Gestión de redes, SNMP y RMON

69
Gestión de redes, SNMP y RMON Redes y Servicios II ETSI Bilbao/DET/Telemática/5º Ing. Telecomunicación Dani Gutiérrez Porset Nov 2010

Transcript of Gestión de redes, SNMP y RMON

Page 1: Gestión de redes, SNMP y RMON

Gestión de redes,SNMP y RMON

Redes y Servicios IIETSI Bilbao/DET/Telemática/5º Ing. TelecomunicaciónDani Gutiérrez PorsetNov 2010

Page 2: Gestión de redes, SNMP y RMON

2

Acerca de este documento

http://creativecommons.org/licenses/by-sa/3.0/

● Licencia de uso

● Material utilizado:● Foto de portada: The Opte Project (cc by-nc-sa 1.0)● Logotipos propiedad de sus respectivos dueños● Libro "SNMP, SNMPv2, SNMPv3, and RMON 1 and 2" -

William Stallings – Ed. Addison Wesley● Apuntes de Marivi Higuero Aperribai

http://opte.org/maps/

Page 3: Gestión de redes, SNMP y RMON

3

Índice● Introducción● Gestión de redes● SNMP● SNMPv1● RMON● Secure SNMP● SNMPv2● SNMPv3● Software para SNMP

Page 4: Gestión de redes, SNMP y RMON

4

Metodología PDCA

Plan

Do

Check

Act

MonitorizaciónSupervisión

Planificación

ControlConfiguración

http://en.wikipedia.org/wiki/PDCA

Introducción

Page 5: Gestión de redes, SNMP y RMON

5

Acciones y Medidas

Introducción

Reactivas Proactivas

●Detección●Corrección●Conocimiento causa

●Predicción●Prevención●De mejora

Page 6: Gestión de redes, SNMP y RMON

6

Situación de partida● Necesidad de gestionar nodos de la red● Multiplicidad:

● Redes● Dispositivos● Fabricantes: protocolos y formatos

Gestión de redes

Page 7: Gestión de redes, SNMP y RMON

7

Qué es gestionar una red● Operaciones:

● Monitorización● Clonado/Instalación de software/firmware● Actualización/Parcheo de software/firmware● Configuración● Inventario de hardware/software● Calidad y Seguridad

● Todo ello de forma automatizada, remota, masiva, segura

Gestión de redes

Page 8: Gestión de redes, SNMP y RMON

8

Modelo de gestión de red de OSI● Modelo FCAPS :

● Fault: identificar, aislar, corregir, registrar● Configuration: recoger, enviar, registrar cambios● Accounting: estadísticas de recursos,

administración de usuarios y permisos● Performance: %utilización y disponibilidad, tasas

de error, tiempos de respuesta● Security: autenticación, confidencialidad,

autorización

http://en.wikipedia.org/wiki/FCAPS

http://en.wikipedia.org/wiki/Network_management_model

Gestión de redes

Page 9: Gestión de redes, SNMP y RMON

9

Procesamiento

Red

Periféricos

Mix

Tipologías de nodos● Según capacidades e inteligencia:

Gestión de redes

Page 10: Gestión de redes, SNMP y RMON

10

Solución● Interoperabilidad en base a estándares● Elementos de información:

● Significado = semántica● Representación = léxico, sintaxis: formatos● Intercambio: protocolos de comunicación

● Estándares "de facto" vs "de iure"

Gestión de redes

Page 11: Gestión de redes, SNMP y RMON

11

Protocolos estándares de gestión● CMIP (Common Management Information

Protocol) y CMOT (CMIP Over TCP/IP):● De OSI/ISO● Complejos y poco usados

● SNMP (Simple Network Management Protocol): Control y Monitorización

● RMON (Remote Monitor): Monitorización

http://en.wikipedia.org/wiki/Common_management_information_protocol

Gestión de redes

Page 12: Gestión de redes, SNMP y RMON

12

Software de Gestión

Gestión de redes

Monitorización

http://en.wikipedia.org/wiki/Network_monitoring_comparison

http://en.wikipedia.org/wiki/Comparison_of_disk_cloning_software

http://en.wikipedia.org/wiki/Comparison_of_open_source_configuration_management_software

http://www.linuxjournal.com/content/readers-choice-awards-2010

Page 13: Gestión de redes, SNMP y RMON

13

Software de Monitorizaciónsin SNMP

● Requiere nodos con posibilidad de instalar software

● Herramientas:● Para pocos equipos, interfaz humano, ej. web● Para muchos equipos, automatización:

– "A mano": scripts, cron,...– Productos:

● Red: nagios, mon, sysmon, ntop,...● Logs: logwatch, oak,... http://www.nagios.org/

https://mon.wiki.kernel.org/

http://www.sysmon.com/

http://www.ntop.org/

http://www.ktools.org/

http://sourceforge.net/projects/logwatch/

Gestión de redes

Page 14: Gestión de redes, SNMP y RMON

14

SNMP

Simple Network Management Protocol

Sólo 5 comandos en v1, yotros 2 más en v2, v3

Alcance: Monitorización y Controlen redes centralizadas o distribuidas

Parte del modelo TCP/IP,definido mediante RFCs del IETF

http://en.wikipedia.org/wiki/Snmp

SNMP

Pero SNMP no es perfecto !

Page 15: Gestión de redes, SNMP y RMON

15

Historia y Versiones

SNMP

SNMPv1

RMON

SNMPv2

Secure SNMP

SNMPv2uSNMPv2c SNMPv2*

SNMPv3

1988

1993

1992

1998 Es el estándar actual(SNMPv1, SNMPv2 obsoletas)

Page 16: Gestión de redes, SNMP y RMON

16

Elementos de la especificación● Tipos de nodo:

● Nodo gestor con software NMS (Network Management System)

● Nodo gestionado con software Agente● Protocolo● Datos:

● SMI (Structure of Management Information)● MIB (Management Information Base)

SNMP

Page 17: Gestión de redes, SNMP y RMON

17

Tipologías de nodos● Según función de gestión:

● Nodos Gestores● Nodos Gestionados mediante agentes● Nodos Proxies

Gestión de redes

Page 18: Gestión de redes, SNMP y RMON

18

Tipos de Nodos: NMS y Agente

MIB

Dispositivo gestionadoNMS (Network management system)

IPv4, IPv6

UDP

SNMP

ProcesoGestor

IPv4, IPv6

UDP

SNMP

TCP

...

ProcesoAgente

Proceso...

MIB

SNMP

●Comunicación con los nodos gestionados●Interface de Usuario con funcionalidades añadidas●MIB resultado de agregar MIBs de nodos gestionados

Page 19: Gestión de redes, SNMP y RMON

19

Tipos de nodos: Proxy

Agente Proxy Dispositivo gestionadoque no habla SNMP

Protocolo YYY

ProcesoXXX

IPv4, IPv6

UDP

SNMP

ProcesoAgente

Protocolo YYY

ProcesoProxy

SNMP

Page 20: Gestión de redes, SNMP y RMON

20

Protocolo: SNMP en modelo TCP/IP

1. Físico

2. Enlace

3. Red

4. Transporte

5. Sesión

6. Presentación

7. Aplicación

1. Enlace

2. Internet

3. Transporte

4. Aplicación

OSI/ISO TCP/IP

SNMP

UDP

ASN.1

http://en.wikipedia.org/wiki/OSI_model

http://en.wikipedia.org/wiki/TCP/IP_model

SNMP

Otros protocolos bajo SNMP:●OSI Connectionless Network Service●AppleTalk Datagram-Delivery Protocol (DDP)●Novell IPX●Incluso TCP

UDP:●Menor tráfico que TCP●No confiable, pero seenvían confirmacionesen nivel de Aplicación

Page 21: Gestión de redes, SNMP y RMON

21

Protocolo: Operaciones y Primitivas

SNMP

Síncronas

Asíncronas

Solicitud deLectura

Solicitud deEscritura

GetRequestGetNextRequestGetBulkRequest

SetRequest

Envío deInformación

Response

Trap

InformRequest

SNMPv2En SNMPv1se llamaba

GetResponseDe Gestor a Agente

De Agente a Gestor

En ambos sentidos

En SNMPv2también puede ir

de agente a agente

Page 22: Gestión de redes, SNMP y RMON

22

Protocolo: Polling vs Trap● Polling = Sondeo● Trap = Notificaciones, Interrupciones● Criterios:

● Información periódica● Eficiencia de tráfico

SNMP

Page 23: Gestión de redes, SNMP y RMON

23

Protocolo: Flujos y Puertos

.../UDP 161/UDP

162/UDP

●Trap●InformRequests

●GetRequest●SetRequest●GetNextRequest●GetBulkRequest

●Response

Gestor Agente

.../UDP

SNMP

Page 24: Gestión de redes, SNMP y RMON

24

Protocolo: seguridad● Relación M:N entre agentes y gestores que actúan

sobre los primeros● Aspectos de seguridad:

● Autenticación: quién es el gestor, y cómo verificarlo● Acceso: permisos para cada agente sobre

determinados objetos● Proxys: implementación de políticas sobre los sistemas

gestionados por un proxy

SNMP

Page 25: Gestión de redes, SNMP y RMON

25

Protocolo: seguridad● Ataques que afectan a todas las versiones:

● Por fuerza bruta (diccionario), ya que carecen de mecanismo desafío-respuesta

● Denegación de servicio● Algunos fabricantes no permiten escritura, por

la mala seguridad hasta SNMPv3, o porque sus dispositivos no son configurables por SNMP

SNMP

Page 26: Gestión de redes, SNMP y RMON

26

SMI● Proporciona un esquema extensible para

representar objetos según una estructura jerárquica en árbol

● Versiones: SMIv1, SMIv2● Notación: Subconjunto de ASN.1. Ej:

internet OBJECT IDENTIFIER ::= { iso org(3) dod(6) 1 }

SNMP

http://en.wikipedia.org/wiki/Structure_of_Management_Information

Page 27: Gestión de redes, SNMP y RMON

27

Elementos de la SMI● Definición de estructura de base de datos, y de

cada MIB particular● Definiciones de objetos, módulos y

notificaciones (traps): tipos, nomenclatura, sintaxis, reglas de construcción de las MIBs,...

● Codificación según BER

SNMP

Page 28: Gestión de redes, SNMP y RMON

28

ASN.1● Metalenguaje o Notación que consiste en:

● Sintaxis, ej.Asignaciones: A ::= BComentarios: -- zer astuna den ikasgai hau

● Reglas para codificar las construcciones a binario según BER

● Semejante a compilar un programa desde el fuente al binario

http://en.wikipedia.org/wiki/Abstract_Syntax_Notation_One

http://en.wikipedia.org/wiki/Basic_Encoding_Rules

http://asn1.org/

SNMP

Page 29: Gestión de redes, SNMP y RMON

29

Árbol de la SMI

SNMP

●directory: uso futuro para directorio OSI (X.500)●management: subárbol para objetos aprobados en el IAB●experimental: para pruebas●private: para fabricantes específicos

No hay un nodo raíz

orden

Page 30: Gestión de redes, SNMP y RMON

30

Objetos de la SMI● Nodos del árbol: Objetos=nodo o dispositivo a

gestionar, y características/recursos del mismo.Ej: Router, con su tabla de conexiones TCP

● Cada nodo con hijos puede verse como un grupo

● El protocolo SNMP:● No puede modificar la estructura del árbol● Sólo puede gestionar los nodos-hoja

SNMP

Page 31: Gestión de redes, SNMP y RMON

31

Sintaxis de objetos de la SMI● Identificación y Relación con otros objetos● Tipo de valores:

● Por sencillez e interoperabilidad sólo hay escalares y tablas; no hay otras estructuras complejas

● SNMP sólo puede leer/escribir tipos escalares● Formas posibles (CHOICE)● Rango de valores, ej.SYNTAX INTEGER (0..65535)

● Permisos de acceso (read-only, read-write,...) y Obligatoriedad (mandatory, optional)

● DescripciónSNMP

Page 32: Gestión de redes, SNMP y RMON

32

Identificación de objetos de la SMI

● Identificador único:● De tipo OBJECT IDENTIFIER en ASN.1● Secuencia de enteros separados por puntos; cada

entero indica los nodos de la rama en la que está● A veces, secuencia de nombres correspondientes

Ej:1.3.6.1.2.1.4iso.org.dod.internet.mgmt.mib_2.ip

SNMP

http://www.faqs.org/rfcs/rfc1902.html

Page 33: Gestión de redes, SNMP y RMON

33

Tipos de objetos de la SMI● Escalares:

● 4 Universales predefinidos: – INTEGER: de -231 a 231-1– OCTET STRING: de 0 a 65535 bytes– OBJECT IDENTIFIER– NULL

● Otros tipos especiales basados en los anteriores, asociados a la clase APPLICATION.

● En la SMIv2 hay más tipos

SNMP

http://www.faqs.org/rfcs/rfc2012.html

Page 34: Gestión de redes, SNMP y RMON

34

Tipos de objetos de la SMI● Tipos asociados a APPLICATION class:

● NetworkAddress: sólo está definida IpAddress● IpAddress: 32 bit address● Counter: de 0 a 232-1 (4.294.967.295). Su valor sólo

puede incrementarse● Gauge: de 0 to 232-1. Su valor puede aumentar o

disminuir● TimeTicks: centésimas de segundo desde alguna época● Opaque: datos arbitrarios en cualquier formato,

codificados como OCTET STRING

SNMP

http://www.faqs.org/rfcs/rfc1155.html

Page 35: Gestión de redes, SNMP y RMON

35

Tipos de objetos de la SMI● Arrays bidimensionales o tablas mediante:

● SEQUENCE-OF: todos los elementos de igual tipo● SEQUENCE: elementos de igual o distinto tipo● Palabra clave INDEX para distinguir filas.

Ej: tabla tcpConnTable

SNMP

http://www.faqs.org/rfcs/rfc2012.html

tcpConnState tcpConnLocalAddress tcpConnLocalPort tcpConnRemAddress tcpConnRemPort

listen(2) 0.0.0.0 21 0.0.0.0 0

listen(2) 0.0.0.0 22 0.0.0.0 0

listen(2) 0.0.0.0 25 0.0.0.0 0

listen(2) 0.0.0.0 80 0.0.0.0 0

established(5) 127.0.0.1 1031 127.0.0.1 1030

established(5) 127.0.0.1 1032 127.0.0.1 1033

Page 36: Gestión de redes, SNMP y RMON

36

Definición de objetos de la SMI● Niveles:

● Definición de macro, ej. OBJECT-TYPE● Instancia de macro para definir tipos

ej. definición del tipo tcpMaxConn mediante la macro OBJECT-TYPE

● Valor de instancia de macro, para indicar valores concretos de una entidad específicaej. valor de tcpMaxConn para un caso concreto de conexión TCP

http://www.faqs.org/rfcs/rfc1212.html

http://www.faqs.org/rfcs/rfc2012.html

SNMP

Page 37: Gestión de redes, SNMP y RMON

37

Módulos de la SMI● Especifican grupos de definiciones

relacionadas● Tipos:

● Módulos de MIB, para definir objetos interrelacionados

● Sentencias de conformidad, para describir grupos de objetos que han de cumplir un standard

● Sentencias de capacidades, que permiten a un gestor conocer las posibilidades que ofrece un agente

SNMP

Page 38: Gestión de redes, SNMP y RMON

38

Software para SMI y ASN.1● Ej. implementación: libsmi

En Debian y derivados:

apt-cache search libsmi apt-cache search ASN.1

SNMP

Page 39: Gestión de redes, SNMP y RMON

39

MIBs● Rama dentro de SMI para un uso concreto● Diferencia entre SMI y MIBs:

● SMI = esquema de definición + árbol general● MIBs = subárboles de propósito específico

(semántica+léxico) dentro del árbol general

SNMP

http://en.wikipedia.org/wiki/Management_information_base

Page 40: Gestión de redes, SNMP y RMON

40

Tipos de MIBs● Estándares: mantenidas por IETF o IEEE. Ej:

● MIB-2: gestión de dispositivos TCP/IP● TCP-MIB: específica de TCP● Ethernet-MIB

● Privadas (disminuye la interoperabilidad):● El fabricante proporciona texto y/o descripción

formal de la misma para la NMS● Problema: 3 versiones; principal: RFC 1212

SNMP

http://en.wikipedia.org/wiki/Management_information_base

Page 41: Gestión de redes, SNMP y RMON

41

Ejs. MIBs

SNMP

● Paquete Debian snmp-mibs-downloader

● Directorios:● MIBs IANA: /var/lib/mibs/iana● MIBs IETF: /var/lib/mibs/ietf● RFCs: /usr/share/doc/mibrfcs

Page 42: Gestión de redes, SNMP y RMON

42

MIB-2

SNMP

system(1)

interfaces(2)

at (3)

transmission (10)

ip (4)

icmp (5)

tcp (6)

udp (7)

snmp (11)

egp (8)

● Gestión de dispositivos TCP/IP● 1.3.6.1.2.1 = iso.org.dod.internet.mgmt.mib_2● 10 nodos = grupos

http://en.wikipedia.org/wiki/Exterior_Gateway_Protocol

Exterior Gateway Protocol (obsoleto)

Obsoleto; mantenido por compatibilidad con MIB-1

Datos de nivel de Enlace

Page 43: Gestión de redes, SNMP y RMON

43

Condiciones de objetos en MIB-2

SNMP

● Que sea esencial para gestión de fallos o configuración

● Si es un objeto de control, que sea "no peligroso"

● Evidencia de utilización● No incluir objetos que se puedan derivar de

otros, para evitar redundancias● Excluir objetos específicos, ej. para BSD UNIX● Evitar secciones críticas de código con mucho

control (sólo 1 contador)

Page 44: Gestión de redes, SNMP y RMON

44

SNMPv1: PDUs

PDU type request-id error-status error-index variable-bindings

PDU type enterprise agent-addr generic-trap variable-bindingsspecific-trap time-stamp

PDU type request-id 0 0 variable-bindings

SNMPv1

GetRequest, GetNextRequest, SetRequest

GetResponse

Trap

nombre1 valor1 nombre2 valor2 nombreN valorN...

●version: 1●community: para seguridad

version community

IP header UDP header SNMP data

SNMP header SNMP PDU

Page 45: Gestión de redes, SNMP y RMON

45

SNMPv1: PDUs● request-id: para correlar peticiones y

respuestas; se usa el mismo valor en ambas● error-status, error-index: gestión de errores● Notificación:

● enterprise: tipo de objeto que la genera, según sysObjectID

● agent-addr: dirección del objeto que la genera● generic-trap, specific-trap: tipos y códigos● time-stamp: desde la última reinicialización de la

red. Contiene sysUpTime

SNMPv1

Page 46: Gestión de redes, SNMP y RMON

46

SNMPv1: PDUs● Operaciones:

● Monitorización con PDUs de lectura (GetRequest, GetNextRequest, Trap)

● Control con PDU de escritura (SetRequest). Permite ejecutar comandos modificando el valor de algunos objetos específicos

SNMPv1

Page 47: Gestión de redes, SNMP y RMON

47

SNMPv1: PDUs● GetRequest, GetNextRequest y SetRequest:

● Se confirman con GetResponse● Pueden operar sobre más de una variable● Son operaciones atómicas: si fallan en alguna

variable no actúan sobre ninguna● Trap: no se confirman con GetResponse

SNMPv1

Page 48: Gestión de redes, SNMP y RMON

48

SNMPv1: PDUs● GetNextRequest:

● Para cada variable se obtiene el siguiente nodo-hoja de la MIB en orden lexicográfico

● Permite descubrir la estructura de la MIB de forma dinámica

SNMPv1

Page 49: Gestión de redes, SNMP y RMON

49

SNMPv1: Seguridad● Concepto de "comunidades": conjunto de

agentes y gestores que actúan sobre los primeros

● Aspectos de seguridad:● Autenticación basada en el nombre de la

comunidad. Es un password en texto claro que se comparte, típicamente "public" o "private" por defecto. Esquema muy pobre.

● Acceso basado en vistas (MIB view) y modos (ACCESS MODE ej. read-only)

● Se combinan ambos en un "community profile"

SNMPv1

Page 50: Gestión de redes, SNMP y RMON

50

RMON● Remote Monitor es una MIB específica para

agentes dedicados a monitorizar información de red

● Mejor rendimiento por monitorización red (versus dispositivo), ej:Delegar a dispositivos con RMON las notificaciones de congestión o de falta de conectividad (si no, todos los dispositivos mandarían notificaciones)

http://en.wikipedia.org/wiki/Remote_monitoring

RMON

Page 51: Gestión de redes, SNMP y RMON

51

RMON● Se concreta en un software de agente:

● Que corre en un dispositivo, dedicado o no, llamado sonda ("probe"). Ej. en un switch

● Que funciona en modo promiscuo capturando paquetes

● Uso típico: un agente RMON en cada segmento de red

● Ver MIBs y RFCs en wikipedia

http://en.wikipedia.org/wiki/Remote_monitoring

RMON

Page 52: Gestión de redes, SNMP y RMON

52

RMON● Operaciones:

● Monitorización mediante tablas de datos:– Informes de tráfico y estadísticas de errores– Almacenamiento de paquetes para análisis posteriores

● Configuración mediante filas en tablas de control● Invocación de acciones mediante objetos que

representan comandos, y actúan si cambian de estado

● Suelen usarse notificaciones más que polling

RMON

Page 53: Gestión de redes, SNMP y RMON

53

RMON: MIBs● Identificador de la MIB RMON:

iso.org.dod.internet.mgmt.mib-2.rmon1.3.6.1.2.1.16

● Versiones:● RMON1: orientado a capas física y de enlace, su

MIB define 10 grupos de objetos: estadísticas, alarmas, filtros, eventos,...

● RMON2: orientado a capas de red y superiores, su MIB define otros 10 grupos de objetos

● En ambos casos no siempre el dispositivo implementa todos los objetos.

RMON

Page 54: Gestión de redes, SNMP y RMON

54

RMON: acceso concurrente● Problemas potenciales por acceso concurrente

desde distintos gestores:● Exceso de la capacidad del monitor● Recursos del monitor ocupados/bloqueados

durante periodos de tiempo largos, bien por un fallo interno o por un gestor externo

RMON

Page 55: Gestión de redes, SNMP y RMON

55

RMON: acceso concurrente● Solución: columna "etiqueta de propiedad" en

las tabla de control:● Indica su propietario● Read-write para el propietario, Read-only para el

resto● Una estación gestora identifica a su

propietario y puede negociar con él la liberación

● Un operador puede hacer una liberación unilateral

RMON

Page 56: Gestión de redes, SNMP y RMON

56

Secure SNMP● Ofrece autenticación y encriptación● No es compatible con SNMPv1 porque cambia

el formato de la cabecera:IP header UDP header SNMP data

SNMP header SNMP PDU

privDst authInfo dstParty srcParty SNMP PDU

Puede ir encriptado

Authentication Info

Secure SNMP

http://tools.ietf.org/html/rfc1351

Page 57: Gestión de redes, SNMP y RMON

57

SNMPv2● Cambios respecto a SNMPv1:

● Orientación a redes distribuidas, gracias a la comunicación entre managers (idea basada en RMON)

● Más eficiencia en tráfico mediante mensajes de obtención de múltiples valores

● Seguridad mejorada basada en S-SNMP, pero al ser muy compleja no se aceptó: SNMPv2 vs SNMPv2c (c=community)

● Aparece SMIv2 y una nueva MIB: 1.3.6.1.6● Se permite crear y borrar filas en tablas

● No es compatible con SNMPv1, pero se pueden emplear proxies y entornos duales

SNMPv2

Page 58: Gestión de redes, SNMP y RMON

58

SNMPv2: Protocolo● Modificaciones respecto a SNMPv1:

● Cabeceras de los mensajes como en Secure SNMP● PDUs:

– Nuevas: GetBulkRequest, InformRequest– Modificada GetResponse por Response– Modificada estructura de Trap. Ahora idem GetRequest,

GetNextRequest, SetRequest, Trap, InformRequest:

– GetRequest, GetNextRequest y SetRequest no son atómicas, pudiendo actuar sobre algunas (y no todas) las variables del mensaje

● Hay tráfico de notificaciones entre NMSs

PDU type request-id 0 0 variable-bindings

SNMPv2

Page 59: Gestión de redes, SNMP y RMON

59

SNMPv2: GetBulkRequest● Se usa para minimizar el número de

intercambios necesario para obtener una gran cantidad de datos.

● PDU:

● Para las primeras N (non-repeaters) variables la operación es idéntica a GetNextRequest PDU, devolviéndose un único sucesor lexicográfico

● Para las otras R variables, se devuelven múltiples (M=max-repetitions) sucesores lexicográficos

PDU type request-id non-repeaters max-repetitions variable-bindings

N+R variablesN M

SNMPv2

Page 60: Gestión de redes, SNMP y RMON

60

SNMPv2: GetBulkRequest

Ej:

● GetBulkRequest:– [ non-repeaters = 1, max-repetitions = 2 ]– ( sysUpTime, ipNetToMediaPhysAddress, ipNetToMediaType )

● Response:– sysUpTime.0 = "123456"– ipNetToMediaPhysAddress.1.9.2.3.4 = "000010543210"– ipNetToMediaPhysAddress.2.10.0.0.51= "000010012345"– ipNetToMediaType.1.9.2.3.4= "dynamic"– ipNetToMediaType.2.10.0.0.51= "static"

Interface-Number Physical-Address Network-Address Type1 00:00:10:54:32:10 9.2.3.4 dynamic2 00:00:10:01:23:45 10.0.0.51 static3 00:00:10:98:76:54 10.0.0.15 dynamic

SNMPv2

Page 61: Gestión de redes, SNMP y RMON

61

SNMPv2: InformRequest● Semejante al Trap pero requiere confirmación

desde el Manager. Si ésta no se recibe en un tiempo, se reenvía el InformRequest

● Criterios:● Eficiencia de tráfico y recursos de memoria: Trap● Seguridad en recepción: InformRequest

SNMPv2

http://www.cisco.com/en/US/docs/ios/11_3/feature/guide/snmpinfm.html

Page 62: Gestión de redes, SNMP y RMON

62

SNMPv3● Cambios respecto a SNMPv2:

● Seguridad en:– Integridad de mensajes– Confidencialidad, mediante la encriptación de paquetes– Autenticidad– Enmascaramiento: UDP es vulnerable a IP spoofing

(cambio de la dirección de origen) para suplantar dispositivos, y SNMPv3 tiene mecanismos para evitarlo

● Nuevo framework o arquitectura extensible, compatible de forma nativa con SNMPv1 y SNMPv2

● Nuevas MIBs bajo 1.3.6.1.6

SNMPv3

Page 63: Gestión de redes, SNMP y RMON

63

SNMPv3: Seguridad● Se definen dos capacidades de seguridad:

● USM (User-based Security Model):– Proporciona funciones de autenticación y

confidencialidad (encriptación)– Opera a nivel de mensaje

● VACM (View-based Acess Control Model):– Determina si se permite el acceso a los objetos de la MIB

para llevar a cabo diferentes acciones– Opera a nivel de PDU

SNMPv3

Page 64: Gestión de redes, SNMP y RMON

64

SNMPv3: Arquitectura● Concepto "Entidad SNMP" que puede actuar

como agente, gestor o ambos a la vez, según los módulos que implemente

● Esquema en base a dos capas:● Una o varias Aplicaciones: capa superior que

genera y recibe PDUs● Un Motor: capa inferior que:

– Hace de intermediario para las PDUs de Aplicaciones y las capas inferiores: versión de SNMP, protocolos,...

– Gestiona la seguridad: autenticación, encriptación y acceso

SNMPv3

Page 65: Gestión de redes, SNMP y RMON

65

SNMPv3: ArquitecturaSólo Gestor Gestor y Agente

Notification generator

Sólo Agente

Ap

lica

c io

ne

s Command generator Comand responder

Mo

tor

Proxy forwarder

Notification responder

PDU dispatcher

Message dispatcher

Transportmapping (UDP,..)

Message processingsubsystem (v1, v2, v3)

Security subsystem Access subsystem

Dis

pat

c he

r

SNMPv3

Page 66: Gestión de redes, SNMP y RMON

66

SNMPv3: Formato de mensaje

msgVersion

msgId

msgMaxSize

msgFlags

msgSecurityModel

msgSecurityParameters

contextEngineID

contextName PDU

MsgGlobalData= cabecera

Definido y usado por elmodelo de seguridad

MsgData= ScopedPDU

Ámbito deencriptación

3

Se usan lasde SNMPv2

Identificadorunívoco de unaentidad SNMP

Modelo usadopor el emisor

Para coordinarpeticiones

y respuestas

Máximo tamaño de mensaje en bytesque soporta el emisor del mensaje

Generados por elsubsistema

de seguridad

●Cuándo enviar un “Report PDU”●Si se ha encriptado el mensaje●Si se ha utilizado autenticación●...

SNMPv3

Page 67: Gestión de redes, SNMP y RMON

67

Software para SNMP● Ej. de implementación libre: Net-SNMP● Comandos:

● snmpget - > GetRequestej:snmpget -v1 -c public localhost 1.3.6.1.2.1.1.1

● snmpgetnext, snmpwalk -> GetNextRequest● snmpset -> SetRequest● snmptrap -> Trap

Software para SNMP

http://www.net-snmp.org/

http://net-snmp.sourceforge.net/wiki/index.php/FAQ

Page 68: Gestión de redes, SNMP y RMON

68

Software para SNMP● Paquetes Ubuntu:

● Software básico de agente (snmpd) y gestor (snmp)● Librerías de enlace y runtime para distintos lenguajes:

C, java, php, perl, python, ruby● Interfaces: consola, consola propia (scli, snimpy),

applet de escritorio, cliente gráfico, web● Programas específicos: cacti, collectd, FusionInventory,

mrtg, munin, nagios, netdisco, netwox, zabbix● Dispositivos: AP, Cisco, UPS,● Otros: scanner, MIBs downloader, gestores de traps,

utilidades varias

Software para SNMP

Page 69: Gestión de redes, SNMP y RMON

69

Software para SNMP

Software Licencia GUI Plataformas

tkmib Libre Tk GNU/Linux

SnmpB Libre Qt GNU/Linux, Windows,...

mbrowse Libre Gtk GNU/Linux, Windows,...

iReasoning Privativa Java GNU/Linux, Windows,...

MG-SOFT Privativa Windows Windows

● MIB browser gratuitos

Software para SNMP