Protocolo SNMP

Simple Network Management Protocol

Simple Network Management Protocol (SNMP)
Familia

Familia de protocolos de Internet

Funcin

facilita el intercambio de informacin de

administracin entre dispositivos de red

ltima

SNMPv3

versin

Puertos

161/UDP, 162/UDP (Trap)

Ubicacin en la pila de protocolos

Aplicacin
Transporte
Red

SNMP
UDP y TCP
IP (IPv4 y IPv6)
Estndares

RFC 1157 (SNMP, 1990)

RFC 3410 (SNMPv3, 2002)
[editar datos en Wikidata]

El Protocolo Simple de Administracin de Red o SNMP (del ingls Simple Network

Management Protocol) es un protocolo de la capa de aplicacin que facilita el intercambio de
informacin de administracin entre dispositivos de red. Los dispositivos que normalmente
soportan SNMP incluyen routers, switches, servidores, estaciones de trabajo, impresoras,
bastidores de mdem y muchos ms. Permite a los administradores supervisar el
funcionamiento de la red, buscar y resolver sus problemas, y planear su crecimiento.
SNMP es un componente de la suite de protocolo de Internet como se define por el IETF. Se
compone de un conjunto de normas para la gestin de la red, incluyendo una capa de
aplicacin del protocolo , una base de datos de esquema , y un conjunto de objetos de datos .
Las versiones de SNMP ms utilizadas son SNMP versin 1 (SNMPv1) y SNMP versin 2
(SNMPv2).
SNMP en su ltima versin (SNMPv3) posee cambios significativos con relacin a sus
predecesores, sobre todo en aspectos de seguridad; sin embargo no ha sido mayoritariamente
aceptado en la industria.

ndice
[ocultar]

1 Conceptos Bsicos

2 Componentes bsicos

3 Comandos bsicos

4 Base de informacin de administracin SNMP (MIB)

5 Detalles del Protocolo

6 Mensajes SNMP
o

6.1 GetRequest

6.2 GetNextRequest

6.3 SetRequest

6.4 GetResponse

6.5 Trap

6.6 GetBulkRequest

6.7 InformRequest

7 Desarrollo y Uso
o

7.1 Versin 1

7.2 Versin 2

7.2.1 SNMPv1 y SNMPv2c interoperabilidad

7.2.2 Agentes de proxy

7.2.3 Sistema de gestin de la red bilinge

7.3 Versin 3

8 Cuestiones de Aplicacin

9 Indizacin de Recursos

10 Implicaciones de Seguridad

11 Descubrimiento Automtico

12 Otros protocolos
o

12.1 RFCs

Conceptos Bsicos[editar]
En usos tpicos SNMP, uno o ms equipos administrativos, llamados gerentes, tienen la tarea
de supervisin o la gestin de un grupo de hosts o dispositivos de una red informtica. En
cada sistema gestionado se ejecuta, en todo momento, un componente de software llamado
agente que reporta la informacin a travs de SNMP con el gerente. Los agentes SNMP
exponen los datos de gestin en los sistemas administrados como variables. El protocolo
tambin permite realizar tareas de gestin de activos, tales como la modificacin y la
aplicacin de una nueva configuracin a travs de la modificacin remota de estas variables.
Las variables accesibles a travs de SNMP estn organizadas en jerarquas. Estas jerarquas,
y otros metadatos (tales como el tipo y la descripcin de la variable), se describen por Bases
de Informacin de Gestin (MIB).

Componentes bsicos[editar]
Una red administrada a travs de SNMP consta de tres componentes clave:

Dispositivos administrados;

Agentes;

Sistemas administradores de red (Network Management Systems, NMSs).

Un dispositivo administrado es un dispositivo que contiene un agente SNMP y reside en una

red administrada. Estos recogen y almacenan informacin de administracin, la cual es puesta
a disposicin de los NMSs usando SNMP. Los dispositivos administrados, a veces llamados
elementos de red, pueden ser routers, servidores de acceso, switches, bridges, hubs,
computadores o impresoras.
Un agente es un mdulo de software de administracin de red que reside en un dispositivo
administrado. Un agente posee un conocimiento local de informacin de administracin
(memoria libre, nmero de paquetes IP recibidos, rutas, etctera), la cual es traducida a un
formato compatible con SNMP y organizada en jerarquas.
Un sistema administrador de red (NMS) ejecuta aplicaciones que supervisan y controlan a
los dispositivos administrados. Los NMSs proporcionan el volumen de recursos de
procesamiento y memoria requeridos para la administracin de la red. Uno o ms NMSs
deben existir en cualquier red administrada...

Comandos bsicos[editar]
Los dispositivos administrados son supervisados y controlados usando cuatro comandos
SNMP bsicos: lectura, escritura, notificacin y operaciones transversales.
El comando de lectura es usado por un NMS para supervisar elementos de red. El NMS
examina diferentes variables que son mantenidas por los dispositivos administrados.

El comando de escritura es usado por un NMS para controlar elementos de red. El NMS
cambia los valores de las variables almacenadas dentro de los dispositivos administrados.
El comando de notificacin es usado por los dispositivos administrados para reportar
eventos en forma asncrona a un NMS. Cuando cierto tipo de evento ocurre, un dispositivo
administrado enva una notificacin al NMS.
Las operaciones transversales son usadas por el NMS para determinar qu variables
soporta un dispositivo administrado y para recoger secuencialmente informacin en tablas de
variables, como por ejemplo, una tabla de rutas.

Base de informacin de administracin SNMP (MIB)[editar]

Una Base de Informacin de Administracin (Management Information Base, MIB) es una
coleccin de informacin que est organizada jerrquicamente. Las MIBs son accedidas
usando un protocolo de administracin de red, como por ejemplo, SNMP.
Un objeto administrado (algunas veces llamado objeto MIB, objeto, o MIB) es uno de cualquier
nmero de caractersticas especficas de un dispositivo administrado. Los objetos
administrados estn compuestos de una o ms instancias de objeto, que son esencialmente
variables.
Existen dos tipos de objetos administrados: Escalares y tabulares. Los objetos escalares
definen una simple instancia de objeto. Los objetos tabulares definen mltiples instancias de
objeto relacionadas que estn agrupadas conjuntamente en tablas MIB.
Un ejemplo de un objeto administrado es atInput, que es un objeto escalar que contiene una
simple instancia de objeto, el valor entero que indica el nmero total de paquetesAppleTalk de
entrada sobre una interfaz de un router.
Un identificador de objeto (object ID) identifica nicamente a un objeto administrado en la
jerarqua MIB. La jerarqua MIB puede ser representada como un rbol con una raz annima
y los niveles, que son asignados por diferentes organizaciones.

El rbol MIB ilustra las variadas jerarquas asignadas por las diferentes organizaciones
Los identificadores de los objetos ubicados en la parte superior del rbol pertenecen a
diferentes organizaciones estndares, mientras los identificadores de los objetos ubicados en
la parte inferior del rbol son colocados por las organizaciones asociadas.
Los vendedores pueden definir ramas privadas que incluyen los objetos administrados para
sus propios productos. Las MIBs que no han sido estandarizadas tpicamente estn
localizadas en la rama experimental.
El objeto administrado atInput podra ser identificado por el nombre de objeto iso.identifiedorganization.dod.internet.private.enterprise.cisco.temporary.AppleTalk.atInput o por el
descriptor de objeto equivalente 1.3.6.1.4.1.9.3.3.1.
El corazn del rbol MIB se encuentra compuesto de varios grupos de objetos, los cuales en
su conjunto son llamados mib-2. Los grupos son los siguientes:

System (1);

Interfaces (2);

AT (3);

IP (4);

ICMP (5);

TCP (6);

UDP (7);

EGP (8);

Transmission (10);

SNMP (11).

Es importante destacar que la estructura de una MIB se describe mediante el

estndar Notacin Sintctica Abstracta 1 (Abstract Syntax Notation One).

Detalles del Protocolo[editar]

SNMP opera en la capa de aplicacin del conjunto de protocolos de Internet ( capa 7 del
modelo OSI ). El agente SNMP recibe solicitudes en el puerto UDP 161. El administrador
puede enviar solicitudes de cualquier puerto de origen disponible para el puerto 161 en el
agente. La respuesta del agente ser enviado de vuelta al puerto de origen en el gestor. El
administrador recibe notificaciones ( Trampas e InformRequests ) en el puerto 162. El agente
puede generar notificaciones desde cualquier puerto disponible. Cuando se utiliza con
Transport Layer Security o datagramas de Transport Layer Security solicitudes se reciben en
el puerto 10161 y trampas se envan al puerto 10162. SNMPv1 especifica cinco centrales
unidades de datos de protocolo (PDU). Otros dos PDU, GetBulkRequest e InformRequest se
aadieron en SNMPv2 y prorrogados a SNMPv3.
Todas las PDU SNMP se construyen de la siguiente manera:

Cabecera IP

Encabezado UDP versin comunidad

Tipo de PDU

Peticin-ID

Error de estado

Indice de errores

Enlaces de variables

Mensajes SNMP[editar]
Para realizar las operaciones bsicas de administracin anteriormente nombradas, el
protocolo SNMP utiliza un servicio no orientado a la conexin (UDP) para enviar un pequeo
grupo de mensajes (PDUs) entre los administradores y agentes. La utilizacin de un
mecanismo de este tipo asegura que las tareas de administracin de red no afectarn al
rendimiento global de la misma, ya que se evita la utilizacin de mecanismos de control y
recuperacin como los de un servicio orientado a la conexin, por ejemploTCP.
Los puertos comnmente utilizados para SNMP son los siguientes:
Nmero

Descripcin

161

SNMP

162

SNMP-trap

Los paquetes utilizados para enviar consultas y respuestas SNMP poseen el siguiente
formato:
Versin

Comunidad

SNMP PDU

Versin: Nmero de versin de protocolo que se est utilizando (por ejemplo 1 para
SNMPv1);

Comunidad: Nombre o palabra clave que se usa para la autenticacin. Generalmente

existe una comunidad de lectura llamada "public" y una comunidad de escritura llamada
"private";

SNMP PDU: Contenido de la unidad de datos del protocolo, el que depende de la

operacin que se ejecute.

Los mensajes GetRequest, GetNextRequest, SetRequest y GetResponse utilizan la siguiente

estructura en el campo SNMP PDU:
Tipo

Identificador

Estado de error

ndice de error

Enlazado de variables

Identificador: Es un nmero utilizado por el NMS y el agente para enviar solicitudes y

respuesta diferentes en forma simultnea;

Estado e ndice de error: Slo se usan en los mensajes GetResponse(en las

consultas siempre se utiliza cero). El campo "ndice de error" slo se usa cuando "estado
de error" es distinto de 0 y posee el objetivo de proporcionar informacin adicional sobre la
causa del problema. El campo "estado de error" puede tener los siguientes valores:

0: No hay error;

1: Demasiado grande;

2: No existe esa variable;

3: Valor incorrecto;

4: El valor es de solo lectura;

5: Error genrico.

Enlazado de variables: Es una serie de nombres de variables con sus valores

correspondientes (codificados en ASN.1).

GetRequest[editar]
A travs de este mensaje el NMS solicita al agente retornar el valor de un objeto de inters
mediante su nombre. En respuesta el agente enva una respuesta indicando el xito o fracaso
de la peticin. Si la peticin fue correcta, el mensaje resultante tambin contendr el valor del
objeto solicitado. Este mensaje puede ser usado para recoger un valor de un objeto, o varios
valores de varios objetos, a travs del uso de listas.

GetNextRequest[editar]
Este mensaje es usado para recorrer una tabla de objetos. Una vez que se ha usado un
mensaje GetRequest para recoger el valor de un objeto, puede ser utilizado el mensaje
GetNextRequest para repetir la operacin con el siguiente objeto de la tabla. Siempre el
resultado de la operacin anterior ser utilizado para la nueva consulta. De esta forma un
NMS puede recorrer una tabla de longitud variable hasta que haya extrado toda la
informacin para cada fila existente.

SetRequest[editar]
Este tipo de mensaje es utilizado por el NMS para solicitar a un agente modificar valores de
objetos. Para realizar esta operacin el NMS enva al agente una lista de nombres de objetos
con sus correspondientes valores.

GetResponse[editar]
Este mensaje es usado por el agente para responder un mensaje GetRequest,
GetNextRequest, o SetRequest. En el campo "Identificador de Request" lleva el mismo
identificador que el "request" al que est respondiendo.

Trap[editar]
Una trap es generado por el agente para reportar ciertas condiciones y cambios de estado a
un proceso de administracin. El formato de la PDU es diferente:

Tipo Enterprise

Direccin del
agente

Tipo genrico
de trap

Tipo especfico
de trap

Timestamp

Enlazado de
variables

Enterprise: Identificacin del subsistema de gestin que ha emitido el trap;

Direccin del agente: Direccin IP del agente que ha emitido el trap;

Tipo genrico de trap:

Cold start (0): Indica que el agente ha sido inicializado o reinicializado;

Warm start (1): Indica que la configuracin del agente ha cambiado;

Link down (2): Indica que una interfaz de comunicacin se encuentra fuera de
servicio (inactiva);

Link up (3): Indica que una interfaz de comunicacin se encuentra en servicio

(activa);

Authentication failure (4): Indica que el agente ha recibido un requerimiento de

un NMS no autorizado (normalmente controlado por una comunidad);

EGP neighbor loss (5): Indica que en sistemas en que los routers estn
utilizando el protocolo EGP, un equipo colindante se encuentra fuera de servicio;

Enterprise (6): En esta categora se encuentran todos los nuevos traps

incluidos por los vendedores.

Tipo especfico de trap: Es usado para traps privados (de fabricantes), as como para
precisar la informacin de un determinado trap genrico;

Timestamp: Indica el tiempo que ha transcurrido entre la reinicializacin del agente y la

generacin del trap;

Enlazado de variables: Se utiliza para proporcionar informacin adicional sobre la

causa del mensaje.

GetBulkRequest[editar]
Este mensaje es usado por un NMS que utiliza la versin 2 3 del protocolo SNMP
tpicamente cuando es requerida una larga transmisin de datos, tal como la recuperacin de
largas tablas. En este sentido es similar al mensaje GetNextRequest usado en la versin 1 del
protocolo, sin embargo, GetBulkRequest es un mensaje que implica un mtodo mucho ms
rpido y eficiente, ya que a travs de un solo mensaje es posible solicitar la totalidad de la
tabla.

InformRequest[editar]
Un NMS que utiliza la versin 2 3 del protocolo SNMP transmite un mensaje de este tipo a
otro NMS con las mismas caractersticas, para notificar informacin sobre objetos
administrados, utilizando el protocolo de nivel 4(osi) TCP , y enviara el InformRequest hasta
que tenga un acuse de recibo.

Desarrollo y Uso[editar]
Versin 1[editar]
SNMP versin 1 (SNMPv1) es la implementacin inicial del protocolo SNMP. SNMPv1 opera a
travs de protocolos como el User Datagram Protocol (UDP), Protocolo de Internet (IP),
servicio de red sin conexin OSI (CLNS), AppleTalk Protocolo de datagramas de entrega
(DDP), y Novell Internet Packet Exchange (IPX). SNMPv1 es ampliamente utilizado y es el de
facto protocolo de gestin de red en la comunidad de Internet. Los primeros RFCs para SNMP,
ahora conocido como SNMPv1, aparecieron en 1988: RFC 1065 - Estructura e identificacin
de informacin de gestin para internet basadas en TCP / IP. RFC 1066 - Base de
informacin de gestin para la gestin de la red de internet basadas en TCP / IP. RFC 1067 Un protocolo simple de administracin de red. Estos protocolos estaban obsoletos por: RFC
1155 - Estructura e identificacin de informacin de gestin para internet basadas en TCP / IP.
RFC 1156 - Base de informacin de gestin para la gestin de la red de internet basadas en
TCP / IP. RFC 1157 - Un protocolo simple de administracin de red Despus de un corto
tiempo, RFC 1156 (MIB-1) fue reemplazada por la ms habitual: RFC 1213 - Versin 2 de la
base de informacin de gestin (MIB-2) para la gestin de la red de internet basadas en TCP /
IP

Versin 1 ha sido criticado por su falta de seguridad. La autenticacin de los clientes se realiza
slo por una "cadena de comunidad", en efecto, un tipo de contrasea, que se transmite en
texto plano. El diseo de los aos 80 de SNMP V1 fue realizado por un grupo de
colaboradores que vieron el MR / IETF / NSF patrocinado oficialmente (National Science
Foundation) esfuerzo (HEMS / CMIS / CMIP) ya que tanto inaplicable en las plataformas
informticas de la poca, as como potencialmente inviable. SNMP se aprob basndose en la
creencia de que se trataba de un Protocolo provisional necesaria para la toma de medidas
para el despliegue a gran escala de Internet y su comercializacin. En ese perodo de tiempo
de Internet estndar de autenticacin / seguridad era a la vez un sueo y desalentado por los
grupos de diseo de protocolos centrados.

Versin 2[editar]
SNMPv2 ( RFC 1441 - RFC 1452 ), revisa la versin 1 e incluye mejoras en las reas de
comunicaciones de rendimiento, la seguridad, confidencialidad e-manager-a gerente. Introdujo
GetBulkRequest , una alternativa a GetNextRequests iterativos para recuperar grandes
cantidades de datos de gestin en una sola solicitud. Sin embargo, el nuevo sistema de
seguridad basado en partidos en SNMPv2, visto por muchos como demasiado complejo, no
fue ampliamente aceptada. Esta versin de SNMP alcanzado el nivel de madurez de Norma,
pero se consider obsoleto por las versiones posteriores. Simple basada en la comunidad la
versin Network Management Protocol 2 , o SNMPv2c , se define en el RFC 1901 - RFC
1908 . SNMPv2c comprende SNMPv2 sin el nuevo modelo de seguridad de SNMP v2
controversial, utilizando en su lugar el sistema de seguridad basado en la simple comunidad
de SNMPv1. Esta versin es una de las relativamente pocas normas para cumplir con el
proyecto de nivel de madurez estndar del IETF, y fue considerado el de facto estndar
SNMPv2. Es tambin estaba obsoleto despus, por SNMPv3. Simple de usuario basada en la
versin Network Management Protocol 2 , o SNMPv2u , se define en el RFC 1909 - RFC
1910 . Este es un compromiso que pretende ofrecer una mayor seguridad que SNMPv1, pero
sin incurrir en la alta complejidad de SNMPv2. Una variante de este se comercializ como
SNMP v2 * , y el mecanismo fue finalmente adoptado como uno de los dos marcos de
seguridad de SNMP v3.
SNMPv1 y SNMPv2c interoperabilidad[editar]
Tal como est actualmente especificada, SNMPv2c es incompatible con SNMPv1 en dos
reas clave: los formatos de mensajes y operaciones de protocolo. Mensajes SNMPv2c
utilizan diferentes cabecera y la unidad de datos de protocolo (PDU) formatos de mensajes
SNMPv1. SNMPv2c tambin utiliza dos operaciones de protocolo que no estn especificados
en SNMPv1. Adems, RFC 2576 define dos posibles estrategias de coexistencia
SNMPv1/v2c: agentes de proxy y sistemas de gestin de red bilinges.
Agentes de proxy[editar]
Un agente SNMPv2 puede actuar como un agente proxy en nombre de dispositivos SNMPv1
administrados, de la siguiente manera: Un SNMPv2 NMS emite un comando destinado a un
agente SNMPv1. El NMS enva el mensaje SNMP para el agente proxy SNMPv2. El agente
proxy reenva Cmo, GetNext y Set mensajes al agente SNMPv1 sin cambios. Mensajes
GetBulk son convertidas por el agente proxy de GetNext mensajes y luego se envan al
agente SNMPv1. El agente proxy mapas de mensajes de captura SNMPv1 a SNMPv2
mensajes de captura y luego las enva a los nuevos Estados miembros.
Sistema de gestin de la red bilinge[editar]
Sistemas de gestin de red SNMPv2 Bilinges soportan tanto SNMPv1 y SNMPv2. Para
apoyar este entorno de gestin dual, una aplicacin para la gestin de los nuevos Estados
miembros bilinges debe ponerse en contacto con un agente. El NMS examina la informacin
almacenada en una base de datos local para determinar si el agente es compatible con

SNMPv1 o SNMPv2. Sobre la base de la informacin en la base de datos, el NMS se

comunica con el agente utilizando la versin adecuada de SNMP.

Versin 3[editar]
Aunque SNMPv3 no realiza cambios en el protocolo, aparte de la adicin de seguridad
criptogrfica, se ve muy diferente debido a las convenciones nuevo texto, los conceptos y la
terminologa.
SNMPv3 aadi principalmente la seguridad y mejoras de configuracin remota SNMP.
Debido a la falta de seguridad con el uso de SNMP, los administradores de red se utilizan
otros medios, tales como telnet para la configuracin, contabilidad y gestin de fallos.
SNMPv3 se ocupa de cuestiones relacionadas con el despliegue a gran escala de SNMP,
contabilidad y gestin de fallos. Actualmente, SNMP se utiliza principalmente para el control y
la gestin del rendimiento.
SNMPv3 define una versin segura de SNMP y tambin facilita la configuracin remota de las
entidades SNMP. SNMPv3 ofrece un entorno seguro para la gestin de sistemas que abarcan
los siguientes:

Identificacin de las entidades SNMP para facilitar la comunicacin slo entre

entidades SNMP conocidas - Cada entidad SNMP tiene un identificador llamado
snmpEngineID y comunicacin SNMP es posible slo si la entidad SNMP conoce la
identidad de su interlocutor. Trampas y notificaciones son excepciones a esta regla.

Soporte para los modelos de seguridad - Un modelo de seguridad puede definir la

poltica de seguridad dentro de un dominio administrativo o una intranet. SNMPv3
contiene las especificaciones para USM.

Definicin de los objetivos de seguridad, donde los objetivos del servicio de autenticacin de
mensajes incluyen la proteccin contra lo siguiente:

Modificacin de la informacin - Proteccin contra algunos no autorizados entidad que

altera SNMP en trnsito mensajes generados por un principal autorizado.

Masquerade - Proteccin contra intentar operaciones de gestin no autorizadas por

algn director al asumir la identidad de otra principal que cuenta con las autorizaciones
correspondientes.

Mensaje Corriente Modificacin - Proteccin contra mensajes que consiguen

maliciosamente reordenado, retrasado, o reproducido para efectuar las operaciones de
gestin autorizadas.

Divulgacin - Proteccin contra escuchas en los intercambios entre los motores de

SNMP.

Especificacin para USM - USM (Modelo de seguridad basada en el usuario) consiste en la

definicin general de los siguientes mecanismos de comunicacin disponibles:

Comunicacin sin autenticacin y privacidad (noAuthNoPriv).

La comunicacin con la autenticacin y sin privacidad (authNoPriv).

La comunicacin con la autenticacin y la privacidad (authpriv).

Definicin de diferentes protocolos de autenticacin y privacidad - Actualmente, los

protocolos de autenticacin MD5 y SHA y los protocolos de privacidad y CBC_DES
CFB_AES_128 se admiten en la USM.

Definicin de un procedimiento de descubrimiento - Para encontrar el snmpEngineID

de una entidad SNMP para una direccin de transporte comn y direccin de punto final
de transporte.

Definicin del procedimiento de sincronizacin de hora - Para facilitar la comunicacin

autenticado entre las entidades SNMP.

Definicin del marco MIB SNMP - Para facilitar la configuracin remota y

administracin de la entidad SNMP.

Definicin de las MIB USM - Para facilitar la configuracin remota y administracin del
mdulo de seguridad.

Definicin de las MIB VACM - Para facilitar la configuracin remota y administracin

del mdulo de control de acceso.

El SNMPv3 se centra en dos aspectos principales, a saber, la seguridad y la administracin. El

aspecto de seguridad se dirige, ofreciendo tanto una slida autenticacin y cifrado de datos
para la privacidad. El aspecto de la administracin se centra en dos partes, a saber los
originadores de notificacin y agentes proxy. SNMPv3 define una serie de capacidades
relacionadas con la seguridad. Las especificaciones iniciales definen la USM y VACM, que
ms tarde fueron seguidos por un modelo de seguridad de transporte que proporciona apoyo
a travs de SSH y SNMPv3 SNMPv3 en TLS y DTLS.

USM (basado en usuarios Modelo de seguridad) proporciona funciones de

autenticacin y privacidad (encriptacin) y opera en el nivel de mensaje.

VACM (Acceso basado Vista-Modelo de Control) determina si se permite a un director

dado acceso a un objeto MIB particular, para realizar funciones especficas y opera en el
nivel de PDU.

TSM (Modo de Seguridad del Transporte) proporciona un mtodo para la autenticacin

y el cifrado de mensajes a travs de los canales externos de seguridad. Dos transportes,
SSH y TLS / DTLS, han definido que hacen uso de la especificacin de TSM.

La seguridad ha sido la mayor debilidad de SNMP desde el principio. Autenticacin en

versiones de SNMP 1 y 2 asciende a nada ms que una contrasea (cadena de comunidad)
enviado en texto claro entre un gerente y agente. Cada mensaje SNMPv3 contiene los
parmetros de seguridad que estn codificados como una cadena de octetos. El significado de
estos parmetros de seguridad depende del modelo de seguridad que se utiliza. SNMPv3
proporciona caractersticas de seguridad importantes:

Confidencialidad - El cifrado de paquetes para impedir la obtencin de una fuente no

autorizada.

Integridad - Integridad de los mensajes para asegurar que un paquete no ha sido

alterado durante el trnsito que incluye un mecanismo de proteccin de repeticin de
paquetes opcionales.

Autenticacin - para comprobar que el mensaje es de una fuente vlida.

A partir de 2004 el IETF reconoce simple versin Protocolo de gestin de red 3 como se define
en el RFC 3411 - RFC 3418 (tambin conocido como STD0062) como la versin estndar
actual de SNMP. ElIETF ha designado SNMPv3 un completo estndar de Internet , el ms alto
nivel de madurez de un RFC. Considera versiones anteriores sean obsoletos (designndolos
diversamente "histrico" o "Obsoleto"). En la prctica, las implementaciones de SNMP
menudo soportan mltiples versiones: Tpicamente SNMPv1, SNMPv2c y SNMPv3.

Cuestiones de Aplicacin[editar]
Implementaciones SNMP varan entre los proveedores de plataformas. En algunos casos,
SNMP es una caracterstica adicional, y no se toma suficientemente en serio como un
elemento del diseo de la base. Algunos de los principales proveedores de equipos tienden a
sobre-extender su propia interfaz de lnea de comandos (CLI) de los sistemas de
configuracin y control centrados.
Estructura de rbol y lineal aparentemente simple de indexacin de SNMP no puede siempre
ser entendido lo suficientemente bien dentro de las estructuras de datos internas que son
elementos de diseo bsico de una plataforma. En consecuencia, las consultas de
procesamiento de SNMP en determinados conjuntos de datos pueden dar lugar a la utilizacin
de CPU superior al necesario. Un ejemplo de esto sera las grandes tablas de enrutamiento,
como BGP o IGP .

Indizacin de Recursos[editar]
Dispositivos modulares pueden aumentar o disminuir sus ndices de SNMP (aka instancias)
cada vez que se agrega o quita hardware ranurada de forma dinmica. Aunque esto es ms
comn con el hardware, interfaces virtuales tienen el mismo efecto. Los valores del ndice se
suelen asignar al momento del arranque y permanecen fijos hasta el siguiente reinicio.
Hardware o entidades virtuales aadidas mientras el dispositivo est "en directo" pueden tener
sus ndices asignados al final de la gama existente y posiblemente reasignados en el siguiente
reinicio. Herramientas de inventario y monitoreo de redes necesitan tener la capacidad de
actualizacin del dispositivo, haciendo reaccionar adecuadamente a la trampa de arranque en
fro desde el reinicio del dispositivo para evitar la corrupcin y la falta de coincidencia de los
datos consultados.
Asignaciones de ndice para una instancia de dispositivo SNMP pueden cambiar de encuesta
para sondear sobre todo como resultado de los cambios iniciados por el administrador del
sistema. Si se necesita informacin para una interfaz en particular, es imprescindible para
determinar el ndice de SNMP antes de recuperar los datos necesarios. Generalmente, una
tabla de descripcin como ifDescr asignar un nombre de usuario como la serie 0/1 (Blade 0,
puerto 1) a un ndice SNMP.

Implicaciones de Seguridad[editar]

SNMP versiones 1 y 2c estn sujetos a la deteccin de paquetes de la cadena de

comunidad borre el texto del trfico de red, ya que no implementan el cifradoss.

Todas las versiones de SNMP estn sujetos a la fuerza bruta y ataques de diccionario
para adivinar las cadenas de comunidad, cadenas de autenticacin, las claves de
autenticacin, cadenas de cifrado o claves de cifrado, ya que no implementan un
protocolo de enlace de desafo-respuesta .

Aunque SNMP funciona sobre TCP y otros protocolos, se utiliza con mayor frecuencia
sobre UDP que est sin conexin y vulnerables a la suplantacin de IP ataques. Por lo
tanto, todas las versiones estn sujetos a pasar por las listas de acceso de dispositivos
que podran haber sido implementadas para restringir el acceso SNMP, aunque otros
mecanismos de seguridad de SNMPv3 debe impedir un ataque exitoso.

Potente configuracin de SNMP (escritura) capacidades no estn siendo plenamente

utilizados por muchos vendedores, en parte debido a la falta de seguridad en las
versiones de SNMP SNMPv3 antes y en parte debido a que muchos dispositivos,
simplemente no son capaces de ser configurado a travs de cambios en los objetos MIB
individuales.

SNMP encabeza la lista del Instituto SANS Comn Defecto Problemas de

configuracin con el tema de las cadenas de comunidad SNMP por defecto establecidos
en 'pblico' y 'privado' y era el nmero diez en la escala SANS Top 10 amenazas de
seguridad de Internet ms crticos para el ao 2000.

Descubrimiento Automtico[editar]
SNMP por s mismo no es ms que un protocolo para la recoleccin y organizacin de
informacin. La mayora de los conjuntos de herramientas de aplicacin SNMP ofrecen algn
tipo de mecanismo de descubrimiento, una recopilacin normalizada de datos comunes a la
mayora de las plataformas y dispositivos, para obtener un nuevo usuario o implementador
comenzaron. Una de estas caractersticas es a menudo una forma de descubrimiento
automtico, donde los nuevos dispositivos detectados en la red se sondean automticamente.
Para SNMPv1 y SNMPv2c, esto representa un riesgo de seguridad, ya que su lectura SNMP
comunidades sern transmitidos en texto plano para el dispositivo de destino. Mientras que los
requisitos de seguridad y perfiles de riesgo varan de una organizacin a otra, se debe tener
cuidado al usar una funcin como esta, con especial atencin a los entornos comunes, como
los centros de datos mixtos e inquilinos, servidor de alojamiento y las instalaciones de
colocacin, y ambientes similares.