Sareen kudeaketa, SNMP eta RMONSare eta Zerbitzuak IIBilboko IGET/TelematikaDani Gutiérrez Porset2011ko Azaroa
Dokumentu honi buruz●    Erabilpen lizentzia    http://creativecommons.org/licenses/by-sa/3.0/●    Erabilitako edukierak: ...
Aurkibidea●    Sarrera●    Sareen kudeaketa●    SNMP●    SNMPv1●    RMON●    Secure SNMP●    SNMPv2●    SNMPv3●    SNMP-ra...
PDCA Metodologia                         Plangintza                 Plan           Act                 Do                 ...
Ekintzak eta Neurriak          Erreaktiboak       Proaktiboak          ●           Detekzioa          ●                   ...
Hasiera-egoera      ●          Sarearen nodoak kudeatzeko beharra      ●          Aniztasuna:           ●               Sa...
Zer da sare bat kudeatzea      ●          Eragiketak:           ●               Monitorizazioa           ●               S...
OSI Sarearen kudeaketa eredua      ●          FCAPS eredua:           ●               Fault: identifikatu, isolatu, zuzend...
Nodoen sailkapena      ●          Gaitasun eta adimenaren arabera:               Prozesaketa               Sarea          ...
Irtenbidea      ●          Estandarren bidezko interoperabilitatea      ●          Informazio osagaiak:           ●       ...
Kudeaketako protokolo                        estandarrak      ●          CMIP (Common Management Information          Prot...
Kudeaketarako Software             Monitorizazioa                              http://en.wikipedia.org/wiki/Network_monito...
SNMP-rik gabeko               monitorizaziorako software      ●          Nodoetan software instalazioa beharrezkoa da     ...
SNMP   Simple Network Management Protocol   v1: Bakarrik 5 komando   v2, v3: 7 komando             Helmena: Monitorizazioa...
Historia eta Bertsioak              1988 SNMPv1          RMON       1992 Secure SNMP              1993 SNMPv2        SNMPv...
Espezifikazioaren osagaiak       ●           Nodo motak:           ●               Nodo kudeatzailea edo estazioa, NMS (Ne...
Nodoen sailkapena      ●          Kudeaketa funtzioaren arabera:           ●               Nodo kudeatzaileak           ● ...
Nodo motak: NMS eta Agentea         NMS (Network management system)             Kudeaturiko dispositiboa                  ...
Nodo motak: Proxy                    Proxy Agentea         SNMP hitz egiten ez duen                                       ...
Protokoloa: SNMP TCP/IP                     ereduan                   OSI/ISO                  TCP/IP                7. Ap...
Protokoloa: Eragiketak eta                 Primitibak                        Irakurketa         Idazkera        Informazio...
Protokoloa: Polling vs Trap       ●           Polling = Galdeketa       ●           Trap = Jakinarazpenak, Etenaldiak     ...
Protokoloa: Fluxuak eta Atakak                                ●                                 GetRequest                ...
Protokoloa: segurtasuna       ●           M:N Erlazioa, agente eta hauei ekiten dieten           kudeatzaileak       ●    ...
Protokoloa: segurtasuna       ●           Bertsio guztietan eragiten duten erasoak:           ●               Indar basati...
SMI       ●           Egitura hierarkiko (zuhaitza) baten arabera           objetuak irudikatzeko eskema hedagarri bat    ...
SMI-ren osagaiak       ●           Datubase egituraren eta MIB bakoitzaren           zehazpena       ●           Objetu, M...
ASN.1       ●           Metahizkuntza edo Notazia hauekin:           ●               Sintaxia, adib.               Esleipe...
SMI zuhaitza                       Ez dago nodo erroa                    ordena       ●        directory: etorkizunerako e...
SMI-ko objetuak       ●           Zuhaitzako nodoak: Objetuak=nodo edo           kudeatzeko dispositiboa, eta bere        ...
SMI-ko objetuen sintaxia       ●           Identifikazioa eta beste objetuekiko erlazioa       ●           Balio mota:    ...
SMI-ko objetuen identifikazioa       ●           Identifikadore bakarra:           ●               OBJECT IDENTIFIER tipoa...
SMI-ko objetu mota       ●           Eskalarrak:           ●               4 Univertsalak:               –   INTEGER: -231...
SMI-ko objetu mota       ●           APPLICATION klaserekin lotutako objetuak:           ●               NetworkAddress: b...
SMI-ko objetu mota       ●           Array bidimentsionalak (= taulak) hauen bidez:           ●               SEQUENCE-OF:...
SMI-ko objetuen definizioa       ●           Mailak:           ●               Makroren definizioa, ej. OBJECT-TYPE       ...
SMI-ko Moduluak       ●           Erlazionatutako zehazpen taldeak adierazten           dituzte       ●           Motak:  ...
SMI eta ASN.1-ri buruzko                       software       ●           Adib. implementazioa: libsmi           Debian-en...
MIB-ak       ●           Erabilpen konkretuetarako SMI-ren adarrak       ●           SMI eta MIB-en arteko desberdintasuna...
MIB motak       ●           Estandarrak: IETF edo IEEE-k mantenduta.           Adib:           ●               MIB-2: TCP/...
MIB-en adibideak       ●   Debian paketea snmp-mibs-downloader       ●           Direktorioak:           ●               I...
MIB-2       ●           TCP/IP dispositiboen kudeaketa       ●           1.3.6.1.2.1 = iso.org.dod.internet.mgmt.mib_2    ...
MIB-2-ko objetuen baldintzak       ●           Erroreak edo konfigurazioa kudeatzeko premiazkoa           izatea       ●  ...
SNMPv1: PDU-ak  IP header   UDP header    SNMP data                 SNMP header         SNMP PDU                          ...
SNMPv1: PDU-ak     ●         request-id: eskaerak eta erantzunak         korrelatzeko; bietan balore berdina erabiltzen   ...
SNMPv1: PDU-ak     ●         Operazioak:         ●             Irakurketarako PDU-en (GetRequest,             GetNextReque...
SNMPv1: PDU-ak     ●         GetRequest, GetNextRequest eta SetRequest:         ●             GetResponse-ren bidez baiezt...
SNMPv1: PDU-ak     ●         GetNextRequest:         ●             Aldagarri bakoitzarako hurrengo nodo-hostoa            ...
SNMPv1: Segurtasuna     ●         "Komunitateak" kontzeptua: agenteak eta         hauen gainean lan egiten duten kudeatzai...
RMON       ●           Remote Monitor sare informazioa           monitorizatzeko agenteetarako MIB           espezifikoa  ...
RMON       ●           Agentera software batean datza:           ●               Dispositibo (dedikatu edo ez) batean exek...
RMON       ●           Operazioak:           ●               Datu taulen bidezko monitorizazioa:               –   Trafiko...
RMON: MIB-ak       ●           RMON-erako MIB identifikatzailea:             iso.org.dod.internet.mgmt.mib-2.rmon         ...
RMON: sarbide konkurrentea       ●           Arazoak egon daitezke kudeatzaile asko batera           sartzen direnean:    ...
RMON: sarbide konkurrentea       ●           Ebazpena: "jabetasun etiketa" zutabea kontrol           tauletan:           ●...
Secure SNMP     ●         Autentikazioa eta enkriptazioa ematen du     ●         Ez da SNMPv1-rekin bateragarria, goiburua...
SNMPv2     ●         SNMPv1-i buruzko aldaketak:         ●             Sare banatuekin erlazionatuta, managerren arteko   ...
SNMPv2: Protokoloa     ●         SNMPv1-i buruzko aldaketak:         ●             Mezuen goiburuak Secure SNMP-en bezala ...
SNMPv2: GetBulkRequest     ●         Datu kopuru handia lortzeko trukeak         txikiagotzeko erabiltzen da     ●        ...
SNMPv2: GetBulkRequest    Adib: Interface-Number          1                                  Physical-Address             ...
SNMPv2: InformRequest     ●         Trap antzekoa baina Manager-etik baieztapena         behar du. Hau jasotzen ez bada,  ...
SNMPv3     ●         SNMPv2-ri buruzko aldaketak:         ●             Segurtasuna:             –   Mezuen osotasuna     ...
SNMPv3: Segurtasuna     ●         Bi segurtasun gaitasun zehazten dira:         ●             USM (User-based Security Mod...
SNMPv3: Arkitektura     ●         "SNMP entitate"aren kontzeptua: kudeatzaile,         agente edo biak bezala izan daiteke...
SNMPv3: Arkitektura                       Kudeatzaile bakarrik   Kudeatzaile eta Agente              Agente bakarrik      ...
SNMPv3: Mezu formatua                   MsgGlobalData                 Segurtasun ereduan             MsgData              ...
SNMP-rako software      ●          Inplementazio librearen adibidea: Net-SNMP      ●          Komandoak:           ●      ...
SNMP-rako software      ●          Ubuntu paketeak:           ●               Agente (snmpd) eta kudeatzaileko (snmp) oina...
SNMP-rako software      ●          MIB browser dohainak       Software       Lizentzia   GUI      Plataformak       tkmib ...
Upcoming SlideShare
Loading in...5
×

Sareen kudeaketa, SNMP eta RMON

480

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
480
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
6
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Sareen kudeaketa, SNMP eta RMON

  1. 1. Sareen kudeaketa, SNMP eta RMONSare eta Zerbitzuak IIBilboko IGET/TelematikaDani Gutiérrez Porset2011ko Azaroa
  2. 2. Dokumentu honi buruz● Erabilpen lizentzia http://creativecommons.org/licenses/by-sa/3.0/● Erabilitako edukierak: ● Atalako argazkia: The Opte Project (cc by-nc-sa 1.0) ● Logotipoak bere jabeen jabetasuna ● Liburua: "SNMP, SNMPv2, SNMPv3, and RMON 1 and 2" - William Stallings – Ed. Addison Wesley ● Marivi Higuero Aperribairen apunteak http://opte.org/maps/ 2
  3. 3. Aurkibidea● Sarrera● Sareen kudeaketa● SNMP● SNMPv1● RMON● Secure SNMP● SNMPv2● SNMPv3● SNMP-rako Software 3
  4. 4. PDCA Metodologia Plangintza Plan Act Do Kontrola Konfigurazioa Check Monitorizazioa Gainbegiratzea http://en.wikipedia.org/wiki/PDCASarrera 4
  5. 5. Ekintzak eta Neurriak Erreaktiboak Proaktiboak ● Detekzioa ● Aurresana ● Zuzenketa ● Prebentzioa ● Kausen ezagutza ● HobespenaSarrera 5
  6. 6. Hasiera-egoera ● Sarearen nodoak kudeatzeko beharra ● Aniztasuna: ● Sareak ● Dispositiboak ● Fabrikatzaileak: protokoloak eta formatuakSareen kudeaketa 6
  7. 7. Zer da sare bat kudeatzea ● Eragiketak: ● Monitorizazioa ● Software / firmware-ren klonaketa / instalazioa ● Software / firmware-ren eguneraketa / partxeoa ● Konfigurazioa ● Hardware / software-ren zerrenda ● Kalitatea eta Segurtasuna ● Hori guztia era automatiko, urrutiko, masibo, seguru bateanSareen kudeaketa 7
  8. 8. OSI Sarearen kudeaketa eredua ● FCAPS eredua: ● Fault: identifikatu, isolatu, zuzendu, erregistratu ● Configuration: bildu, bidali, aldaketak erregistratu ● Accounting: baliabideen estatistikak, erabiltzaileen eta baimenen administrazioa ● Performance: erabilpen eta erabilgarritasunaren %, akats tasa, erantzun denborak ● Security: autentifikazioa, konfidentzialtasuna, baimenak http://en.wikipedia.org/wiki/FCAPS http://en.wikipedia.org/wiki/Network_management_modelSareen kudeaketa 8
  9. 9. Nodoen sailkapena ● Gaitasun eta adimenaren arabera: Prozesaketa Sarea Periferikoak MixSareen kudeaketa 9
  10. 10. Irtenbidea ● Estandarren bidezko interoperabilitatea ● Informazio osagaiak: ● Esanahia = semantika ● Irudikapena = Lexikoa, sintaxia: formatuak ● Trukea: komunikazio protokoloak ● "De facto" vs "de iure" estandarrakSareen kudeaketa 10
  11. 11. Kudeaketako protokolo estandarrak ● CMIP (Common Management Information Protocol) eta CMOT (CMIP Over TCP/IP): ● OSI/ISO ● Konplexuak eta gutxitan erabilitakoak ● SNMP (Simple Network Management Protocol): Kontrola eta monitorizazioa ● RMON (Remote Monitor): Monitorizazioa http://en.wikipedia.org/wiki/Common_management_information_protocolSareen kudeaketa 11
  12. 12. Kudeaketarako Software Monitorizazioa http://en.wikipedia.org/wiki/Network_monitoring_comparison http://en.wikipedia.org/wiki/Comparison_of_disk_cloning_software http://en.wikipedia.org/wiki/Comparison_of_open_source_configuration_management_software http://www.linuxjournal.com/content/readers-choice-awards-2010Sareen kudeaketa 12
  13. 13. SNMP-rik gabeko monitorizaziorako software ● Nodoetan software instalazioa beharrezkoa da ● Tresnak: ● Ekipo gutxi badira, giza interfazea. Adib. web ● Ekipo asko badira, automatikoki: – "Eskuz": script-ak, cron,... – Produktuak: ● Sarea: nagios, mon, sysmon, ntop,... ● Logak: logwatch, oak,... http://www.nagios.org/ https://mon.wiki.kernel.org/ http://www.sysmon.com/ http://www.ntop.org/ http://sourceforge.net/projects/logwatch/ http://www.ktools.org/Sareen kudeaketa 13
  14. 14. SNMP Simple Network Management Protocol v1: Bakarrik 5 komando v2, v3: 7 komando Helmena: Monitorizazioa eta Kontrola sare zentralizatutak edo banatutak TCP/IP ereduan, IETF-ren RFC-en bidez finkatuta Baina SNMP ez da perfektua! http://en.wikipedia.org/wiki/SnmpSNMP 14
  15. 15. Historia eta Bertsioak 1988 SNMPv1 RMON 1992 Secure SNMP 1993 SNMPv2 SNMPv2c SNMPv2u SNMPv2* 1998 SNMPv3 Gaurko estandarra da (SNMPv1, SNMPv2 zaharrak dira)SNMP 15
  16. 16. Espezifikazioaren osagaiak ● Nodo motak: ● Nodo kudeatzailea edo estazioa, NMS (Network Management System) softwarez ● Software agenteren bidez kudeatutako nodoa ● Protokoloa ● Datuak: ● SMI (Structure of Management Information) ● MIB (Management Information Base)SNMP 16
  17. 17. Nodoen sailkapena ● Kudeaketa funtzioaren arabera: ● Nodo kudeatzaileak ● Agenteen bidezko kudeaturiko nodoak ● Proxy nodoakSareen kudeaketa 17
  18. 18. Nodo motak: NMS eta Agentea NMS (Network management system) Kudeaturiko dispositiboa MIB MIB Prozesu Prozesu Prozesu Kudeatzailea Agentea ... SNMP SNMP ... UDP UDP TCP IPv4, IPv6 IPv4, IPv6 ● Kudeaturiko nodoekin komunikazioa ● Erabiltzaile interfazea funzionalitate gehigarriekin ● MIB = kudeaturiko nodoen MIB-en batuketaSNMP 18
  19. 19. Nodo motak: Proxy Proxy Agentea SNMP hitz egiten ez duen kudeaturiko dispositiboa Agente Proxy XXX Prozesua Prozesua Prozesua SNMP YYY Protokoloa YYY Protokoloa UDP IPv4, IPv6SNMP 19
  20. 20. Protokoloa: SNMP TCP/IP ereduan OSI/ISO TCP/IP 7. Aplikazioa 4. Aplikazioa SNMP ASN.1 6. Aurkezpena 5. Saioa 3. Garraioa UDP UDP: 4. Garraioa ● TCP baino trafiko gutxiago ● Ez da fidagarria, baina 3. Sarea baieztapenak Aplikazio geruzan bidaltzen dira 2. Lotura 1. Fisikoa Beste SNMP-ren azpiko protokoloak: ● OSI Connectionless Network Service ● AppleTalk Datagram-Delivery Protocol (DDP) ● Novell IPX http://en.wikipedia.org/wiki/OSI_model ● TCP ere http://en.wikipedia.org/wiki/TCP/IP_modelSNMP 20
  21. 21. Protokoloa: Eragiketak eta Primitibak Irakurketa Idazkera Informazioa eskaera eskaera bidalketa GetRequest Sinkronoak GetNextRequest SetRequest Response GetBulkRequest Trap Asinkronoak InformRequest SNMPv2 SNMPv1-ean GetResponse zen KudeatzailetikAgentera Agentetik Kudeatzailera SNMPv2-an Bi noranzkoetan agente batetik bestera joan daitekeSNMP 21
  22. 22. Protokoloa: Polling vs Trap ● Polling = Galdeketa ● Trap = Jakinarazpenak, Etenaldiak ● Irizpideak: ● Informazio periodikoa ● Trafikoren eraginkortasunaSNMP 22
  23. 23. Protokoloa: Fluxuak eta Atakak ● GetRequest ● SetRequest ● GetNextRequest ● GetBulkRequest .../UDP Response ● 161/UDP Kudeatzailea Agentea ● Trap 162/UDP ● InformRequests .../UDPSNMP 23
  24. 24. Protokoloa: segurtasuna ● M:N Erlazioa, agente eta hauei ekiten dieten kudeatzaileak ● Segurtasun aspektuak: ● Autentifikazioa: nor da kudeatzailea, eta nola egiaztatu ● Sarbidea: objetuen baimenak kudeatzaile bakoitzarentzat ● Proxy-ak: proxy baten bidez kudeatutako sistemen politiken implementazioaSNMP 24
  25. 25. Protokoloa: segurtasuna ● Bertsio guztietan eragiten duten erasoak: ● Indar basatiaren bidez (hiztegia), zeren eta ez dute erronka-erantzuna metodorik ● Zerbitzu ukapena ● Fabrikatzaile batzuk ez dute idazketako baimenarik ematen, segurtasun txarragatik SNMPv3 izan ezik, edo bere dispositiboak SNMP-ren bidez konfiguragarriak ez direlakoSNMP 25
  26. 26. SMI ● Egitura hierarkiko (zuhaitza) baten arabera objetuak irudikatzeko eskema hedagarri bat ematen du ● Bertsioak: SMIv1, SMIv2 ● Notazioa: ASN.1-en azpimultzoa. Adib: internet OBJECT IDENTIFIER ::= { iso org(3) dod(6) 1 } http://en.wikipedia.org/wiki/Structure_of_Management_InformationSNMP 26
  27. 27. SMI-ren osagaiak ● Datubase egituraren eta MIB bakoitzaren zehazpena ● Objetu, Modulu eta jakinarazpeen (traps) definizioak: motak, izenak, sintaxia, MIBak eraikitzeko arauak,... ● BER-en arabera kodifikazioaSNMP 27
  28. 28. ASN.1 ● Metahizkuntza edo Notazia hauekin: ● Sintaxia, adib. Esleipenak: A ::= B Oharrak: -- zer astuna den ikasgai hau ● Edukierak binariora kodifikatzeko arauak, BER-en arabera ● Programa bat iturritik binariora konpilatzea antzekoa http://en.wikipedia.org/wiki/Abstract_Syntax_Notation_One http://en.wikipedia.org/wiki/Basic_Encoding_Rules http://asn1.org/SNMP 28
  29. 29. SMI zuhaitza Ez dago nodo erroa ordena ● directory: etorkizunerako erabilpena OSI (X.500) direktorioetarako ● management: IAB-n objetu onartuetarako azpizuhaitza ● experimental: frogetarakoa ● private: fabrikatzaile espezifikoetarakoaSNMP 29
  30. 30. SMI-ko objetuak ● Zuhaitzako nodoak: Objetuak=nodo edo kudeatzeko dispositiboa, eta bere ezaugarriak/bailabideak Adib: Router, bere TCP konexioen taularekin ● Nodo bakoiza bere seme-alabekin talde bat bezala ikus daiteke ● SNMP protokoloa: ● Ezin du zuhaitzako egitura aldatu ● Bakarrik nodo-hostoak kudea ditzakeSNMP 30
  31. 31. SMI-ko objetuen sintaxia ● Identifikazioa eta beste objetuekiko erlazioa ● Balio mota: ● Erraztasuna eta interoperabilitatearen alde, bakarrik eskalarrak eta taulak daude; ez dago beste azpiegitura konplexuagorik ● SNMP-k bakarrik tipo eskalarrak irakur/idatz ditzake ● Era posibleak (CHOICE) ● Tartea, adib. SYNTAX INTEGER (0..65535) ● Sarbide baimenak (read-only, read-write,...) eta derrigortzea (mandatory, optional) ● DeskribapenaSNMP 31
  32. 32. SMI-ko objetuen identifikazioa ● Identifikadore bakarra: ● OBJECT IDENTIFIER tipoa, ASN.1-n ● Puntuen bidez banandutatako zenbaki osoen sekuentzia; zenbaki oso bakoitzak bere adarraren nodoak adierazten ditu ● Noizbehin, dagozkion izenen sekuentzia Adib. 1.3.6.1.2.1.4 iso.org.dod.internet.mgmt.mib_2.ip http://www.faqs.org/rfcs/rfc1902.htmlSNMP 32
  33. 33. SMI-ko objetu mota ● Eskalarrak: ● 4 Univertsalak: – INTEGER: -231-tik 231-1-etara – OCTET STRING: 0-tik 65535 byte-etara – OBJECT IDENTIFIER – NULL ● Beste tipo bereziak aurrekoetan oinarrituta, APPLICATION klasera elkartutak. ● SMIv2-tan tipo gehiago daude http://www.faqs.org/rfcs/rfc2012.htmlSNMP 33
  34. 34. SMI-ko objetu mota ● APPLICATION klaserekin lotutako objetuak: ● NetworkAddress: bakarrik IpAddress dago zehaztuta ● IpAddress: 32 bit helbidea ● Counter: 0-tik a 232-1-etara (4.294.967.295). Balorea bakarrik handi daiteke ● Gauge: 0-tik to 232-1-etara. Balorea handi edo txiki daiteke ● TimeTicks: segundo-ehunenak, aro batetik ● Opaque: edozein datu edozein formatutan, OCTET STRING bezala kodifikatuta http://www.faqs.org/rfcs/rfc1155.htmlSNMP 34
  35. 35. SMI-ko objetu mota ● Array bidimentsionalak (= taulak) hauen bidez: ● SEQUENCE-OF: elementu guztiak mota berdinekoak ● SEQUENCE: elementuak mota berdinekoak edo ez ● INDEX hitza lerroak bereizteko. Adib: tcpConnTable taula tcpConnState tcpConnLocalAddress tcpConnLocalPort tcpConnRemAddress tcpConnRemPort listen(2) 0.0.0.0 21 0.0.0.0 0 listen(2) 0.0.0.0 22 0.0.0.0 0 listen(2) 0.0.0.0 25 0.0.0.0 0 listen(2) 0.0.0.0 80 0.0.0.0 0 established(5) 127.0.0.1 1031 127.0.0.1 1030 established(5) 127.0.0.1 1032 127.0.0.1 1033 http://www.faqs.org/rfcs/rfc2012.htmlSNMP 35
  36. 36. SMI-ko objetuen definizioa ● Mailak: ● Makroren definizioa, ej. OBJECT-TYPE ● Makro instantzia, tipoak zehazteko, adib. tcpMaxConn tipoa definizioa OBJECT-TYPE makroren bidez ● Makro instantziaren balorea, entitate baten baloreak adierazteko adib. tcpMaxConn balorea, TCP konexio konkretu batean http://www.faqs.org/rfcs/rfc1212.html http://www.faqs.org/rfcs/rfc2012.htmlSNMP 36
  37. 37. SMI-ko Moduluak ● Erlazionatutako zehazpen taldeak adierazten dituzte ● Motak: ● MIB Moduluak, erlazionatutako objetuak definitzeko ● Adostasuneko sententziak, standard bat bete behar diren objetu taldeak ● Gaitasunetako sententziak, agente baten gaitasunak ezagutarazten dizkioten kudeatzaile batiSNMP 37
  38. 38. SMI eta ASN.1-ri buruzko software ● Adib. implementazioa: libsmi Debian-en eta deribatuetan: apt-cache search libsmi apt-cache search ASN.1SNMP 38
  39. 39. MIB-ak ● Erabilpen konkretuetarako SMI-ren adarrak ● SMI eta MIB-en arteko desberdintasunak: ● SMI = zehazteko eskema + zuhaitz orokorra ● MIBs = azpi-zuhaitz espezifikoak (semantika+lexikoa), zuhaitz orokorraren barruan http://en.wikipedia.org/wiki/Management_information_baseSNMP 39
  40. 40. MIB motak ● Estandarrak: IETF edo IEEE-k mantenduta. Adib: ● MIB-2: TCP/IP dispositiboen kudeaketa ● TCP-MIB: TCP-rako espezifikoa ● Ethernet-MIB ● Pribatuak (interoperabilitatea gutxitzen dute): ● Fabrikatzaileak NMS-rako testu edo deskribapen formala ematen du ● Arazoa: 3 bertsio; nagusia: RFC 1212 http://en.wikipedia.org/wiki/Management_information_baseSNMP 40
  41. 41. MIB-en adibideak ● Debian paketea snmp-mibs-downloader ● Direktorioak: ● IANA MIB-ak : /var/lib/mibs/iana ● IETF MIB-ak: /var/lib/mibs/ietf ● RFC-ak: /usr/share/doc/mibrfcsSNMP 41
  42. 42. MIB-2 ● TCP/IP dispositiboen kudeaketa ● 1.3.6.1.2.1 = iso.org.dod.internet.mgmt.mib_2 ● 10 nodo = taldeak system(1) interfaces(2) at (3) Zaharra; MIB-1-ekin konpatibilizatzeko mantenduta ip (4) icmp (5) tcp (6) udp (7) egp (8) Exterior Gateway Protocol (zaharra) transmission (10) Lotura geruzaren datuak snmp (11) http://en.wikipedia.org/wiki/Exterior_Gateway_ProtocolSNMP 42
  43. 43. MIB-2-ko objetuen baldintzak ● Erroreak edo konfigurazioa kudeatzeko premiazkoa izatea ● Kontrol objetu bat bada, "ez arriskutsua" izatea ● Erabiltzeko ebidentzia ● Erredundantziak sahiesteko, beste objetuetatik deribatutako objetuak ez sartu ● Objetu espezifikoak baztertu, adib. BSD UNIX- erakoak ● Kontrol askorekiko kode sekzio kritikoak sahiestu (bakarrik kontadore 1)SNMP 43
  44. 44. SNMPv1: PDU-ak IP header UDP header SNMP data SNMP header SNMP PDU version community ● bertsio: 1 ● community: segurtasunerakoa GetRequest, GetNextRequest, SetRequest PDU type request-id 0 0 variable-bindings GetResponse PDU type request-id error-status error-index variable-bindings Trap PDU type enterprise agent-addr generic-trap specific-trap time-stamp variable-bindings izen1 balore1 izen2 balore2 ... izenN baloreNSNMPv1 44
  45. 45. SNMPv1: PDU-ak ● request-id: eskaerak eta erantzunak korrelatzeko; bietan balore berdina erabiltzen da ● error-status, error-index: akatsen kudeaketa ● Jakinarazpena: ● enterprise: sortzen duen objetu mota, sysObjectID-en arabera ● agent-addr: sortzen duen objetuaren helbidea ● generic-trap, specific-trap: motak eta kodeak ● time-stamp: azken sare hasierapenatik; sysUpTime daukaSNMPv1 45
  46. 46. SNMPv1: PDU-ak ● Operazioak: ● Irakurketarako PDU-en (GetRequest, GetNextRequest, Trap) bidezko monitorizazioa ● Idazketarako PDU-en (SetRequest) bidezko kontrola. Objetu espezifiko batzuen baloreak aldatuz, komandoak exekutatzen dituSNMPv1 46
  47. 47. SNMPv1: PDU-ak ● GetRequest, GetNextRequest eta SetRequest: ● GetResponse-ren bidez baieztatzen dira ● Aldagarri bat baino gehiagotan jardun dezakete ● Eragiketa atomikoak dira: aldagarriren batean txarto egiten badute, ez dute beste inon jarduten ● Trap: ez da GetResponse-ren bidez baieztatzenSNMPv1 47
  48. 48. SNMPv1: PDU-ak ● GetNextRequest: ● Aldagarri bakoitzarako hurrengo nodo-hostoa lortzen du, orden lexikografikoan ● MIB egitura aurki daiteke dinamikokiSNMPv1 48
  49. 49. SNMPv1: Segurtasuna ● "Komunitateak" kontzeptua: agenteak eta hauen gainean lan egiten duten kudeatzaile multzoak ● Segurtasun aspektuak: ● Komunitatearen izenean onarritutako autentikazioa. Partekatzen den testu argian dagoen password bat da, normalean "public" edo "private". Oso eskema pobrea. ● Bistetan (MIB view) eta moduetan (ACCESS MODE adib. Read-only) oinarritutako sarbidea ● Biak konbinatzen dira "community profile" bateanSNMPv1 49
  50. 50. RMON ● Remote Monitor sare informazioa monitorizatzeko agenteetarako MIB espezifikoa ● Errendimendu handiagoa sarea (versus dispositiboak) monitorizatzeagatik, adib: Konektibitate faltak edo kongestioaren jakinarazpenak RMON daukaten dispositiboei delegatzea (bestela, dispositibo guztiak jakinarazpenak bidaliko lituzkete) http://en.wikipedia.org/wiki/Remote_monitoringRMON 50
  51. 51. RMON ● Agentera software batean datza: ● Dispositibo (dedikatu edo ez) batean exekutatzen da, zunda ("probe") deituta. Adib. Switch batean ● Modo promiskuoan funzionatzen da, paketeak harrapatzen ● Ohizko erabilpena: RMON agente bat sare segmentu bakoitzean ● Begiratu MIB-ak eta RFC-ak wikipedian http://en.wikipedia.org/wiki/Remote_monitoringRMON 51
  52. 52. RMON ● Operazioak: ● Datu taulen bidezko monitorizazioa: – Trafiko txostenak eta akatsen estatistikak – Gerorako analisietarako paketeak bilketa ● Kontrol tauletako lerroen bidez konfigurazioa ● Ekintzak objetuen bidez martxan jarri dira. Objetuak komandoak adierazten dute, eta egoera aldatzen bada martxan jartzen dira ● Polling baino gehiago, jakinarazpenak erabiltzen diraRMON 52
  53. 53. RMON: MIB-ak ● RMON-erako MIB identifikatzailea: iso.org.dod.internet.mgmt.mib-2.rmon 1.3.6.1.2.1.16 ● Bertsioak: ● RMON1: lotura eta geruza fisikoekin lotuta, bere MIB-ak 10 objetu talde bereizten ditu: estatistikak, alarmak, iragazkiak, gertaerak,... ● RMON2: sare eta goiko geruzekin lotuta, bere MIB- ak beste 10 objetu talde zehazten ditu ● Bi kasuetan dispositiboak ez ditu objetu guztiak inplementatzenRMON 53
  54. 54. RMON: sarbide konkurrentea ● Arazoak egon daitezke kudeatzaile asko batera sartzen direnean: ● Monitorearen gaitasuna gainditzen da ● Monitorearen bailabideak okupatuta/blokeatuta denbora luze, barruko akats batengatik edo kanpoko kudeatzaile batengatikRMON 54
  55. 55. RMON: sarbide konkurrentea ● Ebazpena: "jabetasun etiketa" zutabea kontrol tauletan: ● Bere jabea adierazten du ● Read-write jabearentzat, Read-only besteentzat ● Nodo kudeatzaile batek bere jabea zehazten du, eta askapena berarekin negozia dezake ● Operadore batek askapen aldebakarra egin dezakeRMON 55
  56. 56. Secure SNMP ● Autentikazioa eta enkriptazioa ematen du ● Ez da SNMPv1-rekin bateragarria, goiburuaren formatua aldatzen delako: IP header UDP header SNMP data SNMP header SNMP PDU privDst authInfo dstParty srcParty SNMP PDU Enkriptatuta egon daiteke Authentication Info http://tools.ietf.org/html/rfc1351Secure SNMP 56
  57. 57. SNMPv2 ● SNMPv1-i buruzko aldaketak: ● Sare banatuekin erlazionatuta, managerren arteko komunikazioari esker (RMON bezalako ideia) ● Trafiko eraginkortasun handiagoa balore anitzak lortzeko mezuen bidez ● Segurtasun hobea S-SNMP-etan oinarrituta, baina oso konplexua izateagatik ez zen onartu: SNMPv2 vs SNMPv2c (c=community) ● SMIv2 sortzen da, eta MIB berri bat: 1.3.6.1.6 ● Tauletan lerroak sortu eta ezabatu ahal dira ● Ez da SNMPv1-rekin konpatiblea, baina proxyak eta ingurune dualak erabil daitezkeSNMPv2 57
  58. 58. SNMPv2: Protokoloa ● SNMPv1-i buruzko aldaketak: ● Mezuen goiburuak Secure SNMP-en bezala ● PDU-ak: – Berriak: GetBulkRequest, InformRequest – GetResponse aldatuta: Response – Trap egitura aldatuta. Berdinak: GetRequest, GetNextRequest, SetRequest, Trap, InformRequest: PDU type request-id 0 0 variable-bindings – GetRequest, GetNextRequest eta SetRequest ez dira atomikoak, mezuaren aldagarri batzuetan (eta ez guztietan) jardun dezakete ● NMS-en artean trafiko jakinarazpenak daudeSNMPv2 58
  59. 59. SNMPv2: GetBulkRequest ● Datu kopuru handia lortzeko trukeak txikiagotzeko erabiltzen da ● PDU: N M N+R aldagarriak PDU type request-id non-repeaters max-repetitions variable-bindings ● Lehenengo N (non-repeaters) aldagarrietarako GetNextRequest PDU kasuan bezalakoa da, ondorengo bat bakarrik itzultzen ● Beste R aldagarrietarako, ondorengo batzuk (M=max-repetitions) itzultzen diraSNMPv2 59
  60. 60. SNMPv2: GetBulkRequest Adib: Interface-Number 1 Physical-Address 00:00:10:54:32:10 Network-Address 9.2.3.4 Type dynamic 2 00:00:10:01:23:45 10.0.0.51 static 3 00:00:10:98:76:54 10.0.0.15 dynamic ● GetBulkRequest: – [ non-repeaters = 1, max-repetitions = 2 ] – ( sysUpTime, ipNetToMediaPhysAddress, ipNetToMediaType ) ● Response: – sysUpTime.0 = "123456" – ipNetToMediaPhysAddress.1.9.2.3.4 = "000010543210" – ipNetToMediaPhysAddress.2.10.0.0.51= "000010012345" – ipNetToMediaType.1.9.2.3.4= "dynamic" – ipNetToMediaType.2.10.0.0.51= "static"SNMPv2 60
  61. 61. SNMPv2: InformRequest ● Trap antzekoa baina Manager-etik baieztapena behar du. Hau jasotzen ez bada, InformRequest berriro bidaltzen da ● Irizpideak: ● Trafiko eraginkortasuna eta memoria baliabideak: Trap ● Hartzeko segurtasuna: InformRequest http://www.cisco.com/en/US/docs/ios/11_3/feature/guide/snmpinfm.htmlSNMPv2 61
  62. 62. SNMPv3 ● SNMPv2-ri buruzko aldaketak: ● Segurtasuna: – Mezuen osotasuna – Konfidentzialtasuna, paketeak enkriptatuz – Autentizitatea – IP Spoofing: UDP IP spoofing-ekiko (jatorri helbidea aldaketa) ahula da dispositiboak suplantatzeko, eta SNMPv3-k sahiezteko tresnak dauzka ● Framework edo arquitektura berri bat, hedagarria eta SNMPv1 eta SNMPv2-rekin bateragarria ● MIB berriak 1.3.6.1.6 adarreanSNMPv3 62
  63. 63. SNMPv3: Segurtasuna ● Bi segurtasun gaitasun zehazten dira: ● USM (User-based Security Model): – Autentikazio eta konfidentzialtasun (enkriptazio) funtzioak ematen ditu – Mezu mailan dago ● VACM (View-based Acess Control Model): – Ekintza desberdinak egiteko MIB-eko objetuen sarbideko baimena finkatzen du – PDU mailan dagoSNMPv3 63
  64. 64. SNMPv3: Arkitektura ● "SNMP entitate"aren kontzeptua: kudeatzaile, agente edo biak bezala izan daiteke, inplementatzen dituen moduluen arabera ● Bi geruzen araberako eskema: ● Aplikazio bat edo gehiago: goiko geruzak PDU-ak sortzen eta jasotzen ditu ● Motor bat: beheko geruza: – Aplikazio eta beheko geruzetako PDU-etarako bitartekoa da: SNMP bertsioa, protokoloak,... – Segurtasuna kudeatzen du: autentikazioa, enkriptazioa eta sarbideaSNMPv3 64
  65. 65. SNMPv3: Arkitektura Kudeatzaile bakarrik Kudeatzaile eta Agente Agente bakarrik Command generator Comand responder Aplikazioak Notification generator Notification responder Proxy forwarder PDU dispatcher Dispatcher Message dispatcher Transport mapping (UDP,..) Motor Message processing subsystem (v1, v2, v3) Security subsystem Access subsystemSNMPv3 65
  66. 66. SNMPv3: Mezu formatua MsgGlobalData Segurtasun ereduan MsgData = goiburua zehaztuta eta erabilita = ScopedPDU msg msg msg msg msg msg context context PDU Version Id MaxSize Flags SecurityModel SecurityParameters EngineID Name Enkriptazio Igorleak Segurtasun sistemak esparrua erabilitako sortutak 3 eredua Eskaerak eta ● Noiz bidali “Report PDU” Mezua enkriptatuta badagoen SNMP SNMPv2-enak erantzunak ● Autentikazioa erabili bada entitate baten erabiltzen dira koordinatzeko ● ● ... identifikatzaile unibokoa Mezuaren igorleak jasotzen duen mezu neurri handiena (byte-tan)SNMPv3 66
  67. 67. SNMP-rako software ● Inplementazio librearen adibidea: Net-SNMP ● Komandoak: ● snmpget - > GetRequest adib: snmpget -v1 -c public localhost 1.3.6.1.2.1.1.1 ● snmpgetnext, snmpwalk -> GetNextRequest ● snmpset -> SetRequest ● snmptrap -> Trap http://www.net-snmp.org/ http://net-snmp.sourceforge.net/wiki/index.php/FAQSNMP-rako Software 67
  68. 68. SNMP-rako software ● Ubuntu paketeak: ● Agente (snmpd) eta kudeatzaileko (snmp) oinarrizko softwarea ● Lengoaia batzuetarako lotura eta runtime liburutegiak : C, java, php, perl, python, ruby ● Interfazeak: kontsola, kontsola propioa (scli, snimpy), idazmahaiarako applet, bezero grafikoa, web ● Programa espezifikoak: cacti, collectd, FusionInventory, mrtg, munin, nagios, netdisco, netwox, zabbix ● Dispositiboak: AP, Cisco, UPS, ● Besteak: scanner, MIBs downloader, trap-en kudeatzaileak, tresna batzukSNMP-rako Software 68
  69. 69. SNMP-rako software ● MIB browser dohainak Software Lizentzia GUI Plataformak tkmib Askea Tk GNU/Linux SnmpB Askea Qt GNU/Linux, Windows,... mbrowse Askea Gtk GNU/Linux, Windows,... iReasoning Privatiboa Java GNU/Linux, Windows,... MG-SOFT Privatiboa Windows WindowsSNMP-rako Software 69
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×