SNMP: protocolos

SNMP se puede implementar usando

comunicaciones UDP o TCP, pero por norma general,
se suelen usar comunicaciones UDP en la mayora de
los casos. Con UDP, el protocolo SNMP se
implementa utilizando los puertos 161 y 162.

puerto 161 se utiliza para las transmisiones normales de

comando SNMP
puerto 162 se utiliza para los mensajes de tipo trap o
interrupcin.

SNMP 1
 SNMP: protocolos
SNMP proporciona un mecanismo para
acceder a los objetos de MIB de modo que
puedan ser consultados y modificados.

SNMP Define cinco tipos de mensajes de

intercambio entre gestor y agente que se
denominan PDUs (Unidad de datos de
Protocolo):
 SNMP
GET-REQUEST: Utilizado por la estacin de gestin para
obtener el valor de una o ms variables MIB del agente SNMP
de la estacin remota.

GET-NEXT-REQUEST: Es similar a la anterior, con la diferencia

que se obtiene el valor de una variable sin definir sta
explcitamente. De hecho se obtiene el valor de la variable
que sigue a la especificada dentro de la ordenacin de la MIB.

GET-RESPONSE: Es la respuesta del agente a una peticin del

gestor devolviendo el valor de una o ms variables.
 SNMP
SET-REQUEST: Constituye el mecanismo para que
el gestor modifique los valores de las variables
MIB de la estacin remota.

TRAP: Cuando se produce un determinado

evento o condicin en la estacin remota, el
agente enva un trap para notificarlo al gestor.
Dado que el mensaje se enva de forma sncrona
y en cualquier momento, la estacin de gestin
debe monitorizar la red en todo instante.
 Versin: que puede tomar los valores 0 o 1 para
SNMPV1 y SNMPv2 respectivamente.

Comunidad: define un nivel de autenticacin del

emisor del mensaje de forma que puede
determinarse si tiene permiso de modificacin e
incluso de lectura sobre las variables de la MIB.
 En cada sistema remoto se aplica una poltica de
acceso de manera que existan varios perfiles con
diferentes privilegios; para ello se crean distintas vistas
de la MIB con diferentes modos de acceso sobre los
objetos de esta: Slo lectura, Lectura y escritura,etc.

La asignacin de un modo de acceso a una

determinada vista de la MIB constituye El Perfil de
Comunidad y la poltica de acceso consiste en asignar a
cada comunidad definida en el agente un perfil.

De este modo, el gestor identificar una comunidad en

cada PDU enviada al agente y ste atender la peticin
en funcin de que la comunidad disponga de
privilegios para realizarla o no.
TIPO DE PDU
TIPOS DE TRAP
 Obtencin de informacin
MIB
ESTACIN NODO
ADMINISTRADORA ADMINISTRADO

?
UDP 161 UDP 161

AGENTE
Consulta/Solicitud de variable:
GET REQUEST
? GET NEXT REQUEST
Software:
NetFlow GET NEXT BULK (SNMP v.2)
CiscoWorks
HP OpenView Respuesta a solicitud:
GET RESPONSE

SNMP 10
 Modificacin de informacin
MIB
ESTACIN NODO
ADMINISTRADORA ADMINISTRADO
UDP 161
!
UDP 161

AGENTE
Modificacin de valor de variable:
SET REQUEST
!
Software:
NetFlow
CiscoWorks
EJEMPLO: Se puede usar para resetear el
HP OpenView
valor de los contadores, como el nmero
de paquetes procesados.

SNMP 11
 Generacin de interrupciones
MIB
ESTACIN NODO
ADMINISTRADORA ADMINISTRADO

UDP 162

AGENTE

Un Agente informa de un evento:

TRAP
Software:
NetFlow
CiscoWorks
EJEMPLO: El Agente de un router informa de
HP OpenView
que un enlace ha cado.

SNMP 12
 SNMP v2
Orientacin a redes distribuidas, gracias a la comunicacin
entre managers.

Ms eficiencia en trfico mediante mensajes de obtencin de

mltiples valores.

Seguridad mejorada basada en S-SNMP, pero al ser muy

compleja no se acept completamente.

Se permite crear y borrar filas en tablas

No es compatible con SNMPv1, pero se pueden emplear

agentes proxy. 13
MEJORAS Y ASPECTOS DE GESTIN DE
SNMPv2
 Protocolo SNMPv2 (I)
Dos nuevos campos:

InformRequest:
Facilita el intercambio de informacin entre
gestores.
El formato es el mismo que GetRequest.

Tipo PDU Request ID 0 0 Asignacin de variables

15
 Protocolo SNMPv2 (II)
GetBulkRequest
Facilita la transferencia eficiente de grandes bloques de
datos.

Tipo PDU Request ID Non-rep Max-reps Asignacin de variables

Adems el formato de las tramas traps han

cambiado del formato siendo igual que las
GetRequest para facilitar su procesamiento.

16
 ASPECTOS DE SEGURIDAD
Autenticacin: quin es el gestor, y cmo
verificarlo.

Acceso: permisos para cada agente sobre

determinados objetos.

17
 Secure SNMP (S-SNMP)
Servicios que proporciona:
Integridad de datos
Origen y auntenticacin de los datos
Confiabilidad de los datos

Elimina el concepto de Comunidad

Incluye el termino party.

18
 S-SNMP
Integridad de los datos:
Resumen o digest de los mensajes de 128 bits.

Autentificacin del origen de los datos

Resumen hallado con clave secreta.

Confiabilidad de los datos:

Encriptacin

19
 Protocolos asociados a S-SNMP
Protocolo de Digest-Authentification.
Se crea un resumen del mensaje mediante una
clave secreta usando el algoritmo MD5.
En recepcin realizan otra vez el resumen con una
copia de la clave local y se comprueba que
coinciden.
Protocolo de privacidad simtrico:
Permite un mtodo para distribuir la clave secreta
ms fcilmente.

20
SECURE SNMP

21
 SNMP v3
SNMP en su ltima versin (SNMPv3) data de
2002 y posee cambios significativos con
relacin a sus predecesores, sobre todo en
aspectos de seguridad, sin embargo no ha sido
mayoritariamente aceptado en la industria.
 SNMP v3
Seguridad del mensaje: se asegura de que el
mensaje no sea alterado mientras este en
trnsito.
Autenticacin: determina que el mensaje
provenga de una fuente valida.
Encriptado: encripta un paquete para evitar
que el contenido sea visto por una fuente no
autorizada.
 SNMPv3
El SNMP v3, proporciona tanto modelos de seguridad
como niveles de seguridad.

Un modelo de seguridad es una estrategia de

autenticacin creado para un usuario y el grupo en que
el usuario reside.

Nivel de seguridad es el nivel permitido de seguridad

dentro de un modelo de seguridad.

Una combinacin de un modelo de seguridad y un

nivel de seguridad determinar cual mecanismo ser
empleado en la tramitacin de un paquete SNMP.
 SNMPv3
Dos modelos:

Basado en Usuarios: USM (User-

based Security Model ).

De control de acceso basado en

vistas: VACM (View-based Access
Control Model).
25
 USM
Los objetivos del modelo de seguridad de
SNMP sobre la base de las amenazas en
entornos de gestin de red SNMP son:
Proveer la verificacin de cada mensaje SNMP
recibido que no haya sido modificado durante su
transmisin a travs de la red.
Provee la verificacin de la identidad del usuario
quien afirma haberlo generado.
Proporciona, cuando sea necesario, que el
contenido de cada unos de los mensajes SNMP
recibido este protegido de su divulgacin
 USM
Autenticacin:
Proporciona integridad de los datos y autenticacin de los
datos del origen
HMAC con MD5 o SHA-1.
Puntualidad:
Protege contra la retransmisin o retardo de tramas.
Privacidad:
Protege contra el acceso a la carga til del mensaje.
Se usa el modo de encadenamiento de cifrado en bloque
(CBC) de DES.

27
 USM
Descubrimiento:
Define los procedimientos mediante los cuales un gestor
SNMP obtiene informacin sobre otro gestor de SNMP.
Gestin de clave:
Define procedimientos para la generacin de claves,
actualizacin y uso
Campo msgSecurityParameters.
Soporta las funciones de autenticacin, puntualidad y
privacidad.

28
 VACM

El subsistema de control de acceso de un

mecanismo SNMP tiene la responsabilidad de
chequear un especfico tipo de acceso: lectura,
escritura notificacin de un objeto en particular.

Dentro del modelo de acceso basado en vistas se

encuentran los siguientes aspectos: control de
acceso, el almacn de datos de configuracin
global, los elementos del modelo y las polticas
de acceso.
 VACM
Se compone de:
Grupos:
Distintas categoras de gestores.
Nivel de seguridad:
Un agente puede exigir que un mensaje Set est autentificado.
Contextos:
Colecciones de objetos con diferentes polticas de acceso cada
uno.
Vistas de MIB:
Sobre el que se aplica el control de acceso
Poltica de acceso.

30
 VACM
El modelo de control de acceso basado en vistas
determina los derechos de acceso de un grupo,
representado por cero ms securitynames los cuales
tienen los mismos derechos de acceso.

Para un contexto en particular, identificado por

contextname perteneciente a un grupo identificado
por un groupname, se tiene acceso utilizando un
modelo y un nivel de seguridad especifico, que estn
dados por los grupos de derechos de acceso a travs de
las vistas read-view, write-view y notify-view.
FORMATO DEL MENSAJE

32
Protocolo SNMPv3 (I)

msgVersion

Alcance de la autenticacin
msgID
msgMaxSize
msgFlags
msgSecurityParameters
Context EngineID

Alcance de la
encriptacin
Context Name

PDU

33
 Protocolo SNMPv3 (II)
msgVersion, msgID: como en versiones 1 y 2
msgMaxSize: tamao mximo de mensaje (bytes) que soporta el emisor
msgFlags: contiene 3 flags en los bits menos significativos
reportableFlag: igual a 1 si hay que generar una PDU de respuesta a la recepcin de este
mensaje
privFlag: aplicar encriptacin al mensaje
authFlag: aplicar autentificacin al mensaje
Niveles de seguridad: noAuthNoPriv, authNoPriv, authPriv
msgSecurityModel:
identificador que indica qu modelo de seguridad emple el emisor al preparar el
mensaje
Valores reservados: 1 (SNMPv1), 2 (SNMPv2c), 3 (USM)
msgSecurityParameters: parmetros del subsistema de seguridad
contextEngineID:
identificador nico de la entidad SNMP que ha de procesar el mensaje entrante
contextName: nombre nico de un contexto en la entidad SNMP
Contexto: conjunto nombrado de instancias de objetos en la MIB local
PDU: una PDU SNMPv2

34
 ARQUITECTURA SNMP
Para funcionar SNMP consta de tres
elementos:

La base de Informacin de gestin (MIB)

La estructura de gestin de la informacin (SMI)
El protocolo de gestin de red simple (SNMP)