Parte II

SNMP

SNMP
O SNMP (Simple Network Management Protocol) um
protocolo de gerencia de redes cujo objetivo
disponibilizar uma forma simples e prtica de realizar o
controle dos equipamentos de uma rede de
computadores.
Definido em nvel de aplicao, O SNMP utiliza os
servios do protocolo de transporte UDP (User
Datagram Protocol) para enviar suas mensagens
atravs da rede.

SNMP Protocolo de Gerenciamento

SNMP
Nos ltimos anos o SNMP tem dominado o mercado de
sistemas de gerenciamento de redes devido,
principalmente, a sua simplicidade de implementao,
pois consome poucos recursos de redes e de
processamento, o que permite a sua incluso em
equipamentos bastante simples.
O SNMP ajuda o administrador a localizar e corrigir
erros ou problemas de uma rede.
Atravs de agentes SNMP, o administrador da rede
consegue visualizar estatsticas de trfego da rede e
aps analisar esses dados o administrador pode atuar
na rede, alterando a sua configurao.

SNMP
O SNMP foi desenvolvido no final dos anos 80 por um
grupo da Internet Engineering Task Force (IETF) e teve
sua origem em um protocolo para monitorao de
gateways IP, o Simple Gateway Management Protocol
(SGMP).
O modelo SNMP possui uma abordagem genrica,
podendo ser utilizado para gerenciar diferentes tipos de
sistemas. Sua especificao est contida no RFC 1157.

1989: SNMP v1
1992: Remote Monitoring RMON
1993: SNMP v2
1996: SNMP v2c (Community Security)
1996: MIB RMON v2
1998: SNMP v3 (User Security Model)

SNMP
Estrutura Geral do Sistema e Funcionamento
O modelo de gerenciamento consiste em um
esquema centralizado, isto , uma estao (host)
configurada como gerente e os demais elementos da
rede desempenham o papel de agentes.
Um agente serve de procurador para aqueles
equipamentos que no implementam o SNMP. Cada
agente possui uma MIB que contm as variveis
relativas aos objetos gerenciados.

Estrutura Geral do Sistema e

Funcionamento
O modelo genrico compreende trs componentes:
um conjunto de objetos gerenciados,
correspondente a um agente e uma MIB
associada;
uma estao de gerenciamento de rede;
um protocolo de gerenciamento de rede que
usado pela estao gerente e pelos agentes na
troca de informaes de gerenciamento

Estrutura Geral do Sistema e Funcionamento

Gerente

Agente
SNMP

MIB
Legenda:
- Objeto Gerenciado
MIB - Management Information Base

Agente

SNMP- Simple Network Management Protocol

MIB

Processo de Comunicao:

Estao de Gerenciamento

N Gerenciado

Requisies
Respostas

GERENTE

PROTOCOLO
DE
GERNCIA

AGENTE

MIB

SNMP
Gerente SNMP
Requisita informaes dos recursos gerenciados
Analisa estas informaes para deteco de diagnstico

Agente SNMP
Prover ao gerente informaes sobre os recursos
gerenciados

SNMP
Protocolo SNMP
Utiliza o protocolo UDP para a comunicao
Fornece operaes a serem executadas sobre os objetos
gerenciados
Verses
SNMPv1
SNMPv2
SNMPv3

Monitorao da Rede
A monitorao consiste na observao de
informaes relevantes ao gerenciamento.
Estas informaes podem ser classificadas em
trs categorias:
Esttica: caracteriza a configurao atual e os
elementos na atual configurao, tais como o nmero
e identificao de portas em um roteador;
Dinmica: relacionada com os eventos na rede, tais
como a transmisso de um pacote na rede;
Estatstica: pode ser derivada de informaes
dinmicas; por exemplo, mdia de pacotes
transmitidos por unidade de tempo em um
determinado sistema.

Monitorao da Rede
A informao de gerenciamento coletada e
armazenada por agentes e repassada para um ou mais
gerentes.
Duas tcnicas podem ser utilizadas na comunicao
entre agentes e gerentes: polling e event-reporting.
A tcnica de polling consiste em uma interao do tipo
request/response entre um gerente e um agente. O
gerente pode solicitar a um agente (com o qual ele
esteja autorizado a se comunicar) o envio de valores de
diversos elementos de informao. O agente responde
com os valores constantes em sua MIB.

Monitorao da Rede
Na tcnica de event-reporting, a iniciativa do
agente.
O gerente fica na escuta, esperando pela
chegada de informaes.
Um agente pode gerar um relatrio
periodicamente para fornecer ao gerente o seu
estado atual.
A periodicidade do relatrio pode ser configurada
previamente pelo gerente. Um agente tambm pode
enviar um relatrio quando ocorre um evento
significativo ou no usual.

Monitorao da Rede
Duas formas de transportar informaes da MIB:
comandos e eventos
managing
entidade
gerenciadora
entity

pedido

managing
entidade
gerenciadora
entity

trap msg
resposta

agente
agent
data

elemento
gerenciado
Managed
device

Modo comando/resposta

agente
agent
data

elemento
gerenciado
Managed
device

Modo evento

Monitorao de Rede
Tanto o polling quanto o event-reporting so usados nos
sistemas de gerenciamento, porm a nfase dada a
cada um dos mtodos difere muito entre os sistemas.
Em sistemas de gerenciamento de redes de
telecomunicaes, a nfase maior dada para o mtodo
de relatrio de evento. Em contraste, o modelo SNMP
d pouca importncia ao relatrio de evento. O modelo
OSI fica entre estes dois extremos.

Monitorao de Rede
A escolha da nfase depende de um nmero de fatores,
incluindo os seguintes:
a quantidade de trfego gerada por cada mtodo;
robustez em situaes crticas;
o tempo entre a ocorrncia do evento e a notificao
ao gerente;
a quantidade de processamento nos equipamentos
gerenciados;
a problemtica referente transferncia confivel
versus transferncia no confivel;
as aplicaes de monitorao de rede suportadas;
as consideraes referentes ao caso em que um
equipamento falhe antes de enviar um relatrio.

Controle de Rede
Esta parte do gerenciamento de rede diz respeito
modificao de parmetros e execuo de aes em
um sistema remoto. Todas as cinco reas funcionais de
gerenciamento (falhas, desempenho, contabilizao,
configurao e segurana), envolvem monitorao e
controle. Tradicionalmente, no entanto, a nfase das
trs primeiras destas reas tem sido na monitorao,
enquanto que, nas duas ltimas, o controle tem sido
mais enfatizado. Alguns aspectos de controle na
gerncia de configurao e de segurana so
apresentados a seguir.

Controle de Rede
O controle de configurao inclui as seguintes
funes:
definio da informao de configurao - recursos e
atributos dos recursos sujeitos ao gerenciamento;
atribuio e modificao de valores de atributos;
definio e modificao de relacionamentos entre
recursos ou componentes da rede;
inicializao e terminao de operaes de rede;
distribuio de software;
exame de valores e relacionamentos;
relatrios de status de configurao.

Controle de Rede
O controle de segurana relativo segurana dos
recursos sob gerenciamento, incluindo o prprio sistema
de gerenciamento. Os principais objetivos em termos de
segurana, so relativos confidencialidade, integridade
e disponibilidade. As principais ameaas segurana
referem-se interrupo, interceptao, modificao e
mascaramento.
As funes de gerenciamento de segurana podem ser
agrupadas em trs categorias:
manuteno da informao de segurana;
controle de acesso aos recursos;
controle do processo de criptografia.

MIB (Management Information Base)

Antes de definir o que uma MIB, introduziremos o
conceito de objetos gerenciados.
Um objeto gerenciado a viso abstrata de um recurso
real do sistema. Assim, todos os recursos da rede que
devem ser gerenciados so modelados, e as estruturas
dos dados resultantes so os objetos gerenciados. Os
objetos gerenciados podem ter permisses para serem
lidos ou alterados, sendo que cada leitura representar
o estado real do recurso e, cada alterao tambm ser
refletida no prprio recurso.
Dessa forma, a MIB o conjunto dos objetos
gerenciados, que procura abranger todas as
informaes necessrias para a gerncia da rede.

MIB (Management Information Base)

Funes da MIB

Falha;
Configurao;
Desempenho;
Segurana;
Contabilizao;

MIB (Management Information Base)

As informaes que se encontram nos nodos
agentes ficam organizadas em bases de
informaes
de
gerncia
chamadas
Management Information Base (MIB) que so
definidas em uma estrutura chamada Structure
of Management Information SMI.A. SMI
especifica como as informaes de gerncia
sero agrupadas e denominadas, definindo os
tipos de dados e sintaxe utilizada na MIB de
forma a evitar a dependncia dos detalhes de
implementao dos equipamentos utilizados em
rede.

MIB (Management Information Base)

A MIB pode ser definida como um conjunto
gerencivel de recursos em determinado nodo. Ela
formada por uma estrutura de rvore dividida por
tipos de informao e contm as caractersticas de
cada recurso que possam interessar a gerncia.

MIB (Management Information Base)

A estrutura hierrquica das variveis de gerncia

MIB (Management Information Base)

Na MIB, os objetos gerenciados so
representados por variveis que esto dispostas
em uma estrutura hierrquica (rvore), onde as
folhas definem a informao e os ns definem a
estrutura.
A MIB no contm os dados reais, apenas os
organiza de forma adequada. Ela no guarda
valores de instncia, desta forma quando um
gerente requisita uma instncia, cabe ao agente
realizar a consulta ao nodo e transmitir o valor
correspondente.

MIB (Management Information Base)

A identificao e a forma de representao dos objetos
contidos na MIB so definidos na linguagem abstrata
Abstract Syntax Notation One ASN.1, desenvolvida
pelo rgo International Telecommunication Union (ITU).
Ela se caracteriza por representar as informaes sem
levar em considerao as estruturas e restries dos
equipamentos utilizados no sistema. Dessa maneira a
linguagem ASN.1 tem como objetivo fornecer uma forma
de representao genrica para a definio do formato
das PDU trocadas pelo protocolo e dos objetos que so
gerenciados.

MIB (Management Information Base)

A identificao do objeto referida por Object Identifier OID e uma vez que o objeto registrado com um
determinado OID ele no poder ser eliminado nem sua
definio alterada.
A MIB pode ter 3 classicaes possveis:
MIB Padro: Possui um conjunto de objetos bem definidos,
conhecidos e aceitos pelos grupos e padres Internet;
MIB Experimental: Estas MIBs podem conter informaes
especficas sobre outros elementos da rede e gerenciamento de
dispositivos que so considerados importantes. Este termo
experimental como se fosse um ensaio para a MIB se tornar
padro;
MIB Privada: So projetadas por empresas individuais
exclusivamente para seus dispositivos de rede.

MIB (Management Information Base)

Estrutura Hierrquica da MIB

Exemplo de MIB : mdulo UDP

Object ID

Nome

1.3.6.1.2.1.7.1

UDPInDatagrams Counter32 nmero total de datagramas

entregues neste n

Tipo

Comentrios

1.3.6.1.2.1.7.2

UDPNoPorts

1.3.6.1.2.1.7.3

UDPInErrors

1.3.6.1.2.1.7.4

UDPOutDatagrams Counter32 nmero de datagramas

enviados

1.3.6.1.2.1.7.5

udpTable

Counter32 nmero de datagramas

com app destino inexistente
Counter32 nmero de datagramas no
entregues por outras razes

SEQUENCE uma linha para cada porta emn

uso por uma aplicao, fornece

o nmero da porta e o
endereo IP

10

Nomeao de Objetos
Questo: Como nomear cada possvel objeto
padro (protocolos, dados, outros..) em cada
possvel padro de rede??
Resposta: ISO Object Identifier tree:
nomeao hierrquica de todos os objetos
cada ramificao tem um nome e um nmero

1.3.6.1.2.1.7.1
udpInDatagrams
UDP
MIB2
management

ISO
ISO-ident. Org.
US DoD
Internet

Protocolo SNMP: tipos de

mensagens
Tipo de Mensagem
GetRequest
GetNextRequest
GetBulkRequest

Funo
Manager-to-agent: me envie dados
(instncia,prximo na lista, bloco)

InformRequest

Manager-to-Manager: eis o valor da MIB

SetRequest

Manager-to-agent: define valor da MIB

Response
Trap

Agent-to-manager: valor, resposta ao pedido

Agent-to-manager: informa
gerenciador de evento excepcional

SNMP / Operaes do SNMP

Get;
Utilizada para ler o valor de uma varivel; o
gerente solicita que o agente obtenha o valor
da varivel;

Set;
Utilizada para alterar o valor da varivel; o
gerente solicita que o agente faa uma
alterao no valor de uma varivel;

Trap;
Utilizada para comunicar um evento; o agente
comunica ao gerente o acontecimento de um
evento previamente determinado.

11

Protocolo SNMP: formatos de

mensagens
Cabealho Get/Set

Cabealho do Trap

Variveis para Operaes

Informao do Trap

Formato do Protocolo SNMP

ASN.1: Abstract Syntax Notation

1
Padro ISO X.208
usado extensivamente na Internet
como comer verduras: saber isto bom para voc!

Tipos de dados definidos, construtores de objetos

como SMI

BER: Basic Encoding Rules

especifica como os dados definidos em ASN.1 devem ser
transmitidos
cada objeto transmitido tem codificao Type, Length, Value
(TLV) - Tipo, Tamanho, Valor

12

Transmisso de uma Mensagem SNMP

Uma entidade SNMP realiza as seguintes aes para

transmitir um de cinco tipos de PDU para outra
entidade SNMP:
a) O PDU construdo usando a estrutura ANS.1, definida no
RFC 1157
b) Este PDU ento passado para um servio de autenticao,
junto com o endereo de origem e destino e o nome da
comunidade. O servio de autenticao realiza qualquer
transformao para esta troca, assim como criptografia ou a
incluso de um cdigo de autenticao e retorna o resultado.
c) A entidade do protocolo ento constri a mensagem,
consistindo de um campo verso, nome da comunidade, e o
resultado do passo b.

Transmisso de uma Mensagem SNMP

A leitura realizada atravs do transporte de variveis
informadas pelo agente tendo como resposta os respectivos
valores destas variveis. A escrita envia uma lista de
variveis informando os novos valores a serem adotados por
estas mesmas variveis.
Dispositivos diferentes contm informaes diferentes, alm
disso, o conjunto de variveis (MIB) a ser adotado por um
agente pode ser expandido ou alterado pelo administrador.
Dessa forma realizada uma operao transversal (get-next)
implementada pelo protocolo SNMP para informar o prximo
valor contido na base de informaes, sendo que o gerente
identifica o final da MIB atravs do retorno de um valor
invlido. Para entender as regras da verso 1 do SNMP, as
operaes de gerenciamento devero implementar processos
para execuo das requisies: GetRequest, SetRequest e
GetNextRequest PDUs (Protocolo de Unidade de Dados).

Codificao TLV
Idia: os dados transmitidos so auto-identificveis
T: tipo de dados, um dos tipos definidos em ASN.1
L: tamanho dos dados em bytes
V: valor do dados, codificado de acordo com as regras do
ASN.1

Valor do Tag
1
2
3
4
5
6
9

Tipo
Booleano
Inteiro
Cadeia de bits
Cadeia de octeto
Nulo
Identificador de Objeto
Real

13

Codificao TLV
exemplo

Mdulo de declaraes
de tipo de dados escritas
em ASN.1

Instncias de tipo de
dados especificadas
no mdulo

Valor, 259
Tamanho, 2 bytes
Tipo=2, inteiro
cadeia de bytes
transmitidos

Valor, 5 octetos (caracteres)

Tamanho, 5 bytes
Tipo=4, cadeia de octetos

PDUs do SNMP

As Protocol Data Units (PDUs) do protocolo SNMP verso1 so

brevemente descritas a seguir:
PDU GET. Serve para o gerente enviar a um agente um pedido
de leitura de uma varivel de gerncia. A PDU contm o Object
Identifier (OID) da instncia a ser lida.
PDU RESPONSE. O agente responde s PDUs GET, GETNEXT e SET com uma resposta contida numa PDU deste tipo.
PDU SET. Serve para o gerente enviar a uma gente um pedido
de alterao de uma varivel de gerncia.

PDU GET-NEXT. Em alguns casos, a PDU GET no pode ser usada

par ler uma varivel de gerncia, porque o OID no conhecido.
Imagine, por exemplo, ler informao da tabela de interfaces ifTable
discutida anteriormente. Como o gerente no sabe os valores da chave
ifIndex que correspondem a cada interface de rede, ele obrigado a
usar a PDU GET-NEXT que permite varrer a tabela seqencialmente
sem saber os OIDs exatos contidas nela.
PDU TRAP. Esta PDU usada pelo agente para informar eventos
extraordinrios ao gerente.

SNMP Caractersticas
Protocolo do tipo Request-Response, no-orientado
conexo
Utilizao do UDP

Operaes atmicas
Se o gerente enviar um pedido de leitura dos valores de uma
lista de objetos e um dos objetos no puder ser lido, no ser
devolvido o valor de nenhum dos objetos

Gerenciamento Centralizado
Define apenas operaes entre gerente e agentes
No so definidas primitivas de comunicao entre gerentes

14

SNMP Caractersticas (2)

Mecanismo bsico: Polling

Para obter informaes
de recursos gerenciados,
o gerente deve
periodicamente requisitar
o valor dos objetos da
MIB e, baseado nestes
valores, decidir se o
dispositivo est operando
normalmente

SNMP Operaes de Protocolo

Segurana no Protocolo SNMP

O protocolo SNMP pode realizar operaes de reconfigurao na

rede alterando caractersticas de equipamentos ou at desligando
mquinas, sendo que no existe qualquer mecanismo de segurana
aplicado ao contedo das mensagens.
O controle feito atravs da verificao do contedo de um campo
especial no pacote do SNMP denominada comunidade
(community).
A comunidade definida como sendo o relacionamento entre duas
entidades do SNMP.
Ela definida como um conjunto de bytes formando caracteres
ASCII que sero utilizados para efetuar este relacionamento.
Dessa forma, quando realizada a comunicao entre duas
entidades do SNMP, a entidade destinatria da mensagem realiza a
verificao do contedo da comunidade para averiguar se esta
informao proveniente do remetente indicado.

15

SNMP Agent: Community Names

SNMP Agent: Community Names

Atravs da comunidade possvel que o agente realize
uma verificao da integridade do agente realizando
autenticao e polticas de acesso (agente controla que
diferentes gerentes podem obter diferentes variveis da
MIB) atravs deste campo. O mais importante no
entendimento de comunidade, que sem o
conhecimento prvio da comunidade de um determinado
equipamento gerencivel, ser impossvel a qualquer
aplicao de gerncia acessar as informaes da MIB.
Outra considerao importante que um equipamento
pode ter mais de uma comunidade configurada, como
uma com direitos de leitura, escrita e trap. Portanto, um
mesmo equipamento poder contar com trs strings de
comunidade diferentes. Isto tem o objetivo de se
aumentar a segurana no acesso aos equipamentos.

Segurana do SNMP

No exemplo, o arquivo snmpd.conf onde se pode configurar o

acesso que se quer fornecer s estaes gerente quando realizam
a requisio SNMP. Pode-se limitar o acesso com read-only e readwrite. Com esse tipo de autenticao, o acesso a MIB se torna
pouco seguro, devido principalmente a:
Identificao da origem: a comunidade transmitida sem qualquer
proteo
Integridade da mensagem: ao ser interceptada a mensagem no
garante qualquer proteo referente ao contedo
Tempo-limite: perodo de tempo que a mensagem pode ficar presa por
algum servio
Privacidade: qualquer servio pode monitorar uma comunicao entre
entidades SNMP
Autorizao: no h controle de autorizao de acesso aos dados da
MIB

16

SNMP - Segurana
A poltica de acesso SNMP baseada na
definio de:
Comunidade SNMP: define a relao existente entre
um agente e um conjunto de gerentes. Cada
comunidade deve possuir um nome, que deve ser
fornecido em todas as operaes de get and set.
Perfil da Comunidade: associa comunidade:
Viso da MIB: corresponde a um subconjunto da MIB
que pode ser acessada pela comunidade (dificilmente
implementada)
Modo de Acesso: especifica o modo de acesso (readonly ou read-write) permitido.

SNMP Segurana (2)

Poltica de Acesso SNMP

Exemplo 1
roteador do fabricante XXX
Comunidades suportadas: 2
Comunidade 1: public

Permisso de acesso: qualquer gerente

MIB View: todas as variveis
Modo de Acesso: RO (Read-Only)

Comunidade 1: private

Permisso de acesso: qualquer gerente

MIB View: todas as variveis
Modo de Acesso: RW (Read-Write)

17

Poltica de Acesso SNMP

Exemplo 2
switch do fabricante YYY
Comunidades suportadas: 2
Comunidade 1: public

Permisso de acesso: qualquer gerente

MIB View: estatsticas das interfaces
Modo de Acesso: RO (Read-Only)

Comunidade 1: private

Permisso de acesso: g1 (ip: 10.0.2.4), g2 (ip: 10.1.4.9)

MIB View: todas as variveis
Modo de Acesso: RW (Read-Write)

SNMPv1 - Limitaes

Inadequado para redes muito grandes devido ao

problema de desempenho decorrente da utilizao
do mecanismo de polling (operaes de get e set).
Inadequado para transferir grande volume de
dados.
Baixa confiabilidade dos traps: inexistncia de
reconhecimento e operao sobre o UDP.
Segurana a nvel bsico (mecanismo de
autenticao).
Inexistncia de suporte comunicao gerentegerente.

SNMPv2

Alteraes para resolver problemas SNMPv1

Gerenciamento Distribudo
Transporte de dados mais eficiente

O que foi alterado ?

Novos objetos MIB para comunicao gerentegerente.
Novas operaes
Inform Request comunicao gerente-gerente
Get Bulk Request GetNext mais eficiente

Alterao nome/formato operaes existentes

18

SNMPv2 Operaes do
Protocolo (1)

SNMPv2 Operaes do
Protocolo (2)

SNMPv1 X SNMPv2

SNMPv1
Gerenciamento
Centralizado.
MIB agente-gerente

SNMPv2
Gerenciamento Distribudo.
MIBs:

Protocolo
No-Orientado Conexo.
Operaes entre agente e
gerente
UDP

Protocolo
No-Orientado Conexo.
Operaes agente-gerente
e gerente-gerente
UDP

Segurana
Autenticao - Comunidade

Segurana
Autenticao - Comunidade

agente-gerente.
gerente-gerente.

19

Ataques Detectveis em SNMPv2

IP Spoofing;
DoS e DDos;
Port Scan;
Cavalos de Tria;
Backdoor

SNMPv3 - Objetivos

Aumentar segurana e controle de acesso para

operaes
Definio de uma nova arquitetura para
Facilitar a integrao das diferentes verses do SNMP
Facilitar a evoluo de alguns mecanismos do SNMP sem exigir
novas verses do SNMP
Facilitar a integrao de novos mecanismos ao SNMP

Manter o SNMP simples

Reutilizar especificaes existentes sempre que
possvel

SNMPv3 Caractersticas (1)

Incorporao de mecanismos de segurana
View-Based Access Control Model
User-Based Security Model

Definio da organizao interna do agente/gerente

SNMP
Permite a definio de novos mecanismos sem exigir uma
nova arquitetura

20

SNMPv3 Caractersticas (2)

No so definidos uma nova SMI, MIB ou novas

operaes para os protocolos de gerenciamento
Utiliza SMIv1 ou, preferencialmente, a SMIv2
Utiliza MIB-II
Utiliza operaes do SNMPv2 (norma reescrita para
compatibilidade com nomenclatura do v3)

Nova MIB para funcionalidades adicionais do

SNMPv3
Configurao remota de parmetros de segurana
Configurao de Proxy
Entre outros

Nomenclatura SNMPv3 (1)

SNMP Entity (Entidade)
Agente (tradicional ou proxy) ou Gerente (tradicional
ou intermedirio)
Funcionalidades dependente das Aplicaes SNMP
da Entidade

SNMP Applications (Aplicao)

Aplicaes para a construo de agentes e gerentes
Ex.:
Command Generator, Command Responder
Notification Originator, Notification Receiver
Proxy Forwarder

Nomenclatura SNMPv3 (2)

SNMP Engine (Motor)

Responsvel pelo processamento das Mensagens
Subsistemas para Segurana, Controle de Acesso,
mapeamento da mensagem entre diversas camadas
de transporte e das diferentes verses SNMP

Context
Em agentes proxy gerenciando diversos elementos,
cada elemento identificado por um contexto

21

Gerente em SNMPv3

Agente em SNMPv3

User Security Model (USM)

Projetado para proteger a mensagem contra

Modificao de informaes
Identidade forjada (Masquerading)
Modificao da seqncia de mensagens (Replay
Attack)
Leitura de contedo

No protege agente contra

Denial of Service (ataques DoS ou DDoS)
Criptanlise

22

USM - Caractersticas
Diferentes nveis de segurana para a
mensagem SNMPv3
Com autenticao e privacidade
Com autenticao e sem privacidade
Sem autenticao e privacidade

Baseia-se em mecanismos de segurana

desenvolvidos para o IPSec (padro de VPN
para redes IP)

USM Autenticao e
Criptografia

USM Outros mecanismos de Segurana

Timeliness
Sincronizao de relgios (loose synchronization)
Proteo contra atrasos e replay attacks

Gerenciamento de chaves
2 chaves: para autenticao e privacidade
Seqncia de chaves geradas a partir da senha do
usurio
Para cada agente utilizado 1 par de chaves

Mecanismo para troca de chaves

Entidades SNMP trocam periodicamente as chaves
Protocolo IKE (Internet Key Exchange)

23

View-Based Access Control Module - VACM

Objetivos do VACM
Determinar se um usurio remoto pode acessar um objeto
da MIB

Como feito o controle de acesso ?

Baseia deciso em uma tabela de controle de acesso
Tabela pode ser configurada remotamente, via SNMP

VACM Elementos de Controle

Access Control Tables

24

Consideraes Finais SNMPv3

Novas implementaes de agentes devem usar

SNMPv3 (padro desde dez-02)
Melhorias

Melhor modularidade da arquitetura

Elementos da arquitetura melhor especificados
Mecanismos de segurana

Porm ainda h (e haver) muitos dispositivos SNMPv1

Arquitetura SNMP
Protocolo SNMPv3
Caractersticas do Protocolo
7 Primitivas (5 primitivas para SNMPv1)

Gerenciamento Centralizado (v1) e/ou Distribudo

(v2 / v3)
Segurana baseada em comunidade (v1) ou com
mecanismos adicionais (USM / VACM do v3)

Gerenciamento de Segurana (1)

Objetivos:
gerenciar os mecanismos e procedimentos que
proporcionam a proteo aos recursos da rede;
manter e manipular registros de segurana;
garantir a manuteno da poltica de segurana
estabelecida.

25

Gerenciamento de Segurana (2)

Gerenciar as facilidades, os servios e os mecanismos

de segurana, de modo a proteger os recursos
segurana, de modo a proteger os recursos
computacionais e de rede contra ameaas ou violaes.
Monitorar a utilizao de tais recursos e as operaes
Monitorar a utilizao de tais recursos e as operaes
efetuadas pelos seus usurios.
Criar, remover e controlar os servios de segurana.
Manter e tratar Manter e tratar logs de segurana.
Emitir relatrios de eventos de segurana.
Reagir a eventos de ameaa.

Gerenciamento de Segurana(3)

responsvel pela
proteo contra ataques
aos componentes da
rede.

Bibliografia
Gabos, Denis.; Melo, Tereza C. Apostila de
Gerenciamento de Redes, EPUSP, 2003.
Stallings, W. SNMP, SNMPv2, SNMPv3 and
RMON1 and 2. 3rd ed. 7th printing, 2003.
Kurose; Ross. Redes de Computadores e a
Internet. Uma nova Abordagem. Pearson
Education, 2003.

26