Embed Size (px)
Citation preview
L as actuales redes de teleco-municación se caracterizan
por un constante incremento del nú-mero, complejidad y heterogenei-dad de los recursos que las compo-nen.
Los principales problemas rela-cionados con la expansión de las re-des son la gestión de su correctofuncionamiento día a día y la plani-ficación estratégica de su creci-miento. De hecho, se estima que másdel 70% del coste de una red cor-porativa está relacionado con su ges-tión y operación.
Por ello, la gestión de red inte-grada, como conjunto de activida-des dedicadas al control y vigilan-cia de recursos bajo el mismo sistemade gestión, se ha convertido en unaspecto de enorme importancia enel mundo de las telecomunicacio-nes. En efecto, la gestión de red sesuele centralizar en un centro degestión, donde se controla y vigilael correcto funcionamiento de to-dos los equipos integrados en lasdistintas redes de la empresa encuestión. Para ello, el centro de ges-tión consta de una serie de méto-dos de gestión, de recursos huma-nos y de herramientas de apoyo.
INTRODUCCIÓN A SNMP
El protocolo de gestión de red sim-ple o SNMP (Simple Network Ma-
nagement Protocol), es un protocolode la capa de aplicación que facilitael intercambio de información de ges-tión entre dispositivos de red. Esteprotocolo es parte del conjunto deprotocolos TCP/IP (TransmissionControl Protocol/Internet Proto-col) y, por su amplia utilización en re-des empresariales, es considerado elestándar de facto en detrimentodel protocolo CMIP (Common Ma-nagement Information Protocol)de la familia de protocolos OSI(Open Systems Interconnection), másutilizado en las grandes redes de lasoperadoras de telecomunicación.SNMP permite a los administradores:gestionar el rendimiento, encon-trar y solucionar problemas, y pla-nificar el crecimiento futuro de la red.
Si bien SNMP se diseñó, en unprincipio, con el propósito de hacerposible supervisar de forma senci-lla y resolver problemas, en routersy bridges; con su ampliación, esteprotocolo puede ser utilizado parasupervisar y controlar: routers, swit-ches, bridges, hubs, servidores y es-taciones Windows y Unix, servido-res de terminal, etc.
El protocolo SNMP opera sobrevarios protocolos de transporte, ori-ginalmente y habitualmente sobreUDP (User Datagram Protocol), aun-que actualmente también soporta,OSI CLNS (ConnectionLess Net-work Service), AppleTalk DDP (Da-
tagram-Delivery Protocol), y No-vell IPX (Internet Packet Exchan-ge).
COMPONENTES BÁSICOS DESNMP
Los componentes básicos de unared gestionada con SNMP, son: losagentes, componentes software quese ejecutan en los dispositivos a ges-tionar; y los gestores, componentessoftware que se ejecutan en los sis-temas de gestión de red. Un siste-ma puede operar exclusivamente
SNMPv3 (Simple Network Management Protocol version 3)
Ramón Jesús Millán TejedorIngeniero de Telecomunicación en Ericsson España
●uQué es ...
➔
BIT 139 JUN.-JUL. 452003
como gestor o como agente, o bienpuede desempeñar ambas funcio-nes simultáneamente. Por consi-guiente, el protocolo SNMP tieneuna arquitectura cliente servidordistribuida, como se ilustra en la Fi-gura 1.
La parte servidora de SNMP con-siste en un software SNMP gestor,responsable del sondeo de los agen-tes SNMP para la obtención de in-formación específica y del envío depeticiones a dichos agentes solici-tando la modificación de un deter-minado valor relativo a su configu-ración. Es decir, son los elementosdel sistema de gestión ubicados enla plataforma de gestión centraliza-da de red, que interaccionan con losoperadores humanos y desencade-nan las acciones necesarias para lle-var a cabo las tareas por ellos invo-cadas o programadas.
La parte cliente de SNMP con-siste en un software SNMP agentey una base de datos con informa-ción de gestión o MIB. Los agentesSNMP reciben peticiones y repor-tan información a los gestores SNMPpara la comunidad a la que perte-necen; siendo una comunidad, undominio administrativo de agentesy gestores SNMP. Es decir, son loselementos del sistema de gestiónubicados en cada uno de los dispo-sitivos a gestionar, e invocados porel gestor de la red.
El principio de funcionamientoreside, por consiguiente, en el in-tercambio de información de ges-tión entre nodos gestores y nodosgestionados. Habitualmente, losagentes mantienen en cada dispo-sitivo gestionado información acer-ca de su estado y su configuración.El gestor pide al agente, a través delprotocolo SNMP, que realice deter-minadas operaciones con estos da-tos de gestión, gracias a las cualespodrá conocer el estado del recur-so y podrá influir en su comporta-miento. Cuando se produce alguna
situación anómala en un recursogestionado, los agentes, sin necesi-dad de ser invocados por el gestor,emiten los denominados eventos onotificaciones que son enviados aun gestor para que el sistema degestión pueda actuar en conse-cuencia.
El gestor SNMP puede lanzar cual-quiera de estos tres comandos so-bre un agente SNMP:– Get. Una petición por el valor es-
pecífico de un objeto en la MIBdel agente. Este comando es uti-lizado por el gestor para monito-rizar los dispositivos a gestionar.
– Get-next. Una petición por un va-lor en el siguiente objeto en laMIB del agente. Este comando esutilizado para obtener cada valorsucesivo en un subconjunto o ra-ma de la MIB.
– Set. Utilizado para cambiar el va-lor de un objeto en la MIB de unagente, en el caso de que el ob-jeto tenga habilitada la lectura yescritura de su valor. Debido a lalimitada seguridad de SNMP, lamayoría de los objetos de la MIBsólo tienen acceso de lectura. Es-te comando es utilizado por elgestor para controlar los dispo-sitivos a gestionar.Por otro lado, un agente SNMP
podría también mandar un mensa-je a un gestor SNMP sin el envíoprevio de una solicitud por parte deéste. Este tipo de mensaje es cono-cido como Trap. Los Traps son ge-neralmente enviados para reportar
eventos, como por ejemplo el fallorepentino de una tarjeta del dispo-sitivo gestionado.
El protocolo SNMP debe tener encuenta y ajustar posibles incompa-tibilidades entre los dispositivos agestionar. Los diferentes ordena-dores utilizan distintas técnicas derepresentación de los datos, lo cualpuede comprometer la habilidad deSNMP para intercambiar informa-ción entre los dispositivos a gestio-nar. Para evitar este problema, SNMPutiliza un subconjunto de ASN.1(Abstract Syntax Notation One) enla comunicación entre los diversossistemas.
La principal ventaja de SNMP pa-ra los programadores de herra-mientas de gestión de red, es su sen-cillez frente a la complejidad inherentea CMIP. De cara al usuario de di-chas herramientas, CMIP resuelvela mayor parte de las muchas limi-taciones de SNMP, pero por contra,consume mayores recursos (alre-dedor de 10 veces más que SNMP),por lo cual es poco utilizado en lasredes de telecomunicación empre-sariales.
Puesto que la consulta sistemáti-ca de los gestores, es más habitualque la emisión espontánea de da-tos por parte de los agentes cuan-do surgen problemas, SNMP es unprotocolo que consume un consi-derable ancho de banda, lo cual li-mita su utilización en entornos dered muy extendidos. Esto es unadesventaja de SNMP respecto a
Figura 1: Esquema de una red gestionada con SNMP.
●uQué es ...
BIT 139 JUN.-JUL.46
2003
CMIP, que puesto que trabaja enmodo conectado en vez de mediantesondeo secuencial, permite optimi-zar el tráfico. SNMP, en su versiónoriginal, tampoco permite transfe-rir eficientemente grandes cantida-des de datos.
No obstante, la limitación más im-portante de SNMP es que carece deautentificación, lo cual supone unaalta vulnerabilidad a varias cues-tiones de seguridad, como por ejem-plo: modificación de información,alteración de la secuencia de men-sajes, enmascaramiento de la enti-dad emisora, etc. En su versión ori-ginal, cada gestor y agente esconfigurado con un nombre de co-munidad, que es una cadena de tex-to plano. Los nombres de comuni-dad, enviados junto a cada comandolanzado por el gestor, sirven comoun débil mecanismo de autentifica-ción, ya que puesto que el mensajeno está cifrado, es muy sencillo queun intruso determine cual es dichonombre capturando los mensajesenviados a través de la red. Cuan-do un agente SNMP captura una pe-tición SNMP, primero compruebaque la petición que le llega es parala comunidad a la cual pertenece.Solamente en el caso de que el agen-te pertenezca a dicha comunidad, obien consulta en la MIB el valor delobjeto solicitado y envía una res-puesta al gestor SNMP con dichovalor en el caso de un comando Get,o bien cambia el valor en el caso deun comando Set. CMIP, por traba-jar en modo conectado, ofrece unamayor seguridad que SNMP.
Finalmente señalar que, como he-mos visto, SNMP sólo define el pro-tocolo para el intercambio de in-formación de gestión entre el gestory el agente y el formato para repre-sentar la información de gestión oMIB. Por ello, para facilitar la ges-tión de red, es conveniente adqui-rir un gestor de red gráfico multi-fabricante basado en SNMP, utilizando
plataformas comerciales como: Open-View de Hewlett Packard (que es elproducto más representativo conmás de un 40% de cuota de merca-do), SunNet de Sun Microsystems,NetView de IBM, etc. Muchas ve-ces, estas plataformas multifrabri-cante, suelen convivir con otras pla-taformas de gestión de redmonofabricante, con el fin de apro-vechar al máximo los desarrollospropios y particulares de cada pro-veedor.
LA MIB
Una MIB (Management Infor-mation Base) es una base de datosjerárquica de objetos y sus valores,almacenados en un agente SNMP.En la Figura 2, se ilustra la estruc-tura en árbol de la MIB.
Cada MIB individual es un su-bárbol de la estructura total de MIBdefinida por la ISO (InternationalStandards Organization). La RFC1156, llamada MIB-I, especifica cier-tas informaciones de primer nivel.La RFC 1158, llamada MIB-II, es másexhaustiva. Sin embargo, como es-tas especificaciones no permitendescribir, con la precisión requeri-da, todo tipo de agentes, los fabri-cantes de hardware y programa-dores de software están desarrollandoMIB propietarias. De esta forma,una organización puede tener au-
toridad sobre los objetos y ramasde una MIB.
Generalmente, los objetos de laMIB son referenciados por un iden-tificador. Por ejemplo, el objeto In-ternet, se referencia por 1.3.6.1, obien iso-ccitt.identified-organiza-tion.dod.internet.
MEJORAS DE SNMPV3
Existen tres versiones de SNMP:SNMP versión 1 (SNMPv1), SNMPversión 2 (SNMPv2) y SNMP versión3 (SNMPv3). SNMPv1 constituye laprimera definición e implementa-ción del protocolo SNMP, estandodescrito en las RFC 1155, 1157 y 1212del IETF (Internet Engineering TaskForce). El vertiginoso crecimientode SNMP desde su aparición en 1988,puso pronto en evidencia sus debili-dades, principalmente su imposibi-lidad de especificar de una forma sen-cilla la transferencia de grandesbloques de datos y la ausencia de me-canismos de seguridad; debilidadesque tratarían de ser subsanadas enlas posteriores definiciones del pro-tocolo.
SNMPv2 apareció en 1993, es-tando definido en las RFC 1441-1452.SNMPv1 y SNMPv2 tienen muchascaracterísticas en común, siendo laprincipal mejora la introducción detres nuevas operaciones de proto-colo: GetBulk para que el gestor re-
Figura 2: Estructura en árbol de la MIB.
➔
BIT 139 JUN.-JUL. 472003
cupere de una forma eficiente gran-des bloques de datos, tales como lascolumnas de una tabla; Inform pa-ra que un agente envíe informaciónespontánea al gestor y reciba unaconfirmación; y Report para que elagente envíe de forma espontáneaexcepciones y errores de protoco-lo. SNMPv2 también incorpora unconjunto mayor de códigos de errory más colecciones de datos. En 1995apareció una revisión de SNMPv2,denominada SNMPv2c y descritaen las RFC 1901-1910, añadiendocomo mejoras una configuraciónmás sencilla y una mayor modula-ridad; pero manteniendo el senci-llo e inseguro mecanismo de au-tentificación de SNMPv1 y SNMPv2basado en la correspondencia deldenominado nombre de comuni-dad.
La nueva y última versión de SNMP,SNMPv3, refuerza las prestacionesde seguridad, incluyendo autentifi-cación, privacidad y control de ac-ceso; y de administración de proto-colo, con una mayor modularidady la posibilidad de configuración re-mota. SNMPv3 apareció en 1997, es-tando descrito en las RFC 1902-1908y 2271-2275. Cabe destacar queSNMPv3 no se trata de un estándarque reemplaza a SNMPv1 y/oSNMPv2, sino que define una seriede capacidades adicionales de se-
guridad y administración a ser uti-lizadas en conjunción con SNMPv2(preferiblemente) o SNMPv1. Estasmejoras harán que SNMP se cons-tituya en un protocolo de gestiónsusceptible de ser utilizado con al-tas prestaciones en todo tipo de re-des, desplazando a medio plazo aCMIP como estándar de gestión delas grandes redes de las operado-ras de telecomunicación.
El modelo de seguridad basadoen usuario o USM (User-Based Se-curity Model) proporciona los ser-vicios de autentificación y privaci-dad en SNMPv3. El mecanismo deautentificación en USM asegura queun mensaje recibido fue, de hecho,trasmitido por la entidad indicadaen el campo correspondiente a lafuente en la cabecera del mensaje;y además, que el mensaje no fue al-terado durante su tránsito y que nofue artificialmente retardado o re-petido. Para conseguir la autentifi-cación, el gestor y el agente que de-sean comunicarse deben compartirla misma clave de autentificaciónsecreta configurada previamentefuera de SNMPv3 (no es almacena-da en la MIB y no es accesible me-diante SNMP). El protocolo de au-tentificación utilizado puede ser elHMAC-MD5-96 o el HMAC-SHA-96. Para asegurarse de que los men-sajes llegan dentro de una ventana
temporal razonable que descarte elposible retardo de mensajes y el ata-que mediante mensajes repetidos,se utilizan mecanismos de sincro-nización entre emisor y receptor yel chequeo de la ventana temporalconstituida por el momento de emi-sión del mensaje y su momento derecepción. Por otro lado, la facili-dad de privacidad de USM posibi-lita a los gestores y a los agentes en-criptar mensajes para prevenir quesean analizados por intrusos. Denuevo, el gestor y el agente debencompartir una clave secreta confi-gurada previamente. El algoritmode encriptación utilizado es el CBC(Cipher Block Chaining) de DES(Data Encryption Standard), cono-cido también por DES-56.
El modelo de control de accesobasado en vistas o VCAM (Views-Based Access Control Model) per-mite proporcionar diferentes nive-les de acceso a las MIB de los agentespara los distintos gestores en SNMPv3.Un agente puede, de este modo, res-tringir el acceso de ciertos gestoresa parte de su MIB o bien limitar lasoperaciones susceptibles de reali-zar por ciertos gestores sobre unaparte de su MIB. La política de con-trol de acceso a ser utilizada por elagente para cada gestor debe estarconfigurada previamente; consis-tiendo básicamente en una tabla quedetalla los privilegios de acceso pa-ra los distintos gestores autoriza-dos. Mientras que la autentificaciónes realizada por usuario, el controlde acceso es realizado por grupos,donde un grupo podría ser un con-junto de usuarios.
Finalmente, y para los lectoresque deseen conocer conocer en másprofundidad este importante pro-tocolo de gestión de red, se reco-mienda la dirección de Internethttp://www.snmplink.org/; que ofrecegratuitamente una gran cantidad deinformación y utilidades relaciona-das con SNMPv3.
●uQué es ...
BIT 139 JUN.-JUL.48
2003
