Snmpv3

q Qué es ...
u

SNMPv3 (Simple Network
Management Protocol version 3)

Ramón Jesús Millán Tejedor
Ingeniero de Telecomunicación en Ericsson España

L as actualesincremento teleco-
por un constante
redes de
municación se caracterizan
del nú-
nagement Protocol), es un protocolo
de la capa de aplicación que facilita
el intercambio de información de ges-
mero, complejidad y heterogenei- tión entre dispositivos de red. Este
dad de los recursos que las compo- protocolo es parte del conjunto de
nen. protocolos TCP/IP (Transmission
Los principales problemas rela- Control Protocol/Internet Proto-
cionados con la expansión de las re- col) y, por su amplia utilización en re-
des son la gestión de su correcto des empresariales, es considerado el
funcionamiento día a día y la plani- estándar de facto en detrimento
ficación estratégica de su creci- del protocolo CMIP (Common Ma-
miento. De hecho, se estima que más nagement Information Protocol)
del 70% del coste de una red cor- de la familia de protocolos OSI
porativa está relacionado con su ges- (Open Systems Interconnection), más
tión y operación. utilizado en las grandes redes de las
Por ello, la gestión de red inte- operadoras de telecomunicación.
grada, como conjunto de activida- SNMP permite a los administradores:
des dedicadas al control y vigilan- gestionar el rendimiento, encon-
cia de recursos bajo el mismo sistema trar y solucionar problemas, y pla-
de gestión, se ha convertido en un nificar el crecimiento futuro de la red.
aspecto de enorme importancia en Si bien SNMP se diseñó, en un
el mundo de las telecomunicacio- principio, con el propósito de hacer
nes. En efecto, la gestión de red se posible supervisar de forma senci- tagram-Delivery Protocol), y No-
suele centralizar en un centro de lla y resolver problemas, en routers vell IPX (Internet Packet Exchan-
gestión, donde se controla y vigila y bridges; con su ampliación, este ge).
el correcto funcionamiento de to- protocolo puede ser utilizado para
dos los equipos integrados en las supervisar y controlar: routers, swit- COMPONENTES BÁSICOS DE
distintas redes de la empresa en ches, bridges, hubs, servidores y es- SNMP
cuestión. Para ello, el centro de ges- taciones Windows y Unix, servido-
tión consta de una serie de méto- res de terminal, etc. Los componentes básicos de una
dos de gestión, de recursos huma- El protocolo SNMP opera sobre red gestionada con SNMP, son: los
nos y de herramientas de apoyo. varios protocolos de transporte, ori- agentes, componentes software que
ginalmente y habitualmente sobre se ejecutan en los dispositivos a ges-
INTRODUCCIÓN A SNMP UDP (User Datagram Protocol), aun- tionar; y los gestores, componentes
que actualmente también soporta, software que se ejecutan en los sis-
El protocolo de gestión de red sim- OSI CLNS (ConnectionLess Net- temas de gestión de red. Un siste-
ple o SNMP (Simple Network Ma- work Service), AppleTalk DDP (Da- ma puede operar exclusivamente
2003

BIT 139 JUN.-JUL. 45

q Qué es ...
u

como gestor o como agente, o bien
puede desempeñar ambas funcio-
nes simultáneamente. Por consi-
guiente, el protocolo SNMP tiene
una arquitectura cliente servidor
distribuida, como se ilustra en la Fi-
gura 1.
La parte servidora de SNMP con-
siste en un software SNMP gestor,
responsable del sondeo de los agen-
tes SNMP para la obtención de in- Figura 1: Esquema de una red gestionada con SNMP.
formación específica y del envío de
peticiones a dichos agentes solici- situación anómala en un recurso eventos, como por ejemplo el fallo
tando la modificación de un deter- gestionado, los agentes, sin necesi- repentino de una tarjeta del dispo-
minado valor relativo a su configu- dad de ser invocados por el gestor, sitivo gestionado.
ración. Es decir, son los elementos emiten los denominados eventos o El protocolo SNMP debe tener en
del sistema de gestión ubicados en notificaciones que son enviados a cuenta y ajustar posibles incompa-
la plataforma de gestión centraliza- un gestor para que el sistema de tibilidades entre los dispositivos a
da de red, que interaccionan con los gestión pueda actuar en conse- gestionar. Los diferentes ordena-
operadores humanos y desencade- cuencia. dores utilizan distintas técnicas de
nan las acciones necesarias para lle- El gestor SNMP puede lanzar cual- representación de los datos, lo cual
var a cabo las tareas por ellos invo- quiera de estos tres comandos so- puede comprometer la habilidad de
cadas o programadas. bre un agente SNMP: SNMP para intercambiar informa-
La parte cliente de SNMP con- – Get. Una petición por el valor es- ción entre los dispositivos a gestio-
siste en un software SNMP agente pecífico de un objeto en la MIB nar. Para evitar este problema, SNMP
y una base de datos con informa- del agente. Este comando es uti- utiliza un subconjunto de ASN.1
ción de gestión o MIB. Los agentes lizado por el gestor para monito- (Abstract Syntax Notation One) en
SNMP reciben peticiones y repor- rizar los dispositivos a gestionar. la comunicación entre los diversos
tan información a los gestores SNMP – Get-next. Una petición por un va- sistemas.
para la comunidad a la que perte- lor en el siguiente objeto en la La principal ventaja de SNMP pa-
necen; siendo una comunidad, un MIB del agente. Este comando es ra los programadores de herra-
dominio administrativo de agentes utilizado para obtener cada valor mientas de gestión de red, es su sen-
y gestores SNMP. Es decir, son los sucesivo en un subconjunto o ra- cillez frente a la complejidad inherente
elementos del sistema de gestión ma de la MIB. a CMIP. De cara al usuario de di-
ubicados en cada uno de los dispo- – Set. Utilizado para cambiar el va- chas herramientas, CMIP resuelve
sitivos a gestionar, e invocados por lor de un objeto en la MIB de un la mayor parte de las muchas limi-
el gestor de la red. agente, en el caso de que el ob- taciones de SNMP, pero por contra,
El principio de funcionamiento jeto tenga habilitada la lectura y consume mayores recursos (alre-
reside, por consiguiente, en el in- escritura de su valor. Debido a la dedor de 10 veces más que SNMP),
tercambio de información de ges- limitada seguridad de SNMP, la por lo cual es poco utilizado en las
tión entre nodos gestores y nodos mayoría de los objetos de la MIB redes de telecomunicación empre-
gestionados. Habitualmente, los sólo tienen acceso de lectura. Es- sariales.
agentes mantienen en cada dispo- te comando es utilizado por el Puesto que la consulta sistemáti-
sitivo gestionado información acer- gestor para controlar los dispo- ca de los gestores, es más habitual
ca de su estado y su configuración. sitivos a gestionar. que la emisión espontánea de da-
El gestor pide al agente, a través del Por otro lado, un agente SNMP tos por parte de los agentes cuan-
protocolo SNMP, que realice deter- podría también mandar un mensa- do surgen problemas, SNMP es un
minadas operaciones con estos da- je a un gestor SNMP sin el envío protocolo que consume un consi-
tos de gestión, gracias a las cuales previo de una solicitud por parte de derable ancho de banda, lo cual li-
podrá conocer el estado del recur- éste. Este tipo de mensaje es cono- mita su utilización en entornos de
so y podrá influir en su comporta- cido como Trap. Los Traps son ge- red muy extendidos. Esto es una
miento. Cuando se produce alguna neralmente enviados para reportar desventaja de SNMP respecto a

46 BIT 139 JUN.-JUL.
2003

CMIP, que puesto que trabaja en
modo conectado en vez de mediante
sondeo secuencial, permite optimi-
zar el tráfico. SNMP, en su versión
original, tampoco permite transfe-
rir eficientemente grandes cantida-
des de datos.
No obstante, la limitación más im-
portante de SNMP es que carece de
autentificación, lo cual supone una
alta vulnerabilidad a varias cues-
tiones de seguridad, como por ejem-
plo: modificación de información, Figura 2: Estructura en árbol de la MIB.
alteración de la secuencia de men-
sajes, enmascaramiento de la enti-
dad emisora, etc. En su versión ori- plataformas comerciales como: Open- toridad sobre los objetos y ramas
ginal, cada gestor y agente es View de Hewlett Packard (que es el de una MIB.
configurado con un nombre de co- producto más representativo con Generalmente, los objetos de la
munidad, que es una cadena de tex- más de un 40% de cuota de merca- MIB son referenciados por un iden-
to plano. Los nombres de comuni- do), SunNet de Sun Microsystems, tificador. Por ejemplo, el objeto In-
dad, enviados junto a cada comando NetView de IBM, etc. Muchas ve- ternet, se referencia por 1.3.6.1, o
lanzado por el gestor, sirven como ces, estas plataformas multifrabri- bien iso-ccitt.identified-organiza-
un débil mecanismo de autentifica- cante, suelen convivir con otras pla- tion.dod.internet.
ción, ya que puesto que el mensaje taformas de gestión de red
no está cifrado, es muy sencillo que monofabricante, con el fin de apro- MEJORAS DE SNMPV3
un intruso determine cual es dicho vechar al máximo los desarrollos
nombre capturando los mensajes propios y particulares de cada pro- Existen tres versiones de SNMP:
enviados a través de la red. Cuan- veedor. SNMP versión 1 (SNMPv1), SNMP
do un agente SNMP captura una pe- versión 2 (SNMPv2) y SNMP versión
tición SNMP, primero comprueba LA MIB 3 (SNMPv3). SNMPv1 constituye la
que la petición que le llega es para primera definición e implementa-
la comunidad a la cual pertenece. Una MIB (Management Infor- ción del protocolo SNMP, estando
Solamente en el caso de que el agen- mation Base) es una base de datos descrito en las RFC 1155, 1157 y 1212
te pertenezca a dicha comunidad, o jerárquica de objetos y sus valores, del IETF (Internet Engineering Task
bien consulta en la MIB el valor del almacenados en un agente SNMP. Force). El vertiginoso crecimiento
objeto solicitado y envía una res- En la Figura 2, se ilustra la estruc- de SNMP desde su aparición en 1988,
puesta al gestor SNMP con dicho tura en árbol de la MIB. puso pronto en evidencia sus debili-
valor en el caso de un comando Get, Cada MIB individual es un su- dades, principalmente su imposibi-
o bien cambia el valor en el caso de bárbol de la estructura total de MIB lidad de especificar de una forma sen-
un comando Set. CMIP, por traba- definida por la ISO (International cilla la transferencia de grandes
jar en modo conectado, ofrece una Standards Organization). La RFC bloques de datos y la ausencia de me-
mayor seguridad que SNMP. 1156, llamada MIB-I, especifica cier- canismos de seguridad; debilidades
Finalmente señalar que, como he- tas informaciones de primer nivel. que tratarían de ser subsanadas en
mos visto, SNMP sólo define el pro- La RFC 1158, llamada MIB-II, es más las posteriores definiciones del pro-
tocolo para el intercambio de in- exhaustiva. Sin embargo, como es- tocolo.
formación de gestión entre el gestor tas especificaciones no permiten SNMPv2 apareció en 1993, es-
y el agente y el formato para repre- describir, con la precisión requeri- tando definido en las RFC 1441-1452.
sentar la información de gestión o da, todo tipo de agentes, los fabri- SNMPv1 y SNMPv2 tienen muchas
MIB. Por ello, para facilitar la ges- cantes de hardware y programa- características en común, siendo la
tión de red, es conveniente adqui- dores de software están desarrollando principal mejora la introducción de
rir un gestor de red gráfico multi- MIB propietarias. De esta forma, tres nuevas operaciones de proto-
fabricante basado en SNMP, utilizando una organización puede tener au- colo: GetBulk para que el gestor re-
2003

BIT 139 JUN.-JUL. 47

q Qué es ...
u

temporal razonable que descarte el
posible retardo de mensajes y el ata-
que mediante mensajes repetidos,
se utilizan mecanismos de sincro-
nización entre emisor y receptor y
el chequeo de la ventana temporal
constituida por el momento de emi-
sión del mensaje y su momento de
recepción. Por otro lado, la facili-
dad de privacidad de USM posibi-
lita a los gestores y a los agentes en-
criptar mensajes para prevenir que
sean analizados por intrusos. De
nuevo, el gestor y el agente deben
compartir una clave secreta confi-
gurada previamente. El algoritmo
cupere de una forma eficiente gran- guridad y administración a ser uti- de encriptación utilizado es el CBC
des bloques de datos, tales como las lizadas en conjunción con SNMPv2 (Cipher Block Chaining) de DES
columnas de una tabla; Inform pa- (preferiblemente) o SNMPv1. Estas (Data Encryption Standard), cono-
ra que un agente envíe información mejoras harán que SNMP se cons- cido también por DES-56.
espontánea al gestor y reciba una tituya en un protocolo de gestión El modelo de control de acceso
confirmación; y Report para que el susceptible de ser utilizado con al- basado en vistas o VCAM (Views-
agente envíe de forma espontánea tas prestaciones en todo tipo de re- Based Access Control Model) per-
excepciones y errores de protoco- des, desplazando a medio plazo a mite proporcionar diferentes nive-
lo. SNMPv2 también incorpora un CMIP como estándar de gestión de les de acceso a las MIB de los agentes
conjunto mayor de códigos de error las grandes redes de las operado- para los distintos gestores en SNMPv3.
y más colecciones de datos. En 1995 ras de telecomunicación. Un agente puede, de este modo, res-
apareció una revisión de SNMPv2, El modelo de seguridad basado tringir el acceso de ciertos gestores
denominada SNMPv2c y descrita en usuario o USM (User-Based Se- a parte de su MIB o bien limitar las
en las RFC 1901-1910, añadiendo curity Model) proporciona los ser- operaciones susceptibles de reali-
como mejoras una configuración vicios de autentificación y privaci- zar por ciertos gestores sobre una
más sencilla y una mayor modula- dad en SNMPv3. El mecanismo de parte de su MIB. La política de con-
ridad; pero manteniendo el senci- autentificación en USM asegura que trol de acceso a ser utilizada por el
llo e inseguro mecanismo de au- un mensaje recibido fue, de hecho, agente para cada gestor debe estar
tentificación de SNMPv1 y SNMPv2 trasmitido por la entidad indicada configurada previamente; consis-
basado en la correspondencia del en el campo correspondiente a la tiendo básicamente en una tabla que
denominado nombre de comuni- fuente en la cabecera del mensaje; detalla los privilegios de acceso pa-
dad. y además, que el mensaje no fue al- ra los distintos gestores autoriza-
La nueva y última versión de SNMP, terado durante su tránsito y que no dos. Mientras que la autentificación
SNMPv3, refuerza las prestaciones fue artificialmente retardado o re- es realizada por usuario, el control
de seguridad, incluyendo autentifi- petido. Para conseguir la autentifi- de acceso es realizado por grupos,
cación, privacidad y control de ac- cación, el gestor y el agente que de- donde un grupo podría ser un con-
ceso; y de administración de proto- sean comunicarse deben compartir junto de usuarios.
colo, con una mayor modularidad la misma clave de autentificación Finalmente, y para los lectores
y la posibilidad de configuración re- secreta configurada previamente que deseen conocer conocer en más
mota. SNMPv3 apareció en 1997, es- fuera de SNMPv3 (no es almacena- profundidad este importante pro-
tando descrito en las RFC 1902-1908 da en la MIB y no es accesible me- tocolo de gestión de red, se reco-
y 2271-2275. Cabe destacar que diante SNMP). El protocolo de au- mienda la dirección de Internet
SNMPv3 no se trata de un estándar tentificación utilizado puede ser el http://www.snmplink.org/; que ofrece
que reemplaza a SNMPv1 y/o HMAC-MD5-96 o el HMAC-SHA- gratuitamente una gran cantidad de
SNMPv2, sino que define una serie 96. Para asegurarse de que los men- información y utilidades relaciona-
de capacidades adicionales de se- sajes llegan dentro de una ventana das con SNMPv3.

48 BIT 139 JUN.-JUL.
2003

Snmpv3

Más contenido relacionado

La actualidad más candente

Destacado

Similar a Snmpv3

Último

Snmpv3