Você está na página 1de 22

Universidade scar Ribas 4 Ano de Engenharia Informtica Prof.

Artur Moreira







Apostila de Gesto Inteligente de Redes e Servios








4 Ano de Engenharia Informtica e Telecomunicaes
Prof. Artur Moreira

Prof. Artur Moreira

2
1 - Gerenciamento de Redes
1.1 Introduo
Promessa em gerncia de redes
Os sistemas de rede comerciais existentes actualmente esto se tornar extremamente complexos.
Partindo de algumas poucas redes locais isoladas, esses sistemas se expandiram em LAN's que operam ao
longo de corporaes inteiras. Roteadores conectam LAN's escritrios remotos e redes de alcance mundial
se tornam cada vez mais presentes. Monitorar e fazer manuteno desses sistemas, para no mencionar
problemas isolados, pode ser um desafio. Sistemas de gerenciamento de redes fornecem uma soluo para
estas questes. Esses sistemas permitem que nos tornemos activos, e no somente passivos, no processo de
planeamento e implementao da rede.
Aplicaes de gerenciamento de redes
Devido intensa presso colocada sobre os administradores de rede para que estabeleam um grau
de controlo sobre a vasta quantidade de produtos LAN to heterogneos que florescem nos sistemas de
computao actuais, os sistemas de gerenciamento de rede passaram a merecer uma considerao maior.
Essa compreenso veio rpida para alguns, mas para grande parte a pergunta que permanece "Ser que
realmente preciso de gerenciamento de rede?". Para respond-la, vamos observar o grau de funcionalidade
que o gerenciamento da rede vai nos trazer.
Sistemas de gerenciamento de rede empregam um software que controla e administra sua rede de
uma simples estao de trabalho. Alguns sistemas so extremamente simples : eles usam um sistema bsico
e so fceis de operar. O problema com a simplicidade que, as vezes, determinados aspectos da rede
podem ser sacrificados. Portanto, importante considerar funcionalidade, ergonometria e interoperabilidade
ao se avaliar um sistema de gerenciamento de rede.
1.2 Funcionalidade, Ergonometria, Interoperabilidade
Funcionalidade
Qual o principal problema em redes? Seria defeitos em cabeamentos estruturados? Controle? Segurana?
Mau funcionamento de hardware? Alocao de recursos?
A resposta tudo o que est acima. O problema com as redes que existem enormes falhas, pouco
controle, segurana que pode ser facilmente quebrada, mau funcionamento de hardware por todo lugar e
conexes que no funcionam correctamente. Um sistema de gerenciamento de redes com a funcionalidade
certa pode ajudar a controlar todos esses problemas. A seguir esto as seis reas de funcionalidade a se
considerar ao se projectar um sistema de gerenciamento de rede.
1. Falhas em cabeamento estruturado O gerenciamento de rede pode nos ajudar a identificar falhas em
conexes e colapsos em sistemas amplos de comunicao. Atravs da rpida identificao e isolamento
dessas falhas, a resoluo de problemas facilitada.
2. Controle - Gerenciamento de rede pode nos ajudar a controlar a rede de rea ou local centralizado
evitando o envio de tcnicos a lugares remotos e aos "wiring closets" para realizar tarefas muito simples, tais
como endereamento ou mudana de "dip switches". (Um dip switch um conjunto de minsculos interruptores

Prof. Artur Moreira

3
montados em um nico suporte plstico no qual cada interruptor interliga dois terminais em lados opostos do suporte)
3. Mau funcionamento de hardware - Quando um roteador cai, o sistema todo cai. Gerenciamento de rede
pode nos dar a habilidade de soar um alarme ou mesmo de ser notificado se houver uma falha crtica no
hardware da rede.
4. Segurana - Alguns pacotes de gerenciamento de sistema nos permitem especificar quais portas podem
ser acessadas e quais workstations podem acess-las. Trancar as portas a primeira coisa a ser feita para
manter fora os intrusos.
5. Alocao de recursos - Saber onde esto nossos hubs, switches, pontes, roteadores, workstations e
servidores deveria ser importante para ns. Da mesma forma o para o controlador financeiro que precisa
estar ciente dos bens estabelecidos. Alocao de recursos permite a um sistema de gerenciamento desenhar e
manter um mapa da rede.
6. Dificuldades do usurio final - Voc j observou que 80% das suas questes prticas podem ser resolvidas
em poucos minutos? Com gerenciamento de rede a maioria dos 20% remanescentes podero ser resolvidos.
Gerenciamento de rede nos d a possibilidade de ver o sistema inteiro at mesmo ao nvel do carto da
interface de rede. Se o problema no com o software, ento estaremos aptos a v-lo de forma instantnea.
Ergonometria
Um sistema eficiente de gerenciamento de rede deveria fornecer uma interface altamente visvel e
fcil de usar. Um sistema baseado em grficos fornece de relance funcionalidade, permitindo-nos visualizar
nossa rede desde o ponto de vista global at o ponto de vista de uma simples estao em micro.
Sistemas de gerenciamento de rede utilizam o Simple Network Management Protocol (SNMP).
Esse padro de gerenciamento oferece diversas maneiras de visualizar o sistema, incluindo uma viso
global, uma viso intermediria e uma viso do elemento de rede.
Viso global - Uma representao de como a rede est ligada em conjunto. Essa viso nos mostra
onde esto conectados os roteadores, anis, segmentos e pontes.
Viso intermediria - Uma representao de onde as workstations, concentradores inteligentes,
roteadores e pontes esto localizados em cada anel ou segmento individual.
Viso do elemento de rede - Uma viso grfica expandida do dispositivo gerenciado propriamente
dito. Tal viso deve dar uma representao grfica do elemento que est sendo gerenciado. Em se tratando
de um bom sistema, deveramos ainda ter uma viso com mapeamento de bits do dispositivo.
Interoperabilidade
Sistemas de gerenciamento de rede deveriam tambm ser capazes de trabalhar com uma ampla variedade de
sistemas operacionais, gerenciadores SNMP e plataformas de estaes de trabalho. Isso se deve ao fato de
que sua organizao pode no estar adequada para suportar uma certa estao de trabalho ou sistema
operacional, e uma vez seleccionado um sistema que lhe deixar trabalhar com aquilo que desejar, ser
possvel concretizar todo o seu potencial. Entretanto, importante lembrar que a maioria dos software de
gerenciamento de rede utilizam o UNIX como sistema operacional, portanto devemos estar preparados para
adquirir fluncia na linguagem.

Prof. Artur Moreira

4
1.3 Estrutura de gerenciamento
Hoje em dia existe uma grande diversidade de ambientes de rede podendo se encontrar tanto um
mainframe IBM com rede SNA como uma rede local com ambiente UNIX ou Netware da Novell. Diante de
tal heterogeneidade, a dificuldade de se projectar um gerenciamento de rede pode ser grande, implicando o
uso de vrias ferramentas inseridas em uma estrutura possivelmente complexa e com limites de actuao
definidos entre os componentes envolvidos.
Essa estrutura deve ser capaz de estabelecer a estratgia empregada no atendimento chamadas dos
usurios, assim como a actuao do pessoal envolvido nas tarefas de gerenciamento de rede, alm de definir
os supridores de servios, inclusive externos e outros aspectos da rede. Portanto, fundamental que haja
organizao, sendo que alguns aspectos como o atendimento aos usurios demonstram ser primordiais para
o sucesso da estrutura. desejvel que haja para o usurio um nico ponto de contacto para reportar
problemas e mudanas.
Os limites de actuao da gerncia devem considerar a amplitude desejada pelo modelo j instalado que,
alm de operar a rede, deve englobar os seguintes itens :
Controle de acesso rede
Disponibilidade e desempenho
Documentao de configurao
Gerncia de mudanas
Planeamento de capacidades
Auxlio ao usurio
Gerncia de problemas
Controle de inventrio etc.;
A nfase relativa atribuda em cada uma dessas categorias por uma instalao depende do tamanho e
complexidade da rede.
De um ponto de vista tcnico, observa-se que as redes de computadores esto em constante expanso,
tanto fisicamente como em complexidade. Entretanto, para o usurio final a rede vista como algo muito
simples, ou seja, apenas supridor de ferramentas que facilitam suas actividades quotidianas.
Desta forma, para o usurio, os sistemas de computao devem ser capazes de auxili-lo a atingir
objectivos como qualidade, eficincia, etc.., no importando a forma como se obtm tais resultados. Mas
como avaliar o impacto de uma eventual parada no computador central? E se a paralisao for apenas
parcial? Ou apenas uma linha ou uma workstation? Questes como estas devem ser apreciadas no processo
de elaborao de um modelo para gerenciamento de redes, pois suas respostas constituem o alicerce para a
elaborao da estrutura.
2 - TCP/IP - Um padro para o gerenciamento de rede
O gerenciamento de redes usa o SNMP para controlar e monitorar redes heterogneas, o SNMP
parte integrante do Transmission Control Protocol/Internet Protocol (TCP/IP), o padro de redes usado
na Internet. Antes de entendermos completamente os fundamentos do SNMP e da gerncia de redes,
devemos primeiro explorar as origens do TCP/IP, seus padres e estruturas comparados ao protocolo SNMP.


Prof. Artur Moreira

5

O protocolo TCP/IP permite conectividade entre equipamentos de muitos fabricantes e sobre uma grande
variedade de tecnologias de rede. Ele consiste de um conjunto bem definido de protocolos de comunicao e
de diversos protocolos de aplicao padronizados.
O Departamento de Defesa dos Estados Unidos (DOD) desenvolveu originalmente o TCP/IP para o seu
Advanced Research Projects Agency Network (ARPANET). A rede foi to bem sucedida que o TCP/IP
passou a ser usado como a base de comunicao para todas as LAN's e WAN's. Isso foi realizado atravs do
uso do TCP/IP como o protocolo de comunicao para o Berkeley's Unix verso 4.2.. Essa verso do UNIX
o sistema operacional bsico para a maior parte das estaes de trabalho de longo alcance. Essas estaes
de longo alcance foram alguns dos primeiros computadores a utilizar o Ethernet como o seu mtodo de
acesso primrio e, certamente, TCP/IP foi o protocolo de comunicao. Por esta razo, TCP/IP se tornou o
principal protocolo de rede.
O aumento na popularidade do TCP/IP pode ser atribudo a diversos factores. O primeiro foi um
deslocamento para uma aproximao de sistemas abertos. O segundo que o protocolo transcende a
ambientes multifabricantes e permite que redes heterogneas se comuniquem umas com as outras.
O TCP/IP baseado no modelo OSI para redes. O modelo OSI divide a comunicao em rede em
diversas camadas. So ao todo 7 camadas, respectivamente do menor nvel ao nvel superior: fsica, enlace,
rede, transporte, sesso, apresentao e aplicao.
A camada fsica corresponde aos conectores de hardware, fio, aos painis de patch, aos blocos
punch-down e outros produtos usados para interconectar equipamentos.
A camada de enlace se refere aos mtodos de acesso que o hardware usa para actuar no meio fsico.
Exemplos desses mtodos incluem Ethernet, Token Ring, FDDI e o mais novo mtodo de acesso,
Asynchronous Transmission Mode (ATM).
Acima da camada de enlace est a camada de rede. A camada de rede se refere forma como o dado
directamente estabelecido nas condies prevalecentes. A camada de rede se comunica com a camada de
enlace, que por sua vez se comunica com a camada fsica. Uma boa analogia que a camada de rede como
um motorista de caminho, a camada de enlace o caminho e a camada fsica a estrada. O resto do
modelo OSI a carga do caminho e do motorista. na camada de rede que est situado o protocolo IP.
Se fossemos dividir a analogia da carga, ns poderamos pensar na camada de transporte como sendo
o pacote ou caixa. Esse pacote enviado em duas formas: "confivel" e "no confivel". TCP chamado de
"confivel" porque ele emite um "recibo" de que a informao foi enviada com sucesso. O Universal
Datagram Protocol (UDP) chamado de "no confivel" porque ele no emite um "recibo". importante
deixar claro que o UDP, apesar de ser chamado de no confivel, um mtodo muito eficaz de transmisso
para o gerenciamento SNMP porque ele envolve um menor nmero de passos e mais fcil de implementar.
Para nossos propsitos, as ltimas 3 camadas podem ser colectivamente agrupadas em uma simples
camada: o contedo dentro do pacote. SNMP est localizado dentro do pacote, e ele gerencia o pacote, o
motorista, o caminho e a estrada - SNMP pode gerenciar todas as redes heterogneas ou desiguais num
sistema de gerenciamento de rede. Conforme j mencionado, TCP/IP o nome que se d a toda a famlia de
protocolos utilizados pela Internet. Esse conjunto de protocolos foi desenvolvido para permitir aos
computadores compartilharem recursos numa rede. Toda a famlia de protocolos inclui um conjunto de
padres que especificam os detalhes de como comunicar computadores, assim como tambm convenes
para interconectar redes e rotear o trfego.

Prof. Artur Moreira

6
Oficialmente esta famlia de protocolos chamada, Protocolo Internet TCP/IP, comummente
referenciada s como TCP/IP, devido a seus dois protocolos mais importantes (TCP : Transport Control
Protocol e IP : Internet Protocol). A arquitectura bsica do TCP/IP mostrada no grfico, que fazendo
relao com o modelo de referncia OSI correspondem as camadas da Rede, Transporte e Aplicaes.
Como se pode observar, na camada de rede TCP/IP tem-se o protocolo IP; na camada de transporte esto
dois protocolos, um que oferece servios sem conexo, que o protocolo UDP(User Datagram Protocol) e
um outro que oferece servios orientados conexo, protocolo TCP(Transport Control Protocol) . Na
camada de aplicaes o TCP/IP tem uma variedade de protocolos de aplicao, como SMTP, TELNET,
FTP E NSF entre outros.







Protocolo IP
O protocolo IP define mecanismos de expedio de pacotes sem conexo.
IP define trs pontos importantes:
1. A unidade bsica de dados a ser transferida na Internet.
2.O software de IP executa a funo de roteamento, escolhendo um caminho sobre o qual os dados sero
enviados
3.Incluir um conjunto de regras que envolvem a ideia da expedio de pacotes no confiveis. Estas regras
indicam como os hosts ou gateways poderiam processar os pacotes; como e quando as mensagens de erros
poderiam ser geradas; e as condies em que os pacotes podem ser descartados.
Se diz que um sistema prov um servio de comunicao universal se ele permite a qualquer host se
comunicar com qualquer outro. Para que um sistema preste servios de comunicao universalmente,
necessrio estabelecer um mtodo de identificar os computadores que seja aceito globalmente. Na Internet
se escolhe identificar os computadores atravs de endereos binrios. Na Internet a cada computador
associado um endereo inteiro de 32 bits, chamado endereo IP.O importante no esquema de endereos
Internet que os inteiros so cuidadosamente escolhidos para fazer o roteamento eficiente. Especificamente
um endereo IP define o identificador da rede ao qual o host est conectado e tambm a identificao de um
nico computador nessa rede.

TELNET FTP SMTP NSF SNMP TFTP Nvel de aplicaes (Sesso, apresentao e aplicaes)
Fluxo confivel (TCP) Datagrama do Usurio (UDP) Nvel de transporte
Internet Protocol (IP) Internet Protocol (IP) Nvel de Rede
Interface Fsica Interface Fsica Nvel de Enlace e Fsico

Prof. Artur Moreira

7

Conceitualmente cada endereo um par (netid, hostid), onde netid identifica a rede, e hostid
identifica um computador nessa rede. Na prtica cada endereo IP deve ter um formato especfico.

3 - O Padro SNMP
3.1 Origens
A necessidade de mecanismos de gerenciamento nas redes baseadas em TCP/IP atendida pelo SNMP
(Simple Network Management Protocol) em associao com o esquema de MIB (Management
Information Base).
A Internet Activities Board(IAB), o rgo que rege a poltica da Internet e o protocolo TCP/IP, requisitou
um comit para rever as opes de gerenciamento de redes. O comit concluiu que o SNMP deveria ser
adoptado. Esse protocolo baseado no Simple Gateway Management Protocol (SGMP) que havia sido
desenvolvido para administrar redes regionais.
O comit tambm comeou a trabalhar em um protocolo futuro chamado de Common Management
Information Protocol (CMIP). A ideia em torno do SNMP era de que ele seria um remdio rpido at que o
CMIP estivesse pronto para uso. Isso foi em 1988.
Alguns dos objectivos e especificaes no projecto do SNMP foram :
Gerenciamento de rede integrado - A capacidade de gerenciar redes incorporando componentes que
venham de uma variedade de fabricantes com uma simples aplicao.
Interoperabilidade - A capacidade de um equipamento de qualquer fabricante seja gerenciado pelo
equipamento de outro fabricante.
Padronizao - Padres definem mtodos de comunicao e estruturas de dados de forma que redes
no similares possam ser integradas com o gerenciamento de rede.
3.2 Como funciona o SNMP
O SNMP foi projectado para ser o mais simples possvel, e baseado em dois elementos: estaes de
gerenciamento de rede e elementos da rede.
Estaes de gerenciamento da rede - responsvel por rodar aplicaes de gerenciamento que faam
monitoramento e controle dos elementos da rede.
Elementos da rede - Hubs inteligentes, roteadores e pontes possuem agentes que esto localizados dentro dos
limites dos elementos. Esses agentes SNMP so responsveis por realizar as funes que so requisitadas
pelas estaes de gerenciamento.
O SNMP o meio pelo qual a estao de gerenciamento e os elementos de rede se comunicam. um
protocolo simples que permite que um administrador inspeccione ou altere variveis num elemento de rede a
partir de uma estao de gerenciamento remota.

Prof. Artur Moreira

8

A transmisso do SNMP emprega o Universal Datagram Protocol da famlia TCP/IP para enviar a
informao. O UDP permite que os agentes SNMP sejam representados por um pacote simples o que faz
com que o protocolo SNMP requeira um overhead mnimo e tenha muito pouca interferncia nas outras
funes da rede.
Todo o monitoramento SNMP realizado pelo sistema de gerenciamento de rede. As estaes de
gerenciamento acessam os elementos de rede, para obter a informao desejada ou para mudar uma varivel.
Nesse caso estar sendo realizada uma operao de "polling" ( verificar se um dado n est conectado, bem
como solicitar o seu anncio, verificao pelo gerente). Quando os elementos de rede iniciam a
comunicao, atravs do seu agente, para notificar o gerente de alteraes no sistema, suas transmisses so
conhecidas como "traps".
O agente um componente que pode ser implementado em hardware ou em software. O que ele faz
na verdade colectar dados de um dispositivo e armazen-los em uma estrutura padro denominada MIB.
Estaes de gerenciamento SNMP
A estao de gerenciamento SNMP uma coleco de aplicaes e banco de dados que controlam
um grupo de agentes. Uma estao de gerenciamento de rede composta por 5 componentes: uma interface
para o usurio, aplicaes de gerenciamento, um banco de dados, um dispositivo SNMP e um canal de
transporte/ligao.
A interface do usurio permite ao operador mandar comandos de gerenciamento e receber do agente
respostas solicitadas ou no. Tal interface poderia ser em formato texto ou em algum tipo de interface
grfica para o usurio (GUI). As aplicaes de gerenciamento operam na anlise e processamento da
informao de gerenciamento de rede obtida do agente.
O banco de dados, ou variveis de interesse, contm todos os nomes, configuraes, performances,
topologia e dados examinados da rede. O banco de dados separado em categorias que incluem a
Management Information Base (MIB), o banco de dados do elemento de rede e o banco de dados da
aplicao de gerenciamento.
A categoria mais importante a MIB, um banco de dados que contm definies de objectos que
representam recursos efectivos que esto sendo gerenciados no ambiente SNMP. At o presente momento,
foram definidos quatro tipos de MIBs : MIBI, MIBII, MIB experimental e MIB privada. As MIBs do
tipo I e II fornecem informaes gerais sobre os elementos da rede, sem levar em conta as caractersticas
especficas dos equipamentos. A MIBII foi uma evoluo da MIBI, que introduziu novas informaes alm
daquelas encontradas na MIBI tais como informaes sobre operaes feitas pelo protocolo SNMP.
possvel atravs das MIBs I e II obter informaes como tipo e status da interface (Ethernet, FDDI,
ATM), nmero de pacotes transmitidos, nmero de pacotes com erro, endereo IP das rotas etc. As MIBs
experimentais so aquelas que esto em fase de testes, com a perspectiva de serem adicionadas ao padro e
que, em geral, fornecem caractersticas mais especficas sobre a tecnologia dos meios de transmisso e
equipamentos empregados. As MIBs privadas ou proprietrias foram elaboradas com o objectivo de actuar
sobre um equipamento em especfico, possibilitando que detalhes caractersticos do mesmo possam ser
obtidos. Desta forma, possvel obter informaes sobre colises, configurao, swap de portas, e muitas
outras, de um hub. Tambm possvel fazer testes, reinicializar ou desabilitar uma ou mais portas do hub
atravs das MIBs privadas.

Prof. Artur Moreira

9

Aplicaes SNMP
Vrios produtos tm surgido com a finalidade de gerenciar a rede, quase que em sua totalidade
baseados no padro SNMP e CMIP.O sucesso do SNMP se deve ao fato de ele ter sido o primeiro protocolo
de gerenciamento acessvel ao pblico, no proprietrio e simples em sua implementao, o que possibilita o
gerenciamento efectivo de ambientes com caractersticas no similares.
A implantao dos protocolos SNMP foi introduzida pelos fornecedores de gateways, bridges e
roteadores. Normalmente, o fornecedor desenvolve o agente SNMP e posteriormente uma aplicao de
gerenciamento para a estao gerente. Geralmente, tais produtos funcionam sob sistemas operacionais como
VMS, SUN-OS, DOS, AIX, UNIX e outros. Em sua realizao, incorporam funes grficas para o
operador do centro de controle e incluem muitas vezes bibliotecas e utilitrios que permitam a criao de
aplicaes de gerenciamento com caractersticas especficas para alguns componentes da rede.
As implementaes bsicas do SNMP permitem ao gerente monitorar e isolar falhas, j as aplicaes
mais sofisticadas permitem gerenciar o desempenho e a configurao da rede. Estas aplicaes,
normalmente, incorporam menus e alarmes para melhorar a interaco com o profissional de gerncia.

4 - Base de informao gerencial (MIB)
4.1 Definio de objectos na MIB
Um dos factores mais importantes num sistema de gerenciamento a forma como as informaes sobre os
elementos de rede esto armazenadas. Tais informaes precisam estar disponveis segundo um determinado
padro, para que possam ser reconhecidas e utilizadas por qualquer aplicao.
Os objectos so imagens virtuais dos elementos bsicos que se quer monitorar. So definidos usando a
Abstract Syntax Notation One (ASN.1) e esto localizados na MIB (Management Information Base).
Os objectos so definidos segundo um determinado tipo (Object Type). Esses tipos possuem cinco campos
:Nome, Sintaxe, Definio, Acesso e Status.
Nome - um nome textual para o tipo de objecto denominado Descritor de Objecto, o qual corresponde
um identificador de objecto.
Sintaxe - uma sintaxe abstracta para um tipo de objecto. Pode ser uma sintaxe simples que pode ser um
inteiro, uma string de octetos, um identificador de objectos ou nulo. Pode ser tambm uma sintaxe
construda reunindo tipos bsicos ou uma sintaxe de aplicao tais como Network Adress, IpAddress ou
Time Ticks (Intervalos de Tempo).
Definio - uma descrio textual da semntica de um tipo de objecto. Trata-se de um campo de grande
importncia para MIBs que pretendam ser usadas num ambiente multifabricantes ou multimarcas.
Acesso - Pode ser de leitura, escrita, escrita e leitura ou no acessvel.

Prof. Artur Moreira

10
Status - Pode ser obrigatrio, opcional ou obsoleto.
Um exemplo de definio de objecto na MIB visto abaixo :

sysUpTime OBJECT-TYPE
SYNTAX TimeTicks
ACESS read-only
STATUS mandatory
DESCRIPTION
"The time (in hundreths of a second) since the
network management portion of the system was
last re-initialized."
:: = { system 3 }
No caso de tabelas, ainda as vezes acrescentado um outro campo que o campo ndice. Veja abaixo um
exemplo de definio de tabela na MIB em ASN.1 :

ifTable OBJECT-TYPE
SYNTAX Sequence of IfEntry
ACESS not-acessible
STATUS mandatory
DESCRIPTION
"An interface entry containing objets at the
subnetwork layer and below for a particular
interface."
INDEX { IfIndex }
:: = { interfaces 2 }
4.2 Nomes e sintaxes aprofundados
Identificadores de objecto
Nomes so usados para identificar objectos gerenciveis, e so estabelecidos segundo sua hierarquia
natural. O conceito de Identificador de Objectos reproduz essa noo de hierarquia. Um identificador de
objecto no identifica necessariamente um objecto gerencivel, podendo tambm identificar um padro
internacional qualquer. Na realidade ele identifica um objecto sem levar em considerao seu significado no
sistema, podendo se tratar de um objecto numa MIB a ser gerenciada ou um documento padro ou mesmo
um rgo regulamentador.
Um Identificador de Objectos tambm entendido como um controle administrativo de significados
designados para os ns que podem ser delegados quando se atravessa pela rvore. Um rtulo um par de
uma breve descrio textual e um inteiro.
Identificao em tabelas
Cada objecto de uma MIB tem um nico objecto identificado que definido pela sua posio na
rvore estruturada MIB. Quando um acesso feito por uma MIB, via SNMP ou algum outro modo, uma
instncia especfica de um objecto.
Em geral, novos tipos de aplicao podem ser definidos, sendo assim podem estar relacionados dentro de
um tipo primitivo, lista, tabela, ou alguma outra aplicao implicitamente definido pela ASN.1. A seguir,
alguns tipos de aplicao sero definidos:

Prof. Artur Moreira

11
Network Address (Endereo de Rede)
Esta escolha representa um endereo entre as vrias possibilidades de famlias de protocolos. At
este exacto momento, apenas uma famlia de protocolos, a famlia Internet, est presente nesta
escolha.
Ip Address (Endereo de IP)
Este tipo de aplicao representa um endereo Internet de 32 bits. Ele representado como uma
STRING de OCTETOS de tamanho 4, dentro da ordem de bytes da rede.
Counter (Contador)
Este tipo de aplicao representa um inteiro no negativo o qual aumenta at atingir o valor mximo,
quando ento ele encerra e comea de novo a aumentar a partir do zero. O valor mximo para os
contadores de 2^32-1 (4294967295 em decimal).
Gauge (Medida)
Este tipo de aplicao representa um inteiro no negativo, que pode aumentar ou decrementar, mas
encerra quando atinge o valor mximo. Este valor de 2^32-1 (4294967295 em decimal).
Time Ticks (Intervalos de Tempo)
Este tipo de aplicao representa um inteiro no negativo que conta o tempo em centenas de
segundos desde alguma poca. Quando tipos de objectos esto definidos em uma MIB a qual usa este
tipo de ASN.1, a descrio deste tipo de objecto identifica a poca correspondente.
Opaque (Opaco)
Note que esta implementao necessita apenas de ser capaz de acessar de reconhecer dados
obscuramente codificados. No necessrio ser capaz de desvendar o dado e ento interpretar o seu
contedo.
4.3 A MIB da internet
A MIB da Internet define os objectos que podem ser gerenciados pelo protocolo TCP/IP. Estes
objectos so acessados e monitorados por um agente de gerenciamento e a comunicao entre esse agente e
o gerente feito utilizando o protocolo SNMP.
Como todos os padres TCP/IP, as definies usadas no gerenciamento SNMP foram publicadas nas
RFCs (Request for Comments). As definies originais do protocolo SNMP, bem como dos objectos
gerenciados (SNMPv.1 e MIBI) foram publicadas em 1989. Em 1990,foi feita uma reviso da MIB, que
passou a se chamar de MIB II. Em 1993, foi publicado um conjunto de padres novos, chamado
SNMPv.2,com alteraes ao protocolo e extenses s definies dos objectos.



Prof. Artur Moreira

12
A seguir veja como esto agrupados os objectos na MIB I.
Grupo Objectos para #
-------------------------------------------------------------------
system informaes bsicas do sistema 3
interfaces interfaces de rede 22
at traduo de endereo 3
ip software de protocolo IP 33
icmp protocolo de estatst. para contr.interno de msgs. 26
tcp software de protocolo TCP 17
udp software de protocolo UDP 4
egp software de protocolo EGP 6

# - nmero de objectos nos grupos

A seguir veja como esto agrupados os objectos na MIB II.

Grupo Objectos para #
-------------------------------------------------------------------
system informaes bsicas do sistema 7
interfaces interfaces de rede 23
at traduo de endereo 3
ip software de protocolo IP 38
icmp protocolo de estat. para contr. interno de msgs. 26
tcp software de protocolo TCP 19
udp software de protocolo UDP 7
egp software de protocolo EGP 18
transmiss transmisso. Mdia-especfica 0
snmp aplicaes snmp 30

# - nmero de objectos nos grupos

Para finalizar, a MIB da Internet no inclui informaes de gerenciamento para aplicaes como : Acesso a
Terminal Remoto (TELNET), Transferncia de Arquivos (FTP - File Transfer Protocol) e Correio
Electrnico (SMTP).

4.4 Compilador de MIB
Uma MIB pode ser compilada por um compilador de MIBs, de forma que as informaes presentes
na MIB estejam disponveis para aplicaes como MIB browsers e graphers. So aplicaes simples que
obtm toda a sua capacidade de gerenciamento atravs da anlise de uma MIB, sem interveno humana.
Alm de fazer a conferncia da sintaxe de uma MIB, um compilador de MIBs pode gerar automaticamente
as estruturas de dados e o cdigo necessrios para que um agente implemente uma determinada MIB. Um
compilador de MIBs tambm pode fazer com que as informaes sobre os objectos gerenciados de MIBs
proprietrias ou de novas MIBs que sejam padronizadas estejam disponveis para uma aplicao de
gerenciamento existente.


Prof. Artur Moreira

13

Existe hoje em dia uma deficincia em relao s aplicaes SNMP que a falta de um algoritmo
inteligente de anlise das MIBs. MIBs compiladas apenas fornecem dados como o nome, sintaxe e valores a
serem assumidos pelo objecto, sem entretanto descrever a semntica do objecto, indicando o significado real
dos valores assumidos. No foram tambm produzidos documentos que descrevessem como os objectos
podem ser usados no gerenciamento eficiente da rede.
Actualmente os programas de gerenciamento apenas se limitam a colectar e exibir informaes sobre os
elementos da rede, sem entretanto analis-los. Assim o papel de compreender o estado actual da rede e de
encontrar solues para os problemas cabe mesmo ao administrador. Esse aspecto dificulta muito a
compreenso de MIBs desconhecidas relativas um dispositivo desconhecido.
5 - O protocolo SNMP
5.1 Objectivos e caractersticas do protocolo SNMP
O SNMP o protocolo recomendado para o gerenciamento de redes TCP/IP da Internet. O SNMP
um protocolo de gerncia definido nvel de aplicao, utilizando os servios do protocolo de transporte
UDP para enviar suas mensagens atravs da rede. Sua especificao est contida na RFC 1157. Este
protocolo o centro do desenvolvimento do gerenciamento SNMP.
Normalmente, utilizado uma aplicao na mquina do administrador chamado de cliente que se
conecta a um ou mais servidores SNMP localizados em mquinas remotas, para executar operaes sobre os
objectos gerenciados.
O cliente no percebe quando as operaes esto sendo executadas pelo agente sobre os objectos, o
que fornece transparncia ao protocolo, o que j no ocorre com outros protocolos de gerncia.
O SNMP tambm realiza um processo de autenticao para permitir ou no o acesso de clientes aos
objectos gerenciados.
A principal caracterstica do SNMP a simplicidade. Ao invs de apresentar muitos comandos como
outros protocolos, ele possui apenas um pequeno conjunto de operaes com funes bsicas de
busca/alterao.
Atravs do protocolo SNMP, o cliente enviar comandos com duas funes basicamente: Uma de
obteno dos valores dos objectos (funo GET ) e outra de alterao desses valores (funo SET ). ainda
previsto um mecanismo de notificao de alteraes nos objectos da MIB (TRAP). Tal estrutura torna o
protocolo simples, flexvel e estvel, pois mantm um formato bsico fixo, mesmo que novos objectos sejam
implementados ou mesmo que novas operaes sejam definidas, o que poder ser feito utilizando as
operaes bsicas.
No envio e recepo de mensagens no protocolo, os nomes dos objectos no devem ser expressos na
forma textual, mas sim na forma numrica que representa univocamente s diversas instncias existentes,
para que se torne o pacote da mensagem SNMP mais compacto. Por exemplo, o objecto gerencivel
iso.org.dod.internet.mgmt.mib.ip.ipInReceives ser representado na mensagem SNMP como
1.3.6.1.2.1.4.3..Quando a forma numrica do identificador terminar com zero, significa que o objecto a
nica instncia existente.

Prof. Artur Moreira

14

Podemos, resumidamente, dizer que os principais objectivos do protocolo SNMP, devido ao protocolo
desejar ser flexvel e simples, so:
.Reduzir o custo da construo de um agente que suporte o protocolo;
.Reduzir o trfego de mensagens de gerenciamento pela rede necessrias para gerenciar dos recursos
da rede;
.Reduzir o nmero de restries impostas as ferramentas de gerenciamento da rede, devido ao uso de
operaes complexas e pouco flexveis;
.Apresentar operaes simples de serem entendidas, sendo facilmente usadas pelos desenvolvedores
de ferramentas de gerenciamento;
.Permitir facilmente a introduo de novas caractersticas e novos objectos no previstos ao se definir
o protocolo;
.Construir uma arquitectura que seja independente de detalhes relevantes somente a algumas
implementaes particulares.
5.2 Operaes disponveis
O que deve ser feito com os objectos no processo de gerenciamento definido atravs das operaes
aplicadas nos objectos, que so enviadas ao servidor pelo cliente.
Existem 5 operaes usadas no protocolo SNMP. So elas :
get-request - l o valor dos atributos dos objectos especificados.
get-next-request - obtm o nome e o valor dos atributos dos prximos objectos na ordem lexicogrfica.
get-response - a resposta do agente um pedido (request) de operao feito pelo cliente.
set-request - a gravao de valores para os atributos dos objectos (vlido apenas para objectos do tipo
read-only) .
trap - notificao sobre eventos ocorridos
Deve-se saber que as operaes GET ou SET se referem apenas uma instncia de um objecto,
podendo, entretanto, se referir mais de um objecto na mesma mensagem. A operao get-next possibilita
ao cliente descobrir qual o prximo objecto na sequncia lxica assim como seu valor, o que possibilita um
mecanismo de procura de objectos na MIB.
Essa operao principalmente usada para identificar uma instncia especfica dentro de uma tabela
de tamanho e composio desconhecida. Assim o cliente envia comandos get-next e sucessivamente obtm
os nomes e valores dos atributos do objecto. Podemos assim fazer uma varredura na tabela sem conhecer os
objectos da mesma, processo este chamado de caminhamento de tabela.
Para fins de uso do comando get-next, alguns nomes de objectos na MIB correspondem tabelas
completas conforme j visto anteriormente. Tais objectos no so acessveis para operaes get-request mas
podem ser usados como parmetros em operaes get-next. Nesse caso poder-se- obter o nome da primeira
entrada da tabela. Um novo comando get-next com esse parmetro, de acordo com a hierarquia, nos daria o
nome do primeiro objecto na tabela. Da por diante, poderamos obter cada instncia dos objectos at que

Prof. Artur Moreira

15
tenhamos varrido toda a tabela.
Como se sabe, as entradas em uma tabela apontam para outras tabelas que no contm o identificador
completo do objecto, mas somente o prefixo deste identificador, porque o identificador completo para um
item da tabela formado pelo prefixo que indica a tabela mais um sufixo que identifica uma entrada
particular na tabela em que o objecto est armazenado.

5.3 Mensagens SNMP
Em SNMP, informaes so trocadas entre uma estao de gerenciamento e um agente na forma de uma
mensagem SNMP. Cada mensagem inclui o nmero da verso SNMP, o nome da comunidade para ser
usado para esta troca e um de cinco tipos do Protocolo de Unidade de Dados (PDUs).
Abaixo feita uma descrio dos campos encontrados na mensagem SNMP :
1 ) verso - a verso SNMP. RFC 1157 a verso 1.
2) comunidade :
O gerenciamento de redes pode ser visto como uma aplicao distribuda. Como qualquer outra
aplicao distribuda, o gerenciamento da rede envolve um nmero da entidade de aplicao, suportada por
um protocolo de aplicao. No caso do gerenciamento de rede SNMP, as entidades de aplicao so as
aplicaes da estao de gerenciamento e a aplicao da estao administrada (agente) que usam SNMP, que
o protocolo suportado.
Cada controle do agente est em local prprio na MIB e deve ser capaz de controlar o uso desta MIB
por estaes de gerenciamento. Esse controle tem trs aspectos:
Servio de autenticao - Um servio de autenticao est interessado em garantir que uma
comunidade seja autntica. No caso de uma mensagem SNMP, a funo de um servio de autenticao
deveria ser garantir ao recipiente que a mensagem da origem que ele afirma ser. O procedimento de
autenticao deveria envolver o uso de criptografia / descriptografia para maior segurana nas funes de
autenticao.
Plano de Acesso
Definindo uma comunidade, um agente limita acesso para a MIB para seleccionar conjuntos de
estaes de gerenciamento. Usando mais que uma comunidade, o agente pode prover diferentes categorias
de acesso MIB para diferentes estaes de gerenciamento. Esse controle de acesso tem dois aspectos:
1 - SNMP MIB: um subconjunto de objectos dentro de uma MIB. Diferentes MIBs podem ser definidos para
cada comunidade. O conjunto de objectos em um aspecto no necessita ter seu lugar prprio em uma
simples subrvore da MIB.
2 - Modo de Acesso SNMP: um elemento do conjunto {Read-Only, Read-write}. Cada comunidade tem seu
modo de acesso.


Prof. Artur Moreira

16
Um profile da comunidade associada com cada comunidade definida por um agente; a combinao
de uma comunidade SNMP e um PROFILE da comunidade SNMP referido como por exemplo, um Plano
de Acesso SNMP.
Servio de Proxy
O conceito de comunidade tambm proveitoso em suporte ao Servio de Proxy. Tipicamente, os
outros dispositivos so externos, no sentido que eles no suportam TCP/IP e SNMP, mas a proxy usada
para minimizar a interaco entre o dispositivo procurado e o sistema de gerenciamento da rede.
Para cada dispositivo que o sistema procurao representa, ele mantm um sistema de plano de
acesso SNMP. Deste modo a informao proxy que objectos MIB podem ser usados para administrar os
sistema proxied e seus modos de acesso.
3) request-id - um inteiro de 4 bytes usado para identificar as respostas.
4) error-status - Usados para indicar que uma excepo ocorreu enquanto processava um request.
5) error-index - Quando um error-status no 0, error-index pode prover informaes adicionais indicando
qual varvel na lista causou a excepo.
6) variable-bindings - Uma lista de nomes de variveis e valores correspondentes.
7) enterprise - Tipo do objecto gerador do trap.
8) generic-trap - Tipo genrico do trap.
9) specific-trap - Cdigo especfico do trap.
10) time-stamp - Tempo ocorrido entre a ltima (re)inicializao da entidade da rede e a gerao do trap.
(a)Mensagem SNMP
(b) GetRequest PDU, GetNextRequest PDU e SetRequest PDU
(c) GetResponse PDU
(d) Trap PDU
(e) variable-bindings
Nota-se que o GetRequest, GetNextRequest e SetRequest
PDU tem o mesmo formato que o GetResponse PDU.
Transmisso de uma Mensagem SNMP
Uma entidade SNMP realiza as seguintes aces para transmitir um de cinco tipos de PDU para outra
entidade SNMP.
a) O PDU construdo usando a estrutura ANS.1 definida no RFC 1157.
version community SNMP PDU
PDU type request-id 0 0 variable-bindings
PDU type request-id error-status error-index variable-bindings
PDU type enterprise agent-addr generic-trap specific-trap time-stamp variable-bindings
name 1 value 1 name 2 value 2 ..... name n value n

Prof. Artur Moreira

17

b) Este PDU ento passado para um servio de autenticao junto com o endereo de origem e destino e o
nome da comunidade. O servio de autenticao realiza qualquer transformao para esta troca, assim como
criptografia ou a incluso de um cdigo de autenticao e retorna o resultado.
c) A entidade do protocolo ento constri a mensagem, consistindo de um campo verso, nome da
comunidade, e o resultado do passo2.
d) O novo objecto ANS.1 representado usando as regras bsicas de codificao, e passado ao servio de
transporte.

Recebimento de Uma Mensagem SNMP
Em princpio, uma entidade SNMP realiza as seguintes aces assim que recebe uma mensagem
SNMP:
Faz uma superviso na sintaxe bsica na mensagem e descarta a mensagem se ela falhar na verificao;
Verifica o nmero da verso e descarta a mensagem se incompatvel;
A entidade do protocolo ento passa o nome do usurio, a parcela PDU da mensagem e a origem e destino
do endereo de transporte para um servio de autenticao:
a) Se a autenticao falha, o servio de autenticao avisa a entidade do protocolo SNMP, que descarta a
mensagem;
b) Se a autenticao tem sucesso, o servio de autenticao retorna na forma de um objecto ANS.1.
A entidade do protocolo faz uma superviso na sintaxe bsica da PDU=1. Por outro lado, usando o nome da
comunidade, o plano de acesso SNMP apropriado seleccionado e o PDU processado de acordo.
Trap PDU
O trap PDU emitido por uma entidade SNMP como representante de uma aplicao do agente de
gerenciamento da rede. Ele usado para prover a estao de gerenciamento com uma notificao assncrona
de alguns eventos significantes. Seu formato completamente diferente dos outros PDUs SNMP. Os campos
so:
Tipo da PDU: indica que este um GetRequest PDU;
Enterprise: identifica o subsistema de gerenciamento da rede que gerou o trap. O valor pego do
SysObjectID no grupo sistema.
Agente addr: contm o endereo IP do objecto gerador do trap;
Trap genrico: contm um dos tipos pr-difundidos;
Trap especfico: contm um cdigo que indica mais especificamente a origem do trap;

Prof. Artur Moreira

18
Time-stamp: contm o tempo entre a ltima reinicializao da entidade da rede que emitiu o trap e gerao
do trap;
Variable-bindings : contm informaes adicionais ao trap.

6 - SNMP v.2 e o problema da segurana
6.1 SNMP v.2
O Simple Network Management Protocol vem evoluindo desde que foi pela primeira vez
desenvolvido pela Internet Engineering Task Force (IETF), aproximadamente uma dcada atrs. A
funcionalidade da tecnologia SNMP original, SNMP verso 1, podia sempre ser estendida usando
Management Information Base modules (MIBs) que definem funes especficas de monitoramento e
controle, mas os engenheiros de redes de computadores descobriram que desejavam mais funcionalidade do
que aquela que era fornecida a partir somente de extenses da MIB. Alm disso, havia um desejo de que
fosse adicionado ao padro SNMP uma maior segurana no processo de gerenciamento. Sendo assim, a
IETF formou dois grupos de trabalho : um grupo para desenvolvimento do SNMP v.2 e outro de segurana
no SNMP com o objectivo de criar um novo padro SNMP com mais funcionalidade e maior segurana.
Na realidade, o SNMP v.2 no um novo padro mas , na realidade, uma extenso ao SNMP v.1
projectada para adicionar funcionalidade e segurana. Existe um bom nmero de vantagens especficas que
emergiram do esforo de padronizao no SNMP v.2 :
1. A tradio oral em torno do SNMP original agora completamente documentada. A importncia deste
esforo histrico no pode ser subestimada pois ele fornece base para mudanas coesivas e bem planejadas
no padro SNMP existente a medida que o gerenciamento de rede continua a evoluir.
2. Extenses teis tem sido feitas na linguagem existente para definir objectos gerenciados. Dessa forma,
tem se tornado mais fcil escrever, entender e implementar os dispositivos gerenciados.
3. Mudanas de performance e outros melhorias tem tambm sido feitas no protocolo SNMP para fazer com
que a troca de objectos gerenciados se torne mais eficiente.
4. Passou a existir um melhor mecanismo de comunidade que apresenta uma identificao nica tanto da
origem quanto do formato da mensagem SNMP v.2, permitindo utilizar mtodos de acesso mais
convencionais aos objectos gerenciados, alm de permitir o uso futuro de protocolos assimtricos de
segurana.
Todas essas mudanas forma compatveis com o projecto original do SNMP. Existem alguns
princpios por trs da filosofia de projecto do SNMP que precisam ser honrados para assegurar consistncia
e compatibilidade futura :
Qualquer mudana no padro SNMP existente deve ter um impacto mnimo nos ns gerenciados, j que
esses ns variam muito no que tange aos recursos que destinam para o gerenciamento da rede.
Se vamos considerar gerenciamento de rede como uma parte essencial das actividades de rede, ento
necessrio que ele possa ser estendido ao maior nmero possvel de dispositivos na rede.

Prof. Artur Moreira

19
Quando tudo mais falhar, o gerenciamento de rede deve continuar a funcionar o melhor possvel, o
que significa que o padro deve ser suficientemente bem definido para tornar uma aplicao SNMP robusta.
Para desenvolver aplicaes SNMP eficientes e realistas, o projectista deve seguir alguns princpios bsicos
:
Fazer um uso mnimo de abstraces e escolhas;
Fazer requerimentos mnimos do servio de transporte, da pilha de comunicaes, e dos recursos dos
agentes; e,
Ter um impacto mnimo nos ns gerenciados.
Seguindo estes princpios, o custo de entrada para o gerenciamento SNMP pode ser minimizado e
mais dispositivos de rede podem ser alcanados pelos agentes SNMP, possibilitando assim a maximizao
da taxa de adopo do suporte SNMP em redes reais.
O actual padro SNMP v.2 (sem a infra-estrutura de segurana ) corresponde a todos esses critrios.
Entretanto, como os aspectos de segurana ficaram claramente definidos na especificao original do SNMP
v.2, o custo de entrada iniciou uma escalada rpida, principalmente devido ao overhead do framework
administrativo SNMPv.2 e s caractersticas de configurao remota. De fato, a responsabilidade adicional
causada pela segurana tornou impossvel para a maioria dos fornecedores de tecnologia desenvolver
implementaes corretas do SNMP v.2, e tambm poucos usurios puderam empreg-las.
6.2 Uma proposta de segurana para o padro SNMP
Profissionais de redes de computadores vem procurando uma soluo para o problema do
gerenciamento seguro de redes por algum tempo. O receio que todos os profissionais MIS compartilham
que sempre podero haver alguns intrusos capazes de usar os comandos SNMP para desactivar uma ponte,
rearranjar uma tabela de roteamento, ou causar uma perturbao geral em suas redes.
Originalmente, pretendia-se que o SNMP v.2 respondesse a essa questo incorporando segurana de
rede em seu padro. Entretanto, os esforos nos ltimos 3 anos para adicionar segurana ao SNMP v.2 no
foram bem sucedidos. Vrios modelos de segurana foram propostos, mas a indstria de redes de
computadores em geral e o IETF em particular ainda esto por encontrar um consenso e por adoptar uma
aproximao simples para a segurana no SNMP.
Apesar de vrias solues terem sido propostas para resolver o problema, a primeira a ser
demonstrada foi o User-based Security Model ou USEC. Os arquitectos do USEC esperam que, ao
demonstrarem para a indstria o quo fcil a implementao e desenvolvimento dessa tecnologia, o IETF
vai eleger o USEC como uma extenso padronizada de segurana para o SNMP v.2.
O desafio da segurana no SNMP
O problema central em torno das caractersticas da configurao administrativa e remota do SNMP
v.2 original foi a noo de "party".Em SNMP v.2 uma "party" define :
transporte, que especifica onde na rede a entidade de gerenciamento reside, junto com informaes sobre o
tamanho mximo da mensagem que ela estar apta a receber;

Prof. Artur Moreira

20
clock, que detecta duplicao ou retransmisso (replay) de mensagens;
keys, que so usados para autenticar e codificar mensagens SNMP; e
direitos de acesso, que especificam aquelas operaes e objectos cujo acesso habilitados para outras
entidades SNMP.
O problema com esse conceito de "parties" definidos no SNMP v.2 que elas so fortemente
integradas com todo aspecto da entidade SNMP, resultando em uma aproximao do tipo "tudo ou nada"
para o gerenciamento de rede; para obter a mais simples funcionalidade em SNMP, uma aplicao SNMP
v.2 tinha que sustentar toda a infra-estrutura da party. Um segundo problema foi que a configurao no
campo deveria acomodar todas as quatro reas; uma tarefa que provou ser de pouca praticidade.
Para resolver o problema imposto pelas parties, diversas alternativas foram consideradas. Um
esquema de Segurana Simplificada que acrescentou um conceito de "usurio" no topo das parties SNMP
v.2 foi examinado. Este esquema iria reconhecer identidades do usurio como consistentes atravs de uma
infra-estrutura SNMP, o que iria minimizar o peso da configurao; ou seja, o mapeamento dos usurios nas
parties seria realizado somente uma vez quando o agente fosse inicialmente configurado. Essa aproximao
tinha o benefcio de reter a estrutura da party e ao mesmo tempo reduzir o nvel de complexidade da
configurao para um custo linear mais gerencivel. O grupo de trabalho do SNMP v.2 em ltima anlise
rejeitou o conceito de usurio porque ele necessitava que entidades diferentes compartilhassem as mesmas
parties de uma forma descoordenada. Variaes no esquema do usurio tambm foram consideradas e
rejeitadas por serem muito complexas e pesadas para se tornarem prticas.
Mais tarde, no incio de 1995, Glenn Waters, da Bell-Norther Research surgiu com uma revelao
que formaria a base para o USEC. Waters observou que seria relativamente simples criar um ambiente
SNMP seguro usando a seguinte aproximao :
Eliminar as definies com base na party;
Reter a configurao baseada no usurio e sua complexidade linear;
Reter os quatro elementos centrais de segurana; e,
Reduzir dramaticamente a complexidade da arquitectura e de sua implementao.
O esquema de segurana resultante seria extremamente pequeno em custo e overhead, e forneceria uma forte
infra-estrutura de segurana para o SNMP. Alm disso, ao produzir uma identificao baseada no usurio,
ele iria tornar a configurao do agente SNMP fcil e intuitiva.
A aproximao de Waters foi depois adoptada por Keith McCloghrie e Marshall T. Rose, dois dos autores
originais do SNMP, o que se constitui em um passo para a adoo do USEC como extenso ao SNMP v.2.
Dentro do modelo USEC , existem trs conceitos distintos :
1. A informao de transporte e clock so especficas do agente;
2. A informao de key especfica do usurio; e,
3. Os direitos de acesso so formados pela intercesso da informao de key com a de transporte/clock.

Prof. Artur Moreira

21

Usando este modelo de segurana, o USEC fornece um esquema de segurana leve, de fcil
desenvolvimento, e com um agente amigvel, sustentando assim trs aspectos da autenticao do usurio :
proteco contra replay, integridade da mensagem, e identidade da origem. A proteco contra replay evita
que um intruso capture um pacote SNMP para us-la em um momento posterior, tal como um comando para
reinicializar um roteador. A integridade da mensagem assegura que o contedo do pacote no pode ser
mudado sem deteco, como, por exemplo, ao mudar um comando para esvaziar as tabelas de roteamento
para um comando para modificar essas tabelas. A identidade da origem assegura que a identidade de quem
originou uma operao SNMP corresponde a quem ele ou ela parece ser. O USEC tambm fornece
privacidade como uma opo.

O resultado um esquema de segurana robusto que completamente compatvel e interoperativo
com o actual padro SNMP, que tem um impacto mnimo no agente SNMP e que fcil de implementar,
prover, e desenvolver.
Honrando a filosofia em torno do SNMP
Outras aproximaes para a segurana do SNMP tem tambm demonstrado esforos no sentido criar
uma estrutura de segurana SNMP completa e correta, mais notavelmente aquela do SNMP v.2.
Infelizmente, o proposta do SNMP v.2 extremamente complexa, o que significa que ser difcil que seja
adoptada de uma forma prtica em uma rede de produo. A proposta do SNMP v.2 se focaliza na estao
de gerenciamento de rede, adicionando uma quantidade significativa de infra-estrutura para dar a estao de
gerenciamento uma variedade de aproximaes para implementar segurana. O resultado que um peso
significativo est colocado sobre o agente SNMP, e sobre o administrador de rede que precisa desenvolver e
prover aqueles agentes em uma rede que suporte o SNMP e que seja funcional.
A aproximao USEC representa um retorno para as principais competncias do SNMP original. O
USEC foi projectado para implementar segurana no SNMP usando implementaes pequenas e eficientes.
Existe um consenso na comunidade de redes de computador sobre como aproximar a autenticao do
usurio usando senhas para keying criptogrfico, e este mesmo esquema de autenticao sustentado pelo
USEC.
A filosofia que tem servido como a luz guia para todo o pensamento SNMP tem sido a ideia de que
sempre que se tiver de escolher entre colocar o peso do gerenciamento na estao de gerenciamento de rede
ou colocar no agente, a regra minimizar o peso no agente. A aproximao USEC para a segurana no
SNMP abraa profundamente esta filosofia.
Finalmente, de certa forma os argumentos sobre a melhor aproximao para a segurana no SNMP se
distanciaram do ponto principal. Os argumentos no deveriam ser sobre segurana mas sobre como melhor
estruturar o framework administrativo sobre o qual a segurana opera. Como voc decide gerenciar
aplicaes, identificar coleces de objectos gerenciados, rastrejar operadores e usurios - toda infra-
estrutura nominal SNMP - o ponto central. Uma vez se concordando sobre um framework administrativo,
ento a implementao de um algoritmo de autenticao e de um algoritmo de privacidade se torna uma
tarefa relativamente fcil.


Prof. Artur Moreira

22
6.3 A MIB RMON
A especificao RMON (Remote Network Monitoring) define funes padro de monitoramento
de rede e interfaces para comunicao entre dispositivos baseados em SNMP. A RMON d as redes a
capacidade de fornecer uma maneira eficiente e efectiva de monitorar o comportamento de sub-redes e ao
mesmo tempo de reduzir a carga tanto em outros agentes como estaes.
A MIB RMON utiliza um dispositivo do agente conectado uma rede espalhada para colectar
estatsticas de trfico de rede. A MIB RMON tambm realiza clculos directamente no agente e no confia
no gerenciador para todas as suas funes. Tipicamente, um agente somente responsvel pela informao
de gerenciamento que se relaciona com o seu prprio equipamento Sem um funo de monitoramento
remoto, se torna difcil, se no impossvel, para um gerente construir um profile de qualquer actividade em
uma sub-rede individual.

A MIB RMON pode ser implementada directamente nas aplicaes hoje existentes e no requer que
todo o SNMP v.2 seja usado. Para ser efectiva, uma estao dedicada de gerenciamento com gerenciamento
RMON e capacidade de agente deve estar ligada LAN central. Os agentes RMON ficam residentes em
dispositivos que monitoram cada sub-rede nas quais eles esto ligados, dessa forma dando ao gerente um
monitoramento da camada de rede. Este monitoramento inclui operao off-line, deteco de problemas e
reportagem, dados de valores adicionados, e suporte ao mltiplo gerente.
7 - Concluso
Gerenciamento de rede um requerimento para qualquer um que queira controlar suas LANs e
WANs. Esse novo e vasto imprio de produtos, projectados para actuar como sistemas conhecidos e bem
organizados, pode rapidamente se tornar uma massa desorganizada de dispositivos operacionais
independentes. Para aliviar esses problemas, aplicaes de gerenciamento de rede baseadas em SNMP
devem ser empregadas.
Aplicaes de gerenciamento de rede utilizam o protocolo TCP/IP para atingir efectivamente em
vasto nmero de redes heterogneas. O SNMP se encontra na camada de aplicao do modelo OSI e utiliza
o UDP como mtodo de transmisso. O protocolo UDP possibilita uma comunicao competente com uma
metodologia de utilizao de baixa largura de banda.
Com o propsito dos usurios se tornarem mais activos no monitoramento e implementao de uma
rede, o gerenciamento de rede actual deveria fornecer um sistema baseado em SNMP que desse diversas
vises da rede, incluindo uma perspectiva global, uma perspectiva de segmento e uma perspectiva do
dispositivo. Adicionalmente, o gerenciador de rede deveria tambm fornecer uma rpida viso de problemas
o que daria ao administrador a habilidade de ver problemas com uma simples olhada na tela. O gerenciador
de rede deveria ser capaz de suportar produtos de terceiros com interfaces grficas e de texto, alm de
oferecer pacotes extra para ajudar na soluo de problemas e manter suas LANs e WANs.