View
480
Download
5
Category
Preview:
Citation preview
Sareen kudeaketa,SNMP eta RMON
Sare eta Zerbitzuak IIBilboko IGET/TelematikaDani Gutiérrez Porset2011ko Azaroa
2
Dokumentu honi buruz
http://creativecommons.org/licenses/by-sa/3.0/
● Erabilpen lizentzia
● Erabilitako edukierak:● Atalako argazkia: The Opte Project (cc by-nc-sa 1.0)● Logotipoak bere jabeen jabetasuna● Liburua: "SNMP, SNMPv2, SNMPv3, and RMON 1 and
2" - William Stallings – Ed. Addison Wesley ● Marivi Higuero Aperribairen apunteak
http://opte.org/maps/
3
Aurkibidea● Sarrera● Sareen kudeaketa● SNMP● SNMPv1● RMON● Secure SNMP● SNMPv2● SNMPv3● SNMP-rako Software
4
PDCA Metodologia
Plan
Do
Check
Act
MonitorizazioaGainbegiratzea
Plangintza
KontrolaKonfigurazioa
http://en.wikipedia.org/wiki/PDCA
Sarrera
5
Ekintzak eta Neurriak
Sarrera
Erreaktiboak Proaktiboak
●Detekzioa●Zuzenketa●Kausen ezagutza
●Aurresana●Prebentzioa●Hobespena
6
Hasiera-egoera● Sarearen nodoak kudeatzeko beharra● Aniztasuna:
● Sareak● Dispositiboak● Fabrikatzaileak: protokoloak eta formatuak
Sareen kudeaketa
7
Zer da sare bat kudeatzea● Eragiketak:
● Monitorizazioa● Software / firmware-ren klonaketa / instalazioa● Software / firmware-ren eguneraketa / partxeoa● Konfigurazioa● Hardware / software-ren zerrenda● Kalitatea eta Segurtasuna
● Hori guztia era automatiko, urrutiko, masibo, seguru batean
Sareen kudeaketa
8
OSI Sarearen kudeaketa eredua● FCAPS eredua:
● Fault: identifikatu, isolatu, zuzendu, erregistratu● Configuration: bildu, bidali, aldaketak erregistratu● Accounting: baliabideen estatistikak,
erabiltzaileen eta baimenen administrazioa● Performance: erabilpen eta erabilgarritasunaren
%, akats tasa, erantzun denborak● Security: autentifikazioa, konfidentzialtasuna,
baimenak
http://en.wikipedia.org/wiki/FCAPS
http://en.wikipedia.org/wiki/Network_management_model
Sareen kudeaketa
9
Prozesaketa
Sarea
Periferikoak
Mix
Nodoen sailkapena● Gaitasun eta adimenaren arabera:
Sareen kudeaketa
10
Irtenbidea● Estandarren bidezko interoperabilitatea● Informazio osagaiak:
● Esanahia = semantika● Irudikapena = Lexikoa, sintaxia: formatuak● Trukea: komunikazio protokoloak
● "De facto" vs "de iure" estandarrak
Sareen kudeaketa
11
Kudeaketako protokolo estandarrak
● CMIP (Common Management Information Protocol) eta CMOT (CMIP Over TCP/IP):● OSI/ISO● Konplexuak eta gutxitan erabilitakoak
● SNMP (Simple Network Management Protocol): Kontrola eta monitorizazioa
● RMON (Remote Monitor): Monitorizazioa
http://en.wikipedia.org/wiki/Common_management_information_protocol
Sareen kudeaketa
12
Kudeaketarako Software
Monitorizazioa
http://en.wikipedia.org/wiki/Network_monitoring_comparison
http://en.wikipedia.org/wiki/Comparison_of_disk_cloning_software
http://en.wikipedia.org/wiki/Comparison_of_open_source_configuration_management_software
http://www.linuxjournal.com/content/readers-choice-awards-2010
Sareen kudeaketa
13
SNMP-rik gabekomonitorizaziorako software
● Nodoetan software instalazioa beharrezkoa da● Tresnak:
● Ekipo gutxi badira, giza interfazea. Adib. web● Ekipo asko badira, automatikoki:
– "Eskuz": script-ak, cron,...– Produktuak:
● Sarea: nagios, mon, sysmon, ntop,...● Logak: logwatch, oak,...
http://www.nagios.org/
https://mon.wiki.kernel.org/
http://www.sysmon.com/
http://www.ntop.org/
http://www.ktools.org/
http://sourceforge.net/projects/logwatch/
Sareen kudeaketa
14
SNMP
Simple Network Management Protocol
v1: Bakarrik 5 komandov2, v3: 7 komando
Helmena: Monitorizazioa eta Kontrolasare zentralizatutak edo banatutak
TCP/IP ereduan,IETF-ren RFC-en bidez finkatuta
http://en.wikipedia.org/wiki/Snmp
SNMP
Baina SNMP ez da perfektua!
15
Historia eta Bertsioak
SNMP
SNMPv1
RMON
SNMPv2
Secure SNMP
SNMPv2uSNMPv2c SNMPv2*
SNMPv3
1988
1993
1992
1998 Gaurko estandarra da(SNMPv1, SNMPv2 zaharrak dira)
16
Espezifikazioaren osagaiak● Nodo motak:
● Nodo kudeatzailea edo estazioa, NMS (Network Management System) softwarez
● Software agenteren bidez kudeatutako nodoa ● Protokoloa● Datuak:
● SMI (Structure of Management Information)● MIB (Management Information Base)
SNMP
17
Nodoen sailkapena● Kudeaketa funtzioaren arabera:
● Nodo kudeatzaileak● Agenteen bidezko kudeaturiko nodoak● Proxy nodoak
Sareen kudeaketa
18
Nodo motak: NMS eta Agentea
MIB
Kudeaturiko dispositiboaNMS (Network management system)
IPv4, IPv6
UDP
SNMP
ProzesuKudeatzailea
IPv4, IPv6
UDP
SNMP
TCP
...
ProzesuAgentea
Prozesu...
MIB
SNMP
●Kudeaturiko nodoekin komunikazioa●Erabiltzaile interfazea funzionalitate gehigarriekin●MIB = kudeaturiko nodoen MIB-en batuketa
19
Nodo motak: Proxy
Proxy Agentea SNMP hitz egiten ez duenkudeaturiko dispositiboa
YYY Protokoloa
XXXProzesua
IPv4, IPv6
UDP
SNMP
AgenteProzesua
YYY Protokoloa
ProxyProzesua
SNMP
20
Protokoloa: SNMP TCP/IP ereduan
1. Fisikoa
2. Lotura
3. Sarea
4. Garraioa
5. Saioa
6. Aurkezpena
7. Aplikazioa
3. Garraioa
4. Aplikazioa
OSI/ISO TCP/IP
SNMP
UDP
ASN.1
http://en.wikipedia.org/wiki/OSI_model
http://en.wikipedia.org/wiki/TCP/IP_model
SNMP
Beste SNMP-ren azpiko protokoloak:●OSI Connectionless Network Service●AppleTalk Datagram-Delivery Protocol (DDP)●Novell IPX●TCP ere
UDP:●TCP baino trafiko gutxiago●Ez da fidagarria, bainabaieztapenak Aplikaziogeruzan bidaltzen dira
21
Protokoloa: Eragiketak eta Primitibak
SNMP
Sinkronoak
Asinkronoak
Irakurketaeskaera
Idazkeraeskaera
GetRequestGetNextRequestGetBulkRequest
SetRequest
Informazioabidalketa
Response
Trap
InformRequest
SNMPv2SNMPv1-eanGetResponse
zenKudeatzailetikAgentera
Agentetik Kudeatzailera
Bi noranzkoetan
SNMPv2-anagente batetik bestera
joan daiteke
22
Protokoloa: Polling vs Trap● Polling = Galdeketa● Trap = Jakinarazpenak, Etenaldiak● Irizpideak:
● Informazio periodikoa● Trafikoren eraginkortasuna
SNMP
23
Protokoloa: Fluxuak eta Atakak
.../UDP 161/UDP
162/UDP
●Trap●InformRequests
●GetRequest●SetRequest●GetNextRequest●GetBulkRequest
●Response
Kudeatzailea Agentea
.../UDP
SNMP
24
Protokoloa: segurtasuna● M:N Erlazioa, agente eta hauei ekiten dieten
kudeatzaileak● Segurtasun aspektuak:
● Autentifikazioa: nor da kudeatzailea, eta nola egiaztatu
● Sarbidea: objetuen baimenak kudeatzaile bakoitzarentzat
● Proxy-ak: proxy baten bidez kudeatutako sistemen politiken implementazioa
SNMP
25
Protokoloa: segurtasuna● Bertsio guztietan eragiten duten erasoak:
● Indar basatiaren bidez (hiztegia), zeren eta ez dute erronka-erantzuna metodorik
● Zerbitzu ukapena● Fabrikatzaile batzuk ez dute idazketako
baimenarik ematen, segurtasun txarragatik SNMPv3 izan ezik, edo bere dispositiboak SNMP-ren bidez konfiguragarriak ez direlako
SNMP
26
SMI● Egitura hierarkiko (zuhaitza) baten arabera
objetuak irudikatzeko eskema hedagarri bat ematen du
● Bertsioak: SMIv1, SMIv2● Notazioa: ASN.1-en azpimultzoa. Adib:
internet OBJECT IDENTIFIER ::= { iso org(3) dod(6) 1 }
SNMP
http://en.wikipedia.org/wiki/Structure_of_Management_Information
27
SMI-ren osagaiak● Datubase egituraren eta MIB bakoitzaren
zehazpena● Objetu, Modulu eta jakinarazpeen (traps)
definizioak: motak, izenak, sintaxia, MIBak eraikitzeko arauak,...
● BER-en arabera kodifikazioa
SNMP
28
ASN.1● Metahizkuntza edo Notazia hauekin:
● Sintaxia, adib.Esleipenak: A ::= BOharrak: -- zer astuna den ikasgai hau
● Edukierak binariora kodifikatzeko arauak, BER-en arabera
● Programa bat iturritik binariora konpilatzea antzekoa
http://en.wikipedia.org/wiki/Abstract_Syntax_Notation_One
http://en.wikipedia.org/wiki/Basic_Encoding_Rules
http://asn1.org/
SNMP
29
SMI zuhaitza
SNMP
●directory: etorkizunerako erabilpena OSI (X.500) direktorioetarako●management: IAB-n objetu onartuetarako azpizuhaitza●experimental: frogetarakoa●private: fabrikatzaile espezifikoetarakoa
Ez dago nodo erroa
ordena
30
SMI-ko objetuak● Zuhaitzako nodoak: Objetuak=nodo edo
kudeatzeko dispositiboa, eta bere ezaugarriak/bailabideakAdib: Router, bere TCP konexioen taularekin
● Nodo bakoiza bere seme-alabekin talde bat bezala ikus daiteke
● SNMP protokoloa:● Ezin du zuhaitzako egitura aldatu● Bakarrik nodo-hostoak kudea ditzake
SNMP
31
SMI-ko objetuen sintaxia● Identifikazioa eta beste objetuekiko erlazioa● Balio mota:
● Erraztasuna eta interoperabilitatearen alde, bakarrik eskalarrak eta taulak daude; ez dago beste azpiegitura konplexuagorik
● SNMP-k bakarrik tipo eskalarrak irakur/idatz ditzake● Era posibleak (CHOICE)
● Tartea, adib. SYNTAX INTEGER (0..65535)
● Sarbide baimenak (read-only, read-write,...) eta derrigortzea (mandatory, optional)
● DeskribapenaSNMP
32
SMI-ko objetuen identifikazioa● Identifikadore bakarra:
● OBJECT IDENTIFIER tipoa, ASN.1-n● Puntuen bidez banandutatako zenbaki osoen
sekuentzia; zenbaki oso bakoitzak bere adarraren nodoak adierazten ditu
● Noizbehin, dagozkion izenen sekuentzia
Adib.1.3.6.1.2.1.4iso.org.dod.internet.mgmt.mib_2.ip
SNMP
http://www.faqs.org/rfcs/rfc1902.html
33
SMI-ko objetu mota● Eskalarrak:
● 4 Univertsalak: – INTEGER: -231-tik 231-1-etara– OCTET STRING: 0-tik 65535 byte-etara– OBJECT IDENTIFIER– NULL
● Beste tipo bereziak aurrekoetan oinarrituta, APPLICATION klasera elkartutak.
● SMIv2-tan tipo gehiago daude
SNMP
http://www.faqs.org/rfcs/rfc2012.html
34
SMI-ko objetu mota● APPLICATION klaserekin lotutako objetuak:
● NetworkAddress: bakarrik IpAddress dago zehaztuta● IpAddress: 32 bit helbidea● Counter: 0-tik a 232-1-etara (4.294.967.295). Balorea
bakarrik handi daiteke● Gauge: 0-tik to 232-1-etara. Balorea handi edo txiki
daiteke● TimeTicks: segundo-ehunenak, aro batetik● Opaque: edozein datu edozein formatutan, OCTET
STRING bezala kodifikatuta
SNMP
http://www.faqs.org/rfcs/rfc1155.html
35
SMI-ko objetu mota● Array bidimentsionalak (= taulak) hauen bidez:
● SEQUENCE-OF: elementu guztiak mota berdinekoak
● SEQUENCE: elementuak mota berdinekoak edo ez● INDEX hitza lerroak bereizteko.
Adib: tcpConnTable taula
SNMP
http://www.faqs.org/rfcs/rfc2012.html
tcpConnState tcpConnLocalAddress tcpConnLocalPort tcpConnRemAddress tcpConnRemPort
listen(2) 0.0.0.0 21 0.0.0.0 0
listen(2) 0.0.0.0 22 0.0.0.0 0
listen(2) 0.0.0.0 25 0.0.0.0 0
listen(2) 0.0.0.0 80 0.0.0.0 0
established(5) 127.0.0.1 1031 127.0.0.1 1030
established(5) 127.0.0.1 1032 127.0.0.1 1033
36
SMI-ko objetuen definizioa● Mailak:
● Makroren definizioa, ej. OBJECT-TYPE● Makro instantzia, tipoak zehazteko,
adib. tcpMaxConn tipoa definizioa OBJECT-TYPE makroren bidez
● Makro instantziaren balorea, entitate baten baloreak adieraztekoadib. tcpMaxConn balorea, TCP konexio konkretu batean
http://www.faqs.org/rfcs/rfc1212.html
http://www.faqs.org/rfcs/rfc2012.html
SNMP
37
SMI-ko Moduluak● Erlazionatutako zehazpen taldeak adierazten
dituzte● Motak:
● MIB Moduluak, erlazionatutako objetuak definitzeko
● Adostasuneko sententziak, standard bat bete behar diren objetu taldeak
● Gaitasunetako sententziak, agente baten gaitasunak ezagutarazten dizkioten kudeatzaile bati
SNMP
38
SMI eta ASN.1-ri buruzko software
● Adib. implementazioa: libsmi
Debian-en eta deribatuetan:
apt-cache search libsmi apt-cache search ASN.1
SNMP
39
MIB-ak● Erabilpen konkretuetarako SMI-ren adarrak● SMI eta MIB-en arteko desberdintasunak:
● SMI = zehazteko eskema + zuhaitz orokorra● MIBs = azpi-zuhaitz espezifikoak
(semantika+lexikoa), zuhaitz orokorraren barruan
SNMP
http://en.wikipedia.org/wiki/Management_information_base
40
MIB motak● Estandarrak: IETF edo IEEE-k mantenduta.
Adib:● MIB-2: TCP/IP dispositiboen kudeaketa● TCP-MIB: TCP-rako espezifikoa● Ethernet-MIB
● Pribatuak (interoperabilitatea gutxitzen dute):● Fabrikatzaileak NMS-rako testu edo deskribapen
formala ematen du● Arazoa: 3 bertsio; nagusia: RFC 1212
SNMP
http://en.wikipedia.org/wiki/Management_information_base
41
MIB-en adibideak
SNMP
● Debian paketea snmp-mibs-downloader
● Direktorioak:● IANA MIB-ak : /var/lib/mibs/iana● IETF MIB-ak: /var/lib/mibs/ietf● RFC-ak: /usr/share/doc/mibrfcs
42
MIB-2
SNMP
system(1)
interfaces(2)
at (3)
transmission (10)
ip (4)
icmp (5)
tcp (6)
udp (7)
snmp (11)
egp (8)
● TCP/IP dispositiboen kudeaketa● 1.3.6.1.2.1 = iso.org.dod.internet.mgmt.mib_2● 10 nodo = taldeak
http://en.wikipedia.org/wiki/Exterior_Gateway_Protocol
Exterior Gateway Protocol (zaharra)
Zaharra; MIB-1-ekin konpatibilizatzeko mantenduta
Lotura geruzaren datuak
43
MIB-2-ko objetuen baldintzak
SNMP
● Erroreak edo konfigurazioa kudeatzeko premiazkoa izatea
● Kontrol objetu bat bada, "ez arriskutsua" izatea● Erabiltzeko ebidentzia● Erredundantziak sahiesteko, beste objetuetatik
deribatutako objetuak ez sartu● Objetu espezifikoak baztertu, adib. BSD UNIX-
erakoak● Kontrol askorekiko kode sekzio kritikoak sahiestu
(bakarrik kontadore 1)
44
SNMPv1: PDU-ak
PDU type request-id error-status error-index variable-bindings
PDU type enterprise agent-addr generic-trap variable-bindingsspecific-trap time-stamp
PDU type request-id 0 0 variable-bindings
SNMPv1
GetRequest, GetNextRequest, SetRequest
GetResponse
Trap
izen1 balore1 izen2 balore2 izenN baloreN...
●bertsio: 1●community: segurtasunerakoa
version community
IP header UDP header SNMP data
SNMP header SNMP PDU
45
SNMPv1: PDU-ak● request-id: eskaerak eta erantzunak
korrelatzeko; bietan balore berdina erabiltzen da
● error-status, error-index: akatsen kudeaketa● Jakinarazpena:
● enterprise: sortzen duen objetu mota, sysObjectID-en arabera
● agent-addr: sortzen duen objetuaren helbidea● generic-trap, specific-trap: motak eta kodeak● time-stamp: azken sare hasierapenatik; sysUpTime
daukaSNMPv1
46
SNMPv1: PDU-ak● Operazioak:
● Irakurketarako PDU-en (GetRequest, GetNextRequest, Trap) bidezko monitorizazioa
● Idazketarako PDU-en (SetRequest) bidezko kontrola. Objetu espezifiko batzuen baloreak aldatuz, komandoak exekutatzen ditu
SNMPv1
47
SNMPv1: PDU-ak● GetRequest, GetNextRequest eta SetRequest:
● GetResponse-ren bidez baieztatzen dira● Aldagarri bat baino gehiagotan jardun dezakete● Eragiketa atomikoak dira: aldagarriren batean
txarto egiten badute, ez dute beste inon jarduten● Trap: ez da GetResponse-ren bidez baieztatzen
SNMPv1
48
SNMPv1: PDU-ak● GetNextRequest:
● Aldagarri bakoitzarako hurrengo nodo-hostoa lortzen du, orden lexikografikoan
● MIB egitura aurki daiteke dinamikoki
SNMPv1
49
SNMPv1: Segurtasuna● "Komunitateak" kontzeptua: agenteak eta
hauen gainean lan egiten duten kudeatzaile multzoak
● Segurtasun aspektuak:● Komunitatearen izenean onarritutako
autentikazioa. Partekatzen den testu argian dagoen password bat da, normalean "public" edo "private". Oso eskema pobrea.
● Bistetan (MIB view) eta moduetan (ACCESS MODE adib. Read-only) oinarritutako sarbidea
● Biak konbinatzen dira "community profile" batean
SNMPv1
50
RMON● Remote Monitor sare informazioa
monitorizatzeko agenteetarako MIB espezifikoa
● Errendimendu handiagoa sarea (versus dispositiboak) monitorizatzeagatik, adib:Konektibitate faltak edo kongestioaren jakinarazpenak RMON daukaten dispositiboei delegatzea (bestela, dispositibo guztiak jakinarazpenak bidaliko lituzkete)
http://en.wikipedia.org/wiki/Remote_monitoring
RMON
51
RMON● Agentera software batean datza:
● Dispositibo (dedikatu edo ez) batean exekutatzen da, zunda ("probe") deituta. Adib. Switch batean
● Modo promiskuoan funzionatzen da, paketeak harrapatzen
● Ohizko erabilpena: RMON agente bat sare segmentu bakoitzean
● Begiratu MIB-ak eta RFC-ak wikipedian
http://en.wikipedia.org/wiki/Remote_monitoring
RMON
52
RMON● Operazioak:
● Datu taulen bidezko monitorizazioa:– Trafiko txostenak eta akatsen estatistikak– Gerorako analisietarako paketeak bilketa
● Kontrol tauletako lerroen bidez konfigurazioa● Ekintzak objetuen bidez martxan jarri dira.
Objetuak komandoak adierazten dute, eta egoera aldatzen bada martxan jartzen dira
● Polling baino gehiago, jakinarazpenak erabiltzen dira
RMON
53
RMON: MIB-ak● RMON-erako MIB identifikatzailea:
iso.org.dod.internet.mgmt.mib-2.rmon1.3.6.1.2.1.16
● Bertsioak:● RMON1: lotura eta geruza fisikoekin lotuta, bere
MIB-ak 10 objetu talde bereizten ditu: estatistikak, alarmak, iragazkiak, gertaerak,...
● RMON2: sare eta goiko geruzekin lotuta, bere MIB-ak beste 10 objetu talde zehazten ditu
● Bi kasuetan dispositiboak ez ditu objetu guztiak inplementatzen
RMON
54
RMON: sarbide konkurrentea● Arazoak egon daitezke kudeatzaile asko batera
sartzen direnean:● Monitorearen gaitasuna gainditzen da● Monitorearen bailabideak okupatuta/blokeatuta
denbora luze, barruko akats batengatik edo kanpoko kudeatzaile batengatik
RMON
55
RMON: sarbide konkurrentea● Ebazpena: "jabetasun etiketa" zutabea kontrol
tauletan:● Bere jabea adierazten du● Read-write jabearentzat, Read-only besteentzat
● Nodo kudeatzaile batek bere jabea zehazten du, eta askapena berarekin negozia dezake
● Operadore batek askapen aldebakarra egin dezake
RMON
56
Secure SNMP● Autentikazioa eta enkriptazioa ematen du● Ez da SNMPv1-rekin bateragarria, goiburuaren
formatua aldatzen delako:IP header UDP header SNMP data
SNMP header SNMP PDU
privDst authInfo dstParty srcParty SNMP PDU
Enkriptatuta egon daiteke
Authentication Info
Secure SNMP
http://tools.ietf.org/html/rfc1351
57
SNMPv2● SNMPv1-i buruzko aldaketak:
● Sare banatuekin erlazionatuta, managerren arteko komunikazioari esker (RMON bezalako ideia)
● Trafiko eraginkortasun handiagoa balore anitzak lortzeko mezuen bidez
● Segurtasun hobea S-SNMP-etan oinarrituta, baina oso konplexua izateagatik ez zen onartu: SNMPv2 vs SNMPv2c (c=community)
● SMIv2 sortzen da, eta MIB berri bat: 1.3.6.1.6● Tauletan lerroak sortu eta ezabatu ahal dira
● Ez da SNMPv1-rekin konpatiblea, baina proxyak eta ingurune dualak erabil daitezke
SNMPv2
58
SNMPv2: Protokoloa● SNMPv1-i buruzko aldaketak:
● Mezuen goiburuak Secure SNMP-en bezala● PDU-ak:
– Berriak: GetBulkRequest, InformRequest– GetResponse aldatuta: Response– Trap egitura aldatuta. Berdinak: GetRequest,
GetNextRequest, SetRequest, Trap, InformRequest:
– GetRequest, GetNextRequest eta SetRequest ez dira atomikoak, mezuaren aldagarri batzuetan (eta ez guztietan) jardun dezakete
● NMS-en artean trafiko jakinarazpenak daude
PDU type request-id 0 0 variable-bindings
SNMPv2
59
SNMPv2: GetBulkRequest● Datu kopuru handia lortzeko trukeak
txikiagotzeko erabiltzen da● PDU:
● Lehenengo N (non-repeaters) aldagarrietarako GetNextRequest PDU kasuan bezalakoa da, ondorengo bat bakarrik itzultzen
● Beste R aldagarrietarako, ondorengo batzuk (M=max-repetitions) itzultzen dira
PDU type request-id non-repeaters max-repetitions variable-bindings
N+R aldagarriakN M
SNMPv2
60
SNMPv2: GetBulkRequest
Adib:
● GetBulkRequest:– [ non-repeaters = 1, max-repetitions = 2 ]– ( sysUpTime, ipNetToMediaPhysAddress, ipNetToMediaType )
● Response:– sysUpTime.0 = "123456"– ipNetToMediaPhysAddress.1.9.2.3.4 = "000010543210"– ipNetToMediaPhysAddress.2.10.0.0.51= "000010012345"– ipNetToMediaType.1.9.2.3.4= "dynamic"– ipNetToMediaType.2.10.0.0.51= "static"
Interface-Number Physical-Address Network-Address Type1 00:00:10:54:32:10 9.2.3.4 dynamic2 00:00:10:01:23:45 10.0.0.51 static3 00:00:10:98:76:54 10.0.0.15 dynamic
SNMPv2
61
SNMPv2: InformRequest● Trap antzekoa baina Manager-etik baieztapena
behar du. Hau jasotzen ez bada, InformRequest berriro bidaltzen da
● Irizpideak:● Trafiko eraginkortasuna eta memoria baliabideak:
Trap● Hartzeko segurtasuna: InformRequest
SNMPv2
http://www.cisco.com/en/US/docs/ios/11_3/feature/guide/snmpinfm.html
62
SNMPv3● SNMPv2-ri buruzko aldaketak:
● Segurtasuna:– Mezuen osotasuna– Konfidentzialtasuna, paketeak enkriptatuz– Autentizitatea– IP Spoofing: UDP IP spoofing-ekiko (jatorri helbidea
aldaketa) ahula da dispositiboak suplantatzeko, eta SNMPv3-k sahiezteko tresnak dauzka
● Framework edo arquitektura berri bat, hedagarria eta SNMPv1 eta SNMPv2-rekin bateragarria
● MIB berriak 1.3.6.1.6 adarrean
SNMPv3
63
SNMPv3: Segurtasuna● Bi segurtasun gaitasun zehazten dira:
● USM (User-based Security Model):– Autentikazio eta konfidentzialtasun (enkriptazio)
funtzioak ematen ditu– Mezu mailan dago
● VACM (View-based Acess Control Model):– Ekintza desberdinak egiteko MIB-eko objetuen
sarbideko baimena finkatzen du– PDU mailan dago
SNMPv3
64
SNMPv3: Arkitektura● "SNMP entitate"aren kontzeptua: kudeatzaile,
agente edo biak bezala izan daiteke, inplementatzen dituen moduluen arabera
● Bi geruzen araberako eskema:● Aplikazio bat edo gehiago: goiko geruzak PDU-ak
sortzen eta jasotzen ditu● Motor bat: beheko geruza:
– Aplikazio eta beheko geruzetako PDU-etarako bitartekoa da: SNMP bertsioa, protokoloak,...
– Segurtasuna kudeatzen du: autentikazioa, enkriptazioa eta sarbidea
SNMPv3
65
SNMPv3: ArkitekturaKudeatzaile bakarrik Kudeatzaile eta Agente
Notification generator
Agente bakarrik
Ap
lik
azio
ak
Command generator Comand responder
Mo
tor
Proxy forwarder
Notification responder
PDU dispatcher
Message dispatcher
Transportmapping (UDP,..)
Message processingsubsystem (v1, v2, v3)
Security subsystem Access subsystem
Dis
pat
c he
r
SNMPv3
66
SNMPv3: Mezu formatua
msgVersion
msgId
msgMaxSize
msgFlags
msgSecurityModel
msgSecurityParameters
contextEngineID
contextName PDU
MsgGlobalData= goiburua
Segurtasun ereduanzehaztuta eta erabilita
MsgData= ScopedPDU
Enkriptazioesparrua
3
SNMPv2-enakerabiltzen dira
SNMPentitate batenidentifikatzaile
unibokoa
Igorleakerabilitako
eredua
Eskaerak etaerantzunak
koordinatzeko
Mezuaren igorleak jasotzen duenmezu neurri handiena (byte-tan)
Segurtasun sistemaksortutak
●Noiz bidali “Report PDU”●Mezua enkriptatuta badagoen●Autentikazioa erabili bada●...
SNMPv3
67
SNMP-rako software● Inplementazio librearen adibidea: Net-SNMP● Komandoak:
● snmpget - > GetRequestadib:snmpget -v1 -c public localhost 1.3.6.1.2.1.1.1
● snmpgetnext, snmpwalk -> GetNextRequest● snmpset -> SetRequest● snmptrap -> Trap
SNMP-rako Software
http://www.net-snmp.org/
http://net-snmp.sourceforge.net/wiki/index.php/FAQ
68
SNMP-rako software● Ubuntu paketeak:
● Agente (snmpd) eta kudeatzaileko (snmp) oinarrizko softwarea
● Lengoaia batzuetarako lotura eta runtime liburutegiak : C, java, php, perl, python, ruby
● Interfazeak: kontsola, kontsola propioa (scli, snimpy), idazmahaiarako applet, bezero grafikoa, web
● Programa espezifikoak: cacti, collectd, FusionInventory, mrtg, munin, nagios, netdisco, netwox, zabbix
● Dispositiboak: AP, Cisco, UPS,● Besteak: scanner, MIBs downloader, trap-en kudeatzaileak,
tresna batzuk
SNMP-rako Software
69
SNMP-rako software
Software Lizentzia GUI Plataformak
tkmib Askea Tk GNU/Linux
SnmpB Askea Qt GNU/Linux, Windows,...
mbrowse Askea Gtk GNU/Linux, Windows,...
iReasoning Privatiboa Java GNU/Linux, Windows,...
MG-SOFT Privatiboa Windows Windows
● MIB browser dohainak
SNMP-rako Software
Recommended