ndice

Introduccin.2
Desarrollo.3
Protocolo SNMP.3
Manager y agente 4
Componentes de administracin5

Rol de SNMP..6
Rol de SMI..6
Rol de MIB..6
Arquitectura..7
Objetivo de la arquitectura..7
Versiones7

Versin 17
Versin 28
Versin 39
Ejemplo SNMPv211
SMI.11

Nombre12
Tipo..12
Tipo de estructura13
Mtodo de codificacin BER.14
MIB16
Comunidad Pblica y privada..18
Funcionamiento19
Mensaje SNMP20
Conclusiones24
Bibliografa25

Introduccin:
Para responder al desafo que supone el diseo de la plataforma de administracin eficaz de red para
redes heterogneas basadas en TCP/IP se dise el protocolo simple de administracin de red en 1988 y lo
aprob el consejo de actividades de internet (IAB, internet Activities Board) como un estndar de internet.
El servicio SNMP ofrece la posibilidad de supervisar y comunicar la informacin de estado entre varios
hosts. El presente documento ofrece un administrador con el material p ara entender e implementar

SNMP adems de saber que procesos corren en una mquina, que ancho de banda consume un
usuario en especfico, cual es la carga promedio del sistema, el uso de la memoria actual, el
trfico de red de cada una de las interfaces (si tuviese ms de una), que tipo de software utiliza,
y muchos otros aspectos que para un administrador de red son de vital importancia para
detectar fallos y actuar con precisin.

Desarrollo
PROTOCOLO SNMP
SNMP ofrece un mtodo para administrar los nodos de red (servidores, estaciones de trabajo,
enrutadores y concentradores) un host ubicado de forma centralizada; realiza sus servicios de
administracin utilizando una arquitectura distribuida de sistemas y agentes de distribucin.
SNMP usa el concepto de Manager y agente. Un manager, usualmente un host, controla y
monitorea a los agentes, comnmente routers o servidores. El Protocolo Simple de
Administracin de Redes (SNMP) es un protocolo de la capa de aplicacin (Capa 7 del modelo
OSI). El protocolo se utiliza para comunicar informacin de gestin entre las estaciones de
administracin de red y los agentes en los elementos de red.

Figura 1. Concepto de SNMP

Puede ser utilizado en un internet heterogneo hecho por diferentes LANs y WANs conectado
por routers hechos por diferentes fabricantes. Recientemente es utilizado para redes basadas en
el protocolo de intercambio de paquetes entre redes (IPX, Internetwork Packet Exchange). El
estndar SNMP incluye las siguientes construcciones compatibles con peticiones de comentario
(RFC, Request For Comments):

La informacin de administracin II (MIB II, Management Information II) RFC 1213. Un

grupo de objetos que se pueden administrar y que representan varios tipos de informacin
acerca de la configuracin de red, como, por ejemplo, la lista de interfaces de red, la tabla
de enrutamiento, la tabla ARP, la lista de conexiones TCP abiertas o las estadsticas ICMP.

La estructura para la informacin de administracin (SMI, Structure For Management

Information), RFC 1902. Una RFC de internet independiente que describe la sintaxis del
objeto para especificar como se pueden denominar y almacenar los datos MIB.

Protocolo Simple de Administracin de Red (SNMP, Simple Network Management Protocol)

RFC 1157. Un estndar que define como se realiza la comunicacin entre dispositivos
compatibles con SNMP y los tipos de mensajes que se permiten.

MANAGER Y AGENTE
Una estacin controladora llamada manager es un host que corre un programa de cliente SNMP,
una estacin controlada llamada agente es un router (o un host), que corre el programa de
servidor SNMP. El agente mantiene la informacin en la base de datos; el manager tiene acceso a
los valores en la base de datos. Por ejemplo: un router puede almacenar en variables apropiadas
los nmeros de paquetes recibidos y reenviados. El manager puede recuperar y comparar los
valores de esas dos variables para ver si los router estn saturados o no.
El manager tambin puede realizar ciertas acciones de mejoras al router, por ejemplo: un router
checa peridicamente el valor del contador de reinicio para ver cundo se debe reiniciar a s
mismo; se reinicia a si mismo cuando el valor del contador es cero. El manager puede usar esta
caracterstica para reiniciar al agente remotamente en cualquier momento, simplemente se
enva un paquete para forzar el valor del contador a cero. El agente tambin puede contribuir al
2

proceso de administracin, el programa del servidor corriendo en el agente puede checar el

entorno y si hay algo inusual puede mandar un mensaje de advertencia al manager llamado
TRAP, en otras palabras la administracin con SNMP est basada en tres ideas bsicas:
1. Un manager checa a un agente, pidindole informacin que refleje el comportamiento del
mismo.
2. Un manager forza a un agente a realizar una tarea reseteando valores en la base de datos
del agente
3. Una agente contribuye al proceso de administracin advirtindole al manager de una
situacin inusual.
La aplicacin del software de administracin SNMP o tiene por qu ejecutarse en el mismo
equipo que los agentes SNMP.
El sistema de administracin SNMP, tambin conocido como la consola de administracin
SNMP, puede solicitar la siguiente informacin de los equipos administrados (agentes SNMP):

Identificacin y estadsticas del protocolo de red

Identificacin dinmica de dispositivos unidos a la red (un proceso denominado
descubrimiento)
Datos de configuracin de hardware y software.
Rendimiento del dispositivo y estadsticas de uso
Error de dispositivo y mensaje de suceso
Estadsticas de uso del programa y la aplicacin

El sistema de administracin tambin puede enviar una solicitud de configuracin al agente que
solicite al agente intercambiar un parmetro local; sin embargo, este hecho es poco frecuente,
ya que casi todos los parmetros de clientes tienen acceso de slo lectura.
Los agentes SNMP ofrecen sistemas de administracin SNMP con informacin sobre las
actividades que tienen lugar en la capa de Protocolo Internet (IP, Internet Protocol) y responde a
las solicitudes de sistema de administracin para informacin.
En general, los agentes no originan mensajes, simplemente responden mensajes. La excepcin
es un mensaje de alarma que se desencadena por un proceso especfico. Un mensaje de alarma
se conoce como un mensaje de captura. Un captura es un suceso que desencadena alarmas
en un equipo agente, como por ejemplo, un reinicio del sistema o un acceso ilegal. Las capturas
o lo mensajes de captura ofrecen una forma rudimentaria de seguridad notificando al sistema de
administracin cuando se produce ese tipo de suceso.
COMPONENTES DE ADMINISTRACIN
Para hacer tareas de administracin SNMP usa otros dos protocolos: SMI (estructura de la
informacin de gestin) y MIB (gestin de la informacin de base). En otras palabras la gestin
del internet se hace a travs de la cooperacin de 3 protocolos: SNMP, SMI y MIB.

Fig. 2. Componentes para una administracin SNMP de red

Rol del SNMP:
SNMP tiene muchas especificaciones en su papel de gestin de la red, define el formato del
paquete que ser enviado del manager al agente y viceversa tambin interpreta el resultado y
crea estadsticas usualmente con la ayuda de otro software de gestin. El paquete intercambiado
contiene al objeto (variable), nombre y estado (valores). SNMP es responsable por leer y cambiar
esos valores. Tambin define el formato de los paquetes intercambiados entre el manager y el
agente, as mismo puede leer y cambiar los estados de los objetos en los paquetes.
Rol del SMI
Para usar el SNMP se necesitan reglas para nombrar a los objetos. Esto es importante porque los
objetos en el SNMP forman una estructura jerrquica, parte del nombre puede ser heredado de
su padre; tambin necesitamos reglas para definir el tipo de objeto. Adems de mostrar como
codificar los objetos y valores, se necesitan de esas reglas universales porque no se sabe la
arquitectura de las computadoras a las que se enva, recibe o almacena esos valores. El que
enva puede ser una computadora muy poderosa en el cual una variable de tipo entero es un
dato de 8 bytes, el receptor puede ser una computadora pequea que almacena variables de
tipo entero de 4 bytes. Sin embargo debemos entender que el SMI solo define reglas; esto no
define como algunos objetos son gestionados en una entidad o que objeto son de que tipo. SMI
es una coleccin de reglas generales para nombrar los objetos y listar sus tipos, pero la
asociacin de un objeto con el tipo no es hecho por el SMI.
Rol de MIB
MIB debe definir el nmero de objetos, nombre de acuerdo con las reglas definidas por SMI, y
asociar un tipo para cada objeto nombrado. MIB crea un conjunto de objetos definidos por cada
entidad similar a la base de datos (mayormente nombres y tipos sin valor).
MIB crea una lista de objetos nombrados, sus tipos y sus relaciones de unos con otros en una
entidad, para ser manejados.

Fig. 2. Analoga entre programacin de computadoras y la administracin de red.

ARQUITECTURA
Implcita en el modelo de arquitectura SNMP es un conjunto de redes de estaciones de
administracin y elementos de red. Estaciones de administracin de red ejecutan aplicaciones de
gestin que supervisan elementos de red de control. Los elementos de red son dispositivos tales
como hosts, gateways, servidores de terminales, y ms, que tienen agentes de gestin
encargados de realizar las funciones de gestin de red solicitada por las estaciones de
administracin de red.
OBJETIVOS DE LA ARQUITECTURA
El SNMP minimiza explcitamente el nmero y la complejidad de la gestin las funciones
realizadas por el propio agente de administracin.
Un segundo objetivo del protocolo es que el paradigma funcional para seguimiento y control
sean suficientemente extensible para acomoda aspectos adicionales, posiblemente no previstas
de funcionamiento de la red y administracin.
Un tercer objetivo es que la arquitectura sea, tanto como sea posible, independientes de la
arquitectura y los mecanismos de hosts particulares.
VERSIONES
Las versiones de SNMP ms utilizadas son SNMP versin 1 (SNMPv1) y SNMP versin 2 (SNMPv2).
SNMP en su ltima versin (SNMPv3), la cual posee cambios significativos con relacin a sus
predecesores, sobre todo en aspectos de seguridad.

SNMPv1
El framework de administracin de red original se conoca como SNMP Versin 1 (SNMPv1) y
consista de los siguientes RFCs:
RFC 1155 (sintaxis y semntica para definir objetos para administracin de red - SMI),
RFC 1157 (protocolo de administracin para acceder a los objetos, monitorearlos y controlarlos
- SNMP)
RFC 1212 (lineamientos para definir nuevos mdulos sin generar redundancia MIB Concisa).
Luego, se agreg el RFC 1213 que provee las definiciones de un conjunto central de objetos
MIB II
En la siguiente figura, se muestra el framework de administracin de SNMP v1:

Formato de los mensajes y PDUs en SNMP v1:

SNMPv2
SNMP Versin 2, surge como evolucin natural de SNMP Versin 1, con la pretensin de aumentar
su seguridad y corregir fallos de la primera versin.
Sus caractersticas generales son las que se detallan a continuacin:
Extiende el modelo de comunicaciones considerablemente, posibilitando tanto una gestin
altamente centralizada, como distribuida
Dota a los sistemas de la capacidad de operar tanto como agentes, como gestores.
Capacidad de comunicacin gestor-gestor con la posibilidad de jerarquizar la gestin.
Mayor eficiencia en la transferencia de la informacin.
6

 Soporta una sealizacin extendida de errores.

Permite el uso de varios servicios de transporte.
Formato de los mensajes y PDUs en SNMP v2:

SNMPv3

La tercera versin de SNMP (SNMP v3), fue creada a partir de las versiones anteriores, SNMPv1 y
SNMPv2. Todas las versiones de SNMP (SNMPv1, SNMPv2 y SNMPv3), tienen la misma estructura
bsica y los mismos componentes y adems de eso conservan la misma arquitectura.
SNMPv3, refuerza las prestaciones de seguridad, incluyendo autentificacin, privacidad y control
de acceso; y de administracin de protocolo, con una mayor modularidad y la posibilidad de
configuracin remota.
El modelo de seguridad basado en usuario o USM (User-Based Security Model) proporciona los
servicios de autentificacin y privacidad en SNMPv3. El mecanismo de autentificacin en USM
asegura que un mensaje recibido fue, de hecho, trasmitido por la entidad indicada en el campo
correspondiente a la fuente en la cabecera del mensaje; y adems, que el mensaje no fue
alterado durante su trnsito y que no fue artificialmente retardado o repetido. Para conseguir la
autentificacin, el gestor y el agente que desean comunicarse deben compartir la misma clave
de autentificacin secreta configurada previamente fuera de SNMPv3 (no es almacenada en la
MIB y no es accesible mediante SNMP). El protocolo de autentificacin utilizado puede ser el
HMAC-MD5-96 o el HMAC-SHA-96. Para asegurarse de que los mensajes llegan dentro de una
ventana temporal razonable que descarte el posible retardo de mensajes y el ataque mediante
mensajes repetidos, se utilizan mecanismos de sincronizacin entre emisor y receptor y el
chequeo de la ventana temporal constituida por el momento de emisin del mensaje y su
7

momento de recepcin. Por otro lado, la facilidad de privacidad de USM posibilita a los gestores y
a los agentes encriptar mensajes para prevenir que sean analizados por intrusos. De nuevo, el
gestor y el agente deben compartir una clave secreta configurada previamente. El algoritmo de
encriptacin utilizado es el CBC (Cipher Block Chaining) de DES (Data Encryption Standard),
conocido tambin por DES-56.
El modelo de control de acceso basado en vistas o VCAM (Views-Based Access Control
Model) permite proporcionar diferentes niveles de acceso a las MIB de los agentes para los
distintos gestores en SNMPv3. Un agente puede, de este modo, restringir el acceso de ciertos
gestores a parte de su MIB o bien limitar las operaciones susceptibles de realizar por ciertos
gestores sobre una parte de su MIB. La poltica de control de acceso a ser utilizada por el agente
para cada gestor debe estar configurada previamente; consistiendo bsicamente en una tabla
que detalla los privilegios de acceso para los distintos gestores autorizados. Mientras que la
autentificacin es realizada por usuario, el control de acceso es realizado por grupos, donde un
grupo podra ser un conjunto de usuarios.

Ejemplo de SNMPV2
Es un ejemplo de cmo sera la trama a transmitir desde el origen al receptor. Un agente usa el
comando Trap para informarle al administrador la existencia de un problema serio en el
dispositivo. El protocolo de la capa de Internet, es IP versin 6. El datagrama de IP es el que se
muestra en la figura.

SMI
Estructura de Informacin de Gestin (Structure Management Infotmation) versin 2 SMIv2es un
componente para el manejo de la red. Sus funciones principales son:
1. Nombrar a los objetos
2. Definir el tipo de dato que puede ser almacenado en el objeto
3. Mostrar cmo codificar datos para su transmisin sobre la red
SMI es una gua para SNMP, destaca tres atributos para manejar un objeto: nombre, tipo de dato
y mtodo de codificacin.
Nombre
SMI requiere que cada objeto gestionado (como un router, una variable dentro de un router, un
valor, etc) tenga un nico nombre y de manera global. SMI usa un objeto identificador, el cual es
un identificador jerrquico, basado en una estructura de rbol. Esta estructura de rbol comienza
con una raz sin nombre.

Fig. 4. Objeto identificador

Cada objeto puede ser definido usando una secuencia de nmeros enteros separados por puntos
(representacin entero-punto), esta representacin es la ms utilizada, por ejemplo: siguiendo el
ejemplo en la imagen, mostraremos el mismo objeto mostrado con dos notaciones diferentes:
Iso.org.dod.internet.mgmt.mib-2

1.3.6.1.2.1

Los objetos que son usados en SNMP estn

debajo de mib-2, as que sus identificadores siempre empiezan con 1.3.6.1.2.1

ubicados

Tipo
El segundo atributo de un objeto es el tipo de dato almacenado en el. Para definir el tipo de dato,
SMI usa fundamentalmente definiciones de Notacin de Sintaxis Abstracta 1 (ASN.1, Abstract
Syntax Notation) y agrega algunas nuevas definiciones, en otras palabras, SMI es ambos, un
subconjunto y un supercojunto de ASN.1.
SMI tiene dos amplias categoras de tipos de datos, algunos de ellos tomados directamente de
ASN.1; otros son agregados por SMI. Lo ms importantes se muestran en la tabla 1. Los primeros
cinco son proporcionados por ASN.1; los siguientes siete son definidos por SMI.
Tipo
Entero

Tamao
4 bytes

Descripcin

Entero32
Sinsigno32

4 bytes
4 bytes

Igual que el entero

Cadena octeto

Variable

Una cadena de bytes con una longitud arriba de 65,535

bytes
Un identificador de objeto

Identificador

de

Variable

Un entero con un valor entre

Valor sin signo entre 0 y

31

31

2 1

32

2 1

10

objeto
Direccin IP
Contador32

4 bytes
4 bytes

Una direccin IP hecha por cuatro enteros

Un entero que su valor puede ser incrementado desde cero
hasta

Contador64
Geuge32

4 bytes
4 bytes

time ticks

4 bytes

BITS
opaque

Variable

232 ; cuando este alcanza su valor mximo, este

regresa a cero
Contador de 64-bits
Igual que el contardor32, pero cuando este alcanza su
mximo valor, no se ajusta, permanece all hasta ser
reseteado.
Es un tipo de datos usado para medir tiempos. Indica el
nmero de centsimas de segundo que han transcurrido
desde un determinado evento temporal. Es un entero de 32
bits.
Una cadena de Bits
Una cadena sin interpretacin
Tabla 1. Tipos de datos.

Tipo de estructura
Mediante la combinacin de tipos de datos simples y estructurados, podemos hacer nuevos tipos
de datos estructurados. SMI define dos tipos de datos estructurados: secuencia y secuencia de.
Secuencia. Un tipo de datos de secuencia es una combinacin de tipos de datos
simples, no necesariamente del mismo tipo. Es anlogo a la idea de una estructura o un
registro utilizado en Lenguajes de programacin como C.
Secuencia de. Una secuencia de tipo de datos es una combinacin de tipos de datos
simples todo del mismo tipo o una combinacin de tipos de datos de secuencias de todos
del mismo tipo. Es anlogo al concepto de una matriz usada en lenguajes de programacin
tales como C.

Fig.5 tipos de datos en SMI.

MTODO DE CODIFICACIN

11

SMI utiliza otro estndar, reglas de codificacin bsica (Basic Encoding Rules,BER), para codificar
datos a transmitir a travs de la red. BER especifica cada pieza del dato que ser codificado con
el siguiente formato: etiqueta, longitud y valor.

Fig. Formato de codificacin.

La etiqueta es un campo de 1 byte que define el tipo de datos. La Tabla 2 muestra los tipos de
datos que utiliza SNMP y sus etiquetas en nmeros binarios y hexadecimal. El formato de
longitud es de 1 o ms bytes. Si se trata de 1 byte, el bit ms significativo debe ser 0. Los otros 7
bits definen la longitud de los datos. Si se trata de ms de 1 byte, el bit ms significativo del
primer byte debe ser 1. Los otros 7 bits del primer byte de definen el nmero de bytes
necesarios para definir la longitud. El campo valor asigna un valor de acuerdo a reglas de cdigo
especificadas por BER.

Tabla.2 cdigos para tipos de datos

Por ejemplo, para definir una direccin IP 131.21.14.8

12

Representar una cadena octeto HI

MIB
Una Base de Informacin de Administracin (Management Information Base, MIB) es una
coleccin de informacin que est organizada jerrquicamente. Las MIBs son accedidas usando
un protocolo de administracin de red, como por ejemplo, SNMP.
Un objeto administrado (algunas veces llamado objeto MIB, objeto, o MIB) es uno de cualquier
nmero de caractersticas especficas de un dispositivo administrado. Los objetos administrados
estn compuestos de una o ms instancias de objeto, que son esencialmente variables.
Existen dos tipos de objetos administrados: Escalares y tabulares. Los objetos escalares definen
una simple instancia de objeto. Los objetos tabulares definen mltiples instancias de objeto
relacionadas que estn agrupadas conjuntamente en tablas MIB.
Un ejemplo de un objeto administrado es atInput, que es un objeto escalar que contiene una
simple instancia de objeto, el valor entero que indica el nmero total de paquetes AppleTalk de
entrada sobre una interfaz de un router.
Un identificador de objeto (object ID) identifica nicamente a un objeto administrado en la
jerarqua MIB. La jerarqua MIB puede ser representada como un rbol con una raz annima y los
niveles, que son asignados por diferentes organizaciones.

13

El rbol MIB ilustra las variadas jerarquas asignadas por las diferentes organizaciones
Los identificadores de los objetos ubicados en la parte superior del rbol pertenecen a diferentes
organizaciones estndares, mientras los identificadores de los objetos ubicados en la parte
inferior del rbol son colocados por las organizaciones asociadas.
Los vendedores pueden definir ramas privadas que incluyen los objetos administrados para sus
propios productos. Las MIBs que no han sido estandarizadas tpicamente estn localizadas en la
rama experimental.
El objeto administrado atInput podra ser identificado por el nombre de objeto iso.identifiedorganization.dod.internet.private.enterprise.cisco.temporary.AppleTalk.atInput o por el descriptor
de objeto equivalente 1.3.6.1.4.1.9.3.3.1.
El corazn del rbol MIB se encuentra compuesto de varios grupos de objetos, los cuales en su
conjunto son llamados mib-2. Los grupos son los siguientes:

System (1);

Interfaces (2);

AT (3);

IP (4);

14

ICMP (5);

TCP (6);

UDP (7);

EGP (8);

Transmission (10);

SNMP (11).

Es importante destacar que la estructura de una MIB se describe mediante el estndar Notacin
Sintctica Abstracta 1 (Abstract Syntax Notation One).

La tabla de vistas de la MIB consiste de una coleccin de vistas de MIB. Cada vista de MIB es
definida por un conjunto de una o ms filas en la tabla, todas asignadas al mismo valor de ndice.
Cada fila corresponde a un sujeto de la MIB local, definido como sigue:

Subrbol: Identificador de un especfico nodo en la vista de la MIB. El subrbol consiste de

aquel nodo ms todos los nodos debajo de este en la jerarqua de la MIB.

Enmascarar: Es un bit mscara que es usado para refinar la definicin de subrbol. En

efecto, la mscara define el subconjunto del subrbol que es relevante.

Tipo: Indica si la porcin relevante del subrbol ser incluido o excluido desde la vista de
la MIB.

Ejemplos de variables junto con su grupo en MIB-2

Grupo
system
interfaces
interfaces

Variable
sysUpTime
ifNumber
ifInErrors

ip
icmp

ipInReceives
icmpInEchos

tcp
udp

tcpInSegs
udpInDatagrams

Significado
Tiempo desde el ltimo arranque
Nmero de interfaces de red
Nmero de paquetes entrantes en los
que el agente ha encontrado error
Nmero de paquetes recibidos
Nmero de solicitudes de Echo ICMP
recibidas
Nmero de paquetes TCP recibidos
Nmero de datagramas UDP recibidos

COMUNIDAD PBLICA Y PRIVADA

El protocolo SNMP proporciona mecanismos para el acceso a un almacn de informacin
jerrquica compuesta por un conjunto de variables. Se distinguen dos tipos distintos de acceso a
15

dicha informacin: un acceso para lectura que permite consultar los valores asociados a cada
una de las variables y un acceso para escritura que permite modificar dichos valores.
Los mensajes de la primera versin del protocolo incluyen una cadena de caracteres denominada
nombre de comunidad que se utiliza como un sencillo mecanismo de control de acceso a la
informacin. Los agentes que implementan dicha versin del protocolo disponen generalmente
de dos comunidades, o conjuntos de variables (no necesariamente disjuntos), identificadas por
un nombre de comunidad configurable por el administrador del sistema. Una de dichas
comunidades recibe el nombre de comunidad pblica, y sus variables pueden ser accedidas slo
para lectura. Por el contrario, los valores asociados a las variables que componen la otra
comunidad, denominada comunidad privada, pueden ser modificados.
Toda la seguridad proporcionada por el sistema se basa en el hecho de que es necesario conocer
el nombre asignado a una comunidad para conseguir el acceso a la informacin proporcionada
por sus variables. El nivel de proteccin ofrecido por la versin original del protocolo es, por
tanto, muy dbil. Ms an si se tiene en cuenta que los nombres de comunidad incluidos en los
mensajes del protocolo SNMP viajan por la red en texto plano y por consiguiente pueden ser
obtenidos como resultado de ataques pasivos (escuchas malintencionadas).
Adems, y sobre todo en el caso de la comunidad pblica, est muy extendido el uso del nombre
de comunidad configurado por defecto (public) por lo que un usuario ajeno al sistema puede
obtener gran cantidad de informacin acerca del mismo utilizando el protocolo SNMP.
Con el fin de aumentar la seguridad del protocolo es necesario realizar cambios en su modelo
administrativo para introducir los conceptos de autentificacin, integridad y privacidad as como
para mejorar el control de acceso a la informacin.
En primer lugar se identifican las posibles amenazas a las que dicho protocolo se encuentra
sometido. Las ms importantes son las siguientes: modificacin de los mensajes en trnsito o de
su orden, suplantacin y ataques pasivos (escuchas). En el caso concreto del protocolo SNMP no
se consideran relevantes las amenazas de los tipos negacin de servicio y anlisis de trfico.
Una versin segura del protocolo debera impedir en la medida de lo posible ataques de los tipos
mencionados. El apartado siguiente describe la evolucin que ha sufrido el protocolo a travs de
sus distintas versiones, as como las principales mejoras aportadas por cada una de dichas
versiones en relacin a la seguridad.
FUNCIONAMIENTO
El agente SNMP recibe solicitudes en el puerto UDP (User Datagram Protocol) 161. El
administrador puede enviar solicitudes de cualquier puerto de origen disponible para el puerto
161 en el agente. La respuesta del agente ser enviado de vuelta al puerto de origen en el
gestor. El administrador recibe notificaciones (Trampas e InformRequests) en el puerto 162. El
agente puede generar notificaciones desde cualquier puerto disponible. Cuando se utiliza con
Transport Layer Security o datagramas de Transport Layer Security solicitudes se reciben en el
puerto 10161 y trampas se envan al puerto 10162. SNMPv1 especifica cinco centrales unidades
de datos de protocolo (PDU). Otros dos PDU, GetBulkRequest e InformRequest se aadieron en
SNMPv2 y prorrogados a SNMPv3.
Todas las PDU SNMP se construyen de la siguiente manera:

Cabecera IP
16

 Encabezado UDP versin comunidad

Tipo de PDU
Peticin-ID
Error de estado
ndice de errores
Enlaces de variables
Mensajes SNMP
Para realizar las operaciones bsicas de administracin anteriormente nombradas, el protocolo
SNMP utiliza un servicio no orientado a la conexin (UDP) para enviar un pequeo grupo de
mensajes (PDUs) entre los administradores y agentes. La utilizacin de un mecanismo de este
tipo asegura que las tareas de administracin de red no afectarn al rendimiento global de la
misma, ya que se evita la utilizacin de mecanismos de control y recuperacin como los de un
servicio orientado a la conexin, por ejemplo TCP.
Los puertos comnmente utilizados para SNMP son los siguientes:
Nmero

Descripcin

161

SNMP

162

SNMP-trap

Los paquetes utilizados para enviar consultas y respuestas SNMP poseen el siguiente formato:

Versin

Comunidad

SNMP PDU

Versin: Nmero de versin de protocolo que se est utilizando (por ejemplo 0 para SNMPv1, 1
para SNMPv2c, 2 para SNMPv2p y SNMPv2u, 3 para SNMPv3)
Comunidad: Nombre o palabra clave que se usa para la autenticacin. Generalmente existe una
comunidad de lectura llamada "public" y una comunidad de escritura llamada "private";
SNMP PDU: Contenido de la unidad de datos del protocolo, el que depende de la operacin que
se ejecute.
Los mensajes GetRequest, GetNextRequest, SetRequest y GetResponse utilizan la siguiente
estructura en el campo SNMP PDU:

Tipo

Identificador

Estado de error

ndice de error

Enlazado de variables

Identificador: Es un nmero utilizado por el NMS y el agente para enviar solicitudes y respuesta
diferentes en forma simultnea;
Estado e ndice de error: Slo se usan en los mensajes GetResponse(en las consultas
siempre se utiliza cero). El campo "ndice de error" slo se usa cuando "estado de error" es
distinto de 0 y posee el objetivo de proporcionar informacin adicional sobre la causa del
problema. El campo "estado de error" puede tener los siguientes valores:
17

0:
1:
2:
3:
4:
5:

No hay error;
Demasiado grande;
No existe esa variable;
Valor incorrecto;
El valor es de solo lectura;
Error genrico.

Enlazado de variables: Es una serie de nombres de variables con sus valores correspondientes
(codificados en ASN.1).
GetRequest
A travs de este mensaje el NMS solicita al agente retornar el valor de un objeto de inters
mediante su nombre. En respuesta el agente enva una respuesta indicando el xito o fracaso de
la peticin. Si la peticin fue correcta, el mensaje resultante tambin contendr el valor del
objeto solicitado. Este mensaje puede ser usado para recoger un valor de un objeto, o varios
valores de varios objetos, a travs del uso de listas.
GetNextRequest
Este mensaje es usado para recorrer una tabla de objetos. Una vez que se ha usado un mensaje
GetRequest para recoger el valor de un objeto, puede ser utilizado el mensaje GetNextRequest
para repetir la operacin con el siguiente objeto de la tabla. Siempre el resultado de la operacin
anterior ser utilizado para la nueva consulta. De esta forma un NMS puede recorrer una tabla de
longitud variable hasta que haya extrado toda la informacin para cada fila existente.
SetRequest
Este tipo de mensaje es utilizado por el NMS para solicitar a un agente modificar valores de
objetos. Para realizar esta operacin el NMS enva al agente una lista de nombres de objetos con
sus correspondientes valores.
GetResponse
Este mensaje es usado por el agente para responder un mensaje GetRequest, GetNextRequest, o
SetRequest. En el campo "Identificador de Request" lleva el mismo identificador que el "request"
al que est respondiendo.
Trap
Una trap es generada por el agente para reportar ciertas condiciones y cambios de estado a un
proceso de administracin. El formato de la PDU es diferente:

Tipo Enterprise

Direccin
agente

del Tipo genrico de Tipo especfico de

trap

trap

Timestamp

Enlazado

de

variables

Enterprise: Identificacin del subsistema de gestin que ha emitido el trap;

Direccin del agente: Direccin IP del agente que ha emitido el trap;
Tipo genrico de trap:
Cold start (0): Indica que el agente ha sido inicializado o reinicializado;
18

Warm start (1): Indica que la configuracin del agente ha cambiado;

Link down (2): Indica que una interfaz de comunicacin se encuentra fuera de servicio
(inactiva);
Link up (3): Indica que una interfaz de comunicacin se encuentra en servicio (activa);
Authentication failure (4): Indica que el agente ha recibido un requerimiento de un
NMS no autorizado (normalmente controlado por una comunidad);
EGP neighbor loss (5): Indica que en sistemas en que los routers estn utilizando el
protocolo EGP, un equipo colindante se encuentra fuera de servicio;
Enterprise (6): En esta categora se encuentran todos los nuevos traps incluidos por los
vendedores.

Tipo especfico de trap: Es usado para traps privados (de fabricantes), as como para precisar
la informacin de un determinado trap genrico;
Timestamp: Indica el tiempo que ha transcurrido entre la reinicializacin del agente y la
generacin del trap;
Enlazado de variables: Se utiliza para proporcionar informacin adicional sobre la causa del
mensaje.
GetBulkRequest
Este mensaje es usado por un NMS que utiliza la versin 2 3 del protocolo SNMP tpicamente
cuando es requerida una larga transmisin de datos, tal como la recuperacin de largas tablas.
En este sentido es similar al mensaje GetNextRequest usado en la versin 1 del protocolo, sin
embargo,
GetBulkRequest es un mensaje que implica un mtodo mucho ms rpido y eficiente, ya que a
travs de un solo mensaje es posible solicitar la totalidad de la tabla.
InformRequest Un NMS que utiliza la versin 2 3 del protocolo SNMP transmite un mensaje
de este tipo a otro NMS con las mismas caractersticas, para notificar informacin sobre objetos
administrados, utilizando el protocolo de nivel 4(osi) TCP , y enviara el InformRequest hasta que
tenga un acuse de recibo

19

Conclusiones
Simple Network Management Protocol (SNMP) es un marco para la administracin de
dispositivos en una Internet que utilizan la familia de protocolos TCP / IP. Un manager, por
lo general un host, controla y monitorea un conjunto de agentes, por lo general routers. El
manager es un host que ejecuta el programa cliente SNMP. El agente es un router o host
que ejecuta el programa de servidor SNMP.
SNMP libera tareas de administracin tanto de las caractersticas fsicas de los dispositivos
administrados y la tecnologa de red subyacente. SNMP utiliza los servicios de otros dos
protocolos: Estructura de Informacin de Gestin (SMI) y la Base de Informacin de
Gestin (MIB).

20

 SMI nombra a los objetos, define el tipo de datos que se pueden almacenar en un objeto, y
codifica los datos. Los objetos SMI se nombran de acuerdo a una estructura de rbol
jerrquico. Los tipos de datos SMI se definen de acuerdo con la notacin de sintaxis
abstracta 1 (ASN.1). SMI utiliza reglas de codificacin bsica (BER) para codificar los datos.

MIB es una coleccin de grupos de objetos que se pueden administrar por SNMP.

SNMP tiene 3 formas de funcionamiento: un manager puede recuperar el valor de un

objeto definido en un agente. Un administrador puede almacenar un valor en un objeto
definido en un agente. Un agente puede enviar un mensaje de alarma al gestor.

SNMP define ocho tipos de paquetes: GetRequest, GetNextRequest, setRequest,

GetBulkRequest, Trampa, InformRequest, respuesta y de informes. SNMP utiliza los
servicios de UDP en dos puertos conocidos, 161 y 162.

La tercera versin de SNMP ha aadido dos nuevas caractersticas a la versin anterior:

diferentes niveles de seguridad y administracin remota.

Bibliografa
TCP/ IP Protocol Suite Fourth Edition. Behrouz A. Forouzan
McGraw-Hill Forouzan Networking Series, 2002, Pag 1029

Accelerated MCSE study Guide- TCP/ IP, Dave Kinnaman and LouAnn Ballew
MaGraw- Hill, 1999.

Microsoft Windows 2000 sever. Gua de TCP/ IP.

21

McGraw- Hill Interamericana de Espaa, 2000.

Paginas consultadas:
https://es.scribd.com/doc/11526277/Proyecto-Monitoreo-Y-Gestion-de-la-RedFinal

22