7. Zer da sare bat kudeatzea
●
Eragiketak:
●
Monitorizazioa
●
Software / firmware-ren klonaketa / instalazioa
●
Software / firmware-ren eguneraketa / partxeoa
●
Konfigurazioa
●
Hardware / software-ren zerrenda
●
Kalitatea eta Segurtasuna
●
Hori guztia era automatiko, urrutiko, masibo,
seguru batean
Sareen kudeaketa 7
8. OSI Sarearen kudeaketa eredua
●
FCAPS eredua:
●
Fault: identifikatu, isolatu, zuzendu, erregistratu
●
Configuration: bildu, bidali, aldaketak erregistratu
●
Accounting: baliabideen estatistikak,
erabiltzaileen eta baimenen administrazioa
●
Performance: erabilpen eta erabilgarritasunaren
%, akats tasa, erantzun denborak
●
Security: autentifikazioa, konfidentzialtasuna,
baimenak
http://en.wikipedia.org/wiki/FCAPS
http://en.wikipedia.org/wiki/Network_management_model
Sareen kudeaketa 8
13. SNMP-rik gabeko
monitorizaziorako software
●
Nodoetan software instalazioa beharrezkoa da
●
Tresnak:
●
Ekipo gutxi badira, giza interfazea. Adib. web
●
Ekipo asko badira, automatikoki:
– "Eskuz": script-ak, cron,...
– Produktuak:
●
Sarea: nagios, mon, sysmon, ntop,...
●
Logak: logwatch, oak,...
http://www.nagios.org/
https://mon.wiki.kernel.org/
http://www.sysmon.com/
http://www.ntop.org/
http://sourceforge.net/projects/logwatch/
http://www.ktools.org/
Sareen kudeaketa 13
14. SNMP
Simple Network Management Protocol
v1: Bakarrik 5 komando
v2, v3: 7 komando
Helmena: Monitorizazioa eta Kontrola
sare zentralizatutak edo banatutak
TCP/IP ereduan,
IETF-ren RFC-en bidez finkatuta
Baina SNMP ez da perfektua!
http://en.wikipedia.org/wiki/Snmp
SNMP 14
15. Historia eta Bertsioak
1988 SNMPv1
RMON 1992 Secure SNMP
1993 SNMPv2
SNMPv2c SNMPv2u SNMPv2*
1998 SNMPv3 Gaurko estandarra da
(SNMPv1, SNMPv2 zaharrak dira)
SNMP 15
16. Espezifikazioaren osagaiak
●
Nodo motak:
●
Nodo kudeatzailea edo estazioa, NMS (Network
Management System) softwarez
●
Software agenteren bidez kudeatutako nodoa
●
Protokoloa
●
Datuak:
●
SMI (Structure of Management Information)
●
MIB (Management Information Base)
SNMP 16
19. Nodo motak: Proxy
Proxy Agentea SNMP hitz egiten ez duen
kudeaturiko dispositiboa
Agente Proxy XXX
Prozesua Prozesua Prozesua
SNMP YYY Protokoloa YYY Protokoloa
UDP
IPv4, IPv6
SNMP 19
20. Protokoloa: SNMP TCP/IP
ereduan
OSI/ISO TCP/IP
7. Aplikazioa
4. Aplikazioa SNMP
ASN.1 6. Aurkezpena
5. Saioa
3. Garraioa UDP UDP:
4. Garraioa ●
TCP baino trafiko gutxiago
●
Ez da fidagarria, baina
3. Sarea baieztapenak Aplikazio
geruzan bidaltzen dira
2. Lotura
1. Fisikoa
Beste SNMP-ren azpiko protokoloak:
●
OSI Connectionless Network Service
●
AppleTalk Datagram-Delivery Protocol (DDP)
●
Novell IPX http://en.wikipedia.org/wiki/OSI_model
●
TCP ere http://en.wikipedia.org/wiki/TCP/IP_model
SNMP 20
21. Protokoloa: Eragiketak eta
Primitibak
Irakurketa Idazkera Informazioa
eskaera eskaera bidalketa
GetRequest
Sinkronoak GetNextRequest SetRequest Response
GetBulkRequest
Trap
Asinkronoak
InformRequest
SNMPv2
SNMPv1-ean
GetResponse
zen
KudeatzailetikAgentera
Agentetik Kudeatzailera SNMPv2-an
Bi noranzkoetan agente batetik bestera
joan daiteke
SNMP 21
24. Protokoloa: segurtasuna
●
M:N Erlazioa, agente eta hauei ekiten dieten
kudeatzaileak
●
Segurtasun aspektuak:
●
Autentifikazioa: nor da kudeatzailea, eta nola
egiaztatu
●
Sarbidea: objetuen baimenak kudeatzaile
bakoitzarentzat
●
Proxy-ak: proxy baten bidez kudeatutako sistemen
politiken implementazioa
SNMP 24
25. Protokoloa: segurtasuna
●
Bertsio guztietan eragiten duten erasoak:
●
Indar basatiaren bidez (hiztegia), zeren eta ez dute
erronka-erantzuna metodorik
●
Zerbitzu ukapena
●
Fabrikatzaile batzuk ez dute idazketako
baimenarik ematen, segurtasun txarragatik
SNMPv3 izan ezik, edo bere dispositiboak
SNMP-ren bidez konfiguragarriak ez direlako
SNMP 25
26. SMI
●
Egitura hierarkiko (zuhaitza) baten arabera
objetuak irudikatzeko eskema hedagarri bat
ematen du
●
Bertsioak: SMIv1, SMIv2
●
Notazioa: ASN.1-en azpimultzoa. Adib:
internet OBJECT IDENTIFIER ::= { iso org(3) dod(6) 1 }
http://en.wikipedia.org/wiki/Structure_of_Management_Information
SNMP 26
27. SMI-ren osagaiak
●
Datubase egituraren eta MIB bakoitzaren
zehazpena
●
Objetu, Modulu eta jakinarazpeen (traps)
definizioak: motak, izenak, sintaxia, MIBak
eraikitzeko arauak,...
●
BER-en arabera kodifikazioa
SNMP 27
28. ASN.1
●
Metahizkuntza edo Notazia hauekin:
●
Sintaxia, adib.
Esleipenak:
A ::= B
Oharrak:
-- zer astuna den ikasgai hau
●
Edukierak binariora kodifikatzeko arauak, BER-en
arabera
●
Programa bat iturritik binariora konpilatzea
antzekoa
http://en.wikipedia.org/wiki/Abstract_Syntax_Notation_One
http://en.wikipedia.org/wiki/Basic_Encoding_Rules
http://asn1.org/
SNMP 28
29. SMI zuhaitza
Ez dago nodo erroa
ordena
●
directory: etorkizunerako erabilpena OSI (X.500) direktorioetarako
●
management: IAB-n objetu onartuetarako azpizuhaitza
●
experimental: frogetarakoa
●
private: fabrikatzaile espezifikoetarakoa
SNMP 29
30. SMI-ko objetuak
●
Zuhaitzako nodoak: Objetuak=nodo edo
kudeatzeko dispositiboa, eta bere
ezaugarriak/bailabideak
Adib: Router, bere TCP konexioen taularekin
●
Nodo bakoiza bere seme-alabekin talde bat
bezala ikus daiteke
●
SNMP protokoloa:
●
Ezin du zuhaitzako egitura aldatu
●
Bakarrik nodo-hostoak kudea ditzake
SNMP 30
31. SMI-ko objetuen sintaxia
●
Identifikazioa eta beste objetuekiko erlazioa
●
Balio mota:
●
Erraztasuna eta interoperabilitatearen alde, bakarrik
eskalarrak eta taulak daude; ez dago beste azpiegitura
konplexuagorik
●
SNMP-k bakarrik tipo eskalarrak irakur/idatz ditzake
●
Era posibleak (CHOICE)
● Tartea, adib. SYNTAX INTEGER (0..65535)
●
Sarbide baimenak (read-only, read-write,...) eta
derrigortzea (mandatory, optional)
●
Deskribapena
SNMP 31
32. SMI-ko objetuen identifikazioa
●
Identifikadore bakarra:
●
OBJECT IDENTIFIER tipoa, ASN.1-n
●
Puntuen bidez banandutatako zenbaki osoen
sekuentzia; zenbaki oso bakoitzak bere adarraren
nodoak adierazten ditu
●
Noizbehin, dagozkion izenen sekuentzia
Adib.
1.3.6.1.2.1.4
iso.org.dod.internet.mgmt.mib_2.ip
http://www.faqs.org/rfcs/rfc1902.html
SNMP 32
33. SMI-ko objetu mota
●
Eskalarrak:
●
4 Univertsalak:
– INTEGER: -231-tik 231-1-etara
– OCTET STRING: 0-tik 65535 byte-etara
– OBJECT IDENTIFIER
– NULL
●
Beste tipo bereziak aurrekoetan oinarrituta,
APPLICATION klasera elkartutak.
●
SMIv2-tan tipo gehiago daude
http://www.faqs.org/rfcs/rfc2012.html
SNMP 33
34. SMI-ko objetu mota
●
APPLICATION klaserekin lotutako objetuak:
●
NetworkAddress: bakarrik IpAddress dago zehaztuta
●
IpAddress: 32 bit helbidea
●
Counter: 0-tik a 232-1-etara (4.294.967.295). Balorea
bakarrik handi daiteke
●
Gauge: 0-tik to 232-1-etara. Balorea handi edo txiki
daiteke
●
TimeTicks: segundo-ehunenak, aro batetik
●
Opaque: edozein datu edozein formatutan, OCTET
STRING bezala kodifikatuta
http://www.faqs.org/rfcs/rfc1155.html
SNMP 34
35. SMI-ko objetu mota
●
Array bidimentsionalak (= taulak) hauen bidez:
●
SEQUENCE-OF: elementu guztiak mota
berdinekoak
●
SEQUENCE: elementuak mota berdinekoak edo ez
●
INDEX hitza lerroak bereizteko.
Adib: tcpConnTable taula
tcpConnState tcpConnLocalAddress tcpConnLocalPort tcpConnRemAddress tcpConnRemPort
listen(2) 0.0.0.0 21 0.0.0.0 0
listen(2) 0.0.0.0 22 0.0.0.0 0
listen(2) 0.0.0.0 25 0.0.0.0 0
listen(2) 0.0.0.0 80 0.0.0.0 0
established(5) 127.0.0.1 1031 127.0.0.1 1030
established(5) 127.0.0.1 1032 127.0.0.1 1033
http://www.faqs.org/rfcs/rfc2012.html
SNMP 35
37. SMI-ko Moduluak
●
Erlazionatutako zehazpen taldeak adierazten
dituzte
●
Motak:
●
MIB Moduluak, erlazionatutako objetuak
definitzeko
●
Adostasuneko sententziak, standard bat bete
behar diren objetu taldeak
●
Gaitasunetako sententziak, agente baten
gaitasunak ezagutarazten dizkioten kudeatzaile
bati
SNMP 37
38. SMI eta ASN.1-ri buruzko
software
●
Adib. implementazioa: libsmi
Debian-en eta deribatuetan:
apt-cache search libsmi
apt-cache search ASN.1
SNMP 38
39. MIB-ak
●
Erabilpen konkretuetarako SMI-ren adarrak
●
SMI eta MIB-en arteko desberdintasunak:
●
SMI = zehazteko eskema + zuhaitz orokorra
●
MIBs = azpi-zuhaitz espezifikoak
(semantika+lexikoa), zuhaitz orokorraren barruan
http://en.wikipedia.org/wiki/Management_information_base
SNMP 39
40. MIB motak
●
Estandarrak: IETF edo IEEE-k mantenduta.
Adib:
●
MIB-2: TCP/IP dispositiboen kudeaketa
●
TCP-MIB: TCP-rako espezifikoa
●
Ethernet-MIB
●
Pribatuak (interoperabilitatea gutxitzen dute):
●
Fabrikatzaileak NMS-rako testu edo deskribapen
formala ematen du
●
Arazoa: 3 bertsio; nagusia: RFC 1212
http://en.wikipedia.org/wiki/Management_information_base
SNMP 40
42. MIB-2
●
TCP/IP dispositiboen kudeaketa
●
1.3.6.1.2.1 = iso.org.dod.internet.mgmt.mib_2
●
10 nodo = taldeak
system(1)
interfaces(2)
at (3) Zaharra; MIB-1-ekin konpatibilizatzeko mantenduta
ip (4)
icmp (5)
tcp (6)
udp (7)
egp (8) Exterior Gateway Protocol (zaharra)
transmission (10) Lotura geruzaren datuak
snmp (11)
http://en.wikipedia.org/wiki/Exterior_Gateway_Protocol
SNMP 42
43. MIB-2-ko objetuen baldintzak
●
Erroreak edo konfigurazioa kudeatzeko premiazkoa
izatea
●
Kontrol objetu bat bada, "ez arriskutsua" izatea
●
Erabiltzeko ebidentzia
●
Erredundantziak sahiesteko, beste objetuetatik
deribatutako objetuak ez sartu
●
Objetu espezifikoak baztertu, adib. BSD UNIX-
erakoak
●
Kontrol askorekiko kode sekzio kritikoak sahiestu
(bakarrik kontadore 1)
SNMP 43
44. SNMPv1: PDU-ak
IP header UDP header SNMP data
SNMP header SNMP PDU
version community
●
bertsio: 1
●
community: segurtasunerakoa
GetRequest, GetNextRequest, SetRequest
PDU type request-id 0 0 variable-bindings
GetResponse
PDU type request-id error-status error-index variable-bindings
Trap
PDU type enterprise agent-addr generic-trap specific-trap time-stamp variable-bindings
izen1 balore1 izen2 balore2 ... izenN baloreN
SNMPv1 44
45. SNMPv1: PDU-ak
●
request-id: eskaerak eta erantzunak
korrelatzeko; bietan balore berdina erabiltzen
da
●
error-status, error-index: akatsen kudeaketa
●
Jakinarazpena:
●
enterprise: sortzen duen objetu mota,
sysObjectID-en arabera
●
agent-addr: sortzen duen objetuaren helbidea
●
generic-trap, specific-trap: motak eta kodeak
●
time-stamp: azken sare hasierapenatik; sysUpTime
dauka
SNMPv1 45
46. SNMPv1: PDU-ak
●
Operazioak:
●
Irakurketarako PDU-en (GetRequest,
GetNextRequest, Trap) bidezko monitorizazioa
●
Idazketarako PDU-en (SetRequest) bidezko
kontrola. Objetu espezifiko batzuen baloreak
aldatuz, komandoak exekutatzen ditu
SNMPv1 46
47. SNMPv1: PDU-ak
●
GetRequest, GetNextRequest eta SetRequest:
●
GetResponse-ren bidez baieztatzen dira
●
Aldagarri bat baino gehiagotan jardun dezakete
●
Eragiketa atomikoak dira: aldagarriren batean
txarto egiten badute, ez dute beste inon jarduten
●
Trap: ez da GetResponse-ren bidez baieztatzen
SNMPv1 47
48. SNMPv1: PDU-ak
●
GetNextRequest:
●
Aldagarri bakoitzarako hurrengo nodo-hostoa
lortzen du, orden lexikografikoan
●
MIB egitura aurki daiteke dinamikoki
SNMPv1 48
49. SNMPv1: Segurtasuna
●
"Komunitateak" kontzeptua: agenteak eta
hauen gainean lan egiten duten kudeatzaile
multzoak
●
Segurtasun aspektuak:
●
Komunitatearen izenean onarritutako
autentikazioa. Partekatzen den testu argian
dagoen password bat da, normalean "public" edo
"private". Oso eskema pobrea.
●
Bistetan (MIB view) eta moduetan (ACCESS MODE
adib. Read-only) oinarritutako sarbidea
●
Biak konbinatzen dira "community profile" batean
SNMPv1 49
50. RMON
●
Remote Monitor sare informazioa
monitorizatzeko agenteetarako MIB
espezifikoa
●
Errendimendu handiagoa sarea (versus
dispositiboak) monitorizatzeagatik, adib:
Konektibitate faltak edo kongestioaren
jakinarazpenak RMON daukaten dispositiboei
delegatzea (bestela, dispositibo guztiak
jakinarazpenak bidaliko lituzkete)
http://en.wikipedia.org/wiki/Remote_monitoring
RMON 50
51. RMON
●
Agentera software batean datza:
●
Dispositibo (dedikatu edo ez) batean exekutatzen
da, zunda ("probe") deituta. Adib. Switch batean
●
Modo promiskuoan funzionatzen da, paketeak
harrapatzen
●
Ohizko erabilpena: RMON agente bat sare
segmentu bakoitzean
●
Begiratu MIB-ak eta RFC-ak wikipedian
http://en.wikipedia.org/wiki/Remote_monitoring
RMON 51
52. RMON
●
Operazioak:
●
Datu taulen bidezko monitorizazioa:
– Trafiko txostenak eta akatsen estatistikak
– Gerorako analisietarako paketeak bilketa
●
Kontrol tauletako lerroen bidez konfigurazioa
●
Ekintzak objetuen bidez martxan jarri dira.
Objetuak komandoak adierazten dute, eta egoera
aldatzen bada martxan jartzen dira
●
Polling baino gehiago, jakinarazpenak
erabiltzen dira
RMON 52
53. RMON: MIB-ak
●
RMON-erako MIB identifikatzailea:
iso.org.dod.internet.mgmt.mib-2.rmon
1.3.6.1.2.1.16
●
Bertsioak:
●
RMON1: lotura eta geruza fisikoekin lotuta, bere
MIB-ak 10 objetu talde bereizten ditu: estatistikak,
alarmak, iragazkiak, gertaerak,...
●
RMON2: sare eta goiko geruzekin lotuta, bere MIB-
ak beste 10 objetu talde zehazten ditu
●
Bi kasuetan dispositiboak ez ditu objetu
guztiak inplementatzen
RMON 53
54. RMON: sarbide konkurrentea
●
Arazoak egon daitezke kudeatzaile asko batera
sartzen direnean:
●
Monitorearen gaitasuna gainditzen da
●
Monitorearen bailabideak okupatuta/blokeatuta
denbora luze, barruko akats batengatik edo
kanpoko kudeatzaile batengatik
RMON 54
55. RMON: sarbide konkurrentea
●
Ebazpena: "jabetasun etiketa" zutabea kontrol
tauletan:
●
Bere jabea adierazten du
●
Read-write jabearentzat, Read-only besteentzat
●
Nodo kudeatzaile batek bere jabea zehazten
du, eta askapena berarekin negozia dezake
●
Operadore batek askapen aldebakarra egin
dezake
RMON 55
56. Secure SNMP
●
Autentikazioa eta enkriptazioa ematen du
●
Ez da SNMPv1-rekin bateragarria, goiburuaren
formatua aldatzen delako:
IP header UDP header SNMP data
SNMP header SNMP PDU
privDst authInfo dstParty srcParty SNMP PDU
Enkriptatuta egon daiteke
Authentication Info
http://tools.ietf.org/html/rfc1351
Secure SNMP 56
57. SNMPv2
●
SNMPv1-i buruzko aldaketak:
●
Sare banatuekin erlazionatuta, managerren arteko
komunikazioari esker (RMON bezalako ideia)
●
Trafiko eraginkortasun handiagoa balore anitzak
lortzeko mezuen bidez
●
Segurtasun hobea S-SNMP-etan oinarrituta, baina oso
konplexua izateagatik ez zen onartu: SNMPv2 vs
SNMPv2c (c=community)
●
SMIv2 sortzen da, eta MIB berri bat: 1.3.6.1.6
●
Tauletan lerroak sortu eta ezabatu ahal dira
●
Ez da SNMPv1-rekin konpatiblea, baina proxyak eta
ingurune dualak erabil daitezke
SNMPv2 57
58. SNMPv2: Protokoloa
●
SNMPv1-i buruzko aldaketak:
●
Mezuen goiburuak Secure SNMP-en bezala
●
PDU-ak:
– Berriak: GetBulkRequest, InformRequest
– GetResponse aldatuta: Response
– Trap egitura aldatuta. Berdinak: GetRequest,
GetNextRequest, SetRequest, Trap, InformRequest:
PDU type request-id 0 0 variable-bindings
– GetRequest, GetNextRequest eta SetRequest ez dira
atomikoak, mezuaren aldagarri batzuetan (eta ez
guztietan) jardun dezakete
●
NMS-en artean trafiko jakinarazpenak daude
SNMPv2 58
59. SNMPv2: GetBulkRequest
●
Datu kopuru handia lortzeko trukeak
txikiagotzeko erabiltzen da
●
PDU: N M N+R aldagarriak
PDU type request-id non-repeaters max-repetitions variable-bindings
●
Lehenengo N (non-repeaters) aldagarrietarako
GetNextRequest PDU kasuan bezalakoa da,
ondorengo bat bakarrik itzultzen
●
Beste R aldagarrietarako, ondorengo batzuk
(M=max-repetitions) itzultzen dira
SNMPv2 59
61. SNMPv2: InformRequest
●
Trap antzekoa baina Manager-etik baieztapena
behar du. Hau jasotzen ez bada,
InformRequest berriro bidaltzen da
●
Irizpideak:
●
Trafiko eraginkortasuna eta memoria baliabideak:
Trap
●
Hartzeko segurtasuna: InformRequest
http://www.cisco.com/en/US/docs/ios/11_3/feature/guide/snmpinfm.html
SNMPv2 61
62. SNMPv3
●
SNMPv2-ri buruzko aldaketak:
●
Segurtasuna:
– Mezuen osotasuna
– Konfidentzialtasuna, paketeak enkriptatuz
– Autentizitatea
– IP Spoofing: UDP IP spoofing-ekiko (jatorri helbidea
aldaketa) ahula da dispositiboak suplantatzeko, eta
SNMPv3-k sahiezteko tresnak dauzka
●
Framework edo arquitektura berri bat, hedagarria
eta SNMPv1 eta SNMPv2-rekin bateragarria
●
MIB berriak 1.3.6.1.6 adarrean
SNMPv3 62
63. SNMPv3: Segurtasuna
●
Bi segurtasun gaitasun zehazten dira:
●
USM (User-based Security Model):
– Autentikazio eta konfidentzialtasun (enkriptazio)
funtzioak ematen ditu
– Mezu mailan dago
●
VACM (View-based Acess Control Model):
– Ekintza desberdinak egiteko MIB-eko objetuen
sarbideko baimena finkatzen du
– PDU mailan dago
SNMPv3 63
64. SNMPv3: Arkitektura
●
"SNMP entitate"aren kontzeptua: kudeatzaile,
agente edo biak bezala izan daiteke,
inplementatzen dituen moduluen arabera
●
Bi geruzen araberako eskema:
●
Aplikazio bat edo gehiago: goiko geruzak PDU-ak
sortzen eta jasotzen ditu
●
Motor bat: beheko geruza:
– Aplikazio eta beheko geruzetako PDU-etarako
bitartekoa da: SNMP bertsioa, protokoloak,...
– Segurtasuna kudeatzen du: autentikazioa, enkriptazioa
eta sarbidea
SNMPv3 64
65. SNMPv3: Arkitektura
Kudeatzaile bakarrik Kudeatzaile eta Agente Agente bakarrik
Command generator Comand responder
Aplikazioak
Notification generator Notification responder
Proxy forwarder
PDU dispatcher
Dispatcher Message dispatcher
Transport
mapping (UDP,..)
Motor
Message processing
subsystem (v1, v2, v3)
Security subsystem Access subsystem
SNMPv3 65
66. SNMPv3: Mezu formatua
MsgGlobalData Segurtasun ereduan MsgData
= goiburua zehaztuta eta erabilita = ScopedPDU
msg msg msg msg msg msg context context
PDU
Version Id MaxSize Flags SecurityModel SecurityParameters EngineID Name
Enkriptazio
Igorleak Segurtasun sistemak esparrua
erabilitako sortutak
3 eredua
Eskaerak eta
●
Noiz bidali “Report PDU”
Mezua enkriptatuta badagoen SNMP SNMPv2-enak
erantzunak
●
Autentikazioa erabili bada entitate baten erabiltzen dira
koordinatzeko
●
●
... identifikatzaile
unibokoa
Mezuaren igorleak jasotzen duen
mezu neurri handiena (byte-tan)
SNMPv3 66