as actuales redes de teleco- nagement Protocol), es un protocolo
L municación se caracterizan por un constante incremento del nú- de la capa de aplicación que facilita el intercambio de información de ges- mero, complejidad y heterogenei- tión entre dispositivos de red. Este dad de los recursos que las compo- protocolo es parte del conjunto de nen. protocolos TCP/IP (Transmission Los principales problemas rela- Control Protocol/Internet Proto- cionados con la expansión de las re- col) y, por su amplia utilización en re- des son la gestión de su correcto des empresariales, es considerado el funcionamiento día a día y la plani- estándar de facto en detrimento ficación estratégica de su creci- del protocolo CMIP (Common Ma- miento. De hecho, se estima que más nagement Information Protocol) del 70% del coste de una red cor- de la familia de protocolos OSI porativa está relacionado con su ges- (Open Systems Interconnection), más tión y operación. utilizado en las grandes redes de las Por ello, la gestión de red inte- operadoras de telecomunicación. grada, como conjunto de activida- SNMP permite a los administradores: des dedicadas al control y vigilan- gestionar el rendimiento, encon- cia de recursos bajo el mismo sistema trar y solucionar problemas, y pla- de gestión, se ha convertido en un nificar el crecimiento futuro de la red. aspecto de enorme importancia en Si bien SNMP se diseñó, en un el mundo de las telecomunicacio- principio, con el propósito de hacer nes. En efecto, la gestión de red se posible supervisar de forma senci- tagram-Delivery Protocol), y No- suele centralizar en un centro de lla y resolver problemas, en routers vell IPX (Internet Packet Exchan- gestión, donde se controla y vigila y bridges; con su ampliación, este ge). el correcto funcionamiento de to- protocolo puede ser utilizado para dos los equipos integrados en las supervisar y controlar: routers, swit- COMPONENTES BÁSICOS DE distintas redes de la empresa en ches, bridges, hubs, servidores y es- SNMP cuestión. Para ello, el centro de ges- taciones Windows y Unix, servido- tión consta de una serie de méto- res de terminal, etc. Los componentes básicos de una dos de gestión, de recursos huma- El protocolo SNMP opera sobre red gestionada con SNMP, son: los nos y de herramientas de apoyo. varios protocolos de transporte, ori- agentes, componentes software que ginalmente y habitualmente sobre se ejecutan en los dispositivos a ges- INTRODUCCIÓN A SNMP UDP (User Datagram Protocol), aun- tionar; y los gestores, componentes que actualmente también soporta, software que se ejecutan en los sis- El protocolo de gestión de red sim- OSI CLNS (ConnectionLess Net- temas de gestión de red. Un siste- ple o SNMP (Simple Network Ma- work Service), AppleTalk DDP (Da- ma puede operar exclusivamente ➔ 2003
BIT 139 JUN.-JUL. 45
●u Qué es ...
como gestor o como agente, o bien
puede desempeñar ambas funcio- nes simultáneamente. Por consi- guiente, el protocolo SNMP tiene una arquitectura cliente servidor distribuida, como se ilustra en la Fi- gura 1. La parte servidora de SNMP con- siste en un software SNMP gestor, responsable del sondeo de los agen- tes SNMP para la obtención de in- Figura 1: Esquema de una red gestionada con SNMP. formación específica y del envío de peticiones a dichos agentes solici- situación anómala en un recurso eventos, como por ejemplo el fallo tando la modificación de un deter- gestionado, los agentes, sin necesi- repentino de una tarjeta del dispo- minado valor relativo a su configu- dad de ser invocados por el gestor, sitivo gestionado. ración. Es decir, son los elementos emiten los denominados eventos o El protocolo SNMP debe tener en del sistema de gestión ubicados en notificaciones que son enviados a cuenta y ajustar posibles incompa- la plataforma de gestión centraliza- un gestor para que el sistema de tibilidades entre los dispositivos a da de red, que interaccionan con los gestión pueda actuar en conse- gestionar. Los diferentes ordena- operadores humanos y desencade- cuencia. dores utilizan distintas técnicas de nan las acciones necesarias para lle- El gestor SNMP puede lanzar cual- representación de los datos, lo cual var a cabo las tareas por ellos invo- quiera de estos tres comandos so- puede comprometer la habilidad de cadas o programadas. bre un agente SNMP: SNMP para intercambiar informa- La parte cliente de SNMP con- – Get. Una petición por el valor es- ción entre los dispositivos a gestio- siste en un software SNMP agente pecífico de un objeto en la MIB nar. Para evitar este problema, SNMP y una base de datos con informa- del agente. Este comando es uti- utiliza un subconjunto de ASN.1 ción de gestión o MIB. Los agentes lizado por el gestor para monito- (Abstract Syntax Notation One) en SNMP reciben peticiones y repor- rizar los dispositivos a gestionar. la comunicación entre los diversos tan información a los gestores SNMP – Get-next. Una petición por un va- sistemas. para la comunidad a la que perte- lor en el siguiente objeto en la La principal ventaja de SNMP pa- necen; siendo una comunidad, un MIB del agente. Este comando es ra los programadores de herra- dominio administrativo de agentes utilizado para obtener cada valor mientas de gestión de red, es su sen- y gestores SNMP. Es decir, son los sucesivo en un subconjunto o ra- cillez frente a la complejidad inherente elementos del sistema de gestión ma de la MIB. a CMIP. De cara al usuario de di- ubicados en cada uno de los dispo- – Set. Utilizado para cambiar el va- chas herramientas, CMIP resuelve sitivos a gestionar, e invocados por lor de un objeto en la MIB de un la mayor parte de las muchas limi- el gestor de la red. agente, en el caso de que el ob- taciones de SNMP, pero por contra, El principio de funcionamiento jeto tenga habilitada la lectura y consume mayores recursos (alre- reside, por consiguiente, en el in- escritura de su valor. Debido a la dedor de 10 veces más que SNMP), tercambio de información de ges- limitada seguridad de SNMP, la por lo cual es poco utilizado en las tión entre nodos gestores y nodos mayoría de los objetos de la MIB redes de telecomunicación empre- gestionados. Habitualmente, los sólo tienen acceso de lectura. Es- sariales. agentes mantienen en cada dispo- te comando es utilizado por el Puesto que la consulta sistemáti- sitivo gestionado información acer- gestor para controlar los dispo- ca de los gestores, es más habitual ca de su estado y su configuración. sitivos a gestionar. que la emisión espontánea de da- El gestor pide al agente, a través del Por otro lado, un agente SNMP tos por parte de los agentes cuan- protocolo SNMP, que realice deter- podría también mandar un mensa- do surgen problemas, SNMP es un minadas operaciones con estos da- je a un gestor SNMP sin el envío protocolo que consume un consi- tos de gestión, gracias a las cuales previo de una solicitud por parte de derable ancho de banda, lo cual li- podrá conocer el estado del recur- éste. Este tipo de mensaje es cono- mita su utilización en entornos de so y podrá influir en su comporta- cido como Trap. Los Traps son ge- red muy extendidos. Esto es una miento. Cuando se produce alguna neralmente enviados para reportar desventaja de SNMP respecto a
46 BIT 139 JUN.-JUL.
2003 CMIP, que puesto que trabaja en modo conectado en vez de mediante sondeo secuencial, permite optimi- zar el tráfico. SNMP, en su versión original, tampoco permite transfe- rir eficientemente grandes cantida- des de datos. No obstante, la limitación más im- portante de SNMP es que carece de autentificación, lo cual supone una alta vulnerabilidad a varias cues- tiones de seguridad, como por ejem- plo: modificación de información, Figura 2: Estructura en árbol de la MIB. alteración de la secuencia de men- sajes, enmascaramiento de la enti- dad emisora, etc. En su versión ori- plataformas comerciales como: Open- toridad sobre los objetos y ramas ginal, cada gestor y agente es View de Hewlett Packard (que es el de una MIB. configurado con un nombre de co- producto más representativo con Generalmente, los objetos de la munidad, que es una cadena de tex- más de un 40% de cuota de merca- MIB son referenciados por un iden- to plano. Los nombres de comuni- do), SunNet de Sun Microsystems, tificador. Por ejemplo, el objeto In- dad, enviados junto a cada comando NetView de IBM, etc. Muchas ve- ternet, se referencia por 1.3.6.1, o lanzado por el gestor, sirven como ces, estas plataformas multifrabri- bien iso-ccitt.identified-organiza- un débil mecanismo de autentifica- cante, suelen convivir con otras pla- tion.dod.internet. ción, ya que puesto que el mensaje taformas de gestión de red no está cifrado, es muy sencillo que monofabricante, con el fin de apro- MEJORAS DE SNMPV3 un intruso determine cual es dicho vechar al máximo los desarrollos nombre capturando los mensajes propios y particulares de cada pro- Existen tres versiones de SNMP: enviados a través de la red. Cuan- veedor. SNMP versión 1 (SNMPv1), SNMP do un agente SNMP captura una pe- versión 2 (SNMPv2) y SNMP versión tición SNMP, primero comprueba LA MIB 3 (SNMPv3). SNMPv1 constituye la que la petición que le llega es para primera definición e implementa- la comunidad a la cual pertenece. Una MIB (Management Infor- ción del protocolo SNMP, estando Solamente en el caso de que el agen- mation Base) es una base de datos descrito en las RFC 1155, 1157 y 1212 te pertenezca a dicha comunidad, o jerárquica de objetos y sus valores, del IETF (Internet Engineering Task bien consulta en la MIB el valor del almacenados en un agente SNMP. Force). El vertiginoso crecimiento objeto solicitado y envía una res- En la Figura 2, se ilustra la estruc- de SNMP desde su aparición en 1988, puesta al gestor SNMP con dicho tura en árbol de la MIB. puso pronto en evidencia sus debili- valor en el caso de un comando Get, Cada MIB individual es un su- dades, principalmente su imposibi- o bien cambia el valor en el caso de bárbol de la estructura total de MIB lidad de especificar de una forma sen- un comando Set. CMIP, por traba- definida por la ISO (International cilla la transferencia de grandes jar en modo conectado, ofrece una Standards Organization). La RFC bloques de datos y la ausencia de me- mayor seguridad que SNMP. 1156, llamada MIB-I, especifica cier- canismos de seguridad; debilidades Finalmente señalar que, como he- tas informaciones de primer nivel. que tratarían de ser subsanadas en mos visto, SNMP sólo define el pro- La RFC 1158, llamada MIB-II, es más las posteriores definiciones del pro- tocolo para el intercambio de in- exhaustiva. Sin embargo, como es- tocolo. formación de gestión entre el gestor tas especificaciones no permiten SNMPv2 apareció en 1993, es- y el agente y el formato para repre- describir, con la precisión requeri- tando definido en las RFC 1441-1452. sentar la información de gestión o da, todo tipo de agentes, los fabri- SNMPv1 y SNMPv2 tienen muchas MIB. Por ello, para facilitar la ges- cantes de hardware y programa- características en común, siendo la tión de red, es conveniente adqui- dores de software están desarrollando principal mejora la introducción de rir un gestor de red gráfico multi- MIB propietarias. De esta forma, tres nuevas operaciones de proto- fabricante basado en SNMP, utilizando una organización puede tener au- colo: GetBulk para que el gestor re- ➔ 2003
BIT 139 JUN.-JUL. 47
●u Qué es ...
temporal razonable que descarte el
posible retardo de mensajes y el ata- que mediante mensajes repetidos, se utilizan mecanismos de sincro- nización entre emisor y receptor y el chequeo de la ventana temporal constituida por el momento de emi- sión del mensaje y su momento de recepción. Por otro lado, la facili- dad de privacidad de USM posibi- lita a los gestores y a los agentes en- criptar mensajes para prevenir que sean analizados por intrusos. De nuevo, el gestor y el agente deben compartir una clave secreta confi- gurada previamente. El algoritmo cupere de una forma eficiente gran- guridad y administración a ser uti- de encriptación utilizado es el CBC des bloques de datos, tales como las lizadas en conjunción con SNMPv2 (Cipher Block Chaining) de DES columnas de una tabla; Inform pa- (preferiblemente) o SNMPv1. Estas (Data Encryption Standard), cono- ra que un agente envíe información mejoras harán que SNMP se cons- cido también por DES-56. espontánea al gestor y reciba una tituya en un protocolo de gestión El modelo de control de acceso confirmación; y Report para que el susceptible de ser utilizado con al- basado en vistas o VCAM (Views- agente envíe de forma espontánea tas prestaciones en todo tipo de re- Based Access Control Model) per- excepciones y errores de protoco- des, desplazando a medio plazo a mite proporcionar diferentes nive- lo. SNMPv2 también incorpora un CMIP como estándar de gestión de les de acceso a las MIB de los agentes conjunto mayor de códigos de error las grandes redes de las operado- para los distintos gestores en SNMPv3. y más colecciones de datos. En 1995 ras de telecomunicación. Un agente puede, de este modo, res- apareció una revisión de SNMPv2, El modelo de seguridad basado tringir el acceso de ciertos gestores denominada SNMPv2c y descrita en usuario o USM (User-Based Se- a parte de su MIB o bien limitar las en las RFC 1901-1910, añadiendo curity Model) proporciona los ser- operaciones susceptibles de reali- como mejoras una configuración vicios de autentificación y privaci- zar por ciertos gestores sobre una más sencilla y una mayor modula- dad en SNMPv3. El mecanismo de parte de su MIB. La política de con- ridad; pero manteniendo el senci- autentificación en USM asegura que trol de acceso a ser utilizada por el llo e inseguro mecanismo de au- un mensaje recibido fue, de hecho, agente para cada gestor debe estar tentificación de SNMPv1 y SNMPv2 trasmitido por la entidad indicada configurada previamente; consis- basado en la correspondencia del en el campo correspondiente a la tiendo básicamente en una tabla que denominado nombre de comuni- fuente en la cabecera del mensaje; detalla los privilegios de acceso pa- dad. y además, que el mensaje no fue al- ra los distintos gestores autoriza- La nueva y última versión de SNMP, terado durante su tránsito y que no dos. Mientras que la autentificación SNMPv3, refuerza las prestaciones fue artificialmente retardado o re- es realizada por usuario, el control de seguridad, incluyendo autentifi- petido. Para conseguir la autentifi- de acceso es realizado por grupos, cación, privacidad y control de ac- cación, el gestor y el agente que de- donde un grupo podría ser un con- ceso; y de administración de proto- sean comunicarse deben compartir junto de usuarios. colo, con una mayor modularidad la misma clave de autentificación Finalmente, y para los lectores y la posibilidad de configuración re- secreta configurada previamente que deseen conocer conocer en más mota. SNMPv3 apareció en 1997, es- fuera de SNMPv3 (no es almacena- profundidad este importante pro- tando descrito en las RFC 1902-1908 da en la MIB y no es accesible me- tocolo de gestión de red, se reco- y 2271-2275. Cabe destacar que diante SNMP). El protocolo de au- mienda la dirección de Internet SNMPv3 no se trata de un estándar tentificación utilizado puede ser el http://www.snmplink.org/; que ofrece que reemplaza a SNMPv1 y/o HMAC-MD5-96 o el HMAC-SHA- gratuitamente una gran cantidad de SNMPv2, sino que define una serie 96. Para asegurarse de que los men- información y utilidades relaciona- de capacidades adicionales de se- sajes llegan dentro de una ventana das con SNMPv3.