SNMP (Simple Network Management Protocol) Professor Eduardo Maroñas Monks Faculdade de Tecnologia SENAC Pelotas/RS Curso Superior de Tecnologia em Redes de Computadores
SUMÁRIO Prof. Eduardo M. Monks - Redes de Computadores III 2 HistóricoHistórico FuncionalidadesFuncionalidades ProtocoloProtocolo AplicaçõesAplicações SegurançaSegurança Referências BibliográficasReferências Bibliográficas
Histórico Prof. Eduardo M. Monks - Redes de Computadores III 3 SNMP v1SNMP v1 Introduzido no ano de 1988Introduzido no ano de 1988 RFC 1157 (1990)RFC 1157 (1990) Objetivo: gerenciar dispositivos na arquitetura TCP/IPObjetivo: gerenciar dispositivos na arquitetura TCP/IP Simples (Simple) devido a simplicidade do agenteSimples (Simple) devido a simplicidade do agente SNMP v2cSNMP v2c RFCs 1901 e 1908 (1996)RFCs 1901 e 1908 (1996) Foram apresentadas melhorias na leitura dos valores no agenteForam apresentadas melhorias na leitura dos valores no agente SNMP v3SNMP v3 Versão mais recente do protocolo (2002)Versão mais recente do protocolo (2002) Possui melhorias na parte de segurançaPossui melhorias na parte de segurança Ainda não é muito comum em equipamentos de pequeno e médio porteAinda não é muito comum em equipamentos de pequeno e médio porte
Funcionalidades Prof. Eduardo M. Monks - Redes de Computadores III 4 Entidades SNMP provêm aplicações geradoras de comandos ou receptores de notificações (gerentes ou NMS (Network Management System)) que se comunicam com aplicações geradoras de respostas ou originadores de notificações (agentes).Entidades SNMP provêm aplicações geradoras de comandos ou receptores de notificações (gerentes ou NMS (Network Management System)) que se comunicam com aplicações geradoras de respostas ou originadores de notificações (agentes). O objetivo do SNMP é transportar informações de gerenciamento e operaçõesO objetivo do SNMP é transportar informações de gerenciamento e operações Utiliza o protocolo UDP nas porta 161 (Agente)Utiliza o protocolo UDP nas porta 161 (Agente) As traps utilizam a porta 162 no GerenteAs traps utilizam a porta 162 no Gerente Usa o conceito de comunidade para definir uma confiabilidade entre gerenciadores e agentesUsa o conceito de comunidade para definir uma confiabilidade entre gerenciadores e agentes Um agente pode ser configurado com 3 nomes diferentes de comunidade para as funções de Read-only, read-write e trap. Um agente pode ser configurado com 3 nomes diferentes de comunidade para as funções de Read-only, read-write e trap.
Componentes Prof. Eduardo M. Monks - Redes de Computadores III 5 Gerente ( NMS – Network Management System )Gerente ( NMS – Network Management System ) É um servidor executando algum tipo de sistema de software que pode lidar com gerenciamento de uma rede.É um servidor executando algum tipo de sistema de software que pode lidar com gerenciamento de uma rede. É responsável pela operação de polling (busca periódica de informações no agente) É responsável pela operação de polling (busca periódica de informações no agente) É responsável por receber traps (avisos assíncronos) de agentes na rede. É responsável por receber traps (avisos assíncronos) de agentes na rede. AgenteAgente É a peça de software executada nos dispositivos de rede gerenciados.É a peça de software executada nos dispositivos de rede gerenciados. Atualmente, é bastante comum que os dispositivos de rede possum alguma versão de agente SNMPAtualmente, é bastante comum que os dispositivos de rede possum alguma versão de agente SNMP Fornece a NMS informações de gerenciamento, rastreando diversos aspectos operacionais dos dispositivos.Fornece a NMS informações de gerenciamento, rastreando diversos aspectos operacionais dos dispositivos.
Componentes Prof. Eduardo M. Monks - Redes de Computadores III 6 MIB (Management Information Base)MIB (Management Information Base) MSI (Management Structure of Information) – é um método para definir objetos gerenciados e seus respectivos gerenciamentos.MSI (Management Structure of Information) – é um método para definir objetos gerenciados e seus respectivos gerenciamentos. MIB (Management Information Base) – é um conjunto de objetos contidos na informação de gerência de um agente.MIB (Management Information Base) – é um conjunto de objetos contidos na informação de gerência de um agente. MIB-II – é uma MIB específica. Seu principal objetivo é fornecer informações específicas sobre o dispositivo gerenciado via TCP/IP.MIB-II – é uma MIB específica. Seu principal objetivo é fornecer informações específicas sobre o dispositivo gerenciado via TCP/IP. MIB-II (RFC 1213) – Implementada por todos os agentes, fornece informações gerais sobre TCP/IPMIB-II (RFC 1213) – Implementada por todos os agentes, fornece informações gerais sobre TCP/IP MIBs Proprietárias – Desenvolvidas pelos fabricantes dos dispositivosMIBs Proprietárias – Desenvolvidas pelos fabricantes dos dispositivos
Componentes Prof. Eduardo M. Monks - Redes de Computadores III 7 Breve descrição da MIB II Alguns valores interessantes:Alguns valores interessantes: Acompanhamento em tempo real do dispositivo (sysUpTimeInstance)Acompanhamento em tempo real do dispositivo (sysUpTimeInstance) Inventário de versões de OS (sysDescr)Inventário de versões de OS (sysDescr) Recolher informação da interface (ifName, ifDescr, ifSpeed, ifType, ifPhysAddr)Recolher informação da interface (ifName, ifDescr, ifSpeed, ifType, ifPhysAddr) Medição de transferência de interface de rede (iflnOctets, ifOutOctets)Medição de transferência de interface de rede (iflnOctets, ifOutOctets) Consultando um cache ARP remoto (ipNetToMedia)Consultando um cache ARP remoto (ipNetToMedia)
Protocolo Prof. Eduardo M. Monks - Redes de Computadores III 8 Portas e Mensagens As mensagens utilizam UDP na portas 161 (requisições/respostas) e porta 162 (notificações)As mensagens utilizam UDP na portas 161 (requisições/respostas) e porta 162 (notificações) As mensagens passam em texto planoAs mensagens passam em texto plano Tipos de Mensagens:Tipos de Mensagens: GetRequest: solicita valores de variáveis do dispositivoGetRequest: solicita valores de variáveis do dispositivo GetNextRequest: solicita valores de variáveis seguindo na árvore uma variável passada como parâmetroGetNextRequest: solicita valores de variáveis seguindo na árvore uma variável passada como parâmetro GetResponse: solicita respostasGetResponse: solicita respostas SetRequest: mandar instruções para modificar valores de variáveis (direito de escrita)SetRequest: mandar instruções para modificar valores de variáveis (direito de escrita) Trap: notificação que parte do dispositivo para o gerenteTrap: notificação que parte do dispositivo para o gerente Para acesso a um agente, é necessário saber a comunidade (community)Para acesso a um agente, é necessário saber a comunidade (community) Funciona como um passwordFunciona como um password A versão 3 do SNMP utiliza usuários, senhas e criptografiaA versão 3 do SNMP utiliza usuários, senhas e criptografia
Protocolo Prof. Eduardo M. Monks - Redes de Computadores III 9 Formato das mensagens RequisiçãoRequisição snmpget -v2c -c public sysUpTimeInstancesnmpget -v2c -c public sysUpTimeInstance RespostaResposta DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (355815) 0:59:18.15DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (355815) 0:59:18.15
Protocolo Prof. Eduardo M. Monks - Redes de Computadores III 10 Formato das mensagens
Aplicações Prof. Eduardo M. Monks - Redes de Computadores III 11 Agentes Os agentes SNMP estão disponíveis para os sistemas operacionais mais comuns e em dispositivos tais como impressoras, roteadores, switches, access points, medidores de temperatura e etc..Os agentes SNMP estão disponíveis para os sistemas operacionais mais comuns e em dispositivos tais como impressoras, roteadores, switches, access points, medidores de temperatura e etc.. A implementação mais utilizada é a NET-SNMP ( snmp.sourceforge.net), tanto para agentes quanto para ferramentas de acesso aos agentesA implementação mais utilizada é a NET-SNMP ( snmp.sourceforge.net), tanto para agentes quanto para ferramentas de acesso aos agenteshttp://net- snmp.sourceforge.nethttp://net- snmp.sourceforge.net O NET-SNMP é utilizado como padrão no LinuxO NET-SNMP é utilizado como padrão no Linux No Windows, pode ser utilizado o agente disponibilizado pela Microsoft, o NET-SNMP ou outros agentes de terceirosNo Windows, pode ser utilizado o agente disponibilizado pela Microsoft, o NET-SNMP ou outros agentes de terceiros
Aplicações Prof. Eduardo M. Monks - Redes de Computadores III 12 Gerentes Os gerentes são as aplicações que monitoram os agentesOs gerentes são as aplicações que monitoram os agentes Existem diversas aplicações com este propósitoExistem diversas aplicações com este propósito Algumas ferramentas de código-fonte aberto:Algumas ferramentas de código-fonte aberto: MRTGMRTG CactiCacti NagiosNagios OpenNMSOpenNMS NetDiscoNetDisco JffNMSJffNMS Ferramentas comerciais:Ferramentas comerciais: HP OpenViewHP OpenView IBM TivoliIBM Tivoli CA UnicenterCA Unicenter
Segurança Prof. Eduardo M. Monks - Redes de Computadores III 13 Ataques mais comuns ao SNMP :Ataques mais comuns ao SNMP : Uso da comunidade padrão: publicUso da comunidade padrão: public Acesso externo público as portas do SNMPAcesso externo público as portas do SNMP Permitir a opção de escrita no agentePermitir a opção de escrita no agente SoluçõesSoluções Utilizar o SNMPv3 (nem sempre é possível posis depende muitas vezes do fabricante)Utilizar o SNMPv3 (nem sempre é possível posis depende muitas vezes do fabricante) Permitir acesso no agente apenas para o host gerentePermitir acesso no agente apenas para o host gerente Limitar o agente para leituraLimitar o agente para leitura
Referências Bibliográficas Prof. Eduardo M. Monks - Redes de Computadores III 14 MAURO,Douglas; SCHMIDT. Essential SNMP. 2nd ed. O´Reilly, 2005MAURO,Douglas; SCHMIDT. Essential SNMP. 2nd ed. O´Reilly, 2005