Escolar Documentos
Profissional Documentos
Cultura Documentos
Funcin
ltima
SNMPv3
versin
Puertos
SNMP
UDP y TCP
IP (IPv4 y IPv6)
Estndares
ndice
[ocultar]
1 Conceptos Bsicos
2 Componentes bsicos
3 Comandos bsicos
6 Mensajes SNMP
o
6.1 GetRequest
6.2 GetNextRequest
6.3 SetRequest
6.4 GetResponse
6.5 Trap
6.6 GetBulkRequest
6.7 InformRequest
7 Desarrollo y Uso
o
7.1 Versin 1
7.2 Versin 2
8 Cuestiones de Aplicacin
9 Indizacin de Recursos
10 Implicaciones de Seguridad
11 Descubrimiento Automtico
12 Otros protocolos
o
12.1 RFCs
Conceptos Bsicos[editar]
En usos tpicos SNMP, uno o ms equipos administrativos, llamados gerentes, tienen la tarea
de supervisin o la gestin de un grupo de hosts o dispositivos de una red informtica. En
cada sistema gestionado se ejecuta, en todo momento, un componente de software llamado
agente que reporta la informacin a travs de SNMP con el gerente. Los agentes SNMP
exponen los datos de gestin en los sistemas administrados como variables. El protocolo
tambin permite realizar tareas de gestin de activos, tales como la modificacin y la
aplicacin de una nueva configuracin a travs de la modificacin remota de estas variables.
Las variables accesibles a travs de SNMP estn organizadas en jerarquas. Estas jerarquas,
y otros metadatos (tales como el tipo y la descripcin de la variable), se describen por Bases
de Informacin de Gestin (MIB).
Componentes bsicos[editar]
Una red administrada a travs de SNMP consta de tres componentes clave:
Dispositivos administrados;
Agentes;
Comandos bsicos[editar]
Los dispositivos administrados son supervisados y controlados usando cuatro comandos
SNMP bsicos: lectura, escritura, notificacin y operaciones transversales.
El comando de lectura es usado por un NMS para supervisar elementos de red. El NMS
examina diferentes variables que son mantenidas por los dispositivos administrados.
El comando de escritura es usado por un NMS para controlar elementos de red. El NMS
cambia los valores de las variables almacenadas dentro de los dispositivos administrados.
El comando de notificacin es usado por los dispositivos administrados para reportar
eventos en forma asncrona a un NMS. Cuando cierto tipo de evento ocurre, un dispositivo
administrado enva una notificacin al NMS.
Las operaciones transversales son usadas por el NMS para determinar qu variables
soporta un dispositivo administrado y para recoger secuencialmente informacin en tablas de
variables, como por ejemplo, una tabla de rutas.
El rbol MIB ilustra las variadas jerarquas asignadas por las diferentes organizaciones
Los identificadores de los objetos ubicados en la parte superior del rbol pertenecen a
diferentes organizaciones estndares, mientras los identificadores de los objetos ubicados en
la parte inferior del rbol son colocados por las organizaciones asociadas.
Los vendedores pueden definir ramas privadas que incluyen los objetos administrados para
sus propios productos. Las MIBs que no han sido estandarizadas tpicamente estn
localizadas en la rama experimental.
El objeto administrado atInput podra ser identificado por el nombre de objeto iso.identifiedorganization.dod.internet.private.enterprise.cisco.temporary.AppleTalk.atInput o por el
descriptor de objeto equivalente 1.3.6.1.4.1.9.3.3.1.
El corazn del rbol MIB se encuentra compuesto de varios grupos de objetos, los cuales en
su conjunto son llamados mib-2. Los grupos son los siguientes:
System (1);
Interfaces (2);
AT (3);
IP (4);
ICMP (5);
TCP (6);
UDP (7);
EGP (8);
Transmission (10);
SNMP (11).
Cabecera IP
Tipo de PDU
Peticin-ID
Error de estado
Indice de errores
Enlaces de variables
Mensajes SNMP[editar]
Para realizar las operaciones bsicas de administracin anteriormente nombradas, el
protocolo SNMP utiliza un servicio no orientado a la conexin (UDP) para enviar un pequeo
grupo de mensajes (PDUs) entre los administradores y agentes. La utilizacin de un
mecanismo de este tipo asegura que las tareas de administracin de red no afectarn al
rendimiento global de la misma, ya que se evita la utilizacin de mecanismos de control y
recuperacin como los de un servicio orientado a la conexin, por ejemploTCP.
Los puertos comnmente utilizados para SNMP son los siguientes:
Nmero
Descripcin
161
SNMP
162
SNMP-trap
Los paquetes utilizados para enviar consultas y respuestas SNMP poseen el siguiente
formato:
Versin
Comunidad
SNMP PDU
Versin: Nmero de versin de protocolo que se est utilizando (por ejemplo 1 para
SNMPv1);
Identificador
Estado de error
ndice de error
Enlazado de variables
0: No hay error;
1: Demasiado grande;
3: Valor incorrecto;
5: Error genrico.
GetRequest[editar]
A travs de este mensaje el NMS solicita al agente retornar el valor de un objeto de inters
mediante su nombre. En respuesta el agente enva una respuesta indicando el xito o fracaso
de la peticin. Si la peticin fue correcta, el mensaje resultante tambin contendr el valor del
objeto solicitado. Este mensaje puede ser usado para recoger un valor de un objeto, o varios
valores de varios objetos, a travs del uso de listas.
GetNextRequest[editar]
Este mensaje es usado para recorrer una tabla de objetos. Una vez que se ha usado un
mensaje GetRequest para recoger el valor de un objeto, puede ser utilizado el mensaje
GetNextRequest para repetir la operacin con el siguiente objeto de la tabla. Siempre el
resultado de la operacin anterior ser utilizado para la nueva consulta. De esta forma un
NMS puede recorrer una tabla de longitud variable hasta que haya extrado toda la
informacin para cada fila existente.
SetRequest[editar]
Este tipo de mensaje es utilizado por el NMS para solicitar a un agente modificar valores de
objetos. Para realizar esta operacin el NMS enva al agente una lista de nombres de objetos
con sus correspondientes valores.
GetResponse[editar]
Este mensaje es usado por el agente para responder un mensaje GetRequest,
GetNextRequest, o SetRequest. En el campo "Identificador de Request" lleva el mismo
identificador que el "request" al que est respondiendo.
Trap[editar]
Una trap es generado por el agente para reportar ciertas condiciones y cambios de estado a
un proceso de administracin. El formato de la PDU es diferente:
Tipo Enterprise
Direccin del
agente
Tipo genrico
de trap
Tipo especfico
de trap
Timestamp
Enlazado de
variables
Link down (2): Indica que una interfaz de comunicacin se encuentra fuera de
servicio (inactiva);
EGP neighbor loss (5): Indica que en sistemas en que los routers estn
utilizando el protocolo EGP, un equipo colindante se encuentra fuera de servicio;
Tipo especfico de trap: Es usado para traps privados (de fabricantes), as como para
precisar la informacin de un determinado trap genrico;
GetBulkRequest[editar]
Este mensaje es usado por un NMS que utiliza la versin 2 3 del protocolo SNMP
tpicamente cuando es requerida una larga transmisin de datos, tal como la recuperacin de
largas tablas. En este sentido es similar al mensaje GetNextRequest usado en la versin 1 del
protocolo, sin embargo, GetBulkRequest es un mensaje que implica un mtodo mucho ms
rpido y eficiente, ya que a travs de un solo mensaje es posible solicitar la totalidad de la
tabla.
InformRequest[editar]
Un NMS que utiliza la versin 2 3 del protocolo SNMP transmite un mensaje de este tipo a
otro NMS con las mismas caractersticas, para notificar informacin sobre objetos
administrados, utilizando el protocolo de nivel 4(osi) TCP , y enviara el InformRequest hasta
que tenga un acuse de recibo.
Desarrollo y Uso[editar]
Versin 1[editar]
SNMP versin 1 (SNMPv1) es la implementacin inicial del protocolo SNMP. SNMPv1 opera a
travs de protocolos como el User Datagram Protocol (UDP), Protocolo de Internet (IP),
servicio de red sin conexin OSI (CLNS), AppleTalk Protocolo de datagramas de entrega
(DDP), y Novell Internet Packet Exchange (IPX). SNMPv1 es ampliamente utilizado y es el de
facto protocolo de gestin de red en la comunidad de Internet. Los primeros RFCs para SNMP,
ahora conocido como SNMPv1, aparecieron en 1988: RFC 1065 - Estructura e identificacin
de informacin de gestin para internet basadas en TCP / IP. RFC 1066 - Base de
informacin de gestin para la gestin de la red de internet basadas en TCP / IP. RFC 1067 Un protocolo simple de administracin de red. Estos protocolos estaban obsoletos por: RFC
1155 - Estructura e identificacin de informacin de gestin para internet basadas en TCP / IP.
RFC 1156 - Base de informacin de gestin para la gestin de la red de internet basadas en
TCP / IP. RFC 1157 - Un protocolo simple de administracin de red Despus de un corto
tiempo, RFC 1156 (MIB-1) fue reemplazada por la ms habitual: RFC 1213 - Versin 2 de la
base de informacin de gestin (MIB-2) para la gestin de la red de internet basadas en TCP /
IP
Versin 1 ha sido criticado por su falta de seguridad. La autenticacin de los clientes se realiza
slo por una "cadena de comunidad", en efecto, un tipo de contrasea, que se transmite en
texto plano. El diseo de los aos 80 de SNMP V1 fue realizado por un grupo de
colaboradores que vieron el MR / IETF / NSF patrocinado oficialmente (National Science
Foundation) esfuerzo (HEMS / CMIS / CMIP) ya que tanto inaplicable en las plataformas
informticas de la poca, as como potencialmente inviable. SNMP se aprob basndose en la
creencia de que se trataba de un Protocolo provisional necesaria para la toma de medidas
para el despliegue a gran escala de Internet y su comercializacin. En ese perodo de tiempo
de Internet estndar de autenticacin / seguridad era a la vez un sueo y desalentado por los
grupos de diseo de protocolos centrados.
Versin 2[editar]
SNMPv2 ( RFC 1441 - RFC 1452 ), revisa la versin 1 e incluye mejoras en las reas de
comunicaciones de rendimiento, la seguridad, confidencialidad e-manager-a gerente. Introdujo
GetBulkRequest , una alternativa a GetNextRequests iterativos para recuperar grandes
cantidades de datos de gestin en una sola solicitud. Sin embargo, el nuevo sistema de
seguridad basado en partidos en SNMPv2, visto por muchos como demasiado complejo, no
fue ampliamente aceptada. Esta versin de SNMP alcanzado el nivel de madurez de Norma,
pero se consider obsoleto por las versiones posteriores. Simple basada en la comunidad la
versin Network Management Protocol 2 , o SNMPv2c , se define en el RFC 1901 - RFC
1908 . SNMPv2c comprende SNMPv2 sin el nuevo modelo de seguridad de SNMP v2
controversial, utilizando en su lugar el sistema de seguridad basado en la simple comunidad
de SNMPv1. Esta versin es una de las relativamente pocas normas para cumplir con el
proyecto de nivel de madurez estndar del IETF, y fue considerado el de facto estndar
SNMPv2. Es tambin estaba obsoleto despus, por SNMPv3. Simple de usuario basada en la
versin Network Management Protocol 2 , o SNMPv2u , se define en el RFC 1909 - RFC
1910 . Este es un compromiso que pretende ofrecer una mayor seguridad que SNMPv1, pero
sin incurrir en la alta complejidad de SNMPv2. Una variante de este se comercializ como
SNMP v2 * , y el mecanismo fue finalmente adoptado como uno de los dos marcos de
seguridad de SNMP v3.
SNMPv1 y SNMPv2c interoperabilidad[editar]
Tal como est actualmente especificada, SNMPv2c es incompatible con SNMPv1 en dos
reas clave: los formatos de mensajes y operaciones de protocolo. Mensajes SNMPv2c
utilizan diferentes cabecera y la unidad de datos de protocolo (PDU) formatos de mensajes
SNMPv1. SNMPv2c tambin utiliza dos operaciones de protocolo que no estn especificados
en SNMPv1. Adems, RFC 2576 define dos posibles estrategias de coexistencia
SNMPv1/v2c: agentes de proxy y sistemas de gestin de red bilinges.
Agentes de proxy[editar]
Un agente SNMPv2 puede actuar como un agente proxy en nombre de dispositivos SNMPv1
administrados, de la siguiente manera: Un SNMPv2 NMS emite un comando destinado a un
agente SNMPv1. El NMS enva el mensaje SNMP para el agente proxy SNMPv2. El agente
proxy reenva Cmo, GetNext y Set mensajes al agente SNMPv1 sin cambios. Mensajes
GetBulk son convertidas por el agente proxy de GetNext mensajes y luego se envan al
agente SNMPv1. El agente proxy mapas de mensajes de captura SNMPv1 a SNMPv2
mensajes de captura y luego las enva a los nuevos Estados miembros.
Sistema de gestin de la red bilinge[editar]
Sistemas de gestin de red SNMPv2 Bilinges soportan tanto SNMPv1 y SNMPv2. Para
apoyar este entorno de gestin dual, una aplicacin para la gestin de los nuevos Estados
miembros bilinges debe ponerse en contacto con un agente. El NMS examina la informacin
almacenada en una base de datos local para determinar si el agente es compatible con
Versin 3[editar]
Aunque SNMPv3 no realiza cambios en el protocolo, aparte de la adicin de seguridad
criptogrfica, se ve muy diferente debido a las convenciones nuevo texto, los conceptos y la
terminologa.
SNMPv3 aadi principalmente la seguridad y mejoras de configuracin remota SNMP.
Debido a la falta de seguridad con el uso de SNMP, los administradores de red se utilizan
otros medios, tales como telnet para la configuracin, contabilidad y gestin de fallos.
SNMPv3 se ocupa de cuestiones relacionadas con el despliegue a gran escala de SNMP,
contabilidad y gestin de fallos. Actualmente, SNMP se utiliza principalmente para el control y
la gestin del rendimiento.
SNMPv3 define una versin segura de SNMP y tambin facilita la configuracin remota de las
entidades SNMP. SNMPv3 ofrece un entorno seguro para la gestin de sistemas que abarcan
los siguientes:
Definicin de los objetivos de seguridad, donde los objetivos del servicio de autenticacin de
mensajes incluyen la proteccin contra lo siguiente:
Definicin de las MIB USM - Para facilitar la configuracin remota y administracin del
mdulo de seguridad.
A partir de 2004 el IETF reconoce simple versin Protocolo de gestin de red 3 como se define
en el RFC 3411 - RFC 3418 (tambin conocido como STD0062) como la versin estndar
actual de SNMP. ElIETF ha designado SNMPv3 un completo estndar de Internet , el ms alto
nivel de madurez de un RFC. Considera versiones anteriores sean obsoletos (designndolos
diversamente "histrico" o "Obsoleto"). En la prctica, las implementaciones de SNMP
menudo soportan mltiples versiones: Tpicamente SNMPv1, SNMPv2c y SNMPv3.
Cuestiones de Aplicacin[editar]
Implementaciones SNMP varan entre los proveedores de plataformas. En algunos casos,
SNMP es una caracterstica adicional, y no se toma suficientemente en serio como un
elemento del diseo de la base. Algunos de los principales proveedores de equipos tienden a
sobre-extender su propia interfaz de lnea de comandos (CLI) de los sistemas de
configuracin y control centrados.
Estructura de rbol y lineal aparentemente simple de indexacin de SNMP no puede siempre
ser entendido lo suficientemente bien dentro de las estructuras de datos internas que son
elementos de diseo bsico de una plataforma. En consecuencia, las consultas de
procesamiento de SNMP en determinados conjuntos de datos pueden dar lugar a la utilizacin
de CPU superior al necesario. Un ejemplo de esto sera las grandes tablas de enrutamiento,
como BGP o IGP .
Indizacin de Recursos[editar]
Dispositivos modulares pueden aumentar o disminuir sus ndices de SNMP (aka instancias)
cada vez que se agrega o quita hardware ranurada de forma dinmica. Aunque esto es ms
comn con el hardware, interfaces virtuales tienen el mismo efecto. Los valores del ndice se
suelen asignar al momento del arranque y permanecen fijos hasta el siguiente reinicio.
Hardware o entidades virtuales aadidas mientras el dispositivo est "en directo" pueden tener
sus ndices asignados al final de la gama existente y posiblemente reasignados en el siguiente
reinicio. Herramientas de inventario y monitoreo de redes necesitan tener la capacidad de
actualizacin del dispositivo, haciendo reaccionar adecuadamente a la trampa de arranque en
fro desde el reinicio del dispositivo para evitar la corrupcin y la falta de coincidencia de los
datos consultados.
Asignaciones de ndice para una instancia de dispositivo SNMP pueden cambiar de encuesta
para sondear sobre todo como resultado de los cambios iniciados por el administrador del
sistema. Si se necesita informacin para una interfaz en particular, es imprescindible para
determinar el ndice de SNMP antes de recuperar los datos necesarios. Generalmente, una
tabla de descripcin como ifDescr asignar un nombre de usuario como la serie 0/1 (Blade 0,
puerto 1) a un ndice SNMP.
Implicaciones de Seguridad[editar]
Todas las versiones de SNMP estn sujetos a la fuerza bruta y ataques de diccionario
para adivinar las cadenas de comunidad, cadenas de autenticacin, las claves de
autenticacin, cadenas de cifrado o claves de cifrado, ya que no implementan un
protocolo de enlace de desafo-respuesta .
Aunque SNMP funciona sobre TCP y otros protocolos, se utiliza con mayor frecuencia
sobre UDP que est sin conexin y vulnerables a la suplantacin de IP ataques. Por lo
tanto, todas las versiones estn sujetos a pasar por las listas de acceso de dispositivos
que podran haber sido implementadas para restringir el acceso SNMP, aunque otros
mecanismos de seguridad de SNMPv3 debe impedir un ataque exitoso.
Descubrimiento Automtico[editar]
SNMP por s mismo no es ms que un protocolo para la recoleccin y organizacin de
informacin. La mayora de los conjuntos de herramientas de aplicacin SNMP ofrecen algn
tipo de mecanismo de descubrimiento, una recopilacin normalizada de datos comunes a la
mayora de las plataformas y dispositivos, para obtener un nuevo usuario o implementador
comenzaron. Una de estas caractersticas es a menudo una forma de descubrimiento
automtico, donde los nuevos dispositivos detectados en la red se sondean automticamente.
Para SNMPv1 y SNMPv2c, esto representa un riesgo de seguridad, ya que su lectura SNMP
comunidades sern transmitidos en texto plano para el dispositivo de destino. Mientras que los
requisitos de seguridad y perfiles de riesgo varan de una organizacin a otra, se debe tener
cuidado al usar una funcin como esta, con especial atencin a los entornos comunes, como
los centros de datos mixtos e inquilinos, servidor de alojamiento y las instalaciones de
colocacin, y ambientes similares.