gerencia de redes - parte 2
Post on 19-Feb-2018
223 Views
Preview:
TRANSCRIPT
-
7/23/2019 Gerencia de Redes - Parte 2
1/26
1
Parte II
SNMP
SNMP
O SNMP (Simple Network Management Protocol) umprotocolo de gerencia de redes cujo objetivo disponibilizar uma forma simples e prtica de realizar ocontrole dos equipamentos de uma rede decomputadores.
Definido em nvel de aplicao, O SNMP utiliza osservios do protocolo de transporte UDP (UserDatagram Protocol) para enviar suas mensagensatravs da rede.
SNMP Protocolo de Gerenciamento
-
7/23/2019 Gerencia de Redes - Parte 2
2/26
2
SNMP Nos ltimos anos o SNMP tem dominado o mercado de
sistemas de gerenciamento de redes devido,principalmente, a sua simplicidade de implementao,pois consome poucos recursos de redes e deprocessamento, o que permite a sua incluso emequipamentos bastante simples.
O SNMP ajuda o administrador a localizar e corrigirerros ou problemas de uma rede.
Atravs de agentes SNMP, o administrador da redeconsegue visualizar estatsticas de trfego da rede eaps analisar esses dados o administrador pode atuarna rede, alterando a sua configurao.
SNMP O SNMP foi desenvolvido no final dos anos 80 por um
grupo da Internet Engineering Task Force (IETF) e tevesua origem em um protocolo para monitorao degateways IP, o Simple Gateway Management Protocol(SGMP).
O modelo SNMP possui uma abordagem genrica,podendo ser utilizado para gerenciar diferentes tipos desistemas. Sua especificao est contida no RFC 1157. 1989: SNMP v1 1992: Remote Monitoring RMON 1993: SNMP v2 1996: SNMP v2c (Community Security) 1996: MIB RMON v2 1998: SNMP v3 (User Security Model)
SNMP Estrutura Geral do Sistema e Funcionamento
O modelo de gerenciamento consiste em umesquema centralizado, isto , uma estao (host) configurada como gerente e os demais elementos darede desempenham o papel de agentes.
Um agente serve de procurador para aquelesequipamentos que no implementam o SNMP. Cadaagente possui uma MIB que contm as variveisrelativas aos objetos gerenciados.
-
7/23/2019 Gerencia de Redes - Parte 2
3/26
3
Estrutura Geral do Sistema eFuncionamento
O modelo genrico compreende trs componentes: um conjunto de objetos gerenciados,
correspondente a um agente e uma MIBassociada;
uma estao de gerenciamento de rede; um protocolo de gerenciamento de rede que
usado pela estao gerente e pelos agentes natroca de informaes de gerenciamento
Estrutura Geral do Sistema e Funcionamento
AgenteSNMP
Gerente
MIB
MIB
Agente
Legenda:
- Objeto Gerenciado
MIB - Management Information Base
SNMP- Simple Network Management Protocol
Processo de Comunicao:
N Gerenciado
MIB
Estao de Gerenciamento
GERENTE AGENTEPROTOCOLODEGERNCIA
Requisies
Respostas
-
7/23/2019 Gerencia de Redes - Parte 2
4/26
4
SNMP
Gerente SNMP Requisita informaes dos recursos gerenciados Analisa estas informaes para deteco de diagnstico
Agente SNMP Prover ao gerente informaes sobre os recursos
gerenciados
SNMP
Protocolo SNMP Utiliza o protocolo UDP para a comunicao Fornece operaes a serem executadas sobre os objetos
gerenciados Verses
SNMPv1 SNMPv2 SNMPv3
Monitorao da Rede A monitorao consiste na observao de
informaes relevantes ao gerenciamento.Estas informaes podem ser classificadas emtrs categorias: Esttica: caracteriza a configurao atual e os
elementos na atual configurao, tais como o nmeroe identificao de portas em um roteador;
Dinmica: relacionada com os eventos na rede, taiscomo a transmisso de um pacote na rede;
Estatstica: pode ser derivada de informaesdinmicas; por exemplo, mdia de pacotestransmitidos por unidade de tempo em umdeterminado sistema.
-
7/23/2019 Gerencia de Redes - Parte 2
5/26
5
Monitorao da Rede
A informao de gerenciamento coletada earmazenada por agentes e repassada para um ou maisgerentes.
Duas tcnicas podem ser util izadas na comunicaoentre agentes e gerentes:pollinge event-reporting.
A tcnica de pollingconsiste em uma interao do tiporequest/response entre um gerente e um agente. Ogerente pode solicitar a um agente (com o qual eleesteja autorizado a se comunicar) o envio de valores dediversos elementos de informao. O agente respondecom os valores constantes em sua MIB.
Monitorao da Rede
Na tcnica de event-reporting, a iniciativa doagente.
O gerente fica na escuta, esperando pelachegada de informaes.
Um agente pode gerar um relatrioperiodicamente para fornecer ao gerente o seuestado atual.
A periodicidade do relatrio pode ser configuradapreviamente pelo gerente. Um agente tambm podeenviar um relatrio quando ocorre um eventosignificativo ou no usual.
Monitorao da RedeDuas formas de transportar informaes da MIB:
comandos e eventos
agent data
Managed device
managing
entity
resposta
agent data
Managed device
managing
entity
trap msgpedido
Modo comando/resposta Modo evento
entidadegerenciadora
entidadegerenciadora
agente agente
elemento gerenciado elemento gerenciado
-
7/23/2019 Gerencia de Redes - Parte 2
6/26
6
Monitorao de Rede
Tanto o polling quanto o event-reportingso usados nos
sistemas de gerenciamento, porm a nfase dada acada um dos mtodos difere muito entre os sistemas.
Em sistemas de gerenciamento de redes detelecomunicaes, a nfase maior dada para o mtodode relatrio de evento. Em contraste, o modelo SNMPd pouca importncia ao relatrio de evento. O modeloOSI fica entre estes dois extremos.
Monitorao de Rede A escolha da nfase depende de um nmero de fatores,
incluindo os seguintes: a quantidade de trfego gerada por cada mtodo; robustez em situaes crticas; o tempo entre a ocorrncia do evento e a notificao
ao gerente; a quantidade de processamento nos equipamentos
gerenciados; a problemtica referente transferncia confivel
versus transferncia no confivel; as aplicaes de monitorao de rede suportadas; as consideraes referentes ao caso em que um
equipamento falhe antes de enviar um relatrio.
Controle de Rede Esta parte do gerenciamento de rede diz respeito
modificao de parmetros e execuo de aes emum sistema remoto. Todas as cinco reas funcionais degerenciamento (falhas, desempenho, contabilizao,configurao e segurana), envolvem monitorao econtrole. Tradicionalmente, no entanto, a nfase dastrs primeiras destas reas tem sido na monitorao,enquanto que, nas duas ltimas, o controle tem sidomais enfatizado. Alguns aspectos de controle nagerncia de configurao e de segurana soapresentados a seguir.
-
7/23/2019 Gerencia de Redes - Parte 2
7/26
7
Controle de Rede
O controle de configurao inclui as seguintes
funes: definio da informao de configurao - recursos e
atributos dos recursos sujeitos ao gerenciamento; atribuio e modificao de valores de atributos; definio e modificao de relacionamentos entre
recursos ou componentes da rede; inicializao e terminao de operaes de rede; distribuio de software; exame de valores e relacionamentos; relatrios de status de configurao.
Controle de Rede
O controle de segurana relativo segurana dosrecursos sob gerenciamento, incluindo o prprio sistemade gerenciamento. Os principais objetivos em termos desegurana, so relativos confidencialidade, integridadee disponibilidade. As principais ameaas seguranareferem-se interrupo, interceptao, modificao emascaramento.
As funes de gerenciamento de segurana podem seragrupadasem trs categorias: manuteno da informao de segurana; controle de acesso aos recursos; controle do processo de criptografia.
MIB (Management Information Base) Antes de definir o que uma MIB, introduziremos o
conceito de objetos gerenciados. Um objeto gerenciado a viso abstrata de um recurso
real do sistema. Assim, todos os recursos da rede quedevem ser gerenciados so modelados, e as estruturasdos dados resultantes so os objetos gerenciados. Osobjetos gerenciados podem ter permisses para seremlidos ou alterados, sendo que cada leitura representaro estado real do recurso e, cada alterao tambm serrefletida no prprio recurso.
Dessa forma, a MIB o conjunto dos objetosgerenciados, que procura abranger todas asinformaes necessrias para a gerncia da rede.
-
7/23/2019 Gerencia de Redes - Parte 2
8/26
8
MIB (Management Information Base)
Funes da MIB Falha; Configurao; Desempenho; Segurana; Contabilizao;
MIB (Management Information Base)
As informaes que se encontram nos nodosagentes ficam organizadas em bases deinformaes de gerncia chamadasManagement Information Base (MIB) que sodefinidas em uma estrutura chamada Structureof Management Information SMI.A. SMIespecifica como as informaes de gernciasero agrupadas e denominadas, definindo ostipos de dados e sintaxe utilizada na MIB deforma a evitar a dependncia dos detalhes deimplementao dos equipamentos utilizados emrede.
MIB (Management Information Base) A MIB pode ser definida como um conjunto
gerencivel de recursos em determinado nodo. Ela formada por uma estrutura de rvore dividida portipos de informao e contm as caractersticas decada recurso que possam interessar a gerncia.
-
7/23/2019 Gerencia de Redes - Parte 2
9/26
9
MIB (Management Information Base)A estrutura hierrquica das variveis de gerncia
MIB (Management Information Base)
Na MIB, os objetos gerenciados sorepresentados por variveis que esto dispostasem uma estrutura hierrquica (rvore), onde asfolhas definem a informao e os ns definem aestrutura.
A MIB no contm os dados reais, apenas osorganiza de forma adequada. Ela no guardavalores de instncia, desta forma quando umgerente requisita uma instncia, cabe ao agenterealizar a consulta ao nodo e transmitir o valorcorrespondente.
MIB (Management Information Base) A identificao e a forma de representao dos objetos
contidos na MIB so definidos na linguagem abstrataAbstract Syntax Notation One ASN.1, desenvolvidapelo rgo International Telecommunication Union (ITU).Ela se caracteriza por representar as informaes semlevar em considerao as estruturas e restries dosequipamentos utilizados no sistema. Dessa maneira alinguagem ASN.1 tem como objetivo fornecer uma formade representao genrica para a definio do formatodas PDU trocadas pelo protocolo e dos objetos que sogerenciados.
-
7/23/2019 Gerencia de Redes - Parte 2
10/26
10
MIB (Management Information Base)
A identificao do objeto referida por Object Identifier -OID e uma vez que o objeto registrado com umdeterminado OID ele no poder ser eliminado nem suadefinio alterada.
A MIB pode ter 3 classicaes possveis: MIB Padro: Possui um conjunto de objetos bem definidos,
conhecidos e aceitos pelos grupos e padres Internet; MIB Experimental: Estas MIBs podem conter informaes
especficas sobre outros elementos da rede e gerenciamento dedispositivos que so considerados importantes. Este termoexperimental como se fosse um ensaio para a MIB se tornarpadro;
MIB Privada: So projetadas por empresas individuaisexclusivamente para seus dispositivos de rede.
MIB (Management Information Base)
Estrutura Hierrquica da MIB
Exemplo de MIB : mdulo UDPObject ID Nome Tipo Comentrios
1.3.6.1.2.1.7.1 UDPInDatagrams Counter32 nmero total de datagramasentregues neste n
1.3.6.1.2.1.7.2 UDPNoPorts Counter32 nmero de datagramas
com app destino inexistente
1.3.6.1.2.1.7.3 UDPInErrors Counter32 nmero de datagramas noentregues por outras razes
1.3.6.1.2.1.7.4 UDPOutDatagrams Counter32 nmero de datagramasenviados
1.3.6.1.2.1.7.5 udpTable SEQUENCE uma linha para cada porta emnuso por uma aplicao, forneceo nmero da porta e oendereo IP
-
7/23/2019 Gerencia de Redes - Parte 2
11/26
11
Nomeao de Objetos
Questo:Como nomear cada possvel objetopadro (protocolos, dados, outros..) em cadapossvel padro de rede??
Resposta:ISO Object Identifier tree:
nomeao hierrquica de todos os objetos cada ramificao tem um nome e um nmero
1.3.6.1.2.1.7.1
ISOISO-ident. Org.
US DoDInternet
udpInDatagramsUDPMIB2management
Protocolo SNMP: tipos demensagens
GetRequestGetNextRequestGetBulkRequest
Manager-to-agent: me envie dados(instncia,prximo na lista, bloco)
Tipo de Mensagem Funo
InformRequest Manager-to-Manager: eis o valor da MIB
SetRequest Manager-to-agent: define valor da MIB
Response Agent-to-manager: valor, resposta ao pedido
Trap Agent-to-manager: informagerenciador de evento excepcional
SNMP / Operaes do SNMP Get; Utilizada para ler o valor de uma varivel; o
gerente solicita que o agente obtenha o valorda varivel;
Set; Utilizada para alterar o valor da varivel; o
gerente solicita que o agente faa umaalterao no valor de uma varivel;
Trap; Utilizada para comunicar um evento; o agente
comunica ao gerente o acontecimento de umevento previamente determinado.
-
7/23/2019 Gerencia de Redes - Parte 2
12/26
12
Protocolo SNMP: formatos demensagens
Cabea lho Get /Set Variveis para Operaes
Cabealho do Trap Informao do Trap
Formato do Protocolo SNMP
ASN.1: Abstract Syntax Notation
1 Padro ISO X.208
usado extensivamente na Internet como comer verduras: saber isto bom para voc!
Tipos de dados definidos, construtores de objetos como SMI
BER: Basic Encoding Rules especifica como os dados definidos em ASN.1 devem ser
transmitidos cada objeto transmitido tem codificao Type, Length, Value
(TLV) - Tipo, Tamanho, Valor
-
7/23/2019 Gerencia de Redes - Parte 2
13/26
13
Transmisso de uma Mensagem SNMP
Uma entidade SNMP realiza as seguintes aes paratransmitir um de cinco tipos de PDU para outraentidade SNMP:a) O PDU construdo usando a estrutura ANS.1, def inida no
RFC 1157b) Este PDU ento passado para um servio de autenticao,
junto com o endereo de origem e destino e o nome dacomunidade. O servio de autent icao realiza qualquertransformao para esta troca, assim como criptografia ou aincluso de um cdigo de autenticao e retorna o resultado.
c) A entidade do protocolo ento constri a mensagem,consistindo de um campo verso, nome da comunidade, e oresultado do passo b.
Transmisso de uma Mensagem SNMP
A leitura realizada atravs do transporte de variveisinformadas pelo agente tendo como resposta os respectivosvalores destas variveis. A escrita envia uma lista devariveis informando os novos valores a serem adotados porestas mesmas variveis.
Dispositivos diferentes contm informaes diferentes, almdisso, o conjunto de variveis (MIB) a ser adotado por umagente pode ser expandido ou alterado pelo administrador.Dessa forma realizada uma operao transversal (get-next)implementada pelo protocolo SNMP para informar o prximo
valor contido na base de informaes, sendo que o gerenteidentifica o final da MIB atravs do retorno de um valorinvlido. Para entender as regras da verso 1 do SNMP, asoperaes de gerenciamento devero implementar processospara execuo das requisies: GetRequest, SetRequest eGetNextRequest PDUs (Protocolo de Unidade de Dados).
Codificao TLVIdia: os dados transmitidos so auto-identificveis
T: tipo de dados, um dos tipos definidos em ASN.1 L: tamanho dos dados em bytes
V: valor do dados, codificado de acordo com as regras doASN.1
1234569
BooleanoInteiroCadeia de bitsCadeia de octetoNuloIdentificador de ObjetoReal
Valor do Tag Tipo
-
7/23/2019 Gerencia de Redes - Parte 2
14/26
14
Codificao TLVexemplo
Valor, 5 octetos (caracteres)Tamanho, 5 bytes
Tipo=4, cadeia de octetos
Valor, 259Tamanho, 2 bytes
Tipo=2, inteiro
Mdulo de declaraes
de tipo de dados escritas
em ASN.1
Instncias de tipo de
dados especificadas
no mdulo
cadeia de bytes
transmitidos
PDUs do SNMP As Protocol Data Units (PDUs) do protocolo SNMP verso1 so
brevemente descritas a seguir:
PDU GET. Serve para o gerente enviar a um agente um pedidode leitura de uma varivel de gerncia. A PDU contm o ObjectIdentifier (OID) da instncia a ser lida.
PDU RESPONSE. O agente responde s PDUs GET, GET-NEXT e SET com uma resposta contida numa PDU deste t ipo.
PDU SET. Serve para o gerente enviar a uma gente um pedidode alterao de uma varivel de gerncia.
PDU GET-NEXT. Em alguns casos, a PDU GET no pode ser usadapar ler uma varivel de gerncia, porque o OID no conhecido.Imagine, por exemplo, ler informao da tabela de interfaces ifTablediscutida anteriormente. Como o gerente no sabe os valores da chaveifIndex que correspondem a cada interface de rede, ele obrigado ausar a PDU GET-NEXT que permite varrer a tabela seqencialmentesem saber os OIDs exatos contidas nela.
PDU TRAP. Esta PDU usada pelo agente para informar eventosextraordinrios ao gerente.
SNMP Caractersticas
Protocolo do tipo Request-Response, no-orientado conexo Utilizao do UDP
Operaes atmicas Se o gerente enviar um pedido de leitura dos valores de uma
lista de objetos e um dos objetos no puder ser lido, no serdevolvido o valor de nenhum dos objetos
Gerenciamento Centralizado Define apenas operaes entre gerente e agentes No so definidas primitivas de comunicao entre gerentes
-
7/23/2019 Gerencia de Redes - Parte 2
15/26
15
SNMP Caractersticas (2)
Mecanismo bsico: Polling Para obter informaes
de recursos gerenciados,o gerente deveperiodicamente requisitaro valor dos objetos daMIB e, baseado nestesvalores, decidir se odispositivo est operandonormalmente
SNMP Operaes de Protocolo
Segurana no Protocolo SNMP O protocolo SNMP pode realizar operaes de reconfigurao na
rede alterando caractersticas de equipamentos ou at desligandomquinas, sendo que no existe qualquer mecanismo de seguranaaplicado ao contedo das mensagens.
O controle feito atravs da verificao do contedo de um campoespecial no pacote do SNMP denominada comunidade(community).
A comunidade definida como sendo o relacionamento entre duasentidades do SNMP.
Ela definida como um conjunto de bytes formando caracteresASCII que sero utilizados para efetuar este relacionamento.
Dessa forma, quando realizada a comunicao entre duasentidades do SNMP, a entidade destinatria da mensagem realiza averificao do contedo da comunidade para averiguar se estainformao proveniente do remetente indicado.
-
7/23/2019 Gerencia de Redes - Parte 2
16/26
16
SNMP Agent: Community Names
SNMP Agent: Community Names
Atravs da comunidade possvel que o agente realizeuma verificao da integridade do agente realizandoautenticao e polticas de acesso (agente controla quediferentes gerentes podem obter diferentes variveis daMIB) atravs deste campo. O mais importante noentendimento de comunidade, que sem oconhecimento prvio da comunidade de um determinadoequipamento gerencivel, ser impossvel a qualqueraplicao de gerncia acessar as informaes da MIB.
Outra considerao importante que um equipamentopode ter mais de uma comunidade configurada, comouma com direitos de leitura, escrita e trap. Portanto, ummesmo equipamento poder contar com trs strings decomunidade diferentes. Isto tem o objetivo de seaumentar a segurana no acesso aos equipamentos.
Segurana do SNMP No exemplo, o arquivo snmpd.conf onde se pode configurar o
acesso que se quer fornecer s estaes gerente quando realizama requisio SNMP. Pode-se limitar o acesso com read-only e read-write. Com esse tipo de autenticao, o acesso a MIB se tornapouco seguro, devido principalmente a: Identificao da origem: a comunidade transmitida sem qualquer
proteo Integridade da mensagem: ao ser interceptada a mensagem no
garante qualquer proteo referente ao contedo Tempo-limite: perodo de tempo que a mensagem pode ficar presa por
algum servio Privacidade: qualquer servio pode monitorar uma comunicao entre
entidades SNMP Autorizao: no h controle de autorizao de acesso aos dados da
MIB
-
7/23/2019 Gerencia de Redes - Parte 2
17/26
17
SNMP - Segurana
A poltica de acesso SNMP baseada na
definio de: Comunidade SNMP: define a relao existente entreum agente e um conjunto de gerentes. Cadacomunidade deve possuir um nome, que deve serfornecido em todas as operaes de get and set.
Perfil da Comunidade: associa comunidade: Viso da MIB: corresponde a um subconjunto da MIB
que pode ser acessada pela comunidade (dificilmenteimplementada)
Modo de Acesso: especifica o modo de acesso (read-only ou read-write) permitido.
SNMP Segurana (2)
Poltica de Acesso SNMP
Exemplo 1 roteador do fabricante XXX
Comunidades suportadas: 2 Comunidade 1: public
Permisso de acesso: qualquer gerente MIB View: todas as variveis Modo de Acesso: RO (Read-Only)
Comunidade 1: private Permisso de acesso: qualquer gerente MIB View: todas as variveis Modo de Acesso: RW (Read-Write)
-
7/23/2019 Gerencia de Redes - Parte 2
18/26
18
Poltica de Acesso SNMPExemplo 2
switch do fabricante YYY Comunidades suportadas: 2 Comunidade 1: public
Permisso de acesso: qualquer gerente MIB View: estatsticas das interfaces Modo de Acesso: RO (Read-Only)
Comunidade 1: private Permisso de acesso: g1 (ip: 10.0.2.4), g2 (ip: 10.1.4.9) MIB View: todas as variveis Modo de Acesso: RW (Read-Write)
SNMPv1 - Limitaes
Inadequado para redes muito grandes devido aoproblema de desempenho decorrente da utilizaodo mecanismo de polling (operaes de get e set).
Inadequado para transferir grande volume dedados.
Baixa confiabilidade dos traps: inexistncia dereconhecimento e operao sobre o UDP.
Segurana a nvel bsico (mecanismo deautenticao).
Inexistncia de suporte comunicao gerente-gerente.
SNMPv2
Alteraes para resolver problemas SNMPv1 Gerenciamento Distribudo Transporte de dados mais eficiente
O que foi alterado ? Novos objetos MIB para comunicao gerente-
gerente. Novas operaes
Inform Request comunicao gerente-gerente Get Bulk Request GetNext mais eficiente
Alterao nome/formato operaes existentes
-
7/23/2019 Gerencia de Redes - Parte 2
19/26
19
SNMPv2 Operaes doProtocolo (1)
SNMPv2 Operaes doProtocolo (2)
SNMPv1 X SNMPv2
SNMPv1 Gerenciamento
Centralizado. MIB agente-gerente
Protocolo No-Orientado Conexo. Operaes entre agente e
gerente UDP
Segurana Autenticao - Comunidade
SNMPv2 Gerenciamento Distribudo. MIBs:
agente-gerente. gerente-gerente.
Protocolo No-Orientado Conexo. Operaes agente-gerente
e gerente-gerente UDP
Segurana Autenticao - Comunidade
-
7/23/2019 Gerencia de Redes - Parte 2
20/26
20
Ataques Detectveis em SNMPv2
IP Spoofing; DoS e DDos; Port Scan; Cavalos de Tria; Backdoor
SNMPv3 - Objetivos
Aumentar segurana e controle de acesso paraoperaes
Definio de uma nova arquitetura para Facilitar a integrao das diferentes verses do SNMP Facilitar a evoluo de alguns mecanismos do SNMP sem exigir
novas verses do SNMP Facilitar a integrao de novos mecanismos ao SNMP
Manter o SNMP simples Reutilizar especificaes existentes sempre que
possvel
SNMPv3 Caractersticas (1)
Incorporao de mecanismos de segurana View-Based Access Control Model User-Based Security Model
Definio da organizao interna do agente/gerenteSNMP
Permite a definio de novos mecanismos sem exigir umanova arquitetura
-
7/23/2019 Gerencia de Redes - Parte 2
21/26
21
SNMPv3 Caractersticas (2)
No so definidos uma nova SMI, MIB ou novasoperaes para os protocolos de gerenciamento Utiliza SMIv1 ou, preferencialmente, a SMIv2 Utiliza MIB-II Utiliza operaes do SNMPv2 (norma reescrita para
compatibilidade com nomenclatura do v3)
Nova MIB para funcionalidades adicionais doSNMPv3 Configurao remota de parmetros de segurana Configurao de Proxy Entre outros
Nomenclatura SNMPv3 (1)
SNMP Entity (Entidade) Agente (tradicional ou proxy) ou Gerente (tradicional
ou intermedirio) Funcionalidades dependente das Aplicaes SNMP
da Entidade
SNMP Applications (Aplicao) Aplicaes para a construo de agentes e gerentes
Ex.: Command Generator, Command Responder Notification Originator, Notification Receiver Proxy Forwarder
Nomenclatura SNMPv3 (2)
SNMP Engine (Motor) Responsvel pelo processamento das Mensagens Subsistemas para Segurana, Controle de Acesso,
mapeamento da mensagem entre diversas camadasde transporte e das diferentes verses SNMP
Context Em agentes proxy gerenciando diversos elementos,
cada elemento identificado por um contexto
-
7/23/2019 Gerencia de Redes - Parte 2
22/26
22
Gerente em SNMPv3
Agente em SNMPv3
User Security Model (USM)
Projetado para proteger a mensagem contra Modificao de informaes Identidade forjada (Masquerading) Modificao da seqncia de mensagens (Replay
Attack) Leitura de contedo
No protege agente contra Denial of Service (ataques DoS ou DDoS) Criptanlise
-
7/23/2019 Gerencia de Redes - Parte 2
23/26
23
USM - Caractersticas
Diferentes nveis de segurana para a
mensagem SNMPv3 Com autenticao e privacidade Com autenticao e sem privacidade Sem autenticao e privacidade
Baseia-se em mecanismos de seguranadesenvolvidos para o IPSec (padro de VPNpara redes IP)
USM Autenticao eCriptografia
USM Outros mecanismos de Segurana
Timeliness Sincronizao de relgios (loose synchronization) Proteo contra atrasos e replay attacks
Gerenciamento de chaves 2 chaves: para autenticao e privacidade Seqncia de chaves geradas a partir da senha do
usurio Para cada agente utilizado 1 par de chaves
Mecanismo para troca de chaves Entidades SNMP trocam periodicamente as chaves Protocolo IKE (Internet Key Exchange)
-
7/23/2019 Gerencia de Redes - Parte 2
24/26
24
View-Based Access Control Module - VACM
Objetivos do VACM Determinar se um usurio remoto pode acessar um objeto
da MIB
Como feito o controle de acesso ? Baseia deciso em uma tabela de controle de acesso Tabela pode ser configurada remotamente, via SNMP
VACM Elementos de Controle
Access Control Tables
-
7/23/2019 Gerencia de Redes - Parte 2
25/26
25
Consideraes Finais SNMPv3
Novas implementaes de agentes devem usarSNMPv3 (padro desde dez-02) Melhorias
Melhor modularidade da arquitetura Elementos da arquitetura melhor especificados Mecanismos de segurana
Porm ainda h (e haver) muitos dispositivos SNMPv1
Arquitetura SNMP
Protocolo SNMPv3 Caractersticas do Protocolo 7 Primitivas (5 primitivas para SNMPv1)
Gerenciamento Centralizado (v1) e/ou Distribudo(v2 / v3)
Segurana baseada em comunidade (v1) ou commecanismos adicionais (USM / VACM do v3)
Gerenciamento de Segurana (1)
Objetivos: gerenciar os mecanismos e procedimentos que
proporcionam a proteo aos recursos da rede; manter e manipular registros de segurana; garantir a manuteno da poltica de segurana
estabelecida.
-
7/23/2019 Gerencia de Redes - Parte 2
26/26
Gerenciamento de Segurana (2)
Gerenciar as facilidades, os servios e os mecanismosde segurana, de modo a proteger os recursossegurana, de modo a proteger os recursoscomputacionais e de rede contra ameaas ou violaes.
Monitorar a utilizao de tais recursos e as operaesMonitorar a utilizao de tais recursos e as operaesefetuadas pelos seus usurios.
Criar, remover e controlar os servios de segurana. Manter e tratar Manter e tratar logsde segurana. Emitir relatrios de eventos de segurana. Reagir a eventos de ameaa.
Gerenciamento de Segurana(3)
responsvel pelaproteo contra ataques
aos componentes da
rede.
Bibliografia
Gabos, Denis.; Melo, Tereza C. Apostila deGerenciamento de Redes, EPUSP, 2003.
Stallings, W. SNMP, SNMPv2, SNMPv3 andRMON1 and 2. 3rd ed. 7th printing, 2003.
Kurose; Ross. Redes de Computadores e aInternet. Uma nova Abordagem. PearsonEducation, 2003.
top related