Departamento de Electrnica - UTFSM

SNMP: Simple Network Management Protocol

Patricio E. Valle Vidal

pvalle@elo.utfsm.cl

Profesor: Toms Arredondo V.

20 de Agosto 2007 : Redes de Computadores I (ELO-322)

 CONTENIDOS

Problema
Introduccin
Objetivos
Propuesta SNMP

Arquitectura

Cuatro llaves fundamentales

Mtodos de adquisicin

Encapsulacin

SNMPv1, SNMPv2c y SNMPv3

Seguridad y control de seguridad

Administracin distribuda

Protocolo AgentX
Conclusin

Departamento de Electrnica - UTFSM 1

 PROBLEMA

La complejidad de una red de datos puede sufrir bajas en su

eficiencia y productividad.

Identificacin de recursos crtico.
Incosistencia de datos en la red.

Informacin sensible es transmitida.
Balanceo de necesidades: funcionamiento, disponibilidad,
seguridad, costo, etc.

Departamento de Electrnica - UTFSM 2

 INTRODUCCIN
Departamento de Electrnica - UTFSM

Administracin de una red de computadores:

Cinco reas funcionales segn The International Organization
for Standarization (ISO).
Fallas
 Deteccin y solucin.
Seguridad
 Control de acceso a la informacin de red.
Configuracin
 Administracin de cambios
Funcionamiento
 Medidas desempeo de hardware/software.
Descripcin
 Mapeo de recursos de red a identidades del cliente.

Departamento de Electrnica - UTFSM 3

 PROPUESTA SNMP
Departamento de Electrnica - UTFSM

SNMP: Simple Network Management Protocol.

Permite la obtencin de estadsticas, estados de red, etc.
Define un mecanismo de administracin remota para equipos de
red (routers, bridges, etc.).
Principio fundamental: toda la administracin de equipos esta
realizada por la manipulacin de variables.
Propuesta

Medios estndares para especificar las cantidades reconocidas por los
dispositivos.

Protocolo para consultar, retornar y notificar cambios de las variables.

Departamento de Electrnica - UTFSM 4

 SNMP: ARQUITECTURA

Una red SNMP consiste de 3 managing entity

agent data
componentes principales managing data
entity managed device

Recursos administrados

Agentes

Sistemas de administracin de agent data
network
red (NMS) management
protocol managed device
Un recurso administrado es un
nodo en la red SNMP y contiene
al agente SNMP. agent data
El NMS crea una conexin virtual agent data
hacia el agente SNMP.
EL agente provee de informacin managed device
al NMS sobre su estado en la
red.

Departamento de Electrnica - UTFSM 5

 SNMP: CUATRO
Departamento LLAVES
de Electrnica - UTFSM FUNDAMENTALES

Management Information Base (MIB)

Almacenamiento distribuido de informacin sobre datos de
administracin de red.
Sintaxis usada para especificar un MIB

SMIv2 (Structure of Management Information).
Protocolo SNMP

Protocolo para el intercambio de datos entre agente y entidad
administradora.
Seguridad, capacidades de administracin

Mayor adicin en SNMPv3.

Departamento de Electrnica - UTFSM 6

 MANAGEMENT INFORMATION
Departamento de Electrnica - UTFSM BASE (MIB)

Un MIB est constitudo por un conjunto de objetos administrados

mas sus atributos.
MIBs son creados usando sintaxis SMIv2.
La informacin en la MIB est organizada jerarquicamente.
Los objetos administrados son descritos de dos formas diferentes:

Nombres

Identificadores
El MIB tiene una rama privada

Ejemplo: LM-Sensors, Asterisk.

Departamento de Electrnica - UTFSM 7

 INFORMATION(SMIv2)
STRUCTURE OF MANAGEMENT INFORMATION (SMIv2)

SMIv2 define las reglas para crear MIBs y est basado en variables
de tipos simples.

Basado en subconjunto extendido de ASN.1
Caractersticas de las variables definidas por SMI

Cada variable tiene un tipo de dato ASN.1
 INTEGER, OCTET STRING, OBJECT IDENTIFIER, NULL, etc.

No implementa estructuras de datos y operaciones complejas.

Las variables son escalares (un instancia) o columnas en una tabla de
dos dimensiones (cero o varias variables).

Departamento de Electrnica - UTFSM 8

 IDENTIFICADORES DE OBJETO (ASN.1)
Variables identificadas por un string nico de dgitos.

Ejemplo: 1.3.6.1.4.1.3.5.1.1

El espacio de nombres es jerarquico.
Variables descritas mediante el uso de alias (dentro del MIB).

Ejemplo: ifNumber ::= {interfaces 1}

Interfaces fue previamente definida en MIB como 1.3.6.1.2.1.2 as:
ifNumber = 1.3.6.1.2.1.2.1

Departamento de Electrnica - UTFSM 9

 SNMP: MTODOS DE ADQUISICIN
Managed device
Existen dos formas para obtener
managing
informacin desde SNMP. entity

Notificaciones (Traps)
Si un evento ocurre en un equipo
administrado una notificacin es request
enviada a la estacin.
Una notificacin contiene: response
 Nombre del equipo de red.
 El tiempo de disparo del evento. agent data
 Tipo de evento.

Consultas
La estacin periodicamente consulta Managed device
por informacin al equipo de red. managing
Ventaja: Mantiene en conocimiento el entity
estado del equipo.
Desventaja: Retardos desde cuando
un evento ocurre a cuando es
notificado. trap msg
 Cortos intervalos: BW
desperdiciado.
 Largos intervalos: Respuesta a
eventos demasiado lentos. agent data

Departamento de Electrnica - UTFSM 10

 SNMP: ENCAPSULACIN
Departamento de Electrnica - UTFSM

UDP

Agente: puerto 161.

Entidad administradora: puerto 162.
La entrega de informacin es importante, principalmente en caso
de altas perdidas.

Congestin.

Operaciones impropias.
TCP no es conveniente (aunque sea soportado, particularmente
para SNMPv3 en sus operaciones de escritura).

Departamento de Electrnica - UTFSM 11

 SNMPv1
Departamento de Electrnica - UTFSM

Manager Agent
Get Para leer una o ms variables

Response

GetNext Recupera el nombre y valor de la prxima instancia del objeto.

Esta operacin es usada para descubrir estructuras y leer tablas
MIB.
Response Usando mltiples/sucesivas operaciones GetNext es posible leer
el MIB completo sin conocer su estructura.

Set Escribe valores de una o ms instancias.

Response

Es slo la operacin Agent  Manager; es un evento asincrnico.

El agente puede emitir un evento e informar a una central. Sin
Trap embargo, el mensaje recibido no tiene retorno (acknowledge),
por lo que puede haber prdida del mensaje.
Aunque los Traps se usan, las consultas siguen siendo necesarias
(Ej. cuando el agente est cado).

Departamento de Electrnica - UTFSM 12

 SNMPv2c
Departamento de Electrnica - UTFSM

Incluye las funciones bsicas de SNMPv1

Puede coexistir con SNMPv1
Tipos nuevos de mensajes
Recupera informacin de administracin de gran tamao usando
pocos recursos de red (GetBulk)
Soporte multi-protocolo estandarizado
El mundo en su mayora es IP.
Seguridad planeada pero disminuida
La C indica seguridad basado en comunidades

Departamento de Electrnica - UTFSM 13

 SNMPV3
Departamento de Electrnica - UTFSM

Seguridad de SNMP completada

Agentes y administradores son denominadas entidades SNMP
Una entidad contiene un motor SNMP
Todas las aplicaciones SNMP estn dentro de la entidad SNMP

Generadores de consultas.

Respondedoras de consultas.

Originadores de notificacin.

Recibidoras de notificacin.

Proxy

Departamento de Electrnica - UTFSM 14

 SNMPv3: ARQUITECTURA
Departamento de Electrnica - UTFSM

SNMP Entity

SNMP Applications

command command notification notification

other
generator responder originator receiver

SNMP Engine
Message access
dispatcher security
processing control
subsystem
subsystem subsystem

Departamento de Electrnica - UTFSM 15

 SNMPv3: ARQUITECTURA
Departamento de Electrnica - UTFSM DE UN NMS

command notification
generator receiver

Message processing Security

PDU Dispatcher subsystem subsystem

SNMPv1 Community based

security model
Message
Dispatcher SNMPv2c
User based
security model
SNMPv3
Transport
Other based
Mapping
other security model

Departamento de Electrnica - UTFSM 16

 SNMPv3: ARQUITECTURA
Departamento de Electrnica - UTFSM DE UN AGENTE

Management Information Base

Access control subsystem

command notification
responder View.Based originator
Access Control

Message processing Security

PDU Dispatcher subsystem subsystem

SNMPv1 Community based

security model
Message
Dispatcher SNMPv2c
User based
security model
SNMPv3
Transport
Other based
Mapping
other security model

Departamento de Electrnica - UTFSM 17

 SNMP: SEGURIDAD

Mensajes de Integridad

Evitar la manipulacin del mensaje.
Autentificacin

El origen es una fuente vlida.

Protocolo de autentificacin
 HMAC-MD5-96
 HMAC-SHA-96
Encriptacin

Informacin oculta.

Protocolos de encriptacin
 CBC-DES
3 niveles de seguridad

noAuthNoPriv, authNoPriv, authPriv.
2 modelos de seguridad

Community-Based Security Model

User-Based Security Model

Departamento de Electrnica - UTFSM 18

 SNMP: CONTROL DE ACCESO
Fundamentos de la seguridad en SNMPv3

Cada usuario pertenece a un grupo

Un grupo define sus polticas de acceso para sus usuarios.

Polticas de acceso: Qu objetos MIB pueden ser accedidos para;
lectura, escritura y notificacin?.

Un grupo define el nivel y modelo de seguridad para sus usuarios.
View-Based Access Control Model

Manager Access Control

Application MIB
Process

Security Communication

Get / Get-Next / Get-Bulk

Set / Trap / Inform

Transport Service

Departamento de Electrnica - UTFSM 19

 ADMINISTRACIN DISTRIBUIDA
Departamento de Electrnica - UTFSM

Basado en MIB
Expresiones MIB

Las entradas son variables de un MIB top
(local) level M
manager

Opera sobre valores absolutos y deltas.

Conjunto completo de expresiones.

La salida es almacenada en un tabla de intermediate
valores. level Event MIB

Esta tabla podra servir como entrada manager
para otras expresiones MIB.
Eventos MIB
expression

La entrada son variables de un MIB agent MIB
(remoto).

Activaciones sobre cambios en objetos MIB
MIB especificados.

Genera una notificacin o conjunto de
operaciones SET.

Departamento de Electrnica - UTFSM 20

 AGENTX: EXTENSIN
Departamento de Electrnica - UTFSM DE UN AGENTE

Facilita la extensin de agentes SNMP con nuevos mdulos MIB.

Separa el motor SNMP de la implementacin MIB.
Permite la adicin dinmica de nuevas implementaciones de
mdulos MIB.
Los agentes extensibles deben ser transparentes.
Estructura bsica
subagent
subagent subagent
MIB
MIB MIB

protocolo / IPC
master agent
Protocol operations
Enconding

Transport

Departamento de Electrnica - UTFSM 21

 CONCLUSIONES
Departamento de Electrnica - UTFSM

Un equipo pude ser administrado va SNMP para servicios

especficos, sin la necesidad de que el agente interacte
directamente con ellos.

Mapeo de valores a objetos MIB.
La simplicidad de mantenerse informado de la situacin actual de
los servicios que entrega una red.

Es posible ocultar informacin sobre estadsticas.

Monitoreo de recursos estratgicos.
El reconocimiento de fallas por parte de un agente en un equipo
administrado permite liberar la carga de la estacin y de la red
(ancho banda).

Departamento de Electrnica - UTFSM 22

 ESQUEMA FUNCIONAL
Departamento de Electrnica - UTFSM

SNMPv3 Protocol

request
agentX
asterisk data agent managing
data response data entity
Portal web
administrador

trap msg

managed entity managing entity

Departamento de Electrnica - UTFSM 22

23
 CONSULTAS
Departamento de Electrnica - UTFSM

Departamento de Electrnica - UTFSM 23

24