Protocollo SNMP Romeo di Gregorio Matricola: Corso di Reti e Sistemi Distribuiti a.a. 2007/2008

21/09/2016 page 2 Indice Introduzione Componenti Schema Subagents MIB Definizione Rappresentazioni Comandi Autenticazione Community

21/09/2016 page 3 Indice Data Message SNMPv1 Header PDU PDU Types SNMPv2 Problemi generali SNMPv3

21/09/2016 page 4 Introduzione SNMP(Simple Network Management Protocol) e' un protocollo di livello application ( 7° livello ISO/OSI) appartenente alla suite di protocolli internet ( TCP/IP) come definita dalla IETF. Si occupa del monitoraggio ( statistiche sullo stato dei sistemi ) ed il controllo ( modifica delle impostazioni) di dispositivi di rete quali Server, Router, ecc. Esistono varie versioni : SNMPv1: versione iniziale, standard de facto, RFC SNMPv2: miglioramenti vari ( crittografia ), RFC SNMPv3: standard secondo IETF, RFC

21/09/2016 page 5 Componenti Sistema gestito ( Managed object ) ovvero il nodo della rete da monitorare/gestire. Agente di gestione ( Management agent ) modulo software presente sui nodi da gestire. Sistema di Gestione ( Network management station ) software remoto che prende le decisioni di gestione. Un Framework SNMP e' composto almeno da 3 elementi: Ogni managed object ospita almeno un agent ( chiamato anche master agent ) e in genere piu' subagent i quali si occupano di mettere in atto le decisioni prese dal NMS ( in genere sotto il controllo diretto di un operatore umano).

21/09/2016 page 6 Schema Network management station ( NMS ) Agent

21/09/2016 page 7 Subagents Ogni subagents ha una conoscenza parziale del sistema su cui opera e rende disponibile questa informazione allo NMS attraverso il protocollo SNMP. Inoltre e' capace di attuare le decisioni del NMS solamente nel proprio sottosistema di competenza. Nel caso i Managed object siano device “semplici” come hub o stampanti gli agents vengono implementati come moduli direttamente all'interno del fimware del device. Altrimenti come nel caso di server il master agent viene avviato come demone ( o servizio ) in ascolto sulla porta UDP 161.

21/09/2016 page 8 SNMP effettua una netta distinzione tra il protocollo di trasmissioni dati e la struttura dell'oggetto gestito, infatti non definisce a priori quali informazioni un managed object dovrebbe fornire. Utilizza un approccio scalare delegando ad una base dati interna, definita per ogni agent e da questo gestita, il compito di rappresentare la situazione del sottosistema gestito. Questa base dati viene chiamata MIB ( Management Information Base ).

21/09/2016 page 9 MIB Un MIB e' un insieme di informazioni organizzato gerarchicamente che descrive dinamicamente lo stato di un sottosistema. Le informazioni vengono immagazzinate in OID (Object Identifier ) che identificano variabili accessibili attraverso SNMP. I MIB sono strutturati ad albero, con una radice nameless, e dove ogni nodo viene rappresentato da un OID. Un esmpio di OID ( scalare ) e dato da atInput una variabile intera che rappresenta il numero di pacchetti AppleTalk in ingresso su una determinata interfaccia..

21/09/2016 page 10 Rappresentazione ad albero

21/09/2016 page 11 Rappresentazione stringa La variabile puo' essere univocamente identificata da una stringa di caratteri ( non case-sensitive ) : iso.identifiedorganization.dod.internet.private.enterprise.cisco.te mporary variables.AppleTalk.atInput oppure da un sequenza di numeri: o anche da una combinazione dei due : atInput

21/09/2016 page 12 I livelli superiori vengono assegnati a differenti organizzazioni di standardizzazione ( ISO ), mentre i livelli inferiori vengono assegnati ad organizzazioni associate. I venditori di proprie implementazioni dell' SNMP possono inserire nuovi rami e variabili in apposite sezioni. Le strutture di insiemi di oggetti MIB vengono specificate dallo SMI ( Structured of Management Information ) che e' un sottinsieme dello ASN.1 ( Abstract Syntax Notation )( notazione standard per la descrizione di strutture dati).

21/09/2016 page 13 Quindi l'accesso in scrittura e lettura alla MIB rappresenta l'interfaccia fornita al manager per gestire il sistema.

21/09/2016 page 14 Comandi I comandi base utilizzati sul protocollo SNMP sono di tre tipi: Read : un NMS legge il valore di una variabile in un MIB. Write : un NMS modifica il valore di una variabile in un MIB. Trap : un agent invia un messaggio ( chiamato appunto trap ) al proprio NMS ( sulla porta UDP 162 ) in maniera asincrona al verificarsi di un determinato evento.

21/09/2016 page 15 Autenticazione Meccanismi di autenticazione ( riguardanti soprattutto lo NMS nei confrionti dei managed object ) vengono implementati attraverso le communities. Una community e' un insieme di hosts identificati da una stringa a 32 caratteri case-sensitive che ne rappresenta il nome. Ogni agent della comunity risponde solo alle richieste di un NMS appartenente alla propria community. In pratica il nome della community funge da password per autenticare gli hosts fidati. Un agent puo' far parte di piu' communities cosi' come un NMS.

21/09/2016 page 16 Esistono tre tipi di communities: Monitor : permette di effettuare solo operazioni di read. Control : permette di effettuare anche operazioni di write. Trap : permette ad un agent di inviare un messaggio di trap SNMP ad un NMS. Spesso i nomi di default delle communities sono public per monitor e trap e private per control. E' sempre bene quindi modificarli per motivi di sicurezza appena possibile

21/09/2016 page 17 Esempio Esempio di configurazione standard delle communities di un router VoIP

21/09/2016 page 18 Data Message SNMP I message data SNMP ( sia vers. 1 che 2) contengono due parti: Message header ( intestazione ) PDU ( Protocol Data Unit )

21/09/2016 page 19 Message header Il Message header contiene due campi : Version number : versione SNMP usata Community name : nome community viaggia in chiaro ( SNMPv1)insieme ai pacchetti SNMP Cio' genera notevoli problemi di sicurezza poiche' chiunque intercetti i pacchetti puo' ottenere la password della community. Per questo motivo sul SNMPv1 e SNMPv2 raramente viene permesso l'uso di operazioni di Write.

21/09/2016 page 20 SNMP PDU La lunghessa del SNMP PDU e' variabile ed e' divisa nei seguenti campi: PDU Type: specifica il tipo di PDU Request ID: associa le richieste SNMP con le risposte Error status : indica o il numero di errori o il tipo Error index : associa un errore con l'oggetto che l'ha prodotto Var. Bindings : associazione dati-variabili

21/09/2016 page 21 PDU Types Esistono cinque tipi diversi di PDU ognuno dei quali determina una operazione diversa: GET REQUEST: ottiene una var. GET NEXT REQUEST: ottiene la var. seguente GET RESPONSE: risponde ad una REQUEST SET REQUEST: setta una var TRAP : usato per inviare una trap

21/09/2016 page 22 SNMPv2 Oltre ad alcuni miglioramenti riguardanti i tipi di dati permessi dallo SMI, SNMPv2 introduce due ulteriori PDU Types: GET BULK REQUEST : rapido iteratore usato per ottenere maggiori quantita' di dati. INFORM : simile alla trap ma con acknowledgment.

21/09/2016 page 23 Problemi Varie implementazioni: le implementazioni del protocollo SNMP possono variare a seconda dei venditori di piattaforme; venduto come funzionalita' aggiuntiva che estende la CLI proprietaria del venditore. Incompatibilita' tra versioni: SNMPv1 e v2 sono tra di loro incopatibili in zone importatnti come la struttura del message data e le operazioni del protocollo. Cio' ha reso difficoltoso la diffusione del SNMPv2.. Esistono due modi per risolvere questo problema: NMS bilingue Proxy agents

21/09/2016 page 24 Sicurezza SNMPv1 ( ma anche la ver. 2 ) soffrono di numerosi problemi legati alla sicurezza: Sono soggetti allo sniffing dei pacchetti, poiche' nn implementano forme robuste di crittografia. Sono soggetti ad attacchi brute-force o da dizionario verso la stringa di autenticazione ( community ). Sono soggetti ad attacchi di Ip spoofing poiche' utilizzano un protocollo ( UDP ) connection-less. Per questo motivo le funzioni di scrittura vengono raramente implementate.

21/09/2016 page 25 SNMPv3 Nuova versione del SNMP ( 2004 ) che implementa importanti caratteristiche nell'ambito della sicurezza: Integrity Message: controlla che un messaggio non sia stato modificato ( hash-MD5). Authentication: permette autenticazioni robuste basate sull 'utente-gruppi e non solo sulla community. Encryption: i message data vengono crittografati ( DES 56-bit ) alla fonte impedendone la lettura da parte di terzi non autorizzati. Viene considerato da parte della IETF come la versione “standard” del protocollo, mentre le altre vengono relegate come “historical”.

21/09/2016 page 26 Bibliografia Wikipedia: Cisco documentation : Altro :