Your SlideShare is downloading. ×
Sareen kudeaketa, SNMP eta RMON
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Saving this for later?

Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime - even offline.

Text the download link to your phone

Standard text messaging rates apply

Sareen kudeaketa, SNMP eta RMON

436
views

Published on

Published in: Technology

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
436
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
5
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Sareen kudeaketa, SNMP eta RMONSare eta Zerbitzuak IIBilboko IGET/TelematikaDani Gutiérrez Porset2011ko Azaroa
  • 2. Dokumentu honi buruz● Erabilpen lizentzia http://creativecommons.org/licenses/by-sa/3.0/● Erabilitako edukierak: ● Atalako argazkia: The Opte Project (cc by-nc-sa 1.0) ● Logotipoak bere jabeen jabetasuna ● Liburua: "SNMP, SNMPv2, SNMPv3, and RMON 1 and 2" - William Stallings – Ed. Addison Wesley ● Marivi Higuero Aperribairen apunteak http://opte.org/maps/ 2
  • 3. Aurkibidea● Sarrera● Sareen kudeaketa● SNMP● SNMPv1● RMON● Secure SNMP● SNMPv2● SNMPv3● SNMP-rako Software 3
  • 4. PDCA Metodologia Plangintza Plan Act Do Kontrola Konfigurazioa Check Monitorizazioa Gainbegiratzea http://en.wikipedia.org/wiki/PDCASarrera 4
  • 5. Ekintzak eta Neurriak Erreaktiboak Proaktiboak ● Detekzioa ● Aurresana ● Zuzenketa ● Prebentzioa ● Kausen ezagutza ● HobespenaSarrera 5
  • 6. Hasiera-egoera ● Sarearen nodoak kudeatzeko beharra ● Aniztasuna: ● Sareak ● Dispositiboak ● Fabrikatzaileak: protokoloak eta formatuakSareen kudeaketa 6
  • 7. Zer da sare bat kudeatzea ● Eragiketak: ● Monitorizazioa ● Software / firmware-ren klonaketa / instalazioa ● Software / firmware-ren eguneraketa / partxeoa ● Konfigurazioa ● Hardware / software-ren zerrenda ● Kalitatea eta Segurtasuna ● Hori guztia era automatiko, urrutiko, masibo, seguru bateanSareen kudeaketa 7
  • 8. OSI Sarearen kudeaketa eredua ● FCAPS eredua: ● Fault: identifikatu, isolatu, zuzendu, erregistratu ● Configuration: bildu, bidali, aldaketak erregistratu ● Accounting: baliabideen estatistikak, erabiltzaileen eta baimenen administrazioa ● Performance: erabilpen eta erabilgarritasunaren %, akats tasa, erantzun denborak ● Security: autentifikazioa, konfidentzialtasuna, baimenak http://en.wikipedia.org/wiki/FCAPS http://en.wikipedia.org/wiki/Network_management_modelSareen kudeaketa 8
  • 9. Nodoen sailkapena ● Gaitasun eta adimenaren arabera: Prozesaketa Sarea Periferikoak MixSareen kudeaketa 9
  • 10. Irtenbidea ● Estandarren bidezko interoperabilitatea ● Informazio osagaiak: ● Esanahia = semantika ● Irudikapena = Lexikoa, sintaxia: formatuak ● Trukea: komunikazio protokoloak ● "De facto" vs "de iure" estandarrakSareen kudeaketa 10
  • 11. Kudeaketako protokolo estandarrak ● CMIP (Common Management Information Protocol) eta CMOT (CMIP Over TCP/IP): ● OSI/ISO ● Konplexuak eta gutxitan erabilitakoak ● SNMP (Simple Network Management Protocol): Kontrola eta monitorizazioa ● RMON (Remote Monitor): Monitorizazioa http://en.wikipedia.org/wiki/Common_management_information_protocolSareen kudeaketa 11
  • 12. Kudeaketarako Software Monitorizazioa http://en.wikipedia.org/wiki/Network_monitoring_comparison http://en.wikipedia.org/wiki/Comparison_of_disk_cloning_software http://en.wikipedia.org/wiki/Comparison_of_open_source_configuration_management_software http://www.linuxjournal.com/content/readers-choice-awards-2010Sareen kudeaketa 12
  • 13. SNMP-rik gabeko monitorizaziorako software ● Nodoetan software instalazioa beharrezkoa da ● Tresnak: ● Ekipo gutxi badira, giza interfazea. Adib. web ● Ekipo asko badira, automatikoki: – "Eskuz": script-ak, cron,... – Produktuak: ● Sarea: nagios, mon, sysmon, ntop,... ● Logak: logwatch, oak,... http://www.nagios.org/ https://mon.wiki.kernel.org/ http://www.sysmon.com/ http://www.ntop.org/ http://sourceforge.net/projects/logwatch/ http://www.ktools.org/Sareen kudeaketa 13
  • 14. SNMP Simple Network Management Protocol v1: Bakarrik 5 komando v2, v3: 7 komando Helmena: Monitorizazioa eta Kontrola sare zentralizatutak edo banatutak TCP/IP ereduan, IETF-ren RFC-en bidez finkatuta Baina SNMP ez da perfektua! http://en.wikipedia.org/wiki/SnmpSNMP 14
  • 15. Historia eta Bertsioak 1988 SNMPv1 RMON 1992 Secure SNMP 1993 SNMPv2 SNMPv2c SNMPv2u SNMPv2* 1998 SNMPv3 Gaurko estandarra da (SNMPv1, SNMPv2 zaharrak dira)SNMP 15
  • 16. Espezifikazioaren osagaiak ● Nodo motak: ● Nodo kudeatzailea edo estazioa, NMS (Network Management System) softwarez ● Software agenteren bidez kudeatutako nodoa ● Protokoloa ● Datuak: ● SMI (Structure of Management Information) ● MIB (Management Information Base)SNMP 16
  • 17. Nodoen sailkapena ● Kudeaketa funtzioaren arabera: ● Nodo kudeatzaileak ● Agenteen bidezko kudeaturiko nodoak ● Proxy nodoakSareen kudeaketa 17
  • 18. Nodo motak: NMS eta Agentea NMS (Network management system) Kudeaturiko dispositiboa MIB MIB Prozesu Prozesu Prozesu Kudeatzailea Agentea ... SNMP SNMP ... UDP UDP TCP IPv4, IPv6 IPv4, IPv6 ● Kudeaturiko nodoekin komunikazioa ● Erabiltzaile interfazea funzionalitate gehigarriekin ● MIB = kudeaturiko nodoen MIB-en batuketaSNMP 18
  • 19. Nodo motak: Proxy Proxy Agentea SNMP hitz egiten ez duen kudeaturiko dispositiboa Agente Proxy XXX Prozesua Prozesua Prozesua SNMP YYY Protokoloa YYY Protokoloa UDP IPv4, IPv6SNMP 19
  • 20. Protokoloa: SNMP TCP/IP ereduan OSI/ISO TCP/IP 7. Aplikazioa 4. Aplikazioa SNMP ASN.1 6. Aurkezpena 5. Saioa 3. Garraioa UDP UDP: 4. Garraioa ● TCP baino trafiko gutxiago ● Ez da fidagarria, baina 3. Sarea baieztapenak Aplikazio geruzan bidaltzen dira 2. Lotura 1. Fisikoa Beste SNMP-ren azpiko protokoloak: ● OSI Connectionless Network Service ● AppleTalk Datagram-Delivery Protocol (DDP) ● Novell IPX http://en.wikipedia.org/wiki/OSI_model ● TCP ere http://en.wikipedia.org/wiki/TCP/IP_modelSNMP 20
  • 21. Protokoloa: Eragiketak eta Primitibak Irakurketa Idazkera Informazioa eskaera eskaera bidalketa GetRequest Sinkronoak GetNextRequest SetRequest Response GetBulkRequest Trap Asinkronoak InformRequest SNMPv2 SNMPv1-ean GetResponse zen KudeatzailetikAgentera Agentetik Kudeatzailera SNMPv2-an Bi noranzkoetan agente batetik bestera joan daitekeSNMP 21
  • 22. Protokoloa: Polling vs Trap ● Polling = Galdeketa ● Trap = Jakinarazpenak, Etenaldiak ● Irizpideak: ● Informazio periodikoa ● Trafikoren eraginkortasunaSNMP 22
  • 23. Protokoloa: Fluxuak eta Atakak ● GetRequest ● SetRequest ● GetNextRequest ● GetBulkRequest .../UDP Response ● 161/UDP Kudeatzailea Agentea ● Trap 162/UDP ● InformRequests .../UDPSNMP 23
  • 24. Protokoloa: segurtasuna ● M:N Erlazioa, agente eta hauei ekiten dieten kudeatzaileak ● Segurtasun aspektuak: ● Autentifikazioa: nor da kudeatzailea, eta nola egiaztatu ● Sarbidea: objetuen baimenak kudeatzaile bakoitzarentzat ● Proxy-ak: proxy baten bidez kudeatutako sistemen politiken implementazioaSNMP 24
  • 25. Protokoloa: segurtasuna ● Bertsio guztietan eragiten duten erasoak: ● Indar basatiaren bidez (hiztegia), zeren eta ez dute erronka-erantzuna metodorik ● Zerbitzu ukapena ● Fabrikatzaile batzuk ez dute idazketako baimenarik ematen, segurtasun txarragatik SNMPv3 izan ezik, edo bere dispositiboak SNMP-ren bidez konfiguragarriak ez direlakoSNMP 25
  • 26. SMI ● Egitura hierarkiko (zuhaitza) baten arabera objetuak irudikatzeko eskema hedagarri bat ematen du ● Bertsioak: SMIv1, SMIv2 ● Notazioa: ASN.1-en azpimultzoa. Adib: internet OBJECT IDENTIFIER ::= { iso org(3) dod(6) 1 } http://en.wikipedia.org/wiki/Structure_of_Management_InformationSNMP 26
  • 27. SMI-ren osagaiak ● Datubase egituraren eta MIB bakoitzaren zehazpena ● Objetu, Modulu eta jakinarazpeen (traps) definizioak: motak, izenak, sintaxia, MIBak eraikitzeko arauak,... ● BER-en arabera kodifikazioaSNMP 27
  • 28. ASN.1 ● Metahizkuntza edo Notazia hauekin: ● Sintaxia, adib. Esleipenak: A ::= B Oharrak: -- zer astuna den ikasgai hau ● Edukierak binariora kodifikatzeko arauak, BER-en arabera ● Programa bat iturritik binariora konpilatzea antzekoa http://en.wikipedia.org/wiki/Abstract_Syntax_Notation_One http://en.wikipedia.org/wiki/Basic_Encoding_Rules http://asn1.org/SNMP 28
  • 29. SMI zuhaitza Ez dago nodo erroa ordena ● directory: etorkizunerako erabilpena OSI (X.500) direktorioetarako ● management: IAB-n objetu onartuetarako azpizuhaitza ● experimental: frogetarakoa ● private: fabrikatzaile espezifikoetarakoaSNMP 29
  • 30. SMI-ko objetuak ● Zuhaitzako nodoak: Objetuak=nodo edo kudeatzeko dispositiboa, eta bere ezaugarriak/bailabideak Adib: Router, bere TCP konexioen taularekin ● Nodo bakoiza bere seme-alabekin talde bat bezala ikus daiteke ● SNMP protokoloa: ● Ezin du zuhaitzako egitura aldatu ● Bakarrik nodo-hostoak kudea ditzakeSNMP 30
  • 31. SMI-ko objetuen sintaxia ● Identifikazioa eta beste objetuekiko erlazioa ● Balio mota: ● Erraztasuna eta interoperabilitatearen alde, bakarrik eskalarrak eta taulak daude; ez dago beste azpiegitura konplexuagorik ● SNMP-k bakarrik tipo eskalarrak irakur/idatz ditzake ● Era posibleak (CHOICE) ● Tartea, adib. SYNTAX INTEGER (0..65535) ● Sarbide baimenak (read-only, read-write,...) eta derrigortzea (mandatory, optional) ● DeskribapenaSNMP 31
  • 32. SMI-ko objetuen identifikazioa ● Identifikadore bakarra: ● OBJECT IDENTIFIER tipoa, ASN.1-n ● Puntuen bidez banandutatako zenbaki osoen sekuentzia; zenbaki oso bakoitzak bere adarraren nodoak adierazten ditu ● Noizbehin, dagozkion izenen sekuentzia Adib. 1.3.6.1.2.1.4 iso.org.dod.internet.mgmt.mib_2.ip http://www.faqs.org/rfcs/rfc1902.htmlSNMP 32
  • 33. SMI-ko objetu mota ● Eskalarrak: ● 4 Univertsalak: – INTEGER: -231-tik 231-1-etara – OCTET STRING: 0-tik 65535 byte-etara – OBJECT IDENTIFIER – NULL ● Beste tipo bereziak aurrekoetan oinarrituta, APPLICATION klasera elkartutak. ● SMIv2-tan tipo gehiago daude http://www.faqs.org/rfcs/rfc2012.htmlSNMP 33
  • 34. SMI-ko objetu mota ● APPLICATION klaserekin lotutako objetuak: ● NetworkAddress: bakarrik IpAddress dago zehaztuta ● IpAddress: 32 bit helbidea ● Counter: 0-tik a 232-1-etara (4.294.967.295). Balorea bakarrik handi daiteke ● Gauge: 0-tik to 232-1-etara. Balorea handi edo txiki daiteke ● TimeTicks: segundo-ehunenak, aro batetik ● Opaque: edozein datu edozein formatutan, OCTET STRING bezala kodifikatuta http://www.faqs.org/rfcs/rfc1155.htmlSNMP 34
  • 35. SMI-ko objetu mota ● Array bidimentsionalak (= taulak) hauen bidez: ● SEQUENCE-OF: elementu guztiak mota berdinekoak ● SEQUENCE: elementuak mota berdinekoak edo ez ● INDEX hitza lerroak bereizteko. Adib: tcpConnTable taula tcpConnState tcpConnLocalAddress tcpConnLocalPort tcpConnRemAddress tcpConnRemPort listen(2) 0.0.0.0 21 0.0.0.0 0 listen(2) 0.0.0.0 22 0.0.0.0 0 listen(2) 0.0.0.0 25 0.0.0.0 0 listen(2) 0.0.0.0 80 0.0.0.0 0 established(5) 127.0.0.1 1031 127.0.0.1 1030 established(5) 127.0.0.1 1032 127.0.0.1 1033 http://www.faqs.org/rfcs/rfc2012.htmlSNMP 35
  • 36. SMI-ko objetuen definizioa ● Mailak: ● Makroren definizioa, ej. OBJECT-TYPE ● Makro instantzia, tipoak zehazteko, adib. tcpMaxConn tipoa definizioa OBJECT-TYPE makroren bidez ● Makro instantziaren balorea, entitate baten baloreak adierazteko adib. tcpMaxConn balorea, TCP konexio konkretu batean http://www.faqs.org/rfcs/rfc1212.html http://www.faqs.org/rfcs/rfc2012.htmlSNMP 36
  • 37. SMI-ko Moduluak ● Erlazionatutako zehazpen taldeak adierazten dituzte ● Motak: ● MIB Moduluak, erlazionatutako objetuak definitzeko ● Adostasuneko sententziak, standard bat bete behar diren objetu taldeak ● Gaitasunetako sententziak, agente baten gaitasunak ezagutarazten dizkioten kudeatzaile batiSNMP 37
  • 38. SMI eta ASN.1-ri buruzko software ● Adib. implementazioa: libsmi Debian-en eta deribatuetan: apt-cache search libsmi apt-cache search ASN.1SNMP 38
  • 39. MIB-ak ● Erabilpen konkretuetarako SMI-ren adarrak ● SMI eta MIB-en arteko desberdintasunak: ● SMI = zehazteko eskema + zuhaitz orokorra ● MIBs = azpi-zuhaitz espezifikoak (semantika+lexikoa), zuhaitz orokorraren barruan http://en.wikipedia.org/wiki/Management_information_baseSNMP 39
  • 40. MIB motak ● Estandarrak: IETF edo IEEE-k mantenduta. Adib: ● MIB-2: TCP/IP dispositiboen kudeaketa ● TCP-MIB: TCP-rako espezifikoa ● Ethernet-MIB ● Pribatuak (interoperabilitatea gutxitzen dute): ● Fabrikatzaileak NMS-rako testu edo deskribapen formala ematen du ● Arazoa: 3 bertsio; nagusia: RFC 1212 http://en.wikipedia.org/wiki/Management_information_baseSNMP 40
  • 41. MIB-en adibideak ● Debian paketea snmp-mibs-downloader ● Direktorioak: ● IANA MIB-ak : /var/lib/mibs/iana ● IETF MIB-ak: /var/lib/mibs/ietf ● RFC-ak: /usr/share/doc/mibrfcsSNMP 41
  • 42. MIB-2 ● TCP/IP dispositiboen kudeaketa ● 1.3.6.1.2.1 = iso.org.dod.internet.mgmt.mib_2 ● 10 nodo = taldeak system(1) interfaces(2) at (3) Zaharra; MIB-1-ekin konpatibilizatzeko mantenduta ip (4) icmp (5) tcp (6) udp (7) egp (8) Exterior Gateway Protocol (zaharra) transmission (10) Lotura geruzaren datuak snmp (11) http://en.wikipedia.org/wiki/Exterior_Gateway_ProtocolSNMP 42
  • 43. MIB-2-ko objetuen baldintzak ● Erroreak edo konfigurazioa kudeatzeko premiazkoa izatea ● Kontrol objetu bat bada, "ez arriskutsua" izatea ● Erabiltzeko ebidentzia ● Erredundantziak sahiesteko, beste objetuetatik deribatutako objetuak ez sartu ● Objetu espezifikoak baztertu, adib. BSD UNIX- erakoak ● Kontrol askorekiko kode sekzio kritikoak sahiestu (bakarrik kontadore 1)SNMP 43
  • 44. SNMPv1: PDU-ak IP header UDP header SNMP data SNMP header SNMP PDU version community ● bertsio: 1 ● community: segurtasunerakoa GetRequest, GetNextRequest, SetRequest PDU type request-id 0 0 variable-bindings GetResponse PDU type request-id error-status error-index variable-bindings Trap PDU type enterprise agent-addr generic-trap specific-trap time-stamp variable-bindings izen1 balore1 izen2 balore2 ... izenN baloreNSNMPv1 44
  • 45. SNMPv1: PDU-ak ● request-id: eskaerak eta erantzunak korrelatzeko; bietan balore berdina erabiltzen da ● error-status, error-index: akatsen kudeaketa ● Jakinarazpena: ● enterprise: sortzen duen objetu mota, sysObjectID-en arabera ● agent-addr: sortzen duen objetuaren helbidea ● generic-trap, specific-trap: motak eta kodeak ● time-stamp: azken sare hasierapenatik; sysUpTime daukaSNMPv1 45
  • 46. SNMPv1: PDU-ak ● Operazioak: ● Irakurketarako PDU-en (GetRequest, GetNextRequest, Trap) bidezko monitorizazioa ● Idazketarako PDU-en (SetRequest) bidezko kontrola. Objetu espezifiko batzuen baloreak aldatuz, komandoak exekutatzen dituSNMPv1 46
  • 47. SNMPv1: PDU-ak ● GetRequest, GetNextRequest eta SetRequest: ● GetResponse-ren bidez baieztatzen dira ● Aldagarri bat baino gehiagotan jardun dezakete ● Eragiketa atomikoak dira: aldagarriren batean txarto egiten badute, ez dute beste inon jarduten ● Trap: ez da GetResponse-ren bidez baieztatzenSNMPv1 47
  • 48. SNMPv1: PDU-ak ● GetNextRequest: ● Aldagarri bakoitzarako hurrengo nodo-hostoa lortzen du, orden lexikografikoan ● MIB egitura aurki daiteke dinamikokiSNMPv1 48
  • 49. SNMPv1: Segurtasuna ● "Komunitateak" kontzeptua: agenteak eta hauen gainean lan egiten duten kudeatzaile multzoak ● Segurtasun aspektuak: ● Komunitatearen izenean onarritutako autentikazioa. Partekatzen den testu argian dagoen password bat da, normalean "public" edo "private". Oso eskema pobrea. ● Bistetan (MIB view) eta moduetan (ACCESS MODE adib. Read-only) oinarritutako sarbidea ● Biak konbinatzen dira "community profile" bateanSNMPv1 49
  • 50. RMON ● Remote Monitor sare informazioa monitorizatzeko agenteetarako MIB espezifikoa ● Errendimendu handiagoa sarea (versus dispositiboak) monitorizatzeagatik, adib: Konektibitate faltak edo kongestioaren jakinarazpenak RMON daukaten dispositiboei delegatzea (bestela, dispositibo guztiak jakinarazpenak bidaliko lituzkete) http://en.wikipedia.org/wiki/Remote_monitoringRMON 50
  • 51. RMON ● Agentera software batean datza: ● Dispositibo (dedikatu edo ez) batean exekutatzen da, zunda ("probe") deituta. Adib. Switch batean ● Modo promiskuoan funzionatzen da, paketeak harrapatzen ● Ohizko erabilpena: RMON agente bat sare segmentu bakoitzean ● Begiratu MIB-ak eta RFC-ak wikipedian http://en.wikipedia.org/wiki/Remote_monitoringRMON 51
  • 52. RMON ● Operazioak: ● Datu taulen bidezko monitorizazioa: – Trafiko txostenak eta akatsen estatistikak – Gerorako analisietarako paketeak bilketa ● Kontrol tauletako lerroen bidez konfigurazioa ● Ekintzak objetuen bidez martxan jarri dira. Objetuak komandoak adierazten dute, eta egoera aldatzen bada martxan jartzen dira ● Polling baino gehiago, jakinarazpenak erabiltzen diraRMON 52
  • 53. RMON: MIB-ak ● RMON-erako MIB identifikatzailea: iso.org.dod.internet.mgmt.mib-2.rmon 1.3.6.1.2.1.16 ● Bertsioak: ● RMON1: lotura eta geruza fisikoekin lotuta, bere MIB-ak 10 objetu talde bereizten ditu: estatistikak, alarmak, iragazkiak, gertaerak,... ● RMON2: sare eta goiko geruzekin lotuta, bere MIB- ak beste 10 objetu talde zehazten ditu ● Bi kasuetan dispositiboak ez ditu objetu guztiak inplementatzenRMON 53
  • 54. RMON: sarbide konkurrentea ● Arazoak egon daitezke kudeatzaile asko batera sartzen direnean: ● Monitorearen gaitasuna gainditzen da ● Monitorearen bailabideak okupatuta/blokeatuta denbora luze, barruko akats batengatik edo kanpoko kudeatzaile batengatikRMON 54
  • 55. RMON: sarbide konkurrentea ● Ebazpena: "jabetasun etiketa" zutabea kontrol tauletan: ● Bere jabea adierazten du ● Read-write jabearentzat, Read-only besteentzat ● Nodo kudeatzaile batek bere jabea zehazten du, eta askapena berarekin negozia dezake ● Operadore batek askapen aldebakarra egin dezakeRMON 55
  • 56. Secure SNMP ● Autentikazioa eta enkriptazioa ematen du ● Ez da SNMPv1-rekin bateragarria, goiburuaren formatua aldatzen delako: IP header UDP header SNMP data SNMP header SNMP PDU privDst authInfo dstParty srcParty SNMP PDU Enkriptatuta egon daiteke Authentication Info http://tools.ietf.org/html/rfc1351Secure SNMP 56
  • 57. SNMPv2 ● SNMPv1-i buruzko aldaketak: ● Sare banatuekin erlazionatuta, managerren arteko komunikazioari esker (RMON bezalako ideia) ● Trafiko eraginkortasun handiagoa balore anitzak lortzeko mezuen bidez ● Segurtasun hobea S-SNMP-etan oinarrituta, baina oso konplexua izateagatik ez zen onartu: SNMPv2 vs SNMPv2c (c=community) ● SMIv2 sortzen da, eta MIB berri bat: 1.3.6.1.6 ● Tauletan lerroak sortu eta ezabatu ahal dira ● Ez da SNMPv1-rekin konpatiblea, baina proxyak eta ingurune dualak erabil daitezkeSNMPv2 57
  • 58. SNMPv2: Protokoloa ● SNMPv1-i buruzko aldaketak: ● Mezuen goiburuak Secure SNMP-en bezala ● PDU-ak: – Berriak: GetBulkRequest, InformRequest – GetResponse aldatuta: Response – Trap egitura aldatuta. Berdinak: GetRequest, GetNextRequest, SetRequest, Trap, InformRequest: PDU type request-id 0 0 variable-bindings – GetRequest, GetNextRequest eta SetRequest ez dira atomikoak, mezuaren aldagarri batzuetan (eta ez guztietan) jardun dezakete ● NMS-en artean trafiko jakinarazpenak daudeSNMPv2 58
  • 59. SNMPv2: GetBulkRequest ● Datu kopuru handia lortzeko trukeak txikiagotzeko erabiltzen da ● PDU: N M N+R aldagarriak PDU type request-id non-repeaters max-repetitions variable-bindings ● Lehenengo N (non-repeaters) aldagarrietarako GetNextRequest PDU kasuan bezalakoa da, ondorengo bat bakarrik itzultzen ● Beste R aldagarrietarako, ondorengo batzuk (M=max-repetitions) itzultzen diraSNMPv2 59
  • 60. SNMPv2: GetBulkRequest Adib: Interface-Number 1 Physical-Address 00:00:10:54:32:10 Network-Address 9.2.3.4 Type dynamic 2 00:00:10:01:23:45 10.0.0.51 static 3 00:00:10:98:76:54 10.0.0.15 dynamic ● GetBulkRequest: – [ non-repeaters = 1, max-repetitions = 2 ] – ( sysUpTime, ipNetToMediaPhysAddress, ipNetToMediaType ) ● Response: – sysUpTime.0 = "123456" – ipNetToMediaPhysAddress.1.9.2.3.4 = "000010543210" – ipNetToMediaPhysAddress.2.10.0.0.51= "000010012345" – ipNetToMediaType.1.9.2.3.4= "dynamic" – ipNetToMediaType.2.10.0.0.51= "static"SNMPv2 60
  • 61. SNMPv2: InformRequest ● Trap antzekoa baina Manager-etik baieztapena behar du. Hau jasotzen ez bada, InformRequest berriro bidaltzen da ● Irizpideak: ● Trafiko eraginkortasuna eta memoria baliabideak: Trap ● Hartzeko segurtasuna: InformRequest http://www.cisco.com/en/US/docs/ios/11_3/feature/guide/snmpinfm.htmlSNMPv2 61
  • 62. SNMPv3 ● SNMPv2-ri buruzko aldaketak: ● Segurtasuna: – Mezuen osotasuna – Konfidentzialtasuna, paketeak enkriptatuz – Autentizitatea – IP Spoofing: UDP IP spoofing-ekiko (jatorri helbidea aldaketa) ahula da dispositiboak suplantatzeko, eta SNMPv3-k sahiezteko tresnak dauzka ● Framework edo arquitektura berri bat, hedagarria eta SNMPv1 eta SNMPv2-rekin bateragarria ● MIB berriak 1.3.6.1.6 adarreanSNMPv3 62
  • 63. SNMPv3: Segurtasuna ● Bi segurtasun gaitasun zehazten dira: ● USM (User-based Security Model): – Autentikazio eta konfidentzialtasun (enkriptazio) funtzioak ematen ditu – Mezu mailan dago ● VACM (View-based Acess Control Model): – Ekintza desberdinak egiteko MIB-eko objetuen sarbideko baimena finkatzen du – PDU mailan dagoSNMPv3 63
  • 64. SNMPv3: Arkitektura ● "SNMP entitate"aren kontzeptua: kudeatzaile, agente edo biak bezala izan daiteke, inplementatzen dituen moduluen arabera ● Bi geruzen araberako eskema: ● Aplikazio bat edo gehiago: goiko geruzak PDU-ak sortzen eta jasotzen ditu ● Motor bat: beheko geruza: – Aplikazio eta beheko geruzetako PDU-etarako bitartekoa da: SNMP bertsioa, protokoloak,... – Segurtasuna kudeatzen du: autentikazioa, enkriptazioa eta sarbideaSNMPv3 64
  • 65. SNMPv3: Arkitektura Kudeatzaile bakarrik Kudeatzaile eta Agente Agente bakarrik Command generator Comand responder Aplikazioak Notification generator Notification responder Proxy forwarder PDU dispatcher Dispatcher Message dispatcher Transport mapping (UDP,..) Motor Message processing subsystem (v1, v2, v3) Security subsystem Access subsystemSNMPv3 65
  • 66. SNMPv3: Mezu formatua MsgGlobalData Segurtasun ereduan MsgData = goiburua zehaztuta eta erabilita = ScopedPDU msg msg msg msg msg msg context context PDU Version Id MaxSize Flags SecurityModel SecurityParameters EngineID Name Enkriptazio Igorleak Segurtasun sistemak esparrua erabilitako sortutak 3 eredua Eskaerak eta ● Noiz bidali “Report PDU” Mezua enkriptatuta badagoen SNMP SNMPv2-enak erantzunak ● Autentikazioa erabili bada entitate baten erabiltzen dira koordinatzeko ● ● ... identifikatzaile unibokoa Mezuaren igorleak jasotzen duen mezu neurri handiena (byte-tan)SNMPv3 66
  • 67. SNMP-rako software ● Inplementazio librearen adibidea: Net-SNMP ● Komandoak: ● snmpget - > GetRequest adib: snmpget -v1 -c public localhost 1.3.6.1.2.1.1.1 ● snmpgetnext, snmpwalk -> GetNextRequest ● snmpset -> SetRequest ● snmptrap -> Trap http://www.net-snmp.org/ http://net-snmp.sourceforge.net/wiki/index.php/FAQSNMP-rako Software 67
  • 68. SNMP-rako software ● Ubuntu paketeak: ● Agente (snmpd) eta kudeatzaileko (snmp) oinarrizko softwarea ● Lengoaia batzuetarako lotura eta runtime liburutegiak : C, java, php, perl, python, ruby ● Interfazeak: kontsola, kontsola propioa (scli, snimpy), idazmahaiarako applet, bezero grafikoa, web ● Programa espezifikoak: cacti, collectd, FusionInventory, mrtg, munin, nagios, netdisco, netwox, zabbix ● Dispositiboak: AP, Cisco, UPS, ● Besteak: scanner, MIBs downloader, trap-en kudeatzaileak, tresna batzukSNMP-rako Software 68
  • 69. SNMP-rako software ● MIB browser dohainak Software Lizentzia GUI Plataformak tkmib Askea Tk GNU/Linux SnmpB Askea Qt GNU/Linux, Windows,... mbrowse Askea Gtk GNU/Linux, Windows,... iReasoning Privatiboa Java GNU/Linux, Windows,... MG-SOFT Privatiboa Windows WindowsSNMP-rako Software 69