Download - Introducción a SNMP
-
1/340
Sistema de Gestin mediante SNMP
Parte 1 Los protocolos TCP/IP
El surgimiento de SNMP (Simple Network Management Protocol)
Componentes bsicos (agente, gestor, MIB)
Tipos de mensajes (Get, Set, GetNext, Response, Trap)
Formato de los mensajes
Autenticacin y nombre de la comunidad
Estructura de la MIB y el OID
Estructura de la informacin de gestin (SMI) y sntaxis ASN
Grupos de variables MIB pblicas y privadas
Agentes SNMP y MIB para Windows y Linux
-
2/340
Sistema de Gestin mediante SNMP
Parte 2
Limitaciones de la primera versin de SNMP
Evolucin de SNMPv1 hacia SNMPv2
Nuevos tipos de datos y de mensajes en SNMPv2
GetBulkRequest e InformRequest
Seguridad en SNMPv2
Caractersticas y arquitectura de SNMPv3
Modelos de seguridad USM y VACM
Coexistencia de SNMP v1, v2 y v3 y uso de Proxy
-
3/340
Los protocolos TCP/IP
En el ao 1968, en los Estados Unidos la organizacin ARPA (Advanced Research Projects Agency) del DoD (Department of Defense) dio inicio al desarrollo de una red de computadoras conocida como ARPANET.
Posteriormente a comienzos de la dcada de los 70, DARPA (Defense Advanced Research Project Agency) suplant a la ARPA, y condujo los trabajos para desarrollar un protocolo para las comunicaciones de ARPANET, basado en Unix.
El resultado de ese esfuerzo fue el protocolo TCP/IP (Transmission Control Protocol/Internet Protocol).
-
4/340
A mediados de la dcada de los 70, entr en funcionamiento Internet.
Esta red, originalmente basada en Unix, adopt al protocolo TCP/IP para sus comunicaciones.
Hoy en da TCP/IP es el protocolo ms utilizado a nivel mundial, debido a la extensa cobertura de Internet, siendo el protocolo estndar para las comunicaciones en ambiente corporativo.
-
5/340
Originalmente TCP/IP representaba dos protocolos, pero actualmente el nombre se utiliza para designar un conjunto de protocolos que cumplen diferentes labores dentro de un modelo de capas similar al modelo OSI.
Entre los protocolos ms conocidos de este conjunto, adems de TCP e IP, se encuentran:
FTP (protocolo de transferencia de archivos). SMTP (protocolo de correo electrnico) UDP (al igual que TCP es un protocolo de transporte) ICMP (protocolo de intercambio de mensajes de control) SNMP (protocolo de gestin)
-
6/340
El modelo TCP/IP presenta cuatro capas, desglosadas de la siguiente forma:
Protocolo de aplicacin, tal como Web, correo electrnico o gestin de redes: HTTP, SMTP, SNMP, FTP, etc.
Protocolo proveedor de los servicios utilizados por los protocolos de aplicacin (p.e. transporte): TCP, UDP e ICMP.
Protocolo proveedor de los mecanismos bsicos para llevar los datagramas a su destino: IP, ARP, RARP, etc.
Protocolos necesarios para utilizar un medio fsico especfico: Ethernet, Token Ring, PPP, etc.
-
7/340
La figura ilustra el modelo del stack TCP/IP, donde en resaltado se muestran algunos de los protocolos.
-
8/340
FTP REXECRSHNFSRPC
SMTPPOP
ARPRARP
TELNET
ICMPUDPTCP
IP
ETHERNET IEEE 802 PPP
RIPSNMP PING
Varios protocolos del stack TCP/IP
-
9/340
Puertos, direcciones IP y direcciones LAN en el stack TCP/IP
-
10/340
Encapsulamiento de protocolos en TCP/IP
-
11/340
Ejemplo: encapsulamiento de una peticin HTTP
Ethernet
-
12/340
La trama Ethernet lleva encapsulados los dems protocolos uno dentro del otro, como las muecas rusas (matriuska)
-
13/340
-
14/340
Para saber ms sobre protocolos de redes
Modelo de Referencia OSI de 7 Capas
Protocolos TCP/IP
Internetworking
-
15/340
TCP/IP Architecture, Protocols and Implementation with IPv6 and IP Security.
McGraw-Hill, 1999
Libro sobre TCP/IP
-
16/340
-
17/340
El surgimiento de SNMPA mediados de 1988, el Consejo de Actividades de Internet (Internet Activities Board - IAB ) se reuni para elaborar las recomendaciones para el desarrollo de un protocolo de gestin.
La IAB se encarga de la administracin de la organizacin de Internet.
Ese mismo ao la Fuerza de Tareas de Ingeniera de Internet (Internet Engineering Task Force - IETF) design un grupo que comenzara a trabajar en el desarrollo de tal protocolo.
-
18/340
SNMP (Simple Network Management Protocol) fue definido inicialmente en agosto de 1988 en la RFC 1067 y fue elevado a la categora de estndar recomendadoen abril de 1989 en la RFC 1098.
Los RFCs (Request For Comments) son notas tcnicas y especificaciones de los protocolos de Internet.
Con esta herramienta a disposicin, diferentes proveedores de sistemas de computacin (IBM, Hewlett-Packard, Racal, AT&T, Novell, etc) iniciaron labores para desarrollar sistemas de gestin basados en ese protocolo y a finales de la dcada de los 80 y comienzos de los 90, fueron lanzados al mercado los primeros sistemas comerciales.
SNMP fue actualizado en la RFC 1157 de mayo de 1990.
-
19/340
Para aprender sobre SNMP
-
20/340
Introduction
Chapter 1Network Management Architectures
Chapter 2The Structure of Management Information
Chapter 3Management Information Bases
Chapter 4The Simple Network Management Protocol
Chapter 5SNMP Version 2
Chapter 6Lower Layer Support for SNMP
Chapter 7Case Studies in Implementing SNMP
Appendix A-G
Index
-
21/340
-
22/340
Tutorial sobre SNMP
-
23/340
-
24/340
-
25/340
-
26/340
Estndares SNMP
RFC 1155: Estructura e identificacin de la informacin de gestin para redes basadas en TCP/IP. Mayo de 1990. Describe cmo se definen en la MIB los objetos gestionados.
RFC 1157: A Simple Network Management Protocol (SNMP). Mayo de 1990. Define el protocolo para gestionar los objetos.
RFC 1213: Management Information Base para gestin dee red en redes basadas en TCP/IP: MIB-II. Marzo de 1991. Describe los objetos almacenados en la MIB.
-
27/340
Componentes bsicos de un sistema SNMP
Agente: software residente en el equipo a ser gestionado. Cada agente almacena datos de gestin y responde a las peticiones de datos por parte de la estacin de gestin.
Los agentes ejecutan dos funciones bsicas: inspeccin y modificacin de variables MIB.
La MIB es la base de datos de informacin de gestin.
Usualmente, la inspeccin de variables significa examinar los valores de contadores, umbrales, estados y otros parmetros, mientras que modificar significa cambiar los valores de las variables que inspecciona.
-
28/340
Gestor (manager): software residente en la estacin de gestin la red.
El gestor hace solicitudes al agente utilizando los comandos de SNMP.
Los gestores ejecutan las funciones de la estacin de gestin de la red y usualmente proveen una interfaz grfica con el usuario, presentando un mapa de la red.
-
29/340
Gestor y agente en SNMP
-
30/340
Gestor y agente en SNMP
-
31/340
Network ManagementSoftware (Manager)
NetworkManagement
Agent (Agent),Objects
RMON Probe
NetworkManagement
Agent (Agent),Objects
Manager talks to an network management agent on each managed device
Gestor y agente en SNMP
-
32/340
ManagementInformationBase (MIB)
ManagementInformationBase (MIB)
ManagementInformationBase (MIB)
Network ManagementSoftware (Manager)
RMON Probe
MIB stores data about devices.MIB on manager stores all.MIB on device stores local information
Management Information Base (MIB)
-
33/340
Monitoreo mediante SNMP
Polling = Interrogar peridicamente a los agentes
-
34/340
La importancia de la frecuencia de monitoreo (polling)
-
35/340
La popularidad de SNMP
-
36/340
Power Protection & Connectivity Products http://www.tripplite.com
Con PowerAlert basado en lenguaje de programacin JAVA y los estndares SNMP, los UPS tienen la capacidad de ser monitoreados remotamente, por lo que un administrador de red puede verificar el funcionamiento de los Sistemas UPS por medio de un navegador Web, con solo escribir la direccin IP de la tarjeta de red instalada en el UPS, an estando a miles de kilmetros de distancia.
-
37/340
Mensajes en SNMPSNMP es un protocolo simple que contiene unos cuantos comandos bsicos:
GetRequest: Peticin para solicitar el valor de una variable (read) por parte del manager.
GetNextRequest: Peticin para solicitar el valor de la siguiente variable (read) por parte del manager.
SetRequest: Peticin para modificar el valor en una variable (write) por parte del manager.
GetResponse (Replay): Respuesta a la peticin por parte del agente.
Hay adems un mensaje Trap (captura, interrupcin, notificacin) que enva el agente al manager cuando ocurre un evento extraordinario, por ejemplo un problema.
-
38/340
Mensajes SNMP
-
39/340
Get response
Get response
Mensajes SNMP
-
40/340
Mensajes SNMP
-
41/340
agente datos
Dispositivo administrable
Entidadadministradora
respuesta
agente datos
Dispositivo administrable
Entidadadministradora
Mensaje trapsolicitud
Modo solicitud/respuesta Modo trap
Mensajes SNMP
-
42/340
Resumen de mensajes SNMPv1
-
43/340
Uso de SNMP en una red corporativa
NMS = Network Management System
-
44/340
Uso de SNMP en una red corporativa
NMS = Network Management System
-
45/340
SNMP en el contexto de TCP/IP
-
46/340
El puerto 161 lo abre el agente para escuchar las peticiones del manager (GetRequest, GetNextRequest y SetRequest).
El puerto 162 lo abre el manager para escuchar los traps de los agentes.
SNMP utiliza puertos UDP
-
47/340
Utilizacin del puerto UDP 161 en el agente
-
48/340
Utilizacin del puerto UDP 162 en el manager
-
49/340
Ejemplo de direcciones IP y puertos SNMP
-
50/340
Ejemplo de envo de un trap
REDRED
1
Enlace cado(Link down)
Manager SNMP
-
51/340
Simplicidad de SNMP
La simplicidad de SNMP permite que las implantaciones de gestin de la red fueran llevadas a cabo rpidamente para satisfacer las necesidades inmediatas de Internet.
Esta simplicidad permite adems, que las implantaciones en los agentes sean ms compactas y eficientes, permitiendo que los agentes utilicen la mayor parte de la memoria y recursos de procesamiento disponibles en llevar a cabo sus funciones primarias en vez de procesar peticiones del administrador.
-
52/340
No obstante su simplicidad, SNMP es un protocolo robusto, que se desenvuelve exitosamente ante condiciones adversas de la red.
Es ms importante para la gestin de una red el trabajar bajo condiciones adversas que bajo condiciones normales, particularmente para gestin de fallas y desempeo, mientras se diagnostican y rectifican las causas que generaron tales condiciones.
-
53/340
Estas caractersticas de SNMP permiten que sea orientado a datagrama y basado en transaccin.
Siendo orientado a datagrama, permite la utilizacin de UDP como mecanismo de transporte y as se elimina la necesidad de establecer una conexin antes de la operacin del protocolo.
Adems (por ser orientado a datagrama) no tiene conexin que pueda fallar bajo condiciones adversas.
En contraparte, la orientacin a datagrama impone que los mensajes SNMP sean enviados completamente en un datagrama, lo que se traduce en una limitante a la longitud de los mensajes.
-
54/340
Comunicacin entre gestor y agente
-
55/340
Comunicacin entre gestor y agente
-
56/340
Comunicacin entre gestor y agente
GESTOR AGENTE
SISTEMA DE GESTIN SISTEMA GESTIONADOFUNCIONES DE GESTIN
SNMP (GESTOR)UDP
IP
ACCESO DE RED(Ej. Ethernet)
SNMP (AGENTE)UDP
IP
ACCESO DE RED(Ej. Ethernet)
SNMP PDUs
RED DE COMUNICACIONES
PROTOCOL DATA UNIT
-
57/340
Mensaje SNMP en LAN (Ethernet)
-
58/340
Codificacin de mensajes SNMPLa sntaxis para codificar los datos del mensaje se basa en Basic Encoding Rules (BER), estndar ISO 8825-1.
BER
-
59/340
La codificacin de los datos del mensaje SNMP se compone de 3 partes: Type, Length, Value (TLV)
-
60/340
Codificacin TLV
Idea: los datos transmitidos se autoidentifican T: tipo de dato, uno de los tipos definidos en ASN.1 L: longitud de los datos en bytes V: valor de los datos, codificado de acuerdo con el
estndar ASN.1
1234569
BooleanIntegerBitstringOctet stringNullObject IdentifierReal
Valor Tipo
-
61/340
Ejemplo de codificacin TLV
Valor, 5 octetosLongitud, 5 bytes
Tipo=4, cadena de octetos
Valor, 259Longitud, 2 bytes
Tipo=2, integer
-
62/340
GetRequest, GetNextRequest y GetResponse
El manager enva mensajes GetRequest y GetNextRequest al agente para obtener los valores de una o varias variables MIB.
Con GetRequest se obtienen valores sencillos, mientras que GetNextRequest permite obtener ms fcilmente las variables almacenadas en tablas.
El agente reporta los resultados a las peticiones del gestor por medio del mensaje GetResponse.
0, 1 o 2
-
63/340
SetRequest
Por medio de este mensaje el gestor pide a un agente que altere el valor de una o varias variables MIB.
El agente enva un mensaje GetResponse al gestor para indicarle si tuvo xito o no.
3
-
64/340
Request IDEs un nmero (secuencial o aleatorio) que lo pone el manager para identificar el mensaje.
Cuando el agente responde (GetResponse), copia ese mismo nmero.
72643534
-
65/340
Cdigos de error en Get Response
El manager lo pone en 0
El agente lo pone en 0....5
-
66/340
Mensaje trap (captura)
Es generado por un agente para enviar una notificacin al manager, indicando la ocurrencia de algn evento significativo.
El mensaje incluye la identificacin del agente que gener el trap, cundo se gener y qu tipo de trap se gener.
Specific-TrapGeneric-TrapAgent-AddressEnterprisePDU Type Time-stamp Variable-binding
Tipo de PDU
Tipo de
objeto generado por
el TRAP
DireccinIP
generadapor el TRAP
Tipo de
TRAP
Cdigoespecifico
delTRAP
Tiempo de la ltima
inicializacin de la red y la generacin del TRAP
Lista de nombres de variables con su
valor asociado
-
67/340
Encapsulamiento de trap en TCP/IP
-
68/340
Formato del mensaje trap SNMP
PDU Type: contiene el valor 4 que corresponde a un mensaje tipo trap.
Enterprise: especifica el OID de la empresa fabricante del equipo o sistema que genera el TRAP especfico con cdigo 6 (EnterpriseSpecific). Por ejemplo. Microsoft sera 1.3.6.1.4.1.311
Agent Address: contiene la direccin IP del agente que genera el trap.
Generic Trap Type: especifica el tipo de trap (entre 0 a 6).
Specific-TrapGeneric-TrapAgent-AddressEnterprisePDU Type Time-stamp Variable-binding
-
69/340
Private Enterprise Numbers (RFC 1700)http://www.iana.org/assignments/enterprise-numbers
Prefijo: iso.org.dod.internet.private.enterprise (1.3.6.1.4.1)
Ejemplos:1.3.6.1.4.1.9 Cisco 1.3.6.1.4.1.42 Sun Microsystems
1.3.6.1.4.1.52 Cabletron Systems 1.3.6.1.4.1.77 LAN Manager
1.3.6.1.4.1.186 Toshiba Corporation 1.3.6.1.4.1.193 Ericsson
1.3.6.1.4.1.231 Siemens Nixdorf 1.3.6.1.4.1.232 Compaq
1.3.6.1.4.1.311 Microsoft 1.3.6.1.4.1.343 Intel Corporation
-
70/340
Cdigos para los tipos de trap SNMP
Tipo de trap Valor DescripcinColdStart 0 Arranque en fri (reinicio sistema)
WarmStart 1 Arranque en caliente (Ejemplo: cambio de configuracin)
LinkDown 2 Enlace cadoLinkUp 3 Enlace levantado
AuthenticationFailure 4 Nombre de la comunidad Incorrecto
EgpNeighborLoss 5 Falla de enlace hacia un router vecino
EnterpriseSpecific 6 Evento especfico del equipo o sistema del fabricante
Specific-TrapGeneric-TrapAgent-AddressEnterprisePDU Type Time-stamp Variable-binding
-
71/340
Generic trap
-
72/340
Time Stamp: Contiene el valor del tiempo transcurrido desde que se arranc el equipo. Ese valor est contenido en la variable sysUpTime.
Variable Binding: Es una lista de los OID y sus correspondientes valores.
Specific Trap: Si el campo Generic trap tiene el cdigo 6, significa que el trap es especfico, y entonces el campo Generic trap junto con el campo Enterprise contienen la informacin para identificar ms especficamente el tipo trap correspondiente a ese equipo.
Specific-TrapGeneric-TrapAgent-AddressEnterprisePDU Type Time-stamp Variable-binding
Specific trap
-
73/340
Generadores de trapTrapGen: es un programa sencillo que permite el envo de traps usando la lnea de comandos (DOS).
-
74/340
Capturadores de trap
SNMP Trap Watcher: permite recibir traps SNMP de un equipo de la red, incluyendo routers, switchs y estaciones.
Los traps son enviados al puerto UDP 162 del manager cuando ocurren errores o eventos especficos.
-
75/340
Uso de analizadores de redes (sniffers) para capturar trfico SNMP
-
76/340
Mensaje GetRequest
Decodificacin de mensajes SNMP
-
77/340
Decodificacin de mensajes SNMP
Mensaje GetResponse
-
78/340
Codificacin BER
-
79/340
Importante: Para decodificar SNMP con Ethereal/Wireshark debe seleccionar SNMP MIBs durante su instalacin
-
80/340
Autenticacin en SNMP
En la versin 1 de SNMP, que es todava la ms utilizada, se utiliza un esquema de autenticacin muy simple, pero poco seguro.
En cada mensaje SNMP existe un campo llamado community name (nombre de la comunidad), el cual funciona como una especie de contrasea.
Si el community name en el mensaje SNMP es reconocido por el agente, entonces considera que el mensaje es autntico y se procede con la accin solicitada (GET o SET).
-
81/340
En SNMP existen 2 modos de acceso a las variables:
1. Read-only (para GET)En este caso se usan para community nombres tpicos como public.
2. Read and write (para GET y SET) En este caso se usan para community nombres tpicos netadm, admin, private, secret.
El agente responde de acuerdo a ese nombre.
Por ejemplo, si recibe un mensaje GET con community name = abc123 no lo considera vlido.
Tampoco es vlido un mensaje SET con community name = public.
-
82/340
El nombre de la comunidad se utiliza para polticas de acceso a las variables
-
83/340
Ejemplo de nombre de comunidad en agente SNMP para Windows XP
-
84/340
Cuando un agente recibe un mensaje SNMP con el nombre de comunidad invlido, enva un trap de Authentication failure a uno o varios managers, para alertar.
-
85/340
Ejemplo de envo de traps
-
86/340
El community name no est encriptado, as que un intruso lo podra capturar con un sniffer y luego enviar mensajes GET y SET que puedan alterar el funcionamiento de equipos y de la red completa.
En consecuencia, muchos administradores de red desactivan la funcin de escritura, conviertiendo a SNMP en un simple sistema de monitoreo, pero no de control.
Para modificar los parmetros, se puede recurrir al mtodo CLI (command line interface) usando una cnsola local o remota (mediante telnet).
-
87/340
Ejemplo de CLI (command line interface) va Telnet
Peligro: La contrasea no viaja encriptada
-
88/340
Una forma de telnet segura es SSH (Secure Shell), ya que todo el trfico viaja encriptado
PuTTy es un cliente gratuito
para SSH
-
89/340
Modernamente una forma prctica y segura es mediante la interfaz Web y HTTPS
-
90/340
Conexin al equipo desde Internet en forma segura mediante HTTPS
El trfico viaja encriptado con SSL
-
91/340
Seguridad mediante el nuevo SNMPv3
-
92/340
La Base de Informacin de Gestin (MIB)
La MIB especifica la estructura de datos de un dispositivo para poder efectuar su gestin.
Esto permite que los fabricantes de equipos puedan implantar un software de gestin sin estar amarrados a una plataforma comercial en particular y que los usuarios cambien de plataforma de gestin sin necesidad de cambiar el software de gestin en sus equipos.
-
93/340
En 1988 se public la primera versin de la MIB en el documento RFC 1066, donde se especifican 114 variables publicas, es decir que no son exclusivas de ningn equipo o producto en particular.
En 1990 apareci la MIB-II en el RFC 1158 y que fue actualizada en 1991 en el RFC 1213.
La variables pasaron a ser 171.
-
94/340
-
95/340
Representacin del Nombre de Objeto MIB
Las variables MIB forman parte de una estructura en rbol jerrquico llamado identificador de objeto (OID, object identifier), administrado por el ISO y el ITU-T (antiguamente conocido como CCITT).
La raz del rbol jerrquico es annima, pero tiene tres descendentes directos administrados por ISO, ITU-TSS y la unin ISO/ITU-TSS.
-
96/340
El OID de una variable o objeto MIB consiste de una secuencia de nmeros correspondientes a la trayectoria desde la raz hasta el objeto, separados por puntos.
Ejemplo: Variable SysUpTime
Forma numrica: OID 1.3.6.1.2.1.1.3
Forma literal: iso.org.dod.internet.mgmt.mib. system.sysuptime
-
97/340
El OID es absoluto, lo que significa que los nombres son globales y nicos, y su uso no est restringido a variables usadas en gestin de redes (incluye nombres de objetos arbitrarios).
Se puede usar la forma literal para hacer los nombres de objetos entendibles por seres humanos, pero en la red el OID se transmite slo en forma numrica.
Ejemplo: Variable SysUpTime
Forma numrica: OID 1.3.6.1.2.1.1.3
Forma literal: iso.org.dod.internet.mgmt.mib.system.sysuptime
-
98/340
Estructura de la Informacin de Gestin
Structure of Management Information (SMI) est definida en la RFC 1155.
Este estndar especifica las reglas utilizadas para definir, identificar y accesar las variables MIB.
SMI especifica que todas las variables MIB deben ser definidas y referenciadas utilizando la Notacin de Sintaxis Abstracta N 1 (Abstract Syntax Notation 1 - ASN.1) de ISO.
-
99/340
ASN.1 es un lenguaje formal que tiene dos caractersticas importantes:
1. Es una notacin utilizada en documentos para humanos y a la vez es una representacin compacta y codificada de esa informacin utilizada en protocolos de comunicaciones.
2. En ambos casos, la notacin formal y precisa elimina cualquier posibilidad de ambigedad entre el significado y la representacin.
-
100/340
Por otro lado ASN.1 tambin facilita la implantacin de protocolos de gestin de redes y garantiza la interoperabilidad.
Define de forma precisa cmo codificar tanto los datos como los nombres en un mensaje.
-
101/340
Por lo tanto, una vez que la documentacin de un MIB ha sido expresada en ASN.1, la forma de presentarla al humano puede ser traducida directa y mecnicamente en la forma codificada usada en los mensajes (compilacin).
El estndard SMI est definido en RFC 1065 y slo permite el uso de un conjunto limitado del total de objetos definidos por ASN.1.
-
102/340
SMI permite utilizar los objetos primitivos integer (entero), octet string (cadena de octetos), object identifier (identificador de objeto) y null (nulo)
Adems de las construcciones sequence (secuencia) y sequence of (secuencia de).
-
103/340
Ejemplos de objetos definidos por SMI:
Direccin IP (IP Address): cadena de octetos (octet string) que se utiliza para definir la direccin IP de 32 bits.
Marcas de Tiempo (Time Ticks): representa un entero no-negativo que se utiliza para grabar eventos. SMI requiere que represente un incremento de tiempo en centsimas de segundo.
-
104/340
Medida (Gauge): entero no-negativo que vara entre 0 y 231 - 1. SMI permite incrementos y decrementos.
Contador (Counter): entero no-negativo que vara entre 0 y 231 - 1. Se diferencia de la Medida en que slo puede incrementar.
-
105/340
SMI: ejemplos de objeto y de mdulo
OBJECT-TYPE: ipInDelivers MODULE-IDENTITY: ipMIB
ipInDelivers OBJECT TYPE SYNTAX Counter32 MAX-ACCESS read-only STATUS current DESCRIPTION The total number of input datagrams successfully delivered to IP user- protocols (including ICMP)::= { ip 9}
ipMIB MODULE-IDENTITY LAST-UPDATED 941101000Z ORGANZATION IETF SNPv2 Working Group CONTACT-INFO Keith McCloghrie DESCRIPTION The MIB module for managing IP and ICMP implementations, but excluding their management of IP routes. REVISION 019331000Z ::= {mib-2 48}
-
106/340
Ejemplo de MIB: mdulo UDP
Object ID Name Type Comments1.3.6.1.2.1.7.1 UDPInDatagrams Counter32 total # datagrams delivered
at this node
1.3.6.1.2.1.7.2 UDPNoPorts Counter32 # underliverable datagrams
no app at portl
1.3.6.1.2.1.7.3 UDInErrors Counter32 # undeliverable datagrams
all other reasons
1.3.6.1.2.1.7.4 UDPOutDatagrams Counter32 # datagrams sent
1.3.6.1.2.1.7.5 udpTable SEQUENCE one entry for each port
in use by app, gives port #
and IP address
-
107/340
Acceso a las variables MIB
Cuando se utiliza un objeto en un mensaje SNMP (por ejemplo GetRequest), se le agrega un valor llamado instancia.
El OID del objeto seguido de ese valor es lo que formalmente se llama una variable SNMP (aunque a veces el propio OID se le llama variable).
Esto es analogo al concepto de funcin f(x).
f(x) es el OID.f(5) es la instanciacin de f(x).
-
108/340
Instanciacin de objetos simples y columnares (tablas)
-
109/340
Para objetos sencillos, como ipInReceives, la instancia es por convencin el nmero 0, de manera que cuando la variable en cuestin aparece en un mensaje SNMP, su representacin ser: 1.3.6.1.2.1.4.3.0.
El OID 1.3.6.1.2.1.4.3 es el prefijo y la instancia 0 el sufijo.
-
110/340
OID & nombre Sintaxis Acceso Descripcin
1.3.6.1.2.1.4 IP
Grupo Ninguno Informacin del cache ARP
1.3.6.1.2.1.4.1 ipForwarding Entero
Lectura / Escritura
Indica que esta estacin puede retransmitir datagramas recibidos.
1.3.6.1.2.1.4.2 ipDefaultTTL Entero
Lectura / Escritura
Valor por defecto en el campo Time-To-Live del encabezado IP
1.3.6.1.2.1.4.3 ipInReceives Contador Lectura
Numero de datagramas de entrada recibidos en las interfaces
1.3.6.1.2.1.4.4 ipInHdrErrors Contador Lectura
Numero de datagramas descartados debido a errores en la cabecera IP
1.3.6.1.2.1.4.5 ipInAddrErros Contador Lectura
Numero de datagramas descartados cuando la direccin IP de destino no es sta estacin
-
111/340
-
112/340
Otro ejemplo: Nmero de la interfaces
iso org dod internet mgmt mib interfaces ifNumber (instancia) 1 3 6 1 2 1 2 1 0
1.3.6.1.2.1.2.1.0 o ifNumber.0
-
113/340
OID & nombre Sintaxis Acceso Descripcin
1.3.6.1.2.1.2 Interfaces
Grupo Ninguno Informacin acerca de los puertos lgicos I/O
1.3.6.1.2.1.2.1 ifNumber
Entero Lectura Numero de interfaces de red presentes en el sistema
1.3.6.1.2.1.2.2 IfTable
Secuencias de InEntry
Ninguno Listado de Interfaces, cada uno para el valor de IfNumber
1.3.6.1.2.1.2.2.1 IfEntry
IfEntry Ninguno Objetos en y sobre la capa de red, para una interfaz particular
1.3.6.1.2.1.2.2.1.1 IfIndex
Entero Lectura Valor nico para cada interfaz
1.3.6.1.2.1.2.2.1.2 ifDescr
Cadena de hasta 255 caracteres
Lectura Informacin textual acerca de la interfaz
1.3.6.1.2.1.2.2.1.3 ifType
Entero Lectura Tipo de interfaz
1.3.6.1.2.1.2.2.1.4 ifMtu Entero Lectura
Tamao del octeto del datagrama mas grande que puede ser enviado o recibido por la interfaz
-
114/340
Un ejemplo ms complejo lo conforma el objeto ipAddrTable, que contiene una lista de las direcciones IP de cada interfaz de red y se encuentra ubicado en el rbol bajo el nodo ip con el nmero 20.
Su representacin numrica (OID) es:
1.3.6.1.2.1.4.20
mientras que su referencia literal es:
iso.org.dod.internet.mgmt.mib.ip.ipAddrTable
-
115/340
ipAddrTable guarda la informacin como una tabla que contiene cinco elementos por fila: la direccin IP, el ndice entero correspondiente a la interfaz de entrada, la mscara de subred, el valor del bit menos significativo en la direccin de broadcast IP y el mximo tamao del datagrama que puede ser reensamblado por el dispositivo
-
116/340
Mediante ASN.1, se define la variable de la siguiente forma:
ipAddrTable ::= SEQUENCE OF IpAddrEntry
donde SEQUENCE y OF especifican que ipAddrTable es un arreglo unidimensional (lista) de IpAddrEntrys.
-
117/340
ipAddrTable OBJECT-TYPE
SYNTAX SEQUENCE OF IpAddrEntry
ACCESS not-accessible
STATUS mandatory
DESCRIPTION
"The table of addressing information relevant to
this entity's IP addresses."
::= { ip 20 }
-
118/340
ipAddrEntry OBJECT-TYPE
SYNTAX IpAddrEntry
ACCESS not-accessible
STATUS mandatory
DESCRIPTION
"The addressing information for one of this
entity's IP addresses."
INDEX { ipAdEntAddr }
::= { ipAddrTable 1 }
-
119/340
IpAddrEntry tiene la siguiente estructura:
IpAddrEntry ::= SEQUENCE {ipAdEntAddr
IpAddress,ipAdEntIfIndex
INTEGER,ipAdEntNetMask
IpAddress,ipAdEntBcastAddr
IpAddress,ipAdEntReasmMaxSize
INTEGER(0..65535) }
-
120/340
Por ejemplo, para averiguar la mscara correspondiente a la direccin 10.0.0.2, se debe usar la variable:1.3.6.1.2.1.4.20.1.3.10.0.0.2Correspondiente a:
iso.org.dod.internet.mgmt.mib.ip.ipAddrTable.ipAddrEntry.ipAdEntNetMask.10.0.0.2
Index
-
121/340
-
122/340
Recorrido en orden lexicogrfico de una tabla
(se hace por columna)
-
123/340
-
124/340
Navegacin en la MIB con GetNext
-
125/340
Descripcin de las variables MIBLas variables MIB se agrupan en grupos o categoras.
Cada categora corresponde a un sub-rbol del nodo MIB debajo del nodo 1.3.6.1.2.1.
En la figura se muestran algunas de las categoras especificadas en la MIB-2 (RFC-1213).
-
126/340
Grupo System (1.3.6.1.2.1.1)
Informacin:
Descripcin del hardware, sistema operativo y software del equipo.
Nombre, ubicacin y responsable del equipo. Tiempo trascurrido desde que arranc. Servicios que presta
-
127/340
Navegando hacia el grupo System (1.3.6.1.2.1.1)
-
128/340
SNMPc
Intervalo de polling
-
129/340
Grupo System en el agente SNMP para Windows XP
-
130/340
OID & nombre Sintaxis Acceso Descripcin
1.3.6.1.2.1.1 System
Grupo Ninguno Informacin acerca del agente SNMP del sistema
1.3.6.1.2.1.1.1 sysDescr
Cadena de hasta 255 caracteres
Lectura Descripcin del hardware, sistema operativo y software del equipo
1.3.6.1.2.1.1.2 sysObjectID
ID de objeto Lectura OID del equipo en la rama privada del rbol MIB
1.3.6.1.2.1.1.3 sysUpTime
TimeTicks Lectura Cantidad de centsimas de segundos desde que el sistema fue reinicializado
1.3.6.1.2.1.1.4 sysContact
Cadena de hasta 255 caracteres
Lectura / Escritura Informacin de la persona que administra el equipo
1.3.6.1.2.1.1.5 sysName
Cadena de hasta 255 caracteres
Lectura / Escritura Nombre asignado al equipo
1.3.6.1.2.1.1.6 sysLocation
Cadena de hasta 255 caracteres
Lectura / Escritura
Ubicacin fsica del equipo
1.3.6.1.2.1.1.7 sysServices
Numero entero hasta 127
Lectura Tipos de servicios soportados por el equipo
-
131/340
sysObjectID apunta a la parte privada del rbol MIB, donde hay variable adicionales, propias de ese equipo(ej. 1.3.6.1.4.1.311.1.1.3.2).
311Microsoft
-
132/340
Instanciacin de las variables MIB
Cuando se utiliza un objeto en un mensaje SNMP (por ejemplo GetRequest), se le agrega un valor llamado instancia.
El OID del objeto seguido de ese valor es lo que formalmente se llama una variable SNMP (aunque a veces el propio OID se le llama variable).
Esto es anlogo al concepto de funcin f(x).
f(x) es el OID.f(5) es la instanciacin de f(x).
-
133/340
Para objetos sencillos, como sysUptime, la instancia es por convencin el nmero 0, de manera que cuando la variable en cuestin aparece en un mensaje SNMP, su representacin ser: 1.3.6.1.2.1.1.3.0.
El OID 1.3.6.1.2.1.1.3 es el prefijo y la instancia 0 el sufijo.
En forma literal: iso.org.dod.internet.mgmt.mib.system.sysuptime.0
En forma mixta: 1.3.6.1.2.1.system.sysuptime.0
1.3.6.1.2.1.1.sysuptime.0
-
134/340
Para leer una variable MIB, se puede usar GetRequest con el OID instanciado:
GetRequest(1.3.6.1.2.1.1.3.0)
para buscar la instancia.
Alternativamente se puede usar GetNextRequest sin el OID instanciado, ya que GetNextRequest acta sobre el prximo objeto en orden lxicogrfico que le sigue al nodo actual.
GetNextRequest(1.3.6.1.2.1.1.3)
-
135/340
Ejemplo: orden lexicogrfico de las variables MIBs del grupo System
-
136/340
Navegacin en el rbol con un MIB Browser
Ntese la instanciacin
-
137/340
MIB browsing en unrouter inalmbrico Linksys WRT54G
-
138/340
Grupo Interfaces (1.3.6.1.2.1.2)
Informacin:
Nmero de interfaces de red permitidas. Tipo de interfaz operando debajo de IP (Ethernet,
LAPB, etc.). Tamao mximo del datagrama aceptable por la
interfaz. Velocidad en bps, direccin y estado operacional de la
interfaz. Cantidad de trfico recibido, entregado o desechado, y
las razones.
-
139/340
-
140/340
-
141/340
-
142/340
OID & nombre Sintaxis Acceso Descripcin
1.3.6.1.2.1.2 Interfaces
Grupo Ninguno Informacin acerca de los puertos lgicos I/O
1.3.6.1.2.1.2.1 ifNumber
Entero Lectura Numero de interfaces de red presentes en el sistema
1.3.6.1.2.1.2.2 IfTable
Secuencias de InEntry
Ninguno Listado de Interfaces, cada uno para el valor de IfNumber
1.3.6.1.2.1.2.2.1 IfEntry
IfEntry Ninguno Objetos en y sobre la capa de red, para una interfaz particular
1.3.6.1.2.1.2.2.1.1 IfIndex
Entero Lectura Valor nico para cada interfaz
1.3.6.1.2.1.2.2.1.2 ifDescr
Cadena de hasta 255 caracteres
Lectura Informacin textual acerca de la interfaz
1.3.6.1.2.1.2.2.1.3 ifType
Entero Lectura Tipo de interfaz
1.3.6.1.2.1.2.2.1.4 ifMtu Entero Lectura
Tamao del octeto del datagrama mas grande que puede ser enviado o recibido por la interfaz
-
143/340
1.3.6.1.2.1.2.2.1.10 ifInOctets
Contador Lectura Numero total de octetos recibidos por la interfaz
1.3.6.1.2.1.2.2.1.11 ifInUcastPkts Contador Lectura
Numero de paquetes unicast de sudred enviados a un protocolo de capa superior
1.3.6.1.2.1.2.2.1.12 ifInNUcastPkts Contador Lectura
Numero de paquetes no-unicast enviados a un protocolo de capa superior
1.3.6.1.2.1.2.2.1.13 ifInDiscards Contador Lectura
Numero de paquetes de entrada descartados, aunque no se haya detectado ningn error
1.3.6.1.2.1.2.2.1.14 ifInErrors Contador Lectura
Numero de errores de entrada que hace que los paquetes no sean entregados a un protocolo superior
1.3.6.1.2.1.2.2.1.15 ifInUnknowProtos Contador Lectura
Numero de paquetes descartados, debido al desconocimiento o por un protocolo no soportado
Contadores de entrada existentes en el grupo Interfaces
-
144/340
Grupo Address Translation (1.3.6.1.2.1.3)
Informacin:
Tablas de traduccin de direccin para traduccin red-direccin fsica (IP a Ethernet o Token Ring).
(Es obsoleto y sus funciones residen ahora en el grupo IP).
-
145/340
-
146/340
OID & nombre Sintaxis Acceso Descripcin
1.3.6.1.2.1.3 Address Translation Grupo Ninguno Informacin del cache ARP
1.3.6.1.2.1.3.1 atTable
Secuencias de AtEntry Ninguno Direccin de Red
1.3.6.1.2.1.3.1.1 AtEntry AtEntry Ninguno
Cada entrada contiene una direccin de red para equivalenete de direccin fsica
1.3.6.1.2.1.3.1.1.1 atIfIndex Entero
Lectura / Escritura
La interfaz donde la entrada equivalente es efectiva
1.3.6.1.2.1.3.1.1.2 atPhysAddress PhysAddress
Lectura / Escritura Direccin fsica de la interfaz
1.3.6.1.2.1.3.1.1.3 atNetAddress NetworkAddress
Lectura / Escritura
Direccin de red correspondiente a la direccin fsica
-
147/340
Grupo IP (1.3.6.1.2.1.4)
Informacin: Si el nodo enruta datagramas. El TTL de los datagramas originados en el nodo. Cantidad de trfico entregado, recibido o
desechado, y las razones. Operaciones de fragmentacin. Tablas de direcciones, incluyendo mscaras de
subred. Tablas de enrutamiento incluyendo: direccin
destino, mtricas de distancia, edad de la ruta, prximo nodo y protocolo que muestra la ruta (EGP, RIP, etc.).
-
148/340
-
149/340
-
150/340
OID & nombre Sintaxis Acceso Descripcin
1.3.6.1.2.1.4 IP
Grupo Ninguno Informacin del cache ARP
1.3.6.1.2.1.4.1 ipForwarding Entero
Lectura / Escritura
Indica que esta estacin puede retransmitir datagramas recibidos.
1.3.6.1.2.1.4.2 ipDefaultTTL Entero
Lectura / Escritura
Valor por defecto en el campo Time-To-Live del encabezado IP
1.3.6.1.2.1.4.3 ipInReceives Contador Lectura
Numero de datagramas de entrada recibidos en las interfaces
1.3.6.1.2.1.4.4 ipInHdrErrors Contador Lectura
Numero de datagramas descartados debido a errores en la cabecera IP
1.3.6.1.2.1.4.5 ipInAddrErros Contador Lectura
Numero de datagramas descartados cuando la direccin IP de destino no es sta estacin
Contina....
-
151/340
1.3.6.1.2.1.4.6 ipForwDatagrams Contador Lectura
Numero de datagramas que esta estacin pretende retransmitir
1.3.6.1.2.1.4.7 ipInUnknowProtos Contador Lectura
Numero de datagramas de entrada descartados, debido al desconocimiento del protocolo
1.3.6.1.2.1.4.8 ipInDiscards Contador Lectura
Numero de datagramas de entrada descartados sin ningn problema
1.3.6.1.2.1.4.9 ipInDelivers Contador Lectura
Numero de datagramas de entrada entregados a protocolos conocidos por sta estacin
1.3.6.1.2.1.4.10 ipOutRequests Contador Lectura
Nmero de datagramas IP que los protocolos locales solicitaron transmitir
1.3.6.1.2.1.4.11 ipOutDiscards Contador Lectura
Numero de datagramas de salida que fueron descartados sin errores
1.3.6.1.2.1.4.12 ipOutNoRoutes Contador Lectura
Numero de datagramas descartados debido a no existir ruta para su destino
-
152/340
Grupo ICMP (1.3.6.1.2.1.5)
Informacin:
Cantidad de los diferentes mensajes ICMP (ej. ping) recibidos y transmitidos.
Estadsticas de problemas encontrados.
-
153/340
-
154/340
OID & nombre Sintaxis Acceso Descripcin
1.3.6.1.2.1.5 ICMP
Grupo Ninguno Informacin del protocolo ICMP
1.3.6.1.2.1.5.1 icmpInMsgs
Contador Lectura Numero total de mensajes ICMP que la estacin ha recibido
1.3.6.1.2.1.5.2 icmpInErrors
Contador Lectura Numero de mensajes ICMP recibidos que tienen algunos errores ICMP especificos
1.3.6.1.2.1.5.3 icmpInDestUnreachs
Contador Lectura Numero de mensajes ICMP recibidos con destino inalcanzable
1.3.6.1.2.1.5.4 icmpInTimeExcds
Contador Lectura Numero de mensajes ICMP recibidos con tiempo excedido
1.3.6.1.2.1.5.5 icmpInParmProbs
Contador Lectura Numero de mensajes ICMP recibidos con problemas en parmetros
1.3.6.1.2.1.5.6 icmpInSrcQuenchs
Contador Lectura Numero de mensajes ICMP recibidos tipo Source Quench
1.3.6.1.2.1.5.7 icmpInRedirects
Contador Lectura Numero de mensajes ICMP recibidos redirecionados
1.3.6.1.2.1.5.8 icmpInEchos
Contador Lectura Numero de mensajes ICMP Echo (request) recibidos
-
155/340
Grupo TCP (1.3.6.1.2.1.6)
Informacin:
Valores mximos/mnimos de retransmisin. Nmero de conexiones TCP que soporta el nodo. Informacin de operaciones de transicin de estado. Trfico recibido y enviado. Puerto y nmero IP para cada conexin
-
156/340
-
157/340
-
158/340
-
159/340
-
160/340
OID & nombre Sintaxis Acceso Descripcin
1.3.6.1.2.1.6 TCP
Grupo Ninguno Informacin del protocolo TCP
1.3.6.1.2.1.6.1 tcpRtoAlgorithm Entero Lectura
Valor de algoritmo de tiempo de espera para retransmitir octetos desconocidos
1.3.6.1.2.1.6.2 tcpRtoMin Entero Lectura
Tiempo mnimo en espera para retransmitir
1.3.6.1.2.1.6.3 tcpRtoMax Entero Lectura
Tiempo mximo en espera para retransmitir
1.3.6.1.2.1.6.4 tcpMaxConn Entero Lectura
Lmite total de conexiones TCP que soporta la estacin
1.3.6.1.2.1.6.5 tcpActiveOpens Contador Lectura
Las veces que TCP transita al estado SYN-SENT del estado CLOSED
1.3.6.1.2.1.6.6 tcpPassiveOpens Contador Lectura
Las veces que TCP transita al estado SYN-RCVD del estado
-
161/340
Grupo UDP (1.3.6.1.2.1.7)
Informacin:
Trfico recibido y enviado. Problemas encontrados.
-
162/340
-
163/340
OID & nombre Sintaxis Acceso Descripcin
1.3.6.1.2.1.7 UDP Grupo Ninguno Informacin del protocolo UDP
1.3.6.1.2.1.7.1 udpInDatagrams Contador Lectura
Numero total de datagramas entregados a servicios UDP
1.3.6.1.2.1.7.2 udpNoPorts Contador Lectura
Numero de datagramas UDP recibidos sin puerto para la aplicacin destino
1.3.6.1.2.1.7.3 udpInErrors Contador Lectura
Numero de datagramas UDP recibidos con errores
1.3.6.1.2.1.7.4 udpOutDatagrams Contador Lectura
Numero total de datagramas UDP enviados por esta estacin
1.3.6.1.2.1.7.5 udpTable
Secuencia de Entry Ninguno
Tabla que contiene informacin que escucha el UDP
-
164/340
Grupo EGP (1.3.6.1.2.1.8)
Informacin:
Trfico enviado y recibido. Problemas encontrados. Tabla de vecino EGP. Direcciones a vecinos. Estado EGP con cada vecino. Definido en el MIB II, provee informacin sobre los
tipos de esquemas de transmisin e interfaces. Definido en el MIB II, brinda informacin sobre
capacidades de manipulacin de errores.
-
165/340
Grupo Transmission (1.3.6.1.2.1.10)Informacin:
Definido en el MIB-II, provee informacin sobre tecnologa detransmisin (ej. E1, Frame Relay, ATM, SDH) e interfaces.
MIB OID RFC CSMA/CD-like objects 1.3.6.1.2.1.10.7 1650FDDI objects 1.3.6.1.2.1.10.15 1285, 1512El Interface objects 1.3.6.1.2.1.10.19 1406PPP objects 1.3.6.1.2.1.10.23 1471
-
166/340
MIB OID RFC DS3/E3 Interface objects 1.3.6.1.2.1.10.30 1407Frame Relay objects 1.3.6.1.2.1.10.32 1315RS-232 objects 1.3.6.1.2.1.10.33 1659Parallel Printer objects 1.3.6.1.2.1.10.34 1660ARCNETPLUS objects 1.3.6.1.2.1.10.36 N/AATM objects 1.3.6.1.2.1.10.37 1695SONET objects 1.3.6.1.2.1.10.39 1595Frame relay network service objects 1.3.6.1.2.1.10.44 1695
-
167/340
Grupo SNMP (1.3.6.1.2.1.11)
Informacin:
Definido en el MIB-II, brinda informacin sobre el propio protocolos SNMP (ej. total de solicitudes GET o de Traps generados).
-
168/340
Specific-use MIBs
The following table lists the currently approved Internet-standard MIBs included under the MIB-II subtree that support a specific architecture, protocol, or interface:
MIB OID RFC Generic Interface Extensions 1.3.6.1.2.1.12 1229, 1239Appletalk Protocols 1.3.6.1.2.1.13 1742Open Shortest Path First (OSPF) 1.3.6.1.2.1.14 1253Border Gateway Protocol (BGP) 1.3.6.1.2.1.15 1657Remote Monitoring (RMON) 1.3.6.1.2.1.16 1757Bridges 1.3.6.1.2.1.17 1286DECnet Phase 4 1.3.6.1.2.1.18 1559Character Streams 1.3.6.1.2.1.19 1658
-
169/340
MIB OID RFC IEEE 802.3 Repeaters 1.3.6.1.2.1.22 1516Routing Information Protocol (RIP) 1.3.6.1.2.1.23 1389Identification Protocol 1.3.6.1.2.1.24 1414Host Resources 1.3.6.1.2.1.25 1514IEEE 802.3 Medium Attachment Units 1.3.6.1.2.1.26 1515Network Services Monitoring 1.3.6.1.2.1.27 1565Mail Monitoring 1.3.6.1.2.1.28 1566X.500 Directory Monitoring 1.3.6.1.2.1.29 1567Interface Types 1.3.6.1.2.1.30 1573Interface Types 1.3.6.1.2.1.31 1573Domain Name System 1.3.6.1.2.1.32 1611Uninterruptible Power Supplies 1.3.6.1.2.1.33 1628SNA NAU 1.3.6.1.2.1.34 1666Ethernet-like generic objects 1.3.6.1.2.1.35 1650
-
170/340
MIB OID RFC SMDS interface objects 1.3.6.1.2.1.36 1694ATM objects 1.3.6.1.2.1.37 1695Dial-up modem objects 1.3.6.1.2.1.38 1696Relational database objects 1.3.6.1.2.1.39 1697Traffic flow objects 1.3.6.1.2.1.40 2064SNA SDLC 1.3.6.1.2.1.41 1747Token Ring Station Source Route 1.3.6.1.2.1.42 1748Printer 1.3.6.1.2.1.43 1759Mobile IP 1.3.6.1.2.1.44 2006IEEE 802.12 1.3.6.1.2.1.45 2020Data Link Switch 1.3.6.1.2.1.46 2024Entity 1.3.6.1.2.1.47 2037Internet Protocol MIB Module 1.3.6.1.2.1.48 2011TCP MIB Module 1.3.6.1.2.1.49 2012UDP MIB Module 1.3.6.1.2.1.50 2013
-
171/340
Siemens
-
172/340
-
173/340
Linksys WRT54G Wireless Access Point
potenciado con el firmware Alchemy de Sveasoft
-
174/340
MIB browsing en SNMP en Linksys WRT54G
-
175/340
Monitoreo del trfico con PRTG en Linksys WRT54G
-
176/340
La primera fila indica que en la VLAN0 se est excluyendo el puerto WAN de la conexin a la WLAN y que se estn incluyendo los 4 puertos LAN a la conexin a la WLAN.
La segunda fila indica que la WLAN1 est compuesta slo por el puerto WAN.
Los distintos puertos que se pueden monitorear en Linksys WRT54G
-
177/340
1
0
2
1
1
1
3
3
6
2
4
1
9
ITU-T ISO Joint ISO/ITU-T
ORG
DOD Internet
Directorio
MGMT Experimental
Privada
MIB Empresas
Cisco
Raz
Ejemplos de MIB privadas
(1.3.6.1.4.1)
-
178/340
PRIVATE ENTERPRISE NUMBERS (RFC 1700)
http://www.iana.org/assignments/enterprise-numbers
Prefijo: iso.org.dod.internet.private.enterprise (1.3.6.1.4.1)
Ejemplos:1.3.6.1.4.1.9 Cisco 1.3.6.1.4.1.42 Sun Microsystems
1.3.6.1.4.1.52 Cabletron Systems 1.3.6.1.4.1.77 LAN Manager
1.3.6.1.4.1.186 Toshiba Corporation 1.3.6.1.4.1.193 Ericsson
1.3.6.1.4.1.231 Siemens Nixdorf 1.3.6.1.4.1.232 Compaq
1.3.6.1.4.1.311 Microsoft 1.3.6.1.4.1.343 Intel Corporation
-
179/340
Ejemplo: MIB privada de Transition Networks
1.3.6.1.4.868.2.4.1.2.1.1.1.3.3562.3
-
180/340
The SNMP agent is "extensible" and allows MIB information to be dynamically added and supported as required.
For the programmer this means that to enable the SNMP agent service to support a new MIB object, you need not update and recompile the agent's code.
Instead, an external "subagent" will be modified and used by the agent to process all of the management requests that it receives, and to create all of the traps that it sends.
Agente SNMP de Microsoft para Windows
-
181/340
Windows SNMPBy James D. Murray
O'Reilly & Associates, Inc.
SNMP is implemented as a Win32 system service. Under Windows there are actually two SNMP services. The first is the SNMP agent service (SNMP.EXE ). The agent processes SNMP Request messages that it receives from SNMP management systems and sends GetResponse messages in reply. The agent specifically handles the interface with the Windows Socket (WinSock) API, SNMP message parsing, and ASN.1 and BER encoding and decoding. The agent is also responsible for sending trap messages to SNMP management systems.
The second service is the SNMP trap service (SNMPTRAP.EXE ), which listens for traps sent to the NT host and then passes the data along to the Microsoft SNMP management API.
-
182/340
Instalacin del agente SNMP para Windows
-
183/340
-
184/340
-
185/340
Detalles de la configuracin del agente SNMP para Windows
Haga clic en Inicio, seleccione Panel de control, Herramientas administrativas y, a continuacin, haga clic en Administracin de equipos.
En el rbol de consola, expanda Servicios y Aplicaciones y, a continuacin, haga clic en Servicios.
En el panel de la derecha, haga doble clic en Servicio SNMP. Haga clic en la ficha Agente. Escriba el nombre del usuario o administrador del equipo en
el cuadro Contacto y despus escriba la ubicacin fsica del equipo o contacto en el cuadro Ubicacin. Estos comentarios se tratan como texto y son opcionales.
-
186/340
-
187/340
En Servicio, haga clic para activar las casillas de verificacin situadas junto a los servicios proporcionados por el equipo. Las opciones de servicio son las siguientes:
Fsico: especifica si el equipo administra dispositivos fsicos como una particin de disco duro.
Aplicaciones: especifica si el equipo utiliza programas que envan datos a travs de TCP/IP.
Vnculo de datos y subred: especifica si este equipo administra una subred o un vnculo de datos TCP/IP, como un puente.
Internet: especifica si este equipo acta como una puerta de enlace IP (enrutador).
De un extremo a otro: especifica si este equipo acta como un host IP.
Haga clic en Aceptar.
-
188/340
-
189/340
Cmo configurar comunidades y capturas (traps) SNMP Haga clic en Inicio, seleccione Panel de control, Herramientas
administrativas y, a continuacin, haga clic en Administracin de equipos.
En el rbol de consola, expanda Servicios y Aplicaciones y, a continuacin, haga clic en Servicios.
En el panel de la derecha, haga doble clic en Servicio SNMP y haga clic en la ficha Capturas.
En el cuadro Nombre de comunidad, escriba el nombre de comunidad que distinga entre maysculas y minsculas al que este equipo enviar mensajes de captura y despus haga clic en Agregar a la lista.
En Destinos de capturas, haga clic en Agregar.
En el cuadro Nombre, direccin IP o IPX del host, escriba el nombre, direccin IP o direccin IPX del host y despus haga clic en Agregar.
El nombre o la direccin del host aparecern en la lista Destinos de capturas. Luego haga clic en Aceptar.
-
190/340
-
191/340
Cmo configurar la seguridad SNMP Haga clic en Inicio, seleccione Panel de control, Herramientas
administrativas y, a continuacin, haga clic en Administracin de equipos.
En el rbol de consola, expanda Servicios y Aplicaciones y, a continuacin, haga clic en Servicios.
En el panel de la derecha, haga doble clic en Servicio SNMP.
Haga clic en la ficha Seguridad.
Haga clic para activar la casilla de verificacin Enviar captura de autenticacin (si no est activada ya) si desea que se enve un mensaje de captura siempre que la autenticacin falle.
En Nombres de comunidad aceptados, haga clic en Agregar.
Para especificar cmo procesa el host las solicitudes SNMP desde la comunidad seleccionada, haga clic en el nivel de permiso que desee en el cuadro Derechos de comunidad.
-
192/340
En el cuadro Nombre de comunidad, escriba el nombre de comunidad que distinga entre maysculas y minsculas que desee y, a continuacin, haga clic en Agregar.
Especifique si acepta o no los paquetes SNMP de un host. Para ello, realice una de las acciones siguientes:
Para aceptar solicitudes SNMP desde cualquier host de la red, independientemente de la identidad, haga clic en Aceptar paquetes SNMP de cualquier host.
Para limitar la aceptacin de paquetes SNMP, haga clic en Aceptar paquetes SNMP de estos hosts, despus haga clic en Agregar y, por ltimo, escriba el nombre, direccin IP o direccin IPX apropiados del host en el cuadro Nombre, direccin IP o IPX del host.
Haga clic en Agregar.
Haga clic en Aceptar.
-
193/340
-
194/340
Se puede agregar un nombre secreto de comunidad (ej. private) para lectura y escritura.
-
195/340
File Description
DHCP.MIB Extension agent implementing the DHCP server MIB (1.3.6.1.4.1.311.1.3)
DHCPMIB.DLL Extension agent is part of the DHCP server installation
FTP.MIB Microsoft Internet Information Server FTP server MIB (1.3.6.1.4.1.77.1.7.2.1)
GOPHERD.MIB Microsoft Internet Information Server gopher server MIB (1.3.6.1.4.1.77.1.7.4.1)
HTTP.MIB Microsoft Internet Information Server HTTP server MIB (1.3.6.1.4.1.77.1.7.3.1)
INETMIB1.DLL Extension agent implementing MIB-II (1.3.6.1.2.1)
INETSRV.MIB Microsoft Internet Information Server MIB (1.3.6.1.4.1.77.1.7.1.1)
LANMAN.MIB Original LAN Manager MIB. Superseded by LMMIB2.MIB
LMMIB2.MIB LMMIB2.DLL
Extension agent implementing the LAN Manager MIB 2 (1.3.6.1.4.1.77.1.3)
WINS.MIB WINSMIB.DLL
Extension agent implementing the WINS server MIB (1.3.6.1.4.1.311.1.2)
Agentes de extensin de Microsoft para Windows
-
196/340
http://www.snmp-informant.com
http://68.149.150.106/snm/snm.cgi
Otros agentes de extensin para Windows
-
197/340
SNMP Informant is an innovative and enabling technology, designed to breathe new life into the SNMP Management of Windows operating systems.
By simply installing SNMP Informant (after the Microsoft SNMP service) on Windows 2000, Windows XP and Windows 2003 systems, low-level, mission critical performance data can be collected and monitored using standard SNMP tools and applications.
The "Standard agent is completely free, and allows you to monitor over 60 stats from the "core four" system performance indicators (CPU, Disk, Memory and Network).
Hundreds of companies around the world are using SNMP Informant-Standard across their Windows enterprises!!
-
198/340
SNMP Informant is an SNMP Performance Counter Extension Agent, designed to load on top of (it requires) the Microsoft SNMP service.
The diagram below illustrates the relationship between SNMP Informant, the MS SNMP service and other SNMP extension agents.
-
199/340
-
200/340
-
201/340
-
202/340
-
203/340
-
204/340
-
205/340
SNMP-Informant Motherboard Monitor (MBM)Using the MIBs provided with SNMP Informant-MBM, you can target and collect values from all the sensors detected by MBM.
This includes CPU and chassis fan speed, temperature probes and core voltage levels.
The image below shows an example of sensors (i.e. Case and CPU temperature) extracted from Motherboard Monitor by Informant-MBM.
-
206/340
-
207/340
NOTA: SNMP-Informant requiere que se instale previamente este producto, tambin gratuito.
http://mbm.livewiredev.com
-
208/340
-
209/340
Prctica sobre gestin de redes con SNMP
Prof. Vincenzo Mendillo
Objetivo
Familiarizarse con el uso de las funciones de SNMP (Simple Network Management Protocol) para el monitoreo y la configuracin de equipos, sistemas y servicios en redes TCP/IP, utilizando los comandos Get, Set y Trap para el acceso a variables MIB pblicas y privadas.
-
210/340
Agente SNMP en LinuxEn la mayora de los sistemas Linux, se incluye un agente de SNMP que se trata de uno de los ms desarrollados en la actualidad.
Se trata de la actualizacin de la librera SNMP de la Universidad de California en Davis (UCD).
La librera se llamaba, en versiones previas ucd-snmp, ahora se denomina net-snmp.
Esta librera ha sido muy actualizada y desarrollada e incluye las herramientas de SNMP tradicionales.
La versin actual 4.1 incluye soporte para todas las versiones de SNMP (desde la uno, a la tres).
Los agentes de SNMP que instala son perfectamente extensibles, tanto a travs del propio cdigo (con la API proporcionada) como a travs de comandos definidos en la configuracin.
-
211/340
MIB privada UCD-SNMP-MIB para Linux
CPU Statistics
Load1 minute Load: 1.3.6.1.4.1.2021.10.1.3.15 minute Load: 1.3.6.1.4.1.2021.10.1.3.215 minute Load: 1.3.6.1.4.1.2021.10.1.3.3
CPUpercentage of user CPU time: 1.3.6.1.4.1.2021.11.9.0raw user cpu time: 1.3.6.1.4.1.2021.11.50.0percentages of system CPU time: 1.3.6.1.4.1.2021.11.10.0raw system cpu time: 1.3.6.1.4.1.2021.11.52.0percentages of idle CPU time: 1.3.6.1.4.1.2021.11.11.0raw idle cpu time: 1.3.6.1.4.1.2021.11.53.0raw nice cpu time: 1.3.6.1.4.1.2021.11.51.0
-
212/340
Memory Statistics
Total Swap Size: .1.3.6.1.4.1.2021.4.3.0Available Swap Space: .1.3.6.1.4.1.2021.4.4.0Total RAM in machine: .1.3.6.1.4.1.2021.4.5.0Total RAM used: .1.3.6.1.4.1.2021.4.6.0Total RAM Free: .1.3.6.1.4.1.2021.4.11.0Total RAM Shared: .1.3.6.1.4.1.2021.4.13.0Total RAM Buffered: .1.3.6.1.4.1.2021.4.14.0Total Cached Memory: .1.3.6.1.4.1.2021.4.15.0
Disk Statistics
Path where the disk is mounted: 1.3.6.1.4.1.2021.9.1.2.1Path of the device for the partition: 1.3.6.1.4.1.2021.9.1.3.1Total size of the disk/partion (kBytes): 1.3.6.1.4.1.2021.9.1.6.1Available space on the disk: 1.3.6.1.4.1.2021.9.1.7.1Used space on the disk: 1.3.6.1.4.1.2021.9.1.8.1Percentage of space used on disk: 1.3.6.1.4.1.2021.9.1.9.1
-
213/340
Sistema de Gestin mediante SNMP
Parte 2
Limitaciones de la primera versin de SNMP
Evolucin de SNMPv1 hacia SNMPv2
Nuevos tipos de datos y de mensajes en SNMPv2
GetBulkRequest e InformRequest
Seguridad en SNMPv2
Caractersticas y arquitectura de SNMPv3
Modelos de seguridad USM y VACM
Coexistencia de SNMP v1, v2 y v3 y uso de Proxy
-
214/340
Limitaciones de la primera versin de SNMP Desde su nacimiento en 1988, SNMP ha sido el protocolo ms utilizado para la gestin de redes, pero adolece de los siguientes problemas:
Falta de mecanismos de seguridad robustos que garanticen la integridad, autenticidad y confidencialidad del los mensajes SNMP.
No existe la posibilidad de asegurar que las PDUsSNMP recibidas por un agente provengan de la estacin de gestin y no de cualquier otra estacin. Por ello es posible alterar las variables MIB decualquier agente desde cualquier estacin a travs de un mensaje SetRequest. Basta conocer el nombre de la comunidad (ej. private, cisco).
-
215/340
El mecanismo de obtencin de tablas es mediante peticiones repetidas GetNext, lo que genera demasiado trfico por la red.
SNMP no posee la facilidad de obtener bloques de informacin en una sola peticin a los agentes.
-
216/340
No es fcil la gestin distribuida o jerrquica. SNMP no permite la existencia de varias estaciones de
gestin en un solo sistema.
Es complicado intercambiar informacin de gestin consolidada entre estaciones gestoras (ej. consumo para
facturacin).
Network Management System
-
217/340
Limitaciones en el comando Trap. SNMP no define el mecanismo por el cual un trap debe ser
enviado ni explica qu informacin debe enviar el agente como parte del trap; slo se especifica que debe incluir informacin interesante.
Por ello los traps son especficos a cada implantacin.
Adems slo se reportan en eventos pre-programados y cuando ocurre una falla diferente, si el trap la reporta, lo har incorrectamente.
-
218/340
Evolucin de SNMPv1 hacia SNMPv2
El grupo encargado de desarrollar las especificaciones de SNMP, reconoci estas limitantes en el protocolo y poco tiempo despus de la estandarizacin de SNMP, la IETF comenz las labores para mejorarlo.
De este esfuerzo, surgi en julio de 1992 un conjunto de documentos referidos como SNMP Seguro (S-SNMP, Secure SNMP).
-
219/340
Paralelamente, un grupo formado por cuatro de los principales participantes en el desarrollo de SNMP, propuso SMP (Simple Management Protocol).
SMP incorporaba mejoras funcionales a SNMP incluyendo, con menores modificaciones, las mejoras de seguridad de S-SNMP.
Adems, SMP incorporaba algunos conceptos de RMON (Remote Monitoring MIB), incluyendo las especificaciones de alarmas y eventos, y una tcnica simple para crear y eliminar filas en una tabla.
-
220/340
Tomando como base las propuestas S-SNMP y SMP, la IETF form en otoo de 1992 dos grupos de trabajo para definir un protocolo que sera llamado SNMPv2 (SNMP versin 2).
El grupo conocido como Grupo de Trabajo de SNMPv2 (SNMPv2 Working Group) fue el encargado de definir todos los aspectos diferentes al de seguridad, incluyendo SMI, MIB y protocolo.
Este trabajo se bas principalmente en SMP y en diciembre de 1992 el grupo public un conjunto de nueve documentos propuestos como estndares de Internet.
-
221/340
El otro grupo, Grupo de Trabajo de Seguridad de SNMPv2 (SNMPv2 Security Working Group), fue encargado de desarrollar los aspectos de seguridad de SNMPv2.
El trabajo fue basado sustancialmente en S-SNMP y en enero de 1993 se public un documento borrador con los resultados de los trabajos.
-
222/340
Evolucin de SNMPv2 a partir de SNMP
SNMPv2 presenta grandes mejoras en comparacin con su predecesor SNMPv1 (antes llamado simplemente SNMP).
-
223/340
-
224/340
Nuevos tipos de datos en SNMPv2
Integer32 A defined type that represents integer-valued information between -231 and 231-1 inclusive (-2147483648 and 2147483647 decimal). [Note: This type is indistinguishablefrom the INTEGER type, although the INTEGER type may have different numerical constraints].
Counter32 A defined type that represents a non-negative integer that monotonically increases until it reaches o maximum value of 232-1 (4294957295 decimal) then wraps aroundand starts increasing again from zero.
Counter64 A defined type that represents a nonnegative integer that monotonically increases until reaches a maximum value of 264-1 (18446744073709551615 decimal), then wrapsaround and starts increasing again from zero. Counter64 is used for objects for which the 32-bit counter (counter32) is too small, or which would wrap around too quickly.
-
225/340
Unsigned32 A defined type that represents integer-valued information between 0 and 232-1 (4294967295 decimal), inclusive.
Gauge32 A defined type that represents a nonnegative integer which may increase or decrease, but which never exceeds a maximum value (232-l, as above).
BITS A constructed which represents an enumeration of named bits.
-
226/340
Nuevos tipos de mensajes en SNMPv2:GetBulkRequest e InformRequest
GetBulkRequest permite obtener mltiples filas de una tabla con una nica peticin,
InformRequest permite a una estacin administradora enviar informacin de gestin a otra estacin administradora, sin que exista una peticin previa.
Con estas dos nuevas PDUs, SNMPv2 elimina dos de las serias limitantes de SNMPv1: la imposibilidad de obtener eficientemente grandes bloques de informacin y la imposibilidad de implantar esquemas de gestin distribuida.
-
227/340
GetBulkRequest allows one SNMP message to access multiple objects in a MIB
InformRequest allows manager-to-manager communication
Manager Agent
GetRequest
GetResponse
GetNextRequest
Trap
SetRequest
GetBulkRequest
GetBulkResponseInformRequest
InformRequest-Response
Manager
Nuevos tipos de mensajes en SNMPv2:GetBulkRequest e InformRequest
-
228/340
1.3.6.1.6.3
Nuevas MIB en SNMPv2 Hay una extensin del rbol MIB para SNMPv2, donde se colocan los nuevos mdulos a medida que surjan.
-
229/340
Ampliacin del grupo System para SNMPv2
sysORLastChange: El valor de sysUpTime en el momento del ltimo cambio de estado o valor de cualquier instancia de sysORID.
SysORtable: La tabla (conceptual) con la lista de capacidades de la entidad local SNMPv2 actuando como agente con respecto a varios mdulos MIB. Las entidades SNMPv2 con soporte dinmicamente configurable de mdulos MIB tendrn un nmero dinmicamente variable de filas conceptuales.
-
230/340
sysORTable
The sysORTable defined in SNMPv2 MIB has the following columns defined in it:
sysORIndex - the index column.
sysORID - the OID of the MIB Module supported by the Agent.
sysORDescr - the Description of the MIB Module.
sysORUpTime - the sysUpTime when the row was last instantiated.
-
231/340
Redefinicin del trap en SNMPv2
-
232/340
Seguridad en SNMPv2En cuanto a seguridad se refiere, SNMPv2 incorpora diferentes mecanismos para proteger la informacin de gestin transportada por los mensajes SNMP de los posibles aspectos de peligro mostrados en la tabla siguiente.
Estos mecanismos son: Resumen de mensajes MD5 (Message Digest 5): crea un
extracto (digesto) de los mensajes y verifica el origen del mismo.
Estndar de Cifrado de Datos (DES, Data Encryption Standard): encripta los mensajes SNMP para proteger su contenido.
Relojes Ligeramente Sincronizados (Loosely Synchronized Clocks): permite incorporar marcas de tiempo con soporte interno para sincronizar los relojes.
-
233/340
Aspectos considerados peligrosos para la informacin transmitida y mecanismos de proteccin
-
234/340
Los administradores de red pueden implantar los tres mecanismos individualmente o conjuntamente, dependiendo del nivel de seguridad requerido.
El esquema de mxima seguridad requiere de los tres mecanismos actuando conjuntamente.
Una forma de implantarlo sera la siguiente: el nodo origen utiliza MD5 para crear el resumen (hash) y la autenticacin del mensaje, le aplica una marca de tiempo (time stamp) y lo encripta utilizando DES.
El nodo receptor primero desencripta el mensaje, chequea la marca de tiempo para asegurarse que el mensaje es reciente y que adems es el ltimo mensaje enviado desde el nodo origen, para luego procesar el resumen (hash) y verificar la autenticidad del mismo.
-
235/340
Lamentablemente, los esquemas de seguridad, aunque incluyen mejoras en cuanto a las capacidades del protocolo, degradan el rendimiento del mismo.
MD5 necesita aproximadamente un incremento del 10% en tiempo de procesamiento, y si utiliza DES, el tiempo de procesamiento puede duplicarse.
Adems, dos puntos importantes comprometen los esquemas de seguridad de SNMPv2: dado que la marca de tiempo utiliza relojes ligeramente sincronizados, es posible que ambos relojes difieran tanto, que un mensaje vlido sea eliminado.
Por otro lado, DES es vulnerable dado que depende de un mecanismo confiable para el transporte de las contraseas.
-
236/340
As que por cuestiones de desempeo y otros factores, SNMPv2 no fue completamente aceptado y en la redes se ha estado utilizando una variante llamada SNMPv2c, publicado en enero de 1996 en la RFC 1901.
En SNMPv2c se sigue utilizando el nombre de la comunidad para el control de acceso.
Hubo que esperar que saliera SNMPv3 en 1997 y 1998 para que se aceptaran mecanismos de seguridad ms robustos.
-
237/340
La evolucin de SNMP
c
-
238/340
La evolucin de SNMP
-
239/340
Estndares SNMPv3 de 1997/98 (en parte obsoletos)
-
240/340
RFC 3410 (Informational). Introduction and Applicability Statements for Internet Standard Management Framework (December 2002)
RFC 3411. An Architecture for Describing SNMP Management Frameworks (December 2002)
RFC 3412. Message Processing and Dispatching (December 2002)
RFC 3413. SNMP Applications (December 2002)
RFC 3414. User-based Security Model (December 2002)
RFC 3415. View-based Access Control Model (December 2002)
RFC 3416. Version 2 of SNMP Protocol Operations (December 2002)
RFC 3417. Transport Mappings (December 2002)
RFC 3418. Management Information Base (MIB) for the Simple Network Management Protocol (SNMP) (December 2002)
RFC 3584. Coexistence between Version 1, Version 2, and Version 3 of the Internet-standard Network Management Framework (August 2003)
RFC 3826. The Advanced Encryption Standard (AES) Cipher Algorithm in the SNMP User-based Security Model (June 2004)
Estndares SNMPv3 recientes
-
241/340
-
242/340
Seguridad en SNMPv3
SNMPv3 protege contra los siguientes tipos de ataque:
Modificacin del contenido de los mensajes.
Modificacin del orden o flujo de los mensajes.
Captura y reenvo de mensajes viejos.
Suplantacin o usurpacin de identidad para realizar operaciones no autorizadas.
Revelacin del contenido de los mensajes.
Existen al menos dos amenazas contra las cuales SNMPv3 no ofrece proteccin, debido a que son considerados de menor importancia en este contexto: Anlisis de trfico y negacin de servicio (DoS).
-
243/340
Anlisis de trfico Es una tcnica sutil para obtener informacin de una comunicacin (cuando por ejemplo los datos viajan encriptados) y puede consistir en:
Obtencin del origen y destino de la comunicacin, por ejemplo observando las cabeceras de los paquetes IP encriptados.
Registro del volumen de trfico intercambiado entre las entidades monitoreadas, obteniendo as informacin acerca de actividad o inactividad inusuales.
Registro de las horas habituales de intercambio de datos entre las entidades monitoreadas, para as obtener informacin acerca de los perodos de actividad.
-
244/340
Ejemplo de DOS (Denial of Service) en SNMP
El switch Cisco Catalyst Switch (CCS) en su versin 2900XL, se ve afectado por un ataque de negacin de servicios, que puede dar lugar a tener que reiniciarlo.
Si el switch de Cisco tiene SNMP deshabilitado y un atacante enva una serie de paquetes UDP nulos contra el puerto SNMP (en este caso el 161) podr causar una ralentizacin o cada del servicio.
-
245/340
Ejemplo de DOS (Denial of Service) en SNMP
Ciertas impresoras HP JetDirect se cuelgan o imprimen pginas con basura cuando reciben un paquete SNMP ilegal.
Debido a que el problema radica en el "firmware" instalado en la propia impresora, la nica solucin consiste en filtrar los datagramas SNMP dirigidos a las mismas provenientes de redes externas (puerto UDP 161 y 162).
-
246/340
Hispasec - una-al-da 28/07/2008www.hispasec.com
Se ha informado sobre una vulnerabilidad en el System Management Agent (SMA) del demonio snmpd(1M) de Solaris 10 y OpenSolaris que podra ser aprovechada por un atacante remoto para ejecutar cdigo arbitrario con los permisos del demonio SNMP o hacer que ste deje de responder.
La vulnerabilidad se debe a un desbordamiento de buffer en la funcin '__snprint_value'.
Esto puede permitir la ejecucin de cdigo a travs del envo de una cadena de caracteres especialmente manipulada.
-
247/340
Seguridad en SNMPv3
-
248/340
Proteccin de la integridadSe hace un resumen del mensaje SNMP a enviar mediante la funcin hash MD5 o SHA1, obteniendo el MAC (Message Authenticaction Code).
El receptor verifica si el mensaje recibido est intacto, calculando el hash del mensaje recibido comparndolo con el MAC anexo al mensaje.
Si los resultados son distintos, significa que el mensaje se da o fue alterado intencionalmente.
-
249/340
Ataque del hombre en el medioSi los MAC son iguales, el mensaje probablemente est intacto.
Pero no se puede tener la certeza de que est intacto, ya que un intruso podra eventualmente haber interceptado y alterado el mensaje, recalculando el MAC para que no se detecte el cambio.
A este tipo de ataque se le llama hombre en el medio (MITM: man-in-the-middle).
-
250/340
Hashed Message Authentication Code (HMAC)
Para impedir este tipo de ataque, se usa HMAC, donde el resumen es funcin del mensaje y de una clave secreta compartida entre ambos extremos.
-
251/340
Proteccin de la confidencialidad de mediante la criptografa
El mensaje SNMP es encriptado con el algoritmo DES o AES utilizando una clave secreta comn entre el manager y el agente.
Clave secreta
Clave secretaMensaje
cifradoMensaje cifrado
-
252/340
Seguridad en SNMPv3
-
253/340
Seguridad en SNMPv3Autenticidad, confidencialidad y control de acceso
-
254/340
Un mensaje SNMPv3 contiene ms campos que SNMPv1 por los mecanismos de seguridad
-
255/340
Punto de Acceso Inalmbrico PROXIM ORiNOCO AP-700
Ejemplo de equipo que posee agente SNMPv3
-
256/340
Recientes vulnerabilidades descubiertas en SNMPv3 Junio 2008
Multiple implementations of the SNMPv3 management protocol contain a vulnerability which can be used to circumvent the authentication process.
In contrast to SNMPv2, in which the only access protection is plain text community strings, SNMPv3 uses Hash Message Authentication Codes (HMAC), for which, according to RFC3414, HMAC-MD5-96 or HMAC-SHA-96 can be used.
As well as the normal hash, a secret key also flows into the HMAC.
According to a security advisory in the open source implementations Net-SNMP and UCD-SNMP, sending a one byte HMAC to the recipient is sufficient to successfully authenticate an SNMP request.
The only obstacle is selecting the correct byte from the 256 possibilities not much of a problem for an attacker. As a result devices can be reconfigured or data queried.
-
257/340
US-CERT recommends activating SNMPv3 encryption until a patch is available.
This leaves the HMAC unencrypted, but encrypts the actual request. Without the correct key, however, the device will discard the SNMP packet, even with correct authentication.
Net-SNMP versions 5.4.1, 5.3.2 and earlier, and 5.2.4 and earlier are affected. All versions of UCD-SNMP are vulnerable; likewise the eCos project which is based upon it. Updates are available for Net-SNMP, but are not yet available for UCD-SNMP and eCos.
Cisco has published a report on the problem and has indicated that the problem exists with both HMAC-MD5-96 and HMAC-SHA-96. IOS and CatOS as well as ACE and Nexus products are all affected. The SNMP server in these products is, however, by default deactivated. Cisco has released updates.
US-CERT also includes Juniper, Network Appliance, Red Hat, Sun and Ubuntu in its list of affected vendors.
-
258/340
Vulnerability Note VU#878044SNMPv3 improper HMAC validation allows authentication bypass
A vulnerability in the way implementations of SNMPv3 handle specially crafted packets may allow authentication bypass.
SNMP can be configured to utilize version 3, which is the current standard version of SNMP. SNMPv3 incorporates security features such as authentication and privacy control among other features. Authentication for SNMPv3 is done using keyed-Hash Message Authentication Code (HMAC), a message authentication code calculated using a cryptographic hash function in combination with a secret key. Implementations of SNMPv3 may allow a shortened HMAC code in the authenticator field to authenticate to an agent or a trap daemon using a minimum HMAC of 1 byte.
This issue is known to affect Net-SNMP and UCD-SNMP. Other SNMP implementations may also be affected.
-
259/340
Detalles de la arquitectura SNMP versin 3
-
260/340
Arquitectura SNMP genrica (manager o agente)
Entidad SNMP
-
261/340
La arquitectura SNMP est descrita en una serie de documentos RFC
-
262/340
Arquitectura del manager
-
263/340
Arquitectura del agente
-
264/340
Mdulo: Aplicaciones SNMP
-
265/340
Mdulo: Motor SNMP
-
266/340
Mdulo: Motor SNMP
-
267/340
Ejemplo de parmetros SNMP
-
268/340
El parmetro snmpEngineID
-
269/340
Los parmetros de contexto
-
270/340
A SNMP message optionally take a --contextengineid and --contextname argument.
The --contextengineid argument expects a hexadecimal string representing the desired contextEngineID. The string must be 10 to 64 characters (5 to 32 octets) long and can be prefixed with an optional "0x". Once the --contextengineid is specified it stays with the object until it is changed again or reset to default by passing in the undefined value. By default, the contextEngineID is set to match the authoritativeEngineID of the authoritative SNMP engine.
The contextName is passed as a string which must be 0 to 32 octets in length using the --contextname argument. The contextName stays with the object until it is changed. The contextName defaults to an empty string which represents the "default" context.
Los parmetros de contexto
-
271/340
Modelo de seguridad USM
-
272/340
Funciones criptogrficas
-
273/340
Autenticacin con MAC
-
274/340
Cifrado con DES-CBC
-
275/340
Niveles de seguridad USM
-
276/340
MIB USM
-
277/340
MIB USM
1.3.6.1.6.3.16
1.3.6.1.6
-
278/340
Atributos del usuario en usmUserTable
-
279/340
-
280/340
Otras MIB en SNMPv3
-
281/340
Otras MIB en SNMPv31.3.6.1.6
-
282/340
Gestin de claves en USM
-
283/340
Gestin de claves
-
284/340
Localizacin y proteccin de las claves
-
285/340
Flujo de envo y recepcin de mensajes SNMv3
-
286/340
Proceso de envo de mensajes SNMPv3
-
287/340
Proceso de recepcin de mensajes SNMPv3
-
288/340
SNMPv3 especifica el modelo de Seguridad Basado en Usuario (USM) que se utiliza en el encabezado del mensaje
Encapsulacin de mensajes SNMPv3
-
289/340
Definicin del mensaje SNMPv3 en ASN.1
-
290/340
Estructura de mensajes SNMPv3
-
291/340
Contenido de mensajes SNMPv3
-
292/340
Decodificacin de mensajes SNMPv3
-
293/340
Las banderas en mensajes SNMPv3
-
294/340
El modelo de seguridad en mensajes SNMPv3
-
295/340
Parmetros de seguridad en mensajes SNMPv3
-
296/340
Parmetros de seguridad en mensajes SNMPv3
-
297/340
Parmetros de seguridad en mensajes SNMPv3
Ya que no usa encriptacin
-
298/340
Mensaje SNMPv3 autenticado y encriptado
-
299/340
Entidad con autoridadLa utilizacin de entidad con autoridad y sin autoridad es para impedir ataques de rplica, es decir el reenvo de mensajes viejos.
-
300/340
Entidad con autoridadEn la comunicacin entre 2 entidades SNMP, una de ellas acta con autoridad, de acuerdo a las siguientes reglas:
La entidad con autoridad es la que mantiene el reloj y la no autoritaria se sincroniza a ese reloj usando la informacin de tempo que va en msgAuthoritativeEngineTime.
-
301/340
For messages sent on behalf of a Command Generator and for Inform messages from a Notification Originator, the receiver is authoritative.
For messages sent on behalf of Command Responder or for Trap messages from a Notification Originator, the sender is authoritative.
The timeliness of a message is determined with respect to a clock maintained by the authoritative engine.
When an authoritative engine sends a message (Trap, Response, Report), it contains the current value of its clock, so that the non-authoritative recipient can synchronize on that clock. When a non-authoritative engine sends a message (Get, GetNext, GetBulk, Set, Inform), it includes its current estimate of the time value at the destination, allowing the destination to assess the messages timeliness.
-
302/340
Authoritative engine maintains two objects, snmpEngineBoots and snmpEngineTime, that refer to local time.
Nonauthoritative engine must remain loosely synchronized with each authoritative SNMP engine with which it communicates.
For that purpose nonauthoritative engine keeps a local copy of three variables per remote engine ID:
1. snmpEngineBoots of remote engine
2. snmpEngineTime this engines notion of snmpEngineTime for the remote authoritative engine
3. latestReceivedEngineTime the highest value of msgAuthoritativeEngineTime that has been received by this engine for the remote authoritative engine.
-
303/340
When authoritative entity receives authenticated message it checks encoded boots and time values.
Boots must match, and time must be within 150 seconds time window.
If received message does not satisfy this condition, report-pdu not in time window is sent back.
Authoritative engine inserts its own boots and time in the report and response message so nonauthoritative engine can update local copies of these values.
-
304/340
Reporte de error debido a mensaje viejo
-
305/340
Modelo de seguridad VACM
-
306/340
Modelo de seguridad VACM
-
307/340
Modelo de seguridad VACM
Vista permitida de la MIB
-
308/340
MIB VACM
-
309/340
MIB VACM1.3.6.1.6
1.3.6.1.6.3.15
-
310/340
Ejemplo de configuracin de vistas para un usuario (UserX)
Verde: Read y Write en 1.3.6.1.1.2.1.1 y 1.3.6.1.1.2.1.4
Rojo: Ni Read ni Writeen 1.3.6.1.1.2.1.2
Amarillo: Slo Readen 1.3.6.1.1.2.1.3
-
311/340
Read y Write en 1.3.6.1.1.2.1.1 y 1.3.6.1.1.2.1.4
Ni Read ni Writeen 1.3.6.1.1.2.1.2
Slo Readen 1.3.6.1.1.2.1.3
Ejemplo de configuracin de vistas para un usuario (UserX)
-
312/340
Proceso de control de acceso
-
313/340
Proceso de control de acceso
-
314/340
Proceso de control de acceso
-
315/340
Proceso de control de acceso
-
316/340
Proceso de control de acceso
-
317/340
Proceso de control de acceso
-
318/340
Coexistencia de SNMP v1, v2 y v3
The Coexistence document, RFC 1908, presents a number of guidelines that outline the modifications necessary for successful coexistence of SNMPv1 and SNMPv2.
Some of the issues noted in RFC 1908 deal with MIB structures, such as object definitions, trap definitions, compliance statements. and capabilities statements, that must be updated to conform to the specifications in SNMPv2.
From a practical point of view, two methods are defined to achieve coexistence: a proxy agent and a bilingual manager.
-
319/340
Coexistencia de SNMP v1, v2 y v3
Un agente proxy se encarga de traducir los mensajes de un formato a otro
Otra alternativa el un gestor que maneje las tres versiones y que se comunique con el agente segn la versin del agente.
-
320/340
Uso de agentes proxy en SNMP
-
321/340
SMS Gateway
MonitorServer
Agente Proxy (Cliente)
Administrador (HP Open View)
XML
SNMP traps
XML
Un ejemplo de proxy para SNMPTESIS: Mdulos de control y redundancia para un gateway de Short Message Service (SMS) en telefona mvil celular
AUTORA: Ana Mara Valero Prez
INSTITUCIN: Universidad Central de Venezuela, Escuela de Ingeniera Elctrica
NIVEL: Postgrado (Especializacin)
FECHA: Abril 2003
-
322/340
Ms sobre SNMPv3 OVERVIEW:
DESIGN DECISIONS
ARCHITECTURE
SNMP MESSAGE STRUCTURE
SECURE COMMUNICATION USER SECURITY MODEL (USM)
ACCESS CONTROL VIEW BASED ACCESS CONTROL MODEL (VACM)
IMPLEMENTATIONS
RFCs
-
323/340
SIMULACIN DE UN AGENTE DE SNMPv3 UTILIZANDO UNA HERRAMIENTA DE ADVENTNET
Isaura Gonzlez Fontcuberta
Tutor: Vincenzo Mendilllo
Caracas, septiembre 2007
Facultad de Ingeniera
Escuela de Ingeniera de Sistemas
-
324/340
Ms sobre SNMPv3
-
325/340
Ms sobre SNMPv3
-
326/340
http://snmp.com
Ms sobre SNMPv3
-
327/340
Agente SNMP para Linux y Windows
-
328/340
Agente SNMP para Linux
-
329/340
Agente SNMP para Windows
-
330/340
Configuracin del agente SNMPv3 de NUDesign
-
331/340
http://marksw.com
Agente SNMPv3 de Mark Southwest (MARK SW)
-
332/340
Configuracin del agente SNMPv3 de Mark Southwest
-
333/340
Prctica sobre gestin avanzadade redes con SNMPv3
Prof. Vincenzo Mendillo
Objetivo
Familiarizarse con la versin 3 de SNMP (Simple Network Management Protocol), la cual provee