Gestión de redes, SNMP y RMON

Gestión de redes, SNMP y RMON

Índice Introducción Gestión de redes SNMP SNMPv1 RMON Secure SNMP SNMPv2 SNMPv3 Software para SNMP

Metodología PDCA Plan Planificación Act Do Check Control Configuración Monitorización Supervisión http://en.wikipedia.org/wiki/pdca Introducción

Acciones y Medidas Reactivas Detección Corrección Conocimiento causa Proactivas Predicción Prevención De mejora Introducción

Situación de partida Necesidad de gestionar nodos de la red Multiplicidad: Redes Dispositivos Fabricantes: protocolos y formatos Gestión de redes

Qué es gestionar una red Operaciones: Monitorización Clonado/Instalación de software/firmware Actualización/Parcheo de software/firmware Configuración Inventario de hardware/software Calidad y Seguridad Todo ello de forma automatizada, remota, masiva, segura Gestión de redes

Modelo de gestión de red de OSI Modelo FCAPS : Fault: identificar, aislar, corregir, registrar Configuration: recoger, enviar, registrar cambios Accounting: estadísticas de recursos, administración de usuarios y permisos Performance: %utilización y disponibilidad, tasas de error, tiempos de respuesta Security: autenticación, confidencialidad, autorización http://en.wikipedia.org/wiki/fcaps http://en.wikipedia.org/wiki/network_management_model Gestión de redes

Tipologías de nodos Según capacidades e inteligencia: Procesamiento Red Periféricos Mix Gestión de redes

Protocolos estándares de gestión CMIP (Common Management Information Protocol) y CMOT (CMIP Over TCP/IP): De OSI/ISO Complejos y poco usados SNMP (Simple Network Management Protocol): Control y Monitorización RMON (Remote Monitor): Monitorización http://en.wikipedia.org/wiki/common_management_information_protocol Gestión de redes

Software de Gestión Monitorización http://en.wikipedia.org/wiki/network_monitoring_comparison http://en.wikipedia.org/wiki/comparison_of_disk_cloning_software http://en.wikipedia.org/wiki/comparison_of_open_source_configuration_management_software http://www.linuxjournal.com/content/readers-choice-awards-2010 Gestión de redes

Software de Monitorización sin SNMP Requiere nodos con posibilidad de instalar software Herramientas: Para pocos equipos, interfaz humano, ej. web Para muchos equipos, automatización: "A mano": scripts, cron,... Productos: Red: nagios, mon, sysmon, ntop,... Logs: logwatch, oak,... http://www.nagios.org/ https://mon.wiki.kernel.org/ http://www.sysmon.com/ http://www.ntop.org/ http://sourceforge.net/projects/logwatch/ http://www.ktools.org/ Gestión de redes

SNMP Simple Network Management Protocol Sólo 5 comandos en v1, y otros 2 más en v2, v3 Alcance: Monitorización y Control en redes centralizadas o distribuidas Pero SNMP no es perfecto! Parte del modelo TCP/IP, definido mediante RFCs del IETF http://en.wikipedia.org/wiki/snmp SNMP

Historia y Versiones 1988 SNMPv1 RMON 1992 Secure SNMP 1993 SNMPv2 SNMPv2c SNMPv2u SNMPv2* 1998 SNMPv3 Es el estándar actual (SNMPv1, SNMPv2 obsoletas) SNMP

Elementos de la especificación Tipos de nodo: Nodo gestor con software NMS (Network Management System) Nodo gestionado con software Agente Protocolo Datos: SMI (Structure of Management Information) MIB (Management Information Base) SNMP

Tipologías de nodos Según función de gestión: Nodos Gestores Nodos Gestionados mediante agentes Nodos Proxies Gestión de redes

Tipos de Nodos: NMS y Agente NMS (Network management system) Dispositivo gestionado MIB Proceso Gestor Proceso Agente MIB Proceso... SNMP SNMP... UDP IPv4, IPv6 UDP IPv4, IPv6 TCP Comunicación con los nodos gestionados Interface de Usuario con funcionalidades añadidas MIB resultado de agregar MIBs de nodos gestionados SNMP

Tipos de nodos: Proxy Agente Proxy Dispositivo gestionado que no habla SNMP Proceso Agente SNMP UDP IPv4, IPv6 Proceso Proxy Protocolo YYY Proceso XXX Protocolo YYY SNMP

Protocolo: SNMP en modelo TCP/IP OSI/ISO TCP/IP 7. Aplicación ASN.1 6. Presentación 4. Aplicación SNMP 5. Sesión 4. Transporte 3. Red 2. Enlace 1. Físico 3. Transporte 2. Internet 1. Enlace UDP UDP: Menor tráfico que TCP No confiable, pero se envían confirmaciones en nivel de Aplicación Otros protocolos bajo SNMP: OSI Connectionless Network Service AppleTalk Datagram-Delivery Protocol (DDP) Novell IPX Incluso TCP http://en.wikipedia.org/wiki/osi_model http://en.wikipedia.org/wiki/tcp/ip_model SNMP

Protocolo: Operaciones y Primitivas Solicitud de Lectura Solicitud de Escritura Envío de Información Síncronas Asíncronas GetRequest GetNextRequest GetBulkRequest SetRequest Response Trap InformRequest De Gestor a Agente SNMPv2 En SNMPv1 se llamaba GetResponse De Agente a Gestor En ambos sentidos En SNMPv2 también puede ir de agente a agente SNMP

Protocolo: Polling vs Trap Polling = Sondeo Trap = Notificaciones, Interrupciones Criterios: Información periódica Eficiencia de tráfico SNMP

Protocolo: Flujos y Puertos GetRequest SetRequest GetNextRequest GetBulkRequest.../UDP Response 161/UDP Gestor 162/UDP Trap InformRequests.../UDP Agente SNMP

Protocolo: seguridad Relación M:N entre agentes y gestores que actúan sobre los primeros Aspectos de seguridad: Autenticación: quién es el gestor, y cómo verificarlo Acceso: permisos para cada agente sobre determinados objetos Proxys: implementación de políticas sobre los sistemas gestionados por un proxy SNMP

Protocolo: seguridad Ataques que afectan a todas las versiones: Por fuerza bruta (diccionario), ya que carecen de mecanismo desafío-respuesta Denegación de servicio Algunos fabricantes no permiten escritura, por la mala seguridad hasta SNMPv3, o porque sus dispositivos no son configurables por SNMP SNMP

SMI Proporciona un esquema extensible para representar objetos según una estructura jerárquica en árbol Versiones: SMIv1, SMIv2 Notación: Subconjunto de ASN.1. Ej: internet OBJECT IDENTIFIER ::= { iso org(3) dod(6) 1 } http://en.wikipedia.org/wiki/structure_of_management_information SNMP

Elementos de la SMI Definición de estructura de base de datos, y de cada MIB particular Definiciones de objetos, módulos y notificaciones (traps): tipos, nomenclatura, sintaxis, reglas de construcción de las MIBs,... Codificación según BER SNMP

Árbol de la SMI No hay un nodo raíz orden directory: uso futuro para directorio OSI (X.500) management: subárbol para objetos aprobados en el IAB experimental: para pruebas private: para fabricantes específicos SNMP

Objetos de la SMI Nodos del árbol: Objetos=nodo o dispositivo a gestionar, y características/recursos del mismo. Ej: Router, con su tabla de conexiones TCP Cada nodo con hijos puede verse como un grupo El protocolo SNMP: No puede modificar la estructura del árbol Sólo puede gestionar los nodos-hoja SNMP

Sintaxis de objetos de la SMI Identificación y Relación con otros objetos Tipo de valores: Por sencillez e interoperabilidad sólo hay escalares y tablas; no hay otras estructuras complejas SNMP sólo puede leer/escribir tipos escalares Formas posibles (CHOICE) Rango de valores, ej. SYNTAX INTEGER (0..65535) Permisos de acceso (read-only, read-write,...) y Obligatoriedad (mandatory, optional) Descripción SNMP

Identificación de objetos de la Identificador único: SMI De tipo OBJECT IDENTIFIER en ASN.1 Secuencia de enteros separados por puntos; cada entero indica los nodos de la rama en la que está A veces, secuencia de nombres correspondientes Ej: 1.3.6.1.2.1.4 iso.org.dod.internet.mgmt.mib_2.ip SNMP http://www.faqs.org/rfcs/rfc1902.html

Tipos de objetos de la SMI Escalares: 4 Universales predefinidos: INTEGER: de -2 31 a 2 31-1 OCTET STRING: de 0 a 65535 bytes OBJECT IDENTIFIER NULL Otros tipos especiales basados en los anteriores, asociados a la clase APPLICATION. En la SMIv2 hay más tipos http://www.faqs.org/rfcs/rfc2012.html SNMP

Tipos de objetos de la SMI Tipos asociados a APPLICATION class: NetworkAddress: sólo está definida IpAddress IpAddress: 32 bit address Counter: de 0 a 232-1 (4.294.967.295). Su valor sólo puede incrementarse Gauge: de 0 to 232-1. Su valor puede aumentar o disminuir TimeTicks: centésimas de segundo desde alguna época Opaque: datos arbitrarios en cualquier formato, codificados como OCTET STRING http://www.faqs.org/rfcs/rfc1155.html SNMP

Tipos de objetos de la SMI Arrays bidimensionales o tablas mediante: SEQUENCE-OF: todos los elementos de igual tipo SEQUENCE: elementos de igual o distinto tipo Palabra clave INDEX para distinguir filas. Ej: tabla tcpconntable tcpconnstate tcpconnlocaladdress tcpconnlocalport tcpconnremaddress tcpconnremport listen(2) 0.0.0.0 21 0.0.0.0 0 listen(2) 0.0.0.0 22 0.0.0.0 0 listen(2) 0.0.0.0 25 0.0.0.0 0 listen(2) 0.0.0.0 80 0.0.0.0 0 established(5) 127.0.0.1 1031 127.0.0.1 1030 established(5) 127.0.0.1 1032 127.0.0.1 1033 http://www.faqs.org/rfcs/rfc2012.html SNMP

Definición de objetos de la SMI Niveles: Definición de macro, ej. OBJECT-TYPE Instancia de macro para definir tipos ej. definición del tipo tcpmaxconn mediante la macro OBJECT-TYPE Valor de instancia de macro, para indicar valores concretos de una entidad específica ej. valor de tcpmaxconn para un caso concreto de conexión TCP http://www.faqs.org/rfcs/rfc1212.html http://www.faqs.org/rfcs/rfc2012.html SNMP

Módulos de la SMI Especifican grupos de definiciones relacionadas Tipos: Módulos de MIB, para definir objetos interrelacionados Sentencias de conformidad, para describir grupos de objetos que han de cumplir un standard Sentencias de capacidades, que permiten a un gestor conocer las posibilidades que ofrece un agente SNMP

Software para SMI y ASN.1 Ej. implementación: libsmi En Debian y derivados: apt-cache search libsmi apt-cache search ASN.1 SNMP

MIBs Rama dentro de SMI para un uso concreto Diferencia entre SMI y MIBs: SMI = esquema de definición + árbol general MIBs = subárboles de propósito específico (semántica+léxico) dentro del árbol general http://en.wikipedia.org/wiki/management_information_base SNMP

Tipos de MIBs Estándares: mantenidas por IETF o IEEE. Ej: MIB-2: gestión de dispositivos TCP/IP TCP-MIB: específica de TCP Ethernet-MIB Privadas (disminuye la interoperabilidad): El fabricante proporciona texto y/o descripción formal de la misma para la NMS Problema: 3 versiones; principal: RFC 1212 http://en.wikipedia.org/wiki/management_information_base SNMP

Ejs. MIBs Paquete Debian snmp-mibs-downloader Directorios: MIBs IANA: /var/lib/mibs/iana MIBs IETF: /var/lib/mibs/ietf RFCs: /usr/share/doc/mibrfcs SNMP

MIB-2 Gestión de dispositivos TCP/IP 1.3.6.1.2.1 = iso.org.dod.internet.mgmt.mib_2 10 nodos = grupos system(1) interfaces(2) at (3) ip (4) icmp (5) tcp (6) udp (7) egp (8) transmission (10) snmp (11) Obsoleto; mantenido por compatibilidad con MIB-1 Exterior Gateway Protocol (obsoleto) Datos de nivel de Enlace http://en.wikipedia.org/wiki/exterior_gateway_protocol SNMP

Condiciones de objetos en MIB-2 Que sea esencial para gestión de fallos o configuración Si es un objeto de control, que sea "no peligroso" Evidencia de utilización No incluir objetos que se puedan derivar de otros, para evitar redundancias Excluir objetos específicos, ej. para BSD UNIX Evitar secciones críticas de código con mucho control (sólo 1 contador) SNMP

SNMPv1: PDUs IP header UDP header SNMP data SNMP header SNMP PDU version community version: 1 community: para seguridad GetRequest, GetNextRequest, SetRequest PDU type request-id 0 0 variable-bindings GetResponse PDU type request-id error-status error-index variable-bindings Trap PDU type enterprise agent-addr generic-trap specific-trap time-stamp variable-bindings nombre1 valor1 nombre2 valor2... nombren valorn SNMPv1

SNMPv1: PDUs request-id: para correlar peticiones y respuestas; se usa el mismo valor en ambas error-status, error-index: gestión de errores Notificación: enterprise: tipo de objeto que la genera, según sysobjectid agent-addr: dirección del objeto que la genera generic-trap, specific-trap: tipos y códigos time-stamp: desde la última reinicialización de la red. Contiene sysuptime SNMPv1

SNMPv1: PDUs Operaciones: Monitorización con PDUs de lectura (GetRequest, GetNextRequest, Trap) Control con PDU de escritura (SetRequest). Permite ejecutar comandos modificando el valor de algunos objetos específicos SNMPv1

SNMPv1: PDUs GetRequest, GetNextRequest y SetRequest: Se confirman con GetResponse Pueden operar sobre más de una variable Son operaciones atómicas: si fallan en alguna variable no actúan sobre ninguna Trap: no se confirman con GetResponse SNMPv1

SNMPv1: PDUs GetNextRequest: Para cada variable se obtiene el siguiente nodohoja de la MIB en orden lexicográfico Permite descubrir la estructura de la MIB de forma dinámica SNMPv1

SNMPv1: Seguridad Concepto de "comunidades": conjunto de agentes y gestores que actúan sobre los primeros Aspectos de seguridad: Autenticación basada en el nombre de la comunidad. Es un password en texto claro que se comparte, típicamente "public" o "private" por defecto. Esquema muy pobre. Acceso basado en vistas (MIB view) y modos (ACCESS MODE ej. read-only) Se combinan ambos en un "community profile" SNMPv1

Secure SNMP Ofrece autenticación y encriptación No es compatible con SNMPv1 porque cambia el formato de la cabecera: IP header UDP header SNMP data SNMP header SNMP PDU privdst authinfo dstparty srcparty SNMP PDU Puede ir encriptado Authentication Info http://tools.ietf.org/html/rfc1351 Secure SNMP

SNMPv2 Cambios respecto a SNMPv1: Orientación a redes distribuidas, gracias a la comunicación entre managers (idea basada en RMON) Más eficiencia en tráfico mediante mensajes de obtención de múltiples valores Seguridad mejorada basada en S-SNMP, pero al ser muy compleja no se aceptó: SNMPv2 vs SNMPv2c (c=community) Aparece SMIv2 y una nueva MIB: 1.3.6.1.6 Se permite crear y borrar filas en tablas No es compatible con SNMPv1, pero se pueden emplear proxies y entornos duales SNMPv2

SNMPv2: Protocolo Modificaciones respecto a SNMPv1: Cabeceras de los mensajes como en Secure SNMP PDUs: Nuevas: GetBulkRequest, InformRequest Modificada GetResponse por Response Modificada estructura de Trap. Ahora idem GetRequest, GetNextRequest, SetRequest, Trap, InformRequest: PDU type request-id 0 0 variable-bindings GetRequest, GetNextRequest y SetRequest no son atómicas, pudiendo actuar sobre algunas (y no todas) las variables del mensaje Hay tráfico de notificaciones entre NMSs SNMPv2

SNMPv2: GetBulkRequest Se usa para minimizar el número de intercambios necesario para obtener una gran cantidad de datos. PDU: N M N+R variables PDU type request-id non-repeaters max-repetitions variable-bindings Para las primeras N (non-repeaters) variables la operación es idéntica a GetNextRequest PDU, devolviéndose un único sucesor lexicográfico Para las otras R variables, se devuelven múltiples (M=max-repetitions) sucesores lexicográficos SNMPv2

SNMPv2: GetBulkRequest Ej: Interface-Number Physical-Address Network-Address Type 1 00:00:10:54:32:10 9.2.3.4 dynamic 2 00:00:10:01:23:45 10.0.0.51 static 3 00:00:10:98:76:54 10.0.0.15 dynamic GetBulkRequest: [ non-repeaters = 1, max-repetitions = 2 ] ( sysuptime, ipnettomediaphysaddress, ipnettomediatype ) Response: sysuptime.0 = "123456" ipnettomediaphysaddress.1.9.2.3.4 = "000010543210" ipnettomediaphysaddress.2.10.0.0.51= "000010012345" ipnettomediatype.1.9.2.3.4= "dynamic" ipnettomediatype.2.10.0.0.51= "static" SNMPv2

SNMPv2: InformRequest Semejante al Trap pero requiere confirmación desde el Manager. Si ésta no se recibe en un tiempo, se reenvía el InformRequest Criterios: Eficiencia de tráfico y recursos de memoria: Trap Seguridad en recepción: InformRequest http://www.cisco.com/en/us/docs/ios/11_3/feature/guide/snmpinfm.html SNMPv2

SNMPv3 Cambios respecto a SNMPv2: Seguridad en: Integridad de mensajes Confidencialidad, mediante la encriptación de paquetes Autenticidad Enmascaramiento: UDP es vulnerable a IP spoofing (cambio de la dirección de origen) para suplantar dispositivos, y SNMPv3 tiene mecanismos para evitarlo Nuevo framework o arquitectura extensible, compatible de forma nativa con SNMPv1 y SNMPv2 Nuevas MIBs bajo 1.3.6.1.6 SNMPv3

SNMPv3: Seguridad Se definen dos capacidades de seguridad: USM (User-based Security Model): Proporciona funciones de autenticación y confidencialidad (encriptación) Opera a nivel de mensaje VACM (View-based Acess Control Model): Determina si se permite el acceso a los objetos de la MIB para llevar a cabo diferentes acciones Opera a nivel de PDU SNMPv3

SNMPv3: Arquitectura Concepto "Entidad SNMP" que puede actuar como agente, gestor o ambos a la vez, según los módulos que implemente Esquema en base a dos capas: Una o varias Aplicaciones: capa superior que genera y recibe PDUs Un Motor: capa inferior que: Hace de intermediario para las PDUs de Aplicaciones y las capas inferiores: versión de SNMP, protocolos,... Gestiona la seguridad: autenticación, encriptación y acceso SNMPv3

SNMPv3: Arquitectura Sólo Gestor Gestor y Agente Sólo Agente Aplicaciones Command generator Notification generator Comand responder Notification responder Proxy forwarder Motor Dispatcher PDU dispatcher Message dispatcher Transport mapping (UDP,..) Message processing subsystem (v1, v2, v3) Security subsystem Access subsystem SNMPv3

SNMPv3: Formato de mensaje MsgGlobalData = cabecera Definido y usado por el modelo de seguridad MsgData = ScopedPDU msg Version msg Id msg MaxSize msg Flags msg SecurityModel msg SecurityParameters context EngineID context Name PDU 3 Para coordinar peticiones y respuestas Modelo usado por el emisor Generados por el subsistema de seguridad Cuándo enviar un Report PDU Si se ha encriptado el mensaje Si se ha utilizado autenticación... Identificador unívoco de una entidad SNMP Ámbito de encriptación Se usan las de SNMPv2 Máximo tamaño de mensaje en bytes que soporta el emisor del mensaje SNMPv3

SNMP v3 Niveles de Seguridad Es útil dar ejemplos con Net-snmp (snmpd) que expliquen los niveles de seguridad en SNMP: v1 or v2 Community Comunidad en texto-claro como autenticación. v3 noauthnopriv - Comunicación sin autenticación y privacidad (requiere un usuario conocido) v3 authnopriv - Comunicación sin autenticación y sin privacidad v3 authpriv - Comunicación con autenticación y privacidad. Este ejemplo es para una petición SNMP v2 con la Comunidad como autenticación $ snmpgetnext -v 2c -C public test.net-snmp.org sysuptime system.sysuptime.0 = Timeticks: (83467101) 9 days, 15:51:11.01 En SNMP v3 con acceso public sin autenticación y sin encriptación sólo se requiere un usuario válido $ snmpgetnext -v 3 -n "" -u noauthuser -l noauthnopriv test.net-snmp.org sysuptime system.sysuptime.0 = Timeticks: (83467131) 9 days, 15:51:11.31 Ejemplo de SNMP v3 con solicitud autenticada pero sin encriptación: $ snmpgetnext -v 3 -n "" -u MD5User -a MD5 -A "The Net-SNMP Demo Password" -l authnopriv test.net-snmp.org sysuptime system.sysuptime.0 = Timeticks: (83491735) 9 days, 15:55:17.35 Ejemplo con autenticación y encriptación: $snmpgetnext -v 3 -n "" -u MD5DESUser -a MD5 -A "The Net-SNMP Demo Password" -x DES -X "The Net-SNMP Demo Password" -l authpriv test.net-snmp.org system system.sysuptime.0 = Timeticks: (83493111) 9 days, 15:55:31.11

Software para SNMP Ej. de implementación libre: Net-SNMP Comandos: snmpget - > GetRequest ej: snmpget -v1 -c public localhost 1.3.6.1.2.1.1.1 snmpgetnext, snmpwalk -> GetNextRequest snmpset -> SetRequest snmptrap -> Trap http://www.net-snmp.org/ http://net-snmp.sourceforge.net/wiki/index.php/faq Software para SNMP

Software para SNMP Paquetes Ubuntu: Software básico de agente (snmpd) y gestor (snmp) Librerías de enlace y runtime para distintos lenguajes: C, java, php, perl, python, ruby Interfaces: consola, consola propia (scli, snimpy), applet de escritorio, cliente gráfico, web Programas específicos: cacti, collectd, FusionInventory, mrtg, munin, nagios, netdisco, netwox, zabbix Dispositivos: AP, Cisco, UPS, Otros: scanner, MIBs downloader, gestores de traps, utilidades varias Software para SNMP

Software para SNMP MIB browser gratuitos Software Licencia GUI Plataformas tkmib Libre Tk GNU/Linux SnmpB Libre Qt GNU/Linux, Windows,... mbrowse Libre Gtk GNU/Linux, Windows,... ireasoning Privativa Java GNU/Linux, Windows,... MG-SOFT Privativa Windows Windows Software para SNMP

RMON Remote Monitor es una MIB específica para agentes dedicados a monitorizar información de red Mejor rendimiento por monitorización red (versus dispositivo), ej: Delegar a dispositivos con RMON las notificaciones de congestión o de falta de conectividad (si no, todos los dispositivos mandarían notificaciones) http://en.wikipedia.org/wiki/remote_monitoring RMON

RMON Se concreta en un software de agente: Que corre en un dispositivo, dedicado o no, llamado sonda ("probe"). Ej. en un switch Que funciona en modo promiscuo capturando paquetes Uso típico: un agente RMON en cada segmento de red Ver MIBs y RFCs en wikipedia http://en.wikipedia.org/wiki/remote_monitoring RMON

RMON Operaciones: Monitorización mediante tablas de datos: Informes de tráfico y estadísticas de errores Almacenamiento de paquetes para análisis posteriores Configuración mediante filas en tablas de control Invocación de acciones mediante objetos que representan comandos, y actúan si cambian de estado Suelen usarse notificaciones más que polling RMON

RMON: MIBs Identificador de la MIB RMON: iso.org.dod.internet.mgmt.mib-2.rmon 1.3.6.1.2.1.16 Versiones: RMON1: orientado a capas física y de enlace, su MIB define 10 grupos de objetos: estadísticas, alarmas, filtros, eventos,... RMON2: orientado a capas de red y superiores, su MIB define otros 10 grupos de objetos En ambos casos no siempre el dispositivo implementa todos los objetos. RMON

RMON: acceso concurrente Problemas potenciales por acceso concurrente desde distintos gestores: Exceso de la capacidad del monitor Recursos del monitor ocupados/bloqueados durante periodos de tiempo largos, bien por un fallo interno o por un gestor externo RMON

RMON: acceso concurrente Solución: columna "etiqueta de propiedad" en las tabla de control: Indica su propietario Read-write para el propietario, Read-only para el resto Una estación gestora identifica a su propietario y puede negociar con él la liberación Un operador puede hacer una liberación unilateral RMON