SEMANA3: ESTUDIAR.

*Marco Administrativo: determina polticas de autenticacin y autorizacin -Comunidad: relacin entre un agente, una vista de sus MIB y un conjunto de gestores -Nombre de comunidad: cadena de octetos transmitida en los mensajes SNMP. -Autenticacin: Trivial: el nombre de comunidad se transmite en claro !! (Y adems se transmite en todas las operaciones, ya que no hay sesiones)

-Autorizacin: En la prctica Comunidad pblica Agente con todos sus MIB con acceso read / only Todos los gestores Nombre de comunidad: public La comunidad tiene asociado una vista (conjunto de objetos) Para cada objeto se define un modo de acceso: read-only, read-write

Comunidad privada: Agente con todas sus MIB con acceso read / write Todos los gestores Nombre de la comunidad preacordado y confidencial

*Mensajes SNMP Mensaje SNMP datagrama UDP

Disminuye procesado de mensajes y complejidad del agente

Campos en mensajes SNMP Id.Peticin: Permite eliminar duplicados. ErrorStatus: Indica error al procesar una peticin (noError(0), tooBig(1), nosuchName(2), badValue(3), readOnly(4), genErr(5))

ErrorIndex: Variable que caus el error Variable Bindings: Lista de instancias con sus valores Los valores van vacos en los gets

Enterprise: tipo de objeto generador del evento/trap (sysObjectId) Dir.Agente: Direccin del agente que genera el trap

Trap genrico: coldStart(0), warmStart(1), linkDown(2), linkUp(3), authenticationFailure(4), egpNeighborLoss(5), enterpriseSpecific(6) Trap especfico: cdigo especfico del trap TimeStamp: tiempo desde la ltima reinicializacin del agente (sysUpTime) *Operaciones SNMP

GetRequest: Peticin de valores especficos de la MIB GetNextRequest: Proporciona un medio para moverse por la MIB. Peticin del objeto siguiente a uno dado de la MIB. GetResponse: Devuelve los valores solicitados por las operaciones anteriores. SetRequest: Permite asignar un valor a una variable Traps: Permite a los agentes informar de sucesos inusuales. *Envo de mensajes SNMP

El gestor puede enviar mltiples peticiones sin recibir respuesta Proceso de envo de un mensaje SNMP: Transmisin Se construye PDU Se invoca al servicio de autenticacin, con la direccin de transporte y el community Se construye el mensaje SNMP Se codifica

Recepcin Comprobacin sintctica (eventual descarte) Verificacin de la versin utilizada Autenticacin: Si falla, trap de autenticacin Procesado de la peticin

Operaciones SNMP: Get Get-Request: Permite pedir el valor de un objeto especfico en un recurso. El objeto debe existir. EJEMPLO

Snmp/>snmpget-h cisco-dit sysDescr.0 Value:GS Software (GS2-BRX), versin 8.2 (3)

Respuesta con Get-Response Atmica (SNMPv1): o se obtienen todas o no se devuelve ninguna. Get-Next-Request: Proporciona el objeto sucesor lexicogrficamente siguiente del que se proporciona. Sirve para recorrer tablas de routeo Operaciones SNMP: Set Set Request: Permite alterar el valor de un objeto que se solicite Hay que identificar especficamente el ejemplar que se quiere cambiar: Set (OID.ejemplar,nuevo-valor)

Problema: Falta de seguridad Esta operacin est deshabilitada en muchos agentes

Operaciones SNMP: Trap Traps: Sirven para informar de sucesos extraordinarios. Son invocadas espontneamente por el agente. En algunos casos, se pueden programar escribiendo en variables (ej: snmp, snmpEnableAuthenTraps)

No confirmados Las aplicaciones suelen basarse polling en vez de eventos Sera apropiado un mecanismo no-confirmado de traps si el servicio de transmisin fuese fiable?

Traps definidas: ColdStart, WarmStart, LinkDown, LinkUp, AuthenticationFailure, EGPNeighborLoss, EnterpriseSpecific: Traps privadas Tipo genrico de trap: Cold start (0): Indica que el agente ha sido inicializado o reinicializado; Warm start (1): Indica que la configuracin del agente ha cambiado; Link down (2): Indica que una interfaz de comunicacin se encuentra fuera de servicio (inactiva); Link up (3): Indica que una interfaz de comunicacin se encuentra en servicio (activa); Authentication failure (4): Indica que el agente ha recibido un requerimiento de un NMS no autorizado (normalmente controlado por una comunidad); EGP neighbor loss (5): Indica que en sistemas en que los routers estn utilizando el protocolo EGP, un equipo colindante se encuentra fuera de servicio;

 Trap

Enterprise (6): En esta categora se encuentran todos los nuevos traps incluidos por los vendedores.

Tipo especfico de trap: Es usado para traps privados (de fabricantes), as como para precisar la informacin de un determinado trap genrico; Timestamp: Indica el tiempo que ha transcurrido entre la reinicializacin del agente y la generacin del trap; Enlazado de variables: Se utiliza para proporcionar informacin adicional sobre la causa del mensaje.

CONCLUSIONES Ventajas del SNMP: Simplicidad Requiere menor procesamiento que el CMIP Ampliamente usado y probado Est integrado en muchos productos actuales

Desventajas: Aspectos de seguridad Funcionalidad reducida No facilita la invocacin de operaciones, creacin de objetos,....

Falta de visin global Poco eficiente Genera mucho trfico por la red

No facilita el diseo de las MIBs Es poco adaptable para gestin jerrquica.

SNMP: Versiones Versin 1: La seguridad se basa en comunidades (que usan passwords comunes sobre texto plano) que permiten usar dispositivos si se conoce el password. Se puede explotar for fuerza bruta. A pesar de que es la versin inicial es la que se distribuye en muchos equipos. Versin 2: Reduce la carga de trfico adicional para la monitorizacin (con uso de GetBulk e Informs) y soluciona los problemas de monitorizacin remota o distribuida (con las sondas RMON). SNMPv2 puede leer SNMPv1. Versin 3: Para evitar la falta de seguridad en las transmisiones (con cifrado y autenticacin), proporciona una capa o parche complemento a SNMPv1 y v2, que aade a los mensajes SNMP (v1 y v2) una cabecera adicional

Si no se dispone de seguridad suficiente, con carcter general es aconsejable deshabilitar la ejecucin de comandos SET.

MIB
Conjunto de definiciones de uno o varios recursos: Clases de objetos gestionados Acciones, notificaciones, atributos, sintaxis, etc.

No tiene que ser autocontenida, permite referencias a otras MIBs Sintaxis de MIB: GDMO Gran variedad de MIBs definidas y normalizadas actualmente

MIB: Descripcin La Base de Informacin para Gestin (Management Information Base o MIB) es un tipo de base de datos que contiene informacin jerrquica, estructurada en forma de rbol, de todos los dispositivos gestionados en una red de comunicaciones. Es parte de la gestin de red definida en el modelo OSI. Define las variables usadas por el protocolo SNMP para supervisar y controlar los componentes de una red. Est compuesta por una serie de objetos que representan los dispositivos (como enrutadores y conmutadores) en la red. Cada objeto manejado en un MIB tiene un identificador de objeto nico e incluye el tipo de objeto (tal como contador, secuencia o indicador), el nivel de acceso (tal como lectura y escritura), restricciones de tamao, y la informacin del rango del objeto. Los formatos del MIB de CMIP y del SNMP se diferencian en estructura y complejidad. Los objetos de una MIB se definen usando un subconjunto del ASN.1, la versin 2 de la estructura de la informacin de gestin (Structure of Management Information Version 2 o SMIv2) definido en el RFC 2578 Los MIB tienen un formato comn de modo que aun cuando los dispositivos sean de fabricantes distintos puedan ser administrados con un protocolo muy general. Protocolo de administracin: es el protocolo mediante el cual se consultan los objetos administrados enviando la informacin a la estacin administradora. Las MIBs suelen ser modificadas cada cierto tiempo para aadir nuevas funcionalidades, eliminar ambigedades y arreglar fallos. Estos cambios se han de hacer de acuerdo con la seccin 10 del RFC 2578.

MIB: Tipos de nodos Existen dos tipos de nodos: estructurales y de informacin. Los nodos estructurales slo tienen descrita su posicin en el rbol. Son "ramas". Por ejemplo: ip OBJECT IDENTIFIER ::= { 1 3 6 1 2 1 4 } MIB: Estructura Todos los objetos de la MIB de SNMP, se identifican de la siguiente forma: {iso identigfiedorganization(3) dod(6) internet(1) mgmt(2) mib-2(1)...} o, de manera alternativa {1 3 6 1 2 1 ...} La MIB tiene 126 reas de informacin sobre el estado del dispositivo, el desempeo del dispositivo, sus conexiones hacia los diferentes dispositivos y su configuracin. El administrador SNMP consulta la MIB a travs del software agente y puede especificar los cambios que se le hicieron a la configuracin. La mayor parte de los administradores SNMP consultan a los agentes en un intervalo regular, 15 minutos por ejemplo, a menos que el usuario indique otra cosa. El software agente SNMP por lo general es bastante pequeo (comnmente de 64KB) dado que el protocolo SNMP es sencillo. SNMP est diseado para ser un protocolo de sondeo (polling). Los mensajes SNMP se colocan dentro de un datagrama UDP y se enrutan va IP (aunque podran utilizarse otros protocolos).

MIB: Formatos ASN.1 (Abstract Syntax Notation) La definicin de un objeto sigue un "lenguaje" conocido como ASN.1, Es una representacin un tanto compleja a una primera vista, pero es extremadamente funcional y define los atributos de un objeto, permitiendo a una estacin gerenciadora conocer de antemano como debe tratar tal objeto, adems de definir como ese objeto debe ser implementado en un agente.

OID Los OID representan a cada objeto administrable con una secuencia nica de nmeros y nombres. Son como los nmeros telefnicos; organizados jerrquicamente con dgitos especficos asignados por diferentes organizaciones. SNMP usa el nmero como una forma abreviada del nombre, para hacer solicitudes de valores de datos y para identificar cada respuesta que transporte valores. La estructura del OID de un SNMP MIB define las ramas principales del rbol: IUT-T (International Telecommunication Union )

ISO (International Organization for Standardization) Unin ISO/ITU-T

*3 rboles en Gestin OSI Hemos visto que en gestin OSI se utilizan tres rboles: resuelven problemas distintos rbol de registro ISO Nombrar objetos de forma nica

rbol de herencia Definir y derivar clases de forma conveniente No es estrictamente un rbol (herencia mltiple)

rbol de agregacin Organizar instancias en una MIB concreta

*Gestin de Redes En Linux Algunas aplicaciones de Gestin disponibles para Linux son: Ksnuffle >Es Sniffer con Interfaz Grfica de Usario en el cual pueden verse los paquetes de uno o ms protocolos que pasan por la Red. , Ksniffer> Sniffer que para el anlisis del Trafico por Protocolo Etherape >Visualizacin Grfica Simple de rfagas de trfico por protocolo MRTG Es un programa grfico escrito principalmente es Perl por Tobias Oetiker y Dave Rand. Su interfaz visual es a travs del WEB. Genera Estadsticas de Trfico en tiempo real. Entrega grficos de uso de recursos de distintos tipo de dispositivos, tales como Switch (Lan, ATM), routers, Servidores (WinNT, Linux), etc. Contienen cuatro niveles de detalle, informacin diaria, semanal, mensual y anual. Los recursos que pueden ser grficados dependern de las MIBs cargadas en los agentes SNMP de los dispositivos. Scotty+Tkined >Es un programa para gestin de redes que hace uso del protocolo SNMP, muy parecido a HP OpenView pero con menos funcionalidad Reportes de Tkined > Recibe Informacin de un agente (Router MICOM, NetRunner 75E).