Download - Introducción a SNMP

1/340

Sistema de Gestin mediante SNMP

Parte 1 Los protocolos TCP/IP

El surgimiento de SNMP (Simple Network Management Protocol)

Componentes bsicos (agente, gestor, MIB)

Tipos de mensajes (Get, Set, GetNext, Response, Trap)

Formato de los mensajes

Autenticacin y nombre de la comunidad

Estructura de la MIB y el OID

Estructura de la informacin de gestin (SMI) y sntaxis ASN

Grupos de variables MIB pblicas y privadas

Agentes SNMP y MIB para Windows y Linux

2/340


Parte 2

Limitaciones de la primera versin de SNMP

Evolucin de SNMPv1 hacia SNMPv2

Nuevos tipos de datos y de mensajes en SNMPv2

GetBulkRequest e InformRequest

Seguridad en SNMPv2

Caractersticas y arquitectura de SNMPv3

Modelos de seguridad USM y VACM

Coexistencia de SNMP v1, v2 y v3 y uso de Proxy

3/340

Los protocolos TCP/IP

En el ao 1968, en los Estados Unidos la organizacin ARPA (Advanced Research Projects Agency) del DoD (Department of Defense) dio inicio al desarrollo de una red de computadoras conocida como ARPANET.

Posteriormente a comienzos de la dcada de los 70, DARPA (Defense Advanced Research Project Agency) suplant a la ARPA, y condujo los trabajos para desarrollar un protocolo para las comunicaciones de ARPANET, basado en Unix.

El resultado de ese esfuerzo fue el protocolo TCP/IP (Transmission Control Protocol/Internet Protocol).

4/340

A mediados de la dcada de los 70, entr en funcionamiento Internet.

Esta red, originalmente basada en Unix, adopt al protocolo TCP/IP para sus comunicaciones.

Hoy en da TCP/IP es el protocolo ms utilizado a nivel mundial, debido a la extensa cobertura de Internet, siendo el protocolo estndar para las comunicaciones en ambiente corporativo.

5/340

Originalmente TCP/IP representaba dos protocolos, pero actualmente el nombre se utiliza para designar un conjunto de protocolos que cumplen diferentes labores dentro de un modelo de capas similar al modelo OSI.

Entre los protocolos ms conocidos de este conjunto, adems de TCP e IP, se encuentran:

FTP (protocolo de transferencia de archivos). SMTP (protocolo de correo electrnico) UDP (al igual que TCP es un protocolo de transporte) ICMP (protocolo de intercambio de mensajes de control) SNMP (protocolo de gestin)

6/340

El modelo TCP/IP presenta cuatro capas, desglosadas de la siguiente forma:

Protocolo de aplicacin, tal como Web, correo electrnico o gestin de redes: HTTP, SMTP, SNMP, FTP, etc.

Protocolo proveedor de los servicios utilizados por los protocolos de aplicacin (p.e. transporte): TCP, UDP e ICMP.

Protocolo proveedor de los mecanismos bsicos para llevar los datagramas a su destino: IP, ARP, RARP, etc.

Protocolos necesarios para utilizar un medio fsico especfico: Ethernet, Token Ring, PPP, etc.

7/340

La figura ilustra el modelo del stack TCP/IP, donde en resaltado se muestran algunos de los protocolos.

8/340

FTP REXECRSHNFSRPC

SMTPPOP

ARPRARP

TELNET

ICMPUDPTCP

IP

ETHERNET IEEE 802 PPP

RIPSNMP PING

Varios protocolos del stack TCP/IP

9/340

Puertos, direcciones IP y direcciones LAN en el stack TCP/IP

10/340

Encapsulamiento de protocolos en TCP/IP

11/340

Ejemplo: encapsulamiento de una peticin HTTP

Ethernet

12/340

La trama Ethernet lleva encapsulados los dems protocolos uno dentro del otro, como las muecas rusas (matriuska)

13/340

14/340

Para saber ms sobre protocolos de redes

Modelo de Referencia OSI de 7 Capas

Protocolos TCP/IP

Internetworking

15/340

TCP/IP Architecture, Protocols and Implementation with IPv6 and IP Security.

McGraw-Hill, 1999

Libro sobre TCP/IP

16/340

17/340

El surgimiento de SNMPA mediados de 1988, el Consejo de Actividades de Internet (Internet Activities Board - IAB ) se reuni para elaborar las recomendaciones para el desarrollo de un protocolo de gestin.

La IAB se encarga de la administracin de la organizacin de Internet.

Ese mismo ao la Fuerza de Tareas de Ingeniera de Internet (Internet Engineering Task Force - IETF) design un grupo que comenzara a trabajar en el desarrollo de tal protocolo.

18/340

SNMP (Simple Network Management Protocol) fue definido inicialmente en agosto de 1988 en la RFC 1067 y fue elevado a la categora de estndar recomendadoen abril de 1989 en la RFC 1098.

Los RFCs (Request For Comments) son notas tcnicas y especificaciones de los protocolos de Internet.

Con esta herramienta a disposicin, diferentes proveedores de sistemas de computacin (IBM, Hewlett-Packard, Racal, AT&T, Novell, etc) iniciaron labores para desarrollar sistemas de gestin basados en ese protocolo y a finales de la dcada de los 80 y comienzos de los 90, fueron lanzados al mercado los primeros sistemas comerciales.

SNMP fue actualizado en la RFC 1157 de mayo de 1990.

19/340

Para aprender sobre SNMP

20/340

Introduction

Chapter 1Network Management Architectures

Chapter 2The Structure of Management Information

Chapter 3Management Information Bases

Chapter 4The Simple Network Management Protocol

Chapter 5SNMP Version 2

Chapter 6Lower Layer Support for SNMP

Chapter 7Case Studies in Implementing SNMP

Appendix A-G

Index

21/340

22/340

Tutorial sobre SNMP

23/340

24/340

25/340

26/340

Estndares SNMP

RFC 1155: Estructura e identificacin de la informacin de gestin para redes basadas en TCP/IP. Mayo de 1990. Describe cmo se definen en la MIB los objetos gestionados.

RFC 1157: A Simple Network Management Protocol (SNMP). Mayo de 1990. Define el protocolo para gestionar los objetos.

RFC 1213: Management Information Base para gestin dee red en redes basadas en TCP/IP: MIB-II. Marzo de 1991. Describe los objetos almacenados en la MIB.

27/340

Componentes bsicos de un sistema SNMP

Agente: software residente en el equipo a ser gestionado. Cada agente almacena datos de gestin y responde a las peticiones de datos por parte de la estacin de gestin.

Los agentes ejecutan dos funciones bsicas: inspeccin y modificacin de variables MIB.

La MIB es la base de datos de informacin de gestin.

Usualmente, la inspeccin de variables significa examinar los valores de contadores, umbrales, estados y otros parmetros, mientras que modificar significa cambiar los valores de las variables que inspecciona.

28/340

Gestor (manager): software residente en la estacin de gestin la red.

El gestor hace solicitudes al agente utilizando los comandos de SNMP.

Los gestores ejecutan las funciones de la estacin de gestin de la red y usualmente proveen una interfaz grfica con el usuario, presentando un mapa de la red.

29/340

Gestor y agente en SNMP

30/340


31/340

Network ManagementSoftware (Manager)

NetworkManagement

Agent (Agent),Objects

RMON Probe

NetworkManagement

Agent (Agent),Objects

Manager talks to an network management agent on each managed device


32/340

ManagementInformationBase (MIB)



Network ManagementSoftware (Manager)

RMON Probe

MIB stores data about devices.MIB on manager stores all.MIB on device stores local information

Management Information Base (MIB)

33/340

Monitoreo mediante SNMP

Polling = Interrogar peridicamente a los agentes

34/340

La importancia de la frecuencia de monitoreo (polling)

35/340

La popularidad de SNMP

36/340

Power Protection & Connectivity Products http://www.tripplite.com

Con PowerAlert basado en lenguaje de programacin JAVA y los estndares SNMP, los UPS tienen la capacidad de ser monitoreados remotamente, por lo que un administrador de red puede verificar el funcionamiento de los Sistemas UPS por medio de un navegador Web, con solo escribir la direccin IP de la tarjeta de red instalada en el UPS, an estando a miles de kilmetros de distancia.

37/340

Mensajes en SNMPSNMP es un protocolo simple que contiene unos cuantos comandos bsicos:

GetRequest: Peticin para solicitar el valor de una variable (read) por parte del manager.

GetNextRequest: Peticin para solicitar el valor de la siguiente variable (read) por parte del manager.

SetRequest: Peticin para modificar el valor en una variable (write) por parte del manager.

GetResponse (Replay): Respuesta a la peticin por parte del agente.

Hay adems un mensaje Trap (captura, interrupcin, notificacin) que enva el agente al manager cuando ocurre un evento extraordinario, por ejemplo un problema.

38/340

Mensajes SNMP

39/340

Get response

Get response

Mensajes SNMP

40/340

Mensajes SNMP

41/340

agente datos

Dispositivo administrable

Entidadadministradora

respuesta

agente datos

Dispositivo administrable

Entidadadministradora

Mensaje trapsolicitud

Modo solicitud/respuesta Modo trap

Mensajes SNMP

42/340

Resumen de mensajes SNMPv1

43/340

Uso de SNMP en una red corporativa

NMS = Network Management System

44/340

Uso de SNMP en una red corporativa

NMS = Network Management System

45/340

SNMP en el contexto de TCP/IP

46/340

El puerto 161 lo abre el agente para escuchar las peticiones del manager (GetRequest, GetNextRequest y SetRequest).

El puerto 162 lo abre el manager para escuchar los traps de los agentes.

SNMP utiliza puertos UDP

47/340

Utilizacin del puerto UDP 161 en el agente

48/340

Utilizacin del puerto UDP 162 en el manager

49/340

Ejemplo de direcciones IP y puertos SNMP

50/340

Ejemplo de envo de un trap

REDRED

1

Enlace cado(Link down)

Manager SNMP

51/340

Simplicidad de SNMP

La simplicidad de SNMP permite que las implantaciones de gestin de la red fueran llevadas a cabo rpidamente para satisfacer las necesidades inmediatas de Internet.

Esta simplicidad permite adems, que las implantaciones en los agentes sean ms compactas y eficientes, permitiendo que los agentes utilicen la mayor parte de la memoria y recursos de procesamiento disponibles en llevar a cabo sus funciones primarias en vez de procesar peticiones del administrador.

52/340

No obstante su simplicidad, SNMP es un protocolo robusto, que se desenvuelve exitosamente ante condiciones adversas de la red.

Es ms importante para la gestin de una red el trabajar bajo condiciones adversas que bajo condiciones normales, particularmente para gestin de fallas y desempeo, mientras se diagnostican y rectifican las causas que generaron tales condiciones.

53/340

Estas caractersticas de SNMP permiten que sea orientado a datagrama y basado en transaccin.

Siendo orientado a datagrama, permite la utilizacin de UDP como mecanismo de transporte y as se elimina la necesidad de establecer una conexin antes de la operacin del protocolo.

Adems (por ser orientado a datagrama) no tiene conexin que pueda fallar bajo condiciones adversas.

En contraparte, la orientacin a datagrama impone que los mensajes SNMP sean enviados completamente en un datagrama, lo que se traduce en una limitante a la longitud de los mensajes.

54/340

Comunicacin entre gestor y agente

55/340


56/340


GESTOR AGENTE

SISTEMA DE GESTIN SISTEMA GESTIONADOFUNCIONES DE GESTIN

SNMP (GESTOR)UDP

IP

ACCESO DE RED(Ej. Ethernet)

SNMP (AGENTE)UDP

IP

ACCESO DE RED(Ej. Ethernet)

SNMP PDUs

RED DE COMUNICACIONES

PROTOCOL DATA UNIT

57/340

Mensaje SNMP en LAN (Ethernet)

58/340

Codificacin de mensajes SNMPLa sntaxis para codificar los datos del mensaje se basa en Basic Encoding Rules (BER), estndar ISO 8825-1.

BER

59/340

La codificacin de los datos del mensaje SNMP se compone de 3 partes: Type, Length, Value (TLV)

60/340

Codificacin TLV

Idea: los datos transmitidos se autoidentifican T: tipo de dato, uno de los tipos definidos en ASN.1 L: longitud de los datos en bytes V: valor de los datos, codificado de acuerdo con el

estndar ASN.1

1234569

BooleanIntegerBitstringOctet stringNullObject IdentifierReal

Valor Tipo

61/340

Ejemplo de codificacin TLV

Valor, 5 octetosLongitud, 5 bytes

Tipo=4, cadena de octetos

Valor, 259Longitud, 2 bytes

Tipo=2, integer

62/340

GetRequest, GetNextRequest y GetResponse

El manager enva mensajes GetRequest y GetNextRequest al agente para obtener los valores de una o varias variables MIB.

Con GetRequest se obtienen valores sencillos, mientras que GetNextRequest permite obtener ms fcilmente las variables almacenadas en tablas.

El agente reporta los resultados a las peticiones del gestor por medio del mensaje GetResponse.

0, 1 o 2

63/340

SetRequest

Por medio de este mensaje el gestor pide a un agente que altere el valor de una o varias variables MIB.

El agente enva un mensaje GetResponse al gestor para indicarle si tuvo xito o no.

3

64/340

Request IDEs un nmero (secuencial o aleatorio) que lo pone el manager para identificar el mensaje.

Cuando el agente responde (GetResponse), copia ese mismo nmero.

72643534

65/340

Cdigos de error en Get Response

El manager lo pone en 0

El agente lo pone en 0....5

66/340

Mensaje trap (captura)

Es generado por un agente para enviar una notificacin al manager, indicando la ocurrencia de algn evento significativo.

El mensaje incluye la identificacin del agente que gener el trap, cundo se gener y qu tipo de trap se gener.

Specific-TrapGeneric-TrapAgent-AddressEnterprisePDU Type Time-stamp Variable-binding

Tipo de PDU

Tipo de

objeto generado por

el TRAP

DireccinIP

generadapor el TRAP

Tipo de

TRAP

Cdigoespecifico

delTRAP

Tiempo de la ltima

inicializacin de la red y la generacin del TRAP

Lista de nombres de variables con su

valor asociado

67/340

Encapsulamiento de trap en TCP/IP

68/340

Formato del mensaje trap SNMP

PDU Type: contiene el valor 4 que corresponde a un mensaje tipo trap.

Enterprise: especifica el OID de la empresa fabricante del equipo o sistema que genera el TRAP especfico con cdigo 6 (EnterpriseSpecific). Por ejemplo. Microsoft sera 1.3.6.1.4.1.311

Agent Address: contiene la direccin IP del agente que genera el trap.

Generic Trap Type: especifica el tipo de trap (entre 0 a 6).


69/340

Private Enterprise Numbers (RFC 1700)http://www.iana.org/assignments/enterprise-numbers

Prefijo: iso.org.dod.internet.private.enterprise (1.3.6.1.4.1)

Ejemplos:1.3.6.1.4.1.9 Cisco 1.3.6.1.4.1.42 Sun Microsystems

1.3.6.1.4.1.52 Cabletron Systems 1.3.6.1.4.1.77 LAN Manager

1.3.6.1.4.1.186 Toshiba Corporation 1.3.6.1.4.1.193 Ericsson

1.3.6.1.4.1.231 Siemens Nixdorf 1.3.6.1.4.1.232 Compaq

1.3.6.1.4.1.311 Microsoft 1.3.6.1.4.1.343 Intel Corporation

70/340

Cdigos para los tipos de trap SNMP

Tipo de trap Valor DescripcinColdStart 0 Arranque en fri (reinicio sistema)

WarmStart 1 Arranque en caliente (Ejemplo: cambio de configuracin)

LinkDown 2 Enlace cadoLinkUp 3 Enlace levantado

AuthenticationFailure 4 Nombre de la comunidad Incorrecto

EgpNeighborLoss 5 Falla de enlace hacia un router vecino

EnterpriseSpecific 6 Evento especfico del equipo o sistema del fabricante


71/340

Generic trap

72/340

Time Stamp: Contiene el valor del tiempo transcurrido desde que se arranc el equipo. Ese valor est contenido en la variable sysUpTime.

Variable Binding: Es una lista de los OID y sus correspondientes valores.

Specific Trap: Si el campo Generic trap tiene el cdigo 6, significa que el trap es especfico, y entonces el campo Generic trap junto con el campo Enterprise contienen la informacin para identificar ms especficamente el tipo trap correspondiente a ese equipo.


Specific trap

73/340

Generadores de trapTrapGen: es un programa sencillo que permite el envo de traps usando la lnea de comandos (DOS).

74/340

Capturadores de trap

SNMP Trap Watcher: permite recibir traps SNMP de un equipo de la red, incluyendo routers, switchs y estaciones.

Los traps son enviados al puerto UDP 162 del manager cuando ocurren errores o eventos especficos.

75/340

Uso de analizadores de redes (sniffers) para capturar trfico SNMP

76/340

Mensaje GetRequest

Decodificacin de mensajes SNMP

77/340

Decodificacin de mensajes SNMP

Mensaje GetResponse

78/340

Codificacin BER

79/340

Importante: Para decodificar SNMP con Ethereal/Wireshark debe seleccionar SNMP MIBs durante su instalacin

80/340

Autenticacin en SNMP

En la versin 1 de SNMP, que es todava la ms utilizada, se utiliza un esquema de autenticacin muy simple, pero poco seguro.

En cada mensaje SNMP existe un campo llamado community name (nombre de la comunidad), el cual funciona como una especie de contrasea.

Si el community name en el mensaje SNMP es reconocido por el agente, entonces considera que el mensaje es autntico y se procede con la accin solicitada (GET o SET).

81/340

En SNMP existen 2 modos de acceso a las variables:

1. Read-only (para GET)En este caso se usan para community nombres tpicos como public.

2. Read and write (para GET y SET) En este caso se usan para community nombres tpicos netadm, admin, private, secret.

El agente responde de acuerdo a ese nombre.

Por ejemplo, si recibe un mensaje GET con community name = abc123 no lo considera vlido.

Tampoco es vlido un mensaje SET con community name = public.

82/340

El nombre de la comunidad se utiliza para polticas de acceso a las variables

83/340

Ejemplo de nombre de comunidad en agente SNMP para Windows XP

84/340

Cuando un agente recibe un mensaje SNMP con el nombre de comunidad invlido, enva un trap de Authentication failure a uno o varios managers, para alertar.

85/340

Ejemplo de envo de traps

86/340

El community name no est encriptado, as que un intruso lo podra capturar con un sniffer y luego enviar mensajes GET y SET que puedan alterar el funcionamiento de equipos y de la red completa.

En consecuencia, muchos administradores de red desactivan la funcin de escritura, conviertiendo a SNMP en un simple sistema de monitoreo, pero no de control.

Para modificar los parmetros, se puede recurrir al mtodo CLI (command line interface) usando una cnsola local o remota (mediante telnet).

87/340

Ejemplo de CLI (command line interface) va Telnet

Peligro: La contrasea no viaja encriptada

88/340

Una forma de telnet segura es SSH (Secure Shell), ya que todo el trfico viaja encriptado

PuTTy es un cliente gratuito

para SSH

89/340

Modernamente una forma prctica y segura es mediante la interfaz Web y HTTPS

90/340

Conexin al equipo desde Internet en forma segura mediante HTTPS

El trfico viaja encriptado con SSL

91/340

Seguridad mediante el nuevo SNMPv3

92/340

La Base de Informacin de Gestin (MIB)

La MIB especifica la estructura de datos de un dispositivo para poder efectuar su gestin.

Esto permite que los fabricantes de equipos puedan implantar un software de gestin sin estar amarrados a una plataforma comercial en particular y que los usuarios cambien de plataforma de gestin sin necesidad de cambiar el software de gestin en sus equipos.

93/340

En 1988 se public la primera versin de la MIB en el documento RFC 1066, donde se especifican 114 variables publicas, es decir que no son exclusivas de ningn equipo o producto en particular.

En 1990 apareci la MIB-II en el RFC 1158 y que fue actualizada en 1991 en el RFC 1213.

La variables pasaron a ser 171.

94/340

95/340

Representacin del Nombre de Objeto MIB

Las variables MIB forman parte de una estructura en rbol jerrquico llamado identificador de objeto (OID, object identifier), administrado por el ISO y el ITU-T (antiguamente conocido como CCITT).

La raz del rbol jerrquico es annima, pero tiene tres descendentes directos administrados por ISO, ITU-TSS y la unin ISO/ITU-TSS.

96/340

El OID de una variable o objeto MIB consiste de una secuencia de nmeros correspondientes a la trayectoria desde la raz hasta el objeto, separados por puntos.

Ejemplo: Variable SysUpTime

Forma numrica: OID 1.3.6.1.2.1.1.3

Forma literal: iso.org.dod.internet.mgmt.mib. system.sysuptime

97/340

El OID es absoluto, lo que significa que los nombres son globales y nicos, y su uso no est restringido a variables usadas en gestin de redes (incluye nombres de objetos arbitrarios).

Se puede usar la forma literal para hacer los nombres de objetos entendibles por seres humanos, pero en la red el OID se transmite slo en forma numrica.

Ejemplo: Variable SysUpTime

Forma numrica: OID 1.3.6.1.2.1.1.3

Forma literal: iso.org.dod.internet.mgmt.mib.system.sysuptime

98/340

Estructura de la Informacin de Gestin

Structure of Management Information (SMI) est definida en la RFC 1155.

Este estndar especifica las reglas utilizadas para definir, identificar y accesar las variables MIB.

SMI especifica que todas las variables MIB deben ser definidas y referenciadas utilizando la Notacin de Sintaxis Abstracta N 1 (Abstract Syntax Notation 1 - ASN.1) de ISO.

99/340

ASN.1 es un lenguaje formal que tiene dos caractersticas importantes:

1. Es una notacin utilizada en documentos para humanos y a la vez es una representacin compacta y codificada de esa informacin utilizada en protocolos de comunicaciones.

2. En ambos casos, la notacin formal y precisa elimina cualquier posibilidad de ambigedad entre el significado y la representacin.

100/340

Por otro lado ASN.1 tambin facilita la implantacin de protocolos de gestin de redes y garantiza la interoperabilidad.

Define de forma precisa cmo codificar tanto los datos como los nombres en un mensaje.

101/340

Por lo tanto, una vez que la documentacin de un MIB ha sido expresada en ASN.1, la forma de presentarla al humano puede ser traducida directa y mecnicamente en la forma codificada usada en los mensajes (compilacin).

El estndard SMI est definido en RFC 1065 y slo permite el uso de un conjunto limitado del total de objetos definidos por ASN.1.

102/340

SMI permite utilizar los objetos primitivos integer (entero), octet string (cadena de octetos), object identifier (identificador de objeto) y null (nulo)

Adems de las construcciones sequence (secuencia) y sequence of (secuencia de).

103/340

Ejemplos de objetos definidos por SMI:

Direccin IP (IP Address): cadena de octetos (octet string) que se utiliza para definir la direccin IP de 32 bits.

Marcas de Tiempo (Time Ticks): representa un entero no-negativo que se utiliza para grabar eventos. SMI requiere que represente un incremento de tiempo en centsimas de segundo.

104/340

Medida (Gauge): entero no-negativo que vara entre 0 y 231 - 1. SMI permite incrementos y decrementos.

Contador (Counter): entero no-negativo que vara entre 0 y 231 - 1. Se diferencia de la Medida en que slo puede incrementar.

105/340

SMI: ejemplos de objeto y de mdulo

OBJECT-TYPE: ipInDelivers MODULE-IDENTITY: ipMIB

ipInDelivers OBJECT TYPE SYNTAX Counter32 MAX-ACCESS read-only STATUS current DESCRIPTION The total number of input datagrams successfully delivered to IP user- protocols (including ICMP)::= { ip 9}

ipMIB MODULE-IDENTITY LAST-UPDATED 941101000Z ORGANZATION IETF SNPv2 Working Group CONTACT-INFO Keith McCloghrie DESCRIPTION The MIB module for managing IP and ICMP implementations, but excluding their management of IP routes. REVISION 019331000Z ::= {mib-2 48}

106/340

Ejemplo de MIB: mdulo UDP

Object ID Name Type Comments1.3.6.1.2.1.7.1 UDPInDatagrams Counter32 total # datagrams delivered

at this node

1.3.6.1.2.1.7.2 UDPNoPorts Counter32 # underliverable datagrams

no app at portl

1.3.6.1.2.1.7.3 UDInErrors Counter32 # undeliverable datagrams

all other reasons

1.3.6.1.2.1.7.4 UDPOutDatagrams Counter32 # datagrams sent

1.3.6.1.2.1.7.5 udpTable SEQUENCE one entry for each port

in use by app, gives port #

and IP address

107/340

Acceso a las variables MIB

Cuando se utiliza un objeto en un mensaje SNMP (por ejemplo GetRequest), se le agrega un valor llamado instancia.

El OID del objeto seguido de ese valor es lo que formalmente se llama una variable SNMP (aunque a veces el propio OID se le llama variable).

Esto es analogo al concepto de funcin f(x).

f(x) es el OID.f(5) es la instanciacin de f(x).

108/340

Instanciacin de objetos simples y columnares (tablas)

109/340

Para objetos sencillos, como ipInReceives, la instancia es por convencin el nmero 0, de manera que cuando la variable en cuestin aparece en un mensaje SNMP, su representacin ser: 1.3.6.1.2.1.4.3.0.

El OID 1.3.6.1.2.1.4.3 es el prefijo y la instancia 0 el sufijo.

110/340

OID & nombre Sintaxis Acceso Descripcin

1.3.6.1.2.1.4 IP

Grupo Ninguno Informacin del cache ARP

1.3.6.1.2.1.4.1 ipForwarding Entero

Lectura / Escritura

Indica que esta estacin puede retransmitir datagramas recibidos.

1.3.6.1.2.1.4.2 ipDefaultTTL Entero

Lectura / Escritura

Valor por defecto en el campo Time-To-Live del encabezado IP

1.3.6.1.2.1.4.3 ipInReceives Contador Lectura

Numero de datagramas de entrada recibidos en las interfaces

1.3.6.1.2.1.4.4 ipInHdrErrors Contador Lectura

Numero de datagramas descartados debido a errores en la cabecera IP

1.3.6.1.2.1.4.5 ipInAddrErros Contador Lectura

Numero de datagramas descartados cuando la direccin IP de destino no es sta estacin

111/340

112/340

Otro ejemplo: Nmero de la interfaces

iso org dod internet mgmt mib interfaces ifNumber (instancia) 1 3 6 1 2 1 2 1 0

1.3.6.1.2.1.2.1.0 o ifNumber.0

113/340


1.3.6.1.2.1.2 Interfaces

Grupo Ninguno Informacin acerca de los puertos lgicos I/O

1.3.6.1.2.1.2.1 ifNumber

Entero Lectura Numero de interfaces de red presentes en el sistema

1.3.6.1.2.1.2.2 IfTable

Secuencias de InEntry

Ninguno Listado de Interfaces, cada uno para el valor de IfNumber

1.3.6.1.2.1.2.2.1 IfEntry

IfEntry Ninguno Objetos en y sobre la capa de red, para una interfaz particular

1.3.6.1.2.1.2.2.1.1 IfIndex

Entero Lectura Valor nico para cada interfaz

1.3.6.1.2.1.2.2.1.2 ifDescr

Cadena de hasta 255 caracteres

Lectura Informacin textual acerca de la interfaz

1.3.6.1.2.1.2.2.1.3 ifType

Entero Lectura Tipo de interfaz

1.3.6.1.2.1.2.2.1.4 ifMtu Entero Lectura

Tamao del octeto del datagrama mas grande que puede ser enviado o recibido por la interfaz

114/340

Un ejemplo ms complejo lo conforma el objeto ipAddrTable, que contiene una lista de las direcciones IP de cada interfaz de red y se encuentra ubicado en el rbol bajo el nodo ip con el nmero 20.

Su representacin numrica (OID) es:

1.3.6.1.2.1.4.20

mientras que su referencia literal es:

iso.org.dod.internet.mgmt.mib.ip.ipAddrTable

115/340

ipAddrTable guarda la informacin como una tabla que contiene cinco elementos por fila: la direccin IP, el ndice entero correspondiente a la interfaz de entrada, la mscara de subred, el valor del bit menos significativo en la direccin de broadcast IP y el mximo tamao del datagrama que puede ser reensamblado por el dispositivo

116/340

Mediante ASN.1, se define la variable de la siguiente forma:

ipAddrTable ::= SEQUENCE OF IpAddrEntry

donde SEQUENCE y OF especifican que ipAddrTable es un arreglo unidimensional (lista) de IpAddrEntrys.

117/340

ipAddrTable OBJECT-TYPE

SYNTAX SEQUENCE OF IpAddrEntry

ACCESS not-accessible

STATUS mandatory

DESCRIPTION

"The table of addressing information relevant to

this entity's IP addresses."

::= { ip 20 }

118/340

ipAddrEntry OBJECT-TYPE

SYNTAX IpAddrEntry

ACCESS not-accessible

STATUS mandatory

DESCRIPTION

"The addressing information for one of this

entity's IP addresses."

INDEX { ipAdEntAddr }

::= { ipAddrTable 1 }

119/340

IpAddrEntry tiene la siguiente estructura:

IpAddrEntry ::= SEQUENCE {ipAdEntAddr

IpAddress,ipAdEntIfIndex

INTEGER,ipAdEntNetMask

IpAddress,ipAdEntBcastAddr

IpAddress,ipAdEntReasmMaxSize

INTEGER(0..65535) }

120/340

Por ejemplo, para averiguar la mscara correspondiente a la direccin 10.0.0.2, se debe usar la variable:1.3.6.1.2.1.4.20.1.3.10.0.0.2Correspondiente a:

iso.org.dod.internet.mgmt.mib.ip.ipAddrTable.ipAddrEntry.ipAdEntNetMask.10.0.0.2

Index

121/340

122/340

Recorrido en orden lexicogrfico de una tabla

(se hace por columna)

123/340

124/340

Navegacin en la MIB con GetNext

125/340

Descripcin de las variables MIBLas variables MIB se agrupan en grupos o categoras.

Cada categora corresponde a un sub-rbol del nodo MIB debajo del nodo 1.3.6.1.2.1.

En la figura se muestran algunas de las categoras especificadas en la MIB-2 (RFC-1213).

126/340

Grupo System (1.3.6.1.2.1.1)

Informacin:

Descripcin del hardware, sistema operativo y software del equipo.

Nombre, ubicacin y responsable del equipo. Tiempo trascurrido desde que arranc. Servicios que presta

127/340

Navegando hacia el grupo System (1.3.6.1.2.1.1)

128/340

SNMPc

Intervalo de polling

129/340

Grupo System en el agente SNMP para Windows XP

130/340


1.3.6.1.2.1.1 System

Grupo Ninguno Informacin acerca del agente SNMP del sistema

1.3.6.1.2.1.1.1 sysDescr


Lectura Descripcin del hardware, sistema operativo y software del equipo

1.3.6.1.2.1.1.2 sysObjectID

ID de objeto Lectura OID del equipo en la rama privada del rbol MIB

1.3.6.1.2.1.1.3 sysUpTime

TimeTicks Lectura Cantidad de centsimas de segundos desde que el sistema fue reinicializado

1.3.6.1.2.1.1.4 sysContact


Lectura / Escritura Informacin de la persona que administra el equipo

1.3.6.1.2.1.1.5 sysName


Lectura / Escritura Nombre asignado al equipo

1.3.6.1.2.1.1.6 sysLocation


Lectura / Escritura

Ubicacin fsica del equipo

1.3.6.1.2.1.1.7 sysServices

Numero entero hasta 127

Lectura Tipos de servicios soportados por el equipo

131/340

sysObjectID apunta a la parte privada del rbol MIB, donde hay variable adicionales, propias de ese equipo(ej. 1.3.6.1.4.1.311.1.1.3.2).

311Microsoft

132/340

Instanciacin de las variables MIB

Cuando se utiliza un objeto en un mensaje SNMP (por ejemplo GetRequest), se le agrega un valor llamado instancia.

El OID del objeto seguido de ese valor es lo que formalmente se llama una variable SNMP (aunque a veces el propio OID se le llama variable).

Esto es anlogo al concepto de funcin f(x).

f(x) es el OID.f(5) es la instanciacin de f(x).

133/340

Para objetos sencillos, como sysUptime, la instancia es por convencin el nmero 0, de manera que cuando la variable en cuestin aparece en un mensaje SNMP, su representacin ser: 1.3.6.1.2.1.1.3.0.

El OID 1.3.6.1.2.1.1.3 es el prefijo y la instancia 0 el sufijo.

En forma literal: iso.org.dod.internet.mgmt.mib.system.sysuptime.0

En forma mixta: 1.3.6.1.2.1.system.sysuptime.0

1.3.6.1.2.1.1.sysuptime.0

134/340

Para leer una variable MIB, se puede usar GetRequest con el OID instanciado:

GetRequest(1.3.6.1.2.1.1.3.0)

para buscar la instancia.

Alternativamente se puede usar GetNextRequest sin el OID instanciado, ya que GetNextRequest acta sobre el prximo objeto en orden lxicogrfico que le sigue al nodo actual.

GetNextRequest(1.3.6.1.2.1.1.3)

135/340

Ejemplo: orden lexicogrfico de las variables MIBs del grupo System

136/340

Navegacin en el rbol con un MIB Browser

Ntese la instanciacin

137/340

MIB browsing en unrouter inalmbrico Linksys WRT54G

138/340

Grupo Interfaces (1.3.6.1.2.1.2)

Informacin:

Nmero de interfaces de red permitidas. Tipo de interfaz operando debajo de IP (Ethernet,

LAPB, etc.). Tamao mximo del datagrama aceptable por la

interfaz. Velocidad en bps, direccin y estado operacional de la

interfaz. Cantidad de trfico recibido, entregado o desechado, y

las razones.

139/340

140/340

141/340

142/340


1.3.6.1.2.1.2 Interfaces

Grupo Ninguno Informacin acerca de los puertos lgicos I/O

1.3.6.1.2.1.2.1 ifNumber

Entero Lectura Numero de interfaces de red presentes en el sistema

1.3.6.1.2.1.2.2 IfTable

Secuencias de InEntry

Ninguno Listado de Interfaces, cada uno para el valor de IfNumber

1.3.6.1.2.1.2.2.1 IfEntry

IfEntry Ninguno Objetos en y sobre la capa de red, para una interfaz particular

1.3.6.1.2.1.2.2.1.1 IfIndex

Entero Lectura Valor nico para cada interfaz

1.3.6.1.2.1.2.2.1.2 ifDescr


Lectura Informacin textual acerca de la interfaz

1.3.6.1.2.1.2.2.1.3 ifType

Entero Lectura Tipo de interfaz

1.3.6.1.2.1.2.2.1.4 ifMtu Entero Lectura

Tamao del octeto del datagrama mas grande que puede ser enviado o recibido por la interfaz

143/340

1.3.6.1.2.1.2.2.1.10 ifInOctets

Contador Lectura Numero total de octetos recibidos por la interfaz

1.3.6.1.2.1.2.2.1.11 ifInUcastPkts Contador Lectura

Numero de paquetes unicast de sudred enviados a un protocolo de capa superior

1.3.6.1.2.1.2.2.1.12 ifInNUcastPkts Contador Lectura

Numero de paquetes no-unicast enviados a un protocolo de capa superior

1.3.6.1.2.1.2.2.1.13 ifInDiscards Contador Lectura

Numero de paquetes de entrada descartados, aunque no se haya detectado ningn error

1.3.6.1.2.1.2.2.1.14 ifInErrors Contador Lectura

Numero de errores de entrada que hace que los paquetes no sean entregados a un protocolo superior

1.3.6.1.2.1.2.2.1.15 ifInUnknowProtos Contador Lectura

Numero de paquetes descartados, debido al desconocimiento o por un protocolo no soportado

Contadores de entrada existentes en el grupo Interfaces

144/340

Grupo Address Translation (1.3.6.1.2.1.3)

Informacin:

Tablas de traduccin de direccin para traduccin red-direccin fsica (IP a Ethernet o Token Ring).

(Es obsoleto y sus funciones residen ahora en el grupo IP).

145/340

146/340


1.3.6.1.2.1.3 Address Translation Grupo Ninguno Informacin del cache ARP

1.3.6.1.2.1.3.1 atTable

Secuencias de AtEntry Ninguno Direccin de Red

1.3.6.1.2.1.3.1.1 AtEntry AtEntry Ninguno

Cada entrada contiene una direccin de red para equivalenete de direccin fsica

1.3.6.1.2.1.3.1.1.1 atIfIndex Entero

Lectura / Escritura

La interfaz donde la entrada equivalente es efectiva

1.3.6.1.2.1.3.1.1.2 atPhysAddress PhysAddress

Lectura / Escritura Direccin fsica de la interfaz

1.3.6.1.2.1.3.1.1.3 atNetAddress NetworkAddress

Lectura / Escritura

Direccin de red correspondiente a la direccin fsica

147/340

Grupo IP (1.3.6.1.2.1.4)

Informacin: Si el nodo enruta datagramas. El TTL de los datagramas originados en el nodo. Cantidad de trfico entregado, recibido o

desechado, y las razones. Operaciones de fragmentacin. Tablas de direcciones, incluyendo mscaras de

subred. Tablas de enrutamiento incluyendo: direccin

destino, mtricas de distancia, edad de la ruta, prximo nodo y protocolo que muestra la ruta (EGP, RIP, etc.).

148/340

149/340

150/340


1.3.6.1.2.1.4 IP

Grupo Ninguno Informacin del cache ARP

1.3.6.1.2.1.4.1 ipForwarding Entero

Lectura / Escritura

Indica que esta estacin puede retransmitir datagramas recibidos.

1.3.6.1.2.1.4.2 ipDefaultTTL Entero

Lectura / Escritura

Valor por defecto en el campo Time-To-Live del encabezado IP

1.3.6.1.2.1.4.3 ipInReceives Contador Lectura

Numero de datagramas de entrada recibidos en las interfaces

1.3.6.1.2.1.4.4 ipInHdrErrors Contador Lectura

Numero de datagramas descartados debido a errores en la cabecera IP

1.3.6.1.2.1.4.5 ipInAddrErros Contador Lectura

Numero de datagramas descartados cuando la direccin IP de destino no es sta estacin

Contina....

151/340

1.3.6.1.2.1.4.6 ipForwDatagrams Contador Lectura

Numero de datagramas que esta estacin pretende retransmitir

1.3.6.1.2.1.4.7 ipInUnknowProtos Contador Lectura

Numero de datagramas de entrada descartados, debido al desconocimiento del protocolo

1.3.6.1.2.1.4.8 ipInDiscards Contador Lectura

Numero de datagramas de entrada descartados sin ningn problema

1.3.6.1.2.1.4.9 ipInDelivers Contador Lectura

Numero de datagramas de entrada entregados a protocolos conocidos por sta estacin

1.3.6.1.2.1.4.10 ipOutRequests Contador Lectura

Nmero de datagramas IP que los protocolos locales solicitaron transmitir

1.3.6.1.2.1.4.11 ipOutDiscards Contador Lectura

Numero de datagramas de salida que fueron descartados sin errores

1.3.6.1.2.1.4.12 ipOutNoRoutes Contador Lectura

Numero de datagramas descartados debido a no existir ruta para su destino

152/340

Grupo ICMP (1.3.6.1.2.1.5)

Informacin:

Cantidad de los diferentes mensajes ICMP (ej. ping) recibidos y transmitidos.

Estadsticas de problemas encontrados.

153/340

154/340


1.3.6.1.2.1.5 ICMP

Grupo Ninguno Informacin del protocolo ICMP

1.3.6.1.2.1.5.1 icmpInMsgs

Contador Lectura Numero total de mensajes ICMP que la estacin ha recibido

1.3.6.1.2.1.5.2 icmpInErrors

Contador Lectura Numero de mensajes ICMP recibidos que tienen algunos errores ICMP especificos

1.3.6.1.2.1.5.3 icmpInDestUnreachs

Contador Lectura Numero de mensajes ICMP recibidos con destino inalcanzable

1.3.6.1.2.1.5.4 icmpInTimeExcds

Contador Lectura Numero de mensajes ICMP recibidos con tiempo excedido

1.3.6.1.2.1.5.5 icmpInParmProbs

Contador Lectura Numero de mensajes ICMP recibidos con problemas en parmetros

1.3.6.1.2.1.5.6 icmpInSrcQuenchs

Contador Lectura Numero de mensajes ICMP recibidos tipo Source Quench

1.3.6.1.2.1.5.7 icmpInRedirects

Contador Lectura Numero de mensajes ICMP recibidos redirecionados

1.3.6.1.2.1.5.8 icmpInEchos

Contador Lectura Numero de mensajes ICMP Echo (request) recibidos

155/340

Grupo TCP (1.3.6.1.2.1.6)

Informacin:

Valores mximos/mnimos de retransmisin. Nmero de conexiones TCP que soporta el nodo. Informacin de operaciones de transicin de estado. Trfico recibido y enviado. Puerto y nmero IP para cada conexin

156/340

157/340

158/340

159/340

160/340


1.3.6.1.2.1.6 TCP

Grupo Ninguno Informacin del protocolo TCP

1.3.6.1.2.1.6.1 tcpRtoAlgorithm Entero Lectura

Valor de algoritmo de tiempo de espera para retransmitir octetos desconocidos

1.3.6.1.2.1.6.2 tcpRtoMin Entero Lectura

Tiempo mnimo en espera para retransmitir

1.3.6.1.2.1.6.3 tcpRtoMax Entero Lectura

Tiempo mximo en espera para retransmitir

1.3.6.1.2.1.6.4 tcpMaxConn Entero Lectura

Lmite total de conexiones TCP que soporta la estacin

1.3.6.1.2.1.6.5 tcpActiveOpens Contador Lectura

Las veces que TCP transita al estado SYN-SENT del estado CLOSED

1.3.6.1.2.1.6.6 tcpPassiveOpens Contador Lectura

Las veces que TCP transita al estado SYN-RCVD del estado

161/340

Grupo UDP (1.3.6.1.2.1.7)

Informacin:

Trfico recibido y enviado. Problemas encontrados.

162/340

163/340


1.3.6.1.2.1.7 UDP Grupo Ninguno Informacin del protocolo UDP

1.3.6.1.2.1.7.1 udpInDatagrams Contador Lectura

Numero total de datagramas entregados a servicios UDP

1.3.6.1.2.1.7.2 udpNoPorts Contador Lectura

Numero de datagramas UDP recibidos sin puerto para la aplicacin destino

1.3.6.1.2.1.7.3 udpInErrors Contador Lectura

Numero de datagramas UDP recibidos con errores

1.3.6.1.2.1.7.4 udpOutDatagrams Contador Lectura

Numero total de datagramas UDP enviados por esta estacin

1.3.6.1.2.1.7.5 udpTable

Secuencia de Entry Ninguno

Tabla que contiene informacin que escucha el UDP

164/340

Grupo EGP (1.3.6.1.2.1.8)

Informacin:

Trfico enviado y recibido. Problemas encontrados. Tabla de vecino EGP. Direcciones a vecinos. Estado EGP con cada vecino. Definido en el MIB II, provee informacin sobre los

tipos de esquemas de transmisin e interfaces. Definido en el MIB II, brinda informacin sobre

capacidades de manipulacin de errores.

165/340

Grupo Transmission (1.3.6.1.2.1.10)Informacin:

Definido en el MIB-II, provee informacin sobre tecnologa detransmisin (ej. E1, Frame Relay, ATM, SDH) e interfaces.

MIB OID RFC CSMA/CD-like objects 1.3.6.1.2.1.10.7 1650FDDI objects 1.3.6.1.2.1.10.15 1285, 1512El Interface objects 1.3.6.1.2.1.10.19 1406PPP objects 1.3.6.1.2.1.10.23 1471

166/340

MIB OID RFC DS3/E3 Interface objects 1.3.6.1.2.1.10.30 1407Frame Relay objects 1.3.6.1.2.1.10.32 1315RS-232 objects 1.3.6.1.2.1.10.33 1659Parallel Printer objects 1.3.6.1.2.1.10.34 1660ARCNETPLUS objects 1.3.6.1.2.1.10.36 N/AATM objects 1.3.6.1.2.1.10.37 1695SONET objects 1.3.6.1.2.1.10.39 1595Frame relay network service objects 1.3.6.1.2.1.10.44 1695

167/340

Grupo SNMP (1.3.6.1.2.1.11)

Informacin:

Definido en el MIB-II, brinda informacin sobre el propio protocolos SNMP (ej. total de solicitudes GET o de Traps generados).

168/340

Specific-use MIBs

The following table lists the currently approved Internet-standard MIBs included under the MIB-II subtree that support a specific architecture, protocol, or interface:

MIB OID RFC Generic Interface Extensions 1.3.6.1.2.1.12 1229, 1239Appletalk Protocols 1.3.6.1.2.1.13 1742Open Shortest Path First (OSPF) 1.3.6.1.2.1.14 1253Border Gateway Protocol (BGP) 1.3.6.1.2.1.15 1657Remote Monitoring (RMON) 1.3.6.1.2.1.16 1757Bridges 1.3.6.1.2.1.17 1286DECnet Phase 4 1.3.6.1.2.1.18 1559Character Streams 1.3.6.1.2.1.19 1658

169/340

MIB OID RFC IEEE 802.3 Repeaters 1.3.6.1.2.1.22 1516Routing Information Protocol (RIP) 1.3.6.1.2.1.23 1389Identification Protocol 1.3.6.1.2.1.24 1414Host Resources 1.3.6.1.2.1.25 1514IEEE 802.3 Medium Attachment Units 1.3.6.1.2.1.26 1515Network Services Monitoring 1.3.6.1.2.1.27 1565Mail Monitoring 1.3.6.1.2.1.28 1566X.500 Directory Monitoring 1.3.6.1.2.1.29 1567Interface Types 1.3.6.1.2.1.30 1573Interface Types 1.3.6.1.2.1.31 1573Domain Name System 1.3.6.1.2.1.32 1611Uninterruptible Power Supplies 1.3.6.1.2.1.33 1628SNA NAU 1.3.6.1.2.1.34 1666Ethernet-like generic objects 1.3.6.1.2.1.35 1650

170/340

MIB OID RFC SMDS interface objects 1.3.6.1.2.1.36 1694ATM objects 1.3.6.1.2.1.37 1695Dial-up modem objects 1.3.6.1.2.1.38 1696Relational database objects 1.3.6.1.2.1.39 1697Traffic flow objects 1.3.6.1.2.1.40 2064SNA SDLC 1.3.6.1.2.1.41 1747Token Ring Station Source Route 1.3.6.1.2.1.42 1748Printer 1.3.6.1.2.1.43 1759Mobile IP 1.3.6.1.2.1.44 2006IEEE 802.12 1.3.6.1.2.1.45 2020Data Link Switch 1.3.6.1.2.1.46 2024Entity 1.3.6.1.2.1.47 2037Internet Protocol MIB Module 1.3.6.1.2.1.48 2011TCP MIB Module 1.3.6.1.2.1.49 2012UDP MIB Module 1.3.6.1.2.1.50 2013

171/340

Siemens

172/340

173/340

Linksys WRT54G Wireless Access Point

potenciado con el firmware Alchemy de Sveasoft

174/340

MIB browsing en SNMP en Linksys WRT54G

175/340

Monitoreo del trfico con PRTG en Linksys WRT54G

176/340

La primera fila indica que en la VLAN0 se est excluyendo el puerto WAN de la conexin a la WLAN y que se estn incluyendo los 4 puertos LAN a la conexin a la WLAN.

La segunda fila indica que la WLAN1 est compuesta slo por el puerto WAN.

Los distintos puertos que se pueden monitorear en Linksys WRT54G

177/340

1

0

2

1

1

1

3

3

6

2

4

1

9

ITU-T ISO Joint ISO/ITU-T

ORG

DOD Internet

Directorio

MGMT Experimental

Privada

MIB Empresas

Cisco

Raz

Ejemplos de MIB privadas

(1.3.6.1.4.1)

178/340

PRIVATE ENTERPRISE NUMBERS (RFC 1700)

http://www.iana.org/assignments/enterprise-numbers

Prefijo: iso.org.dod.internet.private.enterprise (1.3.6.1.4.1)

Ejemplos:1.3.6.1.4.1.9 Cisco 1.3.6.1.4.1.42 Sun Microsystems

1.3.6.1.4.1.52 Cabletron Systems 1.3.6.1.4.1.77 LAN Manager

1.3.6.1.4.1.186 Toshiba Corporation 1.3.6.1.4.1.193 Ericsson

1.3.6.1.4.1.231 Siemens Nixdorf 1.3.6.1.4.1.232 Compaq

1.3.6.1.4.1.311 Microsoft 1.3.6.1.4.1.343 Intel Corporation

179/340

Ejemplo: MIB privada de Transition Networks

1.3.6.1.4.868.2.4.1.2.1.1.1.3.3562.3

180/340

The SNMP agent is "extensible" and allows MIB information to be dynamically added and supported as required.

For the programmer this means that to enable the SNMP agent service to support a new MIB object, you need not update and recompile the agent's code.

Instead, an external "subagent" will be modified and used by the agent to process all of the management requests that it receives, and to create all of the traps that it sends.

Agente SNMP de Microsoft para Windows

181/340

Windows SNMPBy James D. Murray

O'Reilly & Associates, Inc.

SNMP is implemented as a Win32 system service. Under Windows there are actually two SNMP services. The first is the SNMP agent service (SNMP.EXE ). The agent processes SNMP Request messages that it receives from SNMP management systems and sends GetResponse messages in reply. The agent specifically handles the interface with the Windows Socket (WinSock) API, SNMP message parsing, and ASN.1 and BER encoding and decoding. The agent is also responsible for sending trap messages to SNMP management systems.

The second service is the SNMP trap service (SNMPTRAP.EXE ), which listens for traps sent to the NT host and then passes the data along to the Microsoft SNMP management API.

182/340

Instalacin del agente SNMP para Windows

183/340

184/340

185/340

Detalles de la configuracin del agente SNMP para Windows

Haga clic en Inicio, seleccione Panel de control, Herramientas administrativas y, a continuacin, haga clic en Administracin de equipos.

En el rbol de consola, expanda Servicios y Aplicaciones y, a continuacin, haga clic en Servicios.

En el panel de la derecha, haga doble clic en Servicio SNMP. Haga clic en la ficha Agente. Escriba el nombre del usuario o administrador del equipo en

el cuadro Contacto y despus escriba la ubicacin fsica del equipo o contacto en el cuadro Ubicacin. Estos comentarios se tratan como texto y son opcionales.

186/340

187/340

En Servicio, haga clic para activar las casillas de verificacin situadas junto a los servicios proporcionados por el equipo. Las opciones de servicio son las siguientes:

Fsico: especifica si el equipo administra dispositivos fsicos como una particin de disco duro.

Aplicaciones: especifica si el equipo utiliza programas que envan datos a travs de TCP/IP.

Vnculo de datos y subred: especifica si este equipo administra una subred o un vnculo de datos TCP/IP, como un puente.

Internet: especifica si este equipo acta como una puerta de enlace IP (enrutador).

De un extremo a otro: especifica si este equipo acta como un host IP.

Haga clic en Aceptar.

188/340

189/340

Cmo configurar comunidades y capturas (traps) SNMP Haga clic en Inicio, seleccione Panel de control, Herramientas

administrativas y, a continuacin, haga clic en Administracin de equipos.


En el panel de la derecha, haga doble clic en Servicio SNMP y haga clic en la ficha Capturas.

En el cuadro Nombre de comunidad, escriba el nombre de comunidad que distinga entre maysculas y minsculas al que este equipo enviar mensajes de captura y despus haga clic en Agregar a la lista.

En Destinos de capturas, haga clic en Agregar.

En el cuadro Nombre, direccin IP o IPX del host, escriba el nombre, direccin IP o direccin IPX del host y despus haga clic en Agregar.

El nombre o la direccin del host aparecern en la lista Destinos de capturas. Luego haga clic en Aceptar.

190/340

191/340

Cmo configurar la seguridad SNMP Haga clic en Inicio, seleccione Panel de control, Herramientas

administrativas y, a continuacin, haga clic en Administracin de equipos.


En el panel de la derecha, haga doble clic en Servicio SNMP.

Haga clic en la ficha Seguridad.

Haga clic para activar la casilla de verificacin Enviar captura de autenticacin (si no est activada ya) si desea que se enve un mensaje de captura siempre que la autenticacin falle.

En Nombres de comunidad aceptados, haga clic en Agregar.

Para especificar cmo procesa el host las solicitudes SNMP desde la comunidad seleccionada, haga clic en el nivel de permiso que desee en el cuadro Derechos de comunidad.

192/340

En el cuadro Nombre de comunidad, escriba el nombre de comunidad que distinga entre maysculas y minsculas que desee y, a continuacin, haga clic en Agregar.

Especifique si acepta o no los paquetes SNMP de un host. Para ello, realice una de las acciones siguientes:

Para aceptar solicitudes SNMP desde cualquier host de la red, independientemente de la identidad, haga clic en Aceptar paquetes SNMP de cualquier host.

Para limitar la aceptacin de paquetes SNMP, haga clic en Aceptar paquetes SNMP de estos hosts, despus haga clic en Agregar y, por ltimo, escriba el nombre, direccin IP o direccin IPX apropiados del host en el cuadro Nombre, direccin IP o IPX del host.

Haga clic en Agregar.

Haga clic en Aceptar.

193/340

194/340

Se puede agregar un nombre secreto de comunidad (ej. private) para lectura y escritura.

195/340

File Description

DHCP.MIB Extension agent implementing the DHCP server MIB (1.3.6.1.4.1.311.1.3)

DHCPMIB.DLL Extension agent is part of the DHCP server installation

FTP.MIB Microsoft Internet Information Server FTP server MIB (1.3.6.1.4.1.77.1.7.2.1)

GOPHERD.MIB Microsoft Internet Information Server gopher server MIB (1.3.6.1.4.1.77.1.7.4.1)

HTTP.MIB Microsoft Internet Information Server HTTP server MIB (1.3.6.1.4.1.77.1.7.3.1)

INETMIB1.DLL Extension agent implementing MIB-II (1.3.6.1.2.1)

INETSRV.MIB Microsoft Internet Information Server MIB (1.3.6.1.4.1.77.1.7.1.1)

LANMAN.MIB Original LAN Manager MIB. Superseded by LMMIB2.MIB

LMMIB2.MIB LMMIB2.DLL

Extension agent implementing the LAN Manager MIB 2 (1.3.6.1.4.1.77.1.3)

WINS.MIB WINSMIB.DLL

Extension agent implementing the WINS server MIB (1.3.6.1.4.1.311.1.2)

Agentes de extensin de Microsoft para Windows

196/340

http://www.snmp-informant.com

http://68.149.150.106/snm/snm.cgi

Otros agentes de extensin para Windows

197/340

SNMP Informant is an innovative and enabling technology, designed to breathe new life into the SNMP Management of Windows operating systems.

By simply installing SNMP Informant (after the Microsoft SNMP service) on Windows 2000, Windows XP and Windows 2003 systems, low-level, mission critical performance data can be collected and monitored using standard SNMP tools and applications.

The "Standard agent is completely free, and allows you to monitor over 60 stats from the "core four" system performance indicators (CPU, Disk, Memory and Network).

Hundreds of companies around the world are using SNMP Informant-Standard across their Windows enterprises!!

198/340

SNMP Informant is an SNMP Performance Counter Extension Agent, designed to load on top of (it requires) the Microsoft SNMP service.

The diagram below illustrates the relationship between SNMP Informant, the MS SNMP service and other SNMP extension agents.

199/340

200/340

201/340

202/340

203/340

204/340

205/340

SNMP-Informant Motherboard Monitor (MBM)Using the MIBs provided with SNMP Informant-MBM, you can target and collect values from all the sensors detected by MBM.

This includes CPU and chassis fan speed, temperature probes and core voltage levels.

The image below shows an example of sensors (i.e. Case and CPU temperature) extracted from Motherboard Monitor by Informant-MBM.

206/340

207/340

NOTA: SNMP-Informant requiere que se instale previamente este producto, tambin gratuito.

http://mbm.livewiredev.com

208/340

209/340

Prctica sobre gestin de redes con SNMP

Prof. Vincenzo Mendillo

Objetivo

Familiarizarse con el uso de las funciones de SNMP (Simple Network Management Protocol) para el monitoreo y la configuracin de equipos, sistemas y servicios en redes TCP/IP, utilizando los comandos Get, Set y Trap para el acceso a variables MIB pblicas y privadas.

210/340

Agente SNMP en LinuxEn la mayora de los sistemas Linux, se incluye un agente de SNMP que se trata de uno de los ms desarrollados en la actualidad.

Se trata de la actualizacin de la librera SNMP de la Universidad de California en Davis (UCD).

La librera se llamaba, en versiones previas ucd-snmp, ahora se denomina net-snmp.

Esta librera ha sido muy actualizada y desarrollada e incluye las herramientas de SNMP tradicionales.

La versin actual 4.1 incluye soporte para todas las versiones de SNMP (desde la uno, a la tres).

Los agentes de SNMP que instala son perfectamente extensibles, tanto a travs del propio cdigo (con la API proporcionada) como a travs de comandos definidos en la configuracin.

211/340

MIB privada UCD-SNMP-MIB para Linux

CPU Statistics

Load1 minute Load: 1.3.6.1.4.1.2021.10.1.3.15 minute Load: 1.3.6.1.4.1.2021.10.1.3.215 minute Load: 1.3.6.1.4.1.2021.10.1.3.3

CPUpercentage of user CPU time: 1.3.6.1.4.1.2021.11.9.0raw user cpu time: 1.3.6.1.4.1.2021.11.50.0percentages of system CPU time: 1.3.6.1.4.1.2021.11.10.0raw system cpu time: 1.3.6.1.4.1.2021.11.52.0percentages of idle CPU time: 1.3.6.1.4.1.2021.11.11.0raw idle cpu time: 1.3.6.1.4.1.2021.11.53.0raw nice cpu time: 1.3.6.1.4.1.2021.11.51.0

212/340

Memory Statistics

Total Swap Size: .1.3.6.1.4.1.2021.4.3.0Available Swap Space: .1.3.6.1.4.1.2021.4.4.0Total RAM in machine: .1.3.6.1.4.1.2021.4.5.0Total RAM used: .1.3.6.1.4.1.2021.4.6.0Total RAM Free: .1.3.6.1.4.1.2021.4.11.0Total RAM Shared: .1.3.6.1.4.1.2021.4.13.0Total RAM Buffered: .1.3.6.1.4.1.2021.4.14.0Total Cached Memory: .1.3.6.1.4.1.2021.4.15.0

Disk Statistics

Path where the disk is mounted: 1.3.6.1.4.1.2021.9.1.2.1Path of the device for the partition: 1.3.6.1.4.1.2021.9.1.3.1Total size of the disk/partion (kBytes): 1.3.6.1.4.1.2021.9.1.6.1Available space on the disk: 1.3.6.1.4.1.2021.9.1.7.1Used space on the disk: 1.3.6.1.4.1.2021.9.1.8.1Percentage of space used on disk: 1.3.6.1.4.1.2021.9.1.9.1

213/340


Parte 2

Limitaciones de la primera versin de SNMP


Nuevos tipos de datos y de mensajes en SNMPv2

GetBulkRequest e InformRequest

Seguridad en SNMPv2

Caractersticas y arquitectura de SNMPv3

Modelos de seguridad USM y VACM

Coexistencia de SNMP v1, v2 y v3 y uso de Proxy

214/340

Limitaciones de la primera versin de SNMP Desde su nacimiento en 1988, SNMP ha sido el protocolo ms utilizado para la gestin de redes, pero adolece de los siguientes problemas:

Falta de mecanismos de seguridad robustos que garanticen la integridad, autenticidad y confidencialidad del los mensajes SNMP.

No existe la posibilidad de asegurar que las PDUsSNMP recibidas por un agente provengan de la estacin de gestin y no de cualquier otra estacin. Por ello es posible alterar las variables MIB decualquier agente desde cualquier estacin a travs de un mensaje SetRequest. Basta conocer el nombre de la comunidad (ej. private, cisco).

215/340

El mecanismo de obtencin de tablas es mediante peticiones repetidas GetNext, lo que genera demasiado trfico por la red.

SNMP no posee la facilidad de obtener bloques de informacin en una sola peticin a los agentes.

216/340

No es fcil la gestin distribuida o jerrquica. SNMP no permite la existencia de varias estaciones de

gestin en un solo sistema.

Es complicado intercambiar informacin de gestin consolidada entre estaciones gestoras (ej. consumo para

facturacin).

Network Management System

217/340

Limitaciones en el comando Trap. SNMP no define el mecanismo por el cual un trap debe ser

enviado ni explica qu informacin debe enviar el agente como parte del trap; slo se especifica que debe incluir informacin interesante.

Por ello los traps son especficos a cada implantacin.

Adems slo se reportan en eventos pre-programados y cuando ocurre una falla diferente, si el trap la reporta, lo har incorrectamente.

218/340


El grupo encargado de desarrollar las especificaciones de SNMP, reconoci estas limitantes en el protocolo y poco tiempo despus de la estandarizacin de SNMP, la IETF comenz las labores para mejorarlo.

De este esfuerzo, surgi en julio de 1992 un conjunto de documentos referidos como SNMP Seguro (S-SNMP, Secure SNMP).

219/340

Paralelamente, un grupo formado por cuatro de los principales participantes en el desarrollo de SNMP, propuso SMP (Simple Management Protocol).

SMP incorporaba mejoras funcionales a SNMP incluyendo, con menores modificaciones, las mejoras de seguridad de S-SNMP.

Adems, SMP incorporaba algunos conceptos de RMON (Remote Monitoring MIB), incluyendo las especificaciones de alarmas y eventos, y una tcnica simple para crear y eliminar filas en una tabla.

220/340

Tomando como base las propuestas S-SNMP y SMP, la IETF form en otoo de 1992 dos grupos de trabajo para definir un protocolo que sera llamado SNMPv2 (SNMP versin 2).

El grupo conocido como Grupo de Trabajo de SNMPv2 (SNMPv2 Working Group) fue el encargado de definir todos los aspectos diferentes al de seguridad, incluyendo SMI, MIB y protocolo.

Este trabajo se bas principalmente en SMP y en diciembre de 1992 el grupo public un conjunto de nueve documentos propuestos como estndares de Internet.

221/340

El otro grupo, Grupo de Trabajo de Seguridad de SNMPv2 (SNMPv2 Security Working Group), fue encargado de desarrollar los aspectos de seguridad de SNMPv2.

El trabajo fue basado sustancialmente en S-SNMP y en enero de 1993 se public un documento borrador con los resultados de los trabajos.

222/340

Evolucin de SNMPv2 a partir de SNMP

SNMPv2 presenta grandes mejoras en comparacin con su predecesor SNMPv1 (antes llamado simplemente SNMP).

223/340

224/340

Nuevos tipos de datos en SNMPv2

Integer32 A defined type that represents integer-valued information between -231 and 231-1 inclusive (-2147483648 and 2147483647 decimal). [Note: This type is indistinguishablefrom the INTEGER type, although the INTEGER type may have different numerical constraints].

Counter32 A defined type that represents a non-negative integer that monotonically increases until it reaches o maximum value of 232-1 (4294957295 decimal) then wraps aroundand starts increasing again from zero.

Counter64 A defined type that represents a nonnegative integer that monotonically increases until reaches a maximum value of 264-1 (18446744073709551615 decimal), then wrapsaround and starts increasing again from zero. Counter64 is used for objects for which the 32-bit counter (counter32) is too small, or which would wrap around too quickly.

225/340

Unsigned32 A defined type that represents integer-valued information between 0 and 232-1 (4294967295 decimal), inclusive.

Gauge32 A defined type that represents a nonnegative integer which may increase or decrease, but which never exceeds a maximum value (232-l, as above).

BITS A constructed which represents an enumeration of named bits.

226/340

Nuevos tipos de mensajes en SNMPv2:GetBulkRequest e InformRequest

GetBulkRequest permite obtener mltiples filas de una tabla con una nica peticin,

InformRequest permite a una estacin administradora enviar informacin de gestin a otra estacin administradora, sin que exista una peticin previa.

Con estas dos nuevas PDUs, SNMPv2 elimina dos de las serias limitantes de SNMPv1: la imposibilidad de obtener eficientemente grandes bloques de informacin y la imposibilidad de implantar esquemas de gestin distribuida.

227/340

GetBulkRequest allows one SNMP message to access multiple objects in a MIB

InformRequest allows manager-to-manager communication

Manager Agent

GetRequest

GetResponse

GetNextRequest

Trap

SetRequest

GetBulkRequest

GetBulkResponseInformRequest

InformRequest-Response

Manager

Nuevos tipos de mensajes en SNMPv2:GetBulkRequest e InformRequest

228/340

1.3.6.1.6.3

Nuevas MIB en SNMPv2 Hay una extensin del rbol MIB para SNMPv2, donde se colocan los nuevos mdulos a medida que surjan.

229/340

Ampliacin del grupo System para SNMPv2

sysORLastChange: El valor de sysUpTime en el momento del ltimo cambio de estado o valor de cualquier instancia de sysORID.

SysORtable: La tabla (conceptual) con la lista de capacidades de la entidad local SNMPv2 actuando como agente con respecto a varios mdulos MIB. Las entidades SNMPv2 con soporte dinmicamente configurable de mdulos MIB tendrn un nmero dinmicamente variable de filas conceptuales.

230/340

sysORTable

The sysORTable defined in SNMPv2 MIB has the following columns defined in it:

sysORIndex - the index column.

sysORID - the OID of the MIB Module supported by the Agent.

sysORDescr - the Description of the MIB Module.

sysORUpTime - the sysUpTime when the row was last instantiated.

231/340

Redefinicin del trap en SNMPv2

232/340

Seguridad en SNMPv2En cuanto a seguridad se refiere, SNMPv2 incorpora diferentes mecanismos para proteger la informacin de gestin transportada por los mensajes SNMP de los posibles aspectos de peligro mostrados en la tabla siguiente.

Estos mecanismos son: Resumen de mensajes MD5 (Message Digest 5): crea un

extracto (digesto) de los mensajes y verifica el origen del mismo.

Estndar de Cifrado de Datos (DES, Data Encryption Standard): encripta los mensajes SNMP para proteger su contenido.

Relojes Ligeramente Sincronizados (Loosely Synchronized Clocks): permite incorporar marcas de tiempo con soporte interno para sincronizar los relojes.

233/340

Aspectos considerados peligrosos para la informacin transmitida y mecanismos de proteccin

234/340

Los administradores de red pueden implantar los tres mecanismos individualmente o conjuntamente, dependiendo del nivel de seguridad requerido.

El esquema de mxima seguridad requiere de los tres mecanismos actuando conjuntamente.

Una forma de implantarlo sera la siguiente: el nodo origen utiliza MD5 para crear el resumen (hash) y la autenticacin del mensaje, le aplica una marca de tiempo (time stamp) y lo encripta utilizando DES.

El nodo receptor primero desencripta el mensaje, chequea la marca de tiempo para asegurarse que el mensaje es reciente y que adems es el ltimo mensaje enviado desde el nodo origen, para luego procesar el resumen (hash) y verificar la autenticidad del mismo.

235/340

Lamentablemente, los esquemas de seguridad, aunque incluyen mejoras en cuanto a las capacidades del protocolo, degradan el rendimiento del mismo.

MD5 necesita aproximadamente un incremento del 10% en tiempo de procesamiento, y si utiliza DES, el tiempo de procesamiento puede duplicarse.

Adems, dos puntos importantes comprometen los esquemas de seguridad de SNMPv2: dado que la marca de tiempo utiliza relojes ligeramente sincronizados, es posible que ambos relojes difieran tanto, que un mensaje vlido sea eliminado.

Por otro lado, DES es vulnerable dado que depende de un mecanismo confiable para el transporte de las contraseas.

236/340

As que por cuestiones de desempeo y otros factores, SNMPv2 no fue completamente aceptado y en la redes se ha estado utilizando una variante llamada SNMPv2c, publicado en enero de 1996 en la RFC 1901.

En SNMPv2c se sigue utilizando el nombre de la comunidad para el control de acceso.

Hubo que esperar que saliera SNMPv3 en 1997 y 1998 para que se aceptaran mecanismos de seguridad ms robustos.

237/340

La evolucin de SNMP

c

238/340

La evolucin de SNMP

239/340

Estndares SNMPv3 de 1997/98 (en parte obsoletos)

240/340

RFC 3410 (Informational). Introduction and Applicability Statements for Internet Standard Management Framework (December 2002)

RFC 3411. An Architecture for Describing SNMP Management Frameworks (December 2002)

RFC 3412. Message Processing and Dispatching (December 2002)

RFC 3413. SNMP Applications (December 2002)

RFC 3414. User-based Security Model (December 2002)

RFC 3415. View-based Access Control Model (December 2002)

RFC 3416. Version 2 of SNMP Protocol Operations (December 2002)

RFC 3417. Transport Mappings (December 2002)

RFC 3418. Management Information Base (MIB) for the Simple Network Management Protocol (SNMP) (December 2002)

RFC 3584. Coexistence between Version 1, Version 2, and Version 3 of the Internet-standard Network Management Framework (August 2003)

RFC 3826. The Advanced Encryption Standard (AES) Cipher Algorithm in the SNMP User-based Security Model (June 2004)

Estndares SNMPv3 recientes

241/340

242/340

Seguridad en SNMPv3

SNMPv3 protege contra los siguientes tipos de ataque:

Modificacin del contenido de los mensajes.

Modificacin del orden o flujo de los mensajes.

Captura y reenvo de mensajes viejos.

Suplantacin o usurpacin de identidad para realizar operaciones no autorizadas.

Revelacin del contenido de los mensajes.

Existen al menos dos amenazas contra las cuales SNMPv3 no ofrece proteccin, debido a que son considerados de menor importancia en este contexto: Anlisis de trfico y negacin de servicio (DoS).

243/340

Anlisis de trfico Es una tcnica sutil para obtener informacin de una comunicacin (cuando por ejemplo los datos viajan encriptados) y puede consistir en:

Obtencin del origen y destino de la comunicacin, por ejemplo observando las cabeceras de los paquetes IP encriptados.

Registro del volumen de trfico intercambiado entre las entidades monitoreadas, obteniendo as informacin acerca de actividad o inactividad inusuales.

Registro de las horas habituales de intercambio de datos entre las entidades monitoreadas, para as obtener informacin acerca de los perodos de actividad.

244/340

Ejemplo de DOS (Denial of Service) en SNMP

El switch Cisco Catalyst Switch (CCS) en su versin 2900XL, se ve afectado por un ataque de negacin de servicios, que puede dar lugar a tener que reiniciarlo.

Si el switch de Cisco tiene SNMP deshabilitado y un atacante enva una serie de paquetes UDP nulos contra el puerto SNMP (en este caso el 161) podr causar una ralentizacin o cada del servicio.

245/340

Ejemplo de DOS (Denial of Service) en SNMP

Ciertas impresoras HP JetDirect se cuelgan o imprimen pginas con basura cuando reciben un paquete SNMP ilegal.

Debido a que el problema radica en el "firmware" instalado en la propia impresora, la nica solucin consiste en filtrar los datagramas SNMP dirigidos a las mismas provenientes de redes externas (puerto UDP 161 y 162).

246/340

Hispasec - una-al-da 28/07/2008www.hispasec.com

Se ha informado sobre una vulnerabilidad en el System Management Agent (SMA) del demonio snmpd(1M) de Solaris 10 y OpenSolaris que podra ser aprovechada por un atacante remoto para ejecutar cdigo arbitrario con los permisos del demonio SNMP o hacer que ste deje de responder.

La vulnerabilidad se debe a un desbordamiento de buffer en la funcin '__snprint_value'.

Esto puede permitir la ejecucin de cdigo a travs del envo de una cadena de caracteres especialmente manipulada.

247/340

Seguridad en SNMPv3

248/340

Proteccin de la integridadSe hace un resumen del mensaje SNMP a enviar mediante la funcin hash MD5 o SHA1, obteniendo el MAC (Message Authenticaction Code).

El receptor verifica si el mensaje recibido est intacto, calculando el hash del mensaje recibido comparndolo con el MAC anexo al mensaje.

Si los resultados son distintos, significa que el mensaje se da o fue alterado intencionalmente.

249/340

Ataque del hombre en el medioSi los MAC son iguales, el mensaje probablemente est intacto.

Pero no se puede tener la certeza de que est intacto, ya que un intruso podra eventualmente haber interceptado y alterado el mensaje, recalculando el MAC para que no se detecte el cambio.

A este tipo de ataque se le llama hombre en el medio (MITM: man-in-the-middle).

250/340

Hashed Message Authentication Code (HMAC)

Para impedir este tipo de ataque, se usa HMAC, donde el resumen es funcin del mensaje y de una clave secreta compartida entre ambos extremos.

251/340

Proteccin de la confidencialidad de mediante la criptografa

El mensaje SNMP es encriptado con el algoritmo DES o AES utilizando una clave secreta comn entre el manager y el agente.

Clave secreta

Clave secretaMensaje

cifradoMensaje cifrado

252/340

Seguridad en SNMPv3

253/340

Seguridad en SNMPv3Autenticidad, confidencialidad y control de acceso

254/340

Un mensaje SNMPv3 contiene ms campos que SNMPv1 por los mecanismos de seguridad

255/340

Punto de Acceso Inalmbrico PROXIM ORiNOCO AP-700

Ejemplo de equipo que posee agente SNMPv3

256/340

Recientes vulnerabilidades descubiertas en SNMPv3 Junio 2008

Multiple implementations of the SNMPv3 management protocol contain a vulnerability which can be used to circumvent the authentication process.

In contrast to SNMPv2, in which the only access protection is plain text community strings, SNMPv3 uses Hash Message Authentication Codes (HMAC), for which, according to RFC3414, HMAC-MD5-96 or HMAC-SHA-96 can be used.

As well as the normal hash, a secret key also flows into the HMAC.

According to a security advisory in the open source implementations Net-SNMP and UCD-SNMP, sending a one byte HMAC to the recipient is sufficient to successfully authenticate an SNMP request.

The only obstacle is selecting the correct byte from the 256 possibilities not much of a problem for an attacker. As a result devices can be reconfigured or data queried.

257/340

US-CERT recommends activating SNMPv3 encryption until a patch is available.

This leaves the HMAC unencrypted, but encrypts the actual request. Without the correct key, however, the device will discard the SNMP packet, even with correct authentication.

Net-SNMP versions 5.4.1, 5.3.2 and earlier, and 5.2.4 and earlier are affected. All versions of UCD-SNMP are vulnerable; likewise the eCos project which is based upon it. Updates are available for Net-SNMP, but are not yet available for UCD-SNMP and eCos.

Cisco has published a report on the problem and has indicated that the problem exists with both HMAC-MD5-96 and HMAC-SHA-96. IOS and CatOS as well as ACE and Nexus products are all affected. The SNMP server in these products is, however, by default deactivated. Cisco has released updates.

US-CERT also includes Juniper, Network Appliance, Red Hat, Sun and Ubuntu in its list of affected vendors.

258/340

Vulnerability Note VU#878044SNMPv3 improper HMAC validation allows authentication bypass

A vulnerability in the way implementations of SNMPv3 handle specially crafted packets may allow authentication bypass.

SNMP can be configured to utilize version 3, which is the current standard version of SNMP. SNMPv3 incorporates security features such as authentication and privacy control among other features. Authentication for SNMPv3 is done using keyed-Hash Message Authentication Code (HMAC), a message authentication code calculated using a cryptographic hash function in combination with a secret key. Implementations of SNMPv3 may allow a shortened HMAC code in the authenticator field to authenticate to an agent or a trap daemon using a minimum HMAC of 1 byte.

This issue is known to affect Net-SNMP and UCD-SNMP. Other SNMP implementations may also be affected.

259/340

Detalles de la arquitectura SNMP versin 3

260/340

Arquitectura SNMP genrica (manager o agente)

Entidad SNMP

261/340

La arquitectura SNMP est descrita en una serie de documentos RFC

262/340

Arquitectura del manager

263/340

Arquitectura del agente

264/340

Mdulo: Aplicaciones SNMP

265/340

Mdulo: Motor SNMP

266/340

Mdulo: Motor SNMP

267/340

Ejemplo de parmetros SNMP

268/340

El parmetro snmpEngineID

269/340

Los parmetros de contexto

270/340

A SNMP message optionally take a --contextengineid and --contextname argument.

The --contextengineid argument expects a hexadecimal string representing the desired contextEngineID. The string must be 10 to 64 characters (5 to 32 octets) long and can be prefixed with an optional "0x". Once the --contextengineid is specified it stays with the object until it is changed again or reset to default by passing in the undefined value. By default, the contextEngineID is set to match the authoritativeEngineID of the authoritative SNMP engine.

The contextName is passed as a string which must be 0 to 32 octets in length using the --contextname argument. The contextName stays with the object until it is changed. The contextName defaults to an empty string which represents the "default" context.

Los parmetros de contexto

271/340

Modelo de seguridad USM

272/340

Funciones criptogrficas

273/340

Autenticacin con MAC

274/340

Cifrado con DES-CBC

275/340

Niveles de seguridad USM

276/340

MIB USM

277/340

MIB USM

1.3.6.1.6.3.16

1.3.6.1.6

278/340

Atributos del usuario en usmUserTable

279/340

280/340

Otras MIB en SNMPv3

281/340

Otras MIB en SNMPv31.3.6.1.6

282/340

Gestin de claves en USM

283/340

Gestin de claves

284/340

Localizacin y proteccin de las claves

285/340

Flujo de envo y recepcin de mensajes SNMv3

286/340

Proceso de envo de mensajes SNMPv3

287/340

Proceso de recepcin de mensajes SNMPv3

288/340

SNMPv3 especifica el modelo de Seguridad Basado en Usuario (USM) que se utiliza en el encabezado del mensaje

Encapsulacin de mensajes SNMPv3

289/340

Definicin del mensaje SNMPv3 en ASN.1

290/340

Estructura de mensajes SNMPv3

291/340

Contenido de mensajes SNMPv3

292/340

Decodificacin de mensajes SNMPv3

293/340

Las banderas en mensajes SNMPv3

294/340

El modelo de seguridad en mensajes SNMPv3

295/340

Parmetros de seguridad en mensajes SNMPv3

296/340


297/340


Ya que no usa encriptacin

298/340

Mensaje SNMPv3 autenticado y encriptado

299/340

Entidad con autoridadLa utilizacin de entidad con autoridad y sin autoridad es para impedir ataques de rplica, es decir el reenvo de mensajes viejos.

300/340

Entidad con autoridadEn la comunicacin entre 2 entidades SNMP, una de ellas acta con autoridad, de acuerdo a las siguientes reglas:

La entidad con autoridad es la que mantiene el reloj y la no autoritaria se sincroniza a ese reloj usando la informacin de tempo que va en msgAuthoritativeEngineTime.

301/340

For messages sent on behalf of a Command Generator and for Inform messages from a Notification Originator, the receiver is authoritative.

For messages sent on behalf of Command Responder or for Trap messages from a Notification Originator, the sender is authoritative.

The timeliness of a message is determined with respect to a clock maintained by the authoritative engine.

When an authoritative engine sends a message (Trap, Response, Report), it contains the current value of its clock, so that the non-authoritative recipient can synchronize on that clock. When a non-authoritative engine sends a message (Get, GetNext, GetBulk, Set, Inform), it includes its current estimate of the time value at the destination, allowing the destination to assess the messages timeliness.

302/340

Authoritative engine maintains two objects, snmpEngineBoots and snmpEngineTime, that refer to local time.

Nonauthoritative engine must remain loosely synchronized with each authoritative SNMP engine with which it communicates.

For that purpose nonauthoritative engine keeps a local copy of three variables per remote engine ID:

1. snmpEngineBoots of remote engine

2. snmpEngineTime this engines notion of snmpEngineTime for the remote authoritative engine

3. latestReceivedEngineTime the highest value of msgAuthoritativeEngineTime that has been received by this engine for the remote authoritative engine.

303/340

When authoritative entity receives authenticated message it checks encoded boots and time values.

Boots must match, and time must be within 150 seconds time window.

If received message does not satisfy this condition, report-pdu not in time window is sent back.

Authoritative engine inserts its own boots and time in the report and response message so nonauthoritative engine can update local copies of these values.

304/340

Reporte de error debido a mensaje viejo

305/340

Modelo de seguridad VACM

306/340


307/340


Vista permitida de la MIB

308/340

MIB VACM

309/340

MIB VACM1.3.6.1.6

1.3.6.1.6.3.15

310/340

Ejemplo de configuracin de vistas para un usuario (UserX)

Verde: Read y Write en 1.3.6.1.1.2.1.1 y 1.3.6.1.1.2.1.4

Rojo: Ni Read ni Writeen 1.3.6.1.1.2.1.2

Amarillo: Slo Readen 1.3.6.1.1.2.1.3

311/340

Read y Write en 1.3.6.1.1.2.1.1 y 1.3.6.1.1.2.1.4

Ni Read ni Writeen 1.3.6.1.1.2.1.2

Slo Readen 1.3.6.1.1.2.1.3

Ejemplo de configuracin de vistas para un usuario (UserX)

312/340

Proceso de control de acceso

313/340


314/340


315/340


316/340


317/340


318/340

Coexistencia de SNMP v1, v2 y v3

The Coexistence document, RFC 1908, presents a number of guidelines that outline the modifications necessary for successful coexistence of SNMPv1 and SNMPv2.

Some of the issues noted in RFC 1908 deal with MIB structures, such as object definitions, trap definitions, compliance statements. and capabilities statements, that must be updated to conform to the specifications in SNMPv2.

From a practical point of view, two methods are defined to achieve coexistence: a proxy agent and a bilingual manager.

319/340

Coexistencia de SNMP v1, v2 y v3

Un agente proxy se encarga de traducir los mensajes de un formato a otro

Otra alternativa el un gestor que maneje las tres versiones y que se comunique con el agente segn la versin del agente.

320/340

Uso de agentes proxy en SNMP

321/340

SMS Gateway

MonitorServer

Agente Proxy (Cliente)

Administrador (HP Open View)

XML

SNMP traps

XML

Un ejemplo de proxy para SNMPTESIS: Mdulos de control y redundancia para un gateway de Short Message Service (SMS) en telefona mvil celular

AUTORA: Ana Mara Valero Prez

INSTITUCIN: Universidad Central de Venezuela, Escuela de Ingeniera Elctrica

NIVEL: Postgrado (Especializacin)

FECHA: Abril 2003

322/340

Ms sobre SNMPv3 OVERVIEW:

DESIGN DECISIONS

ARCHITECTURE

SNMP MESSAGE STRUCTURE

SECURE COMMUNICATION USER SECURITY MODEL (USM)

ACCESS CONTROL VIEW BASED ACCESS CONTROL MODEL (VACM)

IMPLEMENTATIONS

RFCs

323/340

SIMULACIN DE UN AGENTE DE SNMPv3 UTILIZANDO UNA HERRAMIENTA DE ADVENTNET

Isaura Gonzlez Fontcuberta

Tutor: Vincenzo Mendilllo

Caracas, septiembre 2007

Facultad de Ingeniera

Escuela de Ingeniera de Sistemas

324/340

Ms sobre SNMPv3

325/340

Ms sobre SNMPv3

326/340

http://snmp.com

Ms sobre SNMPv3

327/340

Agente SNMP para Linux y Windows

328/340

Agente SNMP para Linux

329/340

Agente SNMP para Windows

330/340

Configuracin del agente SNMPv3 de NUDesign

331/340

http://marksw.com

Agente SNMPv3 de Mark Southwest (MARK SW)

332/340

Configuracin del agente SNMPv3 de Mark Southwest

333/340

Prctica sobre gestin avanzadade redes con SNMPv3

Prof. Vincenzo Mendillo

Objetivo

Familiarizarse con la versin 3 de SNMP (Simple Network Management Protocol), la cual provee