Ir al contenido

Diferencia entre revisiones de «Protocolo simple de administración de red»

De Wikipedia, la enciclopedia libre
Contenido eliminado Contenido añadido
m PR:CW: Artículos con <br /> incorrecto
Línea 313: Línea 313:
==Implicaciones de Seguridad==
==Implicaciones de Seguridad==
{{Mal traducido}}
{{Mal traducido}}
Wnes!! ajjaja xddd

*SNMP versiones 1 y 2c están sujetos a la detección de paquetes de la cadena de comunidad borre el texto del tráfico de red, ya que no implementan el cifradoss.
*SNMP versiones 1 y 2c están sujetos a la detección de paquetes de la cadena de comunidad borre el texto del tráfico de red, ya que no implementan el cifradoss.
*Todas las versiones de SNMP están sujetos a la fuerza bruta y ataques de diccionario para adivinar las cadenas de comunidad, cadenas de autenticación, las claves de autenticación, cadenas de cifrado o claves de cifrado, ya que no implementan un protocolo de enlace de desafío-respuesta .
*Todas las versiones de SNMP están sujetos a la fuerza bruta y ataques de diccionario para adivinar las cadenas de comunidad, cadenas de autenticación, las claves de autenticación, cadenas de cifrado o claves de cifrado, ya que no implementan un protocolo de enlace de desafío-respuesta .
Línea 318: Línea 320:
*Potente configuración de SNMP (escritura) capacidades no están siendo plenamente utilizados por muchos vendedores, en parte debido a la falta de seguridad en las versiones de SNMP SNMPv3 antes y en parte debido a que muchos dispositivos, simplemente no son capaces de ser configurado a través de cambios en los objetos MIB individuales.
*Potente configuración de SNMP (escritura) capacidades no están siendo plenamente utilizados por muchos vendedores, en parte debido a la falta de seguridad en las versiones de SNMP SNMPv3 antes y en parte debido a que muchos dispositivos, simplemente no son capaces de ser configurado a través de cambios en los objetos MIB individuales.
*SNMP encabeza la lista del Instituto SANS Común Defecto Problemas de configuración con el tema de las cadenas de comunidad SNMP por defecto establecidos en 'público' y 'privado' y era el número diez en la escala SANS Top 10 amenazas de seguridad de Internet más críticos para el año 2000.
*SNMP encabeza la lista del Instituto SANS Común Defecto Problemas de configuración con el tema de las cadenas de comunidad SNMP por defecto establecidos en 'público' y 'privado' y era el número diez en la escala SANS Top 10 amenazas de seguridad de Internet más críticos para el año 2000.
Aviso mal traducido


==Descubrimiento Automático==
==Descubrimiento Automático==

Revisión del 21:20 31 may 2017

Simple Network Management Protocol (SNMP)
Familia Familia de protocolos de Internet
Función facilita el intercambio de información de administración entre dispositivos de red
Última versión SNMPv3
Puertos 161/UDP, 162/UDP (Trap)
Ubicación en la pila de protocolos
Aplicación SNMP
Transporte UDP y TCP
Red IP (IPv4 y IPv6)
Estándares

RFC 1157 (SNMP, 1990)

RFC 3410 (SNMPv3, 2002)

El Protocolo Simple de Administración de Red o SNMP (del inglés Simple Network Management Protocol) es un protocolo de la capa de aplicación que facilita el intercambio de información de administración entre dispositivos de red. Los dispositivos que normalmente soportan SNMP incluyen routers, switches, servidores, estaciones de trabajo, impresoras, bastidores de módem y muchos más. Permite a los administradores supervisar el funcionamiento de la red, buscar y resolver sus problemas, y planear su crecimiento.

SNMP es un componente de la suite de protocolo de Internet como se define por el IETF. Se compone de un conjunto de normas para la gestión de la red, incluyendo una capa de aplicación del protocolo, una base de datos de esquema, y un conjunto de objetos de datos. Las versiones de SNMP más utilizadas son SNMP versión 1 (SNMPv1) y SNMP versión 2 (SNMPv2).

SNMP en su última versión (SNMPv3) posee cambios significativos con relación a sus predecesores, sobre todo en aspectos de seguridad;[cita requerida] sin embargo no ha sido mayoritariamente aceptado en la industria.

Conceptos Básicos

En usos típicos SNMP, uno o más equipos administrativos, llamados gerentes, tienen la tarea de supervisión o la gestión de un grupo de hosts o dispositivos de una red informática. En cada sistema gestionado se ejecuta, en todo momento, un componente de software llamado agente que reporta la información a través de SNMP con el gerente. Los agentes SNMP exponen los datos de gestión en los sistemas administrados como variables. El protocolo también permite realizar tareas de gestión de activos, tales como la modificación y la aplicación de una nueva configuración a través de la modificación remota de estas variables. Las variables accesibles a través de SNMP están organizadas en jerarquías. Estas jerarquías y otros metadatos (tales como el tipo y la descripción de la variable), se describen por Bases de Información de Gestión (MIB).[cita requerida]

Componentes básicos

Una red administrada a través de SNMP consta de tres componentes clave:

  • Sistemas administradores de red (Network Management Systems, NMS);
  • Dispositivos administrados;
  • Agentes.

Estos componentes tienen las siguientes funciones:[cita requerida]

Un sistema administrador de red (NMS) ejecuta aplicaciones que supervisan y controlan a los dispositivos administrados. Los NMS’s proporcionan el volumen de recursos de procesamiento y memoria requeridos para la administración de la red. Uno o más NMS’s deben existir en cualquier red administrada.

Un dispositivo administrado es un dispositivo que contiene un agente SNMP y reside en una red administrada. Estos recogen y almacenan información de administración, la cual es puesta a disposición de los NMS’s usando SNMP. Los dispositivos administrados, a veces llamados elementos de red, pueden ser routers, servidores de acceso, switches, bridges, hubs, computadores o impresoras.

Un agente es un módulo de software de administración de red que reside en un dispositivo administrado. Un agente posee un conocimiento local de información de administración (memoria libre, número de paquetes IP recibidos, rutas, etcétera), la cual es traducida a un formato compatible con SNMP y organizada en jerarquías.

Comandos básicos

Los dispositivos administrados son supervisados y controlados usando cuatro comandos SNMP básicos: lectura, escritura, notificación y operaciones transversales.[cita requerida]

El comando de lectura es usado por un NMS para supervisar elementos de red. El NMS examina diferentes variables que son mantenidas por los dispositivos administrados.

El comando de escritura es usado por un NMS para controlar elementos de red. El NMS cambia los valores de las variables almacenadas dentro de los dispositivos administrados.

El comando de notificación es usado por los dispositivos administrados para reportar eventos en forma asíncrona a un NMS. Cuando cierto tipo de evento ocurre, un dispositivo administrado envía una notificación al NMS.

Las operaciones transversales son usadas por el NMS para determinar qué variables soporta un dispositivo administrado y para recoger secuencialmente información en tablas de variables, como por ejemplo, una tabla de rutas.

Base de información de administración SNMP (MIB)

Una Base de Información de Administración (Management Information Base, MIB) es una colección de información que está organizada jerárquicamente. Las MIB’s son accedidas usando un protocolo de administración de red, como por ejemplo, SNMP.

Un objeto administrado (algunas veces llamado objeto MIB, objeto, o MIB) es uno de cualquier número de características específicas de un dispositivo administrado. Los objetos administrados están compuestos de una o más instancias de objeto, que son esencialmente variables.

Existen dos tipos de objetos administrados: Escalares y tabulares. Los objetos escalares definen una simple instancia de objeto. Los objetos tabulares definen múltiples instancias de objeto relacionadas que están agrupadas conjuntamente en tablas MIB.

Un ejemplo de un objeto administrado es atInput, que es un objeto escalar que contiene una simple instancia de objeto, el valor entero que indica el número total de paquetes AppleTalk de entrada sobre una interfaz de un router.

Un identificador de objeto (object ID) identifica únicamente a un objeto administrado en la jerarquía MIB. La jerarquía MIB puede ser representada como un árbol con una raíz anónima y los niveles, que son asignados por diferentes organizaciones.

El árbol MIB ilustra las variadas jerarquías asignadas por las diferentes organizaciones

Los identificadores de los objetos ubicados en la parte superior del árbol pertenecen a diferentes organizaciones estándares, mientras los identificadores de los objetos ubicados en la parte inferior del árbol son colocados por las organizaciones asociadas.

Los fabricantes pueden definir ramas privadas que incluyen los objetos administrados para sus propios productos. Las MIB’s que no han sido estandarizadas típicamente están localizadas en la rama experimental.

El objeto administrado atInput podría ser identificado por el nombre de objeto iso.identified-organization.dod.internet.private.enterprise.cisco.temporary.AppleTalk.atInput o por el descriptor de objeto equivalente 1.3.6.1.4.1.9.3.3.1.

El corazón del árbol MIB se encuentra compuesto de varios grupos de objetos, los cuales en su conjunto son llamados mib-2. Los grupos son los siguientes:

  • System (1);
  • Interfaces (2);
  • AT (3);
  • IP (4);
  • ICMP (5);
  • TCP (6);
  • UDP (7);
  • EGP (8);
  • Transmission (10);
  • SNMP (11).

Es importante destacar que la estructura de una MIB se describe mediante el estándar Notación Sintáctica Abstracta 1 (Abstract Syntax Notation One).

Detalles del Protocolo

SNMP opera en la capa de aplicación del conjunto de protocolos de Internet (capa 7 del modelo OSI). El agente SNMP recibe solicitudes en el puerto UDP 161. El administrador puede enviar solicitudes de cualquier puerto de origen disponible para el puerto 161 en el agente. La respuesta del agente será enviado de vuelta al puerto de origen en el gestor. El administrador recibe notificaciones (Trampas e InformRequests) en el puerto 162. El agente puede generar notificaciones desde cualquier puerto disponible. Cuando se utiliza con Transport Layer Security las solicitudes se reciben en el puerto 10161 y trampas se envían al puerto 10162. SNMPv1 especifica cinco unidades de datos de protocolo (PDU) centrales. Otros dos PDU, GetBulkRequest e InformRequest se añadieron en SNMPv2 y prorrogados a SNMPv3.[cita requerida]

Todas las PDU SNMP se construyen de la siguiente manera:

  • Cabecera IP
  • Encabezado UDP versión comunidad
  • Tipo de PDU
  • Petición-ID
  • Error de estado
  • Índice de errores
  • Enlaces de variables

Mensajes SNMP

Para realizar las operaciones básicas de administración anteriormente nombradas, el protocolo SNMP utiliza un servicio no orientado a la conexión (UDP) para enviar un pequeño grupo de mensajes (PDUs) entre los administradores y agentes. La utilización de un mecanismo de este tipo asegura que las tareas de administración de red no afectarán al rendimiento global de la misma, ya que se evita la utilización de mecanismos de control y recuperación como los de un servicio orientado a la conexión, por ejemplo TCP.

Los puertos comúnmente utilizados para SNMP son los siguientes:

Número Descripción
161 SNMP
162 SNMP-trap

Los paquetes utilizados para enviar consultas y respuestas SNMP poseen el siguiente formato:

Versión Comunidad SNMP PDU
  • Versión: Número de versión de protocolo que se está utilizando (por ejemplo 0 para SNMPv1, 1 para SNMPv2c, 2 para SNMPv2p y SNMPv2u, 3 para SNMPv3, ...);
  • Comunidad: Nombre o palabra clave que se usa para la autenticación. Generalmente existe una comunidad de lectura llamada "public" y una comunidad de escritura llamada "private";
  • SNMP PDU: Contenido de la Unidad de Datos de Protocolo, el que depende de la operación que se ejecute.

Los mensajes GetRequest, GetNextRequest, SetRequest y GetResponse utilizan la siguiente estructura en el campo SNMP PDU:

Tipo Identificador Estado de error Índice de error Enlazado de variables
  • Identificador: Es un número utilizado por el NMS y el agente para enviar solicitudes y respuesta diferentes en forma simultánea;
  • Estado e índice de error: Sólo se usan en los mensajes GetResponse´(en las consultas siempre se utiliza cero). El campo "índice de error" sólo se usa cuando "estado de error" es distinto de 0 y posee el objetivo de proporcionar información adicional sobre la causa del problema. El campo "estado de error" puede tener los siguientes valores:
    • 0: No hay error;
    • 1: Demasiado grande;
    • 2: No existe esa variable;
    • 3: Valor incorrecto;
    • 4: El valor es de solo lectura;
    • 5: Error genérico.
  • Enlazado de variables: Es una serie de nombres de variables con sus valores correspondientes (codificados en ASN.1).

GetRequest

A través de este mensaje el NMS solicita al agente retornar el valor de un objeto de interés mediante su nombre. En respuesta el agente envía una respuesta indicando el éxito o fracaso de la petición. Si la petición fue correcta, el mensaje resultante también contendrá el valor del objeto solicitado. Este mensaje puede ser usado para recoger un valor de un objeto, o varios valores de varios objetos, a través del uso de listas.

GetNextRequest

Este mensaje es usado para recorrer una tabla de objetos. Una vez que se ha usado un mensaje GetRequest para recoger el valor de un objeto, puede ser utilizado el mensaje GetNextRequest para repetir la operación con el siguiente objeto de la tabla. Siempre el resultado de la operación anterior será utilizado para la nueva consulta. De esta forma un NMS puede recorrer una tabla de longitud variable hasta que haya extraído toda la información para cada fila existente.

SetRequest

Este tipo de mensaje es utilizado por el NMS para solicitar a un agente modificar valores de objetos. Para realizar esta operación el NMS envía al agente una lista de nombres de objetos con sus correspondientes valores.

GetResponse

Este mensaje es usado por el agente para responder un mensaje GetRequest, GetNextRequest, o SetRequest. En el campo "Identificador de Request" lleva el mismo identificador que el "request" al que está respondiendo.

Trap

Una trap es generado por el agente para reportar ciertas condiciones y cambios de estado a un proceso de administración. El formato de la PDU es diferente:

Tipo Enterprise Dirección del agente Tipo genérico de trap Tipo específico de trap Timestamp Enlazado de variables
  • Enterprise: Identificación del subsistema de gestión que ha emitido el trap;
  • Dirección del agente: Dirección IP del agente que ha emitido el trap;
  • Tipo genérico de trap:
    • Cold start (0): Indica que el agente ha sido inicializado o reinicializado;
    • Warm start (1): Indica que la configuración del agente ha cambiado;
    • Link down (2): Indica que una interfaz de comunicación se encuentra fuera de servicio (inactiva);
    • Link up (3): Indica que una interfaz de comunicación se encuentra en servicio (activa);
    • Authentication failure (4): Indica que el agente ha recibido un requerimiento de un NMS no autorizado (normalmente controlado por una comunidad);
    • EGP neighbor loss (5): Indica que en sistemas en que los routers están utilizando el protocolo EGP, un equipo colindante se encuentra fuera de servicio;
    • Enterprise (6): En esta categoría se encuentran todos los nuevos traps incluidos por los vendedores.
  • Tipo específico de trap: Es usado para traps privados (de fabricantes), así como para precisar la información de un determinado trap genérico;
  • Timestamp: Indica el tiempo que ha transcurrido entre la reinicialización del agente y la generación del trap;
  • Enlazado de variables: Se utiliza para proporcionar información adicional sobre la causa del mensaje.

GetBulkRequest

Este mensaje es usado por un NMS que utiliza la versión 2 ó 3 del protocolo SNMP típicamente cuando es requerida una larga transmisión de datos, tal como la recuperación de largas tablas. En este sentido es similar al mensaje GetNextRequest usado en la versión 1 del protocolo, sin embargo, GetBulkRequest es un mensaje que implica un método mucho más rápido y eficiente, ya que a través de un solo mensaje es posible solicitar la totalidad de la tabla.

InformRequest

Un NMS que utiliza la versión 2 o 3 del protocolo SNMP transmite un mensaje de este tipo a otro NMS con las mismas características, para notificar información sobre objetos administrados, utilizando el protocolo de nivel 4(osi) TCP, y enviara el InformRequest hasta que tenga un acuse de recibo.

Desarrollo y Uso

Versión 1

SNMP versión 1 (SNMPv1) es la implementación inicial del protocolo SNMP. SNMPv1 opera a través de protocolos como el User Datagram Protocol (UDP), Protocolo de Internet (IP), servicio de red sin conexión OSI (CLNS), AppleTalk Protocolo de datagramas de entrega (DDP), y Novell Internet Packet Exchange (IPX). SNMPv1 es ampliamente utilizado y es el de facto protocolo de gestión de red en la comunidad de Internet.

Los primeros RFCs para SNMP, ahora conocido como SNMPv1, aparecieron en 1988:
RFC 1065 - Estructura e identificación de información de gestión para internet basadas en TCP / IP.
RFC 1066 - Base de información de gestión para la gestión de la red de internet basadas en TCP / IP.
RFC 1067 - Un protocolo simple de administración de red.

Estos protocolos estaban obsoletos por:
RFC 1155 - Estructura e identificación de información de gestión para internet basadas en TCP / IP.
RFC 1156 - Base de información de gestión para la gestión de la red de internet basadas en TCP / IP.
RFC 1157 - Un protocolo simple de administración de red.

Después de un corto tiempo, RFC 1156 (MIB-1) fue reemplazada por la más habitual:
RFC 1213 - Versión 2 de la base de información de gestión (MIB-2) para la gestión de la red de internet basadas en TCP / IP.

Versión 1 ha sido criticado por su falta de seguridad. La autenticación de los clientes se realiza sólo por una "cadena de comunidad", en efecto, un tipo de contraseña, la cual transmite en texto plano. El diseño de los años 80 de SNMPv1 fue realizado por un grupo de colaboradores que vieron que el producto patrocinado oficialmente (HEMS/CMIS/CMIP) por OSI / IETF / NSF (National Science Foundation) eran tanto inaplicable en las plataformas informáticas de la época, así como potencialmente inviable. SNMP se aprobó basándose en la creencia de que se trataba de un Protocolo provisional necesario para la toma de medidas del despliegue a gran escala de Internet y su comercialización. En esos tiempos, estándares de internet de autenticación y seguridad eran un sueño, a la vez desalentado por los grupos de diseño enfocados en protocolos.

Versión 2

SNMPv2 ( RFC 1441 - RFC 1452 ), revisa la versión 1 e incluye mejoras en las áreas de comunicaciones de rendimiento, la seguridad, confidencialidad e-manager-a gerente. Introdujo GetBulkRequest, una alternativa a GetNextRequests iterativos para recuperar grandes cantidades de datos de gestión en una sola solicitud. Sin embargo, el nuevo sistema de seguridad basado en partidos en SNMPv2, visto por muchos como demasiado complejo, no fue ampliamente aceptada. Esta versión de SNMP alcanzado el nivel de madurez de Norma, pero se consideró obsoleto por las versiones posteriores.

Simple basada en la comunidad la versión Network Management Protocol 2, o SNMPv2c, se define en el RFC 1901 - RFC 1908 . SNMPv2c comprende SNMPv2 sin el nuevo modelo de seguridad de SNMP v2 controversial, utilizando en su lugar el sistema de seguridad basado en la simple comunidad de SNMPv1. Esta versión es una de las relativamente pocas normas para cumplir con el proyecto de nivel de madurez estándar del IETF, y fue considerado el de facto estándar SNMPv2. Es también estaba obsoleto después, por SNMPv3.

Simple de usuario basada en la versión Network Management Protocol 2, o SNMPv2u, se define en el RFC 1909 - RFC 1910 . Este es un compromiso que pretende ofrecer una mayor seguridad que SNMPv1, pero sin incurrir en la alta complejidad de SNMPv2. Una variante de este se comercializó como SNMP v2 *, y el mecanismo fue finalmente adoptado como uno de los dos marcos de seguridad de SNMP v3.

SNMPv1 y SNMPv2c interoperabilidad

Tal como está actualmente especificada, SNMPv2c es incompatible con SNMPv1 en dos áreas clave: los formatos de mensajes y operaciones de protocolo. Mensajes SNMPv2c utilizan diferentes cabecera y la unidad de datos de protocolo (PDU) formatos de mensajes SNMPv1. SNMPv2c también utiliza dos operaciones de protocolo que no están especificados en SNMPv1. Además, RFC 2576 define dos posibles estrategias de coexistencia SNMPv1/v2c: agentes de proxy y sistemas de gestión de red bilingües.

Agentes de proxy

Un agente SNMPv2 puede actuar como un agente proxy en nombre de dispositivos SNMPv1 administrados, de la siguiente manera: • Un SNMPv2 NMS emite un comando destinado a un agente SNMPv1. • El NMS envía el mensaje SNMP para el agente proxy SNMPv2. • El agente proxy reenvía Cómo, GetNext y Set mensajes al agente SNMPv1 sin cambios. • Mensajes GetBulk son convertidas por el agente proxy de GetNext mensajes y luego se envían al agente SNMPv1. El agente proxy mapas de mensajes de captura SNMPv1 a SNMPv2 mensajes de captura y luego las envía al NMS.

Sistema de gestión de la red bilingüe

Sistemas de gestión de red SNMPv2 Bilingües soportan tanto SNMPv1 y SNMPv2. Para apoyar este entorno de gestión dual, una aplicación para la gestión del NMS bilingües debe ponerse en contacto con un agente. El NMS examina la información almacenada en una base de datos local para determinar si el agente es compatible con SNMPv1 o SNMPv2. Sobre la base de la información en la base de datos, el NMS se comunica con el agente utilizando la versión adecuada de SNMP.

Versión 3

Aunque SNMPv3 no realiza cambios en el protocolo, aparte de la adición de seguridad criptográfica, da la impresión de ser muy diferente debido a las nuevas convenciones textuales, los conceptos y la terminología.

SNMPv3 añadió principalmente la seguridad y mejoras de configuración remota SNMP. Debido a la falta de seguridad de las versiones previas de SNMP, los administradores de red usaban otros medios, tales como SSH para la configuración, contabilidad y gestión de fallos.

SNMPv3 se ocupa de cuestiones relacionadas con el despliegue a gran escala de SNMP, contabilidad y gestión de fallos. Actualmente, SNMP se utiliza principalmente para el control y la gestión del rendimiento.

SNMPv3 define una versión segura de SNMP y también facilita la configuración remota de las entidades SNMP. SNMPv3 ofrece un entorno seguro para la gestión de sistemas que abarcan los siguientes:

  • Identificación de las entidades SNMP para facilitar la comunicación sólo entre entidades SNMP conocidas - Cada entidad SNMP tiene un identificador llamado snmpEngineID y comunicación SNMP es posible sólo si la entidad SNMP conoce la identidad de su interlocutor. Trampas y notificaciones son excepciones a esta regla.
  • Soporte para los modelos de seguridad - Un modelo de seguridad puede definir la política de seguridad dentro de un dominio administrativo o una intranet. SNMPv3 contiene las especificaciones para USM.

Definición de los objetivos de seguridad, donde los objetivos del servicio de autenticación de mensajes incluyen la protección contra lo siguiente:

  • Modificación de la información - Protección contra algunos no autorizados entidad que altera SNMP en tránsito mensajes generados por un principal autorizado.
  • Masquerade - Protección contra intentar operaciones de gestión no autorizadas por algún director al asumir la identidad de otra principal que cuenta con las autorizaciones correspondientes.
  • Mensaje Corriente Modificación - Protección contra mensajes que consiguen maliciosamente reordenado, retrasado, o reproducido para efectuar las operaciones de gestión autorizadas.
  • Divulgación - Protección contra escuchas en los intercambios entre los motores de SNMP.

Especificación para USM - USM (Modelo de seguridad basada en el usuario) consiste en la definición general de los siguientes mecanismos de comunicación disponibles:

  • Comunicación sin autenticación y privacidad (noAuthNoPriv).
  • La comunicación con la autenticación y sin privacidad (authNoPriv).
  • La comunicación con la autenticación y la privacidad (authpriv).
  • Definición de diferentes protocolos de autenticación y privacidad - Actualmente, los protocolos de autenticación MD5 y SHA y los protocolos de privacidad y CBC_DES CFB_AES_128 se admiten en la USM.
  • Definición de un procedimiento de descubrimiento - Para encontrar el snmpEngineID de una entidad SNMP para una dirección de transporte común y dirección de punto final de transporte.
  • Definición del procedimiento de sincronización de hora - Para facilitar la comunicación autenticado entre las entidades SNMP.
  • Definición del marco MIB SNMP - Para facilitar la configuración remota y administración de la entidad SNMP.
  • Definición de las MIB USM - Para facilitar la configuración remota y administración del módulo de seguridad.
  • Definición de las MIB VACM - Para facilitar la configuración remota y administración del módulo de control de acceso.

El SNMPv3 se centra en dos aspectos principales, a saber, la seguridad y la administración. El aspecto de seguridad se dirige, ofreciendo tanto una sólida autenticación y cifrado de datos para la privacidad. El aspecto de la administración se centra en dos partes, a saber los originadores de notificación y agentes proxy. SNMPv3 define una serie de capacidades relacionadas con la seguridad. Las especificaciones iniciales definen la USM y VACM, que más tarde fueron seguidos por un modelo de seguridad de transporte que proporciona apoyo a través de SSH y SNMPv3 SNMPv3 en TLS y DTLS.

  • USM (Modelo de Seguridad dasado en Usuarios) proporciona funciones de autenticación y privacidad (encriptación) y opera en el nivel de mensaje.
  • VACM (Modelo de Control de Acceso basado en Vista) determina si se permite a un director dado acceso a un objeto MIB particular, para realizar funciones específicas y opera en el nivel de PDU.
  • TSM (Modo de Seguridad del Transporte) proporciona un método para la autenticación y el cifrado de mensajes a través de los canales externos de seguridad. Dos transportes, SSH y TLS/DTLS, han definido que hacen uso de la especificación de TSM.

La seguridad ha sido la mayor debilidad de SNMP desde el principio. La autenticación en las versiones de SNMP 1 y 2 consiste sólo en una contraseña (cadena de comunidad) enviada en texto claro entre un gerente y agente. Cada mensaje SNMPv3 contiene los parámetros de seguridad que están codificados como una cadena de octetos. El significado de estos parámetros de seguridad depende del modelo de seguridad que se utiliza. SNMPv3 proporciona características de seguridad importantes:

  • Confidencialidad - El cifrado de paquetes para impedir la escucha por una fuente no autorizada.
  • Integridad - Integridad de los mensajes para asegurar que un paquete no ha sido alterado durante el tránsito que incluye un mecanismo opcional por repetición de paquetes.
  • Autenticación - para comprobar que el mensaje es de una fuente válida.

A partir de 2004 el IETF reconoce el Protocolo de Gestión de Red Simple versión 3 como se define en el RFC 3411 - RFC 3418 (también conocido como STD0062) como la versión estándar actual de SNMP. El IETF ha designado SNMPv3 un completo estándar de Internet, el más alto nivel de madurez de un RFC. Considera versiones anteriores sean obsoletos (designándolos diversamente "Histórico" u "Obsoleto"). En la práctica, las implementaciones de SNMP a menudo soportan múltiples versiones: Típicamente SNMPv1, SNMPv2c y SNMPv3.

Dificultades de implementación

Las implementaciones del protocolo SNMP pueden variar entre diferentes fabricantes. En algunos casos, el SNMP es incorporado como una característica adicional en el sistema y no como un elemento fundamental del mismo. Algunos fabricantes tienden a ampliar en exceso su interfaz de línea de comandos (CLI) propietaria para configurar y controlar sus sistemas.

La estructura tipo árbol aparentemente simple y el indexado lineal del SNMP pueden no ser interpretados suficientemente bien por las estructuras de datos que son elementos del diseño básico de una plataforma. En consecuencia, el procesamiento de consultas SNMP en ciertos conjuntos de dato pueden exigir más uso del CPU del necesario. Por ejemplo, se crearían tablas de enrutamiento más grandes de lo normal, como BGP y IGP.

Algunos valores de SNMP (como los valores tabulares) requieren conocer específicamente los esquemas de los índices, los cuales no son necesariamente consistentes en todas las plataformas. Esto puede causar problemas de correlación entre los valores de diferentes equipos que no usan el mismo esquema en sus índices (por ejemplo, al recopilar métricas sobre la utilización del disco cuando un "identificador de disco" específico sea diferente entre plataformas.

Indexación de Recursos

Los dispositivos modulares pueden aumentar o disminuir sus índices de SNMP (también conocidos como instancias) cada vez que se agrega o quita hardware en una ranura de forma dinámica. Aunque esto es más común con el hardware, las interfaces virtuales tienen el mismo efecto. Los valores de índice se suelen asignar en el momento del arranque y permanecen fijos hasta el siguiente reinicio. Los índices del hardware o de las entidades virtuales añadidas mientras el dispositivo está "en marcha" pueden ser asignados al final de la gama existente y posiblemente ser reasignados en el siguiente reinicio. Las herramientas de inventario y monitorización de redes necesitan tener capacidad de actualización del dispositivo reaccionando adecuadamente al trap de arranque en frío en el reinicio del dispositivo para evitar la corrupción y la falta de coincidencia de los datos sondeados.


Las asignaciones de índice para una instancia de dispositivo SNMP pueden cambiar de sondeo a sondeo sobre todo como resultado de los cambios iniciados por el administrador del sistema. Si se necesita información para una interfaz en particular, es imprescindible determinar el índice de SNMP antes de recuperar los datos necesarios. Generalmente, una tabla de descripción como ifDescr asignará un nombre de usuario como serie 0/1 (Blade 0, puerto 1) a un índice SNMP.

Implicaciones de Seguridad

Wnes!! ajjaja xddd

  • SNMP versiones 1 y 2c están sujetos a la detección de paquetes de la cadena de comunidad borre el texto del tráfico de red, ya que no implementan el cifradoss.
  • Todas las versiones de SNMP están sujetos a la fuerza bruta y ataques de diccionario para adivinar las cadenas de comunidad, cadenas de autenticación, las claves de autenticación, cadenas de cifrado o claves de cifrado, ya que no implementan un protocolo de enlace de desafío-respuesta .
  • Aunque SNMP funciona sobre TCP y otros protocolos, se utiliza con mayor frecuencia sobre UDP que está sin conexión y vulnerables a la suplantación de IP ataques. Por lo tanto, todas las versiones están sujetos a pasar por las listas de acceso de dispositivos que podrían haber sido implementadas para restringir el acceso SNMP, aunque otros mecanismos de seguridad de SNMPv3 debe impedir un ataque exitoso.
  • Potente configuración de SNMP (escritura) capacidades no están siendo plenamente utilizados por muchos vendedores, en parte debido a la falta de seguridad en las versiones de SNMP SNMPv3 antes y en parte debido a que muchos dispositivos, simplemente no son capaces de ser configurado a través de cambios en los objetos MIB individuales.
  • SNMP encabeza la lista del Instituto SANS Común Defecto Problemas de configuración con el tema de las cadenas de comunidad SNMP por defecto establecidos en 'público' y 'privado' y era el número diez en la escala SANS Top 10 amenazas de seguridad de Internet más críticos para el año 2000.

Aviso mal traducido

Descubrimiento Automático

SNMP por sí mismo no es más que un protocolo para la recolección y organización de información. La mayoría de los conjuntos de herramientas de aplicación SNMP ofrecen algún tipo de mecanismo de descubrimiento, una recopilación normalizada de datos comunes a la mayoría de las plataformas y dispositivos, para obtener un nuevo usuario o implementador comenzaron. Una de estas características es a menudo una forma de descubrimiento automático, donde los nuevos dispositivos detectados en la red se sondean automáticamente. Para SNMPv1 y SNMPv2c, esto representa un riesgo de seguridad, ya que su lectura SNMP comunidades serán transmitidos en texto plano para el dispositivo de destino. Mientras que los requisitos de seguridad y perfiles de riesgo varían de una organización a otra, se debe tener cuidado al usar una función como esta, con especial atención a los entornos comunes, como los centros de datos mixtos e inquilinos, servidor de alojamiento y las instalaciones de colocación, y ambientes similares.

Véase también

Otros protocolos

Referencias


Enlaces externos

RFCs

Los RFCs (Petición de comentarios en español) son propuestas oficiales para protocolos de red.

  • RFC 1155 (STD 16) - Estructura e Identificación de Gestión de Información para los Internets basadas en TCP / IP-
  • RFC 1156 (H) - Gestión de la Información Base para la administración de red de internets basadas en TCP / IP
  • RFC 1157 (H) - Un protocolo simple de administración de redes (SNMP)
  • RFC 1213 (STD 17) - Gestión de la Información Base para la administración de red de TCP / IP basados en internets: MIB-II
  • RFC 1452 (Informativo) - La convivencia entre la versión 1 y la versión 2 del Marco de gestión de la Red de Internet estándar (obsoleto por RFC 1908 )
  • RFC 1901 (Experimental) - Introducción a la SNMPv2 basado en la comunidad
  • RFC 1902 (Proyecto de Norma) - Estructura de Gestión de Información para SNMPv2 (obsoleto por RFC 2578 )
  • RFC 1908 (Normas Track) - convivencia entre la versión 1 y versión 2 del marco de gestión de red estándar de Internet
  • RFC 2570 (Informativo) - Introducción a la Versión 3 del marco de gestión de red estándar de Internet (obsoleto por RFC 3410 )
  • RFC 2578 (STD 58) - Estructura de la información Gestión de la versión 2 (SMIv2)
  • RFC 3410 (Informativo) - Introducción y Aplicabilidad de las declaraciones de Marco de Gestión de Internet estándar
  • RFC 3411 - Una arquitectura para describir los marcos Network Management Protocol (SNMP) simple de administración
  • RFC 3412 - Mensaje Procesamiento y Despacho para el protocolo simple de administración de redes (SNMP)
  • RFC 3413 - (SNMP) Aplicaciones Simple Network Management Protocol
  • RFC 3414 - Modelo de seguridad basada en el usuario (USM) de la versión 3 del Protocolo simple de administración de redes (SNMPv3)
  • RFC 3415 - Modelo basado View-Control de Acceso (VACM) para el protocolo simple de administración de redes (SNMP)
  • RFC 3416 - Versión 2 del Protocolo de Operaciones del protocolo simple de administración de redes (SNMP)
  • RFC 3417 - Transporte Mappings para el protocolo simple de administración de redes (SNMP)
  • RFC 3418 - Management Information Base (MIB) para el protocolo simple de administración de redes (SNMP)
  • RFC 3430 (Experimental) - Simple Network Management Protocol (SNMP) sobre Transmission Control Protocol (TCP) Transporte Cartografía
  • RFC 3584 (BCP 74) - La convivencia entre la Versión 1, Versión 2 y Versión 3 del marco de gestión de red estándar de Internet
  • RFC 3826 (propuesta) - El Advanced Encryption Standard (AES) algoritmo de cifrado en el SNMP basada en el usuario Modelo de seguridad
  • RFC 5343 (Propuesta) - Simple Network Management Protocol (SNMP) Contexto EngineID Descubrimiento
  • RFC 5590 (Proyecto) - Subsistema de transporte para el protocolo simple de administración de redes (SNMP)
  • RFC 5591 (Proyecto) - Transporte Modelo de seguridad para el protocolo simple de administración de redes (SNMP)
  • RFC 5592 (Propuesta) - Secure Shell Transport Modelo para el protocolo simple de administración de redes (SNMP)
  • RFC 5608 (Propuesta) - autenticación remota Dial-In User Service (RADIUS) Uso para el protocolo simple de administración de redes (SNMP) Modelos de Transporte.
  • RFC 6353 (Proyecto) - Transport Layer Security (TLS) para el modelo de transporte de Protocolo simple de administración de redes (SNMP)