Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Redes
Redes
Introduccin.2
Desarrollo.3
Protocolo SNMP.3
Manager y agente 4
Componentes de administracin5
Rol de SNMP..6
Rol de SMI..6
Rol de MIB..6
Arquitectura..7
Objetivo de la arquitectura..7
Versiones7
Versin 17
Versin 28
Versin 39
Ejemplo SNMPv211
SMI.11
Nombre12
Tipo..12
Tipo de estructura13
Mtodo de codificacin BER.14
MIB16
Comunidad Pblica y privada..18
Funcionamiento19
Mensaje SNMP20
Conclusiones24
Bibliografa25
Introduccin:
Para responder al desafo que supone el diseo de la plataforma de administracin eficaz de red para
redes heterogneas basadas en TCP/IP se dise el protocolo simple de administracin de red en 1988 y lo
aprob el consejo de actividades de internet (IAB, internet Activities Board) como un estndar de internet.
El servicio SNMP ofrece la posibilidad de supervisar y comunicar la informacin de estado entre varios
hosts. El presente documento ofrece un administrador con el material p ara entender e implementar
SNMP adems de saber que procesos corren en una mquina, que ancho de banda consume un
usuario en especfico, cual es la carga promedio del sistema, el uso de la memoria actual, el
trfico de red de cada una de las interfaces (si tuviese ms de una), que tipo de software utiliza,
y muchos otros aspectos que para un administrador de red son de vital importancia para
detectar fallos y actuar con precisin.
Desarrollo
PROTOCOLO SNMP
SNMP ofrece un mtodo para administrar los nodos de red (servidores, estaciones de trabajo,
enrutadores y concentradores) un host ubicado de forma centralizada; realiza sus servicios de
administracin utilizando una arquitectura distribuida de sistemas y agentes de distribucin.
SNMP usa el concepto de Manager y agente. Un manager, usualmente un host, controla y
monitorea a los agentes, comnmente routers o servidores. El Protocolo Simple de
Administracin de Redes (SNMP) es un protocolo de la capa de aplicacin (Capa 7 del modelo
OSI). El protocolo se utiliza para comunicar informacin de gestin entre las estaciones de
administracin de red y los agentes en los elementos de red.
MANAGER Y AGENTE
Una estacin controladora llamada manager es un host que corre un programa de cliente SNMP,
una estacin controlada llamada agente es un router (o un host), que corre el programa de
servidor SNMP. El agente mantiene la informacin en la base de datos; el manager tiene acceso a
los valores en la base de datos. Por ejemplo: un router puede almacenar en variables apropiadas
los nmeros de paquetes recibidos y reenviados. El manager puede recuperar y comparar los
valores de esas dos variables para ver si los router estn saturados o no.
El manager tambin puede realizar ciertas acciones de mejoras al router, por ejemplo: un router
checa peridicamente el valor del contador de reinicio para ver cundo se debe reiniciar a s
mismo; se reinicia a si mismo cuando el valor del contador es cero. El manager puede usar esta
caracterstica para reiniciar al agente remotamente en cualquier momento, simplemente se
enva un paquete para forzar el valor del contador a cero. El agente tambin puede contribuir al
2
El sistema de administracin tambin puede enviar una solicitud de configuracin al agente que
solicite al agente intercambiar un parmetro local; sin embargo, este hecho es poco frecuente,
ya que casi todos los parmetros de clientes tienen acceso de slo lectura.
Los agentes SNMP ofrecen sistemas de administracin SNMP con informacin sobre las
actividades que tienen lugar en la capa de Protocolo Internet (IP, Internet Protocol) y responde a
las solicitudes de sistema de administracin para informacin.
En general, los agentes no originan mensajes, simplemente responden mensajes. La excepcin
es un mensaje de alarma que se desencadena por un proceso especfico. Un mensaje de alarma
se conoce como un mensaje de captura. Un captura es un suceso que desencadena alarmas
en un equipo agente, como por ejemplo, un reinicio del sistema o un acceso ilegal. Las capturas
o lo mensajes de captura ofrecen una forma rudimentaria de seguridad notificando al sistema de
administracin cuando se produce ese tipo de suceso.
COMPONENTES DE ADMINISTRACIN
Para hacer tareas de administracin SNMP usa otros dos protocolos: SMI (estructura de la
informacin de gestin) y MIB (gestin de la informacin de base). En otras palabras la gestin
del internet se hace a travs de la cooperacin de 3 protocolos: SNMP, SMI y MIB.
SNMPv1
El framework de administracin de red original se conoca como SNMP Versin 1 (SNMPv1) y
consista de los siguientes RFCs:
RFC 1155 (sintaxis y semntica para definir objetos para administracin de red - SMI),
RFC 1157 (protocolo de administracin para acceder a los objetos, monitorearlos y controlarlos
- SNMP)
RFC 1212 (lineamientos para definir nuevos mdulos sin generar redundancia MIB Concisa).
Luego, se agreg el RFC 1213 que provee las definiciones de un conjunto central de objetos
MIB II
En la siguiente figura, se muestra el framework de administracin de SNMP v1:
SNMPv2
SNMP Versin 2, surge como evolucin natural de SNMP Versin 1, con la pretensin de aumentar
su seguridad y corregir fallos de la primera versin.
Sus caractersticas generales son las que se detallan a continuacin:
Extiende el modelo de comunicaciones considerablemente, posibilitando tanto una gestin
altamente centralizada, como distribuida
Dota a los sistemas de la capacidad de operar tanto como agentes, como gestores.
Capacidad de comunicacin gestor-gestor con la posibilidad de jerarquizar la gestin.
Mayor eficiencia en la transferencia de la informacin.
6
SNMPv3
La tercera versin de SNMP (SNMP v3), fue creada a partir de las versiones anteriores, SNMPv1 y
SNMPv2. Todas las versiones de SNMP (SNMPv1, SNMPv2 y SNMPv3), tienen la misma estructura
bsica y los mismos componentes y adems de eso conservan la misma arquitectura.
SNMPv3, refuerza las prestaciones de seguridad, incluyendo autentificacin, privacidad y control
de acceso; y de administracin de protocolo, con una mayor modularidad y la posibilidad de
configuracin remota.
El modelo de seguridad basado en usuario o USM (User-Based Security Model) proporciona los
servicios de autentificacin y privacidad en SNMPv3. El mecanismo de autentificacin en USM
asegura que un mensaje recibido fue, de hecho, trasmitido por la entidad indicada en el campo
correspondiente a la fuente en la cabecera del mensaje; y adems, que el mensaje no fue
alterado durante su trnsito y que no fue artificialmente retardado o repetido. Para conseguir la
autentificacin, el gestor y el agente que desean comunicarse deben compartir la misma clave
de autentificacin secreta configurada previamente fuera de SNMPv3 (no es almacenada en la
MIB y no es accesible mediante SNMP). El protocolo de autentificacin utilizado puede ser el
HMAC-MD5-96 o el HMAC-SHA-96. Para asegurarse de que los mensajes llegan dentro de una
ventana temporal razonable que descarte el posible retardo de mensajes y el ataque mediante
mensajes repetidos, se utilizan mecanismos de sincronizacin entre emisor y receptor y el
chequeo de la ventana temporal constituida por el momento de emisin del mensaje y su
7
momento de recepcin. Por otro lado, la facilidad de privacidad de USM posibilita a los gestores y
a los agentes encriptar mensajes para prevenir que sean analizados por intrusos. De nuevo, el
gestor y el agente deben compartir una clave secreta configurada previamente. El algoritmo de
encriptacin utilizado es el CBC (Cipher Block Chaining) de DES (Data Encryption Standard),
conocido tambin por DES-56.
El modelo de control de acceso basado en vistas o VCAM (Views-Based Access Control
Model) permite proporcionar diferentes niveles de acceso a las MIB de los agentes para los
distintos gestores en SNMPv3. Un agente puede, de este modo, restringir el acceso de ciertos
gestores a parte de su MIB o bien limitar las operaciones susceptibles de realizar por ciertos
gestores sobre una parte de su MIB. La poltica de control de acceso a ser utilizada por el agente
para cada gestor debe estar configurada previamente; consistiendo bsicamente en una tabla
que detalla los privilegios de acceso para los distintos gestores autorizados. Mientras que la
autentificacin es realizada por usuario, el control de acceso es realizado por grupos, donde un
grupo podra ser un conjunto de usuarios.
Ejemplo de SNMPV2
Es un ejemplo de cmo sera la trama a transmitir desde el origen al receptor. Un agente usa el
comando Trap para informarle al administrador la existencia de un problema serio en el
dispositivo. El protocolo de la capa de Internet, es IP versin 6. El datagrama de IP es el que se
muestra en la figura.
SMI
Estructura de Informacin de Gestin (Structure Management Infotmation) versin 2 SMIv2es un
componente para el manejo de la red. Sus funciones principales son:
1. Nombrar a los objetos
2. Definir el tipo de dato que puede ser almacenado en el objeto
3. Mostrar cmo codificar datos para su transmisin sobre la red
SMI es una gua para SNMP, destaca tres atributos para manejar un objeto: nombre, tipo de dato
y mtodo de codificacin.
Nombre
SMI requiere que cada objeto gestionado (como un router, una variable dentro de un router, un
valor, etc) tenga un nico nombre y de manera global. SMI usa un objeto identificador, el cual es
un identificador jerrquico, basado en una estructura de rbol. Esta estructura de rbol comienza
con una raz sin nombre.
1.3.6.1.2.1
ubicados
Tipo
El segundo atributo de un objeto es el tipo de dato almacenado en el. Para definir el tipo de dato,
SMI usa fundamentalmente definiciones de Notacin de Sintaxis Abstracta 1 (ASN.1, Abstract
Syntax Notation) y agrega algunas nuevas definiciones, en otras palabras, SMI es ambos, un
subconjunto y un supercojunto de ASN.1.
SMI tiene dos amplias categoras de tipos de datos, algunos de ellos tomados directamente de
ASN.1; otros son agregados por SMI. Lo ms importantes se muestran en la tabla 1. Los primeros
cinco son proporcionados por ASN.1; los siguientes siete son definidos por SMI.
Tipo
Entero
Tamao
4 bytes
Descripcin
Entero32
Sinsigno32
4 bytes
4 bytes
Cadena octeto
Variable
Identificador
de
Variable
31
31
2 1
32
2 1
10
objeto
Direccin IP
Contador32
4 bytes
4 bytes
Contador64
Geuge32
4 bytes
4 bytes
time ticks
4 bytes
BITS
opaque
Variable
regresa a cero
Contador de 64-bits
Igual que el contardor32, pero cuando este alcanza su
mximo valor, no se ajusta, permanece all hasta ser
reseteado.
Es un tipo de datos usado para medir tiempos. Indica el
nmero de centsimas de segundo que han transcurrido
desde un determinado evento temporal. Es un entero de 32
bits.
Una cadena de Bits
Una cadena sin interpretacin
Tabla 1. Tipos de datos.
Tipo de estructura
Mediante la combinacin de tipos de datos simples y estructurados, podemos hacer nuevos tipos
de datos estructurados. SMI define dos tipos de datos estructurados: secuencia y secuencia de.
Secuencia. Un tipo de datos de secuencia es una combinacin de tipos de datos
simples, no necesariamente del mismo tipo. Es anlogo a la idea de una estructura o un
registro utilizado en Lenguajes de programacin como C.
Secuencia de. Una secuencia de tipo de datos es una combinacin de tipos de datos
simples todo del mismo tipo o una combinacin de tipos de datos de secuencias de todos
del mismo tipo. Es anlogo al concepto de una matriz usada en lenguajes de programacin
tales como C.
11
SMI utiliza otro estndar, reglas de codificacin bsica (Basic Encoding Rules,BER), para codificar
datos a transmitir a travs de la red. BER especifica cada pieza del dato que ser codificado con
el siguiente formato: etiqueta, longitud y valor.
12
MIB
Una Base de Informacin de Administracin (Management Information Base, MIB) es una
coleccin de informacin que est organizada jerrquicamente. Las MIBs son accedidas usando
un protocolo de administracin de red, como por ejemplo, SNMP.
Un objeto administrado (algunas veces llamado objeto MIB, objeto, o MIB) es uno de cualquier
nmero de caractersticas especficas de un dispositivo administrado. Los objetos administrados
estn compuestos de una o ms instancias de objeto, que son esencialmente variables.
Existen dos tipos de objetos administrados: Escalares y tabulares. Los objetos escalares definen
una simple instancia de objeto. Los objetos tabulares definen mltiples instancias de objeto
relacionadas que estn agrupadas conjuntamente en tablas MIB.
Un ejemplo de un objeto administrado es atInput, que es un objeto escalar que contiene una
simple instancia de objeto, el valor entero que indica el nmero total de paquetes AppleTalk de
entrada sobre una interfaz de un router.
Un identificador de objeto (object ID) identifica nicamente a un objeto administrado en la
jerarqua MIB. La jerarqua MIB puede ser representada como un rbol con una raz annima y los
niveles, que son asignados por diferentes organizaciones.
13
El rbol MIB ilustra las variadas jerarquas asignadas por las diferentes organizaciones
Los identificadores de los objetos ubicados en la parte superior del rbol pertenecen a diferentes
organizaciones estndares, mientras los identificadores de los objetos ubicados en la parte
inferior del rbol son colocados por las organizaciones asociadas.
Los vendedores pueden definir ramas privadas que incluyen los objetos administrados para sus
propios productos. Las MIBs que no han sido estandarizadas tpicamente estn localizadas en la
rama experimental.
El objeto administrado atInput podra ser identificado por el nombre de objeto iso.identifiedorganization.dod.internet.private.enterprise.cisco.temporary.AppleTalk.atInput o por el descriptor
de objeto equivalente 1.3.6.1.4.1.9.3.3.1.
El corazn del rbol MIB se encuentra compuesto de varios grupos de objetos, los cuales en su
conjunto son llamados mib-2. Los grupos son los siguientes:
System (1);
Interfaces (2);
AT (3);
IP (4);
14
ICMP (5);
TCP (6);
UDP (7);
EGP (8);
Transmission (10);
SNMP (11).
Es importante destacar que la estructura de una MIB se describe mediante el estndar Notacin
Sintctica Abstracta 1 (Abstract Syntax Notation One).
La tabla de vistas de la MIB consiste de una coleccin de vistas de MIB. Cada vista de MIB es
definida por un conjunto de una o ms filas en la tabla, todas asignadas al mismo valor de ndice.
Cada fila corresponde a un sujeto de la MIB local, definido como sigue:
Variable
sysUpTime
ifNumber
ifInErrors
ip
icmp
ipInReceives
icmpInEchos
tcp
udp
tcpInSegs
udpInDatagrams
Significado
Tiempo desde el ltimo arranque
Nmero de interfaces de red
Nmero de paquetes entrantes en los
que el agente ha encontrado error
Nmero de paquetes recibidos
Nmero de solicitudes de Echo ICMP
recibidas
Nmero de paquetes TCP recibidos
Nmero de datagramas UDP recibidos
dicha informacin: un acceso para lectura que permite consultar los valores asociados a cada
una de las variables y un acceso para escritura que permite modificar dichos valores.
Los mensajes de la primera versin del protocolo incluyen una cadena de caracteres denominada
nombre de comunidad que se utiliza como un sencillo mecanismo de control de acceso a la
informacin. Los agentes que implementan dicha versin del protocolo disponen generalmente
de dos comunidades, o conjuntos de variables (no necesariamente disjuntos), identificadas por
un nombre de comunidad configurable por el administrador del sistema. Una de dichas
comunidades recibe el nombre de comunidad pblica, y sus variables pueden ser accedidas slo
para lectura. Por el contrario, los valores asociados a las variables que componen la otra
comunidad, denominada comunidad privada, pueden ser modificados.
Toda la seguridad proporcionada por el sistema se basa en el hecho de que es necesario conocer
el nombre asignado a una comunidad para conseguir el acceso a la informacin proporcionada
por sus variables. El nivel de proteccin ofrecido por la versin original del protocolo es, por
tanto, muy dbil. Ms an si se tiene en cuenta que los nombres de comunidad incluidos en los
mensajes del protocolo SNMP viajan por la red en texto plano y por consiguiente pueden ser
obtenidos como resultado de ataques pasivos (escuchas malintencionadas).
Adems, y sobre todo en el caso de la comunidad pblica, est muy extendido el uso del nombre
de comunidad configurado por defecto (public) por lo que un usuario ajeno al sistema puede
obtener gran cantidad de informacin acerca del mismo utilizando el protocolo SNMP.
Con el fin de aumentar la seguridad del protocolo es necesario realizar cambios en su modelo
administrativo para introducir los conceptos de autentificacin, integridad y privacidad as como
para mejorar el control de acceso a la informacin.
En primer lugar se identifican las posibles amenazas a las que dicho protocolo se encuentra
sometido. Las ms importantes son las siguientes: modificacin de los mensajes en trnsito o de
su orden, suplantacin y ataques pasivos (escuchas). En el caso concreto del protocolo SNMP no
se consideran relevantes las amenazas de los tipos negacin de servicio y anlisis de trfico.
Una versin segura del protocolo debera impedir en la medida de lo posible ataques de los tipos
mencionados. El apartado siguiente describe la evolucin que ha sufrido el protocolo a travs de
sus distintas versiones, as como las principales mejoras aportadas por cada una de dichas
versiones en relacin a la seguridad.
FUNCIONAMIENTO
El agente SNMP recibe solicitudes en el puerto UDP (User Datagram Protocol) 161. El
administrador puede enviar solicitudes de cualquier puerto de origen disponible para el puerto
161 en el agente. La respuesta del agente ser enviado de vuelta al puerto de origen en el
gestor. El administrador recibe notificaciones (Trampas e InformRequests) en el puerto 162. El
agente puede generar notificaciones desde cualquier puerto disponible. Cuando se utiliza con
Transport Layer Security o datagramas de Transport Layer Security solicitudes se reciben en el
puerto 10161 y trampas se envan al puerto 10162. SNMPv1 especifica cinco centrales unidades
de datos de protocolo (PDU). Otros dos PDU, GetBulkRequest e InformRequest se aadieron en
SNMPv2 y prorrogados a SNMPv3.
Todas las PDU SNMP se construyen de la siguiente manera:
Cabecera IP
16
Descripcin
161
SNMP
162
SNMP-trap
Los paquetes utilizados para enviar consultas y respuestas SNMP poseen el siguiente formato:
Versin
Comunidad
SNMP PDU
Versin: Nmero de versin de protocolo que se est utilizando (por ejemplo 0 para SNMPv1, 1
para SNMPv2c, 2 para SNMPv2p y SNMPv2u, 3 para SNMPv3)
Comunidad: Nombre o palabra clave que se usa para la autenticacin. Generalmente existe una
comunidad de lectura llamada "public" y una comunidad de escritura llamada "private";
SNMP PDU: Contenido de la unidad de datos del protocolo, el que depende de la operacin que
se ejecute.
Los mensajes GetRequest, GetNextRequest, SetRequest y GetResponse utilizan la siguiente
estructura en el campo SNMP PDU:
Tipo
Identificador
Estado de error
ndice de error
Enlazado de variables
Identificador: Es un nmero utilizado por el NMS y el agente para enviar solicitudes y respuesta
diferentes en forma simultnea;
Estado e ndice de error: Slo se usan en los mensajes GetResponse(en las consultas
siempre se utiliza cero). El campo "ndice de error" slo se usa cuando "estado de error" es
distinto de 0 y posee el objetivo de proporcionar informacin adicional sobre la causa del
problema. El campo "estado de error" puede tener los siguientes valores:
17
0:
1:
2:
3:
4:
5:
No hay error;
Demasiado grande;
No existe esa variable;
Valor incorrecto;
El valor es de solo lectura;
Error genrico.
Enlazado de variables: Es una serie de nombres de variables con sus valores correspondientes
(codificados en ASN.1).
GetRequest
A travs de este mensaje el NMS solicita al agente retornar el valor de un objeto de inters
mediante su nombre. En respuesta el agente enva una respuesta indicando el xito o fracaso de
la peticin. Si la peticin fue correcta, el mensaje resultante tambin contendr el valor del
objeto solicitado. Este mensaje puede ser usado para recoger un valor de un objeto, o varios
valores de varios objetos, a travs del uso de listas.
GetNextRequest
Este mensaje es usado para recorrer una tabla de objetos. Una vez que se ha usado un mensaje
GetRequest para recoger el valor de un objeto, puede ser utilizado el mensaje GetNextRequest
para repetir la operacin con el siguiente objeto de la tabla. Siempre el resultado de la operacin
anterior ser utilizado para la nueva consulta. De esta forma un NMS puede recorrer una tabla de
longitud variable hasta que haya extrado toda la informacin para cada fila existente.
SetRequest
Este tipo de mensaje es utilizado por el NMS para solicitar a un agente modificar valores de
objetos. Para realizar esta operacin el NMS enva al agente una lista de nombres de objetos con
sus correspondientes valores.
GetResponse
Este mensaje es usado por el agente para responder un mensaje GetRequest, GetNextRequest, o
SetRequest. En el campo "Identificador de Request" lleva el mismo identificador que el "request"
al que est respondiendo.
Trap
Una trap es generada por el agente para reportar ciertas condiciones y cambios de estado a un
proceso de administracin. El formato de la PDU es diferente:
Tipo Enterprise
Direccin
agente
trap
Timestamp
Enlazado
de
variables
Tipo especfico de trap: Es usado para traps privados (de fabricantes), as como para precisar
la informacin de un determinado trap genrico;
Timestamp: Indica el tiempo que ha transcurrido entre la reinicializacin del agente y la
generacin del trap;
Enlazado de variables: Se utiliza para proporcionar informacin adicional sobre la causa del
mensaje.
GetBulkRequest
Este mensaje es usado por un NMS que utiliza la versin 2 3 del protocolo SNMP tpicamente
cuando es requerida una larga transmisin de datos, tal como la recuperacin de largas tablas.
En este sentido es similar al mensaje GetNextRequest usado en la versin 1 del protocolo, sin
embargo,
GetBulkRequest es un mensaje que implica un mtodo mucho ms rpido y eficiente, ya que a
travs de un solo mensaje es posible solicitar la totalidad de la tabla.
InformRequest Un NMS que utiliza la versin 2 3 del protocolo SNMP transmite un mensaje
de este tipo a otro NMS con las mismas caractersticas, para notificar informacin sobre objetos
administrados, utilizando el protocolo de nivel 4(osi) TCP , y enviara el InformRequest hasta que
tenga un acuse de recibo
19
Conclusiones
Simple Network Management Protocol (SNMP) es un marco para la administracin de
dispositivos en una Internet que utilizan la familia de protocolos TCP / IP. Un manager, por
lo general un host, controla y monitorea un conjunto de agentes, por lo general routers. El
manager es un host que ejecuta el programa cliente SNMP. El agente es un router o host
que ejecuta el programa de servidor SNMP.
SNMP libera tareas de administracin tanto de las caractersticas fsicas de los dispositivos
administrados y la tecnologa de red subyacente. SNMP utiliza los servicios de otros dos
protocolos: Estructura de Informacin de Gestin (SMI) y la Base de Informacin de
Gestin (MIB).
20
SMI nombra a los objetos, define el tipo de datos que se pueden almacenar en un objeto, y
codifica los datos. Los objetos SMI se nombran de acuerdo a una estructura de rbol
jerrquico. Los tipos de datos SMI se definen de acuerdo con la notacin de sintaxis
abstracta 1 (ASN.1). SMI utiliza reglas de codificacin bsica (BER) para codificar los datos.
MIB es una coleccin de grupos de objetos que se pueden administrar por SNMP.
Bibliografa
TCP/ IP Protocol Suite Fourth Edition. Behrouz A. Forouzan
McGraw-Hill Forouzan Networking Series, 2002, Pag 1029
Accelerated MCSE study Guide- TCP/ IP, Dave Kinnaman and LouAnn Ballew
MaGraw- Hill, 1999.
21
Paginas consultadas:
https://es.scribd.com/doc/11526277/Proyecto-Monitoreo-Y-Gestion-de-la-RedFinal
22