PDF de programación - 2.6 SNMPv2 - GESTIÓN INTERNET

GESTIÓN INTERNET

2.6 SNMPv2

2.6.1 Antecedentes
Las limitaciones de SNMP llevan a la definición en 1992
de dos nuevos protocolos: S-SNMP (SNMP seguro) que
añade seguridad al protocolo SNMP y SMP (Simple
Management Protocol) un nuevo protocolo sin
características de seguridad pero que potencia las
características de funcionalidad y rendimiento de SNMP.

En 1993 se unifican estas dos aproximaciones -->
SNMPv2.
Ahora se plantea un dilema que divide a los grandes
fabricantes: migrar a SNMPv2 o directamente a la familia
OSI.

SNMPv2 se diferencia de su predecesor en varios
apartados adicionales que podemos englobar en los
siguientes campos:

•Características adicionales de la SMI.
•Nuevos protocolos de operación.
•Posibilidad de comunicación gestor-gestor.
•Características adicionales en seguridad.

GESTIÓN DE REDES

GESTIÓN INTERNET

2.6.2 Características adicionales de la SMI
Se añaden las nuevas sintaxis:

•Integer32: para complemento a 2 en 32 bits.
•UInteger32: números naturales hasta 32 bits.
•BitString: numeración de bits en octetos.
•Counter32: contador más amplio.
•NSAPAddress: direcciones OSI.
•Counter64: si el de 32 bits se llena en menos de una
hora.

Se incluye una claúsula adicional UNITS para indicar la
unidad de medida asociada con un objeto de medida.

Se pueden definir 4 tipos de acceso:

•Not-accesible.
•Read-only
•Read-write
•Read-create
•Accesible-for-notify

Diferencia las tablas sobre las que se permite al gestor
la creación de nuevas filas de las que no permiten dicha
operación.

Se define la claúsula AUGMENTS que posibilita la
extensión de filas de forma conceptual.

GESTIÓN DE REDES

GESTIÓN INTERNET

Nuevas características de semántica: Macros para
añadir información semántica a una MIB. No afecta a la
interoperabilidad.
Varios tipos de estructuras:

Identity: Macro

con

•Textual Conventions: Formalizan la semántica de
tipos de datos.
información
•Module
administrativa sobre la MIB, revisión, persona de
contacto, etc...
•Object Groups: Macro para formalizar la agrupación
de objetos en grupos.
•Notification Type: Define
cuando se produce un evento excepcional.
•Module-Compliance: Lo mínimo que un agente debe
implementar de esa MIB.
•Agent-Capabilities: Lo que realmente implementa un
agente.

información a enviar

2.6.3 Nuevos protocolos de operación
Las PDUs de SNMPv2 son encapsuladas en un
mensaje. En la cabecera de dicho mensaje se determina
cuales serán
las políticas de autentificación y
autorización.

Se establecen tres tipos de acceso:

•Gestor-Agente Request-Response.

GESTIÓN DE REDES

GESTIÓN INTERNET

•Gestor-Gestor Request-Response.
•Agente-Gestor unconfirmed.

Se definen dos nuevas operaciones que son:
GetBulkRequest e InformRequest.
GetBulkRequest
Permite recuperación de tablas de una manera más
eficiente (minimiza el número de intercambios). Actúa de
forma parecida a GetNextRequest, pero ahora es
posible indicar varios sucesores a uno dado. Pueden
especificarse variables de recuperación simple (identico
a GetNextRequest) y variables de recuperación múltiple.

Incluye dos nuevos parámetros en su PDU:

•non-repeaters: Número de variables de la lista de la
que se realizará recuperación simple.
•max-repetitions: Número
recuperaciones múltiples.

veces

de

para

Ejemplo:
% GetBulkRequest[non-repeaters=1, max-repetitions=2]
(sysUpTime,ipNetToMediaPhysAddress,ipNetToMediaType)
% Response ((sysUpTime.0 = “123446“),
(ipNetToMediaPhysAddress.1.6.2.3.4 =“000010543210“),
(ipNetToMediaType.1.6.2.3.4 = “dynamic“),
(ipNetToMediaPhysAd-
(ipNetToMediaType.1.10.0.0.51 = “static“))

dress.1.10.0.0.51=“000010012345“),

GESTIÓN DE REDES

GESTIÓN INTERNET

InformRequest
Permite establecer comunicaciones entre gestores.
Estas comunicaciones se configuran mediante la M2M
MIB.

Dos tipos de comunicaciones: por la ocurrencia de algún
evento o a petición de algún gestor.

2.6.4 MIB Gestor-Gestor
Consiste en un conjunto de objetos que describen el
comportamiento de una entidad SNMPv2 que actúa de
gestor. Mediante esta MIB se establecen
las
comunicaciones entre gestores SNMPv2.

Contiene 2 grupos: alarm y event.

GESTIÓN DE REDES

GESTIÓN INTERNET

2.7 Seguridad

2.7.1 Introducción
SNMP no proporciona mecanismos de seguridad, es
decir, no es capaz de identificar y autentificar la fuente
de una mensaje de gestión para prevenir posibles
alteraciones.

Un intruso puede observar un mensaje y leer su nombre
de comunidad para posteriormente enviar mensajes
modificando parámetros de configuración de un
dispositivo. Por
ello, muchos
no
implementan el comando SetRequest.

fabricantes

Existen cuatro requerimientos básicos de un sistema
seguro:

información no

•Confidencialidad: Acceso a
autorizada.
•Autenticidad: Identificación correcta del origen de un
mensaje.
•Integridad: Modificación de datos no autorizados.
•Disponibilidad:
funcionamiento de los dispositivos.

Interrupción

del

correcto

GESTIÓN DE REDES

GESTIÓN INTERNET

Existen, a su vez, cuatro tipos de amenazas:

Interrupción: Se

la

interrumpe o destruye

•-
disponibilidad de un recurso.
•- Intercepción: Una entidad no autorizada accede a
un recurso.
•- Modificación: Se modifican los parámetros o datos
de un recurso.
•- Enmascaramiento: Una entidad se hace pasar por
otra.

Estas amenazas la podemos clasificar, a su vez, en
pasivas (observación del contenido de un mensaje y
análisis del
(enmascaramiento,
replicación, modificación de mensajes y denegación de
servicios). Las pasivas son más difíciles de detectar pero
menos malignas.

tráfico) y activas

GESTIÓN DE REDES

GESTIÓN OSI

En general, en un entorno SNMP, podemos hablar de los
siguientes peligros:

•Enmascaramiento: Una entidad realiza acciones
asumiendo la entidad de otra autorizada.
•Modificación de información: Una entidad altera el
contenido de un mensaje enviado por otra
autorizada.
•Modificación de la secuencia de mensajes: Al
tratarse de una comunicación no orientada a
conexión, una tercera entidad puede alterar el orden
de los mensajes para realizar operaciones no
permitidas.
•Descubrimiento: Detección de eventos a partir de la
escucha de mensajes gestor-agente.

2.7.2 SNMP seguro (S-SNMP)
Para paliar estos problemas se ha desarrollado el S-
SNMP (SNMP seguro) que resuelve estos problemas
mediante la utilización de un algoritmo de seguridad
denominado MD-5.

GESTIÓN DE REDES

GESTIÓN OSI

S-SNMP proporciona servicios de seguridad para:

recibido sin duplicación,

•Integridad de datos: Se asegura que un mensaje es
enviado y
inserción,
modifición, resecuenciamiento o replicación. El
algoritmo MD-5 añade un resumen de 128 bits del
mensaje y lo incorpora en su cabecera para asegurar
que no se modifica. Se incorpora también una señal
de tiempo para asegurar el secuenciamiento.
datos:
•Autentificación
Corroboración de la fuente emisora de un mensaje.
Para calcular el resumen anterior se utiliza una
semilla secreta que conocen a priori emisor y
receptor.
la
•Confidencialidad de datos: Asegura que
información no pueda ser observada por entidades
no autorizadas. Se realiza una encriptación de parte
del mensaje utilizando el algoritmo DES (Data
Encription Standard).

origen

del

de

los

S-SNMP está basado en un nuevo modelo
administrativo que reemplaza el concepto de comunidad
de SNMP. Se incluye un identificador que especifica
quien es el destino y fuente durante un intercambio. Esta
información es incorporada en la cabecera del mensaje.
Se incorpora el concepto de Party como entidad
administrativa que regula el acceso a una entidad. Un
SNMP party regula cómo llegar a una entidad, que
algoritmo de autentificación utiliza y que algoritmo de
privacidad usa.

GESTIÓN DE REDES

GESTIÓN OSI

2.7.3 Seguridad con SNMPv2
El mayor cambio con respecto a la primera versión de
SNMP se produce en el campo de la seguridad. Permite
(opcionalmente) dotar de privacidad y autenticidad a las
primitivas de SNMPv2.

Incorpora el concepto de party heredado de S-SNMP.

Se incorpora a la cabecera del mensaje información del
contexto (vista MIB) sobre el que actuará el mensaje.

Formato del mensaje en SNMPv2:

privDst digest dstTimeStamp srcTimeStamp

dstParty

srcParty

context

PDU

AuthInformation

SnmpMgmtCom

SnmpAuthMsg

SnmpPrivMsg

La generación de un mensaje consta de los siguientes
pasos:

1.- Se construye el valor del SnmpMgmtCom donde:

•srcParty: identifica la parte origen.
•dstParty: identifica al destino.
•context: indica la vista MIB sobre la que se actuará.
•PDU: representa la operación de gestión deseada.

GESTIÓN DE REDES

GESTIÓN OSI

2.- Se construye el valor de SnmpAuthMsg donde:

•authSrcTimestamp: indica el clock del origen.
•authDstTimestamp: indica el clock del destino.
•authDigest: resumen generado por MD-5 en la parte
origen.

3.- Se encripta el SnmpAuthMsg.

4.- Se coloca en el campo privDst de SnmpPrivMsg el
identificador de la parte destino.
La recepción del mensaje consta, a su vez, de los
siguientes pasos:

1.- Si el privDst no es válido, se rechaza el mensaje.

2.- Se desencripta el privData para obtener el
SnmpAuthMsg.

3.- Se rechaza el mensaje si no casa el privDst con
dstParty o se desconoce el srcParty .

4.- Se rechaza el mensaje si no cuadran los Timestamp
dentro del margen.

5.- Se extrae el valor del authDigest y se compara con el
nuevo cálculo.

6.- Se consulta el contexto para ver si la operación
solicitada es posible.

GESTIÓN DE REDES