Modelo de gestión de

Internet

GSyC 2011 1
 Premisa de diseño
Si la gestión de red es esencial entonces debe
implantarse en todos los recursos de la red.
Consecuencia:
- El impacto al añadir la gestión a un nodo debe ser
mínimo (implementación y protocolo).
- La complejidad debe residir en el gestor de la red.

GSyC 2011 2
 Evolución
● Primera aproximación (Marzo 1987):
– SGMP: Simple Gateway Monitoring Protocol
– HEMS: High-level Entity Management System
– CMOT: CMIP over TCP (ISO)
● Revisión (Febrero 1988):
– Corto plazo: SGMP actualizado (SNMP, revisado 1990)
– Largo plazo: CMOT.
● Primeras recomendaciones: SNMP, SMI, MIB (Agosto 1988)
– Revisiones: SNMP, MIB-II (Marzo 1991)
– Desarrollo de MIBs particulares (1991 - ...)
– SNMPv2 (Mayo 1993, revisado en 1996)

GSyC 2011 3
 Estándares
● Documentos principales:
– SMI: Structure of Management Information (RFC 1155)
– MIB: Management Information Base (RFC 1156, RFC 1213)
– SNMP: Simple Network Management Protocol (RFC 1157)

● Documentos adicionales: ● RFCs de ampliaciones de MIBs

– Concise MIB definitions, SMIv1 – Ethernet chipset: RFC 2666
(RCF 1212)
– WWW-MIB: RFC 2594
– SNMPV2 (RFC 3416..3418)
– ADSL: RFC 3340, 2662
– SNMPV3 (RFC 3411..3415)
– BGP4: RFC 4273
– .........
Más información: http://wwwsnmp.cs.utwente.nl/ietf/rfcs/rfcbymodule.html
GSyC 2011 4
 SNMP v1
● Especificación elaborada en agosto de 1988
● Estaciones de gestión independientes con concentradores,
encaminadores y estaciones de trabajo con agentes.
● Define una MIB limitada, fácil de implementar, con
variables escalares y tablas de sólo dos dimensiones.
● Protocolo sencillo
● Funcionalidad limitada
● Seguridad reducida
– Mecanismos de autenticación para las operaciones sencillos
● Hecho obsoleto por SNMPv2

GSyC 2011 5
 SNMP v1 modelo

GSyC 2011 6
 Protocolo SNMP
● Operaciones que ofrece:
– Set: el gestor modifica un valor de los objetos del agente.
– Get: el gestor solicita valores de los objetos de un agente.
– Trap: el agente envía el valor de un objeto al gestor (de forma no
solicitada)
● Dos orientaciones:
– Consultas y sondeos del gestor al agente: puerto UDP 161
– Alarmas (interrupciones) enviadas por el agente al gestor: puerto
UDP 162

GSyC 2011 7
 SNMP v1 protocolo
Estación de gestión Agente SNMP

Recursos gestinados
La aplicación gestiona los objetos
Aplicación de Gestión
Objetos gestionados

GetNextRequest
GetNextRequest

GetResponse
GetResponse

SetRequest
SetRequest
GetRequest

GetRequest

Trap
Trap

Mensajes SNMP
Gestor SNMP Agente SNMP

UDP UDP

IP IP

Protocolos dependientes de red Red

Red Protocolos dependientes de red
TCP/IP
TCP/IP

GSyC 2011 8
 SNMP v1 Operaciones
● GetRequest:el gestor realiza una petición de valores específicos de la MIB del agente.

● GetNextRequest: el gestor realiza una petición del objeto siguiente a uno dado en la MIB del agente,
siguiendo un orden lexicográfico.

● GetResponse: el agente devuelve los valores solicitados por la operaciones anteriores del gestor. Es la
respuesta a un SetRequest, GetRequest o GetNextRequest.

● SetRequest: el gestor permite asignar un valor a una variable en el sistema del agente.
● Traps: el agente informa de un suceso inusual predefinido.

GetRequest, GetNextRequest, SetRequest

Gestor GetResponse
Agente

Trap

GSyC 2011 9
 SNMP: formato de mensajes
● Cada operación genera un tipo de mensaje.
● El mensaje se encapsula en un datagrama UDP: disminuye el procesado
del mensaje y la complejidad del agente.
● Los mensajes de petición se reciben en el puerto 161 del agente.
● Los traps se reciben en el puerto UDP 162 del gestor.
● El formato del paquete es:
Versión Comunidad SNMP pdu

● Versión: versión del protocolo SNMP (RFC1157 es versión 1).

● Comunidad:cadena de caracteres que indica la comunidad con la que se realiza la(s)

operación(es) solicitada(s).

● SNMP pdu: el comando depende del tipo de orden. Contiene OIDs que identifican objetos y
el valor correspondiente (caso de operación SetRequest o GetResponse).
GSyC 2011 10
 Configuración de pasarelas
Permite comunicar sistemas SNMP con otros sistemas que utilicen otros protocolos

Funciones de mapeo
Proceso
de gestión
Proceso Gestor Proceso Agente
Arquitectura Arquitectura
SNMP SNMP de protocolos de protocolos
usada para usada para
UDP UDP dispositivos dispositivos
Pasarela (proxy) Pasarela (proxy)
IP IP

GSyC 2011 11
 Control de acceso
● Una comunidad es la forma de establecer una relación entre un agente SNMP y un
conjunto de gestores. Define:
– autenticación, control de acceso y servicio de proxy.
● El sistema gestionado debe controlar su MIB local.
● Aspectos de dicho control:
– Servicio de autenticación: limita el acceso de gestores.
– Política de acceso: diferentes accesos a diferentes gestores.
– Servicios de proxy: si actúa como proxy debe controlar el acceso a los sistemas a los que
representa (mantiene una política de acceso por cada sistema representado).
● Cada agente puede definir varias comunidades.
● Se pueden repetir las comunidades de diferentes agentes.
● Las comunidades actúan como valor secreto compartido entre agentes y gestores
(contraseña)

GSyC 2011 12
 Control de acceso (II)
● Autenticación:
– La comunidad se transmite en todas las consultas SNMP enviadas e identifica a
ambas partes.
– Problemas: no hay provisiones para cifrarla, existen comunidades preconfiguradas.
● Autorización:
– Los agentes pueden definir vistas: subconjuntos de objetos que están asociadas a una
comunidad.
– Se asocia cada comunidad a un privilegio: lectura (ro), lectura/escritura (rw) o sólo
escritura (w)

Vista B
Comunidad Vista:acceso
Vista A
public A: RO
private A,B: RW
GSyC 2011 13
 Structure of
Management Information (SMI)
● Es el marco general con el que se definen y construyen las
MIBs
– Identifica los tipos de datos que se pueden almacenar.
– Cómo se representan y nombran (formalmente) los recursos
(objetos)
– Esquema para asociar un identificador único con cada objeto dentro
de un sistema
● Anima a ser simple y extensible
– Sólo tiene datos escalares y matrices de escalares de dos
dimensiones (tablas)
● Tres elementos clave:
– Tipos de datos, objetos e identificadores de objetos

GSyC 2011 14
 SNMP v2
● Publicado en 1992, revisado en 1996
● Es un marco de trabajo en el que se pueden construir aplicaciones de
gestión de red:
– Gestión de averías, de calidad, contabilidad.
● Define un protocolo para el intercambio de información de gestión.
– Cada elemento mantiene una MIB local.
– La estructura de la MIB está definida en el estándar.
● Al menos existe un sistema que lleva a cabo la gestión
– Mantiene todas las aplicaciones de gestión.
– Los demás son agentes.

GSyC 2011 15
 SNMP v2 (II)
● Puede utilizarse de forma centralizada o distribuida
● En la arquitectura distribuida algunos elementos operan
como gestor y otros como agente
● El intercambio de información se hace con el protocolo
SNMP v2:
– Protocolo sencillo de consulta / respuesta
– Típicamente utiliza UDP, aunque puede utilizar TCP
● No es necesaria una conexión fiable (preguntas y respuestas cortas)
● Reduce la sobrecarga de gestión sobre el equipo gestionado
● Falta de acuerdo de seguridad en estandarización
– Se mantienen las comunidades

GSyC 2011 16
 SNMPv2 modelo

GSyC 2011 17
 SNMPv2 PDUs
PDU type request-id 0 0 variable-bindings

(a) GetRequest, GetNextRequest, SetRequest, SNMPv2-Trap, InformRequest

PDU type request-id error-status error-index variable-bindings

(b) Response

PDU type request-id non-repeaters max-repetitions variable-bindings

(c) GetBulkRequest

name1 value1 name2 value2 • • • namen valuen

(d) variable-bindings
Lista de identificadores de objetos
Valor entero único para identificar y (según solicitud) valores
de forma unívoca las consultas
GSyC 2011 18
 Comparación entre SNMP v1 y v2
SNMPv1 PDU SNMPv2 PDU Dirección Descripción
GetRequest GetRequest Gestor a agente Solicitar un valor de un objeto.

GetNextRequest GetNextRequest Gestor a agente Solicitar un valor del siguiente

objeto en una lista.
------ GetBulkRequest Gestor a agente Solicitar múltiples valores.

SetRequest SetRequest Gestor a agente Fijar un valor para un objeto.

------ InformRequest Gestor a gestor Transmit información no

solicitada, requiere asentimiento.
GetResponse Response Agente a gestor Responde a una solicitud del
gestor. Utilizado como respuesta
(SNMPv2) Gestor a gestor a múltiples consultas.
Trap SNMPv2-Trap Agente a gestor Transmite información no
solicitada.

GSyC 2011 19
 SNMP v3
● Desarrollado en 1998
● Intenta dar respuesta a los problemas de seguridad de SNMP v1/2
– RFC 3410-3415
● Define la arquitectura completa y las capacidades de seguridad
– Pero no incluye toda la capacidad de SNMP
– Se usa conjuntamente con SNMP v2
● Define tres tipos de servicios de seguridad:
– Autenticación Modelo de seguridad basado
en usuario (USM)
– Privacidad (Confidencialidad)
Modelo de control de acceso
– Control de acceso basado en vistas (VACM)

GSyC 2011 20
 Servicios SNMP v3
● La autenticación se asegura que el mensaje es:
– De un origen identificado y no ha sido alterado, manipulado ni reenviado
– Incluye un código de autenticación como mensaje HMAC
● Confidencialidad
– Cifra los mensajes utilizando DES o (RFC 3826) AES
– (experimental) Uso de gestión de claves asimétricas (Diffie-Helman, RFC
2786)
● Control de acceso
– Los agentes están preconfigurados para dar distinto tipo de nivel de acceso
a la MIB a distintos gestores
– Restringe el acceso a la información del agente.
– Limita las operaciones que se puedan realizar.

GSyC 2011 21