Title: Simple Network Management Protocol
1Simple Network Management Protocol
- por
- Igor Drummond Alvarenga
- Bruno Lange Ramos
Universidade Federal do Rio de Janeiro Departament
o de Engenharia Eletrônica EEL878 Redes de
Computadores I Prof. Otto Carlos Muniz Bandeira
Duarte Primeiro semestre de 2011 Engenharia de
Computação e Informação Engenharia de Controle e
Automação
2Sumário
- Introdução
- Gerência de redes
- O Protocolo
- Segurança
- Principais ameaças
- Versões do protocolo
- Diagrama do protocolo SNMPv3
- USM
- VACM
- Conclusão
- Referências
- Questões propostas
3Introdução
4Simple Network Management Protocol
- Parte integrante do conjunto de protocolos
TCP/IP - Tem como finalidade o gerenciamento de
dispositivos em uma rede IP - Suas principais funcionalidades são
- monitoramento
- configuração remota
- resposta automatizada a incidentes.
5Gerência de Redes
- Modelo FCAPS (Fault, Configuration, Accounting,
Performance and Security Management),
estabelecido pela ISO - gerenciamento de falhas
- gerenciamento de configuração
- gerenciamento de contabilidade
- gerenciamento de desempenho
- gerenciamento de segurança.
- O Simple Network Management Protocol surge como
ferramenta para o auxÃlio na implementação deste
modelo.
6O protocolo
7Fundamentos
- Arquitetura
- dispositivos gerenciados
- agentes
- gerentes.
- Definições
- ASN Abstract Syntax Notation
- SMI Structure
- MIB Management Information Base.
8SNMPv2 PDU
9Comandos
- GetRequest
- SetRequest
- GetNextRequest
- GetBulkRequest
- Response
- Trap
- InformRequest.
10Comandos Trap
11Comandos InformRequest
12Segurança
13Segurança Principais Ameaças
- Disfarces
- Modificação de mensagens
- Modificação do fluxo de mensagens
- Negação de serviço
- Vazamento de informação
- Análise de tráfego.
14Segurança SNMPv1
- Autenticação nomes de comunidade
- Cada agente possuà seu próprio conjunto de
comunidades - Os nomes de comunidade não são atrelados a
entidades - Mensagens UDP sem nenhum tipo de privacidade.
- Qualquer um que conheça o nome correto de
comunidade poderá enviar um comando SNMP válido
para um agente. - Qualquer estação que capture o tráfego da rede
tem acesso a todos os nomes de comunidades que
nela trafeguem.
15Segurança SNMPv2
- Foco inicial em aprimoramento de segurança
- Bifurcação e incompatibilidade
- SNMPv2 party-based
- SNMPv2u
- SNMPv2
- Comprometimento e criação do SNMPv2c
- Nada foi mudado em termos de segurança.
16Segurança SNMPv3
- Foco na melhoria da segurança
- Oferece proteção às principais ameaças,
garantindo - autenticação
- confidencialidade
- integridade
- controle de acesso.
- Encapsulamento de um PDU do SNMPv1 ou SNMPv2c em
uma mensagem SNMPv3 - Modelo de segurança baseado em usuário (USM)
- Modelo de controle de acesso baseado em visões
(VACM).
17Segurança SNMPv3 diagrama do protocolo
18Segurança USM Descoberta
- A USM requer que o campo msgSecurityParameters
esteja preenchido com os dados do agente - A descoberta se dá em duas etapas
- descoberta da snmpEngineID do agente
- descoberta de snmpEngineBoots e snmpEngineTime.
19Segurança USM Autenticação
- Módulo de temporização (timeliness)
- parte do processo de autenticação
- ocorre imediatamente após a autenticação do
pacote recebido. - Campo snmpEngineBoots incorreto pacote
descartado - Campo snmpEngineTime difere em mais 150 segundos
pacote descartado - Em caso de sucesso, o pacote é considerado
temporizado.
20Segurança USM Autenticação
- Enviando um pacote autenticado
- o pacote é criado
- o bit sinalizador de autenticação é ativado
- a função resumo é computada pelo pacote
utilizando a authKey para o usuário especificado
em msgUserName - o resultado computado pela função resumo é
inserido no campo msgAuthenticationParameters - O pacote é enviado.
21Segurança USM Encriptação
- Enviando um pacote encriptado
- o pacote é criado
- os bits sinalizadores de autenticação e
encriptação são ativados - um valor aleatório para o salt é computado
- o campo scopedPDU é encriptado com a privKey do
usuário especificado em msgUserName e o salt - O salt é inserido no campo msgPrivacyParameters
- O pacote é autenticado
- O pacote é enviado.
22Segurança USM AlgorÃtmos utilizados.
- Autenticação
- Keyed Hashing for Message Authentication (HMAC)
- Message Digest 5 (MD5) ? HMAC-MD5-96
- Secure Hash Algorithm 1 (SHA-1) ? HMAC-SHA-96.
- Confidencialidade
- Cipher Block Chaining mode to the Data Encryption
Standard (CBC-DES).
23Segurança VACM
24Considerações Finais
25Considerações Finais
- Flexibilidade de implementação
- Aceitação
- Variedade de implementações proprietárias e de
código aberto no mercado. - Preocupações
- Gerenciamento complexo de chaves.
- Escalabilidade.
- Direções futuras
- Transport Layer Security (TLS).
26Referências
27Referências
- 1Â A Brief Tour of the Simple Network Management
Protocol. CERT Coordination Center, Carnegie
Mellon University, 2002. - 2 MAURO, D. R. SCHMIDT, K. J. Essential SNMP.
Segunda Edição. Sebastopol, CA, Estados Unidos da
America O'Reilly Media, Inc., 2005. 460 p. ISBN
0-596-00840-6. - 3 MILLER, M. A. Managing Internetworks with
SNMP v2. Estados Unidos da América M T Books,
Inc., 1997. 704p. ISBN 1558515615. - 4Â SNMPv3 Handbook. CISCO, 2007.
- 5Â SNMPv3 vs. v1 and v2c. Ubizen AETHIS, SNMP
Research International, 2002.
28Referências
- SNMP v1
- RFC 1155Â Â Structure and Identification of
Management Information for the TCP/IP-based
Internets - RFC 1156Â Â Management Information Base for
Network Management of TCP/IP-based internets - RFC 1157Â Â A Simple Network Management Protocol
(SNMP) - RFC 1213Â Â Management Information Base for
Network Management of TCP/IP-based internets
MIB-II.
29Referências
- SNMP v2
- RFC 1441Â Introduction to version 2 of the
Internet-standard Network Management Framework - RFC 1445 Administrative Model for version 2 of
the Simple Network Management Protocol (SNMPv2) - RFC 1446Â Security Protocols for version 2 of
the Simple Network Management Protocol (SNMPv2) - RFC 1447Â Party MIB for version 2 of the Simple
Network Management Protocol (SNMPv2) - RFC 1451Â Manager-to-Manager Management
Information Base - RFC 1901Â Introduction to Community-based
SNMPv2 - RFC 1905Â Protocol Operations for version 2 of
the Simple Network Management Protocol (SNMPv2) - RFC 1906Â Transport Mappings for version 2 of
the Simple Network Management Protocol (SNMPv2) - RFC 1907Â Management Information Base for
version 2 of the Simple Network Management
Protocol (SNMPv2) - RFC 1908Â Coexistence between version 1 and
version 2 of the Internet-standard Network
Management Framework - RFC 1909Â An Administrative Infrastructure for
SNMPv2 - RFC 1910Â User-based Security Model for SNMPv2
- RFC 2089Â Â V2ToV1 Mapping SNMPv2 onto SNMPv1
within a bi-lingual SNMP agent - RFC 2578Â Â Structure of Management Information
Version 2 (SMIv2) - RFC 2579Â Textual Conventions for SMIv2
- RFC 2580Â Conformance Statements for SMIv2.
30Referências
- SNMP v3
- RFC 3410Â Â Introduction and Applicability
Statements for Internet Standard Management
Framework - RFC 3411Â Â An Architecture for Describing Simple
Network Management Protocol (SNMP) Management
Frameworks - RFC 3412Â Â Message Processing and Dispatching for
the Simple Network Management Protocol (SNMP) - RFC 3413Â Â Simple Network Management Protocol
(SNMP) Application - RFC 3414Â Â User-based Security Model (USM) for
version 3 of the Simple Network Management
Protocol (SNMPv3) - RFC 3415Â Â View-based Access Control Model (VACM)
for the Simple Network Management Protocol
(SNMP) - RFC 3416Â Â Version 2 of the Protocol Operations
for the Simple Network Management Protocol
(SNMP) - RFC 3417Â Â Transport Mappings for the Simple
Network Management Protocol (SNMP) - RFC 3418Â Â Management Information Base (MIB) for
the Simple Network Management Protocol (SNMP) - RFC 3419Â Textual Conventions for Transport
Addresses.
31Referências
- SNMP v3
- RFC 3430Â Â Simple Network Management Protocol
(SNMP) over Transmission Control Protocol (TCP)
Transport Mapping - RFC 3584Â Â Coexistence between Version 1, Version
2, and Version 3 of the Internet-standard Network
Management Framework - RFC 3826Â Â The Advanced Encryption Standard (AES)
Cipher Algorithm in the SNMP User-based Security
Model - RFC 4789Â Simple Network Management Protocol
(SNMP) over IEEE 802 Networks - RFC 5343Â Â Simple Network Management Protocol
(SNMP) Context EngineID Discovery - RFC 5590Â Â Transport Subsystem for the Simple
Network Management Protocol (SNMP) - RFC 5591Â Â Transport Security Model for the
Simple Network Management Protocol (SNMP) - RFC 5592Â Â Secure Shell Transport Model for the
Simple Network Management Protocol (SNMP) - RFC 5608Â Â Remote Authentication Dial-In User
Service (RADIUS) Usage for Simple Network
Management Protocol (SNMP) Transport Models - RFC 5953Â Â Transport Layer Security (TLS)
Transport Model for the Simple Network Management
Protocol (SNMP).
32Questões Propostas
33Questões Propostas
- 1) Quais são os três componentes fundamentais de
uma rede gerenciada pelo SNMPv3? - 2) O que é uma MIB? Que tipo de informação pode
ser associada a uma MIB? - 3) O que torna o mecanismo de autenticação do
SNMPv1 e SNMPv2c extremamente frágil? - 4) Por que o SNMPv3 não pode oferecer privacidade
sem autenticação? - 5) Quais as condições necessárias para que um
agente envie uma mensagem não solicitada a uma
NMS?
34Quais são os três componentes fundamentais de uma
rede gerenciada pelo SNMPv3?
- Os principais componentes de uma rede gerenciada
pelo SNMP são - Agentes
- Sistemas gerenciados
- Estações de gerenciamento de redes (NMS).
35O que é uma MIB? Que tipo de informação pode ser
associada a uma MIB?
- A MIB é essencialmente um banco de dados onde
estão relacionadas e organizadas as variáveis de
estado gerenciáveis pelo protocolo SNMP para um
dado agente. - Qualquer tipo de informação disponÃvel no sistema
gerenciado e acessÃvel a um agente pode ser
associada a uma MIB.
36O que torna o mecanismo de autenticação do SNMPv1
e SNMPv2c extremamente frágil?
- A maior fragilidade do mecanismo de autenticação
das versões históricas do SNMP reside no fato de
que qualquer um que conheça o nome de comunidade
com os privilégios adequados pode enviar um
comando do SNMP pela rede. A situação é agravada
pelo fato destes nomes transitarem em texto
simples pela rede, dentro de pacotes UDP.
37Por que o SNMPv3 não pode oferecer privacidade
sem autenticação?
- Não existe um modo noAuthPriv (sem autenticação,
porém com privacidade) no uso do protocolo
SNMPv3, pois a autenticação é necessária para
garantia dos parâmetros de privacidade.
38Quais as condições necessárias para que um agente
envie uma mensagem não solicitada a uma NMS?
- Estarem definidas as condições de ativação de uma
TRAP no agente, e estas condições serem atendidas
em dado momento. Isto ocasionará uma mensagem
assÃncrona do agente para a NMS, sem que esta
tenha solicitado nenhuma informação previamente.