Escolar Documentos
Profissional Documentos
Cultura Documentos
SNMP
o protocolo de gerncia mais usado por fabricantes e operadores de redes de comunicao Baseado na arquitetura TCP/IP Simples para ser implementado em todo tipo de equipamentos Flexvel o bastante para aceitar futuras modificaes
Arquitetura SNMP
Interface FDDI MIB Agente SNMP Software de aplicao Agente SNMP MIB
Gerente SNMP
Operaes SNMP
GetRequest GetResponse
Porta 161
GetNextRequest GetResponse
Porta 161
SetRequest GetResponse
MIB
Porta 162
Trap
Gerente
Agente
Mensagem SNMP
Verso Community-string PDU (Protocol Data Unit)
Este campo carrega o nome de comunidade que o originador da mensagem est usando.
SNMPv2
Evoluo natural para corrigir falhas, limitaes e, principalmente, falta de segurana A abrangente proposta SNMPv2 Clssica baseada em parties fracasso SNMPv2c: assimilou somente as novas mensagens e correes, esperando ainda:
Segurana Configurao Remota Infra-estrutura Administrativa
Operaes SNMPv2
GetRequest GetResponse
Porta 161
informRequest GetResponse
Porta 161
GetNextRequest GetResponse
Porta 161
SetRequest GetResponse
MIB
Porta 162
Trap
Gerente
Gerente
Agente
SNMPv3
No toda uma nova verso, e sim um complemento para as atuais verses do SNMP Pretende oferecer servios de segurana, infra-estrutura administrativa e configurao remota de agentes Muda o formato da mensagem SNMP Ainda est em discusso
Chaves Dinmicas
A informao de autenticao dever ser gerada em funo da mensagem, da chave de autenticao e do nome de comunidade (controle de acesso) No caso de um ataque, somente a mensagem em questo comprometida Tamanho das chaves de autenticao: 128 bits
T L
NOME DA COMUNIDADE
T L
INFORMAO DE CHAVE
T L
DIGEST DA MENSAGEM
PDU
Informao de Autenticao
Mensagem SNMP enviada
Gerente SNMP
Na recepo gerada a informao de autenticao da mensagem a partir das informaes da mensagem e da chave de autenticao local esperada. Se forem iguais, a mensagem aceita
Protocolo Auth-P
Gerador Aleatrio
Gerente SNMP
Kmestre Ktransao
C
Agente SNMP
comunidade Kcipher
digest (Ktransao) C
Kmestre
Ktransao
Teste da Autenticao (H)
Protocolo Auth-N
Gerente SNMP
Kgeradora hn Ktransao
Gerao do Digest (H) Agente SNMP
comunidade
digest (Ktransao)
Kgeradora hn Ktransao
Esquema da Demonstrao
Requests SNMP Responses SNMP
Hub
Tabela Comparativa
Auth-P Auth-N Gerao de Necessita de um bom No precisa Informao Aleatria gerador aleatrio Dados a Serem 1 chave: chave 2 chaves: chaves matriz e Inicializados mestre geradora inicial 2, MD5 para a funo Algoritmos Apenas 1, MD5 para as H (HMAC-MD5) e Criptogrficos funes h (MD5) e H (HMACblowfish para a Implementados MD5) funo C Aumento do Cdigo 9% 4,43 % Executvel Aumento da 2% 0,4 % Utilizao de Memria Depende do valor de w. Os valores testados esto entre Velocidade da 2,37 a velocidade do 3 (w=50) a 22 (w=1000) Autenticao agente SNMP normal vezes a velocidade do agente SNMP normal. Autenticao de Mensagens Sim No Espontneas (traps) ?
Concluso
Ainda possvel se implementar segurana nas verses v1 e v2c do protocolo SNMP Existe a necessidade de inicializao de dados de segurana, assim como SNMPv3 Auth-P e Auth-N poderiam ser outras opes para protocolo de autenticao dentro do modelo USM de SNMPv3) Com estes protocolos, o agente ainda permanece simples
Sugestes
Implementao de um possvel escudo autenticador para dispositivos SNMP que usam autenticao trivial Projeto de novos protocolo de autenticaco para o modelo USM, baseados na propostas apresentadas Estudo da possibilidade de se autenticar somente algumas mensagens (como os sets)
Perguntas / Observaes