ΠΡΟ.ΜΕ.Σ.Ι.Π. Διαχείριση και Ασφάλεια Δικτύων

Ακαδημαϊκό Έτος 2010 - 2011

1

ΠΡΟ.ΜΕ.Σ.Ι.Π.ΠΡΟ.ΜΕ.Σ.Ι.Π.Διαχείριση Διαχείριση καικαι Ασφάλεια Ασφάλεια ΔικτύωνΔικτύων

SNMPSNMP


2

Εισαγωγή (1/5)

• Simple Gateway Monitoring Protocol (SGMP): πρόγονος του SNMP

• Το SNMP έγινε γρήγορα διαθέσιμο σε μηχανήματα διαφόρων κατασκευαστών και έτυχε ευρείας αποδοχής από την κοινότητα του Διαδικτύου

• Το 1988 παρουσιάστηκαν οι προδιαγραφές του και καθιερώθηκε ως το κυρίαρχο πρωτόκολλο διαχείρισης δικτύων:▫ RFC1065: SMI Δομή Πληροφοριών Διαχείρισης

(Structure of Management Information)▫ RFC1066: MIB Βάση Πληροφοριών Διαχείρισης

(Management Information Base)▫ RFC1067: SNMP


3

SNMP

SNMPv1 SNMPv3

SNMPv2



4

• Πλεονεκτήματα▫ είναι απλό

• ορίζει μια περιορισμένη και εύκολα πραγματοποιήσιμη MIB βαθμωτών μεταβλητών και δισδιάστατων πινάκων

• επιτρέπει στο διαχειριστή να καθορίζει την τιμή των μεταβλητών της MIB

• επιτρέπει στους πράκτορες να εκδίδουν αυτόνομα ειδοποιήσεις (παγίδες, traps)

▫ καταναλώνει μικρή υπολογιστική ισχύ και έχει χαμηλές απαιτήσεις σε δικτυακούς πόρους

▫ χρειάζεται ένα μικρό αριθμό εντολών για διαχείριση▫ είναι ευρέως δοκιμασμένο



5

• Μειονεκτήματα▫ δυσκολία μεταφοράς ομαδοποιημένων δεδομένων▫ αδυναμίες ασφάλειας έλλειψη μηχανισμών

αυθεντικοποίησης▫ είναι connectionless και άρα όχι αξιόπιστο▫ το polling που χρησιμοποιεί καταλαμβάνει

πολύτιμο bandwidth του δικτύου, ιδίως όταν αυτό γίνεται μέσω δικτύου ευρείας ζώνης WAN όπου οι ταχύτητες είναι χαμηλές



6

161 UDP port

162 UDP port

Τα Τα SNMP PDUs SNMP PDUs ενθυλακώνονται σε ενθυλακώνονται σε UDP datagramsUDP datagrams



7

Το μοντέλο SNMP (1/2)

Το μοντέλο SNMP για τη διαχείρισης TCP/IP δικτύων περιλαμβάνει

σύμφωνα με το γενικό μοντέλο διαχείρισης τα ακόλουθα:1. Σταθμός διαχείρισης δικτύου ή διαχειριστής (NMSNMS-Network

Management Station)2. Διαχειριζόμενα στοιχεία (NENE-Network Elements) - Πράκτορας

(AgentAgent)3. Βάση πληροφοριών διαχείρισης (MIBMIB-Management Information

Base)4. Πρωτόκολλο διαχείρισης (SNMPSNMP-Network Management

Protocol)

Υποστηρίζει τόσο κεντρικήκεντρική όσο και κατανεμημένηκατανεμημένη διαχείριση


8

ΔΙΚΤΥΟ

Διαχειριστής (NMS)

Διαδικασία

διαχείρισης

Πρωτόκολλα δικτύου

IP

UDP

SNMP

Πράκτορας (Agent)-Δρομολογητής (NE)


πράκτορα


IP

UDP

SNMP


Πράκτορας (Agent)-Σταθμός εργασίας (NE)


πράκτορα

IP

UDP

SNMP

TCP

FTP

Διαδικασίες

χρήστη

Το μοντέλο SNMP (2/2)

ΚεντρικήMIB


Υπό Υπό διαχείρισηδιαχείριση

Βοηθητικό στη λειτουργία διαχείρισηςΒοηθητικό στη λειτουργία διαχείρισης


9

Σταθμός διαχείρισης NMS

Ο Σταθμός διαχείρισης πρέπει να έχει κατ’ ελάχιστο:1. σύνολο από εφαρμογές διαχείρισης για την ανάλυση δεδομένων,

ανίχνευση σφαλμάτων/βλαβών2. μια διεπαφή με την οποία μπορεί να επιβλέπει την κατάσταση του

δικτύου αλλά και μεμονωμένων συσκευών3. εφαρμογή παρακολούθησης και ελέγχου απομακρυσμένων στοιχείων σε

πραγματικό χρόνο4. μια κεντρική MIB που θα προκύπτει από τις επιμέρους MIBs των

στοιχείων του δικτύου

Μπορεί να υλοποιείται είτε ως μεμονωμένο σύστημα NMS είτε ως πλήθοςσυστημάτων NMS (κατανεμημένη αρχιτεκτονική) για τον καταμερισμό τωνεργασιών σε ένα μεγάλο δίκτυο ή για λόγους ύπαρξης εφεδρικών συστημάτων


10

Διαχειριζόμενοι πράκτορες

• συσκευές που είναι συνδεδεμένες στο δίκτυο π.χ. υπολογιστές, εκτυπωτές, γέφυρες, δρομολογητές, επαναλήπτες

• οι πράκτορες είναι εφοδιασμένοι με το κατάλληλο λογισμικό • στόχος είναι η επικοινωνία του πράκτορα με το διαχειριστή

είτε κατόπιν αιτήσεως του διαχειριστή είτε εξαιτίας κάποιου γεγονότος


11

Βάση πληροφοριών διαχείρισης (1/2)

• οι πόροι ενός δικτύου μπορούν να τεθούν υπό διαχείριση αν αναπαρασταθούν ως αντικείμενα (objects)

• κάθε αντικείμενο είναι στην ουσία μια μεταβλητή που αναπαριστά ένα χαρακτηριστικό του διαχειριζόμενου πράκτορα

• η συλλογή των αντικειμένων αποτελεί τη MIB• Η “καρδιά” του SNMP είναι μια τοπική MIB η οποία

περιλαμβάνει:▫ ορισμούς για τις διαχειριζόμενες συσκευές και τους πράκτορες

οι οποίοι είναι διαθέσιμοι▫ τις αιτήσεις για τις πληροφορίες τις οποίες αυτοί έχουν δεχθεί


12

Βάση πληροφοριών διαχείρισης (2/2)

• Όλες οι πληροφορίες που απαιτούνται για τη διαχείριση ενός συγκεκριμένου πόρου είναι αποθηκευμένες σε ένα αρχείο γνωστό ως αρχείο Βάσης Πληροφοριών Διαχείρισης (MIB file)

• Το MIB file είναι οργανωμένο ώστε να υπακούει στο γενικότερο πλαίσιο της Δομής της Πληροφορίας Διαχείρισης (SMI)

• Η SMI παρέχει ένα μηχανισμό για να ονομάζει και να οργανώνει τα αντικείμενα με τη χρήση της γλώσσας ASN.1 (Abstract Syntax Notation One)


13

Το πρωτόκολλο διαχείρισης

• Το SNMP στην πρώτη του έκδοση παρέχει 3 λειτουργίες, δηλαδή 3 διαφορετικά PDUs:

1.1. GETGET: αποστέλλεται από το διαχειριστή στον πράκτορα και χρησιμοποιείται για την ανάκτηση των διαφόρων τιμών που λαμβάνουν τα υπό διαχείριση αντικείμενα στη ΜΙΒ του πράκτορα

2.2. SETSET: αποστέλλεται από το διαχειριστή στον πράκτορα και χρησιμοποιείται για την ανάθεση μιας τιμής σε ένα υπό διαχείριση αντικείμενο

3.3. TRAPTRAP: αποστέλλεται από τον πράκτορα στο διαχειριστή για να τον ειδοποιήσει για κάποιο ασυνήθιστο γεγονός ή κατάσταση


14

SNMP εντολές και μηνύματα (1/3)

trap

trap


15

από το σταθμό διαχείρισης εκδίδονται 3 τύποι μηνυμάτων: GetRequest, SetRequest, GetNextRequest

για όλα τα παραπάνω μηνύματα αποστέλλεται από τον πράκτορα προς το διαχειριστή επιβεβαίωση λήψης με τη μορφή μηνύματος GetResponse

ένας πράκτορας μπορεί να εκδώσει και ένα Trap μήνυμα σε απόκριση ενός γεγονότος που επηρεάζει τη MIB του και τους διαχειριζόμενους πόρους



16

• Το SNMP βασίζεται στο UDP το οποίο είναι πρωτόκολλο χωρίς σύνδεση και ως εκ τούτου και το SNMP είναι πρωτόκολλο χωρίς σύνδεση:

1. δεν εγκαθίσταται σύνδεση ανάμεσα στο σταθμό διαχείρισης και στους πράκτορες

2. κάθε ανταλλαγή μηνύματος είναι μια μεμονωμένη ενέργεια ανάμεσα στο σταθμό και τους πράκτορες



17

Αναφορές με παγίδες (1/2)

• Εάν ένας σταθμός διαχείρισης είναι υπεύθυνος για πολλούς πράκτορες και αν κάθε πράκτορας χειρίζεται πολλά αντικείμενα, τότε η διαδικασία περιοδικών αναφορών καθίσταται ασύμφορη

• Το SNMP και η συσχετιζόμενη MIB είναι σχεδιασμένα ώστε να χρησιμοποιείται η τεχνική αναφορές με παγίδες


18

• Η τεχνική αναφορές με παγίδες έχει ως ακολούθως:1. Σε κάποιο αρχικό χρόνο και σε περιοδικά διαστήματα π.χ.

μια φορά την ημέρα ο σταθμός διαχείρισης μπορεί να ζητήσει από τους πράκτορες:

i. σημαντικές πληροφορίες: χαρακτηριστικά διασύνδεσης

ii. στατιστικά στοιχεία: μέσος όρος πακέτα που αποστέλλονται και λαμβάνονται από κάθε κόσμο σε δεδομένη χρονική περίοδο

2. στη συνέχεια ο σταθμός διαχείρισης σιωπά και ο πράκτορας είναι υπεύθυνος να αποστείλει αναφορά όταν συμβεί κάποιο μη συνηθισμένο γεγονός: επανεκκίνηση πράκτορα

3. τα γεγονότα αυτά στα SNMP μηνύματα ονομάζονται παγίδες: traps

Αναφορές με παγίδες (2/2)


19

Μήνυμα SNMP (1/2)

• Στο SNMP οι πληροφορίες ανταλλάσσονται ανάμεσα στο σταθμό διαχείρισης και τον πράκτορα με τη μορφή μηνυμάτων SNMP

• Κάθε μήνυμα περιλαμβάνει:▫ τον αριθμό έκδοσης του SNMP (version)▫ το όνομα της κοινότητας που χρησιμοποιείται σε αυτή την ανταλλαγή

(community) και▫ έναν από τους πέντε τύπους των μονάδων δεδομένων πρωτοκόλλου

(PDU-Protocol Data Unit)

GetRequestGetNextRequest

SetRequest

GetResponseTrap


20

Μήνυμα SNMP (2/2)

• Η μορφή των GetRequest, GetNextRequest και SetRequset είναι η ίδια όπως αυτή της GetResponse PDU, με την τιμή στο πεδίο του error-index να είναι πάντα 0

• Αποτέλεσμα είναι να μειωθεί ο αριθμός των διαφορετικών μορφών των μονάδων δεδομένων πρωτοκόλλου που χρησιμοποιεί το SNMP


21

Δομή των πληροφοριών διαχείρισης

• Η δομή των πληροφοριών διαχείρισης SMI (RFC 1155, RFC 1212) καθορίζει:

▫ το μοντέλο των αντικειμένων διαχείρισης▫ τις λειτουργίες που μπορούν να πραγματοποιηθούν▫ τους τύπους των δεδομένων που μπορούν να χρησιμοποιηθούν

• Ενθαρρύνεται η απλότητα κα η επεκτασιμότητα της MIB (RFC 1213) η MIB αποθηκεύει μόνο απλούς τύπους δεδομένων, δηλ. βαθμωτά μεγέθη και δισδιάστατους πίνακες

• Το SNMP δεν υποστηρίζει τη δημιουργία ή την ανάκτηση πολύπλοκων δομών δεδομένων


22

Ορισμός αντικειμένων (1/3)

• Τα υπό διαχείριση αντικείμενα σε μια ΜΙΒ ορίζονται κατά μοναδικό τρόπο σε μια ιεραρχική δενδροειδή δομή Δένδρα Πληροφοριών Διαχείρισης (MIT – Management Information Trees)

• Η δομή του δένδρο επιτρέπει τον επιμέρους διαχωρισμό μιας ομάδας αντικειμένων σε λογικές υποομάδες

• Κάθε αντικείμενο ανήκει σε έναν τύποτύπο και έχει μια τιμήτιμή▫ ο τύπος του αντικειμένου (τύπος του αντικειμένου (object typeobject type)) ορίζει το είδος του

διαχειριζόμενου αντικειμένου – συντακτική περιγραφή

▫ το στιγμιότυπο αντικειμένουστιγμιότυπο αντικειμένου (object instance) (object instance) είναι ένα στιγμιότυπο ενός τύπου δεδομένων που είναι συνδεδεμένο με μια τιμή


23

Object

Object Type Object Instance

Name:OBJECT

IDENTIFIER

Syntax:ASN.1

Encoding:BER



24

Object

Object Type Object Instance 3

Name:OBJECT

IDENTIFIER

Syntax:ASN.1

Encoding:BER

Object Instance 2

Object Instance 1



25

Δένδρο πληροφοριών διαχείρισης


26

Όνομα αντικειμένων

• Κάθε object type ορίζεται από το DESCRIPTOR και το OBJECT IDENTIFER (ASN.1)

• DESCRIPTOR: δίνει την περιγραφή του αντικειμένου π.χ. internet

• OBJECT IDENTIFER: είναι μια σειρά από ακέραιους αριθμούς από τους οποίους καθορίζεται η θέση του αντικειμένου στη MIB

internet OBJECT IDENTIFIER ::= {iso(1) org(3) dod(6) internet(1) } internet OBJECT IDENTIFIER ::= {1 3 6 1}


27

Υποδένδρο Internet (1/2)

directory OBJECT IDENTIFIER ::= {internet 1} mgmt OBJECT IDENTIFIER ::= {internet 2}

experimental OBJECT IDENTIFIER ::= {internet 3}

private OBJECT IDENTIFIER ::= {internet 4}


28

Υποδένδρο Internet (2/2)


29

Υποδένδρο MIB-2 (1/2)


30

Υποδένδρο MIB-2 (2/2)


31


32


33

Ομάδες ΜΙΒ-ΙΙ (1/3)

• SystemSystem: γενικές πληροφορίες για τις διαχειριζόμενες συσκευές π.χ. περιγραφή, ταυτότητα, όνομα, τοποθεσία

• InterfacesInterfaces: πληροφορίες για κάθε διεπαφή του συστήματος με τα υποδίκτυα, πληροφορίες για τη διαμόρφωση στις διεπαφές και στατιστικές πληροφορίες για γεγονότα που συμβαίνουν σε κάθε διεπαφή

• At (Address translation)At (Address translation): περιγραφή του πίνακα μετάφρασης διεύθυνσης για την αντιστοίχιση της διαδικτυακής διεύθυνσης σε αυτήν του υποδικτύου σε κάθε διεπαφή

• IpIp: πληροφορίες για την υλοποίηση και εκτέλεση του IP πρωτοκόλλου (Internet Protocol) στο σύστημα

Το υποδένδρο mib-2 χωρίζεται σε 11 ομάδες και κάθε μια από αυτές σε επιμέρους υποομάδες:


34


• IcmpIcmp: πληροφορίες για την υλοποίηση και εκτέλεση του ICMP πρωτοκόλλου (Internet Control Message Protocol) στο σύστημα, αποτελεί αναπόσπαστο τμήμα του TCP/IP και παρέχει τον τρόπο της μεταφοράς μηνυμάτων από δρομολογητές σε υπολογιστές και από υπολογιστές σε υπολογιστές

• TCPTCP: πληροφορίες για την υλοποίηση και εκτέλεση του TCP πρωτοκόλλου (Transmission Control Protocol) στο σύστημα

• UDPUDP: πληροφορίες για την υλοποίηση και εκτέλεση του UDP πρωτοκόλλου (User Datagram Protocol) στο σύστημα

• EgpEgp: πληροφορίες για την υλοποίηση και εκτέλεση του Egp πρωτοκόλλου (External Gateway Protocol) στο σύστημα


35


• Dot3Dot3: πληροφορίες για τα πρωτόκολλα μετάδοσης και πρόσβασης σε κάθε διεπαφή

• CMOTCMOT: δυνατότητα υλοποίησης των πρωτοκόλλων διαχείρισης του μοντέλου OSI πάνω από TCP. Η ιδέα δεν υλοποιήθηκε και δεν προχώρησε

• SnmpSnmp: πληροφορίες για την υλοποίηση και εκτέλεση του SNMP στο σύστημα


36

System Group (1/4)


37

System Group (2/4)


38

System Group (3/4)

Η ομάδα system περιλαμβάνειεπίσης και διοικητικές πληροφορίεςπου βοηθούν το διαχειριστή τουδικτύου, όπως sysContact καιsysLocation

Η υλοποίηση της ομάδας systemείναι υποχρεωτική για όλα τασυστήματα, τόσο στο διαχειριστήόσο και στον πράκτορα


39

System Group (4/4)


40

TCP Group


41

Ασφάλεια στο SNMP

• Η διαχείριση ενός SNMP δικτύου αποτελεί μια σχέση ένας-προς-πολλούς ανάμεσα στο σταθμό διαχείρισης και σε μια ομάδα διαχειριζόμενων πόρων

• Κάθε πράκτορας ελέγχει τη δική του MIB και πρέπει να μπορεί να ελέγχει τη χρήση αυτής της MIB από τους διάφορους διαχειριστές σταθμούς

• Ο έλεγχος πραγματοποιείται με:▫ Υπηρεσία εξουσιοδότησηςΥπηρεσία εξουσιοδότησης: ο πράκτορας μπορεί να περιορίσει την

πρόσβαση στη MIB του μόνο σε εξουσιοδοτημένους διαχειριστές▫ Πολιτική πρόσβασηςΠολιτική πρόσβασης: ο πράκτορας μπορεί να δώσει διαφορετικά

δικαιώματα πρόσβασης στους διάφορους διαχειριστές▫ Υπηρεσία ΔιαμεσολαβητήΥπηρεσία Διαμεσολαβητή: ένας πράκτορας μπορεί να λειτουργήσει ως

διαμεσολαβητής σε άλλους πράκτορες θα πρέπει να ορίσει τις υπηρεσίες εξουσιοδότησης και την πολιτική πρόσβαση για τους άλλους πράκτορες


42

Κοινότητες το SNMP

• Μια SNMP κοινότητα είναι μια σχέση ανάμεσα σε έναν πράκτορα SNMP και σε μια ομάδα από διαχειριστές SNMP που ορίζει τα χαρακτηριστικά της εξουσιοδότησης, της πρόσβασης και του διαμεσολαβητή

• Η έννοια της κοινότητας είναι τοπική και ορίζεται στο διαχειριζόμενο σύστημα:▫ κάθε κοινότητα έχει ένα μοναδικό όνομα (για τον πράκτορα)▫ οι σταθμοί διαχείρισης μέσα στην κοινότητα έχουν τη δυνατότητα

χρήσης των get και set λειτουργιών• Ο πράκτορας μπορεί να διατηρεί έναν αριθμό από κοινότητες και σε

μερικές περιπτώσεις με επικαλυπτόμενους σταθμούς διαχείρισης• Ο σταθμός διαχείρισης πρέπει να τηρεί λογαριασμό για το όνομα ή

τα ονόματα των κοινοτήτων που σχετίζονται με κάθε πράκτορα που διαχειρίζεται


43

• Με τον ορισμό μιας κοινότητας ο πράκτορας περιορίζει την πρόσβαση στη MIB του μόνο σε επιλεγμένους σταθμούς διαχείρισης

• Με τη χρήση πολλών κοινοτήτων είναι εφικτό ένας πράκτορας να αποδώσει διαφορετική εξουσιοδότηση πρόσβασης στη MIB του σε διαφορετικούς σταθμούς διαχείρισης

• Για τον έλεγχο πρόσβασης υπάρχουν 2 χαρακτηριστικά:▫ SNMP MIB view («άποψη»): κάθε κοινότητα μπορεί να έχει

διαφορετική άποψη της MIB, δηλαδή να βλέπει διαφορετική ομάδα αντικειμένων στη βάση

▫ SNMP Access (τρόπος πρόσβασης SNMP): ο τρόπος πρόσβασης ορίζεται για κάθε κοινότητα και μπορεί να είναι {READ-ONLY, READ-WRITE}

Πολιτική πρόσβασης (1/2)


44

Πολιτική πρόσβασης (2/2)


45

SNMPv1: Περιορισμοί (1/2)• Το SNMPv1 μπορεί να μην είναι κατάλληλο για διαχείριση

ιδιαίτερα μεγάλων δικτύων εξαιτίας των περιορισμένων επιδόσεών του σε ότι αφορά στις παγίδες:▫ οι περιοδικές αναφορές επιβαρύνουν πολύ το δίκτυο με την

κυκλοφορία των μηνυμάτων διαχείρισης

• Το SNMPv1 δεν είναι κατάλληλα εφοδιασμένο για την ανάκτηση μεγάλου αριθμού δεδομένων όπως είναι ένας πίνακας δρομολογητή

• Τα SNMPv1 Traps δεν στέλνουν επιβεβαίωση λήψης με αποτέλεσμα ο πράκτορας να μην είναι σίγουρος αν ένα κρίσιμο μήνυμα έχει φθάσει στο σταθμό διαχείρισης


46

SNMPv1: Περιορισμοί (2/2)• Το SNMPv1 παρέχει μόνο τυπική εξουσιοδότηση (κωδικός

κοινότητας):▫ είναι προτιμότερη η χρήση του για παρακολούθηση παρά για έλεγχο

• Το SNMPv1 δεν υποστηρίζει ευθέως εντολές – προσταγές▫ ο μόνος τρόπος για να γίνει κάποια δράση σε έναν πράκτορα είναι με

έμμεσο τρόπο αλλάζοντας την τιμή του αντικειμένου π.χ. ένα αντικείμενο reboot παίρνει τιμή 1

• Το μοντέλο της MIB του SNMPv1 είναι περιορισμένο και δεν υποστηρίζει εφαρμογές που δίνουν τη δυνατότητα πολύπλοκων ερωτήσεων βασισμένων στο όνομα ή την τιμή του αντικειμένου

• Το SNMPv1 δεν υποστηρίζει επικοινωνία από διαχειριστή σε διαχειριστή


47

• Το SNMPv2 δημιουργήθηκε, καθώς μετά από εκτεταμένη χρήση του SNMPv1, έγινε πιεστική η ανάγκη για:

αποτελεσματική μεταφορά μεγάλης ποσότητας δεδομένων

αποκέντρωση του συστήματος διαχείρισης βελτίωση της ασφάλειας του δικτύου μείωση του φορτίου κυκλοφορίας

SNMPv2


48

Βελτιώσεις SNMPv2 (1/2)

Οι βασικές βελτιώσεις του SNMPv1 που Οι βασικές βελτιώσεις του SNMPv1 που παρέχονται στο SNMPv2 περιλαμβάνουν:παρέχονται στο SNMPv2 περιλαμβάνουν:

τη δομή διαχείρισης πληροφορίας

(SMI)

τις λειτουργίες του

πρωτοκόλλου

τη δυνατότητα επικοινωνίας

διαχειριστή με διαχειριστή


49

Οι πιο σημαντικές βελτιώσεις είναι:• η εντολή GetBulkRequest PDUGetBulkRequest PDU για την ανάκτηση μεγάλων ποσοτήτων

πληροφορίας• η εντολή InformRequest PDU InformRequest PDU για την υποστήριξη της συνεργασίας

μεταξύ διαχειριστών• η πιο αποτελεσματική διαχείριση λαθών και εξαιρέσεωνδιαχείριση λαθών και εξαιρέσεων:

▫ το SNMPv1 σχεδιάστηκε για ελάχιστο φορτίο υλοποιείται, τυπικά πάνω από το UDP το οποίο παρέχει μεγαλύτερη χρήση

του εύρους ζώνης θυσιάζοντας, όμως, τη δυνατότητα διόρθωσης των λαθών

▫ στο SNMPv1, αν μια μεταβλητή ή μια λίστα δεν μπορεί να ανακτηθεί, αποτυγχάνει ολόκληρη η εντολή ‘get’ και δεν επιστρέφονται δεδομένα

▫ στο SNMPv2, ένας πράκτορας επεξεργάζεται τις έγκυρες μεταβλητές σε μια αίτηση και επιστρέφει τις τιμές τους, ενώ επιστρέφει ‘τιμή αναφοράς προβλήματος’ για τις μη έγκυρες μεταβλητές αυτό έχει ως αποτέλεσμα να μειωθεί το περιττό κόστος διακίνησης

Βελτιώσεις SNMPv2 (2/2)


50

• Ένα μήνυμα του SNMPv2 αποτελείται, όπως και στο SNMPv1, από:

▫ το πεδίο της Έκδοσης περιέχει πληροφορίες για την έκδοση του SNMP που

χρησιμοποιείται αν το πεδίο αυτό δεν είναι σωστό, το μήνυμα απορρίπτεται

▫ το πεδίο του Ονόματος της Κοινότητας χρησιμοποιείται για εξουσιοδότηση ο πράκτορας ελέγχει αυτό το πεδίο, για να διασφαλίσει ότι το

μήνυμα προέρχεται από έγκυρη κοινότητα

▫ το πεδίο Μονάδας Δεδομένων Πρωτοκόλλου (PDU)

Τα μηνύματα του SNMPv2 (1/4)


51

• Υπάρχουν επτάεπτά Μονάδες Δεδομένων Πρωτοκόλλου (PDUs) σε ένα μήνυμα SNMPv2 με γενική δομή την παρακάτω:

PDU Tag PDU Length PDU Value

Request-id error status error index variablebindings



52

• Το πεδίο της τιμής (PDU value) διαφοροποιείται ανάλογα με

τις διαφορετικές λειτουργίες που ζητούνται

• Οι GetRequest PDUGetRequest PDU, GetNextRequest PDUGetNextRequest PDU, SetRequest PDUSetRequest PDU,

InformRequest PDUInformRequest PDU και η SNMPvSNMPv2-2-Trap PDUTrap PDU

▫ έχουν την ίδια μορφή με την GetResponse PDUGetResponse PDU,

▫ αλλά με κατάσταση σφάλματος (error-status) και δείκτη

σφάλματος (error-index) να είναι πάντα μηδέν

11 22 33

44 55

66



53

PDU type request id 0 0 name1 value1 ……

PDU type request id error status error index name1 value1 ……

PDU type request id non-repeaters max-repetitions name1 value1 … ...

GetRequest PDU, GetNextRequest PDU, SetRequest PDU, SNMPv2 Trap PDU, InformRequest PDUGetRequest PDU, GetNextRequest PDU, SetRequest PDU, SNMPv2 Trap PDU, InformRequest PDU

GetResponse PDUGetResponse PDU

GetBulkRequest PDUGetBulkRequest PDU



54

GetRequest PDU

η GetRequest δεν είναι ατομική


55

GetNextRequest PDU


56

• Μία από τις σημαντικότερες βελτιώσεις που έχουν γίνει στη δεύτερη έκδοση του SNMPv2, είναι η λειτουργία GetBulkRequestGetBulkRequest

• Σκοπός της είναι, να ελαχιστοποιηθεί ο αριθμός των ανταλλαγών που απαιτούνται, για να μεταφερθεί-επαληθευθεί μία μεγάλη ποσότητα πληροφορίας

• Ενώ στην πρώτη έκδοση υπήρχε η δυνατότητα λήψης πληροφορίας από έναν πίνακα, λαμβάνοντας μία μόνον γραμμή σε κάθε ανταλλαγή, στη δεύτερη έκδοση είναι δυνατή η ανάκτηση όλου του πίνακα

GetBulkRequest PDU (1/4)


57

• Η GetBulkRequestGetBulkRequest λειτουργεί ως ακολούθως:▫ περιέχει μία λίστα N+RN+R ονομάτων μεταβλητών, όπου για

τα πρώτα ΝΝ η επαλήθευση γίνεται όπως και στην GetNextRequestGetNextRequest (λεξικογραφική σειρά), ενώ στα τελευταία RR, επιστρέφονται πολλαπλές επιλογές

▫ έχει δύο πεδία, που δεν τα έχουν οι υπόλοιπες PDUs. Τα πεδία αυτά είναι τα :(i) non-repeaters και (ii) max-repetitions

▫ το πρώτο πεδίο καθορίζει τον αριθμό των μεταβλητών που υπάρχουν στη variablebinding λίστα, για τις οποίες επιστρέφεται ένας μόνο λεξικογραφικός διάδοχος και

▫ το δεύτερο τον αριθμό των λεξικογραφικών διαδόχων που επιστρέφονται, για τις υπόλοιπες μεταβλητές της λίστας



58

• To GetBulkRequest PDUGetBulkRequest PDU επιλύει ένα σημαντικό μειονέκτημα του SNMP, που είναι η ανικανότητα του ανακτά μεγάλα κομμάτια δεδομένων σωστά

• Επίσης, μειώνεται το μέγεθος των εφαρμογών διαχείρισης που υποστηρίζονται από το πρωτόκολλο

• Τέλος, σε περιπτώσεις αίτησης μεγάλων πακέτων δεδομένων, το GetBulkRequestGetBulkRequest θα στείλει όσο περισσότερα δεδομένα μπορεί αντί για μήνυμα λάθους tooBig



59



60

• Η ασφάλεια στο SNMPv1 βασίζεται στο όνομα της κοινότητας, που σημαίνει ότι με βάση το όνομα της κοινότητας, αποφασίζεται εξουσιοδότηση ή όχι του ελέγχου πρόσβασης ▫ το όνομα της κοινότητας είναι ένα αλφαριθμητικό, που μεταφέρεται χωρίς

μηχανισμούς προστασίας και περιγράφει το ποιες δυνατότητες θα έπρεπε να έχει αυτός που έκανε την αίτηση.

• Στο SNMPv2 δεν προστίθεται παραπέρα ασφάλεια, υπό την έννοια ότι και εδώ η ασφάλεια βασίζεται στο όνομα της κοινότητας

• Ακόμα και στο SNMPv2c που χρησιμοποιείται σήμερα δεν προστέθηκε περαιτέρω ασφάλεια

• Νεότερες εκδόσεις του πρωτοκόλλου SNMPv2* και SNMPv2u και τελικά το SNMPv3 δίνουν δυνατότητες: ▫ πιστοποίησης,

▫ κρυπτογράφησης και

▫ εξουσιοδότησης

Ασφάλεια


61

Εγκατάσταση SNMP Agent και NMS

• Agent▫ http://www.mydigitallife.info/2007/11/01/install-and-enable-

snmp-service-in-windows-xp-vista-and-2003/

1. Install

2. Configure• NMS

▫ http://sourceforge.net/projects/net-snmp/files/net-snmp%20binaries/5.5-binaries/

1. net-snmp-5.5.0-1.x86.exe

ΠΡΟ.ΜΕ.Σ.Ι.Π. Διαχείριση και Ασφάλεια Δικτύων

Documents

Transcript of ΠΡΟ.ΜΕ.Σ.Ι.Π. Διαχείριση και Ασφάλεια Δικτύων