Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
Prof. Fábio Nelson CECOMPColegiado de Engenharia de Computação
Slide 1
Rede de Computadores II
Rede de Computadores II
Prof. Fábio Nelson CECOMPColegiado de Engenharia de Computação
Slide 2
Rede de Computadores II
SNMPv1SNMPv1Limitações do SNMPv1 Aspectos que envolvem segurança Ineficiência na recuperação de tabelas Restrito as redes IP Problemas com SMI (Structure Management
Information)
Prof. Fábio Nelson CECOMPColegiado de Engenharia de Computação
Slide 3
Rede de Computadores II
SNMPv2SNMPv2 O SNMPv2 foi desenvolvido com base nas especificações do Secure SNMP e do SMP (Simple Management Protocol).
Seu propósito era remover muitas das deficiências do SNMP e aumentar sua aplicabilidade para incluir redes baseadas no modelo OSI bem como no modelo TCP/IP. Contudo, só as duas primeiras deficiências citadas acima foram solucionadas por esta versão.
Prof. Fábio Nelson CECOMPColegiado de Engenharia de Computação
Slide 4
Rede de Computadores II
SNMPv2 - CaracterísticasSNMPv2 - CaracterísticasSuporte a outros protocolos de transporte (ex.: AppleTalk e IPX) Novas PDUs
InformRequest
GetBulkRequest
SNMPv2-Trap
SMI Novos tipos de dados Novas macros Novas convenções
textuais
Alterações na MIB Inclusão de dois novos
gruposSecurity
SNMPv2
Prof. Fábio Nelson CECOMPColegiado de Engenharia de Computação
Slide 5
Rede de Computadores II
SNMPv3SNMPv3É uma versão do SNMP que apresenta uma proposta de solução para o problema de segurança encontrado nas versões anteriores do protocolo.
Prof. Fábio Nelson CECOMPColegiado de Engenharia de Computação
Slide 6
Rede de Computadores II
SNMPv3SNMPv3As propriedades de segurança abordadas são: Autenticação
Permite a um agente verificar se uma solicitação está vindo de um gerente autorizado e a integridade do seu conteúdo.
CriptografiaPermite gerentes e agentes a criptografarem mensagens para evitar invasão de terceiros.
Controle de AcessoTorna possível configurar agentes para oferecerem diferentes níveis de acesso a diferentes gerentes.
Prof. Fábio Nelson CECOMPColegiado de Engenharia de Computação
Slide 7
Rede de Computadores II
SNMPv3 - CaracterísticasSNMPv3 - CaracterísticasIntegração e modularidade
Segurança Autenticação, privacidade e controle de acesso Modelo SNMPv3 de segurança
USM (User-based Security Model) Esquemas de autenticação e privacidade baseados chaves
secretas. Algoritmos
VACM (View-based Access Control Model) O controle de acesso trata de quem pode acessar os
componentes de gerenciamento das redes e o que pode ser acessado
Prof. Fábio Nelson CECOMPColegiado de Engenharia de Computação
Slide 8
Rede de Computadores II
SMISMIEstrutura de Informações de Gerenciamento – Structure of Management Information. É a linguagem usada para definir as informações de
gerenciamento que residem em uma entidade gerenciada de rede.
Essa linguagem é necessária para assegurar que a sintaxe e a semântica dos dados de gerenciamento de rede sejam bem definidas e não apresentem ambiguidade.
Prof. Fábio Nelson CECOMPColegiado de Engenharia de Computação
Slide 9
Rede de Computadores II
SMISMIBaseada na linguagem de definição de objetos ASN.1 (Abstract Syntax Notation One – Notação de Sintaxe Abstrata 1), mas foram tantos tipos de dados específicos das SMI acrescentados que esta teve de ser considerada uma linguagem de definição de dados.
Prof. Fábio Nelson CECOMPColegiado de Engenharia de Computação
Slide 10
Rede de Computadores II
Prof. Fábio Nelson CECOMPColegiado de Engenharia de Computação
Slide 11
Rede de Computadores II
SMISMIAlém de objetos escalares, também é possível impor uma estrutura tabular sobre um conjunto ordenado de objetos MIB.A SMI fornece também construções de linguagens de nível mais alto.
Prof. Fábio Nelson CECOMPColegiado de Engenharia de Computação
Slide 12
Rede de Computadores II
MIBMIB
Base de Informações de Gerenciamento – Management Information Base.
Banco virtual de informações que guarda objetos gerenciados cujos valores, coletivamente, refletem o estado atual da rede.
Os valores dos objetos podem ser consultados e/ou definidos por uma entidade gerenciadora por meio do envio de mensagens SNMP ao agente que está rodando em um dispositivo gerenciado em nome da entidade gerenciadora.
Prof. Fábio Nelson CECOMPColegiado de Engenharia de Computação
Slide 13
Rede de Computadores II
MIBMIB
Objetos MIB relacionados são reunidos em módulos MIB.
A IETF vem padronizando os módulos MIB associados aos equipamentos de rede. E utilizou para tanto uma estrutura padronizada de identificação de objetos (nomeação) que já tinha sido publicada pela ISO (ANS.1). Os objetos são nomeados hierarquicamente.
Prof. Fábio Nelson CECOMPColegiado de Engenharia de Computação
Slide 14
Rede de Computadores II
Prof. Fábio Nelson CECOMPColegiado de Engenharia de Computação
Slide 15
Rede de Computadores II
Módulos MIBMódulos MIB
Alguns dos módulos MIB orientados ao hardware mais importantes são o "system" e "interface", ao seu lado figuram os módulos associados a alguns dos protocolos mais importantes da Internet.
Os objetos abaixo de "system" contêm informações gerais sobre o dispositivo que está sendo gerenciado. Todos os dispositivos gerenciados devem suportar os objetos de "system".
Prof. Fábio Nelson CECOMPColegiado de Engenharia de Computação
Slide 16
Rede de Computadores II
Prof. Fábio Nelson CECOMPColegiado de Engenharia de Computação
Slide 17
Rede de Computadores II
Módulo MIB - UDPMódulo MIB - UDP
Prof. Fábio Nelson CECOMPColegiado de Engenharia de Computação
Slide 18
Rede de Computadores II
Segurança e AdministraçãoSegurança e Administração
As aplicações SNMP consistem em uma Entidade gerenciadora, um gerador de comandos,
um receptor de notificações e um transmissor proxy. Agente, um elemento respondedor de comandos e
um orientador de notificações.
Prof. Fábio Nelson CECOMPColegiado de Engenharia de Computação
Slide 19
Rede de Computadores II
SNMPv3SNMPv3
Somente na SNMPv3 foi observado o item segurança, a sua segurança é conhecida como segurança baseada no usuário.Utiliza o conceito tradicional de um usuário, identificado por um "nome de usuário", ao qual as informações de segurança são associadas.O SNMPv3 oferece criptografia, autenticação, proteção contra ataques de reprodução e controle de acesso.
Prof. Fábio Nelson CECOMPColegiado de Engenharia de Computação
Slide 20
Rede de Computadores II
Processador e Aplicações SNMPv3Processador e Aplicações SNMPv3
Prof. Fábio Nelson CECOMPColegiado de Engenharia de Computação
Slide 21
Rede de Computadores II
SNMPv3SNMPv3
Criptografia As PDU's podem ser criptografadas usando o DES
(Data Encryption Standart), um sistema de chaves compartilhadas.
Autenticação Utiliza a técnica de MAC (Message Autentication
Code), utilizando uma chave secreta comum, para proteção contra adulteração.
Prof. Fábio Nelson CECOMPColegiado de Engenharia de Computação
Slide 22
Rede de Computadores II
SNMPv3SNMPv3
Proteção contra ataques de reprodução O receptor exige que o remetente inclua em cada
mensagem um valor baseado em um contador no receptor (reflete o tempo decorrido entre a última reinicialização do software de gerenciamento de rede do remetente e o número total de reinicializações desde a última vez que o software de gerenciamento de rede do receptor foi configurado). Estando o contador da mensagem de uma determinada margem de erro, ela é aceita para autenticação e/ou decriptação.
Prof. Fábio Nelson CECOMPColegiado de Engenharia de Computação
Slide 23
Rede de Computadores II
SNMPv3SNMPv3
Controle de acesso Controle de acesso baseado em visões que controla quais informações
de gerenciamento de rede podem ser consultadas e/ou definidas por quais usuários.
Uma entidade SNMP armazena informações sobre direitos de acesso e políticas em um banco de dados de configuração local (Local Configuration Datastore – LCD).
Partes do LCD são acessíveis elas próprias como objetos gerenciados, definidos na MIB de Configuração do Modelo de Controle de Acesso Baseado em Visões (View-Based Control Model Configuration) e portanto podem ser gerenciados e manipulados remotamente via SNMP.
Prof. Fábio Nelson CECOMPColegiado de Engenharia de Computação
Slide 24
Rede de Computadores II
RMON - MotivaçãoRMON - Motivação
O protocolo SNMP não é adequado para ambientes de redes corporativas e constituídas de diversas redes locais conectadas através de outra de longa distância.
Esses enlaces de rede de longa distância, por operarem a taxas de transmissão inferiores às LANs que a interconectam, passam a ter grande parte da sua banda de transmissão ocupada para informações de gerenciamento.
Uma solução encontrada para dirimir este problema foi o Remote MONitoring (RMON).
Prof. Fábio Nelson CECOMPColegiado de Engenharia de Computação
Slide 25
Rede de Computadores II
RMONRMON
RMON é a capacidade de gerenciamento remoto do SNMP. A especificação RMON é uma definição de uma MIB. Seu objetivo, contudo, é definir padrões de monitoração e interfaces para a comunicação entre agentes/gerentes SNMP.RMON dá ao gerente da rede a habilidade para monitorar sub-redes como um todo ao invés de apenas dispositivos individuais na sub-rede.
Prof. Fábio Nelson CECOMPColegiado de Engenharia de Computação
Slide 26
Rede de Computadores II
RMONRMON
O protocolo RMON oferece suporte à implementação de um sistema de gerenciamento distribuído.Cada elemento RMON tem, então, como tarefa, coletar, analisar, tratar e filtrar informações de gerenciamento da rede e apenas notificar à estação gerente os eventos significativos e situações de erro.
Prof. Fábio Nelson CECOMPColegiado de Engenharia de Computação
Slide 27
Rede de Computadores II
RMONRMON
No caso de existirem múltiplos gerentes, cada elemento RMON deve determinar quais informações de gerenciamento devem ser encaminhados para cada gerente.
Prof. Fábio Nelson CECOMPColegiado de Engenharia de Computação
Slide 28
Rede de Computadores II
RMON - ObjetivosRMON - Objetivos
Reduzir a quantidade de informações trocadas entre a rede local gerenciada e a estação gerente conectada a uma rede local remota.Possibilitar o gerenciamento contínuo de segmentos de redes locais, mesmo quando a comunicação entre o elemento RMON e a estação gerente estiver, temporariamente, interrompida.Permitir o gerenciamento pró-ativo da rede, diagnosticando e registrando eventos que possibilitem detectar o mau funcionamento e prever falhas que interrompam sua operação.
Prof. Fábio Nelson CECOMPColegiado de Engenharia de Computação
Slide 29
Rede de Computadores II
RMON - ObjetivosRMON - Objetivos
Detectar, registrar e informar à estação gerente condições de erro e eventos significativos da rede.Enviar informações de gerenciamento para múltiplas estações gerentes, permitindo, no caso de situações críticas de operação da rede gerenciada, que a causa da falha ou mau funcionamento da rede possa ser diagnosticada a partir de mais de uma estação gerente.
Prof. Fábio Nelson CECOMPColegiado de Engenharia de Computação
Slide 30
Rede de Computadores II
RMON 1RMON 1
O RMON1 opera somente na camada MAC oferecendo recursos ao administrador da rede para monitorar o tráfego e coletar informações e estatísticas da operação de um segmento de rede local, além de realizar o diagnóstico remoto de falhas e erros ocorridos no segmento de rede a partir de funcionalidades de um analisador de protocolo suportadas pelo correspondente elemento RMON.
Prof. Fábio Nelson CECOMPColegiado de Engenharia de Computação
Slide 31
Rede de Computadores II
RMON 1RMON 1
O RMON1 por trabalhar somente na camada MAC, somente apresenta estatísticas para tráfego agregado, porém não apresenta estatísticas para camadas diferentes de várias pilhas de protocolos (ex. IP, FTP, IPX). Por não serem capazes de monitorar a camada de rede, os dispositivos RMON1 não distinguem o tráfego originado através de um roteador, o que é uma grande deficiência.
Prof. Fábio Nelson CECOMPColegiado de Engenharia de Computação
Slide 32
Rede de Computadores II
RMONRMON
Prof. Fábio Nelson CECOMPColegiado de Engenharia de Computação
Slide 33
Rede de Computadores II
RMON2RMON2
O RMON2, por sua vez, opera no nível da camada de rede e camadas superiores, complementando portanto o RMON1, possibilitando: Coletar informações estatísticas. Monitorar a comunicação fim-a-fim . Monitorar o tráfego gerado por diferentes tipos de
aplicação.