SlideShare una empresa de Scribd logo
Gestión de redes,
  SNMP y RMON



Redes y Servicios II
ETSI Bilbao/DET/Telemática/5º Ing. Telecomunicación
Dani Gutiérrez Porset
Nov 2010
Acerca de este documento
●
    Licencia de uso




    http://creativecommons.org/licenses/by-sa/3.0/
●
    Material utilizado:
    ●
        Foto de portada: The Opte Project (cc by-nc-sa 1.0)
    ●
        Logotipos propiedad de sus respectivos dueños
    ●
        Libro "SNMP, SNMPv2, SNMPv3, and RMON 1 and 2" -
        William Stallings – Ed. Addison Wesley
    ●
        Apuntes de Marivi Higuero Aperribai
                                                         http://opte.org/maps/

                                                                           2
Índice
●
    Introducción
●
    Gestión de redes
●
    SNMP
●
    SNMPv1
●
    RMON
●
    Secure SNMP
●
    SNMPv2
●
    SNMPv3
●
    Software para SNMP
                                3
Metodología PDCA
                              Planificación
                      Plan




                Act                 Do

                                         Control
                                         Configuración
                      Check


                        Monitorización
                        Supervisión



                                                         http://en.wikipedia.org/wiki/PDCA

Introducción                                                                          4
Acciones y Medidas

               Reactivas       Proactivas
         ●
          Detección            ●
                                Predicción
         ●
          Corrección           ●
                                Prevención
         ●
          Conocimiento causa   ●
                                De mejora




Introducción                                 5
Situación de partida
      ●
           Necesidad de gestionar nodos de la red
      ●
           Multiplicidad:
            ●
                   Redes
            ●
                   Dispositivos
            ●
                   Fabricantes: protocolos y formatos




Gestión de redes                                        6
Qué es gestionar una red
      ●
           Operaciones:
            ●
                   Monitorización
            ●
                   Clonado/Instalación de software/firmware
            ●
                   Actualización/Parcheo de software/firmware
            ●
                   Configuración
            ●
                   Inventario de hardware/software
            ●
                   Calidad y Seguridad
      ●
           Todo ello de forma automatizada, remota,
           masiva, segura

Gestión de redes                                                7
Modelo de gestión de red de OSI
      ●
           Modelo FCAPS :
            ●
                   Fault: identificar, aislar, corregir, registrar
            ●
                   Configuration: recoger, enviar, registrar cambios
            ●
                   Accounting: estadísticas de recursos,
                   administración de usuarios y permisos
            ●
                   Performance: %utilización y disponibilidad, tasas
                   de error, tiempos de respuesta
            ●
                   Security: autenticación, confidencialidad,
                   autorización

                                                       http://en.wikipedia.org/wiki/FCAPS

                                                       http://en.wikipedia.org/wiki/Network_management_model

Gestión de redes                                                                                         8
Tipologías de nodos
      ●
           Según capacidades e inteligencia:

                   Procesamiento




                   Red




                   Periféricos




                   Mix



Gestión de redes                                   9
Solución
      ●
           Interoperabilidad en base a estándares
      ●
           Elementos de información:
            ●
                   Significado = semántica
            ●
                   Representación = léxico, sintaxis: formatos
            ●
                   Intercambio: protocolos de comunicación
      ●
           Estándares "de facto" vs "de iure"




Gestión de redes                                                 10
Protocolos estándares de gestión
      ●
           CMIP (Common Management Information
           Protocol) y CMOT (CMIP Over TCP/IP):
            ●
                   De OSI/ISO
            ●
                   Complejos y poco usados
      ●
           SNMP (Simple Network Management
           Protocol): Control y Monitorización
      ●
           RMON (Remote Monitor): Monitorización



                                             http://en.wikipedia.org/wiki/Common_management_information_protocol

Gestión de redes                                                                                            11
Software de Gestión




              Monitorización




                               http://en.wikipedia.org/wiki/Network_monitoring_comparison

                               http://en.wikipedia.org/wiki/Comparison_of_disk_cloning_software

                               http://en.wikipedia.org/wiki/Comparison_of_open_source_configuration_management_software

                               http://www.linuxjournal.com/content/readers-choice-awards-2010

Gestión de redes                                                                                                  12
Software de Monitorización
                           sin SNMP
      ●
           Requiere nodos con posibilidad de instalar
           software
      ●
           Herramientas:
            ●
                   Para pocos equipos, interfaz humano, ej. web
            ●
                   Para muchos equipos, automatización:
                   –   "A mano": scripts, cron,...
                   –   Productos:
                        ●
                            Red: nagios, mon, sysmon, ntop,...
                        ●
                            Logs: logwatch, oak,...              http://www.nagios.org/

                                                                 https://mon.wiki.kernel.org/

                                                                 http://www.sysmon.com/

                                                                 http://www.ntop.org/

                                                                 http://sourceforge.net/projects/logwatch/

                                                                 http://www.ktools.org/

Gestión de redes                                                                                     13
SNMP
   Simple Network Management Protocol


   Sólo 5 comandos en v1, y
   otros 2 más en v2, v3


             Alcance: Monitorización y Control
             en redes centralizadas o distribuidas


                                    Parte del modelo TCP/IP,
                                    definido mediante RFCs del IETF
       Pero SNMP no es perfecto !
                                                           http://en.wikipedia.org/wiki/Snmp

SNMP                                                                                   14
Historia y Versiones
             1988 SNMPv1




         RMON       1992 Secure SNMP


             1993 SNMPv2




       SNMPv2c      SNMPv2u     SNMPv2*




             1998 SNMPv3 Es el estándar actual
                         (SNMPv1, SNMPv2 obsoletas)

SNMP                                                  15
Elementos de la especificación
       ●
           Tipos de nodo:
           ●
               Nodo gestor con software NMS (Network
               Management System)
           ●
               Nodo gestionado con software Agente
       ●
           Protocolo
       ●
           Datos:
           ●
               SMI (Structure of Management Information)
           ●
               MIB (Management Information Base)



SNMP                                                       16
Tipologías de nodos
      ●
           Según función de gestión:
            ●
                   Nodos Gestores
            ●
                   Nodos Gestionados mediante agentes
            ●
                   Nodos Proxies




Gestión de redes                                        17
Tipos de Nodos: NMS y Agente
        NMS (Network management system)          Dispositivo gestionado



                 MIB                                       MIB
                          Proceso             Proceso                  Proceso
                          Gestor              Agente                      ...

                        SNMP                      SNMP                 ...

                         UDP                             UDP                 TCP

                       IPv4, IPv6                         IPv4, IPv6


   ●
    Comunicación con los nodos gestionados
   ●
    Interface de Usuario con funcionalidades añadidas
   ●
    MIB resultado de agregar MIBs de nodos gestionados



SNMP                                                                               18
Tipos de nodos: Proxy

                    Agente Proxy          Dispositivo gestionado
                                           que no habla SNMP



       Proceso               Proceso           Proceso
       Agente                 Proxy              XXX

        SNMP              Protocolo YYY     Protocolo YYY

         UDP

       IPv4, IPv6




SNMP                                                               19
Protocolo: SNMP en modelo
                    TCP/IP
                   OSI/ISO                  TCP/IP

                7. Aplicación
                                       4. Aplicación   SNMP
        ASN.1 6. Presentación

                5. Sesión
                                       3. Transporte   UDP    UDP:
                4. Transporte                                 ●
                                                               Menor tráfico que TCP
                                                              ●
                                                               No confiable, pero se
                3. Red                 2. Internet            envían confirmaciones
                                                              en nivel de Aplicación
                2. Enlace
                                       1. Enlace
                1. Físico

   Otros protocolos bajo SNMP:
   ●
    OSI Connectionless Network Service
   ●
    AppleTalk Datagram-Delivery Protocol (DDP)
   ●
    Novell IPX                                                   http://en.wikipedia.org/wiki/OSI_model
   ●
    Incluso TCP                                                  http://en.wikipedia.org/wiki/TCP/IP_model

SNMP                                                                                                  20
Protocolo: Operaciones y
                  Primitivas
                       Solicitud de      Solicitud de       Envío de
                         Lectura          Escritura       Información
                     GetRequest
       Síncronas     GetNextRequest SetRequest          Response
                     GetBulkRequest
                                                        Trap
       Asíncronas
                                                        InformRequest


                                      SNMPv2
                                                                         En SNMPv1
                                                                         se llamaba
                                                                        GetResponse
            De Gestor a Agente
            De Agente a Gestor                      En SNMPv2
            En ambos sentidos                    también puede ir
                                                de agente a agente

SNMP                                                                                  21
Protocolo: Polling vs Trap
       ●
           Polling = Sondeo
       ●
           Trap = Notificaciones, Interrupciones
       ●
           Criterios:
           ●
               Información periódica
           ●
               Eficiencia de tráfico




SNMP                                               22
Protocolo: Flujos y Puertos

                          ●
                           GetRequest
                          ●
                           SetRequest
                          ●
                           GetNextRequest
                          ●
                           GetBulkRequest
                .../UDP   Response
                          ●                 161/UDP



       Gestor                                         Agente
                          ●
                           Trap
                162/UDP   ●
                           InformRequests   .../UDP




SNMP                                                           23
Protocolo: seguridad
       ●
           Relación M:N entre agentes y gestores que actúan
           sobre los primeros
       ●
           Aspectos de seguridad:
           ●
               Autenticación: quién es el gestor, y cómo verificarlo
           ●
               Acceso: permisos para cada agente sobre
               determinados objetos
           ●
               Proxys: implementación de políticas sobre los sistemas
               gestionados por un proxy




SNMP                                                                    24
Protocolo: seguridad
       ●
           Ataques que afectan a todas las versiones:
           ●
               Por fuerza bruta (diccionario), ya que carecen de
               mecanismo desafío-respuesta
           ●
               Denegación de servicio
       ●
           Algunos fabricantes no permiten escritura, por
           la mala seguridad hasta SNMPv3, o porque sus
           dispositivos no son configurables por SNMP




SNMP                                                               25
SMI
       ●
           Proporciona un esquema extensible para
           representar objetos según una estructura
           jerárquica en árbol
       ●
           Versiones: SMIv1, SMIv2
       ●
           Notación: Subconjunto de ASN.1. Ej:
           internet OBJECT IDENTIFIER ::= { iso org(3) dod(6) 1 }




                                            http://en.wikipedia.org/wiki/Structure_of_Management_Information

SNMP                                                                                                   26
Elementos de la SMI
       ●
           Definición de estructura de base de datos, y de
           cada MIB particular
       ●
           Definiciones de objetos, módulos y
           notificaciones (traps): tipos, nomenclatura,
           sintaxis, reglas de construcción de las MIBs,...
       ●
           Codificación según BER




SNMP                                                          27
ASN.1
       ●
           Metalenguaje o Notación que consiste en:
           ●
               Sintaxis, ej.
               Asignaciones:
                    A ::= B
               Comentarios:
                    -- zer astuna den ikasgai hau
           ●
               Reglas para codificar las construcciones a binario
               según BER
       ●
           Semejante a compilar un programa desde el
           fuente al binario
                                               http://en.wikipedia.org/wiki/Abstract_Syntax_Notation_One

                                               http://en.wikipedia.org/wiki/Basic_Encoding_Rules

                                               http://asn1.org/

SNMP                                                                                                 28
Árbol de la SMI
                      No hay un nodo raíz




                    orden




       ●
        directory: uso futuro para directorio OSI (X.500)
       ●
        management: subárbol para objetos aprobados en el IAB
       ●
        experimental: para pruebas
       ●
        private: para fabricantes específicos
SNMP                                                            29
Objetos de la SMI
       ●
           Nodos del árbol: Objetos=nodo o dispositivo a
           gestionar, y características/recursos del
           mismo.
           Ej: Router, con su tabla de conexiones TCP
       ●
           Cada nodo con hijos puede verse como un
           grupo
       ●
           El protocolo SNMP:
           ●
               No puede modificar la estructura del árbol
           ●
               Sólo puede gestionar los nodos-hoja


SNMP                                                        30
Sintaxis de objetos de la SMI
       ●
           Identificación y Relación con otros objetos
       ●
           Tipo de valores:
           ●
               Por sencillez e interoperabilidad sólo hay escalares y
               tablas; no hay otras estructuras complejas
           ●
               SNMP sólo puede leer/escribir tipos escalares
       ●
           Formas posibles (CHOICE)
       ●
           Rango de valores, ej.
           SYNTAX INTEGER (0..65535)
       ●
           Permisos de acceso (read-only, read-write,...) y
           Obligatoriedad (mandatory, optional)
       ●
           Descripción
SNMP                                                                    31
Identificación de objetos de la
                         SMI
       ●
           Identificador único:
           ●
               De tipo OBJECT IDENTIFIER en ASN.1
           ●
               Secuencia de enteros separados por puntos; cada
               entero indica los nodos de la rama en la que está
           ●
               A veces, secuencia de nombres correspondientes
   Ej:
   1.3.6.1.2.1.4
   iso.org.dod.internet.mgmt.mib_2.ip




                                                      http://www.faqs.org/rfcs/rfc1902.html

SNMP                                                                                  32
Tipos de objetos de la SMI
       ●
           Escalares:
           ●
               4 Universales predefinidos:
               –   INTEGER: de -231 a 231-1
               –   OCTET STRING: de 0 a 65535 bytes
               –   OBJECT IDENTIFIER
               –   NULL
           ●
               Otros tipos especiales basados en los anteriores,
               asociados a la clase APPLICATION.
           ●
               En la SMIv2 hay más tipos


                                                       http://www.faqs.org/rfcs/rfc2012.html

SNMP                                                                                   33
Tipos de objetos de la SMI
       ●
           Tipos asociados a APPLICATION class:
           ●
               NetworkAddress: sólo está definida IpAddress
           ●
               IpAddress: 32 bit address
           ●
               Counter: de 0 a 232-1 (4.294.967.295). Su valor sólo
               puede incrementarse
           ●
               Gauge: de 0 to 232-1. Su valor puede aumentar o
               disminuir
           ●
               TimeTicks: centésimas de segundo desde alguna época
           ●
               Opaque: datos arbitrarios en cualquier formato,
               codificados como OCTET STRING


                                                           http://www.faqs.org/rfcs/rfc1155.html

SNMP                                                                                       34
Tipos de objetos de la SMI
       ●
           Arrays bidimensionales o tablas mediante:
           ●
               SEQUENCE-OF: todos los elementos de igual tipo
           ●
               SEQUENCE: elementos de igual o distinto tipo
           ●
               Palabra clave INDEX para distinguir filas.
               Ej: tabla tcpConnTable

               tcpConnState   tcpConnLocalAddress   tcpConnLocalPort   tcpConnRemAddress   tcpConnRemPort

               listen(2)      0.0.0.0               21                 0.0.0.0             0
               listen(2)      0.0.0.0               22                 0.0.0.0             0
               listen(2)      0.0.0.0               25                 0.0.0.0             0
               listen(2)      0.0.0.0               80                 0.0.0.0             0
               established(5) 127.0.0.1             1031               127.0.0.1           1030
               established(5) 127.0.0.1             1032               127.0.0.1           1033
                                                                                                http://www.faqs.org/rfcs/rfc2012.html

SNMP                                                                                                                            35
Definición de objetos de la SMI
       ●
           Niveles:
           ●
               Definición de macro, ej. OBJECT-TYPE
           ●
               Instancia de macro para definir tipos
               ej. definición del tipo tcpMaxConn mediante la
               macro OBJECT-TYPE
           ●
               Valor de instancia de macro, para indicar valores
               concretos de una entidad específica
               ej. valor de tcpMaxConn para un caso concreto de
               conexión TCP


                                                      http://www.faqs.org/rfcs/rfc1212.html

                                                      http://www.faqs.org/rfcs/rfc2012.html

SNMP                                                                                  36
Módulos de la SMI
       ●
           Especifican grupos de definiciones
           relacionadas
       ●
           Tipos:
           ●
               Módulos de MIB, para definir objetos
               interrelacionados
           ●
               Sentencias de conformidad, para describir grupos
               de objetos que han de cumplir un standard
           ●
               Sentencias de capacidades, que permiten a un
               gestor conocer las posibilidades que ofrece un
               agente


SNMP                                                              37
Software para SMI y ASN.1
       ●
           Ej. implementación: libsmi

           En Debian y derivados:

             apt-cache search libsmi
             apt-cache search ASN.1




SNMP                                     38
MIBs
       ●
           Rama dentro de SMI para un uso concreto
       ●
           Diferencia entre SMI y MIBs:
           ●
               SMI = esquema de definición + árbol general
           ●
               MIBs = subárboles de propósito específico
               (semántica+léxico) dentro del árbol general




                                              http://en.wikipedia.org/wiki/Management_information_base

SNMP                                                                                             39
Tipos de MIBs
       ●
           Estándares: mantenidas por IETF o IEEE. Ej:
           ●
               MIB-2: gestión de dispositivos TCP/IP
           ●
               TCP-MIB: específica de TCP
           ●
               Ethernet-MIB
       ●
           Privadas (disminuye la interoperabilidad):
           ●
               El fabricante proporciona texto y/o descripción
               formal de la misma para la NMS
           ●
               Problema: 3 versiones; principal: RFC 1212



                                              http://en.wikipedia.org/wiki/Management_information_base

SNMP                                                                                             40
Ejs. MIBs
       ●   Paquete Debian snmp-mibs-downloader
       ●
           Directorios:
           ●
               MIBs IANA: /var/lib/mibs/iana
           ●
               MIBs IETF: /var/lib/mibs/ietf
           ●
               RFCs: /usr/share/doc/mibrfcs




SNMP                                             41
MIB-2
       ●
           Gestión de dispositivos TCP/IP
       ●
           1.3.6.1.2.1 = iso.org.dod.internet.mgmt.mib_2
       ●
           10 nodos = grupos
                    system(1)
                   interfaces(2)
                      at (3)         Obsoleto; mantenido por compatibilidad con MIB-1

                      ip (4)
                     icmp (5)
                      tcp (6)
                      udp (7)
                      egp (8)        Exterior Gateway Protocol (obsoleto)

                 transmission (10)   Datos de nivel de Enlace

                    snmp (11)
                                                                            http://en.wikipedia.org/wiki/Exterior_Gateway_Protocol

SNMP                                                                                                                          42
Condiciones de objetos en MIB-2
       ●
           Que sea esencial para gestión de fallos o
           configuración
       ●
           Si es un objeto de control, que sea "no
           peligroso"
       ●
           Evidencia de utilización
       ●
           No incluir objetos que se puedan derivar de
           otros, para evitar redundancias
       ●
           Excluir objetos específicos, ej. para BSD UNIX
       ●
           Evitar secciones críticas de código con mucho
           control (sólo 1 contador)
SNMP                                                        43
SNMPv1: PDUs
  IP header   UDP header    SNMP data



                 SNMP header        SNMP PDU


                                                 version       community
                                                                             ●
                                                                              version: 1
                                                                             ●
                                                                              community: para seguridad


                    GetRequest, GetNextRequest, SetRequest
         PDU type    request-id          0                 0           variable-bindings

                    GetResponse
         PDU type    request-id     error-status    error-index        variable-bindings

                    Trap
         PDU type   enterprise      agent-addr     generic-trap        specific-trap   time-stamp   variable-bindings




               nombre1     valor1     nombre2      valor2        ...     nombreN       valorN


SNMPv1                                                                                                             44
SNMPv1: PDUs
     ●
         request-id: para correlar peticiones y
         respuestas; se usa el mismo valor en ambas
     ●
         error-status, error-index: gestión de errores
     ●
         Notificación:
         ●
             enterprise: tipo de objeto que la genera, según
             sysObjectID
         ●
             agent-addr: dirección del objeto que la genera
         ●
             generic-trap, specific-trap: tipos y códigos
         ●
             time-stamp: desde la última reinicialización de la
             red. Contiene sysUpTime

SNMPv1                                                            45
SNMPv1: PDUs
     ●
         Operaciones:
         ●
             Monitorización con PDUs de lectura (GetRequest,
             GetNextRequest, Trap)
         ●
             Control con PDU de escritura (SetRequest).
             Permite ejecutar comandos modificando el valor
             de algunos objetos específicos




SNMPv1                                                         46
SNMPv1: PDUs
     ●
         GetRequest, GetNextRequest y SetRequest:
         ●
             Se confirman con GetResponse
         ●
             Pueden operar sobre más de una variable
         ●
             Son operaciones atómicas: si fallan en alguna
             variable no actúan sobre ninguna
     ●
         Trap: no se confirman con GetResponse




SNMPv1                                                       47
SNMPv1: PDUs
     ●
         GetNextRequest:
         ●
             Para cada variable se obtiene el siguiente nodo-
             hoja de la MIB en orden lexicográfico




         ●
             Permite descubrir la estructura de la MIB de forma
             dinámica



SNMPv1                                                            48
SNMPv1: Seguridad
     ●
         Concepto de "comunidades": conjunto de
         agentes y gestores que actúan sobre los
         primeros
     ●
         Aspectos de seguridad:
         ●
             Autenticación basada en el nombre de la
             comunidad. Es un password en texto claro que se
             comparte, típicamente "public" o "private" por
             defecto. Esquema muy pobre.
         ●
             Acceso basado en vistas (MIB view) y modos
             (ACCESS MODE ej. read-only)
         ●
             Se combinan ambos en un "community profile"
SNMPv1                                                         49
RMON
       ●
           Remote Monitor es una MIB específica para
           agentes dedicados a monitorizar información
           de red
       ●
           Mejor rendimiento por monitorización red
           (versus dispositivo), ej:
           Delegar a dispositivos con RMON las
           notificaciones de congestión o de falta de
           conectividad (si no, todos los dispositivos
           mandarían notificaciones)


                                             http://en.wikipedia.org/wiki/Remote_monitoring

RMON                                                                                  50
RMON
       ●
           Se concreta en un software de agente:
           ●
               Que corre en un dispositivo, dedicado o no,
               llamado sonda ("probe"). Ej. en un switch
           ●
               Que funciona en modo promiscuo capturando
               paquetes
       ●
           Uso típico: un agente RMON en cada
           segmento de red
       ●
           Ver MIBs y RFCs en wikipedia


                                                  http://en.wikipedia.org/wiki/Remote_monitoring

RMON                                                                                       51
RMON
       ●
           Operaciones:
           ●
               Monitorización mediante tablas de datos:
               –   Informes de tráfico y estadísticas de errores
               –   Almacenamiento de paquetes para análisis posteriores
           ●
               Configuración mediante filas en tablas de control
           ●
               Invocación de acciones mediante objetos que
               representan comandos, y actúan si cambian de
               estado
       ●
           Suelen usarse notificaciones más que polling


RMON                                                                      52
RMON: MIBs
       ●
           Identificador de la MIB RMON:
             iso.org.dod.internet.mgmt.mib-2.rmon
             1.3.6.1.2.1.16
       ●
           Versiones:
           ●
               RMON1: orientado a capas física y de enlace, su
               MIB define 10 grupos de objetos: estadísticas,
               alarmas, filtros, eventos,...
           ●
               RMON2: orientado a capas de red y superiores, su
               MIB define otros 10 grupos de objetos
       ●
           En ambos casos no siempre el dispositivo
           implementa todos los objetos.
RMON                                                              53
RMON: acceso concurrente
       ●
           Problemas potenciales por acceso concurrente
           desde distintos gestores:
           ●
               Exceso de la capacidad del monitor
           ●
               Recursos del monitor ocupados/bloqueados
               durante periodos de tiempo largos, bien por un
               fallo interno o por un gestor externo




RMON                                                            54
RMON: acceso concurrente
       ●
           Solución: columna "etiqueta de propiedad" en
           las tabla de control:
           ●
               Indica su propietario
           ●
               Read-write para el propietario, Read-only para el
               resto
       ●
           Una estación gestora identifica a su
           propietario y puede negociar con él la
           liberación
       ●
           Un operador puede hacer una liberación
           unilateral

RMON                                                               55
Secure SNMP
     ●
         Ofrece autenticación y encriptación
     ●
         No es compatible con SNMPv1 porque cambia
         el formato de la cabecera:
               IP header    UDP header    SNMP data



                                SNMP header      SNMP PDU



               privDst     authInfo   dstParty    srcParty   SNMP PDU



                                      Puede ir encriptado


                 Authentication Info
                                                                        http://tools.ietf.org/html/rfc1351

Secure SNMP                                                                                          56
SNMPv2
     ●
         Cambios respecto a SNMPv1:
         ●
             Orientación a redes distribuidas, gracias a la
             comunicación entre managers (idea basada en RMON)
         ●
             Más eficiencia en tráfico mediante mensajes de
             obtención de múltiples valores
         ●
             Seguridad mejorada basada en S-SNMP, pero al ser
             muy compleja no se aceptó: SNMPv2 vs SNMPv2c
             (c=community)
         ●
             Aparece SMIv2 y una nueva MIB: 1.3.6.1.6
         ●
             Se permite crear y borrar filas en tablas
     ●
         No es compatible con SNMPv1, pero se pueden
         emplear proxies y entornos duales
SNMPv2                                                           57
SNMPv2: Protocolo
     ●
         Modificaciones respecto a SNMPv1:
         ●
             Cabeceras de los mensajes como en Secure SNMP
         ●
             PDUs:
             –   Nuevas: GetBulkRequest, InformRequest
             –   Modificada GetResponse por Response
             –   Modificada estructura de Trap. Ahora idem GetRequest,
                 GetNextRequest, SetRequest, Trap, InformRequest:
                    PDU type   request-id   0   0     variable-bindings

             –   GetRequest, GetNextRequest y SetRequest no son
                 atómicas, pudiendo actuar sobre algunas (y no todas) las
                 variables del mensaje
         ●
             Hay tráfico de notificaciones entre NMSs
SNMPv2                                                                      58
SNMPv2: GetBulkRequest
     ●
         Se usa para minimizar el número de
         intercambios necesario para obtener una gran
         cantidad de datos.
     ●
         PDU:                                  N                M            N+R variables
                  PDU type   request-id   non-repeaters   max-repetitions   variable-bindings


         ●
             Para las primeras N (non-repeaters) variables la
             operación es idéntica a GetNextRequest PDU,
             devolviéndose un único sucesor lexicográfico
         ●
             Para las otras R variables, se devuelven múltiples
             (M=max-repetitions) sucesores lexicográficos


SNMPv2                                                                                          59
SNMPv2: GetBulkRequest
    Ej:       Interface-Number
              1
                                 Physical-Address
                                 00:00:10:54:32:10
                                                     Network-Address
                                                     9.2.3.4
                                                                       Type
                                                                       dynamic
              2                  00:00:10:01:23:45   10.0.0.51         static
              3                  00:00:10:98:76:54   10.0.0.15         dynamic

          ●
              GetBulkRequest:
               –   [ non-repeaters = 1, max-repetitions = 2 ]
               –   ( sysUpTime, ipNetToMediaPhysAddress, ipNetToMediaType )
          ●
              Response:
               –   sysUpTime.0 = "123456"
               –   ipNetToMediaPhysAddress.1.9.2.3.4 = "000010543210"
               –   ipNetToMediaPhysAddress.2.10.0.0.51= "000010012345"
               –   ipNetToMediaType.1.9.2.3.4= "dynamic"
               –   ipNetToMediaType.2.10.0.0.51= "static"

SNMPv2                                                                           60
SNMPv2: InformRequest
     ●
         Semejante al Trap pero requiere confirmación
         desde el Manager. Si ésta no se recibe en un
         tiempo, se reenvía el InformRequest
     ●
         Criterios:
         ●
             Eficiencia de tráfico y recursos de memoria: Trap
         ●
             Seguridad en recepción: InformRequest




                                        http://www.cisco.com/en/US/docs/ios/11_3/feature/guide/snmpinfm.html

SNMPv2                                                                                                 61
SNMPv3
     ●
         Cambios respecto a SNMPv2:
         ●
             Seguridad en:
             –   Integridad de mensajes
             –   Confidencialidad, mediante la encriptación de paquetes
             –   Autenticidad
             –   Enmascaramiento: UDP es vulnerable a IP spoofing
                 (cambio de la dirección de origen) para suplantar
                 dispositivos, y SNMPv3 tiene mecanismos para evitarlo
         ●
             Nuevo framework o arquitectura extensible,
             compatible de forma nativa con SNMPv1 y
             SNMPv2
         ●
             Nuevas MIBs bajo 1.3.6.1.6
SNMPv3                                                                    62
SNMPv3: Seguridad
     ●
         Se definen dos capacidades de seguridad:
         ●
             USM (User-based Security Model):
             –   Proporciona funciones de autenticación y
                 confidencialidad (encriptación)
             –   Opera a nivel de mensaje
         ●
             VACM (View-based Acess Control Model):
             –   Determina si se permite el acceso a los objetos de la MIB
                 para llevar a cabo diferentes acciones
             –   Opera a nivel de PDU




SNMPv3                                                                       63
SNMPv3: Arquitectura
     ●
         Concepto "Entidad SNMP" que puede actuar
         como agente, gestor o ambos a la vez, según
         los módulos que implemente
     ●
         Esquema en base a dos capas:
         ●
             Una o varias Aplicaciones: capa superior que
             genera y recibe PDUs
         ●
             Un Motor: capa inferior que:
             –   Hace de intermediario para las PDUs de Aplicaciones y
                 las capas inferiores: versión de SNMP, protocolos,...
             –   Gestiona la seguridad: autenticación, encriptación y
                 acceso

SNMPv3                                                                   64
SNMPv3: Arquitectura
                             Sólo Gestor                 Gestor y Agente          Sólo Agente

                        Command generator
         Aplicaciones




                                                                               Comand responder

                                                   Notification generator     Notification responder

                                                                                 Proxy forwarder


                                                           PDU dispatcher
                                            Dispatcher   Message dispatcher
                                                            Transport
                                                          mapping (UDP,..)
         Motor




                                                      Message processing
                                                     subsystem (v1, v2, v3)


                                                         Security subsystem     Access subsystem



SNMPv3                                                                                                 65
SNMPv3: Formato de mensaje
                   MsgGlobalData                     Definido y usado por el         MsgData
                    = cabecera                        modelo de seguridad          = ScopedPDU


    msg      msg    msg           msg          msg                msg           context   context
                                                                                                    PDU
   Version    Id   MaxSize       Flags    SecurityModel   SecurityParameters   EngineID    Name




                                                       Generados por el              Ámbito de
                                         Modelo usado    subsistema                 encriptación
     3                                   por el emisor  de seguridad

     Para coordinar
                             ●
                              Cuándo enviar un “Report PDU”
                              Si se ha encriptado el mensaje               Identificador       Se usan las
       peticiones
                             ●


                              Si se ha utilizado autenticación            unívoco de una       de SNMPv2
      y respuestas
                             ●

                             ●
                              ...                                         entidad SNMP

              Máximo tamaño de mensaje en bytes
               que soporta el emisor del mensaje


SNMPv3                                                                                                    66
Software para SNMP
      ●
          Ej. de implementación libre: Net-SNMP
      ●
          Comandos:
           ●
               snmpget - > GetRequest
               ej:
               snmpget -v1 -c public localhost 1.3.6.1.2.1.1.1
           ●
               snmpgetnext, snmpwalk -> GetNextRequest
           ●
               snmpset -> SetRequest
           ●
               snmptrap -> Trap




                                                       http://www.net-snmp.org/

                                                       http://net-snmp.sourceforge.net/wiki/index.php/FAQ

Software para SNMP                                                                                 67
Software para SNMP
      ●
          Paquetes Ubuntu:
           ●
               Software básico de agente (snmpd) y gestor (snmp)
           ●
               Librerías de enlace y runtime para distintos lenguajes:
               C, java, php, perl, python, ruby
           ●
               Interfaces: consola, consola propia (scli, snimpy),
               applet de escritorio, cliente gráfico, web
           ●
               Programas específicos: cacti, collectd, FusionInventory,
               mrtg, munin, nagios, netdisco, netwox, zabbix
           ●
               Dispositivos: AP, Cisco, UPS,
           ●
               Otros: scanner, MIBs downloader, gestores de traps,
               utilidades varias

Software para SNMP                                                        68
Software para SNMP
      ●
          MIB browser gratuitos
       Software       Licencia    GUI       Plataformas

       tkmib          Libre       Tk        GNU/Linux

       SnmpB          Libre       Qt        GNU/Linux, Windows,...

       mbrowse        Libre       Gtk       GNU/Linux, Windows,...

       iReasoning     Privativa   Java      GNU/Linux, Windows,...

       MG-SOFT        Privativa   Windows   Windows



Software para SNMP                                                   69

Más contenido relacionado

La actualidad más candente

Telefonía IP (SIP, Diameter, RTP/RTPC)
Telefonía IP (SIP, Diameter, RTP/RTPC)Telefonía IP (SIP, Diameter, RTP/RTPC)
Telefonía IP (SIP, Diameter, RTP/RTPC)
Eng. Fernando Mendioroz, MSc.
 
Eigrp
EigrpEigrp
PROTOCOLO RIP V1 Y RIP V2 - REDES DE DATOS
PROTOCOLO RIP V1 Y RIP V2 - REDES DE DATOSPROTOCOLO RIP V1 Y RIP V2 - REDES DE DATOS
PROTOCOLO RIP V1 Y RIP V2 - REDES DE DATOS
JAV_999
 
Protocolo SNMP
Protocolo SNMPProtocolo SNMP
Protocolo SNMP
André Nobre
 
Gestion de redes
Gestion de redesGestion de redes
Gestion de redes
vanessarequejo
 
Fcaps
FcapsFcaps
Protocolo de capa 3
Protocolo de capa 3Protocolo de capa 3
Protocolo de capa 3
Eduardo J Onofre
 
Introducción a la Capa de Red
Introducción a la Capa de RedIntroducción a la Capa de Red
Introducción a la Capa de Red
Javier Peinado I
 
Ejercicios ripv2 2 enrutamiento por defecto con los protocolos rip e igrp
Ejercicios ripv2   2 enrutamiento por defecto con los protocolos rip e igrpEjercicios ripv2   2 enrutamiento por defecto con los protocolos rip e igrp
Ejercicios ripv2 2 enrutamiento por defecto con los protocolos rip e igrp
computacion e informatica jose santos chocano
 
TABLA COMPARATIVA ENTRE LOS PROTOCOLOS TCP Y UDP
TABLA COMPARATIVA ENTRE LOS PROTOCOLOS TCP Y UDPTABLA COMPARATIVA ENTRE LOS PROTOCOLOS TCP Y UDP
TABLA COMPARATIVA ENTRE LOS PROTOCOLOS TCP Y UDP
MaraAsuncinMorenoMen
 
Gestion De Red
Gestion De RedGestion De Red
Gestion De Red
Paco Orozco
 
Problemas basicos de las redes
Problemas basicos de las redesProblemas basicos de las redes
Problemas basicos de las redes
KevinQuiros3
 
Stp
StpStp
Radioenlace proyecto
Radioenlace proyectoRadioenlace proyecto
Radioenlace proyecto
Marco Aquino
 
Creación de red inalámbrica con cisco packet tracer
Creación de red inalámbrica con cisco packet tracerCreación de red inalámbrica con cisco packet tracer
Creación de red inalámbrica con cisco packet tracer
Jenny Lophezz
 
Vpn (Red Privada Virtual)
Vpn (Red Privada Virtual)Vpn (Red Privada Virtual)
Vpn (Red Privada Virtual)
JuanNoa
 
Ppt redes
Ppt redesPpt redes
Resolucion de problemas del vtp
Resolucion de problemas del vtpResolucion de problemas del vtp
Resolucion de problemas del vtp
MauricioSuarez60
 
Servidor presentacion
Servidor presentacionServidor presentacion
Servidor presentacion
miguelangelperezhenao
 
04 ccna principios baciscos de routers y enrrutamiento v3.1
04 ccna principios baciscos de routers y enrrutamiento v3.104 ccna principios baciscos de routers y enrrutamiento v3.1
04 ccna principios baciscos de routers y enrrutamiento v3.1
Tania Escobar Méndez
 

La actualidad más candente (20)

Telefonía IP (SIP, Diameter, RTP/RTPC)
Telefonía IP (SIP, Diameter, RTP/RTPC)Telefonía IP (SIP, Diameter, RTP/RTPC)
Telefonía IP (SIP, Diameter, RTP/RTPC)
 
Eigrp
EigrpEigrp
Eigrp
 
PROTOCOLO RIP V1 Y RIP V2 - REDES DE DATOS
PROTOCOLO RIP V1 Y RIP V2 - REDES DE DATOSPROTOCOLO RIP V1 Y RIP V2 - REDES DE DATOS
PROTOCOLO RIP V1 Y RIP V2 - REDES DE DATOS
 
Protocolo SNMP
Protocolo SNMPProtocolo SNMP
Protocolo SNMP
 
Gestion de redes
Gestion de redesGestion de redes
Gestion de redes
 
Fcaps
FcapsFcaps
Fcaps
 
Protocolo de capa 3
Protocolo de capa 3Protocolo de capa 3
Protocolo de capa 3
 
Introducción a la Capa de Red
Introducción a la Capa de RedIntroducción a la Capa de Red
Introducción a la Capa de Red
 
Ejercicios ripv2 2 enrutamiento por defecto con los protocolos rip e igrp
Ejercicios ripv2   2 enrutamiento por defecto con los protocolos rip e igrpEjercicios ripv2   2 enrutamiento por defecto con los protocolos rip e igrp
Ejercicios ripv2 2 enrutamiento por defecto con los protocolos rip e igrp
 
TABLA COMPARATIVA ENTRE LOS PROTOCOLOS TCP Y UDP
TABLA COMPARATIVA ENTRE LOS PROTOCOLOS TCP Y UDPTABLA COMPARATIVA ENTRE LOS PROTOCOLOS TCP Y UDP
TABLA COMPARATIVA ENTRE LOS PROTOCOLOS TCP Y UDP
 
Gestion De Red
Gestion De RedGestion De Red
Gestion De Red
 
Problemas basicos de las redes
Problemas basicos de las redesProblemas basicos de las redes
Problemas basicos de las redes
 
Stp
StpStp
Stp
 
Radioenlace proyecto
Radioenlace proyectoRadioenlace proyecto
Radioenlace proyecto
 
Creación de red inalámbrica con cisco packet tracer
Creación de red inalámbrica con cisco packet tracerCreación de red inalámbrica con cisco packet tracer
Creación de red inalámbrica con cisco packet tracer
 
Vpn (Red Privada Virtual)
Vpn (Red Privada Virtual)Vpn (Red Privada Virtual)
Vpn (Red Privada Virtual)
 
Ppt redes
Ppt redesPpt redes
Ppt redes
 
Resolucion de problemas del vtp
Resolucion de problemas del vtpResolucion de problemas del vtp
Resolucion de problemas del vtp
 
Servidor presentacion
Servidor presentacionServidor presentacion
Servidor presentacion
 
04 ccna principios baciscos de routers y enrrutamiento v3.1
04 ccna principios baciscos de routers y enrrutamiento v3.104 ccna principios baciscos de routers y enrrutamiento v3.1
04 ccna principios baciscos de routers y enrrutamiento v3.1
 

Destacado

Arquitecturas 0708
Arquitecturas 0708Arquitecturas 0708
Arquitecturas 0708
Alvaro Sarmiento Mendoza
 
Redes y servicios telemáticos 220 final
Redes y servicios telemáticos 220 finalRedes y servicios telemáticos 220 final
Redes y servicios telemáticos 220 final
jcordoba1983
 
Teleproceso.
Teleproceso.Teleproceso.
Teleproceso.
Mrssk Vg
 
Modelo osi
Modelo osiModelo osi
Modelo osi
crisfe90
 
Modelo Osi
Modelo OsiModelo Osi
clase789tlp
clase789tlpclase789tlp
clase789tlp
solangeleal
 
CAPACIDAD DE CANAL DE COMUNICACIÓN DE DATOS
CAPACIDAD DE CANAL DE COMUNICACIÓN DE DATOSCAPACIDAD DE CANAL DE COMUNICACIÓN DE DATOS
CAPACIDAD DE CANAL DE COMUNICACIÓN DE DATOS
Student A
 
Capa de transporte nivel enrutamiento - pat - nat
Capa de transporte   nivel enrutamiento - pat - natCapa de transporte   nivel enrutamiento - pat - nat
Capa de transporte nivel enrutamiento - pat - nat
Jairo Quiroz Cabanillas
 

Destacado (8)

Arquitecturas 0708
Arquitecturas 0708Arquitecturas 0708
Arquitecturas 0708
 
Redes y servicios telemáticos 220 final
Redes y servicios telemáticos 220 finalRedes y servicios telemáticos 220 final
Redes y servicios telemáticos 220 final
 
Teleproceso.
Teleproceso.Teleproceso.
Teleproceso.
 
Modelo osi
Modelo osiModelo osi
Modelo osi
 
Modelo Osi
Modelo OsiModelo Osi
Modelo Osi
 
clase789tlp
clase789tlpclase789tlp
clase789tlp
 
CAPACIDAD DE CANAL DE COMUNICACIÓN DE DATOS
CAPACIDAD DE CANAL DE COMUNICACIÓN DE DATOSCAPACIDAD DE CANAL DE COMUNICACIÓN DE DATOS
CAPACIDAD DE CANAL DE COMUNICACIÓN DE DATOS
 
Capa de transporte nivel enrutamiento - pat - nat
Capa de transporte   nivel enrutamiento - pat - natCapa de transporte   nivel enrutamiento - pat - nat
Capa de transporte nivel enrutamiento - pat - nat
 

Similar a Gestión de redes, SNMP y RMON

Monitoreo y-gestion-de-redes
Monitoreo y-gestion-de-redesMonitoreo y-gestion-de-redes
Monitoreo y-gestion-de-redes
Fernando Toc
 
Php y firebird para el desarrollo de sistemas intranet
Php y firebird para el desarrollo de sistemas intranetPhp y firebird para el desarrollo de sistemas intranet
Php y firebird para el desarrollo de sistemas intranet
Juan Carbajal
 
GESTION DE RED MODELO ISO GESTION DE FALLAS
GESTION DE RED MODELO ISO GESTION DE FALLASGESTION DE RED MODELO ISO GESTION DE FALLAS
GESTION DE RED MODELO ISO GESTION DE FALLAS
Deivid Cruz Sarmiento
 
UNEG-AS 2012-Inf7: Procesamiento distribuido y Redes
UNEG-AS 2012-Inf7: Procesamiento distribuido y RedesUNEG-AS 2012-Inf7: Procesamiento distribuido y Redes
UNEG-AS 2012-Inf7: Procesamiento distribuido y Redes
UNEG-AS
 
Monitoreo En Windows
Monitoreo En WindowsMonitoreo En Windows
Monitoreo En Windows
Cesar Pineda
 
Spac 1.1 Presentacion 20090512
Spac 1.1 Presentacion 20090512Spac 1.1 Presentacion 20090512
Spac 1.1 Presentacion 20090512
Manuel Gil
 
Protocolos snmp icmp
Protocolos snmp icmpProtocolos snmp icmp
Protocolos snmp icmp
Robert Saavedra Saavedra
 
Presentacion tryton campus party
Presentacion tryton campus partyPresentacion tryton campus party
Presentacion tryton campus party
campus party
 
Desafíos de la Ciberseguridad Industrial
Desafíos de la Ciberseguridad IndustrialDesafíos de la Ciberseguridad Industrial
Desafíos de la Ciberseguridad Industrial
Mariano M. del Río
 
Herramientas de gestion de red
Herramientas de gestion de redHerramientas de gestion de red
Herramientas de gestion de red
Paul Solis Vera
 
Socialbro por dentro - Betabeers Córdoba (18/10/2012)
Socialbro por dentro - Betabeers Córdoba (18/10/2012)Socialbro por dentro - Betabeers Córdoba (18/10/2012)
Socialbro por dentro - Betabeers Córdoba (18/10/2012)
betabeers
 
Dicomtech ManageEngine Portafolio 2012
Dicomtech ManageEngine Portafolio 2012Dicomtech ManageEngine Portafolio 2012
Dicomtech ManageEngine Portafolio 2012
Dicomtech
 
Manual De Monitoreo
Manual De MonitoreoManual De Monitoreo
Manual De Monitoreo
Stiven Marin
 
Monitoreo de redes
Monitoreo de redesMonitoreo de redes
Monitoreo de redes
wilberzn
 
Linkerd a fondo
Linkerd a fondoLinkerd a fondo
Linkerd a fondo
Paradigma Digital
 
Gestion de-redes
Gestion de-redesGestion de-redes
Gestion de-redes
Inti Chico
 
D1 gestión de redes de datos
D1   gestión de redes de datosD1   gestión de redes de datos
D1 gestión de redes de datos
mariopino129
 
Curso: Redes y comunicaciones II: 03 Seguridad y criptografía
Curso: Redes y comunicaciones II: 03 Seguridad y criptografíaCurso: Redes y comunicaciones II: 03 Seguridad y criptografía
Curso: Redes y comunicaciones II: 03 Seguridad y criptografía
Jack Daniel Cáceres Meza
 
Django - Curso Básico - Principales Conceptos
Django - Curso Básico - Principales ConceptosDjango - Curso Básico - Principales Conceptos
Django - Curso Básico - Principales Conceptos
George Navarro Gomez
 
Django - Curso Básico - Principales Conceptos
Django - Curso Básico - Principales ConceptosDjango - Curso Básico - Principales Conceptos
Django - Curso Básico - Principales Conceptos
George Navarro Gomez
 

Similar a Gestión de redes, SNMP y RMON (20)

Monitoreo y-gestion-de-redes
Monitoreo y-gestion-de-redesMonitoreo y-gestion-de-redes
Monitoreo y-gestion-de-redes
 
Php y firebird para el desarrollo de sistemas intranet
Php y firebird para el desarrollo de sistemas intranetPhp y firebird para el desarrollo de sistemas intranet
Php y firebird para el desarrollo de sistemas intranet
 
GESTION DE RED MODELO ISO GESTION DE FALLAS
GESTION DE RED MODELO ISO GESTION DE FALLASGESTION DE RED MODELO ISO GESTION DE FALLAS
GESTION DE RED MODELO ISO GESTION DE FALLAS
 
UNEG-AS 2012-Inf7: Procesamiento distribuido y Redes
UNEG-AS 2012-Inf7: Procesamiento distribuido y RedesUNEG-AS 2012-Inf7: Procesamiento distribuido y Redes
UNEG-AS 2012-Inf7: Procesamiento distribuido y Redes
 
Monitoreo En Windows
Monitoreo En WindowsMonitoreo En Windows
Monitoreo En Windows
 
Spac 1.1 Presentacion 20090512
Spac 1.1 Presentacion 20090512Spac 1.1 Presentacion 20090512
Spac 1.1 Presentacion 20090512
 
Protocolos snmp icmp
Protocolos snmp icmpProtocolos snmp icmp
Protocolos snmp icmp
 
Presentacion tryton campus party
Presentacion tryton campus partyPresentacion tryton campus party
Presentacion tryton campus party
 
Desafíos de la Ciberseguridad Industrial
Desafíos de la Ciberseguridad IndustrialDesafíos de la Ciberseguridad Industrial
Desafíos de la Ciberseguridad Industrial
 
Herramientas de gestion de red
Herramientas de gestion de redHerramientas de gestion de red
Herramientas de gestion de red
 
Socialbro por dentro - Betabeers Córdoba (18/10/2012)
Socialbro por dentro - Betabeers Córdoba (18/10/2012)Socialbro por dentro - Betabeers Córdoba (18/10/2012)
Socialbro por dentro - Betabeers Córdoba (18/10/2012)
 
Dicomtech ManageEngine Portafolio 2012
Dicomtech ManageEngine Portafolio 2012Dicomtech ManageEngine Portafolio 2012
Dicomtech ManageEngine Portafolio 2012
 
Manual De Monitoreo
Manual De MonitoreoManual De Monitoreo
Manual De Monitoreo
 
Monitoreo de redes
Monitoreo de redesMonitoreo de redes
Monitoreo de redes
 
Linkerd a fondo
Linkerd a fondoLinkerd a fondo
Linkerd a fondo
 
Gestion de-redes
Gestion de-redesGestion de-redes
Gestion de-redes
 
D1 gestión de redes de datos
D1   gestión de redes de datosD1   gestión de redes de datos
D1 gestión de redes de datos
 
Curso: Redes y comunicaciones II: 03 Seguridad y criptografía
Curso: Redes y comunicaciones II: 03 Seguridad y criptografíaCurso: Redes y comunicaciones II: 03 Seguridad y criptografía
Curso: Redes y comunicaciones II: 03 Seguridad y criptografía
 
Django - Curso Básico - Principales Conceptos
Django - Curso Básico - Principales ConceptosDjango - Curso Básico - Principales Conceptos
Django - Curso Básico - Principales Conceptos
 
Django - Curso Básico - Principales Conceptos
Django - Curso Básico - Principales ConceptosDjango - Curso Básico - Principales Conceptos
Django - Curso Básico - Principales Conceptos
 

Más de Dani Gutiérrez Porset

Librecon 2016 - Emprendizaje digital y Software libre
Librecon 2016 - Emprendizaje digital y Software libreLibrecon 2016 - Emprendizaje digital y Software libre
Librecon 2016 - Emprendizaje digital y Software libre
Dani Gutiérrez Porset
 
FFMPEG and LibAV
FFMPEG and LibAVFFMPEG and LibAV
FFMPEG and LibAV
Dani Gutiérrez Porset
 
Multimedia Services: Video
Multimedia Services: VideoMultimedia Services: Video
Multimedia Services: Video
Dani Gutiérrez Porset
 
Multimedia Services: Image
Multimedia Services: ImageMultimedia Services: Image
Multimedia Services: Image
Dani Gutiérrez Porset
 
Multimedia Services: Audio
Multimedia Services: AudioMultimedia Services: Audio
Multimedia Services: Audio
Dani Gutiérrez Porset
 
Evolución de las Herramientas de aprendizaje online con licencia libre
Evolución de las Herramientas de aprendizaje online con licencia libreEvolución de las Herramientas de aprendizaje online con licencia libre
Evolución de las Herramientas de aprendizaje online con licencia libre
Dani Gutiérrez Porset
 
Sockets ipv4
Sockets ipv4Sockets ipv4
Mecanismos IPC system V en Linux
Mecanismos IPC system V en LinuxMecanismos IPC system V en Linux
Mecanismos IPC system V en Linux
Dani Gutiérrez Porset
 
Señales en Linux
Señales en LinuxSeñales en Linux
Señales en Linux
Dani Gutiérrez Porset
 
Introducción al diseño grafico con software libre
Introducción al diseño grafico con software libreIntroducción al diseño grafico con software libre
Introducción al diseño grafico con software libre
Dani Gutiérrez Porset
 
Moodle avanzado - Julio 2012
Moodle avanzado - Julio 2012Moodle avanzado - Julio 2012
Moodle avanzado - Julio 2012
Dani Gutiérrez Porset
 
Akademy 2013 bilbao_proposal
Akademy 2013 bilbao_proposalAkademy 2013 bilbao_proposal
Akademy 2013 bilbao_proposal
Dani Gutiérrez Porset
 
Cómo hacer una buena presentación
Cómo hacer una buena presentaciónCómo hacer una buena presentación
Cómo hacer una buena presentación
Dani Gutiérrez Porset
 
Ofimatica con Libreoffice
Ofimatica con LibreofficeOfimatica con Libreoffice
Ofimatica con Libreoffice
Dani Gutiérrez Porset
 
DHCP, DNS, whois
DHCP, DNS, whoisDHCP, DNS, whois
DHCP, DNS, whois
Dani Gutiérrez Porset
 
Web 2.0 (dic 2010)
Web 2.0 (dic 2010)Web 2.0 (dic 2010)
Web 2.0 (dic 2010)
Dani Gutiérrez Porset
 
Intro a los sistemas operativos móviles
Intro a los sistemas operativos móvilesIntro a los sistemas operativos móviles
Intro a los sistemas operativos móviles
Dani Gutiérrez Porset
 
kde on windows
kde on windowskde on windows
kde on windows
Dani Gutiérrez Porset
 

Más de Dani Gutiérrez Porset (20)

Librecon 2016 - Emprendizaje digital y Software libre
Librecon 2016 - Emprendizaje digital y Software libreLibrecon 2016 - Emprendizaje digital y Software libre
Librecon 2016 - Emprendizaje digital y Software libre
 
FFMPEG and LibAV
FFMPEG and LibAVFFMPEG and LibAV
FFMPEG and LibAV
 
Multimedia Services: Video
Multimedia Services: VideoMultimedia Services: Video
Multimedia Services: Video
 
Multimedia Services: Image
Multimedia Services: ImageMultimedia Services: Image
Multimedia Services: Image
 
Multimedia Services: Audio
Multimedia Services: AudioMultimedia Services: Audio
Multimedia Services: Audio
 
Evolución de las Herramientas de aprendizaje online con licencia libre
Evolución de las Herramientas de aprendizaje online con licencia libreEvolución de las Herramientas de aprendizaje online con licencia libre
Evolución de las Herramientas de aprendizaje online con licencia libre
 
Sockets ipv4
Sockets ipv4Sockets ipv4
Sockets ipv4
 
Mecanismos IPC system V en Linux
Mecanismos IPC system V en LinuxMecanismos IPC system V en Linux
Mecanismos IPC system V en Linux
 
Señales en Linux
Señales en LinuxSeñales en Linux
Señales en Linux
 
Introducción al diseño grafico con software libre
Introducción al diseño grafico con software libreIntroducción al diseño grafico con software libre
Introducción al diseño grafico con software libre
 
Moodle avanzado - Julio 2012
Moodle avanzado - Julio 2012Moodle avanzado - Julio 2012
Moodle avanzado - Julio 2012
 
Akademy 2013 bilbao_proposal
Akademy 2013 bilbao_proposalAkademy 2013 bilbao_proposal
Akademy 2013 bilbao_proposal
 
Web 2.0 (2010ko abendua) euskeraz
Web 2.0 (2010ko abendua) euskerazWeb 2.0 (2010ko abendua) euskeraz
Web 2.0 (2010ko abendua) euskeraz
 
Sareen kudeaketa, SNMP eta RMON
Sareen kudeaketa, SNMP eta RMONSareen kudeaketa, SNMP eta RMON
Sareen kudeaketa, SNMP eta RMON
 
Cómo hacer una buena presentación
Cómo hacer una buena presentaciónCómo hacer una buena presentación
Cómo hacer una buena presentación
 
Ofimatica con Libreoffice
Ofimatica con LibreofficeOfimatica con Libreoffice
Ofimatica con Libreoffice
 
DHCP, DNS, whois
DHCP, DNS, whoisDHCP, DNS, whois
DHCP, DNS, whois
 
Web 2.0 (dic 2010)
Web 2.0 (dic 2010)Web 2.0 (dic 2010)
Web 2.0 (dic 2010)
 
Intro a los sistemas operativos móviles
Intro a los sistemas operativos móvilesIntro a los sistemas operativos móviles
Intro a los sistemas operativos móviles
 
kde on windows
kde on windowskde on windows
kde on windows
 

Gestión de redes, SNMP y RMON

  • 1. Gestión de redes, SNMP y RMON Redes y Servicios II ETSI Bilbao/DET/Telemática/5º Ing. Telecomunicación Dani Gutiérrez Porset Nov 2010
  • 2. Acerca de este documento ● Licencia de uso http://creativecommons.org/licenses/by-sa/3.0/ ● Material utilizado: ● Foto de portada: The Opte Project (cc by-nc-sa 1.0) ● Logotipos propiedad de sus respectivos dueños ● Libro "SNMP, SNMPv2, SNMPv3, and RMON 1 and 2" - William Stallings – Ed. Addison Wesley ● Apuntes de Marivi Higuero Aperribai http://opte.org/maps/ 2
  • 3. Índice ● Introducción ● Gestión de redes ● SNMP ● SNMPv1 ● RMON ● Secure SNMP ● SNMPv2 ● SNMPv3 ● Software para SNMP 3
  • 4. Metodología PDCA Planificación Plan Act Do Control Configuración Check Monitorización Supervisión http://en.wikipedia.org/wiki/PDCA Introducción 4
  • 5. Acciones y Medidas Reactivas Proactivas ● Detección ● Predicción ● Corrección ● Prevención ● Conocimiento causa ● De mejora Introducción 5
  • 6. Situación de partida ● Necesidad de gestionar nodos de la red ● Multiplicidad: ● Redes ● Dispositivos ● Fabricantes: protocolos y formatos Gestión de redes 6
  • 7. Qué es gestionar una red ● Operaciones: ● Monitorización ● Clonado/Instalación de software/firmware ● Actualización/Parcheo de software/firmware ● Configuración ● Inventario de hardware/software ● Calidad y Seguridad ● Todo ello de forma automatizada, remota, masiva, segura Gestión de redes 7
  • 8. Modelo de gestión de red de OSI ● Modelo FCAPS : ● Fault: identificar, aislar, corregir, registrar ● Configuration: recoger, enviar, registrar cambios ● Accounting: estadísticas de recursos, administración de usuarios y permisos ● Performance: %utilización y disponibilidad, tasas de error, tiempos de respuesta ● Security: autenticación, confidencialidad, autorización http://en.wikipedia.org/wiki/FCAPS http://en.wikipedia.org/wiki/Network_management_model Gestión de redes 8
  • 9. Tipologías de nodos ● Según capacidades e inteligencia: Procesamiento Red Periféricos Mix Gestión de redes 9
  • 10. Solución ● Interoperabilidad en base a estándares ● Elementos de información: ● Significado = semántica ● Representación = léxico, sintaxis: formatos ● Intercambio: protocolos de comunicación ● Estándares "de facto" vs "de iure" Gestión de redes 10
  • 11. Protocolos estándares de gestión ● CMIP (Common Management Information Protocol) y CMOT (CMIP Over TCP/IP): ● De OSI/ISO ● Complejos y poco usados ● SNMP (Simple Network Management Protocol): Control y Monitorización ● RMON (Remote Monitor): Monitorización http://en.wikipedia.org/wiki/Common_management_information_protocol Gestión de redes 11
  • 12. Software de Gestión Monitorización http://en.wikipedia.org/wiki/Network_monitoring_comparison http://en.wikipedia.org/wiki/Comparison_of_disk_cloning_software http://en.wikipedia.org/wiki/Comparison_of_open_source_configuration_management_software http://www.linuxjournal.com/content/readers-choice-awards-2010 Gestión de redes 12
  • 13. Software de Monitorización sin SNMP ● Requiere nodos con posibilidad de instalar software ● Herramientas: ● Para pocos equipos, interfaz humano, ej. web ● Para muchos equipos, automatización: – "A mano": scripts, cron,... – Productos: ● Red: nagios, mon, sysmon, ntop,... ● Logs: logwatch, oak,... http://www.nagios.org/ https://mon.wiki.kernel.org/ http://www.sysmon.com/ http://www.ntop.org/ http://sourceforge.net/projects/logwatch/ http://www.ktools.org/ Gestión de redes 13
  • 14. SNMP Simple Network Management Protocol Sólo 5 comandos en v1, y otros 2 más en v2, v3 Alcance: Monitorización y Control en redes centralizadas o distribuidas Parte del modelo TCP/IP, definido mediante RFCs del IETF Pero SNMP no es perfecto ! http://en.wikipedia.org/wiki/Snmp SNMP 14
  • 15. Historia y Versiones 1988 SNMPv1 RMON 1992 Secure SNMP 1993 SNMPv2 SNMPv2c SNMPv2u SNMPv2* 1998 SNMPv3 Es el estándar actual (SNMPv1, SNMPv2 obsoletas) SNMP 15
  • 16. Elementos de la especificación ● Tipos de nodo: ● Nodo gestor con software NMS (Network Management System) ● Nodo gestionado con software Agente ● Protocolo ● Datos: ● SMI (Structure of Management Information) ● MIB (Management Information Base) SNMP 16
  • 17. Tipologías de nodos ● Según función de gestión: ● Nodos Gestores ● Nodos Gestionados mediante agentes ● Nodos Proxies Gestión de redes 17
  • 18. Tipos de Nodos: NMS y Agente NMS (Network management system) Dispositivo gestionado MIB MIB Proceso Proceso Proceso Gestor Agente ... SNMP SNMP ... UDP UDP TCP IPv4, IPv6 IPv4, IPv6 ● Comunicación con los nodos gestionados ● Interface de Usuario con funcionalidades añadidas ● MIB resultado de agregar MIBs de nodos gestionados SNMP 18
  • 19. Tipos de nodos: Proxy Agente Proxy Dispositivo gestionado que no habla SNMP Proceso Proceso Proceso Agente Proxy XXX SNMP Protocolo YYY Protocolo YYY UDP IPv4, IPv6 SNMP 19
  • 20. Protocolo: SNMP en modelo TCP/IP OSI/ISO TCP/IP 7. Aplicación 4. Aplicación SNMP ASN.1 6. Presentación 5. Sesión 3. Transporte UDP UDP: 4. Transporte ● Menor tráfico que TCP ● No confiable, pero se 3. Red 2. Internet envían confirmaciones en nivel de Aplicación 2. Enlace 1. Enlace 1. Físico Otros protocolos bajo SNMP: ● OSI Connectionless Network Service ● AppleTalk Datagram-Delivery Protocol (DDP) ● Novell IPX http://en.wikipedia.org/wiki/OSI_model ● Incluso TCP http://en.wikipedia.org/wiki/TCP/IP_model SNMP 20
  • 21. Protocolo: Operaciones y Primitivas Solicitud de Solicitud de Envío de Lectura Escritura Información GetRequest Síncronas GetNextRequest SetRequest Response GetBulkRequest Trap Asíncronas InformRequest SNMPv2 En SNMPv1 se llamaba GetResponse De Gestor a Agente De Agente a Gestor En SNMPv2 En ambos sentidos también puede ir de agente a agente SNMP 21
  • 22. Protocolo: Polling vs Trap ● Polling = Sondeo ● Trap = Notificaciones, Interrupciones ● Criterios: ● Información periódica ● Eficiencia de tráfico SNMP 22
  • 23. Protocolo: Flujos y Puertos ● GetRequest ● SetRequest ● GetNextRequest ● GetBulkRequest .../UDP Response ● 161/UDP Gestor Agente ● Trap 162/UDP ● InformRequests .../UDP SNMP 23
  • 24. Protocolo: seguridad ● Relación M:N entre agentes y gestores que actúan sobre los primeros ● Aspectos de seguridad: ● Autenticación: quién es el gestor, y cómo verificarlo ● Acceso: permisos para cada agente sobre determinados objetos ● Proxys: implementación de políticas sobre los sistemas gestionados por un proxy SNMP 24
  • 25. Protocolo: seguridad ● Ataques que afectan a todas las versiones: ● Por fuerza bruta (diccionario), ya que carecen de mecanismo desafío-respuesta ● Denegación de servicio ● Algunos fabricantes no permiten escritura, por la mala seguridad hasta SNMPv3, o porque sus dispositivos no son configurables por SNMP SNMP 25
  • 26. SMI ● Proporciona un esquema extensible para representar objetos según una estructura jerárquica en árbol ● Versiones: SMIv1, SMIv2 ● Notación: Subconjunto de ASN.1. Ej: internet OBJECT IDENTIFIER ::= { iso org(3) dod(6) 1 } http://en.wikipedia.org/wiki/Structure_of_Management_Information SNMP 26
  • 27. Elementos de la SMI ● Definición de estructura de base de datos, y de cada MIB particular ● Definiciones de objetos, módulos y notificaciones (traps): tipos, nomenclatura, sintaxis, reglas de construcción de las MIBs,... ● Codificación según BER SNMP 27
  • 28. ASN.1 ● Metalenguaje o Notación que consiste en: ● Sintaxis, ej. Asignaciones: A ::= B Comentarios: -- zer astuna den ikasgai hau ● Reglas para codificar las construcciones a binario según BER ● Semejante a compilar un programa desde el fuente al binario http://en.wikipedia.org/wiki/Abstract_Syntax_Notation_One http://en.wikipedia.org/wiki/Basic_Encoding_Rules http://asn1.org/ SNMP 28
  • 29. Árbol de la SMI No hay un nodo raíz orden ● directory: uso futuro para directorio OSI (X.500) ● management: subárbol para objetos aprobados en el IAB ● experimental: para pruebas ● private: para fabricantes específicos SNMP 29
  • 30. Objetos de la SMI ● Nodos del árbol: Objetos=nodo o dispositivo a gestionar, y características/recursos del mismo. Ej: Router, con su tabla de conexiones TCP ● Cada nodo con hijos puede verse como un grupo ● El protocolo SNMP: ● No puede modificar la estructura del árbol ● Sólo puede gestionar los nodos-hoja SNMP 30
  • 31. Sintaxis de objetos de la SMI ● Identificación y Relación con otros objetos ● Tipo de valores: ● Por sencillez e interoperabilidad sólo hay escalares y tablas; no hay otras estructuras complejas ● SNMP sólo puede leer/escribir tipos escalares ● Formas posibles (CHOICE) ● Rango de valores, ej. SYNTAX INTEGER (0..65535) ● Permisos de acceso (read-only, read-write,...) y Obligatoriedad (mandatory, optional) ● Descripción SNMP 31
  • 32. Identificación de objetos de la SMI ● Identificador único: ● De tipo OBJECT IDENTIFIER en ASN.1 ● Secuencia de enteros separados por puntos; cada entero indica los nodos de la rama en la que está ● A veces, secuencia de nombres correspondientes Ej: 1.3.6.1.2.1.4 iso.org.dod.internet.mgmt.mib_2.ip http://www.faqs.org/rfcs/rfc1902.html SNMP 32
  • 33. Tipos de objetos de la SMI ● Escalares: ● 4 Universales predefinidos: – INTEGER: de -231 a 231-1 – OCTET STRING: de 0 a 65535 bytes – OBJECT IDENTIFIER – NULL ● Otros tipos especiales basados en los anteriores, asociados a la clase APPLICATION. ● En la SMIv2 hay más tipos http://www.faqs.org/rfcs/rfc2012.html SNMP 33
  • 34. Tipos de objetos de la SMI ● Tipos asociados a APPLICATION class: ● NetworkAddress: sólo está definida IpAddress ● IpAddress: 32 bit address ● Counter: de 0 a 232-1 (4.294.967.295). Su valor sólo puede incrementarse ● Gauge: de 0 to 232-1. Su valor puede aumentar o disminuir ● TimeTicks: centésimas de segundo desde alguna época ● Opaque: datos arbitrarios en cualquier formato, codificados como OCTET STRING http://www.faqs.org/rfcs/rfc1155.html SNMP 34
  • 35. Tipos de objetos de la SMI ● Arrays bidimensionales o tablas mediante: ● SEQUENCE-OF: todos los elementos de igual tipo ● SEQUENCE: elementos de igual o distinto tipo ● Palabra clave INDEX para distinguir filas. Ej: tabla tcpConnTable tcpConnState tcpConnLocalAddress tcpConnLocalPort tcpConnRemAddress tcpConnRemPort listen(2) 0.0.0.0 21 0.0.0.0 0 listen(2) 0.0.0.0 22 0.0.0.0 0 listen(2) 0.0.0.0 25 0.0.0.0 0 listen(2) 0.0.0.0 80 0.0.0.0 0 established(5) 127.0.0.1 1031 127.0.0.1 1030 established(5) 127.0.0.1 1032 127.0.0.1 1033 http://www.faqs.org/rfcs/rfc2012.html SNMP 35
  • 36. Definición de objetos de la SMI ● Niveles: ● Definición de macro, ej. OBJECT-TYPE ● Instancia de macro para definir tipos ej. definición del tipo tcpMaxConn mediante la macro OBJECT-TYPE ● Valor de instancia de macro, para indicar valores concretos de una entidad específica ej. valor de tcpMaxConn para un caso concreto de conexión TCP http://www.faqs.org/rfcs/rfc1212.html http://www.faqs.org/rfcs/rfc2012.html SNMP 36
  • 37. Módulos de la SMI ● Especifican grupos de definiciones relacionadas ● Tipos: ● Módulos de MIB, para definir objetos interrelacionados ● Sentencias de conformidad, para describir grupos de objetos que han de cumplir un standard ● Sentencias de capacidades, que permiten a un gestor conocer las posibilidades que ofrece un agente SNMP 37
  • 38. Software para SMI y ASN.1 ● Ej. implementación: libsmi En Debian y derivados: apt-cache search libsmi apt-cache search ASN.1 SNMP 38
  • 39. MIBs ● Rama dentro de SMI para un uso concreto ● Diferencia entre SMI y MIBs: ● SMI = esquema de definición + árbol general ● MIBs = subárboles de propósito específico (semántica+léxico) dentro del árbol general http://en.wikipedia.org/wiki/Management_information_base SNMP 39
  • 40. Tipos de MIBs ● Estándares: mantenidas por IETF o IEEE. Ej: ● MIB-2: gestión de dispositivos TCP/IP ● TCP-MIB: específica de TCP ● Ethernet-MIB ● Privadas (disminuye la interoperabilidad): ● El fabricante proporciona texto y/o descripción formal de la misma para la NMS ● Problema: 3 versiones; principal: RFC 1212 http://en.wikipedia.org/wiki/Management_information_base SNMP 40
  • 41. Ejs. MIBs ● Paquete Debian snmp-mibs-downloader ● Directorios: ● MIBs IANA: /var/lib/mibs/iana ● MIBs IETF: /var/lib/mibs/ietf ● RFCs: /usr/share/doc/mibrfcs SNMP 41
  • 42. MIB-2 ● Gestión de dispositivos TCP/IP ● 1.3.6.1.2.1 = iso.org.dod.internet.mgmt.mib_2 ● 10 nodos = grupos system(1) interfaces(2) at (3) Obsoleto; mantenido por compatibilidad con MIB-1 ip (4) icmp (5) tcp (6) udp (7) egp (8) Exterior Gateway Protocol (obsoleto) transmission (10) Datos de nivel de Enlace snmp (11) http://en.wikipedia.org/wiki/Exterior_Gateway_Protocol SNMP 42
  • 43. Condiciones de objetos en MIB-2 ● Que sea esencial para gestión de fallos o configuración ● Si es un objeto de control, que sea "no peligroso" ● Evidencia de utilización ● No incluir objetos que se puedan derivar de otros, para evitar redundancias ● Excluir objetos específicos, ej. para BSD UNIX ● Evitar secciones críticas de código con mucho control (sólo 1 contador) SNMP 43
  • 44. SNMPv1: PDUs IP header UDP header SNMP data SNMP header SNMP PDU version community ● version: 1 ● community: para seguridad GetRequest, GetNextRequest, SetRequest PDU type request-id 0 0 variable-bindings GetResponse PDU type request-id error-status error-index variable-bindings Trap PDU type enterprise agent-addr generic-trap specific-trap time-stamp variable-bindings nombre1 valor1 nombre2 valor2 ... nombreN valorN SNMPv1 44
  • 45. SNMPv1: PDUs ● request-id: para correlar peticiones y respuestas; se usa el mismo valor en ambas ● error-status, error-index: gestión de errores ● Notificación: ● enterprise: tipo de objeto que la genera, según sysObjectID ● agent-addr: dirección del objeto que la genera ● generic-trap, specific-trap: tipos y códigos ● time-stamp: desde la última reinicialización de la red. Contiene sysUpTime SNMPv1 45
  • 46. SNMPv1: PDUs ● Operaciones: ● Monitorización con PDUs de lectura (GetRequest, GetNextRequest, Trap) ● Control con PDU de escritura (SetRequest). Permite ejecutar comandos modificando el valor de algunos objetos específicos SNMPv1 46
  • 47. SNMPv1: PDUs ● GetRequest, GetNextRequest y SetRequest: ● Se confirman con GetResponse ● Pueden operar sobre más de una variable ● Son operaciones atómicas: si fallan en alguna variable no actúan sobre ninguna ● Trap: no se confirman con GetResponse SNMPv1 47
  • 48. SNMPv1: PDUs ● GetNextRequest: ● Para cada variable se obtiene el siguiente nodo- hoja de la MIB en orden lexicográfico ● Permite descubrir la estructura de la MIB de forma dinámica SNMPv1 48
  • 49. SNMPv1: Seguridad ● Concepto de "comunidades": conjunto de agentes y gestores que actúan sobre los primeros ● Aspectos de seguridad: ● Autenticación basada en el nombre de la comunidad. Es un password en texto claro que se comparte, típicamente "public" o "private" por defecto. Esquema muy pobre. ● Acceso basado en vistas (MIB view) y modos (ACCESS MODE ej. read-only) ● Se combinan ambos en un "community profile" SNMPv1 49
  • 50. RMON ● Remote Monitor es una MIB específica para agentes dedicados a monitorizar información de red ● Mejor rendimiento por monitorización red (versus dispositivo), ej: Delegar a dispositivos con RMON las notificaciones de congestión o de falta de conectividad (si no, todos los dispositivos mandarían notificaciones) http://en.wikipedia.org/wiki/Remote_monitoring RMON 50
  • 51. RMON ● Se concreta en un software de agente: ● Que corre en un dispositivo, dedicado o no, llamado sonda ("probe"). Ej. en un switch ● Que funciona en modo promiscuo capturando paquetes ● Uso típico: un agente RMON en cada segmento de red ● Ver MIBs y RFCs en wikipedia http://en.wikipedia.org/wiki/Remote_monitoring RMON 51
  • 52. RMON ● Operaciones: ● Monitorización mediante tablas de datos: – Informes de tráfico y estadísticas de errores – Almacenamiento de paquetes para análisis posteriores ● Configuración mediante filas en tablas de control ● Invocación de acciones mediante objetos que representan comandos, y actúan si cambian de estado ● Suelen usarse notificaciones más que polling RMON 52
  • 53. RMON: MIBs ● Identificador de la MIB RMON: iso.org.dod.internet.mgmt.mib-2.rmon 1.3.6.1.2.1.16 ● Versiones: ● RMON1: orientado a capas física y de enlace, su MIB define 10 grupos de objetos: estadísticas, alarmas, filtros, eventos,... ● RMON2: orientado a capas de red y superiores, su MIB define otros 10 grupos de objetos ● En ambos casos no siempre el dispositivo implementa todos los objetos. RMON 53
  • 54. RMON: acceso concurrente ● Problemas potenciales por acceso concurrente desde distintos gestores: ● Exceso de la capacidad del monitor ● Recursos del monitor ocupados/bloqueados durante periodos de tiempo largos, bien por un fallo interno o por un gestor externo RMON 54
  • 55. RMON: acceso concurrente ● Solución: columna "etiqueta de propiedad" en las tabla de control: ● Indica su propietario ● Read-write para el propietario, Read-only para el resto ● Una estación gestora identifica a su propietario y puede negociar con él la liberación ● Un operador puede hacer una liberación unilateral RMON 55
  • 56. Secure SNMP ● Ofrece autenticación y encriptación ● No es compatible con SNMPv1 porque cambia el formato de la cabecera: IP header UDP header SNMP data SNMP header SNMP PDU privDst authInfo dstParty srcParty SNMP PDU Puede ir encriptado Authentication Info http://tools.ietf.org/html/rfc1351 Secure SNMP 56
  • 57. SNMPv2 ● Cambios respecto a SNMPv1: ● Orientación a redes distribuidas, gracias a la comunicación entre managers (idea basada en RMON) ● Más eficiencia en tráfico mediante mensajes de obtención de múltiples valores ● Seguridad mejorada basada en S-SNMP, pero al ser muy compleja no se aceptó: SNMPv2 vs SNMPv2c (c=community) ● Aparece SMIv2 y una nueva MIB: 1.3.6.1.6 ● Se permite crear y borrar filas en tablas ● No es compatible con SNMPv1, pero se pueden emplear proxies y entornos duales SNMPv2 57
  • 58. SNMPv2: Protocolo ● Modificaciones respecto a SNMPv1: ● Cabeceras de los mensajes como en Secure SNMP ● PDUs: – Nuevas: GetBulkRequest, InformRequest – Modificada GetResponse por Response – Modificada estructura de Trap. Ahora idem GetRequest, GetNextRequest, SetRequest, Trap, InformRequest: PDU type request-id 0 0 variable-bindings – GetRequest, GetNextRequest y SetRequest no son atómicas, pudiendo actuar sobre algunas (y no todas) las variables del mensaje ● Hay tráfico de notificaciones entre NMSs SNMPv2 58
  • 59. SNMPv2: GetBulkRequest ● Se usa para minimizar el número de intercambios necesario para obtener una gran cantidad de datos. ● PDU: N M N+R variables PDU type request-id non-repeaters max-repetitions variable-bindings ● Para las primeras N (non-repeaters) variables la operación es idéntica a GetNextRequest PDU, devolviéndose un único sucesor lexicográfico ● Para las otras R variables, se devuelven múltiples (M=max-repetitions) sucesores lexicográficos SNMPv2 59
  • 60. SNMPv2: GetBulkRequest Ej: Interface-Number 1 Physical-Address 00:00:10:54:32:10 Network-Address 9.2.3.4 Type dynamic 2 00:00:10:01:23:45 10.0.0.51 static 3 00:00:10:98:76:54 10.0.0.15 dynamic ● GetBulkRequest: – [ non-repeaters = 1, max-repetitions = 2 ] – ( sysUpTime, ipNetToMediaPhysAddress, ipNetToMediaType ) ● Response: – sysUpTime.0 = "123456" – ipNetToMediaPhysAddress.1.9.2.3.4 = "000010543210" – ipNetToMediaPhysAddress.2.10.0.0.51= "000010012345" – ipNetToMediaType.1.9.2.3.4= "dynamic" – ipNetToMediaType.2.10.0.0.51= "static" SNMPv2 60
  • 61. SNMPv2: InformRequest ● Semejante al Trap pero requiere confirmación desde el Manager. Si ésta no se recibe en un tiempo, se reenvía el InformRequest ● Criterios: ● Eficiencia de tráfico y recursos de memoria: Trap ● Seguridad en recepción: InformRequest http://www.cisco.com/en/US/docs/ios/11_3/feature/guide/snmpinfm.html SNMPv2 61
  • 62. SNMPv3 ● Cambios respecto a SNMPv2: ● Seguridad en: – Integridad de mensajes – Confidencialidad, mediante la encriptación de paquetes – Autenticidad – Enmascaramiento: UDP es vulnerable a IP spoofing (cambio de la dirección de origen) para suplantar dispositivos, y SNMPv3 tiene mecanismos para evitarlo ● Nuevo framework o arquitectura extensible, compatible de forma nativa con SNMPv1 y SNMPv2 ● Nuevas MIBs bajo 1.3.6.1.6 SNMPv3 62
  • 63. SNMPv3: Seguridad ● Se definen dos capacidades de seguridad: ● USM (User-based Security Model): – Proporciona funciones de autenticación y confidencialidad (encriptación) – Opera a nivel de mensaje ● VACM (View-based Acess Control Model): – Determina si se permite el acceso a los objetos de la MIB para llevar a cabo diferentes acciones – Opera a nivel de PDU SNMPv3 63
  • 64. SNMPv3: Arquitectura ● Concepto "Entidad SNMP" que puede actuar como agente, gestor o ambos a la vez, según los módulos que implemente ● Esquema en base a dos capas: ● Una o varias Aplicaciones: capa superior que genera y recibe PDUs ● Un Motor: capa inferior que: – Hace de intermediario para las PDUs de Aplicaciones y las capas inferiores: versión de SNMP, protocolos,... – Gestiona la seguridad: autenticación, encriptación y acceso SNMPv3 64
  • 65. SNMPv3: Arquitectura Sólo Gestor Gestor y Agente Sólo Agente Command generator Aplicaciones Comand responder Notification generator Notification responder Proxy forwarder PDU dispatcher Dispatcher Message dispatcher Transport mapping (UDP,..) Motor Message processing subsystem (v1, v2, v3) Security subsystem Access subsystem SNMPv3 65
  • 66. SNMPv3: Formato de mensaje MsgGlobalData Definido y usado por el MsgData = cabecera modelo de seguridad = ScopedPDU msg msg msg msg msg msg context context PDU Version Id MaxSize Flags SecurityModel SecurityParameters EngineID Name Generados por el Ámbito de Modelo usado subsistema encriptación 3 por el emisor de seguridad Para coordinar ● Cuándo enviar un “Report PDU” Si se ha encriptado el mensaje Identificador Se usan las peticiones ● Si se ha utilizado autenticación unívoco de una de SNMPv2 y respuestas ● ● ... entidad SNMP Máximo tamaño de mensaje en bytes que soporta el emisor del mensaje SNMPv3 66
  • 67. Software para SNMP ● Ej. de implementación libre: Net-SNMP ● Comandos: ● snmpget - > GetRequest ej: snmpget -v1 -c public localhost 1.3.6.1.2.1.1.1 ● snmpgetnext, snmpwalk -> GetNextRequest ● snmpset -> SetRequest ● snmptrap -> Trap http://www.net-snmp.org/ http://net-snmp.sourceforge.net/wiki/index.php/FAQ Software para SNMP 67
  • 68. Software para SNMP ● Paquetes Ubuntu: ● Software básico de agente (snmpd) y gestor (snmp) ● Librerías de enlace y runtime para distintos lenguajes: C, java, php, perl, python, ruby ● Interfaces: consola, consola propia (scli, snimpy), applet de escritorio, cliente gráfico, web ● Programas específicos: cacti, collectd, FusionInventory, mrtg, munin, nagios, netdisco, netwox, zabbix ● Dispositivos: AP, Cisco, UPS, ● Otros: scanner, MIBs downloader, gestores de traps, utilidades varias Software para SNMP 68
  • 69. Software para SNMP ● MIB browser gratuitos Software Licencia GUI Plataformas tkmib Libre Tk GNU/Linux SnmpB Libre Qt GNU/Linux, Windows,... mbrowse Libre Gtk GNU/Linux, Windows,... iReasoning Privativa Java GNU/Linux, Windows,... MG-SOFT Privativa Windows Windows Software para SNMP 69