SlideShare uma empresa Scribd logo

Sareen kudeaketa, SNMP eta RMON

Dani Gutiérrez Porset
Dani Gutiérrez Porset
Tecnologia
1 de 69
Baixar para ler offline
Sareen kudeaketa, SNMP eta RMON Sare eta Zerbitzuak II Bilboko IGET/Telematika Dani Gutiérrez Porset 2011ko Azaroa
Dokumentu honi buruz ● Erabilpen lizentzia http://creativecommons.org/licenses/by-sa/3.0/ ● Erabilitako edukierak: ● Atalako argazkia: The Opte Project (cc by-nc-sa 1.0) ● Logotipoak bere jabeen jabetasuna ● Liburua: "SNMP, SNMPv2, SNMPv3, and RMON 1 and 2" - William Stallings – Ed. Addison Wesley ● Marivi Higuero Aperribairen apunteak http://opte.org/maps/ 2
Aurkibidea ● Sarrera ● Sareen kudeaketa ● SNMP ● SNMPv1 ● RMON ● Secure SNMP ● SNMPv2 ● SNMPv3 ● SNMP-rako Software 3
PDCA Metodologia Plangintza Plan Act Do Kontrola Konfigurazioa Check Monitorizazioa Gainbegiratzea http://en.wikipedia.org/wiki/PDCA Sarrera 4
Ekintzak eta Neurriak Erreaktiboak Proaktiboak ● Detekzioa ● Aurresana ● Zuzenketa ● Prebentzioa ● Kausen ezagutza ● Hobespena Sarrera 5
Hasiera-egoera ● Sarearen nodoak kudeatzeko beharra ● Aniztasuna: ● Sareak ● Dispositiboak ● Fabrikatzaileak: protokoloak eta formatuak Sareen kudeaketa 6
Zer da sare bat kudeatzea ● Eragiketak: ● Monitorizazioa ● Software / firmware-ren klonaketa / instalazioa ● Software / firmware-ren eguneraketa / partxeoa ● Konfigurazioa ● Hardware / software-ren zerrenda ● Kalitatea eta Segurtasuna ● Hori guztia era automatiko, urrutiko, masibo, seguru batean Sareen kudeaketa 7
OSI Sarearen kudeaketa eredua ● FCAPS eredua: ● Fault: identifikatu, isolatu, zuzendu, erregistratu ● Configuration: bildu, bidali, aldaketak erregistratu ● Accounting: baliabideen estatistikak, erabiltzaileen eta baimenen administrazioa ● Performance: erabilpen eta erabilgarritasunaren %, akats tasa, erantzun denborak ● Security: autentifikazioa, konfidentzialtasuna, baimenak http://en.wikipedia.org/wiki/FCAPS http://en.wikipedia.org/wiki/Network_management_model Sareen kudeaketa 8
Nodoen sailkapena ● Gaitasun eta adimenaren arabera: Prozesaketa Sarea Periferikoak Mix Sareen kudeaketa 9
Irtenbidea ● Estandarren bidezko interoperabilitatea ● Informazio osagaiak: ● Esanahia = semantika ● Irudikapena = Lexikoa, sintaxia: formatuak ● Trukea: komunikazio protokoloak ● "De facto" vs "de iure" estandarrak Sareen kudeaketa 10
Kudeaketako protokolo estandarrak ● CMIP (Common Management Information Protocol) eta CMOT (CMIP Over TCP/IP): ● OSI/ISO ● Konplexuak eta gutxitan erabilitakoak ● SNMP (Simple Network Management Protocol): Kontrola eta monitorizazioa ● RMON (Remote Monitor): Monitorizazioa http://en.wikipedia.org/wiki/Common_management_information_protocol Sareen kudeaketa 11
Kudeaketarako Software Monitorizazioa http://en.wikipedia.org/wiki/Network_monitoring_comparison http://en.wikipedia.org/wiki/Comparison_of_disk_cloning_software http://en.wikipedia.org/wiki/Comparison_of_open_source_configuration_management_software http://www.linuxjournal.com/content/readers-choice-awards-2010 Sareen kudeaketa 12
SNMP-rik gabeko monitorizaziorako software ● Nodoetan software instalazioa beharrezkoa da ● Tresnak: ● Ekipo gutxi badira, giza interfazea. Adib. web ● Ekipo asko badira, automatikoki: – "Eskuz": script-ak, cron,... – Produktuak: ● Sarea: nagios, mon, sysmon, ntop,... ● Logak: logwatch, oak,... http://www.nagios.org/ https://mon.wiki.kernel.org/ http://www.sysmon.com/ http://www.ntop.org/ http://sourceforge.net/projects/logwatch/ http://www.ktools.org/ Sareen kudeaketa 13
SNMP Simple Network Management Protocol v1: Bakarrik 5 komando v2, v3: 7 komando Helmena: Monitorizazioa eta Kontrola sare zentralizatutak edo banatutak TCP/IP ereduan, IETF-ren RFC-en bidez finkatuta Baina SNMP ez da perfektua! http://en.wikipedia.org/wiki/Snmp SNMP 14
Historia eta Bertsioak 1988 SNMPv1 RMON 1992 Secure SNMP 1993 SNMPv2 SNMPv2c SNMPv2u SNMPv2* 1998 SNMPv3 Gaurko estandarra da (SNMPv1, SNMPv2 zaharrak dira) SNMP 15
Espezifikazioaren osagaiak ● Nodo motak: ● Nodo kudeatzailea edo estazioa, NMS (Network Management System) softwarez ● Software agenteren bidez kudeatutako nodoa ● Protokoloa ● Datuak: ● SMI (Structure of Management Information) ● MIB (Management Information Base) SNMP 16
Nodoen sailkapena ● Kudeaketa funtzioaren arabera: ● Nodo kudeatzaileak ● Agenteen bidezko kudeaturiko nodoak ● Proxy nodoak Sareen kudeaketa 17
Nodo motak: NMS eta Agentea NMS (Network management system) Kudeaturiko dispositiboa MIB MIB Prozesu Prozesu Prozesu Kudeatzailea Agentea ... SNMP SNMP ... UDP UDP TCP IPv4, IPv6 IPv4, IPv6 ● Kudeaturiko nodoekin komunikazioa ● Erabiltzaile interfazea funzionalitate gehigarriekin ● MIB = kudeaturiko nodoen MIB-en batuketa SNMP 18
Nodo motak: Proxy Proxy Agentea SNMP hitz egiten ez duen kudeaturiko dispositiboa Agente Proxy XXX Prozesua Prozesua Prozesua SNMP YYY Protokoloa YYY Protokoloa UDP IPv4, IPv6 SNMP 19
Protokoloa: SNMP TCP/IP ereduan OSI/ISO TCP/IP 7. Aplikazioa 4. Aplikazioa SNMP ASN.1 6. Aurkezpena 5. Saioa 3. Garraioa UDP UDP: 4. Garraioa ● TCP baino trafiko gutxiago ● Ez da fidagarria, baina 3. Sarea baieztapenak Aplikazio geruzan bidaltzen dira 2. Lotura 1. Fisikoa Beste SNMP-ren azpiko protokoloak: ● OSI Connectionless Network Service ● AppleTalk Datagram-Delivery Protocol (DDP) ● Novell IPX http://en.wikipedia.org/wiki/OSI_model ● TCP ere http://en.wikipedia.org/wiki/TCP/IP_model SNMP 20
Protokoloa: Eragiketak eta Primitibak Irakurketa Idazkera Informazioa eskaera eskaera bidalketa GetRequest Sinkronoak GetNextRequest SetRequest Response GetBulkRequest Trap Asinkronoak InformRequest SNMPv2 SNMPv1-ean GetResponse zen KudeatzailetikAgentera Agentetik Kudeatzailera SNMPv2-an Bi noranzkoetan agente batetik bestera joan daiteke SNMP 21
Protokoloa: Polling vs Trap ● Polling = Galdeketa ● Trap = Jakinarazpenak, Etenaldiak ● Irizpideak: ● Informazio periodikoa ● Trafikoren eraginkortasuna SNMP 22
Protokoloa: Fluxuak eta Atakak ● GetRequest ● SetRequest ● GetNextRequest ● GetBulkRequest .../UDP Response ● 161/UDP Kudeatzailea Agentea ● Trap 162/UDP ● InformRequests .../UDP SNMP 23
Protokoloa: segurtasuna ● M:N Erlazioa, agente eta hauei ekiten dieten kudeatzaileak ● Segurtasun aspektuak: ● Autentifikazioa: nor da kudeatzailea, eta nola egiaztatu ● Sarbidea: objetuen baimenak kudeatzaile bakoitzarentzat ● Proxy-ak: proxy baten bidez kudeatutako sistemen politiken implementazioa SNMP 24
Protokoloa: segurtasuna ● Bertsio guztietan eragiten duten erasoak: ● Indar basatiaren bidez (hiztegia), zeren eta ez dute erronka-erantzuna metodorik ● Zerbitzu ukapena ● Fabrikatzaile batzuk ez dute idazketako baimenarik ematen, segurtasun txarragatik SNMPv3 izan ezik, edo bere dispositiboak SNMP-ren bidez konfiguragarriak ez direlako SNMP 25
SMI ● Egitura hierarkiko (zuhaitza) baten arabera objetuak irudikatzeko eskema hedagarri bat ematen du ● Bertsioak: SMIv1, SMIv2 ● Notazioa: ASN.1-en azpimultzoa. Adib: internet OBJECT IDENTIFIER ::= { iso org(3) dod(6) 1 } http://en.wikipedia.org/wiki/Structure_of_Management_Information SNMP 26
SMI-ren osagaiak ● Datubase egituraren eta MIB bakoitzaren zehazpena ● Objetu, Modulu eta jakinarazpeen (traps) definizioak: motak, izenak, sintaxia, MIBak eraikitzeko arauak,... ● BER-en arabera kodifikazioa SNMP 27
ASN.1 ● Metahizkuntza edo Notazia hauekin: ● Sintaxia, adib. Esleipenak: A ::= B Oharrak: -- zer astuna den ikasgai hau ● Edukierak binariora kodifikatzeko arauak, BER-en arabera ● Programa bat iturritik binariora konpilatzea antzekoa http://en.wikipedia.org/wiki/Abstract_Syntax_Notation_One http://en.wikipedia.org/wiki/Basic_Encoding_Rules http://asn1.org/ SNMP 28
SMI zuhaitza Ez dago nodo erroa ordena ● directory: etorkizunerako erabilpena OSI (X.500) direktorioetarako ● management: IAB-n objetu onartuetarako azpizuhaitza ● experimental: frogetarakoa ● private: fabrikatzaile espezifikoetarakoa SNMP 29
SMI-ko objetuak ● Zuhaitzako nodoak: Objetuak=nodo edo kudeatzeko dispositiboa, eta bere ezaugarriak/bailabideak Adib: Router, bere TCP konexioen taularekin ● Nodo bakoiza bere seme-alabekin talde bat bezala ikus daiteke ● SNMP protokoloa: ● Ezin du zuhaitzako egitura aldatu ● Bakarrik nodo-hostoak kudea ditzake SNMP 30
SMI-ko objetuen sintaxia ● Identifikazioa eta beste objetuekiko erlazioa ● Balio mota: ● Erraztasuna eta interoperabilitatearen alde, bakarrik eskalarrak eta taulak daude; ez dago beste azpiegitura konplexuagorik ● SNMP-k bakarrik tipo eskalarrak irakur/idatz ditzake ● Era posibleak (CHOICE) ● Tartea, adib. SYNTAX INTEGER (0..65535) ● Sarbide baimenak (read-only, read-write,...) eta derrigortzea (mandatory, optional) ● Deskribapena SNMP 31
SMI-ko objetuen identifikazioa ● Identifikadore bakarra: ● OBJECT IDENTIFIER tipoa, ASN.1-n ● Puntuen bidez banandutatako zenbaki osoen sekuentzia; zenbaki oso bakoitzak bere adarraren nodoak adierazten ditu ● Noizbehin, dagozkion izenen sekuentzia Adib. 1.3.6.1.2.1.4 iso.org.dod.internet.mgmt.mib_2.ip http://www.faqs.org/rfcs/rfc1902.html SNMP 32
SMI-ko objetu mota ● Eskalarrak: ● 4 Univertsalak: – INTEGER: -231-tik 231-1-etara – OCTET STRING: 0-tik 65535 byte-etara – OBJECT IDENTIFIER – NULL ● Beste tipo bereziak aurrekoetan oinarrituta, APPLICATION klasera elkartutak. ● SMIv2-tan tipo gehiago daude http://www.faqs.org/rfcs/rfc2012.html SNMP 33
SMI-ko objetu mota ● APPLICATION klaserekin lotutako objetuak: ● NetworkAddress: bakarrik IpAddress dago zehaztuta ● IpAddress: 32 bit helbidea ● Counter: 0-tik a 232-1-etara (4.294.967.295). Balorea bakarrik handi daiteke ● Gauge: 0-tik to 232-1-etara. Balorea handi edo txiki daiteke ● TimeTicks: segundo-ehunenak, aro batetik ● Opaque: edozein datu edozein formatutan, OCTET STRING bezala kodifikatuta http://www.faqs.org/rfcs/rfc1155.html SNMP 34
SMI-ko objetu mota ● Array bidimentsionalak (= taulak) hauen bidez: ● SEQUENCE-OF: elementu guztiak mota berdinekoak ● SEQUENCE: elementuak mota berdinekoak edo ez ● INDEX hitza lerroak bereizteko. Adib: tcpConnTable taula tcpConnState tcpConnLocalAddress tcpConnLocalPort tcpConnRemAddress tcpConnRemPort listen(2) 0.0.0.0 21 0.0.0.0 0 listen(2) 0.0.0.0 22 0.0.0.0 0 listen(2) 0.0.0.0 25 0.0.0.0 0 listen(2) 0.0.0.0 80 0.0.0.0 0 established(5) 127.0.0.1 1031 127.0.0.1 1030 established(5) 127.0.0.1 1032 127.0.0.1 1033 http://www.faqs.org/rfcs/rfc2012.html SNMP 35
SMI-ko objetuen definizioa ● Mailak: ● Makroren definizioa, ej. OBJECT-TYPE ● Makro instantzia, tipoak zehazteko, adib. tcpMaxConn tipoa definizioa OBJECT-TYPE makroren bidez ● Makro instantziaren balorea, entitate baten baloreak adierazteko adib. tcpMaxConn balorea, TCP konexio konkretu batean http://www.faqs.org/rfcs/rfc1212.html http://www.faqs.org/rfcs/rfc2012.html SNMP 36
SMI-ko Moduluak ● Erlazionatutako zehazpen taldeak adierazten dituzte ● Motak: ● MIB Moduluak, erlazionatutako objetuak definitzeko ● Adostasuneko sententziak, standard bat bete behar diren objetu taldeak ● Gaitasunetako sententziak, agente baten gaitasunak ezagutarazten dizkioten kudeatzaile bati SNMP 37
SMI eta ASN.1-ri buruzko software ● Adib. implementazioa: libsmi Debian-en eta deribatuetan: apt-cache search libsmi apt-cache search ASN.1 SNMP 38
MIB-ak ● Erabilpen konkretuetarako SMI-ren adarrak ● SMI eta MIB-en arteko desberdintasunak: ● SMI = zehazteko eskema + zuhaitz orokorra ● MIBs = azpi-zuhaitz espezifikoak (semantika+lexikoa), zuhaitz orokorraren barruan http://en.wikipedia.org/wiki/Management_information_base SNMP 39
MIB motak ● Estandarrak: IETF edo IEEE-k mantenduta. Adib: ● MIB-2: TCP/IP dispositiboen kudeaketa ● TCP-MIB: TCP-rako espezifikoa ● Ethernet-MIB ● Pribatuak (interoperabilitatea gutxitzen dute): ● Fabrikatzaileak NMS-rako testu edo deskribapen formala ematen du ● Arazoa: 3 bertsio; nagusia: RFC 1212 http://en.wikipedia.org/wiki/Management_information_base SNMP 40
MIB-en adibideak ● Debian paketea snmp-mibs-downloader ● Direktorioak: ● IANA MIB-ak : /var/lib/mibs/iana ● IETF MIB-ak: /var/lib/mibs/ietf ● RFC-ak: /usr/share/doc/mibrfcs SNMP 41
MIB-2 ● TCP/IP dispositiboen kudeaketa ● 1.3.6.1.2.1 = iso.org.dod.internet.mgmt.mib_2 ● 10 nodo = taldeak system(1) interfaces(2) at (3) Zaharra; MIB-1-ekin konpatibilizatzeko mantenduta ip (4) icmp (5) tcp (6) udp (7) egp (8) Exterior Gateway Protocol (zaharra) transmission (10) Lotura geruzaren datuak snmp (11) http://en.wikipedia.org/wiki/Exterior_Gateway_Protocol SNMP 42
MIB-2-ko objetuen baldintzak ● Erroreak edo konfigurazioa kudeatzeko premiazkoa izatea ● Kontrol objetu bat bada, "ez arriskutsua" izatea ● Erabiltzeko ebidentzia ● Erredundantziak sahiesteko, beste objetuetatik deribatutako objetuak ez sartu ● Objetu espezifikoak baztertu, adib. BSD UNIX- erakoak ● Kontrol askorekiko kode sekzio kritikoak sahiestu (bakarrik kontadore 1) SNMP 43
SNMPv1: PDU-ak IP header UDP header SNMP data SNMP header SNMP PDU version community ● bertsio: 1 ● community: segurtasunerakoa GetRequest, GetNextRequest, SetRequest PDU type request-id 0 0 variable-bindings GetResponse PDU type request-id error-status error-index variable-bindings Trap PDU type enterprise agent-addr generic-trap specific-trap time-stamp variable-bindings izen1 balore1 izen2 balore2 ... izenN baloreN SNMPv1 44
SNMPv1: PDU-ak ● request-id: eskaerak eta erantzunak korrelatzeko; bietan balore berdina erabiltzen da ● error-status, error-index: akatsen kudeaketa ● Jakinarazpena: ● enterprise: sortzen duen objetu mota, sysObjectID-en arabera ● agent-addr: sortzen duen objetuaren helbidea ● generic-trap, specific-trap: motak eta kodeak ● time-stamp: azken sare hasierapenatik; sysUpTime dauka SNMPv1 45
SNMPv1: PDU-ak ● Operazioak: ● Irakurketarako PDU-en (GetRequest, GetNextRequest, Trap) bidezko monitorizazioa ● Idazketarako PDU-en (SetRequest) bidezko kontrola. Objetu espezifiko batzuen baloreak aldatuz, komandoak exekutatzen ditu SNMPv1 46
SNMPv1: PDU-ak ● GetRequest, GetNextRequest eta SetRequest: ● GetResponse-ren bidez baieztatzen dira ● Aldagarri bat baino gehiagotan jardun dezakete ● Eragiketa atomikoak dira: aldagarriren batean txarto egiten badute, ez dute beste inon jarduten ● Trap: ez da GetResponse-ren bidez baieztatzen SNMPv1 47
SNMPv1: PDU-ak ● GetNextRequest: ● Aldagarri bakoitzarako hurrengo nodo-hostoa lortzen du, orden lexikografikoan ● MIB egitura aurki daiteke dinamikoki SNMPv1 48
SNMPv1: Segurtasuna ● "Komunitateak" kontzeptua: agenteak eta hauen gainean lan egiten duten kudeatzaile multzoak ● Segurtasun aspektuak: ● Komunitatearen izenean onarritutako autentikazioa. Partekatzen den testu argian dagoen password bat da, normalean "public" edo "private". Oso eskema pobrea. ● Bistetan (MIB view) eta moduetan (ACCESS MODE adib. Read-only) oinarritutako sarbidea ● Biak konbinatzen dira "community profile" batean SNMPv1 49
RMON ● Remote Monitor sare informazioa monitorizatzeko agenteetarako MIB espezifikoa ● Errendimendu handiagoa sarea (versus dispositiboak) monitorizatzeagatik, adib: Konektibitate faltak edo kongestioaren jakinarazpenak RMON daukaten dispositiboei delegatzea (bestela, dispositibo guztiak jakinarazpenak bidaliko lituzkete) http://en.wikipedia.org/wiki/Remote_monitoring RMON 50
RMON ● Agentera software batean datza: ● Dispositibo (dedikatu edo ez) batean exekutatzen da, zunda ("probe") deituta. Adib. Switch batean ● Modo promiskuoan funzionatzen da, paketeak harrapatzen ● Ohizko erabilpena: RMON agente bat sare segmentu bakoitzean ● Begiratu MIB-ak eta RFC-ak wikipedian http://en.wikipedia.org/wiki/Remote_monitoring RMON 51
RMON ● Operazioak: ● Datu taulen bidezko monitorizazioa: – Trafiko txostenak eta akatsen estatistikak – Gerorako analisietarako paketeak bilketa ● Kontrol tauletako lerroen bidez konfigurazioa ● Ekintzak objetuen bidez martxan jarri dira. Objetuak komandoak adierazten dute, eta egoera aldatzen bada martxan jartzen dira ● Polling baino gehiago, jakinarazpenak erabiltzen dira RMON 52
RMON: MIB-ak ● RMON-erako MIB identifikatzailea: iso.org.dod.internet.mgmt.mib-2.rmon 1.3.6.1.2.1.16 ● Bertsioak: ● RMON1: lotura eta geruza fisikoekin lotuta, bere MIB-ak 10 objetu talde bereizten ditu: estatistikak, alarmak, iragazkiak, gertaerak,... ● RMON2: sare eta goiko geruzekin lotuta, bere MIB- ak beste 10 objetu talde zehazten ditu ● Bi kasuetan dispositiboak ez ditu objetu guztiak inplementatzen RMON 53
RMON: sarbide konkurrentea ● Arazoak egon daitezke kudeatzaile asko batera sartzen direnean: ● Monitorearen gaitasuna gainditzen da ● Monitorearen bailabideak okupatuta/blokeatuta denbora luze, barruko akats batengatik edo kanpoko kudeatzaile batengatik RMON 54
RMON: sarbide konkurrentea ● Ebazpena: "jabetasun etiketa" zutabea kontrol tauletan: ● Bere jabea adierazten du ● Read-write jabearentzat, Read-only besteentzat ● Nodo kudeatzaile batek bere jabea zehazten du, eta askapena berarekin negozia dezake ● Operadore batek askapen aldebakarra egin dezake RMON 55
Secure SNMP ● Autentikazioa eta enkriptazioa ematen du ● Ez da SNMPv1-rekin bateragarria, goiburuaren formatua aldatzen delako: IP header UDP header SNMP data SNMP header SNMP PDU privDst authInfo dstParty srcParty SNMP PDU Enkriptatuta egon daiteke Authentication Info http://tools.ietf.org/html/rfc1351 Secure SNMP 56
SNMPv2 ● SNMPv1-i buruzko aldaketak: ● Sare banatuekin erlazionatuta, managerren arteko komunikazioari esker (RMON bezalako ideia) ● Trafiko eraginkortasun handiagoa balore anitzak lortzeko mezuen bidez ● Segurtasun hobea S-SNMP-etan oinarrituta, baina oso konplexua izateagatik ez zen onartu: SNMPv2 vs SNMPv2c (c=community) ● SMIv2 sortzen da, eta MIB berri bat: 1.3.6.1.6 ● Tauletan lerroak sortu eta ezabatu ahal dira ● Ez da SNMPv1-rekin konpatiblea, baina proxyak eta ingurune dualak erabil daitezke SNMPv2 57
SNMPv2: Protokoloa ● SNMPv1-i buruzko aldaketak: ● Mezuen goiburuak Secure SNMP-en bezala ● PDU-ak: – Berriak: GetBulkRequest, InformRequest – GetResponse aldatuta: Response – Trap egitura aldatuta. Berdinak: GetRequest, GetNextRequest, SetRequest, Trap, InformRequest: PDU type request-id 0 0 variable-bindings – GetRequest, GetNextRequest eta SetRequest ez dira atomikoak, mezuaren aldagarri batzuetan (eta ez guztietan) jardun dezakete ● NMS-en artean trafiko jakinarazpenak daude SNMPv2 58
SNMPv2: GetBulkRequest ● Datu kopuru handia lortzeko trukeak txikiagotzeko erabiltzen da ● PDU: N M N+R aldagarriak PDU type request-id non-repeaters max-repetitions variable-bindings ● Lehenengo N (non-repeaters) aldagarrietarako GetNextRequest PDU kasuan bezalakoa da, ondorengo bat bakarrik itzultzen ● Beste R aldagarrietarako, ondorengo batzuk (M=max-repetitions) itzultzen dira SNMPv2 59
SNMPv2: GetBulkRequest Adib: Interface-Number 1 Physical-Address 00:00:10:54:32:10 Network-Address 9.2.3.4 Type dynamic 2 00:00:10:01:23:45 10.0.0.51 static 3 00:00:10:98:76:54 10.0.0.15 dynamic ● GetBulkRequest: – [ non-repeaters = 1, max-repetitions = 2 ] – ( sysUpTime, ipNetToMediaPhysAddress, ipNetToMediaType ) ● Response: – sysUpTime.0 = "123456" – ipNetToMediaPhysAddress.1.9.2.3.4 = "000010543210" – ipNetToMediaPhysAddress.2.10.0.0.51= "000010012345" – ipNetToMediaType.1.9.2.3.4= "dynamic" – ipNetToMediaType.2.10.0.0.51= "static" SNMPv2 60
SNMPv2: InformRequest ● Trap antzekoa baina Manager-etik baieztapena behar du. Hau jasotzen ez bada, InformRequest berriro bidaltzen da ● Irizpideak: ● Trafiko eraginkortasuna eta memoria baliabideak: Trap ● Hartzeko segurtasuna: InformRequest http://www.cisco.com/en/US/docs/ios/11_3/feature/guide/snmpinfm.html SNMPv2 61
SNMPv3 ● SNMPv2-ri buruzko aldaketak: ● Segurtasuna: – Mezuen osotasuna – Konfidentzialtasuna, paketeak enkriptatuz – Autentizitatea – IP Spoofing: UDP IP spoofing-ekiko (jatorri helbidea aldaketa) ahula da dispositiboak suplantatzeko, eta SNMPv3-k sahiezteko tresnak dauzka ● Framework edo arquitektura berri bat, hedagarria eta SNMPv1 eta SNMPv2-rekin bateragarria ● MIB berriak 1.3.6.1.6 adarrean SNMPv3 62
SNMPv3: Segurtasuna ● Bi segurtasun gaitasun zehazten dira: ● USM (User-based Security Model): – Autentikazio eta konfidentzialtasun (enkriptazio) funtzioak ematen ditu – Mezu mailan dago ● VACM (View-based Acess Control Model): – Ekintza desberdinak egiteko MIB-eko objetuen sarbideko baimena finkatzen du – PDU mailan dago SNMPv3 63
SNMPv3: Arkitektura ● "SNMP entitate"aren kontzeptua: kudeatzaile, agente edo biak bezala izan daiteke, inplementatzen dituen moduluen arabera ● Bi geruzen araberako eskema: ● Aplikazio bat edo gehiago: goiko geruzak PDU-ak sortzen eta jasotzen ditu ● Motor bat: beheko geruza: – Aplikazio eta beheko geruzetako PDU-etarako bitartekoa da: SNMP bertsioa, protokoloak,... – Segurtasuna kudeatzen du: autentikazioa, enkriptazioa eta sarbidea SNMPv3 64
SNMPv3: Arkitektura Kudeatzaile bakarrik Kudeatzaile eta Agente Agente bakarrik Command generator Comand responder Aplikazioak Notification generator Notification responder Proxy forwarder PDU dispatcher Dispatcher Message dispatcher Transport mapping (UDP,..) Motor Message processing subsystem (v1, v2, v3) Security subsystem Access subsystem SNMPv3 65
SNMPv3: Mezu formatua MsgGlobalData Segurtasun ereduan MsgData = goiburua zehaztuta eta erabilita = ScopedPDU msg msg msg msg msg msg context context PDU Version Id MaxSize Flags SecurityModel SecurityParameters EngineID Name Enkriptazio Igorleak Segurtasun sistemak esparrua erabilitako sortutak 3 eredua Eskaerak eta ● Noiz bidali “Report PDU” Mezua enkriptatuta badagoen SNMP SNMPv2-enak erantzunak ● Autentikazioa erabili bada entitate baten erabiltzen dira koordinatzeko ● ● ... identifikatzaile unibokoa Mezuaren igorleak jasotzen duen mezu neurri handiena (byte-tan) SNMPv3 66
SNMP-rako software ● Inplementazio librearen adibidea: Net-SNMP ● Komandoak: ● snmpget - > GetRequest adib: snmpget -v1 -c public localhost 1.3.6.1.2.1.1.1 ● snmpgetnext, snmpwalk -> GetNextRequest ● snmpset -> SetRequest ● snmptrap -> Trap http://www.net-snmp.org/ http://net-snmp.sourceforge.net/wiki/index.php/FAQ SNMP-rako Software 67
SNMP-rako software ● Ubuntu paketeak: ● Agente (snmpd) eta kudeatzaileko (snmp) oinarrizko softwarea ● Lengoaia batzuetarako lotura eta runtime liburutegiak : C, java, php, perl, python, ruby ● Interfazeak: kontsola, kontsola propioa (scli, snimpy), idazmahaiarako applet, bezero grafikoa, web ● Programa espezifikoak: cacti, collectd, FusionInventory, mrtg, munin, nagios, netdisco, netwox, zabbix ● Dispositiboak: AP, Cisco, UPS, ● Besteak: scanner, MIBs downloader, trap-en kudeatzaileak, tresna batzuk SNMP-rako Software 68
SNMP-rako software ● MIB browser dohainak Software Lizentzia GUI Plataformak tkmib Askea Tk GNU/Linux SnmpB Askea Qt GNU/Linux, Windows,... mbrowse Askea Gtk GNU/Linux, Windows,... iReasoning Privatiboa Java GNU/Linux, Windows,... MG-SOFT Privatiboa Windows Windows SNMP-rako Software 69

Recomendados

Kubuntu - Aplicaciones
Kubuntu - AplicacionesKubuntu - Aplicaciones
Kubuntu - AplicacionesDani Gutiérrez Porset
 
Akademy 2013 bilbao_proposal
Akademy 2013 bilbao_proposalAkademy 2013 bilbao_proposal
Akademy 2013 bilbao_proposalDani Gutiérrez Porset
 
FFMPEG and LibAV
FFMPEG and LibAVFFMPEG and LibAV
FFMPEG and LibAVDani Gutiérrez Porset
 
Introducción al diseño grafico con software libre
Introducción al diseño grafico con software libreIntroducción al diseño grafico con software libre
Introducción al diseño grafico con software libreDani Gutiérrez Porset
 
Moodle avanzado - Julio 2012
Moodle avanzado - Julio 2012Moodle avanzado - Julio 2012
Moodle avanzado - Julio 2012Dani Gutiérrez Porset
 
Web 2.0 (2010ko abendua) euskeraz
Web 2.0 (2010ko abendua) euskerazWeb 2.0 (2010ko abendua) euskeraz
Web 2.0 (2010ko abendua) euskerazDani Gutiérrez Porset
 
DHCP, DNS, whois
DHCP, DNS, whoisDHCP, DNS, whois
DHCP, DNS, whoisDani Gutiérrez Porset
 
Evolución de las Herramientas de aprendizaje online con licencia libre
Evolución de las Herramientas de aprendizaje online con licencia libreEvolución de las Herramientas de aprendizaje online con licencia libre
Evolución de las Herramientas de aprendizaje online con licencia libreDani Gutiérrez Porset
 

Recomendados

Kubuntu - Aplicaciones
Kubuntu - AplicacionesKubuntu - Aplicaciones
Kubuntu - AplicacionesDani Gutiérrez Porset
 
Akademy 2013 bilbao_proposal
Akademy 2013 bilbao_proposalAkademy 2013 bilbao_proposal
Akademy 2013 bilbao_proposalDani Gutiérrez Porset
 
FFMPEG and LibAV
FFMPEG and LibAVFFMPEG and LibAV
FFMPEG and LibAVDani Gutiérrez Porset
 
Introducción al diseño grafico con software libre
Introducción al diseño grafico con software libreIntroducción al diseño grafico con software libre
Introducción al diseño grafico con software libreDani Gutiérrez Porset
 
Moodle avanzado - Julio 2012
Moodle avanzado - Julio 2012Moodle avanzado - Julio 2012
Moodle avanzado - Julio 2012Dani Gutiérrez Porset
 
Web 2.0 (2010ko abendua) euskeraz
Web 2.0 (2010ko abendua) euskerazWeb 2.0 (2010ko abendua) euskeraz
Web 2.0 (2010ko abendua) euskerazDani Gutiérrez Porset
 
DHCP, DNS, whois
DHCP, DNS, whoisDHCP, DNS, whois
DHCP, DNS, whoisDani Gutiérrez Porset
 
Evolución de las Herramientas de aprendizaje online con licencia libre
Evolución de las Herramientas de aprendizaje online con licencia libreEvolución de las Herramientas de aprendizaje online con licencia libre
Evolución de las Herramientas de aprendizaje online con licencia libreDani Gutiérrez Porset
 
Cómo hacer una buena presentación
Cómo hacer una buena presentaciónCómo hacer una buena presentación
Cómo hacer una buena presentaciónDani Gutiérrez Porset
 
Intro a los sistemas operativos móviles
Intro a los sistemas operativos móvilesIntro a los sistemas operativos móviles
Intro a los sistemas operativos móvilesDani Gutiérrez Porset
 
Librecon 2016 - Emprendizaje digital y Software libre
Librecon 2016 - Emprendizaje digital y Software libreLibrecon 2016 - Emprendizaje digital y Software libre
Librecon 2016 - Emprendizaje digital y Software libreDani Gutiérrez Porset
 
Multimedia Services: Image
Multimedia Services: ImageMultimedia Services: Image
Multimedia Services: ImageDani Gutiérrez Porset
 
Multimedia Services: Video
Multimedia Services: VideoMultimedia Services: Video
Multimedia Services: VideoDani Gutiérrez Porset
 
Gestión de redes, SNMP y RMON
Gestión de redes, SNMP y RMONGestión de redes, SNMP y RMON
Gestión de redes, SNMP y RMONDani Gutiérrez Porset
 
Multimedia Services: Audio
Multimedia Services: AudioMultimedia Services: Audio
Multimedia Services: AudioDani Gutiérrez Porset
 
Sockets ipv4
Sockets ipv4Sockets ipv4
Sockets ipv4Dani Gutiérrez Porset
 
Mecanismos IPC system V en Linux
Mecanismos IPC system V en LinuxMecanismos IPC system V en Linux
Mecanismos IPC system V en LinuxDani Gutiérrez Porset
 
Señales en Linux
Señales en LinuxSeñales en Linux
Señales en LinuxDani Gutiérrez Porset
 
Ofimatica con Libreoffice
Ofimatica con LibreofficeOfimatica con Libreoffice
Ofimatica con LibreofficeDani Gutiérrez Porset
 
Web 2.0 (dic 2010)
Web 2.0 (dic 2010)Web 2.0 (dic 2010)
Web 2.0 (dic 2010)Dani Gutiérrez Porset
 
kde on windows
kde on windowskde on windows
kde on windowsDani Gutiérrez Porset
 
Software libre para una ciudadanía libre
Software libre para una ciudadanía libreSoftware libre para una ciudadanía libre
Software libre para una ciudadanía libreDani Gutiérrez Porset
 
Amenazas en la red: ataques, ciberespionaje y malware
Amenazas en la red: ataques, ciberespionaje y malwareAmenazas en la red: ataques, ciberespionaje y malware
Amenazas en la red: ataques, ciberespionaje y malwareDani Gutiérrez Porset
 
Kubuntu - Instalación y Configuración
Kubuntu - Instalación y ConfiguraciónKubuntu - Instalación y Configuración
Kubuntu - Instalación y ConfiguraciónDani Gutiérrez Porset
 
Nmap, the free scanner
Nmap, the free scannerNmap, the free scanner
Nmap, the free scannerDani Gutiérrez Porset
 
The holy grail
The holy grailThe holy grail
The holy grailDani Gutiérrez Porset
 
7 consejos para triunfar en el cambio a software libre
7 consejos para triunfar en el cambio a software libre7 consejos para triunfar en el cambio a software libre
7 consejos para triunfar en el cambio a software libreDani Gutiérrez Porset
 
Software libre en nuestro entorno
Software libre en nuestro entornoSoftware libre en nuestro entorno
Software libre en nuestro entornoDani Gutiérrez Porset
 
Introducción a kubuntu
Introducción a kubuntuIntroducción a kubuntu
Introducción a kubuntuDani Gutiérrez Porset
 
Introducción al sistema operativo gnu/linux
Introducción al sistema operativo gnu/linuxIntroducción al sistema operativo gnu/linux
Introducción al sistema operativo gnu/linuxDani Gutiérrez Porset
 

Mais conteúdo relacionado

Destaque

Intro a los sistemas operativos móviles
Intro a los sistemas operativos móvilesIntro a los sistemas operativos móviles
Intro a los sistemas operativos móvilesDani Gutiérrez Porset
 
Librecon 2016 - Emprendizaje digital y Software libre
Librecon 2016 - Emprendizaje digital y Software libreLibrecon 2016 - Emprendizaje digital y Software libre
Librecon 2016 - Emprendizaje digital y Software libreDani Gutiérrez Porset
 

Destaque (6)

Cómo hacer una buena presentación
Cómo hacer una buena presentaciónCómo hacer una buena presentación
Cómo hacer una buena presentación
 
Intro a los sistemas operativos móviles
Intro a los sistemas operativos móvilesIntro a los sistemas operativos móviles
Intro a los sistemas operativos móviles
 
Librecon 2016 - Emprendizaje digital y Software libre
Librecon 2016 - Emprendizaje digital y Software libreLibrecon 2016 - Emprendizaje digital y Software libre
Librecon 2016 - Emprendizaje digital y Software libre
 
Multimedia Services: Image
Multimedia Services: ImageMultimedia Services: Image
Multimedia Services: Image
 
Multimedia Services: Video
Multimedia Services: VideoMultimedia Services: Video
Multimedia Services: Video
 
Gestión de redes, SNMP y RMON
Gestión de redes, SNMP y RMONGestión de redes, SNMP y RMON
Gestión de redes, SNMP y RMON
 

Mais de Dani Gutiérrez Porset

Software libre para una ciudadanía libre
Software libre para una ciudadanía libreSoftware libre para una ciudadanía libre
Software libre para una ciudadanía libreDani Gutiérrez Porset
 
Amenazas en la red: ataques, ciberespionaje y malware
Amenazas en la red: ataques, ciberespionaje y malwareAmenazas en la red: ataques, ciberespionaje y malware
Amenazas en la red: ataques, ciberespionaje y malwareDani Gutiérrez Porset
 
Kubuntu - Instalación y Configuración
Kubuntu - Instalación y ConfiguraciónKubuntu - Instalación y Configuración
Kubuntu - Instalación y ConfiguraciónDani Gutiérrez Porset
 
7 consejos para triunfar en el cambio a software libre
7 consejos para triunfar en el cambio a software libre7 consejos para triunfar en el cambio a software libre
7 consejos para triunfar en el cambio a software libreDani Gutiérrez Porset
 
Introducción al sistema operativo gnu/linux
Introducción al sistema operativo gnu/linuxIntroducción al sistema operativo gnu/linux
Introducción al sistema operativo gnu/linuxDani Gutiérrez Porset
 

Mais de Dani Gutiérrez Porset (16)

Multimedia Services: Audio
Multimedia Services: AudioMultimedia Services: Audio
Multimedia Services: Audio
 
Sockets ipv4
Sockets ipv4Sockets ipv4
Sockets ipv4
 
Mecanismos IPC system V en Linux
Mecanismos IPC system V en LinuxMecanismos IPC system V en Linux
Mecanismos IPC system V en Linux
 
Señales en Linux
Señales en LinuxSeñales en Linux
Señales en Linux
 
Ofimatica con Libreoffice
Ofimatica con LibreofficeOfimatica con Libreoffice
Ofimatica con Libreoffice
 
Web 2.0 (dic 2010)
Web 2.0 (dic 2010)Web 2.0 (dic 2010)
Web 2.0 (dic 2010)
 
kde on windows
kde on windowskde on windows
kde on windows
 
Software libre para una ciudadanía libre
Software libre para una ciudadanía libreSoftware libre para una ciudadanía libre
Software libre para una ciudadanía libre
 
Amenazas en la red: ataques, ciberespionaje y malware
Amenazas en la red: ataques, ciberespionaje y malwareAmenazas en la red: ataques, ciberespionaje y malware
Amenazas en la red: ataques, ciberespionaje y malware
 
Kubuntu - Instalación y Configuración
Kubuntu - Instalación y ConfiguraciónKubuntu - Instalación y Configuración
Kubuntu - Instalación y Configuración
 
Nmap, the free scanner
Nmap, the free scannerNmap, the free scanner
Nmap, the free scanner
 
The holy grail
The holy grailThe holy grail
The holy grail
 
7 consejos para triunfar en el cambio a software libre
7 consejos para triunfar en el cambio a software libre7 consejos para triunfar en el cambio a software libre
7 consejos para triunfar en el cambio a software libre
 
Software libre en nuestro entorno
Software libre en nuestro entornoSoftware libre en nuestro entorno
Software libre en nuestro entorno
 
Introducción a kubuntu
Introducción a kubuntuIntroducción a kubuntu
Introducción a kubuntu
 
Introducción al sistema operativo gnu/linux
Introducción al sistema operativo gnu/linuxIntroducción al sistema operativo gnu/linux
Introducción al sistema operativo gnu/linux
 

Sareen kudeaketa, SNMP eta RMON

  • 1. Sareen kudeaketa, SNMP eta RMON Sare eta Zerbitzuak II Bilboko IGET/Telematika Dani Gutiérrez Porset 2011ko Azaroa
  • 2. Dokumentu honi buruz ● Erabilpen lizentzia http://creativecommons.org/licenses/by-sa/3.0/ ● Erabilitako edukierak: ● Atalako argazkia: The Opte Project (cc by-nc-sa 1.0) ● Logotipoak bere jabeen jabetasuna ● Liburua: "SNMP, SNMPv2, SNMPv3, and RMON 1 and 2" - William Stallings – Ed. Addison Wesley ● Marivi Higuero Aperribairen apunteak http://opte.org/maps/ 2
  • 3. Aurkibidea ● Sarrera ● Sareen kudeaketa ● SNMP ● SNMPv1 ● RMON ● Secure SNMP ● SNMPv2 ● SNMPv3 ● SNMP-rako Software 3
  • 4. PDCA Metodologia Plangintza Plan Act Do Kontrola Konfigurazioa Check Monitorizazioa Gainbegiratzea http://en.wikipedia.org/wiki/PDCA Sarrera 4
  • 5. Ekintzak eta Neurriak Erreaktiboak Proaktiboak ● Detekzioa ● Aurresana ● Zuzenketa ● Prebentzioa ● Kausen ezagutza ● Hobespena Sarrera 5
  • 6. Hasiera-egoera ● Sarearen nodoak kudeatzeko beharra ● Aniztasuna: ● Sareak ● Dispositiboak ● Fabrikatzaileak: protokoloak eta formatuak Sareen kudeaketa 6
  • 7. Zer da sare bat kudeatzea ● Eragiketak: ● Monitorizazioa ● Software / firmware-ren klonaketa / instalazioa ● Software / firmware-ren eguneraketa / partxeoa ● Konfigurazioa ● Hardware / software-ren zerrenda ● Kalitatea eta Segurtasuna ● Hori guztia era automatiko, urrutiko, masibo, seguru batean Sareen kudeaketa 7
  • 8. OSI Sarearen kudeaketa eredua ● FCAPS eredua: ● Fault: identifikatu, isolatu, zuzendu, erregistratu ● Configuration: bildu, bidali, aldaketak erregistratu ● Accounting: baliabideen estatistikak, erabiltzaileen eta baimenen administrazioa ● Performance: erabilpen eta erabilgarritasunaren %, akats tasa, erantzun denborak ● Security: autentifikazioa, konfidentzialtasuna, baimenak http://en.wikipedia.org/wiki/FCAPS http://en.wikipedia.org/wiki/Network_management_model Sareen kudeaketa 8
  • 9. Nodoen sailkapena ● Gaitasun eta adimenaren arabera: Prozesaketa Sarea Periferikoak Mix Sareen kudeaketa 9
  • 10. Irtenbidea ● Estandarren bidezko interoperabilitatea ● Informazio osagaiak: ● Esanahia = semantika ● Irudikapena = Lexikoa, sintaxia: formatuak ● Trukea: komunikazio protokoloak ● "De facto" vs "de iure" estandarrak Sareen kudeaketa 10
  • 11. Kudeaketako protokolo estandarrak ● CMIP (Common Management Information Protocol) eta CMOT (CMIP Over TCP/IP): ● OSI/ISO ● Konplexuak eta gutxitan erabilitakoak ● SNMP (Simple Network Management Protocol): Kontrola eta monitorizazioa ● RMON (Remote Monitor): Monitorizazioa http://en.wikipedia.org/wiki/Common_management_information_protocol Sareen kudeaketa 11
  • 12. Kudeaketarako Software Monitorizazioa http://en.wikipedia.org/wiki/Network_monitoring_comparison http://en.wikipedia.org/wiki/Comparison_of_disk_cloning_software http://en.wikipedia.org/wiki/Comparison_of_open_source_configuration_management_software http://www.linuxjournal.com/content/readers-choice-awards-2010 Sareen kudeaketa 12
  • 13. SNMP-rik gabeko monitorizaziorako software ● Nodoetan software instalazioa beharrezkoa da ● Tresnak: ● Ekipo gutxi badira, giza interfazea. Adib. web ● Ekipo asko badira, automatikoki: – "Eskuz": script-ak, cron,... – Produktuak: ● Sarea: nagios, mon, sysmon, ntop,... ● Logak: logwatch, oak,... http://www.nagios.org/ https://mon.wiki.kernel.org/ http://www.sysmon.com/ http://www.ntop.org/ http://sourceforge.net/projects/logwatch/ http://www.ktools.org/ Sareen kudeaketa 13
  • 14. SNMP Simple Network Management Protocol v1: Bakarrik 5 komando v2, v3: 7 komando Helmena: Monitorizazioa eta Kontrola sare zentralizatutak edo banatutak TCP/IP ereduan, IETF-ren RFC-en bidez finkatuta Baina SNMP ez da perfektua! http://en.wikipedia.org/wiki/Snmp SNMP 14
  • 15. Historia eta Bertsioak 1988 SNMPv1 RMON 1992 Secure SNMP 1993 SNMPv2 SNMPv2c SNMPv2u SNMPv2* 1998 SNMPv3 Gaurko estandarra da (SNMPv1, SNMPv2 zaharrak dira) SNMP 15
  • 16. Espezifikazioaren osagaiak ● Nodo motak: ● Nodo kudeatzailea edo estazioa, NMS (Network Management System) softwarez ● Software agenteren bidez kudeatutako nodoa ● Protokoloa ● Datuak: ● SMI (Structure of Management Information) ● MIB (Management Information Base) SNMP 16
  • 17. Nodoen sailkapena ● Kudeaketa funtzioaren arabera: ● Nodo kudeatzaileak ● Agenteen bidezko kudeaturiko nodoak ● Proxy nodoak Sareen kudeaketa 17
  • 18. Nodo motak: NMS eta Agentea NMS (Network management system) Kudeaturiko dispositiboa MIB MIB Prozesu Prozesu Prozesu Kudeatzailea Agentea ... SNMP SNMP ... UDP UDP TCP IPv4, IPv6 IPv4, IPv6 ● Kudeaturiko nodoekin komunikazioa ● Erabiltzaile interfazea funzionalitate gehigarriekin ● MIB = kudeaturiko nodoen MIB-en batuketa SNMP 18
  • 19. Nodo motak: Proxy Proxy Agentea SNMP hitz egiten ez duen kudeaturiko dispositiboa Agente Proxy XXX Prozesua Prozesua Prozesua SNMP YYY Protokoloa YYY Protokoloa UDP IPv4, IPv6 SNMP 19
  • 20. Protokoloa: SNMP TCP/IP ereduan OSI/ISO TCP/IP 7. Aplikazioa 4. Aplikazioa SNMP ASN.1 6. Aurkezpena 5. Saioa 3. Garraioa UDP UDP: 4. Garraioa ● TCP baino trafiko gutxiago ● Ez da fidagarria, baina 3. Sarea baieztapenak Aplikazio geruzan bidaltzen dira 2. Lotura 1. Fisikoa Beste SNMP-ren azpiko protokoloak: ● OSI Connectionless Network Service ● AppleTalk Datagram-Delivery Protocol (DDP) ● Novell IPX http://en.wikipedia.org/wiki/OSI_model ● TCP ere http://en.wikipedia.org/wiki/TCP/IP_model SNMP 20
  • 21. Protokoloa: Eragiketak eta Primitibak Irakurketa Idazkera Informazioa eskaera eskaera bidalketa GetRequest Sinkronoak GetNextRequest SetRequest Response GetBulkRequest Trap Asinkronoak InformRequest SNMPv2 SNMPv1-ean GetResponse zen KudeatzailetikAgentera Agentetik Kudeatzailera SNMPv2-an Bi noranzkoetan agente batetik bestera joan daiteke SNMP 21
  • 22. Protokoloa: Polling vs Trap ● Polling = Galdeketa ● Trap = Jakinarazpenak, Etenaldiak ● Irizpideak: ● Informazio periodikoa ● Trafikoren eraginkortasuna SNMP 22
  • 23. Protokoloa: Fluxuak eta Atakak ● GetRequest ● SetRequest ● GetNextRequest ● GetBulkRequest .../UDP Response ● 161/UDP Kudeatzailea Agentea ● Trap 162/UDP ● InformRequests .../UDP SNMP 23
  • 24. Protokoloa: segurtasuna ● M:N Erlazioa, agente eta hauei ekiten dieten kudeatzaileak ● Segurtasun aspektuak: ● Autentifikazioa: nor da kudeatzailea, eta nola egiaztatu ● Sarbidea: objetuen baimenak kudeatzaile bakoitzarentzat ● Proxy-ak: proxy baten bidez kudeatutako sistemen politiken implementazioa SNMP 24
  • 25. Protokoloa: segurtasuna ● Bertsio guztietan eragiten duten erasoak: ● Indar basatiaren bidez (hiztegia), zeren eta ez dute erronka-erantzuna metodorik ● Zerbitzu ukapena ● Fabrikatzaile batzuk ez dute idazketako baimenarik ematen, segurtasun txarragatik SNMPv3 izan ezik, edo bere dispositiboak SNMP-ren bidez konfiguragarriak ez direlako SNMP 25
  • 26. SMI ● Egitura hierarkiko (zuhaitza) baten arabera objetuak irudikatzeko eskema hedagarri bat ematen du ● Bertsioak: SMIv1, SMIv2 ● Notazioa: ASN.1-en azpimultzoa. Adib: internet OBJECT IDENTIFIER ::= { iso org(3) dod(6) 1 } http://en.wikipedia.org/wiki/Structure_of_Management_Information SNMP 26
  • 27. SMI-ren osagaiak ● Datubase egituraren eta MIB bakoitzaren zehazpena ● Objetu, Modulu eta jakinarazpeen (traps) definizioak: motak, izenak, sintaxia, MIBak eraikitzeko arauak,... ● BER-en arabera kodifikazioa SNMP 27
  • 28. ASN.1 ● Metahizkuntza edo Notazia hauekin: ● Sintaxia, adib. Esleipenak: A ::= B Oharrak: -- zer astuna den ikasgai hau ● Edukierak binariora kodifikatzeko arauak, BER-en arabera ● Programa bat iturritik binariora konpilatzea antzekoa http://en.wikipedia.org/wiki/Abstract_Syntax_Notation_One http://en.wikipedia.org/wiki/Basic_Encoding_Rules http://asn1.org/ SNMP 28
  • 29. SMI zuhaitza Ez dago nodo erroa ordena ● directory: etorkizunerako erabilpena OSI (X.500) direktorioetarako ● management: IAB-n objetu onartuetarako azpizuhaitza ● experimental: frogetarakoa ● private: fabrikatzaile espezifikoetarakoa SNMP 29
  • 30. SMI-ko objetuak ● Zuhaitzako nodoak: Objetuak=nodo edo kudeatzeko dispositiboa, eta bere ezaugarriak/bailabideak Adib: Router, bere TCP konexioen taularekin ● Nodo bakoiza bere seme-alabekin talde bat bezala ikus daiteke ● SNMP protokoloa: ● Ezin du zuhaitzako egitura aldatu ● Bakarrik nodo-hostoak kudea ditzake SNMP 30
  • 31. SMI-ko objetuen sintaxia ● Identifikazioa eta beste objetuekiko erlazioa ● Balio mota: ● Erraztasuna eta interoperabilitatearen alde, bakarrik eskalarrak eta taulak daude; ez dago beste azpiegitura konplexuagorik ● SNMP-k bakarrik tipo eskalarrak irakur/idatz ditzake ● Era posibleak (CHOICE) ● Tartea, adib. SYNTAX INTEGER (0..65535) ● Sarbide baimenak (read-only, read-write,...) eta derrigortzea (mandatory, optional) ● Deskribapena SNMP 31
  • 32. SMI-ko objetuen identifikazioa ● Identifikadore bakarra: ● OBJECT IDENTIFIER tipoa, ASN.1-n ● Puntuen bidez banandutatako zenbaki osoen sekuentzia; zenbaki oso bakoitzak bere adarraren nodoak adierazten ditu ● Noizbehin, dagozkion izenen sekuentzia Adib. 1.3.6.1.2.1.4 iso.org.dod.internet.mgmt.mib_2.ip http://www.faqs.org/rfcs/rfc1902.html SNMP 32
  • 33. SMI-ko objetu mota ● Eskalarrak: ● 4 Univertsalak: – INTEGER: -231-tik 231-1-etara – OCTET STRING: 0-tik 65535 byte-etara – OBJECT IDENTIFIER – NULL ● Beste tipo bereziak aurrekoetan oinarrituta, APPLICATION klasera elkartutak. ● SMIv2-tan tipo gehiago daude http://www.faqs.org/rfcs/rfc2012.html SNMP 33
  • 34. SMI-ko objetu mota ● APPLICATION klaserekin lotutako objetuak: ● NetworkAddress: bakarrik IpAddress dago zehaztuta ● IpAddress: 32 bit helbidea ● Counter: 0-tik a 232-1-etara (4.294.967.295). Balorea bakarrik handi daiteke ● Gauge: 0-tik to 232-1-etara. Balorea handi edo txiki daiteke ● TimeTicks: segundo-ehunenak, aro batetik ● Opaque: edozein datu edozein formatutan, OCTET STRING bezala kodifikatuta http://www.faqs.org/rfcs/rfc1155.html SNMP 34
  • 35. SMI-ko objetu mota ● Array bidimentsionalak (= taulak) hauen bidez: ● SEQUENCE-OF: elementu guztiak mota berdinekoak ● SEQUENCE: elementuak mota berdinekoak edo ez ● INDEX hitza lerroak bereizteko. Adib: tcpConnTable taula tcpConnState tcpConnLocalAddress tcpConnLocalPort tcpConnRemAddress tcpConnRemPort listen(2) 0.0.0.0 21 0.0.0.0 0 listen(2) 0.0.0.0 22 0.0.0.0 0 listen(2) 0.0.0.0 25 0.0.0.0 0 listen(2) 0.0.0.0 80 0.0.0.0 0 established(5) 127.0.0.1 1031 127.0.0.1 1030 established(5) 127.0.0.1 1032 127.0.0.1 1033 http://www.faqs.org/rfcs/rfc2012.html SNMP 35
  • 36. SMI-ko objetuen definizioa ● Mailak: ● Makroren definizioa, ej. OBJECT-TYPE ● Makro instantzia, tipoak zehazteko, adib. tcpMaxConn tipoa definizioa OBJECT-TYPE makroren bidez ● Makro instantziaren balorea, entitate baten baloreak adierazteko adib. tcpMaxConn balorea, TCP konexio konkretu batean http://www.faqs.org/rfcs/rfc1212.html http://www.faqs.org/rfcs/rfc2012.html SNMP 36
  • 37. SMI-ko Moduluak ● Erlazionatutako zehazpen taldeak adierazten dituzte ● Motak: ● MIB Moduluak, erlazionatutako objetuak definitzeko ● Adostasuneko sententziak, standard bat bete behar diren objetu taldeak ● Gaitasunetako sententziak, agente baten gaitasunak ezagutarazten dizkioten kudeatzaile bati SNMP 37
  • 38. SMI eta ASN.1-ri buruzko software ● Adib. implementazioa: libsmi Debian-en eta deribatuetan: apt-cache search libsmi apt-cache search ASN.1 SNMP 38
  • 39. MIB-ak ● Erabilpen konkretuetarako SMI-ren adarrak ● SMI eta MIB-en arteko desberdintasunak: ● SMI = zehazteko eskema + zuhaitz orokorra ● MIBs = azpi-zuhaitz espezifikoak (semantika+lexikoa), zuhaitz orokorraren barruan http://en.wikipedia.org/wiki/Management_information_base SNMP 39
  • 40. MIB motak ● Estandarrak: IETF edo IEEE-k mantenduta. Adib: ● MIB-2: TCP/IP dispositiboen kudeaketa ● TCP-MIB: TCP-rako espezifikoa ● Ethernet-MIB ● Pribatuak (interoperabilitatea gutxitzen dute): ● Fabrikatzaileak NMS-rako testu edo deskribapen formala ematen du ● Arazoa: 3 bertsio; nagusia: RFC 1212 http://en.wikipedia.org/wiki/Management_information_base SNMP 40
  • 41. MIB-en adibideak ● Debian paketea snmp-mibs-downloader ● Direktorioak: ● IANA MIB-ak : /var/lib/mibs/iana ● IETF MIB-ak: /var/lib/mibs/ietf ● RFC-ak: /usr/share/doc/mibrfcs SNMP 41
  • 42. MIB-2 ● TCP/IP dispositiboen kudeaketa ● 1.3.6.1.2.1 = iso.org.dod.internet.mgmt.mib_2 ● 10 nodo = taldeak system(1) interfaces(2) at (3) Zaharra; MIB-1-ekin konpatibilizatzeko mantenduta ip (4) icmp (5) tcp (6) udp (7) egp (8) Exterior Gateway Protocol (zaharra) transmission (10) Lotura geruzaren datuak snmp (11) http://en.wikipedia.org/wiki/Exterior_Gateway_Protocol SNMP 42
  • 43. MIB-2-ko objetuen baldintzak ● Erroreak edo konfigurazioa kudeatzeko premiazkoa izatea ● Kontrol objetu bat bada, "ez arriskutsua" izatea ● Erabiltzeko ebidentzia ● Erredundantziak sahiesteko, beste objetuetatik deribatutako objetuak ez sartu ● Objetu espezifikoak baztertu, adib. BSD UNIX- erakoak ● Kontrol askorekiko kode sekzio kritikoak sahiestu (bakarrik kontadore 1) SNMP 43
  • 44. SNMPv1: PDU-ak IP header UDP header SNMP data SNMP header SNMP PDU version community ● bertsio: 1 ● community: segurtasunerakoa GetRequest, GetNextRequest, SetRequest PDU type request-id 0 0 variable-bindings GetResponse PDU type request-id error-status error-index variable-bindings Trap PDU type enterprise agent-addr generic-trap specific-trap time-stamp variable-bindings izen1 balore1 izen2 balore2 ... izenN baloreN SNMPv1 44
  • 45. SNMPv1: PDU-ak ● request-id: eskaerak eta erantzunak korrelatzeko; bietan balore berdina erabiltzen da ● error-status, error-index: akatsen kudeaketa ● Jakinarazpena: ● enterprise: sortzen duen objetu mota, sysObjectID-en arabera ● agent-addr: sortzen duen objetuaren helbidea ● generic-trap, specific-trap: motak eta kodeak ● time-stamp: azken sare hasierapenatik; sysUpTime dauka SNMPv1 45
  • 46. SNMPv1: PDU-ak ● Operazioak: ● Irakurketarako PDU-en (GetRequest, GetNextRequest, Trap) bidezko monitorizazioa ● Idazketarako PDU-en (SetRequest) bidezko kontrola. Objetu espezifiko batzuen baloreak aldatuz, komandoak exekutatzen ditu SNMPv1 46
  • 47. SNMPv1: PDU-ak ● GetRequest, GetNextRequest eta SetRequest: ● GetResponse-ren bidez baieztatzen dira ● Aldagarri bat baino gehiagotan jardun dezakete ● Eragiketa atomikoak dira: aldagarriren batean txarto egiten badute, ez dute beste inon jarduten ● Trap: ez da GetResponse-ren bidez baieztatzen SNMPv1 47
  • 48. SNMPv1: PDU-ak ● GetNextRequest: ● Aldagarri bakoitzarako hurrengo nodo-hostoa lortzen du, orden lexikografikoan ● MIB egitura aurki daiteke dinamikoki SNMPv1 48
  • 49. SNMPv1: Segurtasuna ● "Komunitateak" kontzeptua: agenteak eta hauen gainean lan egiten duten kudeatzaile multzoak ● Segurtasun aspektuak: ● Komunitatearen izenean onarritutako autentikazioa. Partekatzen den testu argian dagoen password bat da, normalean "public" edo "private". Oso eskema pobrea. ● Bistetan (MIB view) eta moduetan (ACCESS MODE adib. Read-only) oinarritutako sarbidea ● Biak konbinatzen dira "community profile" batean SNMPv1 49
  • 50. RMON ● Remote Monitor sare informazioa monitorizatzeko agenteetarako MIB espezifikoa ● Errendimendu handiagoa sarea (versus dispositiboak) monitorizatzeagatik, adib: Konektibitate faltak edo kongestioaren jakinarazpenak RMON daukaten dispositiboei delegatzea (bestela, dispositibo guztiak jakinarazpenak bidaliko lituzkete) http://en.wikipedia.org/wiki/Remote_monitoring RMON 50
  • 51. RMON ● Agentera software batean datza: ● Dispositibo (dedikatu edo ez) batean exekutatzen da, zunda ("probe") deituta. Adib. Switch batean ● Modo promiskuoan funzionatzen da, paketeak harrapatzen ● Ohizko erabilpena: RMON agente bat sare segmentu bakoitzean ● Begiratu MIB-ak eta RFC-ak wikipedian http://en.wikipedia.org/wiki/Remote_monitoring RMON 51
  • 52. RMON ● Operazioak: ● Datu taulen bidezko monitorizazioa: – Trafiko txostenak eta akatsen estatistikak – Gerorako analisietarako paketeak bilketa ● Kontrol tauletako lerroen bidez konfigurazioa ● Ekintzak objetuen bidez martxan jarri dira. Objetuak komandoak adierazten dute, eta egoera aldatzen bada martxan jartzen dira ● Polling baino gehiago, jakinarazpenak erabiltzen dira RMON 52
  • 53. RMON: MIB-ak ● RMON-erako MIB identifikatzailea: iso.org.dod.internet.mgmt.mib-2.rmon 1.3.6.1.2.1.16 ● Bertsioak: ● RMON1: lotura eta geruza fisikoekin lotuta, bere MIB-ak 10 objetu talde bereizten ditu: estatistikak, alarmak, iragazkiak, gertaerak,... ● RMON2: sare eta goiko geruzekin lotuta, bere MIB- ak beste 10 objetu talde zehazten ditu ● Bi kasuetan dispositiboak ez ditu objetu guztiak inplementatzen RMON 53
  • 54. RMON: sarbide konkurrentea ● Arazoak egon daitezke kudeatzaile asko batera sartzen direnean: ● Monitorearen gaitasuna gainditzen da ● Monitorearen bailabideak okupatuta/blokeatuta denbora luze, barruko akats batengatik edo kanpoko kudeatzaile batengatik RMON 54
  • 55. RMON: sarbide konkurrentea ● Ebazpena: "jabetasun etiketa" zutabea kontrol tauletan: ● Bere jabea adierazten du ● Read-write jabearentzat, Read-only besteentzat ● Nodo kudeatzaile batek bere jabea zehazten du, eta askapena berarekin negozia dezake ● Operadore batek askapen aldebakarra egin dezake RMON 55
  • 56. Secure SNMP ● Autentikazioa eta enkriptazioa ematen du ● Ez da SNMPv1-rekin bateragarria, goiburuaren formatua aldatzen delako: IP header UDP header SNMP data SNMP header SNMP PDU privDst authInfo dstParty srcParty SNMP PDU Enkriptatuta egon daiteke Authentication Info http://tools.ietf.org/html/rfc1351 Secure SNMP 56
  • 57. SNMPv2 ● SNMPv1-i buruzko aldaketak: ● Sare banatuekin erlazionatuta, managerren arteko komunikazioari esker (RMON bezalako ideia) ● Trafiko eraginkortasun handiagoa balore anitzak lortzeko mezuen bidez ● Segurtasun hobea S-SNMP-etan oinarrituta, baina oso konplexua izateagatik ez zen onartu: SNMPv2 vs SNMPv2c (c=community) ● SMIv2 sortzen da, eta MIB berri bat: 1.3.6.1.6 ● Tauletan lerroak sortu eta ezabatu ahal dira ● Ez da SNMPv1-rekin konpatiblea, baina proxyak eta ingurune dualak erabil daitezke SNMPv2 57
  • 58. SNMPv2: Protokoloa ● SNMPv1-i buruzko aldaketak: ● Mezuen goiburuak Secure SNMP-en bezala ● PDU-ak: – Berriak: GetBulkRequest, InformRequest – GetResponse aldatuta: Response – Trap egitura aldatuta. Berdinak: GetRequest, GetNextRequest, SetRequest, Trap, InformRequest: PDU type request-id 0 0 variable-bindings – GetRequest, GetNextRequest eta SetRequest ez dira atomikoak, mezuaren aldagarri batzuetan (eta ez guztietan) jardun dezakete ● NMS-en artean trafiko jakinarazpenak daude SNMPv2 58
  • 59. SNMPv2: GetBulkRequest ● Datu kopuru handia lortzeko trukeak txikiagotzeko erabiltzen da ● PDU: N M N+R aldagarriak PDU type request-id non-repeaters max-repetitions variable-bindings ● Lehenengo N (non-repeaters) aldagarrietarako GetNextRequest PDU kasuan bezalakoa da, ondorengo bat bakarrik itzultzen ● Beste R aldagarrietarako, ondorengo batzuk (M=max-repetitions) itzultzen dira SNMPv2 59
  • 60. SNMPv2: GetBulkRequest Adib: Interface-Number 1 Physical-Address 00:00:10:54:32:10 Network-Address 9.2.3.4 Type dynamic 2 00:00:10:01:23:45 10.0.0.51 static 3 00:00:10:98:76:54 10.0.0.15 dynamic ● GetBulkRequest: – [ non-repeaters = 1, max-repetitions = 2 ] – ( sysUpTime, ipNetToMediaPhysAddress, ipNetToMediaType ) ● Response: – sysUpTime.0 = "123456" – ipNetToMediaPhysAddress.1.9.2.3.4 = "000010543210" – ipNetToMediaPhysAddress.2.10.0.0.51= "000010012345" – ipNetToMediaType.1.9.2.3.4= "dynamic" – ipNetToMediaType.2.10.0.0.51= "static" SNMPv2 60
  • 61. SNMPv2: InformRequest ● Trap antzekoa baina Manager-etik baieztapena behar du. Hau jasotzen ez bada, InformRequest berriro bidaltzen da ● Irizpideak: ● Trafiko eraginkortasuna eta memoria baliabideak: Trap ● Hartzeko segurtasuna: InformRequest http://www.cisco.com/en/US/docs/ios/11_3/feature/guide/snmpinfm.html SNMPv2 61
  • 62. SNMPv3 ● SNMPv2-ri buruzko aldaketak: ● Segurtasuna: – Mezuen osotasuna – Konfidentzialtasuna, paketeak enkriptatuz – Autentizitatea – IP Spoofing: UDP IP spoofing-ekiko (jatorri helbidea aldaketa) ahula da dispositiboak suplantatzeko, eta SNMPv3-k sahiezteko tresnak dauzka ● Framework edo arquitektura berri bat, hedagarria eta SNMPv1 eta SNMPv2-rekin bateragarria ● MIB berriak 1.3.6.1.6 adarrean SNMPv3 62
  • 63. SNMPv3: Segurtasuna ● Bi segurtasun gaitasun zehazten dira: ● USM (User-based Security Model): – Autentikazio eta konfidentzialtasun (enkriptazio) funtzioak ematen ditu – Mezu mailan dago ● VACM (View-based Acess Control Model): – Ekintza desberdinak egiteko MIB-eko objetuen sarbideko baimena finkatzen du – PDU mailan dago SNMPv3 63
  • 64. SNMPv3: Arkitektura ● "SNMP entitate"aren kontzeptua: kudeatzaile, agente edo biak bezala izan daiteke, inplementatzen dituen moduluen arabera ● Bi geruzen araberako eskema: ● Aplikazio bat edo gehiago: goiko geruzak PDU-ak sortzen eta jasotzen ditu ● Motor bat: beheko geruza: – Aplikazio eta beheko geruzetako PDU-etarako bitartekoa da: SNMP bertsioa, protokoloak,... – Segurtasuna kudeatzen du: autentikazioa, enkriptazioa eta sarbidea SNMPv3 64
  • 65. SNMPv3: Arkitektura Kudeatzaile bakarrik Kudeatzaile eta Agente Agente bakarrik Command generator Comand responder Aplikazioak Notification generator Notification responder Proxy forwarder PDU dispatcher Dispatcher Message dispatcher Transport mapping (UDP,..) Motor Message processing subsystem (v1, v2, v3) Security subsystem Access subsystem SNMPv3 65
  • 66. SNMPv3: Mezu formatua MsgGlobalData Segurtasun ereduan MsgData = goiburua zehaztuta eta erabilita = ScopedPDU msg msg msg msg msg msg context context PDU Version Id MaxSize Flags SecurityModel SecurityParameters EngineID Name Enkriptazio Igorleak Segurtasun sistemak esparrua erabilitako sortutak 3 eredua Eskaerak eta ● Noiz bidali “Report PDU” Mezua enkriptatuta badagoen SNMP SNMPv2-enak erantzunak ● Autentikazioa erabili bada entitate baten erabiltzen dira koordinatzeko ● ● ... identifikatzaile unibokoa Mezuaren igorleak jasotzen duen mezu neurri handiena (byte-tan) SNMPv3 66
  • 67. SNMP-rako software ● Inplementazio librearen adibidea: Net-SNMP ● Komandoak: ● snmpget - > GetRequest adib: snmpget -v1 -c public localhost 1.3.6.1.2.1.1.1 ● snmpgetnext, snmpwalk -> GetNextRequest ● snmpset -> SetRequest ● snmptrap -> Trap http://www.net-snmp.org/ http://net-snmp.sourceforge.net/wiki/index.php/FAQ SNMP-rako Software 67
  • 68. SNMP-rako software ● Ubuntu paketeak: ● Agente (snmpd) eta kudeatzaileko (snmp) oinarrizko softwarea ● Lengoaia batzuetarako lotura eta runtime liburutegiak : C, java, php, perl, python, ruby ● Interfazeak: kontsola, kontsola propioa (scli, snimpy), idazmahaiarako applet, bezero grafikoa, web ● Programa espezifikoak: cacti, collectd, FusionInventory, mrtg, munin, nagios, netdisco, netwox, zabbix ● Dispositiboak: AP, Cisco, UPS, ● Besteak: scanner, MIBs downloader, trap-en kudeatzaileak, tresna batzuk SNMP-rako Software 68
  • 69. SNMP-rako software ● MIB browser dohainak Software Lizentzia GUI Plataformak tkmib Askea Tk GNU/Linux SnmpB Askea Qt GNU/Linux, Windows,... mbrowse Askea Gtk GNU/Linux, Windows,... iReasoning Privatiboa Java GNU/Linux, Windows,... MG-SOFT Privatiboa Windows Windows SNMP-rako Software 69