codificada de esa informacin
utilizada en protocolos de comunicaciones.
2. En ambos casos, la notacin formal y precisa
elimina cualquier posibilidad de ambigedad entre
el significado y la representacin.
100/340
Por otro lado ASN.1 tambin facilita la implantacin
de protocolos de gestin de redes y garantiza la
interoperabilidad.
Define de forma precisa cmo codificar tanto los
datos como los nombres en un mensaje.
101/340
Por lo tanto, una vez que la documentacin de un MIB
ha sido expresada en ASN.1, la forma de presentarla
al humano puede ser traducida directa y
mecnicamente en la forma codificada usada en los
mensajes (compilacin).
El estndard SMI est definido en RFC 1065 y slo
permite el uso de un conjunto limitado del total de
objetos definidos por ASN.1.
102/340
SMI permite utilizar los objetos primitivos integer
(entero), octet string (cadena de octetos), object
identifier (identificador de objeto) y null (nulo)
Adems de las construcciones sequence (secuencia) y
sequence of (secuencia de).
103/340
Ejemplos de objetos definidos por SMI:
Direccin IP (IP Address): cadena de octetos (octet
string) que se utiliza para definir la direccin IP de
32 bits.
Marcas de Tiempo (Time Ticks): representa un
entero no-negativo que se utiliza para grabar
eventos. SMI requiere que represente un incremento
de tiempo en centsimas de segundo.
104/340
Medida (Gauge): entero no-negativo que vara entre
0 y 2
31
- 1. SMI permite incrementos y decrementos.
Contador (Counter): entero no-negativo que vara
entre 0 y 2
31
- 1. Se diferencia de la Medida en que
slo puede incrementar.
105/340
SMI: ejemplos de objeto y de mdulo
OBJ ECT-TYPE: ipInDelivers MODULE-IDENTITY: ipMIB
ipInDelivers OBJ ECT TYPE
SYNTAX Counter32
MAX-ACCESS read-only
STATUS current
DESCRIPTION
The total number of input
datagrams successfully
delivered to IP user-
protocols (including ICMP)
::= {ip 9}
ipMIB MODULE-IDENTITY
LAST-UPDATED 941101000Z
ORGANZATION IETF SNPv2
Working Group
CONTACT-INFO
Keith McCloghrie

DESCRIPTION
The MIB module for managing IP
and ICMP implementations, but
excluding their management of
IP routes.
REVISION 019331000Z

::= {mib-2 48}
106/340
Ejemplo de MIB: mdulo UDP
Object ID Name Type Comments
1.3.6.1.2.1.7.1 UDPInDatagrams Counter32 total # datagrams delivered
at this node
1.3.6.1.2.1.7.2 UDPNoPorts Counter32 # underliverable datagrams
no app at portl
1.3.6.1.2.1.7.3 UDInErrors Counter32 # undeliverable datagrams
all other reasons
1.3.6.1.2.1.7.4 UDPOutDatagrams Counter32 # datagrams sent
1.3.6.1.2.1.7.5 udpTable SEQUENCE one entry for each port
in use by app, gives port #
and IP address
107/340
Acceso a las variables MIB
Cuando se utiliza un objeto en un mensaje SNMP (por
ejemplo GetRequest), se le agrega un valor llamado
instancia.
El OID del objeto seguido de ese valor es lo que
formalmente se llama una variable SNMP (aunque a
veces el propio OID se le llama variable).
Esto es analogo al concepto de funcin f(x).
f(x) es el OID.
f(5) es la instanciacin de f(x).
108/340
Instanciacin de objetos simples y columnares (tablas)
109/340
Para objetos sencillos, como ipInReceives, la instancia
es por convencin el nmero 0, de manera que cuando la
variable en cuestin aparece en un mensaje SNMP, su
representacin ser: 1.3.6.1.2.1.4.3.0.
El OID 1.3.6.1.2.1.4.3 es el prefijo y la instancia 0 el
sufijo.
110/340
OID & nombre Sintaxis Acceso Descripcin
1.3.6.1.2.1.4
IP
Grupo Ninguno Informacin del cache ARP
1.3.6.1.2.1.4.1
ipForwarding
Entero
Lectura /
Escritura
Indica que esta estacin puede
retransmitir datagramas recibidos.
1.3.6.1.2.1.4.2
ipDefaultTTL
Entero
Lectura /
Escritura
Valor por defecto en el campo Time-
To-Live del encabezado IP
1.3.6.1.2.1.4.3
ipInReceives
Contador Lectura
Numero de datagramas de entrada
recibidos en las interfaces
1.3.6.1.2.1.4.4
ipInHdrErrors
Contador Lectura
Numero de datagramas descartados
debido a errores en la cabecera IP
1.3.6.1.2.1.4.5
ipInAddrErros
Contador Lectura
Numero de datagramas descartados
cuando la direccin IP de destino no
es sta estacin
111/340
112/340
Otro ejemplo: Nmero de la interfaces
i so or g dod i nt er net mgmt mi b i nt er f aces i f Number
( i nst anci a)
1 3 6 1 2 1 2 1 0

1. 3. 6. 1. 2. 1. 2. 1. 0
o
i f Number . 0
113/340
OID & nombre Sintaxis Acceso Descripcin
1.3.6.1.2.1.2
Interfaces
Grupo Ninguno Informacin acerca de los puertos
lgicos I/O
1.3.6.1.2.1.2.1
ifNumber
Entero Lectura Numero de interfaces de red
presentes en el sistema
1.3.6.1.2.1.2.2
IfTable
Secuencias de
InEntry
Ninguno Listado de Interfaces, cada uno
para el valor de IfNumber
1.3.6.1.2.1.2.2.1
IfEntry
IfEntry Ninguno Objetos en y sobre la capa de
red, para una interfaz particular
1.3.6.1.2.1.2.2.1.1
IfIndex
Entero Lectura Valor nico para cada interfaz
1.3.6.1.2.1.2.2.1.2
ifDescr
Cadena de hasta
255 caracteres
Lectura
Informacin textual acerca de la
interfaz
1.3.6.1.2.1.2.2.1.3
ifType
Entero Lectura Tipo de interfaz
1.3.6.1.2.1.2.2.1.4
ifMtu
Entero Lectura
Tamao del octeto del datagrama
mas grande que puede ser
enviado o recibido por la interfaz
114/340
Un ejemplo ms complejo lo conforma el objeto
ipAddrTable, que contiene una lista de las direcciones
IP de cada interfaz de red y se encuentra ubicado en
el rbol bajo el nodo ip con el nmero 20.
Su representacin numrica (OID) es:
1.3.6.1.2.1.4.20
mientras que su referencia literal es:
iso.org.dod.internet.mgmt.mib.ip.ipAddrTable
115/340
ipAddrTable guarda la informacin como una tabla que contiene cinco
elementos por fila: la direccin IP, el ndice entero correspondiente a la
interfaz de entrada, la mscara de subred, el valor del bit menos
significativo en la direccin de broadcast IP y el mximo tamao del
datagrama que puede ser reensamblado por el dispositivo
116/340
Mediante ASN.1, se define la variable de la
siguiente forma:
ipAddrTable ::= SEQUENCE OF IpAddrEntry
donde SEQUENCE y OF especifican que
ipAddrTable es un arreglo unidimensional (lista) de
IpAddrEntrys.
117/340
ipAddrTable OBJECT-TYPE
SYNTAX SEQUENCE OF IpAddrEntry
ACCESS not-accessible
STATUS mandatory
DESCRIPTION
"The table of addressing information relevant to
this entity's IP addresses."
::= { ip 20 }
118/340
ipAddrEntry OBJECT-TYPE
SYNTAX IpAddrEntry
ACCESS not-accessible
STATUS mandatory
DESCRIPTION
"The addressing information for one of this
entity's IP addresses."
INDEX { ipAdEntAddr }
::= { ipAddrTable 1 }
119/340
IpAddrEntry tiene la siguiente estructura:
IpAddrEntry ::= SEQUENCE {
ipAdEntAddr
IpAddress,
ipAdEntIfIndex
INTEGER,
ipAdEntNetMask
IpAddress,
ipAdEntBcastAddr
IpAddress,
ipAdEntReasmMaxSize
INTEGER(0..65535)
}
120/340
Por ejemplo, para averiguar la mscara correspondiente
a la direccin 10.0.0.2, se debe usar la variable:
1.3.6.1.2.1.4.20.1.3.10.0.0.2
Correspondiente a:
iso.org.dod.internet.mgmt.mib.ip.ipAddrTable.ipAddr
Entry.ipAdEntNetMask.10.0.0.2
Index
121/340
122/340
Recorrido en orden lexicogrfico de una tabla
(se hace por columna)
123/340
124/340
Navegacin en la MIB con GetNext
125/340
Descripcin de las variables MIB
Las variables MIB se agrupan en grupos o categoras.
Cada categora corresponde a un sub-rbol del nodo MIB debajo del nodo
1.3.6.1.2.1.
En la figura se muestran algunas de las categoras especificadas en la
MIB-2 (RFC-1213).
126/340
Grupo System (1.3.6.1.2.1.1)
Informacin:
Descripcin del hardware, sistema operativo y
software del equipo.
Nombre, ubicacin y responsable del equipo.
Tiempo trascurrido desde que arranc.
Servicios que presta
127/340
Navegando hacia el grupo System (1.3.6.1.2.1.1)
128/340
SNMPc
Intervalo de
polling
129/340
Grupo System en el agente SNMP para Windows XP
130/340
OID & nombre Sintaxis Acceso Descripcin
1.3.6.1.2.1.1
System
Grupo Ninguno Informacin acerca del agente
SNMP del sistema
1.3.6.1.2.1.1.1
sysDescr
Cadena de hasta
255 caracteres
Lectura Descripcin del hardware, sistema
operativo y software del equipo
1.3.6.1.2.1.1.2
sysObjectID
ID de objeto Lectura OID del equipo en la rama privada
del rbol MIB
1.3.6.1.2.1.1.3
sysUpTime
TimeTicks Lectura Cantidad de centsimas de
segundos desde que el sistema
fue reinicializado
1.3.6.1.2.1.1.4
sysContact
Cadena de hasta
255 caracteres
Lectura /
Escritura
Informacin de la persona que
administra el equipo
1.3.6.1.2.1.1.5
sysName
Cadena de hasta
255 caracteres
Lectura /
Escritura
Nombre asignado al equipo
1.3.6.1.2.1.1.6
sysLocation
Cadena de hasta
255 caracteres
Lectura /
Escritura
Ubicacin fsica del equipo
1.3.6.1.2.1.1.7
sysServices
Numero entero
hasta 127
Lectura Tipos de servicios soportados por
el equipo
131/340
sysObjectID apunta a la parte privada del rbol MIB,
donde hay variable adicionales, propias de ese equipo
(ej. 1.3.6.1.4.1.311.1.1.3.2).
311
Microsoft
132/340
Instanciacin de las variables MIB
Cuando se utiliza un objeto en un mensaje SNMP (por
ejemplo GetRequest), se le agrega un valor llamado
instancia.
El OID del objeto seguido de ese valor es lo que
formalmente se llama una variable SNMP (aunque a
veces el propio OID se le llama variable).
Esto es anlogo al concepto de funcin f(x).
f(x) es el OID.
f(5) es la instanciacin de f(x).
133/340
Para objetos sencillos, como sysUptime, la instancia es
por convencin el nmero 0, de manera que cuando la
variable en cuestin aparece en un mensaje SNMP, su
representacin ser: 1.3.6.1.2.1.1.3.0.
El OID 1.3.6.1.2.1.1.3 es el prefijo y la instancia 0 el
sufijo.
En forma literal:
iso.org.dod.internet.mgmt.mib.system.sysuptime.0
En forma mixta:
1.3.6.1.2.1.system.sysuptime.0
1.3.6.1.2.1.1.sysuptime.0
134/340
Para leer una variable MIB, se puede usar GetRequest
con el OID instanciado:
GetRequest(1.3.6.1.2.1.1.3.0)
para buscar la instancia.
Alternativamente se puede usar GetNextRequest sin
el OID instanciado, ya que GetNextRequest acta
sobre el prximo objeto en orden lxicogrfico que le
sigue al nodo actual.
GetNextRequest(1.3.6.1.2.1.1.3)
135/340
Ejemplo: orden lexicogrfico de las
variables MIBs del grupo System
136/340
Navegacin en el rbol con un MIB Browser
Ntese la instanciacin
137/340
MIB browsing en unrouter inalmbrico Linksys WRT54G
138/340
Grupo Interfaces (1.3.6.1.2.1.2)
Informacin:

Nmero de interfaces de red permitidas.
Tipo de interfaz operando debajo de IP (Ethernet,
LAPB, etc.).
Tamao mximo del datagrama aceptable por la
interfaz.
Velocidad en bps, direccin y estado operacional de la
interfaz.
Cantidad de trfico recibido, entregado o desechado, y
las razones.
139/340
140/340
141/340
142/340
OID & nombre Sintaxis Acceso Descripcin
1.3.6.1.2.1.2
Interfaces
Grupo Ninguno Informacin acerca de los puertos
lgicos I/O
1.3.6.1.2.1.2.1
ifNumber
Entero Lectura Numero de interfaces de red
presentes en el sistema
1.3.6.1.2.1.2.2
IfTable
Secuencias de
InEntry
Ninguno Listado de Interfaces, cada uno
para el valor de IfNumber
1.3.6.1.2.1.2.2.1
IfEntry
IfEntry Ninguno Objetos en y sobre la capa de
red, para una interfaz particular
1.3.6.1.2.1.2.2.1.1
IfIndex
Entero Lectura Valor nico para cada interfaz
1.3.6.1.2.1.2.2.1.2
ifDescr
Cadena de hasta
255 caracteres
Lectura
Informacin textual acerca de la
interfaz
1.3.6.1.2.1.2.2.1.3
ifType
Entero Lectura Tipo de interfaz
1.3.6.1.2.1.2.2.1.4
ifMtu
Entero Lectura
Tamao del octeto del datagrama
mas grande que puede ser
enviado o recibido por la interfaz
143/340
1.3.6.1.2.1.2.2.1.10
ifInOctets
Contador Lectura Numero total de octetos recibidos
por la interfaz
1.3.6.1.2.1.2.2.1.11
ifInUcastPkts
Contador Lectura
Numero de paquetes unicast de
sudred enviados a un protocolo
de capa superior
1.3.6.1.2.1.2.2.1.12
ifInNUcastPkts
Contador Lectura
Numero de paquetes no-unicast
enviados a un protocolo de capa
superior
1.3.6.1.2.1.2.2.1.13
ifInDiscards
Contador Lectura
Numero de paquetes de entrada
descartados, aunque no se haya
detectado ningn error
1.3.6.1.2.1.2.2.1.14
ifInErrors
Contador Lectura
Numero de errores de entrada
que hace que los paquetes no
sean entregados a un protocolo
superior
1.3.6.1.2.1.2.2.1.15
ifInUnknowProtos
Contador Lectura
Numero de paquetes
descartados, debido al
desconocimiento o por un
protocolo no soportado
Contadores de entrada existentes en el grupo Interfaces
144/340
Grupo Address Translation (1.3.6.1.2.1.3)
Informacin:
Tablas de traduccin de direccin para traduccin
red-direccin fsica (IP a Ethernet o Token Ring).
(Es obsoleto y sus funciones residen ahora en el
grupo IP).
145/340
146/340
OID & nombre Sintaxis Acceso Descripcin
1.3.6.1.2.1.3
Address Translation
Grupo Ninguno Informacin del cache ARP
1.3.6.1.2.1.3.1
atTable
Secuencias de
AtEntry
Ninguno Direccin de Red
1.3.6.1.2.1.3.1.1
AtEntry
AtEntry Ninguno
Cada entrada contiene una
direccin de red para
equivalenete de direccin fsica
1.3.6.1.2.1.3.1.1.1
atIfIndex
Entero
Lectura /
Escritura
La interfaz donde la entrada
equivalente es efectiva
1.3.6.1.2.1.3.1.1.2
atPhysAddress
PhysAddress
Lectura /
Escritura
Direccin fsica de la interfaz
1.3.6.1.2.1.3.1.1.3
atNetAddress
NetworkAddress
Lectura /
Escritura
Direccin de red correspondiente
a la direccin fsica
147/340
Grupo IP (1.3.6.1.2.1.4)
Informacin:

Si el nodo enruta datagramas.
El TTL de los datagramas originados en el nodo.
Cantidad de trfico entregado, recibido o
desechado, y las razones.
Operaciones de fragmentacin.
Tablas de direcciones, incluyendo mscaras de
subred.
Tablas de enrutamiento incluyendo: direccin
destino, mtricas de distancia, edad de la ruta,
prximo nodo y protocolo que muestra la ruta (EGP,
RIP, etc.).
148/340
149/340
150/340
OID & nombre Sintaxis Acceso Descripcin
1.3.6.1.2.1.4
IP
Grupo Ninguno Informacin del cache ARP
1.3.6.1.2.1.4.1
ipForwarding
Entero
Lectura /
Escritura
Indica que esta estacin puede
retransmitir datagramas recibidos.
1.3.6.1.2.1.4.2
ipDefaultTTL
Entero
Lectura /
Escritura
Valor por defecto en el campo Time-
To-Live del encabezado IP
1.3.6.1.2.1.4.3
ipInReceives
Contador Lectura
Numero de datagramas de entrada
recibidos en las interfaces
1.3.6.1.2.1.4.4
ipInHdrErrors
Contador Lectura
Numero de datagramas descartados
debido a errores en la cabecera IP
1.3.6.1.2.1.4.5
ipInAddrErros
Contador Lectura
Numero de datagramas descartados
cuando la direccin IP de destino no
es sta estacin
Contina....
151/340
1.3.6.1.2.1.4.6
ipForwDatagrams
Contador Lectura
Numero de datagramas que esta
estacin pretende retransmitir
1.3.6.1.2.1.4.7
ipInUnknowProtos
Contador Lectura
Numero de datagramas de entrada
descartados, debido al
desconocimiento del protocolo
1.3.6.1.2.1.4.8
ipInDiscards
Contador Lectura
Numero de datagramas de entrada
descartados sin ningn problema
1.3.6.1.2.1.4.9
ipInDelivers
Contador Lectura
Numero de datagramas de entrada
entregados a protocolos conocidos
por sta estacin
1.3.6.1.2.1.4.10
ipOutRequests
Contador Lectura
Nmero de datagramas IP que los
protocolos locales solicitaron
transmitir
1.3.6.1.2.1.4.11
ipOutDiscards
Contador Lectura
Numero de datagramas de salida que
fueron descartados sin errores
1.3.6.1.2.1.4.12
ipOutNoRoutes
Contador Lectura
Numero de datagramas descartados
debido a no existir ruta para su
destino
152/340
Grupo ICMP (1.3.6.1.2.1.5)
Informacin:
Cantidad de los diferentes mensajes ICMP (ej. ping)
recibidos y transmitidos.
Estadsticas de problemas encontrados.
153/340
154/340
OID & nombre Sintaxis Acceso Descripcin
1.3.6.1.2.1.5
ICMP
Grupo Ninguno
Informacin del protocolo ICMP
1.3.6.1.2.1.5.1
icmpInMsgs
Contador Lectura Numero total de mensajes ICMP
que la estacin ha recibido
1.3.6.1.2.1.5.2
icmpInErrors
Contador Lectura
Numero de mensajes ICMP
recibidos que tienen algunos
errores ICMP especificos
1.3.6.1.2.1.5.3
icmpInDestUnreachs
Contador Lectura Numero de mensajes ICMP
recibidos con destino inalcanzable
1.3.6.1.2.1.5.4
icmpInTimeExcds
Contador Lectura Numero de mensajes ICMP
recibidos con tiempo excedido
1.3.6.1.2.1.5.5
icmpInParmProbs
Contador Lectura
Numero de mensajes ICMP
recibidos con problemas en
parmetros
1.3.6.1.2.1.5.6
icmpInSrcQuenchs
Contador Lectura Numero de mensajes ICMP
recibidos tipo Source Quench
1.3.6.1.2.1.5.7
icmpInRedirects
Contador Lectura Numero de mensajes ICMP
recibidos redirecionados
1.3.6.1.2.1.5.8
icmpInEchos
Contador Lectura Numero de mensajes ICMP Echo
(request) recibidos
155/340
Grupo TCP (1.3.6.1.2.1.6)
Informacin:
Valores mximos/mnimos de retransmisin.
Nmero de conexiones TCP que soporta el nodo.
Informacin de operaciones de transicin de estado.
Trfico recibido y enviado.
Puerto y nmero IP para cada conexin
156/340
157/340
158/340
159/340
160/340
OID & nombre Sintaxis Acceso Descripcin
1.3.6.1.2.1.6
TCP
Grupo Ninguno
Informacin del protocolo TCP
1.3.6.1.2.1.6.1
tcpRtoAlgorithm
Entero Lectura
Valor de algoritmo de tiempo de
espera para retransmitir octetos
desconocidos
1.3.6.1.2.1.6.2
tcpRtoMin
Entero Lectura
Tiempo mnimo en espera para
retransmitir
1.3.6.1.2.1.6.3
tcpRtoMax
Entero Lectura
Tiempo mximo en espera para
retransmitir
1.3.6.1.2.1.6.4
tcpMaxConn
Entero Lectura
Lmite total de conexiones TCP
que soporta la estacin
1.3.6.1.2.1.6.5
tcpActiveOpens
Contador Lectura
Las veces que TCP transita al
estado SYN-SENT del estado
CLOSED
1.3.6.1.2.1.6.6
tcpPassiveOpens
Contador Lectura
Las veces que TCP transita al
estado SYN-RCVD del estado
161/340
Grupo UDP (1.3.6.1.2.1.7)
Informacin:
Trfico recibido y enviado.
Problemas encontrados.
162/340
163/340
OID & nombre Sintaxis Acceso Descripcin
1.3.6.1.2.1.7
UDP
Grupo Ninguno Informacin del protocolo UDP
1.3.6.1.2.1.7.1
udpInDatagrams
Contador Lectura
Numero total de datagramas
entregados a servicios UDP
1.3.6.1.2.1.7.2
udpNoPorts
Contador Lectura
Numero de datagramas UDP
recibidos sin puerto para la
aplicacin destino
1.3.6.1.2.1.7.3
udpInErrors
Contador Lectura
Numero de datagramas UDP
recibidos con errores
1.3.6.1.2.1.7.4
udpOutDatagrams
Contador Lectura
Numero total de datagramas UDP
enviados por esta estacin
1.3.6.1.2.1.7.5
udpTable
Secuencia de
Entry
Ninguno
Tabla que contiene informacin
que escucha el UDP
164/340
Grupo EGP (1.3.6.1.2.1.8)
Informacin:
Trfico enviado y recibido.
Problemas encontrados.
Tabla de vecino EGP.
Direcciones a vecinos.
Estado EGP con cada vecino.
Definido en el MIB II, provee informacin sobre los
tipos de esquemas de transmisin e interfaces.
Definido en el MIB II, brinda informacin sobre
capacidades de manipulacin de errores.
165/340
Grupo Transmission (1.3.6.1.2.1.10)
Informacin:
Definido en el MIB-II, provee informacin sobre tecnologa
detransmisin (ej. E1, Frame Relay, ATM, SDH) e
interfaces.
MIB OID RFC
CSMA/CD-like objects 1.3.6.1.2.1.10.7 1650
FDDI objects 1.3.6.1.2.1.10.15 1285, 1512
El Interface objects 1.3.6.1.2.1.10.19 1406
PPP objects 1.3.6.1.2.1.10.23 1471
166/340
MIB OID RFC
DS3/E3 Interface objects 1.3.6.1.2.1.10.30 1407
Frame Relay objects 1.3.6.1.2.1.10.32 1315
RS-232 objects 1.3.6.1.2.1.10.33 1659
Parallel Printer objects 1.3.6.1.2.1.10.34 1660
ARCNETPLUS objects 1.3.6.1.2.1.10.36 N/A
ATM objects 1.3.6.1.2.1.10.37 1695
SONET objects 1.3.6.1.2.1.10.39 1595
Frame relay network service objects 1.3.6.1.2.1.10.44 1695
167/340
Grupo SNMP (1.3.6.1.2.1.11)
Informacin:
Definido en el MIB-II, brinda informacin sobre el
propio protocolos SNMP (ej. total de solicitudes GET
o de Traps generados).
168/340
Specific-use MIBs
The following table lists the currently approved
Internet-standard MIBs included under the MIB-II
subtree that support a specific architecture, protocol,
or interface:
MIB OID RFC
Generic Interface Extensions 1.3.6.1.2.1.12 1229, 1239
Appletalk Protocols 1.3.6.1.2.1.13 1742
Open Shortest Path First (OSPF) 1.3.6.1.2.1.14 1253
Border Gateway Protocol (BGP) 1.3.6.1.2.1.15 1657
Remote Monitoring (RMON) 1.3.6.1.2.1.16 1757
Bridges 1.3.6.1.2.1.17 1286
DECnet Phase 4 1.3.6.1.2.1.18 1559
Character Streams 1.3.6.1.2.1.19 1658
169/340
MIB OID RFC
IEEE 802.3 Repeaters 1.3.6.1.2.1.22 1516
Routing Information Protocol (RIP) 1.3.6.1.2.1.23 1389
Identification Protocol 1.3.6.1.2.1.24 1414
Host Resources 1.3.6.1.2.1.25 1514
IEEE 802.3 Medium Attachment Units 1.3.6.1.2.1.26 1515
Network Services Monitoring 1.3.6.1.2.1.27 1565
Mail Monitoring 1.3.6.1.2.1.28 1566
X.500 Directory Monitoring 1.3.6.1.2.1.29 1567
Interface Types 1.3.6.1.2.1.30 1573
Interface Types 1.3.6.1.2.1.31 1573
Domain Name System 1.3.6.1.2.1.32 1611
Uninterruptible Power Supplies 1.3.6.1.2.1.33 1628
SNA NAU 1.3.6.1.2.1.34 1666
Ethernet-like generic objects 1.3.6.1.2.1.35 1650
170/340
MIB OID RFC
SMDS interface objects 1.3.6.1.2.1.36 1694
ATM objects 1.3.6.1.2.1.37 1695
Dial-up modem objects 1.3.6.1.2.1.38 1696
Relational database objects 1.3.6.1.2.1.39 1697
Traffic flow objects 1.3.6.1.2.1.40 2064
SNA SDLC 1.3.6.1.2.1.41 1747
Token Ring Station Source Route 1.3.6.1.2.1.42 1748
Printer 1.3.6.1.2.1.43 1759
Mobile IP 1.3.6.1.2.1.44 2006
IEEE 802.12 1.3.6.1.2.1.45 2020
Data Link Switch 1.3.6.1.2.1.46 2024
Entity 1.3.6.1.2.1.47 2037
Internet Protocol MIB Module 1.3.6.1.2.1.48 2011
TCP MIB Module 1.3.6.1.2.1.49 2012
UDP MIB Module 1.3.6.1.2.1.50 2013
171/340
Siemens
172/340
173/340
Linksys WRT54G Wireless Access Point
potenciado con el firmware Alchemy de Sveasoft
174/340
MIB browsing en SNMP en Linksys WRT54G
175/340
Monitoreo del trfico con PRTG en Linksys WRT54G
176/340
La primera fila indica que en la
VLAN0 se est excluyendo el
puerto WAN de la conexin a la
WLAN y que se estn incluyendo
los 4 puertos LAN a la conexin a
la WLAN.
La segunda fila indica que la
WLAN1 est compuesta slo por el
puerto WAN.
Los distintos puertos que se pueden
monitorear en Linksys WRT54G
177/340
1
0
2
1
1
1
3
3
6
2
4
1
9
ITU-T ISO Joint ISO/ITU-T
ORG
DOD
Internet
Directorio
MGMT
Experimental
Privada
MIB
Empresas
Cisco
Raz
Ejemplos de
MIB privadas
(1.3.6.1.4.1)
178/340
PRIVATE ENTERPRISE NUMBERS (RFC 1700)
http://www.iana.org/assignments/enterprise-numbers
Prefijo: iso.org.dod.internet.private.enterprise (1.3.6.1.4.1)
Ejemplos:
1.3.6.1.4.1.9 Cisco 1.3.6.1.4.1.42 Sun Microsystems
1.3.6.1.4.1.52 Cabletron Systems 1.3.6.1.4.1.77 LAN Manager
1.3.6.1.4.1.186 Toshiba Corporation 1.3.6.1.4.1.193 Ericsson
1.3.6.1.4.1.231 Siemens Nixdorf 1.3.6.1.4.1.232 Compaq
1.3.6.1.4.1.311 Microsoft 1.3.6.1.4.1.343 Intel Corporation

179/340
Ejemplo: MIB privada de Transition Networks
1.3.6.1.4.868.2.4.1.2.1.1.1.3.3562.3
180/340
The SNMP agent is "extensible"
and allows MIB information to
be dynamically added and
supported as required.
For the programmer this means
that to enable the SNMP agent
service to support a new MIB
object, you need not update and
recompile the agent's code.
Instead, an external "subagent"
will be modified and used by the
agent to process all of the
management requests that it
receives, and to create all of the
traps that it sends.
Agente SNMP de Microsoft para Windows
181/340
Windows SNMP
By James D. Murray
O'Reilly & Associates, Inc.
SNMP is implemented as a Win32 system service. Under Windows there are
actually two SNMP services. The first is the SNMP agent service
(SNMP.EXE ). The agent processes SNMP Request messages that it receives
from SNMP management systems and sends GetResponse messages in reply.
The agent specifically handles the interface with the Windows Socket
(WinSock) API, SNMP message parsing, and ASN.1 and BER encoding and
decoding. The agent is also responsible for sending trap messages to SNMP
management systems.
The second service is the SNMP trap service (SNMPTRAP.EXE ), which listens
for traps sent to the NT host and then passes the data along to the Microsoft
SNMP management API.
182/340
Instalacin del agente SNMP para Windows
183/340
184/340
185/340
Detalles de la configuracin del agente SNMP
para Windows
Haga clic en Inicio, seleccione Panel de control,
Herramientas administrativas y, a continuacin, haga clic en
Administracin de equipos.
En el rbol de consola, expanda Servicios y Aplicaciones y, a
continuacin, haga clic en Servicios.
En el panel de la derecha, haga doble clic en Servicio SNMP.
Haga clic en la ficha Agente.
Escriba el nombre del usuario o administrador del equipo en
el cuadro Contacto y despus escriba la ubicacin fsica del
equipo o contacto en el cuadro Ubicacin. Estos comentarios
se tratan como texto y son opcionales.
186/340
187/340
En Servicio, haga clic para activar las casillas de verificacin
situadas junto a los servicios proporcionados por el equipo. Las
opciones de servicio son las siguientes:
Fsico: especifica si el equipo administra dispositivos fsicos
como una particin de disco duro.
Aplicaciones: especifica si el equipo utiliza programas que
envan datos a travs de TCP/IP.
Vnculo de datos y subred: especifica si este equipo
administra una subred o un vnculo de datos TCP/IP, como un
puente.
Internet: especifica si este equipo acta como una puerta de
enlace IP (enrutador).
De un extremo a otro: especifica si este equipo acta como un
host IP.
Haga clic en Aceptar.
188/340
189/340
Cmo configurar comunidades y capturas (traps) SNMP
Haga clic en Inicio, seleccione Panel de control, Herramientas
administrativas y, a continuacin, haga clic en Administracin de
equipos.
En el rbol de consola, expanda Servicios y Aplicaciones y, a
continuacin, haga clic en Servicios.
En el panel de la derecha, haga doble clic en Servicio SNMP y haga
clic en la ficha Capturas.
En el cuadro Nombre de comunidad, escriba el nombre de
comunidad que distinga entre maysculas y minsculas al que este
equipo enviar mensajes de captura y despus haga clic en Agregar
a la lista.
En Destinos de capturas, haga clic en Agregar.
En el cuadro Nombre, direccin IP o IPX del host, escriba el
nombre, direccin IP o direccin IPX del host y despus haga clic
en Agregar.
El nombre o la direccin del host aparecern en la lista Destinos de
capturas. Luego haga clic en Aceptar.
190/340
191/340
Cmo configurar la seguridad SNMP
Haga clic en Inicio, seleccione Panel de control, Herramientas
administrativas y, a continuacin, haga clic en Administracin de
equipos.
En el rbol de consola, expanda Servicios y Aplicaciones y, a
continuacin, haga clic en Servicios.
En el panel de la derecha, haga doble clic en Servicio SNMP.
Haga clic en la ficha Seguridad.
Haga clic para activar la casilla de verificacin Enviar captura de
autenticacin (si no est activada ya) si desea que se enve un
mensaje de captura siempre que la autenticacin falle.
En Nombres de comunidad aceptados, haga clic en Agregar.
Para especificar cmo procesa el host las solicitudes SNMP desde
la comunidad seleccionada, haga clic en el nivel de permiso que
desee en el cuadro Derechos de comunidad.
192/340
En el cuadro Nombre de comunidad, escriba el nombre de
comunidad que distinga entre maysculas y minsculas que desee
y, a continuacin, haga clic en Agregar.
Especifique si acepta o no los paquetes SNMP de un host. Para
ello, realice una de las acciones siguientes:
Para aceptar solicitudes SNMP desde cualquier host de la
red, independientemente de la identidad, haga clic en
Aceptar paquetes SNMP de cualquier host.
Para limitar la aceptacin de paquetes SNMP, haga clic en
Aceptar paquetes SNMP de estos hosts, despus haga clic
en Agregar y, por ltimo, escriba el nombre, direccin IP o
direccin IPX apropiados del host en el cuadro Nombre,
direccin IP o IPX del host.
Haga clic en Agregar.
Haga clic en Aceptar.
193/340
194/340
Se puede agregar un nombre secreto de
comunidad (ej. private) para lectura y escritura.
195/340
File Description
DHCP.MIB Extension agent implementing the DHCP server MIB
(1.3.6.1.4.1.311.1.3)
DHCPMIB.DLL Extension agent is part of the DHCP server installation
FTP.MIB Microsoft Internet Information Server FTP server MIB
(1.3.6.1.4.1.77.1.7.2.1)
GOPHERD.MIB Microsoft Internet Information Server gopher server MIB
(1.3.6.1.4.1.77.1.7.4.1)
HTTP.MIB Microsoft Internet Information Server HTTP server MIB
(1.3.6.1.4.1.77.1.7.3.1)
INETMIB1.DLL Extension agent implementing MIB-II (1.3.6.1.2.1)
INETSRV.MIB Microsoft Internet Information Server MIB (1.3.6.1.4.1.77.1.7.1.1)
LANMAN.MIB Original LAN Manager MIB. Superseded by LMMIB2.MIB
LMMIB2.MIB
LMMIB2.DLL
Extension agent implementing the LAN Manager MIB 2
(1.3.6.1.4.1.77.1.3)
WINS.MIB
WINSMIB.DLL
Extension agent implementing the WINS server MIB
(1.3.6.1.4.1.311.1.2)
Agentes de extensin de Microsoft para Windows
196/340
http://www.snmp-informant.com
http://68.149.150.106/snm/snm.cgi
Otros agentes de extensin para Windows
197/340
SNMP Informant is an innovative and enabling technology, designed
to breathe new life into the SNMP Management of Windows
operating systems.
By simply installing SNMP Informant (after the Microsoft SNMP
service) on Windows 2000, Windows XP and Windows 2003 systems,
low-level, mission critical performance data can be collected and
monitored using standard SNMP tools and applications.
The "Standard agent is completely free, and allows you to monitor
over 60 stats from the "core four" system performance indicators
(CPU, Disk, Memory and Network).
Hundreds of companies around the world are using SNMP
Informant-Standard across their Windows enterprises!!
198/340
SNMP Informant is an SNMP Performance Counter Extension Agent,
designed to load on top of (it requires) the Microsoft SNMP service.
The diagram below illustrates the relationship between SNMP
Informant, the MS SNMP service and other SNMP extension agents.
199/340
200/340
201/340
202/340
203/340
204/340
205/340
SNMP-Informant Motherboard Monitor (MBM)
Using the MIBs provided with SNMP Informant-MBM, you can target and
collect values from all the sensors detected by MBM.
This includes CPU and chassis fan speed, temperature probes and core
voltage levels.
The image below shows an example of sensors (i.e. Case and CPU
temperature) extracted from Motherboard Monitor by Informant-MBM.
206/340
207/340
NOTA: SNMP-Informant requiere
que se instale previamente este
producto, tambin gratuito.
http://mbm.livewiredev.com
208/340
209/340
Prctica sobre gestin de redes con SNMP
Prof. Vincenzo Mendillo
Objetivo
Familiarizarse con el uso de las funciones de SNMP
(Simple Network Management Protocol) para el
monitoreo y la configuracin de equipos, sistemas y
servicios en redes TCP/IP, utilizando los comandos Get,
Set y Trap para el acceso a variables MIB pblicas y
privadas.
210/340
Agente SNMP en Linux
En la mayora de los sistemas Linux, se incluye un agente de
SNMP que se trata de uno de los ms desarrollados en la
actualidad.
Se trata de la actualizacin de la librera SNMP de la Universidad
de California en Davis (UCD).
La librera se llamaba, en versiones previas ucd-snmp, ahora se
denomina net-snmp.
Esta librera ha sido muy actualizada y desarrollada e incluye las
herramientas de SNMP tradicionales.
La versin actual 4.1 incluye soporte para todas las versiones de
SNMP (desde la uno, a la tres).
Los agentes de SNMP que instala son perfectamente extensibles,
tanto a travs del propio cdigo (con la API proporcionada) como
a travs de comandos definidos en la configuracin.
211/340
MIB privada UCD-SNMP-MIB para Linux
CPU Statistics
Load
1 minute Load: 1.3.6.1.4.1.2021.10.1.3.1
5 minute Load: 1.3.6.1.4.1.2021.10.1.3.2
15 minute Load: 1.3.6.1.4.1.2021.10.1.3.3
CPU
percentage of user CPU time: 1.3.6.1.4.1.2021.11.9.0
raw user cpu time: 1.3.6.1.4.1.2021.11.50.0
percentages of system CPU time: 1.3.6.1.4.1.2021.11.10.0
raw system cpu time: 1.3.6.1.4.1.2021.11.52.0
percentages of idle CPU time: 1.3.6.1.4.1.2021.11.11.0
raw idle cpu time: 1.3.6.1.4.1.2021.11.53.0
raw nice cpu time: 1.3.6.1.4.1.2021.11.51.0
212/340
Memory Statistics
Total Swap Size: .1.3.6.1.4.1.2021.4.3.0
Available Swap Space: .1.3.6.1.4.1.2021.4.4.0
Total RAM in machine: .1.3.6.1.4.1.2021.4.5.0
Total RAM used: .1.3.6.1.4.1.2021.4.6.0
Total RAM Free: .1.3.6.1.4.1.2021.4.11.0
Total RAM Shared: .1.3.6.1.4.1.2021.4.13.0
Total RAM Buffered: .1.3.6.1.4.1.2021.4.14.0
Total Cached Memory: .1.3.6.1.4.1.2021.4.15.0
Disk Statistics
Path where the disk is mounted: 1.3.6.1.4.1.2021.9.1.2.1
Path of the device for the partition: 1.3.6.1.4.1.2021.9.1.3.1
Total size of the disk/partion (kBytes): 1.3.6.1.4.1.2021.9.1.6.1
Available space on the disk: 1.3.6.1.4.1.2021.9.1.7.1
Used space on the disk: 1.3.6.1.4.1.2021.9.1.8.1
Percentage of space used on disk: 1.3.6.1.4.1.2021.9.1.9.1
213/340
Sistema de Gestin mediante SNMP
Parte 2
Limitaciones de la primera versin de SNMP
Evolucin de SNMPv1 hacia SNMPv2
Nuevos tipos de datos y de mensajes en SNMPv2
GetBulkRequest e InformRequest
Seguridad en SNMPv2
Caractersticas y arquitectura de SNMPv3
Modelos de seguridad USM y VACM
Coexistencia de SNMP v1, v2 y v3 y uso de Proxy
214/340
Limitaciones de la primera versin de SNMP
Desde su nacimiento en 1988, SNMP ha sido el
protocolo ms utilizado para la gestin de redes, pero
adolece de los siguientes problemas:
Falta de mecanismos de seguridad robustos que
garanticen la integridad, autenticidad y
confidencialidad del los mensajes SNMP.
No existe la posibilidad de asegurar que las PDUs
SNMP recibidas por un agente provengan de la
estacin de gestin y no de cualquier otra estacin.
Por ello es posible alterar las variables MIB de
cualquier agente desde cualquier estacin a travs
de un mensaje SetRequest. Basta conocer el nombre de la
comunidad (ej. private, cisco).
215/340
El mecanismo de obtencin de tablas es mediante
peticiones repetidas GetNext, lo que genera
demasiado trfico por la red.
SNMP no posee la facilidad de obtener bloques de
informacin en una sola peticin a los agentes.
216/340
No es fcil la gestin distribuida o jerrquica.
SNMP no permite la existencia de varias estaciones de
gestin en un solo sistema.
Es complicado intercambiar informacin de gestin
consolidada entre estaciones gestoras (ej. consumo para
facturacin).
Network
Management
System
217/340
Limitaciones en el comando Trap.
SNMP no define el mecanismo por el cual un trap debe ser
enviado ni explica qu informacin debe enviar el agente
como parte del trap; slo se especifica que debe incluir
informacin interesante.
Por ello los traps son especficos a cada implantacin.
Adems slo se reportan en eventos pre-programados y
cuando ocurre una falla diferente, si el trap la reporta, lo
har incorrectamente.

218/340
Evolucin de SNMPv1 hacia SNMPv2
El grupo encargado de desarrollar las especificaciones
de SNMP, reconoci estas limitantes en el protocolo y
poco tiempo despus de la estandarizacin de SNMP,
la IETF comenz las labores para mejorarlo.
De este esfuerzo, surgi en julio de 1992 un conjunto
de documentos referidos como SNMP Seguro
(S-SNMP, Secure SNMP).
219/340
Paralelamente, un grupo formado por cuatro de los
principales participantes en el desarrollo de SNMP,
propuso SMP (Simple Management Protocol).
SMP incorporaba mejoras funcionales a SNMP
incluyendo, con menores modificaciones, las mejoras
de seguridad de S-SNMP.
Adems, SMP incorporaba algunos conceptos de
RMON (Remote Monitoring MIB), incluyendo las
especificaciones de alarmas y eventos, y una tcnica
simple para crear y eliminar filas en una tabla.
220/340
Tomando como base las propuestas S-SNMP y SMP, la
IETF form en otoo de 1992 dos grupos de trabajo
para definir un protocolo que sera llamado SNMPv2
(SNMP versin 2).
El grupo conocido como Grupo de Trabajo de SNMPv2
(SNMPv2 Working Group) fue el encargado de definir
todos los aspectos diferentes al de seguridad,
incluyendo SMI, MIB y protocolo.
Este trabajo se bas principalmente en SMP y en
diciembre de 1992 el grupo public un conjunto de
nueve documentos propuestos como estndares de
Internet.
221/340
El otro grupo, Grupo de Trabajo de Seguridad de
SNMPv2 (SNMPv2 Security Working Group), fue
encargado de desarrollar los aspectos de seguridad de
SNMPv2.
El trabajo fue basado sustancialmente en S-SNMP y
en enero de 1993 se public un documento borrador
con los resultados de los trabajos.
222/340
Evolucin de SNMPv2 a partir de SNMP
SNMPv2 presenta grandes mejoras en
comparacin con su predecesor SNMPv1 (antes
llamado simplemente SNMP).
223/340
224/340
Nuevos tipos de datos en SNMPv2
Integer32 A defined type that represents integer-valued information
between -2
31
and 2
31
-1 inclusive (-2147483648 and
2147483647 decimal). [Note: This type is indistinguishable
from the INTEGER type, although the INTEGER type may
have different numerical constraints].
Counter32 A defined type that represents a non-negative integer that
monotonically increases until it reaches o maximum value of
2
32
-1 (4294957295 decimal) then wraps around
and starts increasing again from zero.
Counter64 A defined type that represents a nonnegative integer that
monotonically increases until reaches a maximum value of
2
64
-1 (18446744073709551615 decimal), then wraps
around and starts increasing again from zero. Counter64 is
used for objects for whichthe 32-bit counter (counter32) is
too small, or which would wrap around too quickly.
225/340
Unsigned32 A defined type that represents integer-valued information
between 0 and 2
32
-1 (4294967295 decimal), inclusive.
Gauge32 A defined type that represents a nonnegative integer which
may increase or decrease, but which never exceeds a
maximum value (2
32
-l, as above).
BITS A constructed which represents an enumeration of
named bits.
226/340
Nuevos tipos de mensajes en SNMPv2:
GetBulkRequest e InformRequest
GetBulkRequest permite obtener mltiples filas de una
tabla con una nica peticin,
InformRequest permite a una estacin administradora
enviar informacin de gestin a otra estacin
administradora, sin que exista una peticin previa.
Con estas dos nuevas PDUs, SNMPv2 elimina dos de las
serias limitantes de SNMPv1: la imposibilidad de obtener
eficientemente grandes bloques de informacin y la
imposibilidad de implantar esquemas de gestin
distribuida.
227/340
GetBulkRequest
allows one SNMP
message to
access multiple
objects in a MIB
InformRequest
allows manager-
to-manager
communication
Manager
Agent
GetRequest
GetResponse
GetNextRequest
Trap
SetRequest
GetBulkRequest
GetBulkResponse
InformRequest
InformRequest-
Response
Manager
Nuevos tipos de mensajes en SNMPv2:
GetBulkRequest e InformRequest
228/340
1.3.6.1.6.3
Nuevas MIB en SNMPv2
Hay una extensin del rbol MIB para SNMPv2, donde se
colocan los nuevos mdulos a medida que surjan.
229/340
Ampliacin del grupo System para SNMPv2
sysORLastChange: El valor de
sysUpTime en el momento del
ltimo cambio de estado o valor
de cualquier instancia de
sysORID.
SysORtable: La tabla
(conceptual) con la lista de
capacidades de la entidad local
SNMPv2 actuando como agente
con respecto a varios mdulos
MIB. Las entidades SNMPv2 con
soporte dinmicamente
configurable de mdulos MIB
tendrn un nmero
dinmicamente variable de filas
conceptuales.
230/340
sysORTable
The sysORTable defined in SNMPv2 MIB has the following columns
defined in it:
sysORIndex - the index column.
sysORID - the OID of the MIB Module supported by the Agent.
sysORDescr - the Description of the MIB Module.
sysORUpTime - the sysUpTime when the row was last instantiated.
231/340
Redefinicin del trap en SNMPv2
232/340
Seguridad en SNMPv2
En cuanto a seguridad se refiere, SNMPv2 incorpora
diferentes mecanismos para proteger la informacin de
gestin transportada por los mensajes SNMP de los
posibles aspectos de peligro mostrados en la tabla
siguiente.
Estos mecanismos son:
Resumen de mensajes MD5 (Message Digest 5): crea un
extracto (digesto) de los mensajes y verifica el origen del
mismo.
Estndar de Cifrado de Datos (DES, Data Encryption
Standard): encripta los mensajes SNMP para proteger su
contenido.
Relojes Ligeramente Sincronizados (Loosely Synchronized
Clocks): permite incorporar marcas de tiempo con soporte
interno para sincronizar los relojes.
233/340
Aspectos considerados peligrosos para la informacin
transmitida y mecanismos de proteccin
234/340
Los administradores de red pueden implantar los tres
mecanismos individualmente o conjuntamente, dependiendo
del nivel de seguridad requerido.
El esquema de mxima seguridad requiere de los tres
mecanismos actuando conjuntamente.
Una forma de implantarlo sera la siguiente: el nodo origen
utiliza MD5 para crear el resumen (hash) y la autenticacin
del mensaje, le aplica una marca de tiempo (time stamp) y lo
encripta utilizando DES.
El nodo receptor primero desencripta el mensaje, chequea la
marca de tiempo para asegurarse que el mensaje es reciente
y que adems es el ltimo mensaje enviado desde el nodo
origen, para luego procesar el resumen (hash) y verificar la
autenticidad del mismo.
235/340
Lamentablemente, los esquemas de seguridad, aunque
incluyen mejoras en cuanto a las capacidades del
protocolo, degradan el rendimiento del mismo.
MD5 necesita aproximadamente un incremento del 10%
en tiempo de procesamiento, y si utiliza DES, el tiempo
de procesamiento puede duplicarse.
Adems, dos puntos importantes comprometen los
esquemas de seguridad de SNMPv2: dado que la marca
de tiempo utiliza relojes ligeramente sincronizados, es
posible que ambos relojes difieran tanto, que un
mensaje vlido sea eliminado.
Por otro lado, DES es vulnerable dado que depende de
un mecanismo confiable para el transporte de las
contraseas.
236/340
As que por cuestiones de desempeo y otros factores,
SNMPv2 no fue completamente aceptado y en la redes
se ha estado utilizando una variante llamada SNMPv2c,
publicado en enero de 1996 en la RFC 1901.
En SNMPv2c se sigue utilizando el nombre de la
comunidad para el control de acceso.
Hubo que esperar que saliera SNMPv3 en 1997 y 1998
para que se aceptaran mecanismos de seguridad ms
robustos.
237/340
La evolucin de SNMP
c
238/340
La evolucin de SNMP
239/340
Estndares SNMPv3 de 1997/98 (en parte obsoletos)
240/340
RFC 3410 (Informational). Introduction and Applicability Statements for Internet
Standard Management Framework (December 2002)
RFC 3411. An Architecture for Describing SNMP Management Frameworks
(December 2002)
RFC 3412. Message Processing and Dispatching (December 2002)
RFC 3413. SNMP Applications (December 2002)
RFC 3414. User-based Security Model (December 2002)
RFC 3415. View-based Access Control Model (December 2002)
RFC 3416. Version 2 of SNMP Protocol Operations (December 2002)
RFC 3417. Transport Mappings (December 2002)
RFC 3418. Management Information Base (MIB) for the Simple Network
Management Protocol (SNMP) (December 2002)
RFC 3584. Coexistence between Version 1, Version 2, and Version 3 of the
Internet-standard Network Management Framework (August 2003)
RFC 3826. The Advanced Encryption Standard (AES) Cipher Algorithm in the
SNMP User-based Security Model (J une 2004)
Estndares SNMPv3 recientes
241/340
242/340
Seguridad en SNMPv3
SNMPv3 protege contra los siguientes tipos de ataque:
Modificacin del contenido de los mensajes.
Modificacin del orden o flujo de los mensajes.
Captura y reenvo de mensajes viejos.
Suplantacin o usurpacin de identidad para realizar
operaciones no autorizadas.
Revelacin del contenido de los mensajes.
Existen al menos dos amenazas contra las cuales
SNMPv3 no ofrece proteccin, debido a que son
considerados de menor importancia en este contexto:
Anlisis de trfico y negacin de servicio (DoS).
243/340
Anlisis de trfico
Es una tcnica sutil para obtener informacin de una
comunicacin (cuando por ejemplo los datos viajan
encriptados) y puede consistir en:
Obtencin del origen y destino de la comunicacin, por
ejemplo observando las cabeceras de los paquetes IP
encriptados.
Registro del volumen de trfico intercambiado entre las
entidades monitoreadas, obteniendo as informacin acerca
de actividad o inactividad inusuales.
Registro de las horas habituales de intercambio de datos
entre las entidades monitoreadas, para as obtener
informacin acerca de los perodos de actividad.
244/340
Ejemplo de DOS (Denial of Service) en SNMP
El switch Cisco Catalyst Switch (CCS) en su versin
2900XL, se ve afectado por un ataque de negacin de
servicios, que puede dar lugar a tener que reiniciarlo.
Si el switch de Cisco tiene SNMP deshabilitado y un
atacante enva una serie de paquetes UDP nulos contra el
puerto SNMP (en este caso el 161) podr causar una
ralentizacin o cada del servicio.
245/340
Ejemplo de DOS (Denial of Service) en SNMP
Ciertas impresoras HP JetDirect se cuelgan o imprimen
pginas con basura cuando reciben un paquete SNMP
ilegal.
Debido a que el problema radica en el "firmware"
instalado en la propia impresora, la nica solucin
consiste en filtrar los datagramas SNMP dirigidos a las
mismas provenientes de redes externas (puerto UDP
161 y 162).
246/340
Hispasec - una-al-da 28/07/2008
www.hispasec.com
Se ha informado sobre una vulnerabilidad en el System
Management Agent (SMA) del demonio snmpd(1M) de
Solaris 10 y OpenSolaris que podra ser aprovechada por
un atacante remoto para ejecutar cdigo arbitrario con
los permisos del demonio SNMP o hacer que ste deje de
responder.
La vulnerabilidad se debe a un desbordamiento de buffer
en la funcin '__snprint_value'.
Esto puede permitir la ejecucin de cdigo a travs del
envo de una cadena de caracteres especialmente
manipulada.
247/340
Seguridad en SNMPv3
248/340
Proteccin de la integridad
Se hace un resumen del mensaje SNMP a enviar mediante la
funcin hash MD5 o SHA1, obteniendo el MAC (Message
Authenticaction Code).
El receptor verifica si el mensaje recibido est intacto,
calculando el hash del mensaje recibido comparndolo con el
MAC anexo al mensaje.
Si los resultados son distintos, significa que el mensaje se
da o fue alterado intencionalmente.
249/340
Ataque del hombre en el medio
Si los MAC son iguales, el mensaje probablemente est
intacto.
Pero no se puede tener la certeza de que est intacto,
ya que un intruso podra eventualmente haber
interceptado y alterado el mensaje, recalculando el
MAC para que no se detecte el cambio.
A este tipo de ataque
se le llama hombre en
el medio (MITM:
man-in-the-middle).
250/340
Hashed Message Authentication Code (HMAC)
Para impedir este tipo de ataque, se usa HMAC, donde el
resumen es funcin del mensaje y de una clave secreta
compartida entre ambos extremos.
251/340
Proteccin de la confidencialidad de
mediante la criptografa
El mensaje SNMP es encriptado con el algoritmo DES
o AES utilizando una clave secreta comn entre el
manager y el agente.
Clave
secreta
Clave
secreta
Mensaje
cifrado
Mensaje
cifrado
252/340
Seguridad en SNMPv3
253/340
Seguridad en SNMPv3
Autenticidad, confidencialidad y control de acceso
254/340
Un mensaje SNMPv3 contiene ms campos que
SNMPv1 por los mecanismos de seguridad
255/340
Punto de Acceso Inalmbrico PROXIM ORiNOCO AP-700
Ejemplo de equipo que posee agente SNMPv3
256/340
Recientes vulnerabilidades descubiertas en SNMPv3
Junio 2008
Multiple implementations of the SNMPv3 management protocol
contain a vulnerability which can be used to circumvent the
authentication process.
In contrast to SNMPv2, in which the only access protection is plain
text community strings, SNMPv3 uses Hash Message Authentication
Codes (HMAC), for which, according to RFC3414, HMAC-MD5-96 or
HMAC-SHA-96 can be used.
As well as the normal hash, a secret key also flows into the HMAC.
According to a security advisory in the open source implementations
Net-SNMP and UCD-SNMP, sending a one byte HMAC to the
recipient is sufficient to successfully authenticate an SNMP request.
The only obstacle is selecting the correct byte from the 256
possibilities not much of a problem for an attacker. As a result
devices can be reconfigured or data queried.
257/340
US-CERT recommends activating SNMPv3 encryption until a
patch is available.
This leaves the HMAC unencrypted, but encrypts the actual
request. Without the correct key, however, the device will
discard the SNMP packet, even with correct authentication.
Net-SNMP versions 5.4.1, 5.3.2 and earlier, and 5.2.4 and
earlier are affected. All versions of UCD-SNMP are
vulnerable; likewise the eCos project which is based upon it.
Updates are available for Net-SNMP, but are not yet available
for UCD-SNMP and eCos.
Cisco has published a report on the problem and has indicated
that the problem exists with both HMAC-MD5-96 and HMAC-
SHA-96. IOS and CatOS as well as ACE and Nexus products
are all affected. The SNMP server in these products is,
however, by default deactivated. Cisco has released updates.
US-CERT also includes Juniper, Network Appliance, Red Hat,
Sun and Ubuntu in its list of affected vendors.
258/340
Vulnerability Note VU#878044
SNMPv3 improper HMAC validation allows authentication bypass
A vulnerability in the way implementations of SNMPv3 handle specially
crafted packets may allow authentication bypass.
SNMP can be configured to utilize version 3, which is the current
standard version of SNMP. SNMPv3 incorporates security features
such as authentication and privacy control among other features.
Authentication for SNMPv3 is done using keyed-Hash Message
Authentication Code (HMAC), a message authentication code calculated
using a cryptographic hash function in combination with a secret key.
Implementations of SNMPv3 may allow a shortened HMAC code in the
authenticator field to authenticate to an agent or a trap daemon using a
minimum HMAC of 1 byte.
This issue is known to affect Net-SNMP and UCD-SNMP. Other SNMP
implementations may also be affected.
259/340
Detalles de la arquitectura SNMP versin 3
260/340
Arquitectura SNMP genrica (manager o agente)
Entidad
SNMP
261/340
La arquitectura SNMP est descrita en
una serie de documentos RFC
262/340
Arquitectura del manager
263/340
Arquitectura del agente
264/340
Mdulo: Aplicaciones SNMP
265/340
Mdulo: Motor SNMP
266/340
Mdulo: Motor SNMP
267/340
Ejemplo de parmetros SNMP
268/340
El parmetro snmpEngineID
269/340
Los parmetros de contexto
270/340
A SNMP message optionally take a --contextengineid and --
contextname argument.
The --contextengineid argument expects a hexadecimal string
representing the desired contextEngineID. The string must be
10 to 64 characters (5 to 32 octets) long and can be prefixed
with an optional "0x". Once the --contextengineid is specified it
stays with the object until it is changed again or reset to
default by passing in the undefined value. By default, the
contextEngineID is set to match the authoritativeEngineID of
the authoritative SNMP engine.
The contextName is passed as a string which must be 0 to 32
octets in length using the --contextname argument. The
contextName stays with the object until it is changed. The
contextName defaults to an empty string which represents the
"default" context.
Los parmetros de contexto
271/340
Modelo de seguridad USM
272/340
Funciones criptogrficas
273/340
Autenticacin con MAC
274/340
Cifrado con DES-CBC
275/340
Niveles de seguridad USM
276/340
MIB USM
277/340
MIB USM
1.3.6.1.6.3.16
1.3.6.1.6
278/340
Atributos del usuario en usmUserTable
279/340
280/340
Otras MIB en SNMPv3
281/340
Otras MIB en SNMPv3
1.3.6.1.6
282/340
Gestin de claves en USM
283/340
Gestin de claves
284/340
Localizacin y proteccin de las claves
285/340
Flujo de envo y recepcin de mensajes SNMv3
286/340
Proceso de envo de mensajes SNMPv3
287/340
Proceso de recepcin de mensajes SNMPv3
288/340
SNMPv3 especifica el modelo de Seguridad Basado en
Usuario (USM) que se utiliza en el encabezado del mensaje
Encapsulacin de mensajes SNMPv3
289/340
Definicin del mensaje SNMPv3 en ASN.1
290/340
Estructura de mensajes SNMPv3
291/340
Contenido de mensajes SNMPv3
292/340
Decodificacin de mensajes SNMPv3
293/340
Las banderas en mensajes SNMPv3
294/340
El modelo de seguridad en mensajes SNMPv3
295/340
Parmetros de seguridad en mensajes SNMPv3
296/340
Parmetros de seguridad en mensajes SNMPv3
297/340
Parmetros de seguridad en mensajes SNMPv3
Ya que no usa encriptacin
298/340
Mensaje SNMPv3 autenticado y encriptado
299/340
Entidad con autoridad
La utilizacin de entidad con autoridad y sin autoridad es
para impedir ataques de rplica, es decir el reenvo de
mensajes viejos.
300/340
Entidad con autoridad
En la comunicacin entre 2 entidades SNMP, una de ellas
acta con autoridad, de acuerdo a las siguientes reglas:
La entidad con autoridad es la que mantiene el reloj y la no
autoritaria se sincroniza a ese reloj usando la informacin de
tempo que va en msgAuthoritativeEngineTime.
301/340
For messages sent on behalf of a Command Generator and
for Inform messages from a Notification Originator, the
receiver is authoritative.
For messages sent on behalf of Command Responder or for
Trap messages from a Notification Originator, the sender is
authoritative.
The timeliness of a message is determined with respect to a
clock maintained by the authoritative engine.
When an authoritative engine sends a message (Trap,
Response, Report), it contains the current value of its clock,
so that the non-authoritative recipient can synchronize on
that clock. When a non-authoritative engine sends a message
(Get, GetNext, GetBulk, Set, Inform), it includes its current
estimate of the time value at the destination, allowing the
destination to assess the messages timeliness.
302/340
Authoritative engine maintains two objects, snmpEngineBoots
and snmpEngineTime, that refer to local time.
Nonauthoritative engine must remain loosely synchronized
with each authoritative SNMP engine with which it
communicates.
For that purpose nonauthoritative engine keeps a local copy of
three variables per remote engine ID:
1. snmpEngineBoots of remote engine
2. snmpEngineTime this engines notion of snmpEngineTime
for the remote authoritative engine
3. latestReceivedEngineTime the highest value of
msgAuthoritativeEngineTime that has been received by
this engine for the remote authoritative engine.
303/340
When authoritative entity receives authenticated message it
checks encoded boots and time values.
Boots must match, and time must be within 150 seconds time
window.
If received message does not satisfy this condition, report-
pdu not in time window is sent back.
Authoritative engine inserts its own boots and time in the
report and response message so nonauthoritative engine can
update local copies of these values.
304/340
Reporte de error debido a mensaje viejo
305/340
Modelo de seguridad VACM
306/340
Modelo de seguridad VACM
307/340
Modelo de seguridad VACM
Vista permitida
de la MIB
308/340
MIB VACM
309/340
MIB VACM
1.3.6.1.6
1.3.6.1.6.3.15
310/340
Ejemplo de configuracin de vistas para un usuario (UserX)
Verde: Read y Write
en 1.3.6.1.1.2.1.1 y 1.3.6.1.1.2.1.4
Rojo: Ni Read ni Write
en 1.3.6.1.1.2.1.2
Amarillo: Slo Read
en 1.3.6.1.1.2.1.3
311/340
Read y Write
en 1.3.6.1.1.2.1.1 y
1.3.6.1.1.2.1.4
Ni Read ni Write
en 1.3.6.1.1.2.1.2
Slo Read
en 1.3.6.1.1.2.1.3
Ejemplo de configuracin de vistas para un usuario (UserX)
312/340
Proceso de control de acceso
313/340
Proceso de control de acceso
314/340
Proceso de control de acceso
315/340
Proceso de control de acceso
316/340
Proceso de control de acceso
317/340
Proceso de control de acceso
318/340
Coexistencia de SNMP v1, v2 y v3
The Coexistence document, RFC 1908, presents a
number of guidelines that outline the modifications
necessary for successful coexistence of SNMPv1 and
SNMPv2.
Some of the issues noted in RFC 1908 deal with MIB
structures, such as object definitions, trap
definitions, compliance statements. and capabilities
statements, that must be updated to conform to the
specifications in SNMPv2.
From a practical point of view, two methods are
defined to achieve coexistence: a proxy agent and a
bilingual manager.
319/340
Coexistencia de SNMP v1, v2 y v3
Un agente proxy se encarga de traducir los
mensajes de un formato a otro
Otra alternativa el un gestor que maneje las tres versiones y
que se comunique con el agente segn la versin del agente.
320/340
Uso de agentes proxy en SNMP
321/340
SMS
Gateway
Monitor
Server
Agente Proxy
(Cliente)
Administrador (HP
Open View)
XML
SNMP traps
XML
Un ejemplo de proxy para SNMP
TESIS: Mdulos de control y redundancia para un gateway de Short
Message Service (SMS) en telefona mvil celular
AUTORA: Ana Mara Valero Prez
INSTITUCIN: Universidad Central de Venezuela, Escuela de Ingeniera
Elctrica
NIVEL: Postgrado (Especializacin)
FECHA: Abril 2003
322/340
Ms sobre SNMPv3

OVERVIEW:

DESIGN DECISIONS

ARCHITECTURE

SNMP MESSAGE STRUCTURE

SECURE COMMUNICATION

USER SECURITY MODEL (USM)

ACCESS CONTROL

VIEW BASED ACCESS CONTROL MODEL (VACM)

IMPLEMENTATIONS

RFCs
323/340
SIMULACIN DE UN AGENTE DE SNMPv3
UTILIZANDO UNA HERRAMIENTA DE ADVENTNET
Isaura Gonzlez Fontcuberta
Tutor: Vincenzo Mendilllo
Caracas, septiembre 2007
Facultad de Ingeniera
Escuela de Ingeniera de Sistemas
324/340
Ms sobre SNMPv3
325/340
Ms sobre SNMPv3
326/340
http://snmp.com
Ms sobre SNMPv3
327/340
Agente SNMP para Linux y Windows
328/340
Agente SNMP para Linux
329/340
Agente SNMP para Windows
330/340
Configuracin del agente SNMPv3 de NUDesign
331/340
http://marksw.com
Agente SNMPv3 de Mark Southwest (MARK SW)
332/340
Configuracin del agente SNMPv3 de Mark Southwest
333/340
Prctica sobre gestin avanzada
de redes con SNMPv3
Prof. Vincenzo Mendillo
Objetivo
Familiarizarse con la versin 3 de SNMP (Simple
Network Management Protocol), la cual provee
autenticidad y confidencialidad para la gestin
segura de redes, equipos, sistemas y servicios
que operan en redes TCP/IP.
334/340
Para aprender ms sobre SNMP
335/340
Introduction
Chapter 1Network Management Architectures
Chapter 2The Structure of Management
Information
Chapter 3Management Information Bases
Chapter 4The Simple Network Management
Protocol
Chapter 5SNMP Version 2
Chapter 6Lower Layer Support for SNMP
Chapter 7Case Studies in Implementing SNMP
Appendix A-G
Index
336/340
337/340
Tutorial sobre SNMP
338/340
339/340
340/340
Concluy el tema:
Sistema de Gestin mediante SNMP
Muchas gracias por su atencin!!
Consultar los libros
sobre Gestin de Redes
Contestar el
cuestionario