Rede de Computadores IIfabio.nelson/arq/redes2/redes2_aula... · 2010-08-23 · Controle de acesso baseado em visões que controla quais informações de gerenciamento de rede podem

Prof. Fábio Nelson CECOMPColegiado de Engenharia de Computação

Slide 1

Rede de Computadores II



Slide 2


SNMPv1SNMPv1Limitações do SNMPv1 Aspectos que envolvem segurança Ineficiência na recuperação de tabelas Restrito as redes IP Problemas com SMI (Structure Management

Information)


Slide 3


SNMPv2SNMPv2 O SNMPv2 foi desenvolvido com base nas especificações do Secure SNMP e do SMP (Simple Management Protocol).

Seu propósito era remover muitas das deficiências do SNMP e aumentar sua aplicabilidade para incluir redes baseadas no modelo OSI bem como no modelo TCP/IP. Contudo, só as duas primeiras deficiências citadas acima foram solucionadas por esta versão.


Slide 4


SNMPv2 - CaracterísticasSNMPv2 - CaracterísticasSuporte a outros protocolos de transporte (ex.: AppleTalk e IPX) Novas PDUs

InformRequest

GetBulkRequest

SNMPv2-Trap

SMI Novos tipos de dados Novas macros Novas convenções

textuais

Alterações na MIB Inclusão de dois novos

gruposSecurity

SNMPv2


Slide 5


SNMPv3SNMPv3É uma versão do SNMP que apresenta uma proposta de solução para o problema de segurança encontrado nas versões anteriores do protocolo.


Slide 6


SNMPv3SNMPv3As propriedades de segurança abordadas são: Autenticação

Permite a um agente verificar se uma solicitação está vindo de um gerente autorizado e a integridade do seu conteúdo.

CriptografiaPermite gerentes e agentes a criptografarem mensagens para evitar invasão de terceiros.

Controle de AcessoTorna possível configurar agentes para oferecerem diferentes níveis de acesso a diferentes gerentes.


Slide 7


SNMPv3 - CaracterísticasSNMPv3 - CaracterísticasIntegração e modularidade

Segurança Autenticação, privacidade e controle de acesso Modelo SNMPv3 de segurança

USM (User-based Security Model) Esquemas de autenticação e privacidade baseados chaves

secretas. Algoritmos

VACM (View-based Access Control Model) O controle de acesso trata de quem pode acessar os

componentes de gerenciamento das redes e o que pode ser acessado


Slide 8


SMISMIEstrutura de Informações de Gerenciamento – Structure of Management Information. É a linguagem usada para definir as informações de

gerenciamento que residem em uma entidade gerenciada de rede.

Essa linguagem é necessária para assegurar que a sintaxe e a semântica dos dados de gerenciamento de rede sejam bem definidas e não apresentem ambiguidade.


Slide 9


SMISMIBaseada na linguagem de definição de objetos ASN.1 (Abstract Syntax Notation One – Notação de Sintaxe Abstrata 1), mas foram tantos tipos de dados específicos das SMI acrescentados que esta teve de ser considerada uma linguagem de definição de dados.


Slide 10



Slide 11


SMISMIAlém de objetos escalares, também é possível impor uma estrutura tabular sobre um conjunto ordenado de objetos MIB.A SMI fornece também construções de linguagens de nível mais alto.


Slide 12


MIBMIB

Base de Informações de Gerenciamento – Management Information Base.

Banco virtual de informações que guarda objetos gerenciados cujos valores, coletivamente, refletem o estado atual da rede.

Os valores dos objetos podem ser consultados e/ou definidos por uma entidade gerenciadora por meio do envio de mensagens SNMP ao agente que está rodando em um dispositivo gerenciado em nome da entidade gerenciadora.


Slide 13


MIBMIB

Objetos MIB relacionados são reunidos em módulos MIB.

A IETF vem padronizando os módulos MIB associados aos equipamentos de rede. E utilizou para tanto uma estrutura padronizada de identificação de objetos (nomeação) que já tinha sido publicada pela ISO (ANS.1). Os objetos são nomeados hierarquicamente.


Slide 14



Slide 15


Módulos MIBMódulos MIB

Alguns dos módulos MIB orientados ao hardware mais importantes são o "system" e "interface", ao seu lado figuram os módulos associados a alguns dos protocolos mais importantes da Internet.

Os objetos abaixo de "system" contêm informações gerais sobre o dispositivo que está sendo gerenciado. Todos os dispositivos gerenciados devem suportar os objetos de "system".


Slide 16



Slide 17


Módulo MIB - UDPMódulo MIB - UDP


Slide 18


Segurança e AdministraçãoSegurança e Administração

As aplicações SNMP consistem em uma Entidade gerenciadora, um gerador de comandos,

um receptor de notificações e um transmissor proxy. Agente, um elemento respondedor de comandos e

um orientador de notificações.


Slide 19


SNMPv3SNMPv3

Somente na SNMPv3 foi observado o item segurança, a sua segurança é conhecida como segurança baseada no usuário.Utiliza o conceito tradicional de um usuário, identificado por um "nome de usuário", ao qual as informações de segurança são associadas.O SNMPv3 oferece criptografia, autenticação, proteção contra ataques de reprodução e controle de acesso.


Slide 20


Processador e Aplicações SNMPv3Processador e Aplicações SNMPv3


Slide 21


SNMPv3SNMPv3

Criptografia As PDU's podem ser criptografadas usando o DES

(Data Encryption Standart), um sistema de chaves compartilhadas.

Autenticação Utiliza a técnica de MAC (Message Autentication

Code), utilizando uma chave secreta comum, para proteção contra adulteração.


Slide 22


SNMPv3SNMPv3

Proteção contra ataques de reprodução O receptor exige que o remetente inclua em cada

mensagem um valor baseado em um contador no receptor (reflete o tempo decorrido entre a última reinicialização do software de gerenciamento de rede do remetente e o número total de reinicializações desde a última vez que o software de gerenciamento de rede do receptor foi configurado). Estando o contador da mensagem de uma determinada margem de erro, ela é aceita para autenticação e/ou decriptação.


Slide 23


SNMPv3SNMPv3

Controle de acesso Controle de acesso baseado em visões que controla quais informações

de gerenciamento de rede podem ser consultadas e/ou definidas por quais usuários.

Uma entidade SNMP armazena informações sobre direitos de acesso e políticas em um banco de dados de configuração local (Local Configuration Datastore – LCD).

Partes do LCD são acessíveis elas próprias como objetos gerenciados, definidos na MIB de Configuração do Modelo de Controle de Acesso Baseado em Visões (View-Based Control Model Configuration) e portanto podem ser gerenciados e manipulados remotamente via SNMP.


Slide 24


RMON - MotivaçãoRMON - Motivação

O protocolo SNMP não é adequado para ambientes de redes corporativas e constituídas de diversas redes locais conectadas através de outra de longa distância.

Esses enlaces de rede de longa distância, por operarem a taxas de transmissão inferiores às LANs que a interconectam, passam a ter grande parte da sua banda de transmissão ocupada para informações de gerenciamento.

Uma solução encontrada para dirimir este problema foi o Remote MONitoring (RMON).


Slide 25


RMONRMON

RMON é a capacidade de gerenciamento remoto do SNMP. A especificação RMON é uma definição de uma MIB. Seu objetivo, contudo, é definir padrões de monitoração e interfaces para a comunicação entre agentes/gerentes SNMP.RMON dá ao gerente da rede a habilidade para monitorar sub-redes como um todo ao invés de apenas dispositivos individuais na sub-rede.


Slide 26


RMONRMON

O protocolo RMON oferece suporte à implementação de um sistema de gerenciamento distribuído.Cada elemento RMON tem, então, como tarefa, coletar, analisar, tratar e filtrar informações de gerenciamento da rede e apenas notificar à estação gerente os eventos significativos e situações de erro.


Slide 27


RMONRMON

No caso de existirem múltiplos gerentes, cada elemento RMON deve determinar quais informações de gerenciamento devem ser encaminhados para cada gerente.


Slide 28


RMON - ObjetivosRMON - Objetivos

Reduzir a quantidade de informações trocadas entre a rede local gerenciada e a estação gerente conectada a uma rede local remota.Possibilitar o gerenciamento contínuo de segmentos de redes locais, mesmo quando a comunicação entre o elemento RMON e a estação gerente estiver, temporariamente, interrompida.Permitir o gerenciamento pró-ativo da rede, diagnosticando e registrando eventos que possibilitem detectar o mau funcionamento e prever falhas que interrompam sua operação.


Slide 29


RMON - ObjetivosRMON - Objetivos

Detectar, registrar e informar à estação gerente condições de erro e eventos significativos da rede.Enviar informações de gerenciamento para múltiplas estações gerentes, permitindo, no caso de situações críticas de operação da rede gerenciada, que a causa da falha ou mau funcionamento da rede possa ser diagnosticada a partir de mais de uma estação gerente.


Slide 30


RMON 1RMON 1

O RMON1 opera somente na camada MAC oferecendo recursos ao administrador da rede para monitorar o tráfego e coletar informações e estatísticas da operação de um segmento de rede local, além de realizar o diagnóstico remoto de falhas e erros ocorridos no segmento de rede a partir de funcionalidades de um analisador de protocolo suportadas pelo correspondente elemento RMON.


Slide 31


RMON 1RMON 1

O RMON1 por trabalhar somente na camada MAC, somente apresenta estatísticas para tráfego agregado, porém não apresenta estatísticas para camadas diferentes de várias pilhas de protocolos (ex. IP, FTP, IPX). Por não serem capazes de monitorar a camada de rede, os dispositivos RMON1 não distinguem o tráfego originado através de um roteador, o que é uma grande deficiência.


Slide 32


RMONRMON


Slide 33


RMON2RMON2

O RMON2, por sua vez, opera no nível da camada de rede e camadas superiores, complementando portanto o RMON1, possibilitando: Coletar informações estatísticas. Monitorar a comunicação fim-a-fim . Monitorar o tráfego gerado por diferentes tipos de

aplicação.

Documents

Rede de Computadores IIfabio.nelson/arq/redes2/redes2_aula... · 2010-08-23 · Controle de acesso baseado em visões que controla quais informações de gerenciamento de rede podem