gerencia de redes - parte 2

7/23/2019 Gerencia de Redes - Parte 2

1/26

1

Parte II

SNMP

SNMP

O SNMP (Simple Network Management Protocol) umprotocolo de gerencia de redes cujo objetivo disponibilizar uma forma simples e prtica de realizar ocontrole dos equipamentos de uma rede decomputadores.

Definido em nvel de aplicao, O SNMP utiliza osservios do protocolo de transporte UDP (UserDatagram Protocol) para enviar suas mensagensatravs da rede.

SNMP Protocolo de Gerenciamento


2/26

2

SNMP Nos ltimos anos o SNMP tem dominado o mercado de

sistemas de gerenciamento de redes devido,principalmente, a sua simplicidade de implementao,pois consome poucos recursos de redes e deprocessamento, o que permite a sua incluso emequipamentos bastante simples.

O SNMP ajuda o administrador a localizar e corrigirerros ou problemas de uma rede.

Atravs de agentes SNMP, o administrador da redeconsegue visualizar estatsticas de trfego da rede eaps analisar esses dados o administrador pode atuarna rede, alterando a sua configurao.

SNMP O SNMP foi desenvolvido no final dos anos 80 por um

grupo da Internet Engineering Task Force (IETF) e tevesua origem em um protocolo para monitorao degateways IP, o Simple Gateway Management Protocol(SGMP).

O modelo SNMP possui uma abordagem genrica,podendo ser utilizado para gerenciar diferentes tipos desistemas. Sua especificao est contida no RFC 1157. 1989: SNMP v1 1992: Remote Monitoring RMON 1993: SNMP v2 1996: SNMP v2c (Community Security) 1996: MIB RMON v2 1998: SNMP v3 (User Security Model)

SNMP Estrutura Geral do Sistema e Funcionamento

O modelo de gerenciamento consiste em umesquema centralizado, isto , uma estao (host) configurada como gerente e os demais elementos darede desempenham o papel de agentes.

Um agente serve de procurador para aquelesequipamentos que no implementam o SNMP. Cadaagente possui uma MIB que contm as variveisrelativas aos objetos gerenciados.


3/26

3

Estrutura Geral do Sistema eFuncionamento

O modelo genrico compreende trs componentes: um conjunto de objetos gerenciados,

correspondente a um agente e uma MIBassociada;

uma estao de gerenciamento de rede; um protocolo de gerenciamento de rede que

usado pela estao gerente e pelos agentes natroca de informaes de gerenciamento

Estrutura Geral do Sistema e Funcionamento

AgenteSNMP

Gerente

MIB

MIB

Agente

Legenda:

- Objeto Gerenciado

MIB - Management Information Base

SNMP- Simple Network Management Protocol

Processo de Comunicao:

N Gerenciado

MIB

Estao de Gerenciamento

GERENTE AGENTEPROTOCOLODEGERNCIA

Requisies

Respostas


4/26

4

SNMP

Gerente SNMP Requisita informaes dos recursos gerenciados Analisa estas informaes para deteco de diagnstico

Agente SNMP Prover ao gerente informaes sobre os recursos

gerenciados

SNMP

Protocolo SNMP Utiliza o protocolo UDP para a comunicao Fornece operaes a serem executadas sobre os objetos

gerenciados Verses

SNMPv1 SNMPv2 SNMPv3

Monitorao da Rede A monitorao consiste na observao de

informaes relevantes ao gerenciamento.Estas informaes podem ser classificadas emtrs categorias: Esttica: caracteriza a configurao atual e os

elementos na atual configurao, tais como o nmeroe identificao de portas em um roteador;

Dinmica: relacionada com os eventos na rede, taiscomo a transmisso de um pacote na rede;

Estatstica: pode ser derivada de informaesdinmicas; por exemplo, mdia de pacotestransmitidos por unidade de tempo em umdeterminado sistema.


5/26

5

Monitorao da Rede

A informao de gerenciamento coletada earmazenada por agentes e repassada para um ou maisgerentes.

Duas tcnicas podem ser util izadas na comunicaoentre agentes e gerentes:pollinge event-reporting.

A tcnica de pollingconsiste em uma interao do tiporequest/response entre um gerente e um agente. Ogerente pode solicitar a um agente (com o qual eleesteja autorizado a se comunicar) o envio de valores dediversos elementos de informao. O agente respondecom os valores constantes em sua MIB.

Monitorao da Rede

Na tcnica de event-reporting, a iniciativa doagente.

O gerente fica na escuta, esperando pelachegada de informaes.

Um agente pode gerar um relatrioperiodicamente para fornecer ao gerente o seuestado atual.

A periodicidade do relatrio pode ser configuradapreviamente pelo gerente. Um agente tambm podeenviar um relatrio quando ocorre um eventosignificativo ou no usual.

Monitorao da RedeDuas formas de transportar informaes da MIB:

comandos e eventos

agent data

Managed device

managing

entity

resposta

agent data

Managed device

managing

entity

trap msgpedido

Modo comando/resposta Modo evento

entidadegerenciadora

entidadegerenciadora

agente agente

elemento gerenciado elemento gerenciado


6/26

6

Monitorao de Rede

Tanto o polling quanto o event-reportingso usados nos

sistemas de gerenciamento, porm a nfase dada acada um dos mtodos difere muito entre os sistemas.

Em sistemas de gerenciamento de redes detelecomunicaes, a nfase maior dada para o mtodode relatrio de evento. Em contraste, o modelo SNMPd pouca importncia ao relatrio de evento. O modeloOSI fica entre estes dois extremos.

Monitorao de Rede A escolha da nfase depende de um nmero de fatores,

incluindo os seguintes: a quantidade de trfego gerada por cada mtodo; robustez em situaes crticas; o tempo entre a ocorrncia do evento e a notificao

ao gerente; a quantidade de processamento nos equipamentos

gerenciados; a problemtica referente transferncia confivel

versus transferncia no confivel; as aplicaes de monitorao de rede suportadas; as consideraes referentes ao caso em que um

equipamento falhe antes de enviar um relatrio.

Controle de Rede Esta parte do gerenciamento de rede diz respeito

modificao de parmetros e execuo de aes emum sistema remoto. Todas as cinco reas funcionais degerenciamento (falhas, desempenho, contabilizao,configurao e segurana), envolvem monitorao econtrole. Tradicionalmente, no entanto, a nfase dastrs primeiras destas reas tem sido na monitorao,enquanto que, nas duas ltimas, o controle tem sidomais enfatizado. Alguns aspectos de controle nagerncia de configurao e de segurana soapresentados a seguir.


7/26

7

Controle de Rede

O controle de configurao inclui as seguintes

funes: definio da informao de configurao - recursos e

atributos dos recursos sujeitos ao gerenciamento; atribuio e modificao de valores de atributos; definio e modificao de relacionamentos entre

recursos ou componentes da rede; inicializao e terminao de operaes de rede; distribuio de software; exame de valores e relacionamentos; relatrios de status de configurao.

Controle de Rede

O controle de segurana relativo segurana dosrecursos sob gerenciamento, incluindo o prprio sistemade gerenciamento. Os principais objetivos em termos desegurana, so relativos confidencialidade, integridadee disponibilidade. As principais ameaas seguranareferem-se interrupo, interceptao, modificao emascaramento.

As funes de gerenciamento de segurana podem seragrupadasem trs categorias: manuteno da informao de segurana; controle de acesso aos recursos; controle do processo de criptografia.

MIB (Management Information Base) Antes de definir o que uma MIB, introduziremos o

conceito de objetos gerenciados. Um objeto gerenciado a viso abstrata de um recurso

real do sistema. Assim, todos os recursos da rede quedevem ser gerenciados so modelados, e as estruturasdos dados resultantes so os objetos gerenciados. Osobjetos gerenciados podem ter permisses para seremlidos ou alterados, sendo que cada leitura representaro estado real do recurso e, cada alterao tambm serrefletida no prprio recurso.

Dessa forma, a MIB o conjunto dos objetosgerenciados, que procura abranger todas asinformaes necessrias para a gerncia da rede.


8/26

8

MIB (Management Information Base)

Funes da MIB Falha; Configurao; Desempenho; Segurana; Contabilizao;


As informaes que se encontram nos nodosagentes ficam organizadas em bases deinformaes de gerncia chamadasManagement Information Base (MIB) que sodefinidas em uma estrutura chamada Structureof Management Information SMI.A. SMIespecifica como as informaes de gernciasero agrupadas e denominadas, definindo ostipos de dados e sintaxe utilizada na MIB deforma a evitar a dependncia dos detalhes deimplementao dos equipamentos utilizados emrede.

MIB (Management Information Base) A MIB pode ser definida como um conjunto

gerencivel de recursos em determinado nodo. Ela formada por uma estrutura de rvore dividida portipos de informao e contm as caractersticas decada recurso que possam interessar a gerncia.


9/26

9

MIB (Management Information Base)A estrutura hierrquica das variveis de gerncia


Na MIB, os objetos gerenciados sorepresentados por variveis que esto dispostasem uma estrutura hierrquica (rvore), onde asfolhas definem a informao e os ns definem aestrutura.

A MIB no contm os dados reais, apenas osorganiza de forma adequada. Ela no guardavalores de instncia, desta forma quando umgerente requisita uma instncia, cabe ao agenterealizar a consulta ao nodo e transmitir o valorcorrespondente.

MIB (Management Information Base) A identificao e a forma de representao dos objetos

contidos na MIB so definidos na linguagem abstrataAbstract Syntax Notation One ASN.1, desenvolvidapelo rgo International Telecommunication Union (ITU).Ela se caracteriza por representar as informaes semlevar em considerao as estruturas e restries dosequipamentos utilizados no sistema. Dessa maneira alinguagem ASN.1 tem como objetivo fornecer uma formade representao genrica para a definio do formatodas PDU trocadas pelo protocolo e dos objetos que sogerenciados.


10/26

10


A identificao do objeto referida por Object Identifier -OID e uma vez que o objeto registrado com umdeterminado OID ele no poder ser eliminado nem suadefinio alterada.

A MIB pode ter 3 classicaes possveis: MIB Padro: Possui um conjunto de objetos bem definidos,

conhecidos e aceitos pelos grupos e padres Internet; MIB Experimental: Estas MIBs podem conter informaes

especficas sobre outros elementos da rede e gerenciamento dedispositivos que so considerados importantes. Este termoexperimental como se fosse um ensaio para a MIB se tornarpadro;

MIB Privada: So projetadas por empresas individuaisexclusivamente para seus dispositivos de rede.


Estrutura Hierrquica da MIB

Exemplo de MIB : mdulo UDPObject ID Nome Tipo Comentrios

1.3.6.1.2.1.7.1 UDPInDatagrams Counter32 nmero total de datagramasentregues neste n

1.3.6.1.2.1.7.2 UDPNoPorts Counter32 nmero de datagramas

com app destino inexistente

1.3.6.1.2.1.7.3 UDPInErrors Counter32 nmero de datagramas noentregues por outras razes

1.3.6.1.2.1.7.4 UDPOutDatagrams Counter32 nmero de datagramasenviados

1.3.6.1.2.1.7.5 udpTable SEQUENCE uma linha para cada porta emnuso por uma aplicao, forneceo nmero da porta e oendereo IP


11/26

11

Nomeao de Objetos

Questo:Como nomear cada possvel objetopadro (protocolos, dados, outros..) em cadapossvel padro de rede??

Resposta:ISO Object Identifier tree:

nomeao hierrquica de todos os objetos cada ramificao tem um nome e um nmero

1.3.6.1.2.1.7.1

ISOISO-ident. Org.

US DoDInternet

udpInDatagramsUDPMIB2management

Protocolo SNMP: tipos demensagens

GetRequestGetNextRequestGetBulkRequest

Manager-to-agent: me envie dados(instncia,prximo na lista, bloco)

Tipo de Mensagem Funo

InformRequest Manager-to-Manager: eis o valor da MIB

SetRequest Manager-to-agent: define valor da MIB

Response Agent-to-manager: valor, resposta ao pedido

Trap Agent-to-manager: informagerenciador de evento excepcional

SNMP / Operaes do SNMP Get; Utilizada para ler o valor de uma varivel; o

gerente solicita que o agente obtenha o valorda varivel;

Set; Utilizada para alterar o valor da varivel; o

gerente solicita que o agente faa umaalterao no valor de uma varivel;

Trap; Utilizada para comunicar um evento; o agente

comunica ao gerente o acontecimento de umevento previamente determinado.


12/26

12

Protocolo SNMP: formatos demensagens

Cabea lho Get /Set Variveis para Operaes

Cabealho do Trap Informao do Trap

Formato do Protocolo SNMP

ASN.1: Abstract Syntax Notation

1 Padro ISO X.208

usado extensivamente na Internet como comer verduras: saber isto bom para voc!

Tipos de dados definidos, construtores de objetos como SMI

BER: Basic Encoding Rules especifica como os dados definidos em ASN.1 devem ser

transmitidos cada objeto transmitido tem codificao Type, Length, Value

(TLV) - Tipo, Tamanho, Valor


13/26

13

Transmisso de uma Mensagem SNMP

Uma entidade SNMP realiza as seguintes aes paratransmitir um de cinco tipos de PDU para outraentidade SNMP:a) O PDU construdo usando a estrutura ANS.1, def inida no

RFC 1157b) Este PDU ento passado para um servio de autenticao,

junto com o endereo de origem e destino e o nome dacomunidade. O servio de autent icao realiza qualquertransformao para esta troca, assim como criptografia ou aincluso de um cdigo de autenticao e retorna o resultado.

c) A entidade do protocolo ento constri a mensagem,consistindo de um campo verso, nome da comunidade, e oresultado do passo b.

Transmisso de uma Mensagem SNMP

A leitura realizada atravs do transporte de variveisinformadas pelo agente tendo como resposta os respectivosvalores destas variveis. A escrita envia uma lista devariveis informando os novos valores a serem adotados porestas mesmas variveis.

Dispositivos diferentes contm informaes diferentes, almdisso, o conjunto de variveis (MIB) a ser adotado por umagente pode ser expandido ou alterado pelo administrador.Dessa forma realizada uma operao transversal (get-next)implementada pelo protocolo SNMP para informar o prximo

valor contido na base de informaes, sendo que o gerenteidentifica o final da MIB atravs do retorno de um valorinvlido. Para entender as regras da verso 1 do SNMP, asoperaes de gerenciamento devero implementar processospara execuo das requisies: GetRequest, SetRequest eGetNextRequest PDUs (Protocolo de Unidade de Dados).

Codificao TLVIdia: os dados transmitidos so auto-identificveis

T: tipo de dados, um dos tipos definidos em ASN.1 L: tamanho dos dados em bytes

V: valor do dados, codificado de acordo com as regras doASN.1

1234569

BooleanoInteiroCadeia de bitsCadeia de octetoNuloIdentificador de ObjetoReal

Valor do Tag Tipo


14/26

14

Codificao TLVexemplo

Valor, 5 octetos (caracteres)Tamanho, 5 bytes

Tipo=4, cadeia de octetos

Valor, 259Tamanho, 2 bytes

Tipo=2, inteiro

Mdulo de declaraes

de tipo de dados escritas

em ASN.1

Instncias de tipo de

dados especificadas

no mdulo

cadeia de bytes

transmitidos

PDUs do SNMP As Protocol Data Units (PDUs) do protocolo SNMP verso1 so

brevemente descritas a seguir:

PDU GET. Serve para o gerente enviar a um agente um pedidode leitura de uma varivel de gerncia. A PDU contm o ObjectIdentifier (OID) da instncia a ser lida.

PDU RESPONSE. O agente responde s PDUs GET, GET-NEXT e SET com uma resposta contida numa PDU deste t ipo.

PDU SET. Serve para o gerente enviar a uma gente um pedidode alterao de uma varivel de gerncia.

PDU GET-NEXT. Em alguns casos, a PDU GET no pode ser usadapar ler uma varivel de gerncia, porque o OID no conhecido.Imagine, por exemplo, ler informao da tabela de interfaces ifTablediscutida anteriormente. Como o gerente no sabe os valores da chaveifIndex que correspondem a cada interface de rede, ele obrigado ausar a PDU GET-NEXT que permite varrer a tabela seqencialmentesem saber os OIDs exatos contidas nela.

PDU TRAP. Esta PDU usada pelo agente para informar eventosextraordinrios ao gerente.

SNMP Caractersticas

Protocolo do tipo Request-Response, no-orientado conexo Utilizao do UDP

Operaes atmicas Se o gerente enviar um pedido de leitura dos valores de uma

lista de objetos e um dos objetos no puder ser lido, no serdevolvido o valor de nenhum dos objetos

Gerenciamento Centralizado Define apenas operaes entre gerente e agentes No so definidas primitivas de comunicao entre gerentes


15/26

15

SNMP Caractersticas (2)

Mecanismo bsico: Polling Para obter informaes

de recursos gerenciados,o gerente deveperiodicamente requisitaro valor dos objetos daMIB e, baseado nestesvalores, decidir se odispositivo est operandonormalmente

SNMP Operaes de Protocolo

Segurana no Protocolo SNMP O protocolo SNMP pode realizar operaes de reconfigurao na

rede alterando caractersticas de equipamentos ou at desligandomquinas, sendo que no existe qualquer mecanismo de seguranaaplicado ao contedo das mensagens.

O controle feito atravs da verificao do contedo de um campoespecial no pacote do SNMP denominada comunidade(community).

A comunidade definida como sendo o relacionamento entre duasentidades do SNMP.

Ela definida como um conjunto de bytes formando caracteresASCII que sero utilizados para efetuar este relacionamento.

Dessa forma, quando realizada a comunicao entre duasentidades do SNMP, a entidade destinatria da mensagem realiza averificao do contedo da comunidade para averiguar se estainformao proveniente do remetente indicado.


16/26

16

SNMP Agent: Community Names

SNMP Agent: Community Names

Atravs da comunidade possvel que o agente realizeuma verificao da integridade do agente realizandoautenticao e polticas de acesso (agente controla quediferentes gerentes podem obter diferentes variveis daMIB) atravs deste campo. O mais importante noentendimento de comunidade, que sem oconhecimento prvio da comunidade de um determinadoequipamento gerencivel, ser impossvel a qualqueraplicao de gerncia acessar as informaes da MIB.

Outra considerao importante que um equipamentopode ter mais de uma comunidade configurada, comouma com direitos de leitura, escrita e trap. Portanto, ummesmo equipamento poder contar com trs strings decomunidade diferentes. Isto tem o objetivo de seaumentar a segurana no acesso aos equipamentos.

Segurana do SNMP No exemplo, o arquivo snmpd.conf onde se pode configurar o

acesso que se quer fornecer s estaes gerente quando realizama requisio SNMP. Pode-se limitar o acesso com read-only e read-write. Com esse tipo de autenticao, o acesso a MIB se tornapouco seguro, devido principalmente a: Identificao da origem: a comunidade transmitida sem qualquer

proteo Integridade da mensagem: ao ser interceptada a mensagem no

garante qualquer proteo referente ao contedo Tempo-limite: perodo de tempo que a mensagem pode ficar presa por

algum servio Privacidade: qualquer servio pode monitorar uma comunicao entre

entidades SNMP Autorizao: no h controle de autorizao de acesso aos dados da

MIB


17/26

17

SNMP - Segurana

A poltica de acesso SNMP baseada na

definio de: Comunidade SNMP: define a relao existente entreum agente e um conjunto de gerentes. Cadacomunidade deve possuir um nome, que deve serfornecido em todas as operaes de get and set.

Perfil da Comunidade: associa comunidade: Viso da MIB: corresponde a um subconjunto da MIB

que pode ser acessada pela comunidade (dificilmenteimplementada)

Modo de Acesso: especifica o modo de acesso (read-only ou read-write) permitido.

SNMP Segurana (2)

Poltica de Acesso SNMP

Exemplo 1 roteador do fabricante XXX

Comunidades suportadas: 2 Comunidade 1: public

Permisso de acesso: qualquer gerente MIB View: todas as variveis Modo de Acesso: RO (Read-Only)

Comunidade 1: private Permisso de acesso: qualquer gerente MIB View: todas as variveis Modo de Acesso: RW (Read-Write)


18/26

18

Poltica de Acesso SNMPExemplo 2

switch do fabricante YYY Comunidades suportadas: 2 Comunidade 1: public

Permisso de acesso: qualquer gerente MIB View: estatsticas das interfaces Modo de Acesso: RO (Read-Only)

Comunidade 1: private Permisso de acesso: g1 (ip: 10.0.2.4), g2 (ip: 10.1.4.9) MIB View: todas as variveis Modo de Acesso: RW (Read-Write)

SNMPv1 - Limitaes

Inadequado para redes muito grandes devido aoproblema de desempenho decorrente da utilizaodo mecanismo de polling (operaes de get e set).

Inadequado para transferir grande volume dedados.

Baixa confiabilidade dos traps: inexistncia dereconhecimento e operao sobre o UDP.

Segurana a nvel bsico (mecanismo deautenticao).

Inexistncia de suporte comunicao gerente-gerente.

SNMPv2

Alteraes para resolver problemas SNMPv1 Gerenciamento Distribudo Transporte de dados mais eficiente

O que foi alterado ? Novos objetos MIB para comunicao gerente-

gerente. Novas operaes

Inform Request comunicao gerente-gerente Get Bulk Request GetNext mais eficiente

Alterao nome/formato operaes existentes


19/26

19

SNMPv2 Operaes doProtocolo (1)

SNMPv2 Operaes doProtocolo (2)

SNMPv1 X SNMPv2

SNMPv1 Gerenciamento

Centralizado. MIB agente-gerente

Protocolo No-Orientado Conexo. Operaes entre agente e

gerente UDP

Segurana Autenticao - Comunidade

SNMPv2 Gerenciamento Distribudo. MIBs:

agente-gerente. gerente-gerente.

Protocolo No-Orientado Conexo. Operaes agente-gerente

e gerente-gerente UDP

Segurana Autenticao - Comunidade


20/26

20

Ataques Detectveis em SNMPv2

IP Spoofing; DoS e DDos; Port Scan; Cavalos de Tria; Backdoor

SNMPv3 - Objetivos

Aumentar segurana e controle de acesso paraoperaes

Definio de uma nova arquitetura para Facilitar a integrao das diferentes verses do SNMP Facilitar a evoluo de alguns mecanismos do SNMP sem exigir

novas verses do SNMP Facilitar a integrao de novos mecanismos ao SNMP

Manter o SNMP simples Reutilizar especificaes existentes sempre que

possvel

SNMPv3 Caractersticas (1)

Incorporao de mecanismos de segurana View-Based Access Control Model User-Based Security Model

Definio da organizao interna do agente/gerenteSNMP

Permite a definio de novos mecanismos sem exigir umanova arquitetura


21/26

21

SNMPv3 Caractersticas (2)

No so definidos uma nova SMI, MIB ou novasoperaes para os protocolos de gerenciamento Utiliza SMIv1 ou, preferencialmente, a SMIv2 Utiliza MIB-II Utiliza operaes do SNMPv2 (norma reescrita para

compatibilidade com nomenclatura do v3)

Nova MIB para funcionalidades adicionais doSNMPv3 Configurao remota de parmetros de segurana Configurao de Proxy Entre outros

Nomenclatura SNMPv3 (1)

SNMP Entity (Entidade) Agente (tradicional ou proxy) ou Gerente (tradicional

ou intermedirio) Funcionalidades dependente das Aplicaes SNMP

da Entidade

SNMP Applications (Aplicao) Aplicaes para a construo de agentes e gerentes

Ex.: Command Generator, Command Responder Notification Originator, Notification Receiver Proxy Forwarder

Nomenclatura SNMPv3 (2)

SNMP Engine (Motor) Responsvel pelo processamento das Mensagens Subsistemas para Segurana, Controle de Acesso,

mapeamento da mensagem entre diversas camadasde transporte e das diferentes verses SNMP

Context Em agentes proxy gerenciando diversos elementos,

cada elemento identificado por um contexto


22/26

22

Gerente em SNMPv3

Agente em SNMPv3

User Security Model (USM)

Projetado para proteger a mensagem contra Modificao de informaes Identidade forjada (Masquerading) Modificao da seqncia de mensagens (Replay

Attack) Leitura de contedo

No protege agente contra Denial of Service (ataques DoS ou DDoS) Criptanlise


23/26

23

USM - Caractersticas

Diferentes nveis de segurana para a

mensagem SNMPv3 Com autenticao e privacidade Com autenticao e sem privacidade Sem autenticao e privacidade

Baseia-se em mecanismos de seguranadesenvolvidos para o IPSec (padro de VPNpara redes IP)

USM Autenticao eCriptografia

USM Outros mecanismos de Segurana

Timeliness Sincronizao de relgios (loose synchronization) Proteo contra atrasos e replay attacks

Gerenciamento de chaves 2 chaves: para autenticao e privacidade Seqncia de chaves geradas a partir da senha do

usurio Para cada agente utilizado 1 par de chaves

Mecanismo para troca de chaves Entidades SNMP trocam periodicamente as chaves Protocolo IKE (Internet Key Exchange)


24/26

24

View-Based Access Control Module - VACM

Objetivos do VACM Determinar se um usurio remoto pode acessar um objeto

da MIB

Como feito o controle de acesso ? Baseia deciso em uma tabela de controle de acesso Tabela pode ser configurada remotamente, via SNMP

VACM Elementos de Controle

Access Control Tables


25/26

25

Consideraes Finais SNMPv3

Novas implementaes de agentes devem usarSNMPv3 (padro desde dez-02) Melhorias

Melhor modularidade da arquitetura Elementos da arquitetura melhor especificados Mecanismos de segurana

Porm ainda h (e haver) muitos dispositivos SNMPv1

Arquitetura SNMP

Protocolo SNMPv3 Caractersticas do Protocolo 7 Primitivas (5 primitivas para SNMPv1)

Gerenciamento Centralizado (v1) e/ou Distribudo(v2 / v3)

Segurana baseada em comunidade (v1) ou commecanismos adicionais (USM / VACM do v3)

Gerenciamento de Segurana (1)

Objetivos: gerenciar os mecanismos e procedimentos que

proporcionam a proteo aos recursos da rede; manter e manipular registros de segurana; garantir a manuteno da poltica de segurana

estabelecida.


26/26

Gerenciamento de Segurana (2)

Gerenciar as facilidades, os servios e os mecanismosde segurana, de modo a proteger os recursossegurana, de modo a proteger os recursoscomputacionais e de rede contra ameaas ou violaes.

Monitorar a utilizao de tais recursos e as operaesMonitorar a utilizao de tais recursos e as operaesefetuadas pelos seus usurios.

Criar, remover e controlar os servios de segurana. Manter e tratar Manter e tratar logsde segurana. Emitir relatrios de eventos de segurana. Reagir a eventos de ameaa.

Gerenciamento de Segurana(3)

responsvel pelaproteo contra ataques

aos componentes da

rede.

Bibliografia

Gabos, Denis.; Melo, Tereza C. Apostila deGerenciamento de Redes, EPUSP, 2003.

Stallings, W. SNMP, SNMPv2, SNMPv3 andRMON1 and 2. 3rd ed. 7th printing, 2003.

Kurose; Ross. Redes de Computadores e aInternet. Uma nova Abordagem. PearsonEducation, 2003.

gerencia de redes - parte 2

Documents