Ajuda para os Administradores de Sistemas e de Redes O'REI LLY* Douglas R. Mauro & Kevin J. SchmidtSumdrio a2 cere eee AE i O que ¢ SNMP? ,...+ Monitoragio e gerenciamento de rede... Verses de RFCs ¢ SNMP oo... eee Gerenciadores e agentes. ....665++ Estrutura de informagdes de gerenciamento ¢ MIBs. Gerenciamento de hosts... 0255+ Introdugio sucinta ao Remote Monito Como obter mais informages......sses0ssese nee Examinando o SNMP. . SNMP e UDP. . Comunidades de SNMP... . seenteteneneresnene 10 seeeee IO 13 Structure of Management Information cc Extensées para a SMI na Versio 2 125 Exame minucioso da MIB-I ,.... + 28 Operagies do SNMP... sees 29 Consideragdes adicionais sobre o gerenciamento de hosts . Consideragées adicionais sobre a monitoragdo do sistema . Arquiteturas de NMS Consideragées sobre o hardware « Arquiteturas de NMS. Um passo frente oe... eee ce ee Hardware compativel com 0 SNMP. ...eseseseee cree ‘© que realmente significa ser compativel com o SNMP? 5.55655 ‘Meu dispositive é compativel com 0 SNMP? 154 Upgrade de hardware, ... Fi . 1 SE Em resumo oe... eee rr Um passo A frente oc. se cee eee Software de gerenciamento de rede “1 159 Agentes de SNMP . coc eeee Suites de NMS Gerenciadores de componentes (gerenciamento especifico do fornecedor). ..« Anailise de tendéncias. Software de suporte. 6... ++a 10 MW 12 13 Configurando a NMS. ...... 0600002005 Network Node Manager do OpenView, da HP. . SNMPe Enterprise Edition da Castle Rock... . ++ Configurando agentes do SNMP... 6.41500 eee rere Configuragées de pardmetros, Questées de seguranga. . Consideragées sobre a configi eee OD vee 110 +110 -1i7 +120 - 123 ico de agentes . . Polling ¢ defimigdo ... 6.0260. e ccc se scene Recuperando um valor de uma MIB individual . . Recuperando diversos valores de MIB Definindo um valor de MIB, . Respostas de err0. 6s sere ree Polling e limiares weet ebawr Syd tees can dem Polling interna. - 126 Polling externa, . 133 Tiaps oo ccc evens . 183 Nogées basicas sobre traps 153. Recebendo traps ..... +++ - 154 Exibigdo das categorias de eventos. - 162 Browser de alarme . . - 163 Criando eventos no Op. i = 164 Enviando traps... 6. .ees e085 - 169 Agentes extensiveis de SNMP... . 2179 Net-SNMP. vss e sen ee wee veers 180 SystemEDGE oe. ee ec ev eee Agente extenstvel do OpenView Adaptando o SNMP a seu ambiente . 202 Programa de criagio de traps gerais . 202 Quem esté entrando em minha maquina? (I-Am-in) 203 Eliminando arquivos do nticleo . : 205 Verificagao de disco Veritas. 209 Verificador de espago de disco. 24 Monitor de Portas Usando o MRTG, Exibindo grificos, Representagao grafica de outtes objetos. Outros aplicatives de obeensa de dados . Atengao Como obter ajuda vs... seeker eee ween 244A Usando octetas de entrada e safda ...... ‘yn'nr Gp guapiges 245 B Consideragées adicionais sobre o NNM da OpenView. ...... 253 C Fervamentas do Net-SNMP ....... 600002 eee eevee eens 263 D_ RFCsdoSNMP........... wee eee eee e eee teen ene 275 E Suporte para a linguagem Perl no SNMP. 0.0... ceeeee ees 281 Fo SNMP03.. ese vee Peden nee neneee vieerenconnces 22 fadlea eee ett eis ured Pe Tw lee Soe | J vilO que é SNMP? Na complexa rede de roteadores, switches e servidores dos dias atuais, talvez parega aterrorizante gerenciar todos os dispositivos existentes em sua rede ¢ certificar-se de que estejam nao somente em execug’o, como também funcio- nando perfeitamente. E exatamente nesse momento que o Simple Network Management Protocol (SNMP) pode entrar em agdo. O SNMP foi langado em 1988 para atender A necessidade cada vez maior de um padrao para gerenciar os dispositivos de IP (Internet Protocol). O SNMP oferece aos usuarios um conjunto “simples” de operagdes que permitem o gerenciamento remoto des- ses dispositivos. Este livto ¢ dedicado aos administradores de sistema que desejam comegar a utilizar o SNMP para gerenciar os respectivos servidores ou roteadores, mas nio tém conhecimento sebre o assunto nem sabem como fazé-lo, Tentamos apresentar as informag6es basicas do que significa o SNMP e como ele funciona; além disso, ensinamos a utilizar o SNMP na pratica, por meio de algumas ferra- mentas amplamente dispontveis. Acima de tudo, queremos tornar esse livro pra- tico - um livre que ajuda a rastrear o que a rede esta fazendo, Monitoragdo e gerenciamento de rede O niicleo do SNMP é um conjunte simples de operagées (e das informagdes ob- tidas por essas operagGes) que permitem ao administrador modificar 0 estado de alguns dispositivos baseados em SNMP. Por exemplo, é possfvel utilizar o SNMP para encerrar uma interface em um roteador ou verificar a velocidade operacional de uma interface de Ethernet. O SNMP pode até monitorar a tem- peratura de um comutador e avisar quando ela estiver muito alta. Geralmente, o SNMP é associado ao gerenciamento de roteadores, mas é importante saber que ele pode ser utilizado para gerenciar varios tipos de dispo- sitivos, Embora o antecessor do SNMP, o Simple Gateway Management Proto- col (SGMP), tenha sido desenvolvido para gerenciar roteadores da Internet, € possivel utilizar o SNMP para gerenciar sistemas Unix, Windows, impressoras, racks de modem, fontes de energia ¢ muito mais. f posstvel gerenciar qualquer 1dispositivo executando um software que permita a recuperagao de informagées de SNMP. Isso inclui née apenas dispositivos fisicos, mas também software, como servidores da Web e bancos de dados. Outro aspecto do gerenciamento de rede é a monitoragio da rede; ou seja, monitorar uma rede inteira em vez de componentes individuais, como roteado- res, hosts ¢ outros dispositivos, O Remote Network Monitoring (RMON) foi de- senyolvido para ajudar a entender o funcionamento da prépria rede, e como os dispositivos individuais afetam a rede como um todo. E possivel utilizé-lo para monitorar nao somente o trdfego de LAN (Local Area Network), como também as interfaces de WAN (Wide Area Network), Discutiremos o RMON com deta- Ihes, mais adiante neste capitulo e no Capitulo 2. Antes de avangar mais, examinemos o cendrio anterior € posterior, que mostra que o SNMP faz diferenga em uma organizagao. Antes e depois do SNMP Vamos supor que vocé tenha uma rede com 100 equipamentos executando di- versos sistemas operacionais, Algumas maquinas sao servidores de arquivo, ou- tras sao servidores de impressio, uma delas executa um software que verifica transagées de cartées de crédito (presumivelmente, em um sistema de e1 de pedides baseado na Web), eos demais equipamentos sao estagdes de trabalho pessoais, Além disso, existem varios comutadores e roteadores que ajudam a manter 0 funcionamento da rede fisica. Um circuito T1 conecta a empresa 4 Internet global e existe uma conexdo privada com o sistema de verificagdo de cartes de crédito. O que acontece quando um dos servidores de arquivos é derrubado? Se isso ocorrer ne meio da semana, é provavel que os usuarios desse servidor per- cebam ¢ o administrador pertinente seja chamado para corrigit o problema. Mas € se isso acontecer quando todos ja tiverem safdo, inclusive os administra- dores, ou durante o final de semana? E se aconexao privada com o sistema de verificagao de cartées de crédito cair as 10 horas da manha de uma sexta-feira, ¢ no for restaurada até segun- da-feira de manha? Se o problema foi um defeito de hardware ¢ no puder ser corrigido trocando uma placa ou substituindo o roteador, talvezse percam mi- Ihares de délares em vendas nos sites da Web por um motivo tio {nfimo. Da mesma forma, se o circuito T1 para a Internet cair, isso poderia prejudicar o volume de vendas gerado pelas pessoas acessando o site da Web ¢ colocando pedidos. Evidentemente, esses sao problemas sérios — que certamente podem afetar a sobreviyéncia de uma empresa, Nesse momento, o SNMP entra em agao. Em vez de esperar que alguém perceba que alguma coisa estd errada e localizar 0 res- ponsavel pela corregio do problema (o que talvez no acontega até segun- da-feira de manha, se o problema ocorrer no fim de semana), o SNMP permite monitorar a rede constantemente, mesmo que vocé nao esteja presente. Por exemplo, ele observard se estd aumentande o niimero de pacotes defeituosos en- 2] trando em uma das interfaces de roteador, informando que o roteador esta pres-tes a falhar, Vocé pode configurar uma notificagio automética quando a falha for iminente, para lhe permitir corrigir 0 roteador antes da interrupgio real. Vocé também pode configurar para ser avisado se 0 processador de cartées de crédito estiver com problemas = vocé podera até cortigir o problema de sua casa, E se nada der errado, vocé voltar4 ao escritrio na segunda-feira de manha sabendo que ndo encontrard surpresas. Na realidade, nao havera um reconhecimento glorioso ao corrigir proble- mas com antecedéncia, mas vocé e sua diretoria descansatéo em paz. Nao sabe- mos como transformar tudo isso em um salario mais alto ~ as vezes, é melhor ser aquele cara que entra em cena, de repente, ¢ conserta o que deu errado no meio de uma crise, em vez de ser o que impede que a crise ocorra, Entretanto, 0 SNMP nao permite manter registros que comprovem que a rede est executan- do confiavelmente ¢ que informem quando vocé tomou uma medida para evitar acrise. Consideracées sobre recursos bumanos Aimplementagio de um sistema de gerenciamento de rede pode significar uma expansao da equipe para lidar com o aumento da carga de manutengio € opera- gio de um ambiente dese tipo. Ao mesmo tempo, a incluso dessa modalidade de monitoragio deve reduzir, na maioria dos casos, a carga de trabalho da equi- pe de administragao do sistema. Sera necessario: « Uma equipe para manter a estagio de gerenciamento, Isso inclui assegurar que essa estagio esteja configurada para lidar corretamente com 08 eventos de dispositivos com recurso de SNMP, + Uma equipe para manter os dispositivos com recurso de SNMP. Isso inclui garantir que as estagées de trabalho ¢ os servidores consigam se comunicar com a estagdo de gerenciamento. « Uma equipe para observar e corrigir a rede. Geralmente, esse grupo ¢ deno- minado Network Operations Center (NOC) ¢ trabalha 24 horas por dia, 7 dias por semana. Uma alternativa para esse grupo de 24/7 é implementar 0 plantao rotativo, no qual uma pessoa recebe chamadas o tempo todo, mas nao esta necessariamente presente no escritério, O plantio funciona somen- te em ambiente de rede de pequeno porte, em que uma interrup¢do na opera- gio da rede possa aguardar que alguém se dirija até o escrit6rio para corrigit ‘0 problema. Nao é possivel prever a quantidade de integrantes da equipe necessdria para manter um sistema de gerenciamento, O tamanho da equipe varia em fun- gio do porte e da complexidade da rede gerenciada, Alguns provedores de back- bone maiores da Internet dispdem de 70 pessoas ou mais em seus NOCs, en- quanto outros rem apenas uma,Versées de RFCs e SNMP A Internet Engineering Task Force (IETF) é responsdvel pela definigio de proto- colos padrao que controlam o trafego na Internet, incluindo o SNMP. A IETF publica Requests for Cowments (RFCs), que so especificagées para os diversos Pprotocolos existentes no mundo do IP. Primeiramente, os documento se subme- tem ao rastreamento de padrées como padrées sugeridos, depois passam para 0 status de draft, Quando um draft final ¢ ocasionalmente aprovado, a RFC rece- be o status de standard (padrda) — se bem que existem bem menos padrées total- mente aprovados do que vocé imagina. Duas outras designagées de rastreamento de padres, histérico e experi- mental, definem (respectivamente) um documento substituido por uma RFC mais recente e um documento que ainda nao esta pronto para se tornar um pa- drio. A lista a seguir engloba todas as versées atuais de SNMP e o status emitido pela IETF para cada uma (consulte © Apéndice D para obter uma lista completa das RFCs do SNMP): « SNMP Version 1 (SNMPv1) - é a versio padrao atual do protocolo SNMP, definida na RFC 1157 ¢ € um padrio completo da IETF. A seguranga do SNMP! baseia-se em comunidades, que ndo sio nada mais do que senhas: strings de texto puro que permitem que qualquer aplicative baseado em SNMP (que reconhega a string) tenha acesso a informagées de gerenciamen- to de um dispositive. Geralmente, existem trés comunidades no SNMPv1: read-only, read-write ¢ trap. SNMP Version 2 (SNMPv2) ~ é freqtientemente citado como SNMPv2 basea- do em strings de comunidade. Essa versio do SNMP tem a denominagio técni- ca SNMPw2c, mas, neste livro, citaremos essa versio apenas como SNMPy2. Ela esta definida na RFC 1905, RFC 1906 ¢ RFC 1907, é uma IETF com sta- tus experimental. Embora seja experimental, alguns fornecedores j4 comega- ram a aceité-la na pratica, ¢ SNMP Version 3 (SNMPv3) - serd a préxima versio do protocolo a aleangar o status completo da IETF, No momento, é um padrao sugerido, definido na RFC 1905, RFC 1906, RFC 1907, RFC 2571, RFC 2572, RFC 2573, RFC 2574 RFC 2575, que inclui suporte para autenticagio rigorasa ¢ comunica- gio privativa entre as entidades gerenciadas. O Apéndice F apresenta uma in- trodugio ao SNMPv3 ¢ analisa a configuragéo do agente do SNMPv3 para o Net-SNMP ¢ Cisco, As informagdes desse apéndice fornecem ao administra- dor de sistema ou de rede 0 conhecimento pratico necessdrio para comegar a utilizar o SNMPv3, 4 medida que o produto ganha aceitagio no mundo do gerenciamento de rede, O site oficial de RFCs 6 0 hitp://toww.ietf.org/rfc.btml, Entretanto, um dos maiores problemas relacionados as RFCs é localizar a que vocé deseja. Talvez seja um pouco mais ficil navegar pelo indice de RFCs da Ohio State University (Universidade Estadual de Ohio ~ betp.//w1uw.cis.ohio-state.edu/services|rfclin- al dex. html).Gerenciadores e agentes Nas segdes anteriores, apenas citamos os dispositivos com recurso de SNMP e as estagdes de gerenciamento de rede, Agora, precisamos descrever o significado desses dois elementos, No mundo de SNMP, existem dois tipos de entidades: gerenciadores e agentes. Um gerenciador é um servidor executando algum tipo de sistema de software que pode lidar com tarefas de gerenciamento de uma rede. Os gerenciadores costumam ser chamados NMSs (Network Management Stations — estagdes de gerenciamento de rede)", Uma NMS é responsivel pela operagiio de polling e por receber traps de agentes na rede. Uma polf, no contexto de gerenciamento de rede, ¢ a operagio de consul- tar informagdes em um agente (roteador, comutador, servidor Unix etc.). Essas informagées podem ser utilizadas posteriormente para detectar se ocorreu al- gum tipo de evento desastroso. Uma trap ¢ um método utilizado por um agente para informar & NMS que algo aconteceu. As traps sto enviadas de modo assfn- crono, nao em resposta a consultas da NMS, Além disso, a NMS ¢ responsivel por executar uma agdo** baseada nas informagées recebidas do agente. Por exemplo, quando um circuito T1 de conexo 4 Internet ¢ derrubado, 0 roteador pode enviar wma trap 4 NMS, Por sua vez, a NMS pode reagir, talvez com um aviso que lhe permita saber que algo aconteceu. A segunda entidade, o agente, é.a pega de software executada nos disposi- tivos da rede gerenciados por vocé. Pode ser um programa separado (um dae- mon, na terminalogia do Unix) ou pode ser incorporado ao sistema operacio- nal (por exemplo, 0 IOS da Cisco em um roteador, ou o sistema operacional de baixo nivel que controla um wo-break). Atualmente, a maioria dos dispositivos de IP é fornecida com alguma modalidade de agente de SNMP interno, O fato de os fornecedores desejarem implementar agentes em alguns de seus produtos facilita ainda mais © servigo do administrador de sistema ou do gerente da rede, O agente fornece A NMS informagées de gerenciamento, rastreando os diversos aspectos operacionais dos dispositivos. Por exemplo, o agente em um roteador pode rastrear o estado de cada uma das respectivas interfaces: quais esto fancionando, quais estio paradas etc. A NMS pode consultar o status de cada interface em um roteador e reagir adequadamente, se algumas delas esti- verem paradas. Quando o agente percebe algo errado, pode enviar uma trap 4 NMS. Essa trap se origina no agente e € enviada a NMS, onde é tratada ade- quadamente. Alguns dispositivos enviario uma trap correspondente de “all clear”, quando ocorrer uma transigio de um estado defeituoso para um estado correto, Esse recurso pode ser pratico ao determinar quando uma situagao problematica foi solucionada, A Figura 1-1 mostra o relacionamento existente entre a NMS e um agente. “Consulte o Capitulo § para ler uma discussie com os prés ¢ contras de algumas aplicagdes popu- Jares de NMS. © Lembre-se de que a NMS est configurada para executar tal agio,Figura 1-1 Relacionamento entre uma NMS e um agente E importante lembrar que as polls € traps podem acontecer simultanea- mente. Nao hd restrigées sobre quando a NMS pode consultar o agente nem so- bre quando um agente pode enviar uma trap. Estrutura de informagées de gerenciamento e MIBs ASMI (Structure of Managentent Information ~ estrutura de informagées de ge- renciamento) é um método para definir objetos gerenciados e os respectivos comportamentos, Um agente possui uma lista dos objetos por ele rastreados, Esse tipo de objeto é o status operacional de uma interface de roteador (por exemplo, em funcionamento, parada ou ent teste). Essa lista define coletivamen- te as informagées que a NMS pode utilizar para detectar 0 funcionamento geral do dispositivo em que o agente reside, A MIB (Managentent Information Base - base de informagées de gerencia- mento) pode ser considerada um banco de dados de objetos gerenciados que o agente rastreia. Todo tipo de informagées sobre status ou estatisticas acessado pela NMS ¢ definida em uma MIB. A SMI é um método para definir objetos ge- renciados, enquanto a MIB é a definigao (por meio da sintaxe da SMI) dos pré- prios ebjetos. Como um diciendrio, que mostra como pronunciar uma palavra e, em seguida, apresenta o significado ou a definigéo dessa mesma palavra, uma MIB define um nome em texto de um objeto gerenciado ¢ explica o seu signifi- cado. © Capitulo 2 descreve as MIBs ¢ a SMI com mais detalhes. Um agente pode implementar varias MIBs, mas todos os agentes imple- mentam uma MIB especffica denominada MIB-II* (RFC 1213). Esse padrao de- fine varidveis para elementos como dados estatfsticos de uma interface (veloci- dades da interface, MTU, octetos"* enviados ¢ recebidos etc.), assim como al- guns outros aspectos relacionados ao proprio sistema (localizagio do sisrema, contato do sistema ete.). O principal objetivo da MIB-II ¢ fornecer informagGes gerais sobre gerenciamento de TCP/IP € nao engloba todo item possivel que um fornecedor gerenciaria em um dispositive especifico. *MIB-I é a verso original dessa MIB, mas ela nao é mais consultada desde que a MIB-I.a imple- mentou, 6| ** Um octeto¢ formado por § bits, que é a unidade fundamental de transferéncia em redes TCP/IP,Que outros tipos de informagées seriam titeis? Primeiramente, existem va- rios padrdes em draft e sugeridos, desenvolvidos para ajudar a gerenciar aspec- tos como o frame relay (protocolo de comutagdo de pacotes), 0 ATM (Asyn- chronous Transfer Mode), a FDDI (Fiber Distributed Data Interface) e servigos (correio, DNS [Domain Name System] etc.). Exemplos dessas MIBs e dos res- pectivos ntimeros de RFC seriam: + ATM MIB (RFC 2515) + Frame Relay DTE Interface Type MIB (RFC 2115) « BGP Version 4 MIB (RFC 1657) + RDBMS MIB (RFC 1697) « RADIUS Authentication Server MIB (RFC 2619) + Mail Monitoring MIB (RFC 2249) « DNS Server MIB (RFC 1611) Mas tudo isso nao é tudo, ha ainda a explicagdo do porque os fornecedores ‘¢ pessoas comuns podem definir varidveis de MIB para uso préprio.* Por exem- plo, suponha um vendedor langando um novo reteador no mercado. O agente incorporado ao rereador respondera as solicitagdes da NMS (ou enviard traps para a NMS) relacionadas as varidveis definidas pelo padrao MIB-II; provavel- mente, também implementaré MIBs para os tipos de interface por ele fornecidas (por exemplo, RFC 2515 para o ATM e REC 2115 para o Frame Relay). Além disso, o roteador pode ter alguns recursos novos significativos que compensam. monitorar, mas que nio estdo cobertos por qualquer MIB padrao. Conseqiien- temente, 0 fornecedor define uma MIB exclusiva (as vezes citada como MIB proprietaria) que implementa objetos gerenciados para as informagées de status © estatfsticas do novo roteador. necessariamente a recuperagdo dos dados/valores/abjetos etc. defini- dos nessa MIB, Basta carregar as MIBs suportadas pelos agentes con- sultados (por exemplo, sumpget, snmpivalk). Voce pode carregar MIBs adicionais para um futuro suporte de dispositivos, mas nao entre em panico quando o dispositive nao responder (¢ possivelmente retornar eros) a essas MIBs ainda sem suporte. rs O simples carregamento de uma nova MIB em uma NMS nao permite Gerenciamento de bosts O gerenciamento de recursos do host (espago de disco, utilizagiéo da meméria etc.) € um aparte importante do gerenciamento de rede. A diferenga entre a ad- * Este assunte sera discutide em mais detalhes no proximo capitulo,ministragdo dos sistemas tradicionais e o gerenciamento de rede foi desapare- cende aos poucos nos tiltimos dez anos ¢ agora nem existe mais. Como afirma a Sun Microsystems, “A rede é 0 proprio computador”. Se seu servidor da Web ou de correio estiver parado, nao importa se os roteadores estdo funcionando corretamente — vocé ainda receberd chamados, A Host Resources MIB (RFC 2790) define um conjunte de abjetos para ajudar a gerenciar aspectos criticos dos sistemas Unix e Windows.” Alguns dos objetos aceitos pela Host Resources MIB incluem capacidade de disco, nimero de usuarios do sistema, ntimero de processos em execugio e softwares atualmente instalades, No mundo atual do comércio eletrénico, um mimero cada vez maior de pessoas utiliza os sites da Web voltados para servigos, Assegurar o funcionamento correto dos servidores de back-end € tao importan- te quanto monitorar os roteadores e outros dispositivos de comunicagio. Infelizmente, algumas implementagées de agentes para essas plataformas nao incluem essa MIB, porque ela nao ¢é necessaria, Introdugdo sucinta ao Remote Monitoring (RMON) © Remote Monitoring Version 1 (RMONv1 ou RMON) ¢ definido na RFC 2819; uma yersdo otimizada do padrao, denominada RMON Version 2 (RMONv2), € definida na RFC 2021. O RMONVI1 oferece A NMS dados estatisticas sobre uma LAN ou WAN inteira, no nivel de pacotes, OQ RMONv2 aprimora o RMONv1 ao fornecer dados estatisticos no nivel de rede de aplicatives, que podem ser obtidos de varias maneiras. Um modo é colocar uma prova do RMON em cada segmento de rede a ser monitorado. Alguns roteadores da Cisco dispdem de recursos limita- dos de RMON incorporados, de modo que é possivel a utilizagdo de sua funcionali- dade para executar atividades menos complexas de RMON. De modo semelhante, alguns comutadores da 3Com implementam a especificagio completa de RMON e podem ser utilizados como provas de RMON com todos os recursos, A RMON MIB foi elaborada para permitir que uma verdadeira investiga- cao de RMON seja executada off-line, visando a obter dados estatisticos sobre a rede sendo observada, sem que a NMS faga consultas constantes, Mais tarde, a NMS pode solicitar os dados estatisticos obtidos na investigagao. Outro recurso que a maioria das investigagées implementa é a possibilidade de definir limiares para varias condigées de erro e, quando um limiar é ultrapassado, pode alertar & NMS por meio de uma trap do SNMP, vocé encontrara detalhes mais técnicos sobre 0 RMON no préxime capitulo. Como obter mais informagées ‘Talvez parega desanimador dominar o SNMP. As RECs oferecem uma definigio oficial do protocolo, mas sio escritas para desenvolvedores de software, nio * Qualquer sistema operacional executando um agente do SNMP pode implementar a Host Re- a | SOUTCeS, que Nao esti restrita aos agentes eM execugio nos sistemas Unix e Windows.para administradores de rede, e talvez seja diffcil obter as informagdes necessé- tias, Felizmente, existem alguns recursos on-line dispontveis. O Web site mais relevante é o Network Management Server, localizado na Universidade de Buf- falo (http://netman. cit. buffalo.edu), que contém links titeis para outros sites que fornecem informages semelhantes, assim como uma lista de produtos de geren- ciamento de rede (btep:iinetman.cit.buffalo.edu/Products.btm!) que engloba fornecedores de software ¢ de hardware; esse site também possui revisdes de produtos, é um excelente ponto de partida para a pesquisa de informagées sobre gerenciamento de rede e pode ser uma ferramenta muito dtil para determinar que tipos de hardware e software existem atualmente, Outros dois Web sites excelentes sio 0 SimpleWeb (http:ifwitsnenp.cs.uewente.nl) ¢ 0 SNMP Link (bttpsifwow. SNMPLink.org). The Simple Times, uma publicagio on-line dedica- da ao SNMP e a gerenciamento de rede, também é itil. Vocé encontrard a edi- gio atual ¢ todas as anteriores, em http://tornw.simaple-times.org. Outro recurso eficiente é o Usenet News. © newsgroup que a maioria das pessoas freqiienta ¢ 0 comp.dcom.net-management. Outro newsgroup interes- sante é 0 comp.protocols.snmp. Grupos come esses promevem uma comunidade de compartilhamento de informagées, permitindo que os profissionais experientes interajam com as pes- s0as que nao t@m muito conhecimento sobre SNMP ou sobre gerenciamento de rede. Para saber se um fornecedor especifico tem equipamentos compatfveis com SNMP, a Internet Assigned Numbers Authority (IANA) compilou uma lista dos ar- quivos de MIBs proprietirias, fornecidas por diversos fornecedores. Vocé en- contrara essa lista em ftp./iftp.iana.org/mib/, Também existe uma FAQ (per- guntas freqiientes) sobre o SNMP disponivel em http:/furvw. fags.orgifagsisnmp- fagipart 1 ¢ outea em bttp://tore. faqs.org/faqs/snmp-faqipart2/.Examinando o SNMP Neste capitulo, analisaremos o SNMP minuciosamente, Quando vocé termi- nd-lo, devera saber como o SNMP envia e recebe informagées, o que significam exatamente as comunidades do SNMP e como ler arquivos de MIB. Além disso, examinaremos com detalhes as trés MIBs apresentadas no Capitulo 1: MIB-II, Host Resources e RMON. SNMP e UDP O SNMP usa o User Datagram Protocol (UDP) como protocolo de transporte para passagem de dados entre gerenciadores ¢ agentes, O UDP, definido na RFC 768, foi escolhido por meio do Transmission Controt Protocol (TCP) por nao ter conexio; isto é, nenhuma conexao ponto-a-ponto é estabelecida entre o agente ¢ a NMS quando as datagramas (pacotes) so transferidos de um lado para © outre, Esse aspecto do UDP torna-o nao confidvel, uma vez que no exis- te confirmagio de datagramas perdidos no ntvel do protocolo. O préprio apli- cativo do SNMP se encarregar de detectar se ocorreu perda de datagramas e re- transmite-os, se necessdrio, Em geral, isso € feito com um simples timeout (tem- po de espera). A NMS envia uma solicitagao de UDP para um agente e aguarda ‘uma resposta. O intervalo de tempo em que a NMS espera depende da configu- ragao na NMS, Ser o timeout for decorrido e a NMS nao receber resposta do agente, serd presumida a perda do pacote € a NMS retransmite a solicitagao. O ntimero de retransmiss6es de pacotes pela NMS também € configuravel. Pelo menos no que diz respeito as solicitagées regulares de informagées, a ‘natureza nao confidvel do UDP nao é um grande problema. Na pior das hipéteses, a estagio de gerenciamento emite uma solicitagao e nunca recebe uma resposta. Para as traps, a situacao é um pouco diferente. Se um agente envia uma trap ¢ ela munca chega, a NMS nao sabe se essa trap sequer foi enviada. Nem o proprio agente detecta a necessidade de reenvio da trap, por que a NMS nio € obrigada a enviar uma resposta para o agente, confitmando o recebimento da trap. Oreverso da natureza incerta do UDP é 0 baixo overhead, de modo que o 19 impacto sobre o desempenho da rede € menor. O SNMP foi implementadoatravés do TCP; entretanto, essa implementagao esta mais voltada paraas situ- agdes de casos especiais em que alguém esté desenvolvendo um agente para um equipamento proprietario, Em uma rede gerenciada ¢ muito congestionada, o SNMP por meio do TCP é uma péssima idéia, £ importante entender que o TCP nao é um magico e que o SNMP foi elaborado para trabalhar com redes enfrentando problemas ~ se sua rede nunca falhasse, nao seria necessdrio mo- nitoré-la, Quando uma rede esta falhando, um protocol que tenta obter os dados, mas desiste quando nao consegue, é certamente uma opgao de design melhor do que um protocolo que inunda a rede com retransmiss6es, na tenta- tiva de obter credibilidade. OSNMP usaa porta 161 do UDP para enviar e receber solicitagées ¢ a por ta 162 para receber traps de dispositivos gerenciados. Tode dispositivo que im- plementa o SNMP deve utilizar esses mimeros de porta como defaults, mas al- guns fornecedores permitem modificar as portas defaults na configuragio do agente. Se esses defaults forem modificados, a NMS deve ser informada sobre essas alteragées para consultar o dispositive por meio das portas corretas. A Figura 2-1 mostra o conjunto de protocolos TCP/IP, que é a base de toda a comunicagdo por TCP/IP, Atualmente, tedo dispositivo para comunicagao na Internet (como os sistemag Windows NT, servidores Unix, roteadores Cisco etc.) deve utilizar esse conjunto de protocolos, Esse modelo é geralmente citado como uma pilha de protocolos, porque cada camada usa as informagdes da ca- mada posicionada imediatamente abaixo. Quando uma NMS ou um agente precisa executar uma fungée de SNMP (como uma solicitagdo ou uma trap), ocorrem os seguintes eventos na pilha de pratocolos: Aplicativo Primeiramente, 0 aplicativo de SNMP (NMS ou agente) determina o que fara. Por exemplo, ele pode enviar uma solicitagio de SNMP para um agente, pode enviar uma resposta a uma solicitag’o de SNMP (enviada a partir do agente) ou enviar uma trap para uma NMS. A camada do aplicati- vo fornece servigos pata um usudrio final, como um operador solicitando informagées de status de uma porta em um comutador de Ethernet, UDP Acamada seguinte, UDP, permite a comunicagao entre dois hosts. O cabe- galho do UDP contém, entre outras informagées, a porta de destino do dis- positivo para © qual ela esté enviando uma solicitagao ou uma trap. Essa porta de destino sera a 161 (consulta) ou 162 (trap). IP A camada IP tenta fornecer 0 pacote de SNMP ao destino almejado, con- forme especificado pelo respectivo enderego IP.Medium Access Control (MAC) O tiltimo evento que deve ocorrer para um pacote de SNMP aleangar seu destino é ser controlado na rede fisica, onde pode ser ditecionado para o des- tino final. Comma irae NH Agents ‘SECREDO. ——— i en par 0 port J62 ne NMS seem ‘Saigo do SNMP anda ea NMS ao eget, cara pm 161 ‘Respaste 0 saiterta db SHAK anos palo goiter 0 part 182, 10 NAS Figura 2-1 Modelo de comunicagdo por TCP/IP eo SNMP Acamada MAC é formada pelos verdadeiros drivers de hardware ¢ de dis- positive que colocam seus dados em um cabeamento fisico, como um cartio Ethernet. Essa camada também é responsdvel por receber os pacotes da rede fisi- ea ¢ reenvid-los para a pilha de protocolos, para que sejam processados pela ca- mada do aplicativo (SNMP, nesse caso). Essa interag4o entre os aplicativos de SNMP e a rede nao é diferente da que existe entre duas pessoas que se correspondem por carta, Ambas tém mensagens que precisam ser trocadas entre si. Vamos supor que vocé precise escrever uma carta para sua correspondente perguntande se cla gostaria de visitd-lo no verio. Ao decidir enviar © convite, vocé atuou como 0 aplicativo de SNMP, Preencher o envelope com o enderego de sua correspondente equivale 4 fungao da camada de UDP, que registra a porta de destino do pacote no cabegalho de UDP; nesse caso, éo enderego de sua correspondente. Colocar o selo no envelope ¢ inserir esse en- velope na caixa de correio para o carteiro recolher corresponde A fungio da ca- mada de IP, A Gltima agéo acontece quando o carteiro recolhe a carta, A partir dai, a carta sera enviada ao destino final, a caixa de correio de sua corresponden- 12]. A camada de MAC de uma rede de computadores equivale as caminhonetes eavides do cerreio que transportam a carta, Quando sua correspondente receber essa carta, passard pelo mesmo processo para lhe enviar uma resposta. Comunidades de SNMP OSNMPv1 e SNMPv2 usam o conceito de comunidades para definir uma con- fiabilidade entre gerenciadores e agentes, Um agente é configurade com trés no- mes de comunidade: read-only, read-write trap. Os nomes de comunidades sao basicamente senhas; nao existe diferenga entre uma string de comunidade ¢ 4 senha que Yocé usa para acessar sua conta no computador. As trés strings de comunidade controlam tipos diferentes de atividades. Como o préprio nome sugere, a string de comunidade read-only permite ler valores de dados, sem mo- dificd-los, Por exemplo, essa string permite ler o ntimero de pacotes transferidos por meio das portas existentes no roteador mas nao permite redefinir os conta- dores, A comunidade read-write pode ler ¢ modificar valores de dados; com a string de comunidade read-write, é possivel ler os contadores, redefinir seus va~ lores ¢ até as interfaces ou executar outras ages que modifiquem a configura- gio do roteador. Por dltimo, a string de comunidade trap permite receber traps (notificagées assincrona) do agente. A maioria dos fornecedores entrega seus equipamentos com strings de co- munidade defaults, geralmente pubfic para a comunidade read-only e private para a comunidade read-write. E. importante modificar esses defaults antes de instalar o dispositivo definitivamente na rede. (Talvez vocé esteja cansado de ouvir essa recomendagao porque repetimos essa histéria varias vezes, mas é ab- solutamente imprescindfvel.) Ao configurar um agente de SNMP, convém con- figurar o destino de sua trap, que € o enderego para o qual o agente enviard to- das as traps por ele geradas. Além disso, como as strings de comunidade do SNMP sao enviadas em texto comum, € possfvel configurar um agente para en- viar uma trap de falha de autenticagio de SNMP quando alguém tentar consul- tar um dispositive com uma string de comunidade incorreta. Entre outros pectos, as traps de falha de autenticagao podem ser muito titeis ao determinar quando um invasor estiver tentando acessar sua rede, Como as strings de comunidade sao basicamente senhas, para seleciond-las use as mesmas regras aplicadas 4s senhas de usuario do Unix ou NT: nenhuma palavra do diciondrio, nomes de esposas etc. Geralmente, ¢ uma boa idéia usar uma string alfanumérica com combinagao de maitisculas/minisculas, Conforme mencionado anteriormente, o problema com a autenticagio do SNMP € que as. strings de comunidade sao enviadas em texto simples, o que facilita a intercepta- io dessas strings ¢ o uso indevide contra yecé, O SNMPv3 trata dessa questo. ao permitir, entre outros aspectos, autenticagao e comunicagao segura entre os dispositivos do SNMP. Existem meios de reduzir os riscos de ataque. Os firewalls ou filtros de IP minimizam a chance de alguém prejudicar um dispositivo gerenciado em uma rede, atacando-o por meio do SNMP. Vocé pode configurar o firewall para ace- itar o tréfego do UDP somente de uma lista de hosts conhecidos, Por exemplo, € \13possivel o rrdfego do UDP na porta 161 (solicitagées do SNMP) em sua rede so- mente quando procedente de uma de suas estagdes de gerenciamento de rede. O mesmo € yélido para as traps; yocé pode configurar o roteador para acei- tar o trafego de UDP pela portal 62 para sua NMS somente se procedente de um dos hosts sendo menitorados. Os firewalls nao sio totalmente eficientes mas precaugées simples, como estas, reduzem bastante seus riscos. qualquer um de seus dispositivos do SNMP, poderd controlé-los por meio doSNMP (por exemplo, podera definir as interfaces do roteador, desabilitar portas ow até modificar as tabelas de direcionamento). Uma maneira de proteger as strings de comunidade é usar uma Virtual Priva- te Network (VPN) para garantir que o trafego da rede seja codificado. ‘Outro método é mudar freqiientemente as strings de comunidade. Em uma rede pequena, nao é dificil modificar essas strings, mas em uma rede que ocupa quarteirdes da cidade ou muito mais, ¢ possui dezenas {oucentenas ou milhares) de hosts gerenciados, pode ser problematico mudar as strings de comunidade. Uma solucio fécil & esctever um scripe simples em Perl que use o SNMP para alterar essas strings em seus dispositivas. & & importance saber que se alguém tiver acesso de leitura-gravagio a Structure of Management Information Até agora, empregamos a expressio “informagées de gerenciamento” no con- texto de pardmetros operacionais de dispositivos com recurso de SNMP. Entre- tanto, falamos muito pouco sobre o que as informagées de gerenciamento real- mente contém ou como sao representadas, © primeiro passo para entender que tipo de informagao um dispositive pode fornecer é conhecer como esses dados. so representados no contexto do SNMP. A Structure of Management Informa- tion Version 1 (SMIv1, RFC 1155) faz exatamente isso: define com exatidio come os objetos gerenciados” si0 nomeados e especifica os respectivos tipos de dados associados, A Stricture of Management Information Version 2 (SMlv2, RFC 2578) fornece otimizagées para o SNMPv2. Comegaremos nossa discussio com a SMIv1 e abordaremos a SMIv2 na segdo seguinte. A definigao de objetos gerenciados pode ser fragmentada em trés atri- butos: Nome O name ou identificador de objeto (OLD — Object Identifier) define com ex- clusividade um objeto gerenciado, Geralmente, os nomes sio exibidos em * No restante deste livro, a expressdo “informagoes de gerenciamento” sers citada como “objetos gerenciados”, De modo semelhante, um tinico fragmento de informagao de gerenciamento (como 14 | o status operacional da interface de um roteador) sera conhecide como um “abjeto gerenciado”,dois formatos: numérico e o “legivel pelo ser hamano”. Em ambos os ca- S08, 08 nomes so longos e inconvenientes. Nos aplicativos de SNMP, vocé aprende a navegar corretamente pelo namespace. Tipo e sintaxe O tipo de dado de um objeto gerenciade € definido por meio de um sub- conjunto da Abstract Syntax Notation One (ASN.1). A ASN.1 € um meio de especificar o modo como os dados sao representados e transmitidos en- tre gerenciadores € agentes, no contexto do SNMP. A yantagem em rela- gloa ASN.1 é0 faro de que a notagao independe da maquina. Isso significa que um PC executando o Windows NT pode ser comunicar com uma ma- quina do Sun SPARC sem considerar aspectos coma 0 seqtienciamento de bytes. Codificagao Uma tinica instancia de wm objeto gerenciado ¢ cadificada em uma string de vetetas por meio do método Basic Encoding Rules (BER). O método BER define 6 modo de codificagac ¢ decodificagéo dos objeros para que sejam transmitidos através de um meio de transporte, como a Ethernet. Nomeando OIDs Os objetos gerenciados sao organizados em uma hierarquia em drvore. Essa es- trutura é base do esquema de atribuigdo de nomes do SNMP. Um ID de objeto é formado por uma seqiiéncia de inteiros baseada nos nés da arvore, separada por pontos (.). Embora exista uma forma legfvel ao ser humano mais amistosa do que uma string de ntimeres, essa forma ndo é nada mais do que uma seqiiéncia de nomes separados por pontos, cada qual representando um n6 da drvore, Assim, é possivel utilizar os préprios ntimeros ou uma seqiiéncia de nomes que representam os nimeros, A Figura 2-2 mostra os primeiros niveis dessa drvore. (Excluimes de propésito algumas ramificagdes da dryore que nao nos interes- sam aqui.) Na drvore de objetos, 0 né pesicionado no inicio da arvore é denominado raiz, tudo o que tiver filhos sera uma subdrvore e tudo o que nao tiver filhos sera chamado né de fotha. Por exemplo, a raiz na Figura 2-2, 0 ponto inicial da arvo- re, € denominada “Root-Node” (N6-raiz). A respectiva subirvore é formada por ccitt(0), iso(1) e joint(2). Nessa ilustragio, iso(1) € 0 tinico né que contém uma subdrvore; os outros dois nds sdo nés de folha, ceitt(0) e joint(2) nio per- tencem ao SNMP e nao serio discutidos neste livro.” “A subirvore cciét é administrada pelo International Telegraph and Telephone Consultative Committee (CCITT); a subarvore joint é administrada conjuntamente pela International Organi- zation for Standardization (ISSO) e CCITT. Como mencianado anteriormente, nenhuma dessas tamificagées estd relacionada ao SNMP.No restante deste livro, abordaremos a subarvore iso(1).org(3).dod(6 ).inter- net(1),* representada na forma de OID como 1.3.6.1 oucomo iso,org.dod, inter. net, Cada objeto gerenciado possui uma OLD numérica ¢ nome em texto associa~ dio, A notagao decimal de pontos é o modo de representagio interna de um ebjeto- gerenciado dentro de um agente; © nome em texte, como um nome de dominio IP, evita a necessidade de memorizar strings de inteiros longas e cansativas. A ramificagio directory nao é usada no momento. A ramificagie manage- ment, ou mgnt, define um conjunto padrio de objetos de gerenciamento da Internet. A ramificagao experimental é reservada para de teste e pesquisa. Figura 2-2 Arvore de objetos da SMI Os objetos na ramificagio private sio definidos unilateralmente, o que sig- nifica que os individuos e as organizagées sio responsdveis pela definigio dos objetos dessa ramificagdo. Examine a definigio da subarvore internet e de qua- tro de suas subarvores: iso org(3) dod{6) 1 ) ‘internet OBJECT IDENTIFIER ::= [ { internet 1 } ( ( directory OBJECT IDENTIFIER mgmt OBJECT IDENTIFIER internet 2 } experimental OBJECT IDENTIFIER internet 3 } private OBJECT IDENTIFIER ::= { internet 4 } 16] ° Observe que termo “ramifieagio" ¢ empregado ocasionalmente no contexto de “subérvore”.A primeira linha declara internet como a OID 1.3.6.1, que esta definida como uma subarvore de iso.org.dod ou 7.3.6 (::= € um operador de definigao). ‘As quatro iltimas declaragdes sio semelhantes, mas definem as outras ramifica- des que pertencem a ramificagio internet, Para a ramificagae directory, a nota- gio { internet 1 ) informa que ela faz parte da ramificagao interned e que a OID é 1.3.6.4.1, 4 OID de mgmt é 1,3.6.1,2, ¢ assim por dianre. No momente, existe uma tnica ramificagao na subdrvore private, usada para permitir que os fornecedores de hardware ¢ software definam seus objetos privados para qualquer tipo de hardware ou software que o SNMP deva geren- ciar. A respectiva definigao da SMI é: enterprises OBJECT IDENTIFIER ::= { private 1 } A Internet Assigned Numbers Authority (IANA) gerencia atualmente todas as atribuigdes de ntimeros de empresa privada para individuos, instituigses, organiza- Ges, empresas etc,” E possivel obter uma lista de todos os ntimeros atuais de empre- sas privadas em ftpudlftppisiediin-notes|ianalassignmnentsienterprise- mumbers, Por exemplo, o ntimero de empresa privada da Cisco Systems € 9, e a OID base pata o respectivo espago de ebjetos ¢ definida como iso.org.dod.internet.private.enterpri- ses.cisco ou 13,6, 1.4.19, A Cisco pode criar uma ramificagio private, se necessario. Geralmente, empresas como a Cisco, que fabrica equipamentos de rede, definirem seus proprios objetos private enterprise (empresa privada). Isso permite um conjunto mais completo de informagées de gerenciamento do que 6 ebtide com base no con- junto pad de abjetos gerenciados definidos na ramificagao mgmt, As empresas nao sae as Gnicas que podem registrar seus préprios nimeros de empresas privadas. Qualquer um pode fazé-lo. © formulério baseado na Web para registrar ntimeros de empresas privadas pode ser encontrado em http:/{tow.ist.edulcgi-bin|iana/enterprise.pl. Depois que voce preencher o for- mulirio, que solicita informagdes como o nome da organizagio e informagées de contatos, sua solicitagao deve ser aprovada em uma semana. Por que vocé de- sejaria registrar um ntimero exclusivo? Quando vocé dominar o SNMP, desco- brird aspectos a serem monitorados que nao constam em qualquer MIB, ptiblica ou privada, Com um nimero de empresa exclusivo, vocé pode criar sua MIB privada, que permite monitorar exatamente o que vocé deseja. Seja astuto ao es- tender os agentes para que procurem as informagGes necessarias. Definindo OIDs O atributo SYNTAX oferece detfinigées de objetos gerenciados por meio de um subconjunto do ASN.1, A SMIv1 define varios tipos de dados primordiais para © getenciamento de redes¢ dispositives de rede, Eimportante lembrar que esses tipos de dados sao apenas um meio de definir o tipo de informagao que um obje- to gerenciado pode conter. Os tipos aqui discutidos sio semelhantes Aqueles que vocé definiria em uma linguagem de programagao de computador, como aC. A Tabela 2-1 lista os tipos de dados aceitos na SMIv 1, * O termo “empresa privada” sera usado neste livre inteiro em relagdo a ramificagio enterprises, | 17