Professional Documents
Culture Documents
1
2 4 BASE DE INFORMACIN DE ADMINISTRACIN SNMP (MIB)
EGP (8); Los puertos comnmente utilizados para SNMP son los
siguientes:
Transmission (10);
Los paquetes utilizados para enviar consultas y respuestas
SNMP (11). SNMP poseen el siguiente formato:
Es importante destacar que la estructura de una MIB se Versin: Nmero de versin de protocolo que se es-
describe mediante el estndar Notacin Sintctica Abs- t utilizando (por ejemplo 0 para SNMPv1, 1 para
tracta 1 (Abstract Syntax Notation One). SNMPv2c, 2 para SNMPv2p y SNMPv2u, 3 para
SNMPv3, ...);
de gestin para internet basadas en TCP / IP. de nivel de madurez estndar del IETF, y fue considerado
RFC 1066 - Base de informacin de gestin para la el de facto estndar SNMPv2. Es tambin estaba obsoleto
gestin de la red de internet basadas en TCP / IP. despus, por SNMPv3.
RFC 1067 - Un protocolo simple de administracin de Simple de usuario basada en la versin Network Manage-
red. ment Protocol 2, o SNMPv2u, se dene en el RFC 1909
- RFC 1910 . Este es un compromiso que pretende ofre-
Estos protocolos estaban obsoletos por: cer una mayor seguridad que SNMPv1, pero sin incurrir
RFC 1155 - Estructura e identicacin de informacin en la alta complejidad de SNMPv2. Una variante de este
de gestin para internet basadas en TCP / IP. se comercializ como SNMP v2 *, y el mecanismo fue
RFC 1156 - Base de informacin de gestin para la nalmente adoptado como uno de los dos marcos de se-
gestin de la red de internet basadas en TCP / IP. guridad de SNMP v3.
RFC 1157 - Un protocolo simple de administracin de
red.
7.2.1 SNMPv1 y SNMPv2c interoperabilidad
Despus de un corto tiempo, RFC 1156 (MIB-1) fue re- Tal como est actualmente especicada, SNMPv2c es
emplazada por la ms habitual: incompatible con SNMPv1 en dos reas clave: los for-
RFC 1213 - Versin 2 de la base de informacin de ges- matos de mensajes y operaciones de protocolo. Men-
tin (MIB-2) para la gestin de la red de internet basadas sajes SNMPv2c utilizan diferentes cabecera y la uni-
en TCP / IP. dad de datos de protocolo (PDU) formatos de mensajes
Versin 1 ha sido criticado por su falta de seguridad. La SNMPv1. SNMPv2c tambin utiliza dos operaciones de
autenticacin de los clientes se realiza slo por una ca- protocolo que no estn especicados en SNMPv1. Ade-
dena de comunidad, en efecto, un tipo de contrasea, la ms, RFC 2576 dene dos posibles estrategias de coexis-
cual transmite en texto plano. El diseo de los aos 80 tencia SNMPv1/v2c: agentes de proxy y sistemas de ges-
de SNMPv1 fue realizado por un grupo de colaborado- tin de red bilinges.
res que vieron que el producto patrocinado ocialmente
(HEMS/CMIS/CMIP) por OSI / IETF / NSF (National
Science Foundation) eran tanto inaplicable en las plata- 7.2.2 Agentes de proxy
formas informticas de la poca, as como potencialmen-
te inviable. SNMP se aprob basndose en la creencia de Un agente SNMPv2 puede actuar como un agente proxy
que se trataba de un Protocolo provisional necesario para en nombre de dispositivos SNMPv1 administrados, de la
la toma de medidas del despliegue a gran escala de In- siguiente manera: Un SNMPv2 NMS emite un coman-
ternet y su comercializacin. En esos tiempos, estndares do destinado a un agente SNMPv1. El NMS enva el
de internet de autenticacin y seguridad eran un sueo, a mensaje SNMP para el agente proxy SNMPv2. El agen-
la vez desalentado por los grupos de diseo enfocados en te proxy reenva Cmo, GetNext y Set mensajes al agente
protocolos. SNMPv1 sin cambios. Mensajes GetBulk son conver-
tidas por el agente proxy de GetNext mensajes y luego
se envan al agente SNMPv1. El agente proxy mapas de
7.2 Versin 2 mensajes de captura SNMPv1 a SNMPv2 mensajes de
captura y luego las enva al NMS.
SNMPv2 ( RFC 1441 - RFC 1452 ), revisa la versin
1 e incluye mejoras en las reas de comunicaciones de
7.2.3 Sistema de gestin de la red bilinge
rendimiento, la seguridad, condencialidad e-manager-
a gerente. Introdujo GetBulkRequest, una alternativa a
Sistemas de gestin de red SNMPv2 Bilinges soportan
GetNextRequests iterativos para recuperar grandes can-
tanto SNMPv1 y SNMPv2. Para apoyar este entorno de
tidades de datos de gestin en una sola solicitud. Sin em-
gestin dual, una aplicacin para la gestin del NMS bi-
bargo, el nuevo sistema de seguridad basado en partidos
linges debe ponerse en contacto con un agente. El NMS
en SNMPv2, visto por muchos como demasiado comple-
examina la informacin almacenada en una base de da-
jo, no fue ampliamente aceptada. Esta versin de SNMP
tos local para determinar si el agente es compatible con
alcanzado el nivel de madurez de Norma, pero se consi-
SNMPv1 o SNMPv2. Sobre la base de la informacin en
der obsoleto por las versiones posteriores.
la base de datos, el NMS se comunica con el agente uti-
Simple basada en la comunidad la versin Network Ma- lizando la versin adecuada de SNMP.
nagement Protocol 2, o SNMPv2c, se dene en el RFC
1901 - RFC 1908 . SNMPv2c comprende SNMPv2 sin
el nuevo modelo de seguridad de SNMP v2 controversial, 7.3 Versin 3
utilizando en su lugar el sistema de seguridad basado en la
simple comunidad de SNMPv1. Esta versin es una de las Aunque SNMPv3 no realiza cambios en el protocolo,
relativamente pocas normas para cumplir con el proyecto aparte de la adicin de seguridad criptogrca, da la im-
6 7 DESARROLLO Y USO
presin de ser muy diferente debido a las nuevas conven- La comunicacin con la autenticacin y sin privaci-
ciones textuales, los conceptos y la terminologa. dad (authNoPriv).
SNMPv3 aadi principalmente la seguridad y mejoras
La comunicacin con la autenticacin y la privaci-
de conguracin remota SNMP. Debido a la falta de se-
dad (authpriv).
guridad de las versiones previas de SNMP, los adminis-
tradores de red usaban otros medios, tales como SSH para Denicin de diferentes protocolos de autenticacin
la conguracin, contabilidad y gestin de fallos. y privacidad - Actualmente, los protocolos de auten-
SNMPv3 se ocupa de cuestiones relacionadas con el des- ticacin MD5 y SHA y los protocolos de privaci-
pliegue a gran escala de SNMP, contabilidad y gestin dad y CBC_DES CFB_AES_128 se admiten en la
de fallos. Actualmente, SNMP se utiliza principalmente USM.
para el control y la gestin del rendimiento.
Denicin de un procedimiento de descubrimiento
SNMPv3 dene una versin segura de SNMP y tambin - Para encontrar el snmpEngineID de una entidad
facilita la conguracin remota de las entidades SNMP. SNMP para una direccin de transporte comn y
SNMPv3 ofrece un entorno seguro para la gestin de sis- direccin de punto nal de transporte.
temas que abarcan los siguientes:
Denicin del procedimiento de sincronizacin de
Identicacin de las entidades SNMP para facilitar hora - Para facilitar la comunicacin autenticado en-
la comunicacin slo entre entidades SNMP cono- tre las entidades SNMP.
cidas - Cada entidad SNMP tiene un identicador
llamado snmpEngineID y comunicacin SNMP es Denicin del marco MIB SNMP - Para facilitar la
posible slo si la entidad SNMP conoce la identi- conguracin remota y administracin de la entidad
dad de su interlocutor. Trampas y noticaciones son SNMP.
excepciones a esta regla.
Denicin de las MIB USM - Para facilitar la con-
Soporte para los modelos de seguridad - Un modelo guracin remota y administracin del mdulo de
de seguridad puede denir la poltica de seguridad seguridad.
dentro de un dominio administrativo o una intranet.
SNMPv3 contiene las especicaciones para USM. Denicin de las MIB VACM - Para facilitar la con-
guracin remota y administracin del mdulo de
control de acceso.
Denicin de los objetivos de seguridad, donde los obje-
tivos del servicio de autenticacin de mensajes incluyen
la proteccin contra lo siguiente: El SNMPv3 se centra en dos aspectos principales, a sa-
ber, la seguridad y la administracin. El aspecto de segu-
Modicacin de la informacin - Proteccin contra ridad se dirige, ofreciendo tanto una slida autenticacin
algunos no autorizados entidad que altera SNMP en y cifrado de datos para la privacidad. El aspecto de la
trnsito mensajes generados por un principal auto- administracin se centra en dos partes, a saber los origi-
rizado. nadores de noticacin y agentes proxy. SNMPv3 dene
una serie de capacidades relacionadas con la seguridad.
Masquerade - Proteccin contra intentar operacio- Las especicaciones iniciales denen la USM y VACM,
nes de gestin no autorizadas por algn director al que ms tarde fueron seguidos por un modelo de seguri-
asumir la identidad de otra principal que cuenta con dad de transporte que proporciona apoyo a travs de SSH
las autorizaciones correspondientes. y SNMPv3 SNMPv3 en TLS y DTLS.
Divulgacin - Proteccin contra escuchas en los in- VACM (Modelo de Control de Acceso basado en
tercambios entre los motores de SNMP. Vista) determina si se permite a un director dado,
acceso a un objeto MIB particular, para realizar fun-
ciones especcas y opera en el nivel de PDU.
Especicacin para USM - USM (Modelo de seguridad
basada en el usuario) consiste en la denicin general de TSM (Modo de Seguridad del Transporte) propor-
los siguientes mecanismos de comunicacin disponibles: ciona un mtodo para la autenticacin y el cifrado de
mensajes a travs de los canales externos de seguri-
Comunicacin sin autenticacin y privacidad dad. Dos transportes, SSH y TLS/DTLS, han de-
(noAuthNoPriv). nido que hacen uso de la especicacin de TSM.
7
La seguridad ha sido la mayor debilidad de SNMP desde un identicador de disco especco sea diferente entre
el principio. La autenticacin en las versiones de SNMP plataformas.
1 y 2 consiste slo en una contrasea (cadena de comu-
nidad) enviada en texto claro entre un gerente y agente.
Cada mensaje SNMPv3 contiene los parmetros de segu-
ridad que estn codicados como una cadena de octetos. 9 Indexacin de Recursos
El signicado de estos parmetros de seguridad depende
del modelo de seguridad que se utiliza. SNMPv3 propor- Los dispositivos modulares pueden aumentar o disminuir
ciona caractersticas de seguridad importantes: sus ndices de SNMP (tambin conocidos como instan-
cias) cada vez que se agrega o quita hardware en una ra-
Condencialidad - El cifrado de paquetes para im- nura de forma dinmica. Aunque esto es ms comn con
pedir la escucha por una fuente no autorizada. el hardware, las interfaces virtuales tienen el mismo efec-
to. Los valores de ndice se suelen asignar en el momento
Integridad - Integridad de los mensajes para asegu- del arranque y permanecen jos hasta el siguiente reini-
rar que un paquete no ha sido alterado durante el cio. Los ndices del hardware o de las entidades virtuales
trnsito que incluye un mecanismo opcional por re- aadidas mientras el dispositivo est en marcha pueden
peticin de paquetes. ser asignados al nal de la gama existente y posiblemente
ser reasignados en el siguiente reinicio. Las herramientas
Autenticacin - para comprobar que el mensaje es de inventario y monitorizacin de redes necesitan tener
de una fuente vlida. capacidad de actualizacin del dispositivo reaccionando
adecuadamente al trap de arranque en fro en el reinicio
A partir de 2004 el IETF reconoce el Protocolo de Ges- del dispositivo para evitar la corrupcin y la falta de coin-
tin de Red Simple versin 3 como se dene en el RFC cidencia de los datos sondeados.
3411 - RFC 3418 (tambin conocido como STD0062) Las asignaciones de ndice para una instancia de dispo-
como la versin estndar actual de SNMP. El IETF ha sitivo SNMP pueden cambiar de sondeo a sondeo sobre
designado SNMPv3 un completo estndar de Internet, el todo como resultado de los cambios iniciados por el ad-
ms alto nivel de madurez de un RFC. Considera ver- ministrador del sistema. Si se necesita informacin pa-
siones anteriores sean obsoletos (designndolos diversa- ra una interfaz en particular, es imprescindible determi-
mente Histrico u Obsoleto). En la prctica, las im- nar el ndice de SNMP antes de recuperar los datos ne-
plementaciones de SNMP a menudo soportan mltiples cesarios. Generalmente, una tabla de descripcin como
versiones: Tpicamente SNMPv1, SNMPv2c y SNMPv3. ifDescr asignar un nombre de usuario como serie 0/1
(Blade 0, puerto 1) a un ndice SNMP.
8 Dicultades de implementacin
10 Implicaciones de Seguridad
Las implementaciones del protocolo SNMP pueden va-
riar entre diferentes fabricantes. En algunos casos, el
SNMP es incorporado como una caracterstica adicional SNMP versiones 1 y 2c estn sujetos a la deteccin
en el sistema y no como un elemento fundamental del de paquetes de la cadena de comunidad borre el tex-
mismo. Algunos fabricantes tienden a ampliar en exceso to del trco de red, ya que no implementan el ci-
su interfaz de lnea de comandos (CLI) propietaria para fradoss.
congurar y controlar sus sistemas.
Todas las versiones de SNMP estn sujetos a la fuer-
La estructura tipo rbol aparentemente simple y el inde- za bruta y ataques de diccionario para adivinar las
xado lineal del SNMP pueden no ser interpretados su- cadenas de comunidad, cadenas de autenticacin,
cientemente bien por las estructuras de datos que son las claves de autenticacin, cadenas de cifrado o cla-
elementos del diseo bsico de una plataforma. En conse- ves de cifrado, ya que no implementan un protocolo
cuencia, el procesamiento de consultas SNMP en ciertos de enlace de desafo-respuesta .
conjuntos de dato pueden exigir ms uso del CPU del ne-
cesario. Por ejemplo, se crearan tablas de enrutamiento Aunque SNMP funciona sobre TCP y otros protoco-
ms grandes de lo normal, como BGP y IGP. los, se utiliza con mayor frecuencia sobre UDP que
Algunos valores de SNMP (como los valores tabulares) est sin conexin y vulnerables a la suplantacin de
requieren conocer especcamente los esquemas de los IP ataques. Por lo tanto, todas las versiones estn su-
ndices, los cuales no son necesariamente consistentes en jetos a pasar por las listas de acceso de dispositivos
todas las plataformas. Esto puede causar problemas de que podran haber sido implementadas para restrin-
correlacin entre los valores de diferentes equipos que no gir el acceso SNMP, aunque otros mecanismos de
usan el mismo esquema en sus ndices (por ejemplo, al seguridad de SNMPv3 debe impedir un ataque exi-
recopilar mtricas sobre la utilizacin del disco cuando toso.
8 14 ENLACES EXTERNOS
Potente conguracin de SNMP (escritura) capaci- RFC 1155 (STD 16) - Estructura e Identicacin de
dades no estn siendo plenamente utilizados por mu- Gestin de Informacin para los Internets basadas
chos vendedores, en parte debido a la falta de segu- en TCP / IP-
ridad en las versiones de SNMP SNMPv3 antes y
en parte debido a que muchos dispositivos, simple- RFC 1156 (H) - Gestin de la Informacin Base pa-
mente no son capaces de ser congurado a travs de ra la administracin de red de internets basadas en
cambios en los objetos MIB individuales. TCP / IP
SNMP encabeza la lista del Instituto SANS Comn RFC 1157 (H) - Un protocolo simple de administra-
Defecto Problemas de conguracin con el tema de cin de redes (SNMP)
las cadenas de comunidad SNMP por defecto esta- RFC 1213 (STD 17) - Gestin de la Informacin
blecidos en 'pblico' y 'privado' y era el nmero diez Base para la administracin de red de TCP / IP ba-
en la escala SANS Top 10 amenazas de seguridad de sados en internets: MIB-II
Internet ms crticos para el ao 2000.
RFC 1452 (Informativo) - La convivencia entre la
versin 1 y la versin 2 del Marco de gestin de la
11 Descubrimiento Automtico Red de Internet estndar (obsoleto por RFC 1908 )
15.2 Imgenes
Archivo:Imagen2.JPG Fuente: https://upload.wikimedia.org/wikipedia/commons/3/32/Imagen2.JPG Licencia: Public domain Colabora-
dores: No machine-readable source provided. Own work assumed (based on copyright claims). Artista original: No machine-readable author
provided. Jfvarela assumed (based on copyright claims).
Archivo:Translation_arrow.svg Fuente: https://upload.wikimedia.org/wikipedia/commons/2/2a/Translation_arrow.svg Licencia: CC-
BY-SA-3.0 Colaboradores: Trabajo propio Artista original: Jesse Burgheimer