Modelo de gestión de Internet 1
Premisa de diseño Si la gestión de red es esencial entonces debe implantarse en todos los recursos de la red. Consecuencia: - El impacto al añadir la gestión a un nodo debe ser mínimo (implementación y protocolo). - La complejidad debe residir en el gestor de la red. 2
Evolución Primera aproximación (Marzo 1987): SGMP: Simple Gateway Monitoring Protocol HEMS: High-level Entity Management System CMOT: CMIP over TCP (ISO) Revisión (Febrero 1988): Corto plazo: SGMP actualizado (SNMP, revisado 1990) Largo plazo: CMOT. Primeras recomendaciones: SNMP, SMI, MIB (Agosto 1988) Revisiones: SNMP, MIB-II (Marzo 1991) Desarrollo de MIBs particulares (1991 -...) SNMPv2 (Mayo 1993, revisado en 1996) 3
Estándares Documentos principales: SMI: Structure of Management Information (RFC 1155) MIB: Management Information Base (RFC 1156, RFC 1213) SNMP: Simple Network Management Protocol (RFC 1157) Documentos adicionales: RFCs de ampliaciones de MIBs Concise MIB definitions, SMIv1 (RCF 1212) SNMPV2 (RFC 3416..3418) SNMPV3 (RFC 3411..3415) Ethernet chipset: RFC 2666 WWW-MIB: RFC 2594 ADSL: RFC 3340, 2662 BGP4: RFC 4273... Más información: http://wwwsnmp.cs.utwente.nl/ietf/rfcs/rfcbymodule.html 4
SNMP v1 Especificación elaborada en agosto de 1988 Estaciones de gestión independientes con concentradores, encaminadores y estaciones de trabajo con agentes. Define una MIB limitada, fácil de implementar, con variables escalares y tablas de sólo dos dimensiones. Protocolo sencillo Funcionalidad limitada Seguridad reducida Mecanismos de autenticación para las operaciones sencillos Hecho obsoleto por SNMPv2 5
SNMP v1 modelo 6
Protocolo SNMP Operaciones que ofrece: Set: el gestor modifica un valor de los objetos del agente. Get: el gestor solicita valores de los objetos de un agente. Trap: el agente envía el valor de un objeto al gestor (de forma no solicitada) Dos orientaciones: Consultas y sondeos del gestor al agente: puerto UDP 161 Alarmas (interrupciones) enviadas por el agente al gestor: puerto UDP 162 7
SNMP v1 protocolo Estación de gestión Agente SNMP Aplicación de Gestión La aplicación gestiona los objetos Recursos gestinados Objetos gestionados GetRequest GetNextRequest SetRequest GetResponse Trap GetRequest GetNextRequest SetRequest GetResponse Trap Gestor SNMP UDP IP Protocolos dependientes de red Mensajes SNMP Red Red TCP/IP Agente SNMP UDP IP Protocolos dependientes de red 8
SNMP v1 Operaciones GetRequest:el gestor realiza una petición de valores específicos de la MIB del agente. GetNextRequest: el gestor realiza una petición del objeto siguiente a uno dado en la MIB del agente, siguiendo un orden lexicográfico. GetResponse: el agente devuelve los valores solicitados por la operaciones anteriores del gestor. Es la respuesta a un SetRequest, GetRequest o GetNextRequest. SetRequest: el gestor permite asignar un valor a una variable en el sistema del agente. Traps: el agente informa de un suceso inusual predefinido. GetRequest, GetNextRequest, SetRequest Gestor GetResponse Agente Trap 9
SNMP: formato de mensajes Cada operación genera un tipo de mensaje. El mensaje se encapsula en un datagrama UDP: disminuye el procesado del mensaje y la complejidad del agente. Los mensajes de petición se reciben en el puerto 161 del agente. Los traps se reciben en el puerto UDP 162 del gestor. El formato del paquete es: Versión Comunidad SNMP pdu Versión: versión del protocolo SNMP (RFC1157 es versión 1). Comunidad:cadena de caracteres que indica la comunidad con la que se realiza la(s) operación(es) solicitada(s). SNMP pdu: el comando depende del tipo de orden. Contiene OIDs que identifican objetos y el valor correspondiente (caso de operación SetRequest o GetResponse). 10
Configuración de pasarelas Permite comunicar sistemas SNMP con otros sistemas que utilicen otros protocolos Proceso Gestor SNMP UDP IP Funciones de mapeo Proceso Agente SNMP UDP IP Arquitectura de protocolos usada para dispositivos Pasarela (proxy) Proceso de gestión Arquitectura de protocolos usada para dispositivos Pasarela (proxy) 11
Control de acceso Una comunidad es la forma de establecer una relación entre un agente SNMP y un conjunto de gestores. Define: autenticación, control de acceso y servicio de proxy. El sistema gestionado debe controlar su MIB local. Aspectos de dicho control: Servicio de autenticación: limita el acceso de gestores. Política de acceso: diferentes accesos a diferentes gestores. Servicios de proxy: si actúa como proxy debe controlar el acceso a los sistemas a los que representa (mantiene una política de acceso por cada sistema representado). Cada agente puede definir varias comunidades. Se pueden repetir las comunidades de diferentes agentes. Las comunidades actúan como valor secreto compartido entre agentes y gestores (contraseña) 12
Control de acceso (II) Autenticación: La comunidad se transmite en todas las consultas SNMP enviadas e identifica a ambas partes. Problemas: no hay provisiones para cifrarla, existen comunidades preconfiguradas. Autorización: Los agentes pueden definir vistas: subconjuntos de objetos que están asociadas a una comunidad. Se asocia cada comunidad a un privilegio: lectura (ro), lectura/escritura (rw) o sólo escritura (w) Vista A Vista B Comunidad Vista:acceso public A: RO private A,B: RW 13
Structure of Management Information (SMI) Es el marco general con el que se definen y construyen las MIBs Identifica los tipos de datos que se pueden almacenar. Cómo se representan y nombran (formalmente) los recursos (objetos) Esquema para asociar un identificador único con cada objeto dentro de un sistema Anima a ser simple y extensible Sólo tiene datos escalares y matrices de escalares de dos dimensiones (tablas) Tres elementos clave: Tipos de datos, objetos e identificadores de objetos 14
SNMP v2 Publicado en 1992, revisado en 1996 Es un marco de trabajo en el que se pueden construir aplicaciones de gestión de red: Gestión de averías, de calidad, contabilidad. Define un protocolo para el intercambio de información de gestión. Cada elemento mantiene una MIB local. La estructura de la MIB está definida en el estándar. Al menos existe un sistema que lleva a cabo la gestión Mantiene todas las aplicaciones de gestión. Los demás son agentes. 15
SNMP v2 (II) Puede utilizarse de forma centralizada o distribuida En la arquitectura distribuida algunos elementos operan como gestor y otros como agente El intercambio de información se hace con el protocolo SNMP v2: Protocolo sencillo de consulta / respuesta Típicamente utiliza UDP, aunque puede utilizar TCP No es necesaria una conexión fiable (preguntas y respuestas cortas) Reduce la sobrecarga de gestión sobre el equipo gestionado Falta de acuerdo de seguridad en estandarización Se mantienen las comunidades 16
SNMPv2 modelo 17
SNMPv2 PDUs PDU type request-id 0 0 variable-bindings (a) GetRequest, GetNextRequest, SetRequest, SNMPv2-Trap, InformRequest PDU type request-id error-status error-index variable-bindings (b) Response PDU type request-id non-repeaters max-repetitions variable-bindings (c) GetBulkRequest name1 value1 name2 value2 namen valuen (d) variable-bindings Valor entero único para identificar de forma unívoca las consultas Lista de identificadores de objetos y (según solicitud) valores 18
Comparación entre SNMP v1 y v2 SNMPv1 PDU SNMPv2 PDU Dirección Descripción GetRequest GetRequest Gestor a agente Solicitar un valor de un objeto. GetNextRequest GetNextRequest Gestor a agente Solicitar un valor del siguiente objeto en una lista. ------ GetBulkRequest Gestor a agente Solicitar múltiples valores. SetRequest SetRequest Gestor a agente Fijar un valor para un objeto. ------ InformRequest Gestor a gestor Transmit información no solicitada, requiere asentimiento. GetResponse Response Agente a gestor (SNMPv2) Gestor a gestor Responde a una solicitud del gestor. Utilizado como respuesta a múltiples consultas. Trap SNMPv2-Trap Agente a gestor Transmite información no solicitada. 19
SNMP v3 Desarrollado en 1998 Intenta dar respuesta a los problemas de seguridad de SNMP v1/2 RFC 3410-3415 Define la arquitectura completa y las capacidades de seguridad Pero no incluye toda la capacidad de SNMP Se usa conjuntamente con SNMP v2 Define tres tipos de servicios de seguridad: Autenticación Privacidad (Confidencialidad) Control de acceso Modelo de seguridad basado en usuario (USM) Modelo de control de acceso basado en vistas (VACM) 20
Servicios SNMP v3 La autenticación se asegura que el mensaje es: De un origen identificado y no ha sido alterado, manipulado ni reenviado Incluye un código de autenticación como mensaje HMAC Confidencialidad Cifra los mensajes utilizando DES o (RFC 3826) AES (experimental) Uso de gestión de claves asimétricas (Diffie-Helman, RFC 2786) Control de acceso Los agentes están preconfigurados para dar distinto tipo de nivel de acceso a la MIB a distintos gestores Restringe el acceso a la información del agente. Limita las operaciones que se puedan realizar. 21