mgmt-proto-snmp-v4 [Schreibgeschützt]
Werbung
Netzwerk Management Protokolle SNMP, RMON, CMIP Version 4.0 vom 15. Juli 2005 Prof. Dr. Clemens Cap Lehrstuhl Informations- und Kommunikationsdienste Universität Rostock SNMP Grundlegendes Model für Netzwerk-Management Managed Objects (MO) l Einzelne verwaltetes Objekt, typisch: Einzelne Variable eines Netzwerk-Geräts l Bsp: Anzahl versandter Pakete in einem Router Managed Network Entity (ME) l Stellt Informationen über mehrere verwaltete Objekte zur Verfügung Management Agent (MA) l Fordert Informationen über MOs von den MEs an l Versorgt damit die Management Anwendung Management Information Base (MIB) l Definiert Arten und Typ der MOs MIB: Management Information Base MIB: Management Information Base MIB 2 Knoten System Interfaces AT IP ICMP TCP UDP EGP Transmission SNMP Grundlegende Systeminfo Netzwerk Schnittstelle Address Translation IP Protokoll ICMP Protokoll TCP Protokoll UDP Protokoll EGP Protokoll Schnittstellen Info SNMP intern MIB2, Beispiel System MIB2, Beispiel Interface MIB2, Beispiel Internet Protocol MIB2, Beispiel TCP Ankoppelung an untere Schichten Abstrakte Anwendung APDUs Encoding Presentation Layer 6 Bytes Transport Dienste Layer 1 - 4 Anwendung API Calls API Library Socket Calls Socket API Layer 4 SNMP Kommunikation Konzentration im Manager Konzentration im Master Agent PDU Struktur von SNMP PDU Struktur von SNMP SNMP PDUs (1) Protocol Data Units (PDUs) l Definieren als APDUs die Semantik der Anwendung auf Schicht 7 l Ergeben als kodierte PDUs die Pakete für Schicht 4 Ausnahme: Stimmt nicht bei Transportverschlüsselung l Bestimmen maßgeblich den Aufbau der API GetRequest l Manager fordert Wert einer Variablen zur vorgegebenen Adresse an Set-Request l Manager setzt den Wert einer Variablen l Kann operativen Nebeneffekt in der managed Komponente auslösen SNMP PDUs (2) GetNextRequest l Manager fordert nächsten Wert einer Variablen an l Bezieht sich relativ zur CWV (current working variable) l Erlaubt Durchlaufen der MIB Struktur ohne vorherige Kenntnis der Struktur l Typisches Bsp: Abfrage einer Routing Tabelle ohne Kenntnis über Größe Get-Response l Antwort auf ein Get / Set / Get-Next Request einholen Trap l Vom Agent unaufgefordert an den Manager gesandt l Keine Empfangsbestätigung vorgesehen ! Beispiele für Traps coldStart: Agent wird nach Konfigurationsänderung neu gestarte warmStart: Agent wird ohne Konfigurationsänderung neu gestartet linkDown: Eine Netzwerkschnittstelle ist nicht mehr verfügbar linkUp: Eine Netzwerkschnittstelle ist wieder verfügbar authenticationFailure: Eine SNMP Nachricht enthielt eine falsche Community egpNeighborLoss: Knoten, mit dem via EGP Routing Info ausgetauscht wurde ist nicht mehr verfügbar enterpriseSpecific: Spezifische Trap eines Herstellers Ablauf eines Get SNMP Kommunikation get, set Manager 161 Agent 162 trap UDP basierte Kommunikation Asynchrones Frage / Antwort Protokoll Ablauf eines Set Ablauf eines Set mit Seiteneffekt Ablauf einer Trap SNMP Community Community l Gruppe aus SNMP-Agenten und Managern l Identifikation durch Community Namen l Bei jeder Operation Übertragung des Community Namen und Prüfung durch den Agenten l Default Wert ist „public“ Problem: l Geht im Klartext über das Netz l Kann leicht gefälscht werden l Kann leicht gelesen werden SNMP Sicherheit Bedeutung l SNMP ist betrieblich zentrales Protokoll (Management …) SNMP v1 l Keinerlei Sicherheitskonzept (Community wird im Klartext übertragen !) l Gefälschte Requests und Responses möglich l Replay Attacken möglich SNMPv2 SNMPsec l Variante von SNMPv1 mit Sicherheitsmechanismen SNMPv2 l neue Operationen (get-bulk, inform), neue Datentypen, neue MIB l TCP Unterstützung l Nicht zu SNMPv1 rückwärtskompatibel nicht überzeugend SNMPv2c l SNMPv2 ohne Mechanismen der Absicherung (da nicht überzeugend) SNMPv2u, SNMPv2* l 2 weitere, zeitgleiche Sicherheitserweiterungen von SNMPv1 SNMPv3 SNMPv3 = SNMPv2 + Administration + Security PDU Payload ist SNMPv1 rückwärtskompatibel 2 Sicherheitsmodelle verfügbar l USM: User-based Security Model l VACM: View-based Access Control Model SNMPv3 / USM Benutzer Benutzername, Authentisierungs-Schlüssel, Privater Schlüssel Timeliness Module l Schützt gegen replay Attacken und mutwilliger Verzögerung von Nachrichten Authentication Module l Schützt Integrität der Nachrichten und authentisiert die Kommunikationspartner l Einsatz von Hash-Funktionen (SHA-1 und MD5) Privacy Module l Schützt Vertraulichkeit der Nachrichten durch Verschlüsselung (CBC-DES) SNMPv3 / VACM VACM kümmert sich um Zugriffskontrolle Gruppen: Fassen User mit identischen Rechten zusammen Ansichten: Fassen Teilbäume der MIB zusammen SNMP Implementierungen SNIPS: System & Network Integrated Polling Software Scotty SunNet Manager HP OpenView IBM NetView HP OpenView HP OpenView HP Openview Scotty Open Source Implementation von SNMP Sammlung von Tools mit Visualisierung unter Tcl l IP Discovery l IP Troubleshooter l IP Monitoring l MIB Browser l MIB Monitor Scotty: Discovery Tool Scotty: IP Trouble Report Scotty: Großes Netz Systemmanagement im Rostocker Opennet Offenes Bürgernetz Basiert auf WLAN Wenige Einspeisungspunkte in das Internet Weiterverteilung über WLAN Routing: OLSR Topologie des OpenNet (Wired Nodes) Topologie des OpenNet (Wireless Nodes) Verkehrsaufkommen OpenNet Berlin WLAN Hain RMON Erweiterung von SNMP l Unabhängige Überwachung des Netzwerkverkehrs aus der Entfernung Remote Datenkonzentration l Erfasst statistische Werte l Sendet Warnungen, wenn statistische Werte Schwellwert überschreiten l Entsprechende Erweiterung der MIB Vorteile von RMON Offline Operation l Auswertung von Daten auch ohne Online Verbindung zum Manager l Erfassung des Status auch (und gerade) in der Fehlersituation Preemptives Monitoring l Monitor wertet laufend aus und informiert periodisch über Ereignisse l Muß Monitor nicht periodisch abfragen (wie bei SNMP) Mehrwert-Daten l Verarbeitung der Meßwerte gestattet zusätzliche Informationen Mehrere Manager l Monitor kann von mehreren Managern gleichzeitig genutzt werden RMON-1 MIB (1) Statistik Gruppe l Auslastungs- und Fehlerstatistiken für angeschlossene Interfaces History Gruppe l Kopiert periodisch Werte der Statistik-Gruppe in einen Ringpuffer Alarm Gruppe l Überwacht Grenzüberschreitung von Werten vom Typ Integer l Grenzüberschreitung nach oben / nach unten sowie absoluter Wert / relativer Wert Host Gruppe l Erfaßt beobachteten Verkehr abhängig von der MAC Adresse HostTopN Gruppe l Wertet Einträge in der Host Gruppe aus RMON1 – MIB (2) Matrix Gruppe l Enthält Daten, die zu Paaren von MAC Adressen erfaßt werden Filter Gruppe l Filterausdrücke analysieren Header und Body der Pakete l Filterausdruck bestimmt, welche Pakete gezählt werden l Filterausdruck bestimmt, welche Pakete ein Ereignis erzeugen Capture Gruppe l Filterausdruck bestimmt, welche Pakete gespeichert werden Management by Delegation Traditionell: Daten werden zu den Anwendungen gebracht l Bsp: SNMP transportiert MIB Daten zur Mgmt Anwendung Remote: Vordefinierte remote Anwendungen bearbeiten Daten l Bsp: RMON Funktionen bearbeiten die Daten Delegation: Anwendungen werden zu den Daten gebracht l Bsp: JASMIN reagiert autonom auf Mgmt Ereignisse l JASMIN: Java Script MIB Implementation CMIP CMIP: Common Management Information Protokoll ISO-basiertes Management Protokoll Hat eingebaute Sicherheitsmechanismen Stärker asynchron l Kennt “pending requests” l Kann “pending requests” canceln l Eignet sich besser als SNMP für Netzwerkstörungen Hat sich in der Praxis nicht durchgesetzt