Snmpv3

1,178 views

Published on

Published in: Education
  • Be the first to comment

  • Be the first to like this

Snmpv3

  1. 1. q Qué es ...u SNMPv3 (Simple Network Management Protocol version 3) Ramón Jesús Millán Tejedor Ingeniero de Telecomunicación en Ericsson EspañaL as actualesincremento teleco-por un constante redes de municación se caracterizan del nú- nagement Protocol), es un protocolo de la capa de aplicación que facilita el intercambio de información de ges-mero, complejidad y heterogenei- tión entre dispositivos de red. Estedad de los recursos que las compo- protocolo es parte del conjunto denen. protocolos TCP/IP (Transmission Los principales problemas rela- Control Protocol/Internet Proto-cionados con la expansión de las re- col) y, por su amplia utilización en re-des son la gestión de su correcto des empresariales, es considerado elfuncionamiento día a día y la plani- estándar de facto en detrimentoficación estratégica de su creci- del protocolo CMIP (Common Ma-miento. De hecho, se estima que más nagement Information Protocol)del 70% del coste de una red cor- de la familia de protocolos OSIporativa está relacionado con su ges- (Open Systems Interconnection), mástión y operación. utilizado en las grandes redes de las Por ello, la gestión de red inte- operadoras de telecomunicación.grada, como conjunto de activida- SNMP permite a los administradores:des dedicadas al control y vigilan- gestionar el rendimiento, encon-cia de recursos bajo el mismo sistema trar y solucionar problemas, y pla-de gestión, se ha convertido en un nificar el crecimiento futuro de la red.aspecto de enorme importancia en Si bien SNMP se diseñó, en unel mundo de las telecomunicacio- principio, con el propósito de hacernes. En efecto, la gestión de red se posible supervisar de forma senci- tagram-Delivery Protocol), y No-suele centralizar en un centro de lla y resolver problemas, en routers vell IPX (Internet Packet Exchan-gestión, donde se controla y vigila y bridges; con su ampliación, este ge).el correcto funcionamiento de to- protocolo puede ser utilizado parados los equipos integrados en las supervisar y controlar: routers, swit- COMPONENTES BÁSICOS DEdistintas redes de la empresa en ches, bridges, hubs, servidores y es- SNMPcuestión. Para ello, el centro de ges- taciones Windows y Unix, servido-tión consta de una serie de méto- res de terminal, etc. Los componentes básicos de unados de gestión, de recursos huma- El protocolo SNMP opera sobre red gestionada con SNMP, son: losnos y de herramientas de apoyo. varios protocolos de transporte, ori- agentes, componentes software que ginalmente y habitualmente sobre se ejecutan en los dispositivos a ges- INTRODUCCIÓN A SNMP UDP (User Datagram Protocol), aun- tionar; y los gestores, componentes que actualmente también soporta, software que se ejecutan en los sis- El protocolo de gestión de red sim- OSI CLNS (ConnectionLess Net- temas de gestión de red. Un siste-ple o SNMP (Simple Network Ma- work Service), AppleTalk DDP (Da- ma puede operar exclusivamente   2003 BIT 139 JUN.-JUL. 45
  2. 2. q Qué es ...ucomo gestor o como agente, o bienpuede desempeñar ambas funcio-nes simultáneamente. Por consi-guiente, el protocolo SNMP tieneuna arquitectura cliente servidordistribuida, como se ilustra en la Fi-gura 1. La parte servidora de SNMP con-siste en un software SNMP gestor,responsable del sondeo de los agen-tes SNMP para la obtención de in- Figura 1: Esquema de una red gestionada con SNMP.formación específica y del envío depeticiones a dichos agentes solici- situación anómala en un recurso eventos, como por ejemplo el fallotando la modificación de un deter- gestionado, los agentes, sin necesi- repentino de una tarjeta del dispo-minado valor relativo a su configu- dad de ser invocados por el gestor, sitivo gestionado.ración. Es decir, son los elementos emiten los denominados eventos o El protocolo SNMP debe tener endel sistema de gestión ubicados en notificaciones que son enviados a cuenta y ajustar posibles incompa-la plataforma de gestión centraliza- un gestor para que el sistema de tibilidades entre los dispositivos ada de red, que interaccionan con los gestión pueda actuar en conse- gestionar. Los diferentes ordena-operadores humanos y desencade- cuencia. dores utilizan distintas técnicas denan las acciones necesarias para lle- El gestor SNMP puede lanzar cual- representación de los datos, lo cualvar a cabo las tareas por ellos invo- quiera de estos tres comandos so- puede comprometer la habilidad decadas o programadas. bre un agente SNMP: SNMP para intercambiar informa- La parte cliente de SNMP con- – Get. Una petición por el valor es- ción entre los dispositivos a gestio-siste en un software SNMP agente pecífico de un objeto en la MIB nar. Para evitar este problema, SNMPy una base de datos con informa- del agente. Este comando es uti- utiliza un subconjunto de ASN.1ción de gestión o MIB. Los agentes lizado por el gestor para monito- (Abstract Syntax Notation One) enSNMP reciben peticiones y repor- rizar los dispositivos a gestionar. la comunicación entre los diversostan información a los gestores SNMP – Get-next. Una petición por un va- sistemas.para la comunidad a la que perte- lor en el siguiente objeto en la La principal ventaja de SNMP pa-necen; siendo una comunidad, un MIB del agente. Este comando es ra los programadores de herra-dominio administrativo de agentes utilizado para obtener cada valor mientas de gestión de red, es su sen-y gestores SNMP. Es decir, son los sucesivo en un subconjunto o ra- cillez frente a la complejidad inherenteelementos del sistema de gestión ma de la MIB. a CMIP. De cara al usuario de di-ubicados en cada uno de los dispo- – Set. Utilizado para cambiar el va- chas herramientas, CMIP resuelvesitivos a gestionar, e invocados por lor de un objeto en la MIB de un la mayor parte de las muchas limi-el gestor de la red. agente, en el caso de que el ob- taciones de SNMP, pero por contra, El principio de funcionamiento jeto tenga habilitada la lectura y consume mayores recursos (alre-reside, por consiguiente, en el in- escritura de su valor. Debido a la dedor de 10 veces más que SNMP),tercambio de información de ges- limitada seguridad de SNMP, la por lo cual es poco utilizado en lastión entre nodos gestores y nodos mayoría de los objetos de la MIB redes de telecomunicación empre-gestionados. Habitualmente, los sólo tienen acceso de lectura. Es- sariales.agentes mantienen en cada dispo- te comando es utilizado por el Puesto que la consulta sistemáti-sitivo gestionado información acer- gestor para controlar los dispo- ca de los gestores, es más habitualca de su estado y su configuración. sitivos a gestionar. que la emisión espontánea de da-El gestor pide al agente, a través del Por otro lado, un agente SNMP tos por parte de los agentes cuan-protocolo SNMP, que realice deter- podría también mandar un mensa- do surgen problemas, SNMP es unminadas operaciones con estos da- je a un gestor SNMP sin el envío protocolo que consume un consi-tos de gestión, gracias a las cuales previo de una solicitud por parte de derable ancho de banda, lo cual li-podrá conocer el estado del recur- éste. Este tipo de mensaje es cono- mita su utilización en entornos deso y podrá influir en su comporta- cido como Trap. Los Traps son ge- red muy extendidos. Esto es unamiento. Cuando se produce alguna neralmente enviados para reportar desventaja de SNMP respecto a46 BIT 139 JUN.-JUL. 2003
  3. 3. CMIP, que puesto que trabaja enmodo conectado en vez de mediantesondeo secuencial, permite optimi-zar el tráfico. SNMP, en su versiónoriginal, tampoco permite transfe-rir eficientemente grandes cantida-des de datos. No obstante, la limitación más im-portante de SNMP es que carece deautentificación, lo cual supone unaalta vulnerabilidad a varias cues-tiones de seguridad, como por ejem-plo: modificación de información, Figura 2: Estructura en árbol de la MIB.alteración de la secuencia de men-sajes, enmascaramiento de la enti-dad emisora, etc. En su versión ori- plataformas comerciales como: Open- toridad sobre los objetos y ramasginal, cada gestor y agente es View de Hewlett Packard (que es el de una MIB.configurado con un nombre de co- producto más representativo con Generalmente, los objetos de lamunidad, que es una cadena de tex- más de un 40% de cuota de merca- MIB son referenciados por un iden-to plano. Los nombres de comuni- do), SunNet de Sun Microsystems, tificador. Por ejemplo, el objeto In-dad, enviados junto a cada comando NetView de IBM, etc. Muchas ve- ternet, se referencia por 1.3.6.1, olanzado por el gestor, sirven como ces, estas plataformas multifrabri- bien iso-ccitt.identified-organiza-un débil mecanismo de autentifica- cante, suelen convivir con otras pla- tion.dod.internet.ción, ya que puesto que el mensaje taformas de gestión de redno está cifrado, es muy sencillo que monofabricante, con el fin de apro- MEJORAS DE SNMPV3un intruso determine cual es dicho vechar al máximo los desarrollosnombre capturando los mensajes propios y particulares de cada pro- Existen tres versiones de SNMP:enviados a través de la red. Cuan- veedor. SNMP versión 1 (SNMPv1), SNMPdo un agente SNMP captura una pe- versión 2 (SNMPv2) y SNMP versióntición SNMP, primero comprueba LA MIB 3 (SNMPv3). SNMPv1 constituye laque la petición que le llega es para primera definición e implementa-la comunidad a la cual pertenece. Una MIB (Management Infor- ción del protocolo SNMP, estandoSolamente en el caso de que el agen- mation Base) es una base de datos descrito en las RFC 1155, 1157 y 1212te pertenezca a dicha comunidad, o jerárquica de objetos y sus valores, del IETF (Internet Engineering Taskbien consulta en la MIB el valor del almacenados en un agente SNMP. Force). El vertiginoso crecimientoobjeto solicitado y envía una res- En la Figura 2, se ilustra la estruc- de SNMP desde su aparición en 1988,puesta al gestor SNMP con dicho tura en árbol de la MIB. puso pronto en evidencia sus debili-valor en el caso de un comando Get, Cada MIB individual es un su- dades, principalmente su imposibi-o bien cambia el valor en el caso de bárbol de la estructura total de MIB lidad de especificar de una forma sen-un comando Set. CMIP, por traba- definida por la ISO (International cilla la transferencia de grandesjar en modo conectado, ofrece una Standards Organization). La RFC bloques de datos y la ausencia de me-mayor seguridad que SNMP. 1156, llamada MIB-I, especifica cier- canismos de seguridad; debilidades Finalmente señalar que, como he- tas informaciones de primer nivel. que tratarían de ser subsanadas enmos visto, SNMP sólo define el pro- La RFC 1158, llamada MIB-II, es más las posteriores definiciones del pro-tocolo para el intercambio de in- exhaustiva. Sin embargo, como es- tocolo.formación de gestión entre el gestor tas especificaciones no permiten SNMPv2 apareció en 1993, es-y el agente y el formato para repre- describir, con la precisión requeri- tando definido en las RFC 1441-1452.sentar la información de gestión o da, todo tipo de agentes, los fabri- SNMPv1 y SNMPv2 tienen muchasMIB. Por ello, para facilitar la ges- cantes de hardware y programa- características en común, siendo latión de red, es conveniente adqui- dores de software están desarrollando principal mejora la introducción derir un gestor de red gráfico multi- MIB propietarias. De esta forma, tres nuevas operaciones de proto-fabricante basado en SNMP, utilizando una organización puede tener au- colo: GetBulk para que el gestor re-   2003 BIT 139 JUN.-JUL. 47
  4. 4. q Qué es ...u temporal razonable que descarte el posible retardo de mensajes y el ata- que mediante mensajes repetidos, se utilizan mecanismos de sincro- nización entre emisor y receptor y el chequeo de la ventana temporal constituida por el momento de emi- sión del mensaje y su momento de recepción. Por otro lado, la facili- dad de privacidad de USM posibi- lita a los gestores y a los agentes en- criptar mensajes para prevenir que sean analizados por intrusos. De nuevo, el gestor y el agente deben compartir una clave secreta confi- gurada previamente. El algoritmocupere de una forma eficiente gran- guridad y administración a ser uti- de encriptación utilizado es el CBCdes bloques de datos, tales como las lizadas en conjunción con SNMPv2 (Cipher Block Chaining) de DEScolumnas de una tabla; Inform pa- (preferiblemente) o SNMPv1. Estas (Data Encryption Standard), cono-ra que un agente envíe información mejoras harán que SNMP se cons- cido también por DES-56.espontánea al gestor y reciba una tituya en un protocolo de gestión El modelo de control de accesoconfirmación; y Report para que el susceptible de ser utilizado con al- basado en vistas o VCAM (Views-agente envíe de forma espontánea tas prestaciones en todo tipo de re- Based Access Control Model) per-excepciones y errores de protoco- des, desplazando a medio plazo a mite proporcionar diferentes nive-lo. SNMPv2 también incorpora un CMIP como estándar de gestión de les de acceso a las MIB de los agentesconjunto mayor de códigos de error las grandes redes de las operado- para los distintos gestores en SNMPv3.y más colecciones de datos. En 1995 ras de telecomunicación. Un agente puede, de este modo, res-apareció una revisión de SNMPv2, El modelo de seguridad basado tringir el acceso de ciertos gestoresdenominada SNMPv2c y descrita en usuario o USM (User-Based Se- a parte de su MIB o bien limitar lasen las RFC 1901-1910, añadiendo curity Model) proporciona los ser- operaciones susceptibles de reali-como mejoras una configuración vicios de autentificación y privaci- zar por ciertos gestores sobre unamás sencilla y una mayor modula- dad en SNMPv3. El mecanismo de parte de su MIB. La política de con-ridad; pero manteniendo el senci- autentificación en USM asegura que trol de acceso a ser utilizada por elllo e inseguro mecanismo de au- un mensaje recibido fue, de hecho, agente para cada gestor debe estartentificación de SNMPv1 y SNMPv2 trasmitido por la entidad indicada configurada previamente; consis-basado en la correspondencia del en el campo correspondiente a la tiendo básicamente en una tabla quedenominado nombre de comuni- fuente en la cabecera del mensaje; detalla los privilegios de acceso pa-dad. y además, que el mensaje no fue al- ra los distintos gestores autoriza- La nueva y última versión de SNMP, terado durante su tránsito y que no dos. Mientras que la autentificaciónSNMPv3, refuerza las prestaciones fue artificialmente retardado o re- es realizada por usuario, el controlde seguridad, incluyendo autentifi- petido. Para conseguir la autentifi- de acceso es realizado por grupos,cación, privacidad y control de ac- cación, el gestor y el agente que de- donde un grupo podría ser un con-ceso; y de administración de proto- sean comunicarse deben compartir junto de usuarios.colo, con una mayor modularidad la misma clave de autentificación Finalmente, y para los lectoresy la posibilidad de configuración re- secreta configurada previamente que deseen conocer conocer en másmota. SNMPv3 apareció en 1997, es- fuera de SNMPv3 (no es almacena- profundidad este importante pro-tando descrito en las RFC 1902-1908 da en la MIB y no es accesible me- tocolo de gestión de red, se reco-y 2271-2275. Cabe destacar que diante SNMP). El protocolo de au- mienda la dirección de InternetSNMPv3 no se trata de un estándar tentificación utilizado puede ser el http://www.snmplink.org/; que ofreceque reemplaza a SNMPv1 y/o HMAC-MD5-96 o el HMAC-SHA- gratuitamente una gran cantidad deSNMPv2, sino que define una serie 96. Para asegurarse de que los men- información y utilidades relaciona-de capacidades adicionales de se- sajes llegan dentro de una ventana das con SNMPv3.48 BIT 139 JUN.-JUL. 2003

×