Escolar Documentos
Profissional Documentos
Cultura Documentos
SNMP
SNMP
O SNMP (Simple Network Management Protocol) um
protocolo de gerencia de redes cujo objetivo
disponibilizar uma forma simples e prtica de realizar o
controle dos equipamentos de uma rede de
computadores.
Definido em nvel de aplicao, O SNMP utiliza os
servios do protocolo de transporte UDP (User
Datagram Protocol) para enviar suas mensagens
atravs da rede.
SNMP
Nos ltimos anos o SNMP tem dominado o mercado de
sistemas de gerenciamento de redes devido,
principalmente, a sua simplicidade de implementao,
pois consome poucos recursos de redes e de
processamento, o que permite a sua incluso em
equipamentos bastante simples.
O SNMP ajuda o administrador a localizar e corrigir
erros ou problemas de uma rede.
Atravs de agentes SNMP, o administrador da rede
consegue visualizar estatsticas de trfego da rede e
aps analisar esses dados o administrador pode atuar
na rede, alterando a sua configurao.
SNMP
O SNMP foi desenvolvido no final dos anos 80 por um
grupo da Internet Engineering Task Force (IETF) e teve
sua origem em um protocolo para monitorao de
gateways IP, o Simple Gateway Management Protocol
(SGMP).
O modelo SNMP possui uma abordagem genrica,
podendo ser utilizado para gerenciar diferentes tipos de
sistemas. Sua especificao est contida no RFC 1157.
1989: SNMP v1
1992: Remote Monitoring RMON
1993: SNMP v2
1996: SNMP v2c (Community Security)
1996: MIB RMON v2
1998: SNMP v3 (User Security Model)
SNMP
Estrutura Geral do Sistema e Funcionamento
O modelo de gerenciamento consiste em um
esquema centralizado, isto , uma estao (host)
configurada como gerente e os demais elementos da
rede desempenham o papel de agentes.
Um agente serve de procurador para aqueles
equipamentos que no implementam o SNMP. Cada
agente possui uma MIB que contm as variveis
relativas aos objetos gerenciados.
Agente
SNMP
MIB
Legenda:
- Objeto Gerenciado
MIB - Management Information Base
Agente
MIB
Processo de Comunicao:
Estao de Gerenciamento
N Gerenciado
Requisies
Respostas
GERENTE
PROTOCOLO
DE
GERNCIA
AGENTE
MIB
SNMP
Gerente SNMP
Requisita informaes dos recursos gerenciados
Analisa estas informaes para deteco de diagnstico
Agente SNMP
Prover ao gerente informaes sobre os recursos
gerenciados
SNMP
Protocolo SNMP
Utiliza o protocolo UDP para a comunicao
Fornece operaes a serem executadas sobre os objetos
gerenciados
Verses
SNMPv1
SNMPv2
SNMPv3
Monitorao da Rede
A monitorao consiste na observao de
informaes relevantes ao gerenciamento.
Estas informaes podem ser classificadas em
trs categorias:
Esttica: caracteriza a configurao atual e os
elementos na atual configurao, tais como o nmero
e identificao de portas em um roteador;
Dinmica: relacionada com os eventos na rede, tais
como a transmisso de um pacote na rede;
Estatstica: pode ser derivada de informaes
dinmicas; por exemplo, mdia de pacotes
transmitidos por unidade de tempo em um
determinado sistema.
Monitorao da Rede
A informao de gerenciamento coletada e
armazenada por agentes e repassada para um ou mais
gerentes.
Duas tcnicas podem ser utilizadas na comunicao
entre agentes e gerentes: polling e event-reporting.
A tcnica de polling consiste em uma interao do tipo
request/response entre um gerente e um agente. O
gerente pode solicitar a um agente (com o qual ele
esteja autorizado a se comunicar) o envio de valores de
diversos elementos de informao. O agente responde
com os valores constantes em sua MIB.
Monitorao da Rede
Na tcnica de event-reporting, a iniciativa do
agente.
O gerente fica na escuta, esperando pela
chegada de informaes.
Um agente pode gerar um relatrio
periodicamente para fornecer ao gerente o seu
estado atual.
A periodicidade do relatrio pode ser configurada
previamente pelo gerente. Um agente tambm pode
enviar um relatrio quando ocorre um evento
significativo ou no usual.
Monitorao da Rede
Duas formas de transportar informaes da MIB:
comandos e eventos
managing
entidade
gerenciadora
entity
pedido
managing
entidade
gerenciadora
entity
trap msg
resposta
agente
agent
data
elemento
gerenciado
Managed
device
Modo comando/resposta
agente
agent
data
elemento
gerenciado
Managed
device
Modo evento
Monitorao de Rede
Tanto o polling quanto o event-reporting so usados nos
sistemas de gerenciamento, porm a nfase dada a
cada um dos mtodos difere muito entre os sistemas.
Em sistemas de gerenciamento de redes de
telecomunicaes, a nfase maior dada para o mtodo
de relatrio de evento. Em contraste, o modelo SNMP
d pouca importncia ao relatrio de evento. O modelo
OSI fica entre estes dois extremos.
Monitorao de Rede
A escolha da nfase depende de um nmero de fatores,
incluindo os seguintes:
a quantidade de trfego gerada por cada mtodo;
robustez em situaes crticas;
o tempo entre a ocorrncia do evento e a notificao
ao gerente;
a quantidade de processamento nos equipamentos
gerenciados;
a problemtica referente transferncia confivel
versus transferncia no confivel;
as aplicaes de monitorao de rede suportadas;
as consideraes referentes ao caso em que um
equipamento falhe antes de enviar um relatrio.
Controle de Rede
Esta parte do gerenciamento de rede diz respeito
modificao de parmetros e execuo de aes em
um sistema remoto. Todas as cinco reas funcionais de
gerenciamento (falhas, desempenho, contabilizao,
configurao e segurana), envolvem monitorao e
controle. Tradicionalmente, no entanto, a nfase das
trs primeiras destas reas tem sido na monitorao,
enquanto que, nas duas ltimas, o controle tem sido
mais enfatizado. Alguns aspectos de controle na
gerncia de configurao e de segurana so
apresentados a seguir.
Controle de Rede
O controle de configurao inclui as seguintes
funes:
definio da informao de configurao - recursos e
atributos dos recursos sujeitos ao gerenciamento;
atribuio e modificao de valores de atributos;
definio e modificao de relacionamentos entre
recursos ou componentes da rede;
inicializao e terminao de operaes de rede;
distribuio de software;
exame de valores e relacionamentos;
relatrios de status de configurao.
Controle de Rede
O controle de segurana relativo segurana dos
recursos sob gerenciamento, incluindo o prprio sistema
de gerenciamento. Os principais objetivos em termos de
segurana, so relativos confidencialidade, integridade
e disponibilidade. As principais ameaas segurana
referem-se interrupo, interceptao, modificao e
mascaramento.
As funes de gerenciamento de segurana podem ser
agrupadas em trs categorias:
manuteno da informao de segurana;
controle de acesso aos recursos;
controle do processo de criptografia.
Falha;
Configurao;
Desempenho;
Segurana;
Contabilizao;
Nome
1.3.6.1.2.1.7.1
Tipo
Comentrios
1.3.6.1.2.1.7.2
UDPNoPorts
1.3.6.1.2.1.7.3
UDPInErrors
1.3.6.1.2.1.7.4
1.3.6.1.2.1.7.5
udpTable
10
Nomeao de Objetos
Questo: Como nomear cada possvel objeto
padro (protocolos, dados, outros..) em cada
possvel padro de rede??
Resposta: ISO Object Identifier tree:
nomeao hierrquica de todos os objetos
cada ramificao tem um nome e um nmero
1.3.6.1.2.1.7.1
udpInDatagrams
UDP
MIB2
management
ISO
ISO-ident. Org.
US DoD
Internet
Funo
Manager-to-agent: me envie dados
(instncia,prximo na lista, bloco)
InformRequest
SetRequest
Response
Trap
Agent-to-manager: informa
gerenciador de evento excepcional
Set;
Utilizada para alterar o valor da varivel; o
gerente solicita que o agente faa uma
alterao no valor de uma varivel;
Trap;
Utilizada para comunicar um evento; o agente
comunica ao gerente o acontecimento de um
evento previamente determinado.
11
Cabealho do Trap
Informao do Trap
12
Codificao TLV
Idia: os dados transmitidos so auto-identificveis
T: tipo de dados, um dos tipos definidos em ASN.1
L: tamanho dos dados em bytes
V: valor do dados, codificado de acordo com as regras do
ASN.1
Valor do Tag
1
2
3
4
5
6
9
Tipo
Booleano
Inteiro
Cadeia de bits
Cadeia de octeto
Nulo
Identificador de Objeto
Real
13
Codificao TLV
exemplo
Mdulo de declaraes
de tipo de dados escritas
em ASN.1
Instncias de tipo de
dados especificadas
no mdulo
Valor, 259
Tamanho, 2 bytes
Tipo=2, inteiro
cadeia de bytes
transmitidos
PDUs do SNMP
SNMP Caractersticas
Protocolo do tipo Request-Response, no-orientado
conexo
Utilizao do UDP
Operaes atmicas
Se o gerente enviar um pedido de leitura dos valores de uma
lista de objetos e um dos objetos no puder ser lido, no ser
devolvido o valor de nenhum dos objetos
Gerenciamento Centralizado
Define apenas operaes entre gerente e agentes
No so definidas primitivas de comunicao entre gerentes
14
15
Segurana do SNMP
16
SNMP - Segurana
A poltica de acesso SNMP baseada na
definio de:
Comunidade SNMP: define a relao existente entre
um agente e um conjunto de gerentes. Cada
comunidade deve possuir um nome, que deve ser
fornecido em todas as operaes de get and set.
Perfil da Comunidade: associa comunidade:
Viso da MIB: corresponde a um subconjunto da MIB
que pode ser acessada pela comunidade (dificilmente
implementada)
Modo de Acesso: especifica o modo de acesso (readonly ou read-write) permitido.
Comunidade 1: private
17
Comunidade 1: private
SNMPv1 - Limitaes
SNMPv2
18
SNMPv2 Operaes do
Protocolo (1)
SNMPv2 Operaes do
Protocolo (2)
SNMPv1 X SNMPv2
SNMPv1
Gerenciamento
Centralizado.
MIB agente-gerente
SNMPv2
Gerenciamento Distribudo.
MIBs:
Protocolo
No-Orientado Conexo.
Operaes entre agente e
gerente
UDP
Protocolo
No-Orientado Conexo.
Operaes agente-gerente
e gerente-gerente
UDP
Segurana
Autenticao - Comunidade
Segurana
Autenticao - Comunidade
agente-gerente.
gerente-gerente.
19
IP Spoofing;
DoS e DDos;
Port Scan;
Cavalos de Tria;
Backdoor
SNMPv3 - Objetivos
20
Context
Em agentes proxy gerenciando diversos elementos,
cada elemento identificado por um contexto
21
Gerente em SNMPv3
Agente em SNMPv3
22
USM - Caractersticas
Diferentes nveis de segurana para a
mensagem SNMPv3
Com autenticao e privacidade
Com autenticao e sem privacidade
Sem autenticao e privacidade
USM Autenticao e
Criptografia
Gerenciamento de chaves
2 chaves: para autenticao e privacidade
Seqncia de chaves geradas a partir da senha do
usurio
Para cada agente utilizado 1 par de chaves
23
24
Arquitetura SNMP
Protocolo SNMPv3
Caractersticas do Protocolo
7 Primitivas (5 primitivas para SNMPv1)
Objetivos:
gerenciar os mecanismos e procedimentos que
proporcionam a proteo aos recursos da rede;
manter e manipular registros de segurana;
garantir a manuteno da poltica de segurana
estabelecida.
25
Gerenciamento de Segurana(3)
responsvel pela
proteo contra ataques
aos componentes da
rede.
Bibliografia
Gabos, Denis.; Melo, Tereza C. Apostila de
Gerenciamento de Redes, EPUSP, 2003.
Stallings, W. SNMP, SNMPv2, SNMPv3 and
RMON1 and 2. 3rd ed. 7th printing, 2003.
Kurose; Ross. Redes de Computadores e a
Internet. Uma nova Abordagem. Pearson
Education, 2003.
26