Η παρουσίαση φορτώνεται. Παρακαλείστε να περιμένετε

Η παρουσίαση φορτώνεται. Παρακαλείστε να περιμένετε

ΠΡΟ.ΜΕ.Σ.Ι.Π. Διαχείριση και Ασφάλεια Δικτύων SNMP.

Παρόμοιες παρουσιάσεις


Παρουσίαση με θέμα: "ΠΡΟ.ΜΕ.Σ.Ι.Π. Διαχείριση και Ασφάλεια Δικτύων SNMP."— Μεταγράφημα παρουσίασης:

1 ΠΡΟ.ΜΕ.Σ.Ι.Π. Διαχείριση και Ασφάλεια Δικτύων SNMP

2 Ακαδημαϊκό Έτος Εισαγωγή (1/5) Simple Gateway Monitoring Protocol (SGMP): πρόγονος του SNMP Το SNMP έγινε γρήγορα διαθέσιμο σε μηχανήματα διαφόρων κατασκευαστών και έτυχε ευρείας αποδοχής από την κοινότητα του Διαδικτύου Το 1988 παρουσιάστηκαν οι προδιαγραφές του και καθιερώθηκε ως το κυρίαρχο πρωτόκολλο διαχείρισης δικτύων: ▫RFC1065: SMI Δομή Πληροφοριών Διαχείρισης (Structure of Management Information) ▫RFC1066: MIB Βάση Πληροφοριών Διαχείρισης (Management Information Base) ▫RFC1067: SNMP

3 Ακαδημαϊκό Έτος SNMP SNMPv1 SNMPv3 SNMPv2 Εισαγωγή ( 2 /5)

4 Ακαδημαϊκό Έτος Πλεονεκτήματα ▫είναι απλό ορίζει μια περιορισμένη και εύκολα πραγματοποιήσιμη MIB βαθμωτών μεταβλητών και δισδιάστατων πινάκων επιτρέπει στο διαχειριστή να καθορίζει την τιμή των μεταβλητών της MIB επιτρέπει στους πράκτορες να εκδίδουν αυτόνομα ειδοποιήσεις (παγίδες, traps) ▫καταναλώνει μικρή υπολογιστική ισχύ και έχει χαμηλές απαιτήσεις σε δικτυακούς πόρους ▫χρειάζεται ένα μικρό αριθμό εντολών για διαχείριση ▫είναι ευρέως δοκιμασμένο Εισαγωγή ( 3 /5)

5 Ακαδημαϊκό Έτος Μειονεκτήματα ▫δυσκολία μεταφοράς ομαδοποιημένων δεδομένων ▫αδυναμίες ασφάλειας  έλλειψη μηχανισμών αυθεντικοποίησης ▫είναι connectionless και άρα όχι αξιόπιστο ▫το polling που χρησιμοποιεί καταλαμβάνει πολύτιμο bandwidth του δικτύου, ιδίως όταν αυτό γίνεται μέσω δικτύου ευρείας ζώνης WAN όπου οι ταχύτητες είναι χαμηλές Εισαγωγή ( 4 /5)

6 Ακαδημαϊκό Έτος UDP port 162 UDP port Τα SNMP PDUs ενθυλακώνονται σε UDP datagrams Εισαγωγή ( 5 /5)

7 Ακαδημαϊκό Έτος Το μοντέλο SNMP (1/2) Το μοντέλο SNMP για τη διαχείρισης TCP/IP δικτύων περιλαμβάνει σύμφωνα με το γενικό μοντέλο διαχείρισης τα ακόλουθα: NMS 1.Σταθμός διαχείρισης δικτύου ή διαχειριστής (NMS-Network Management Station) NE Agent 2.Διαχειριζόμενα στοιχεία (NE-Network Elements) - Πράκτορας (Agent) MIB 3.Βάση πληροφοριών διαχείρισης (MIB-Management Information Base) SNMP 4.Πρωτόκολλο διαχείρισης (SNMP-Network Management Protocol) κεντρικήκατανεμημένη Υποστηρίζει τόσο κεντρική όσο και κατανεμημένη διαχείριση

8 Ακαδημαϊκό Έτος ΔΙΚΤΥΟ Διαχειριστής (NMS) Διαδικασία διαχείρισης Πρωτόκολλα δικτύου IP UDP SNMP Πράκτορας (Agent)- Δρομολογητής (NE) Διαδικασία πράκτορα Πρωτόκολλα δικτύου IP UDP SNMP Πρωτόκολλα δικτύου Πράκτορας (Agent)- Σταθμός εργασίας (NE) Διαδικασία πράκτορα IP UDP SNMP TCP FTP Διαδικασίες χρήστη Το μοντέλο SNMP (2/2) Κεντρική MIB Πρωτόκολλα δικτύουΥπόδιαχείριση Βοηθητικό στη λειτουργία διαχείρισης

9 Ακαδημαϊκό Έτος Σταθμός διαχείρισης NMS Ο Σταθμός διαχείρισης πρέπει να έχει κατ’ ελάχιστο: 1.σύνολο από εφαρμογές διαχείρισης για την ανάλυση δεδομένων, ανίχνευση σφαλμάτων/βλαβών 2.μια διεπαφή με την οποία μπορεί να επιβλέπει την κατάσταση του δικτύου αλλά και μεμονωμένων συσκευών 3.εφαρμογή παρακολούθησης και ελέγχου απομακρυσμένων στοιχείων σε πραγματικό χρόνο 4.μια κεντρική MIB που θα προκύπτει από τις επιμέρους MIBs των στοιχείων του δικτύου Μπορεί να υλοποιείται είτε ως μεμονωμένο σύστημα NMS είτε ως πλήθος συστημάτων NMS (κατανεμημένη αρχιτεκτονική) για τον καταμερισμό των εργασιών σε ένα μεγάλο δίκτυο ή για λόγους ύπαρξης εφεδρικών συστημάτων

10 Ακαδημαϊκό Έτος Διαχειριζόμενοι πράκτορες συσκευές που είναι συνδεδεμένες στο δίκτυο π.χ. υπολογιστές, εκτυπωτές, γέφυρες, δρομολογητές, επαναλήπτες οι πράκτορες είναι εφοδιασμένοι με το κατάλληλο λογισμικό στόχος είναι η επικοινωνία του πράκτορα με το διαχειριστή είτε κατόπιν αιτήσεως του διαχειριστή είτε εξαιτίας κάποιου γεγονότος

11 Ακαδημαϊκό Έτος Βάση πληροφοριών διαχείρισης (1/2) οι πόροι ενός δικτύου μπορούν να τεθούν υπό διαχείριση αν αναπαρασταθούν ως αντικείμενα (objects) κάθε αντικείμενο είναι στην ουσία μια μεταβλητή που αναπαριστά ένα χαρακτηριστικό του διαχειριζόμενου πράκτορα η συλλογή των αντικειμένων αποτελεί τη MIB Η “καρδιά” του SNMP είναι μια τοπική MIB η οποία περιλαμβάνει: ▫ορισμούς για τις διαχειριζόμενες συσκευές και τους πράκτορες οι οποίοι είναι διαθέσιμοι ▫τις αιτήσεις για τις πληροφορίες τις οποίες αυτοί έχουν δεχθεί

12 Ακαδημαϊκό Έτος Βάση πληροφοριών διαχείρισης (2/2) Όλες οι πληροφορίες που απαιτούνται για τη διαχείριση ενός συγκεκριμένου πόρου είναι αποθηκευμένες σε ένα αρχείο γνωστό ως αρχείο Βάσης Πληροφοριών Διαχείρισης (MIB file) Το MIB file είναι οργανωμένο ώστε να υπακούει στο γενικότερο πλαίσιο της Δομής της Πληροφορίας Διαχείρισης (SMI) Η SMI παρέχει ένα μηχανισμό για να ονομάζει και να οργανώνει τα αντικείμενα με τη χρήση της γλώσσας ASN.1 (Abstract Syntax Notation One)

13 Ακαδημαϊκό Έτος Το πρωτόκολλο διαχείρισης Το SNMP στην πρώτη του έκδοση παρέχει 3 λειτουργίες, δηλαδή 3 διαφορετικά PDUs: 1.GET 1.GET: αποστέλλεται από το διαχειριστή στον πράκτορα και χρησιμοποιείται για την ανάκτηση των διαφόρων τιμών που λαμβάνουν τα υπό διαχείριση αντικείμενα στη ΜΙΒ του πράκτορα 2.SET 2.SET: αποστέλλεται από το διαχειριστή στον πράκτορα και χρησιμοποιείται για την ανάθεση μιας τιμής σε ένα υπό διαχείριση αντικείμενο 3.TRAP 3.TRAP: αποστέλλεται από τον πράκτορα στο διαχειριστή για να τον ειδοποιήσει για κάποιο ασυνήθιστο γεγονός ή κατάσταση

14 Ακαδημαϊκό Έτος SNMP εντολές και μηνύματα (1/ 3 ) trap

15 Ακαδημαϊκό Έτος  από το σταθμό διαχείρισης εκδίδονται 3 τύποι μηνυμάτων: GetRequest, SetRequest, GetNextRequest  για όλα τα παραπάνω μηνύματα αποστέλλεται από τον πράκτορα προς το διαχειριστή επιβεβαίωση λήψης με τη μορφή μηνύματος GetResponse  ένας πράκτορας μπορεί να εκδώσει και ένα Trap μήνυμα σε απόκριση ενός γεγονότος που επηρεάζει τη MIB του και τους διαχειριζόμενους πόρους SNMP εντολές και μηνύματα ( 2 / 3 )

16 Ακαδημαϊκό Έτος Το SNMP βασίζεται στο UDP το οποίο είναι πρωτόκολλο χωρίς σύνδεση και ως εκ τούτου και το SNMP είναι πρωτόκολλο χωρίς σύνδεση: 1.δεν εγκαθίσταται σύνδεση ανάμεσα στο σταθμό διαχείρισης και στους πράκτορες 2.κάθε ανταλλαγή μηνύματος είναι μια μεμονωμένη ενέργεια ανάμεσα στο σταθμό και τους πράκτορες SNMP εντολές και μηνύματα (3/3)

17 Ακαδημαϊκό Έτος Αναφορές με παγίδες (1/ 2 ) Εάν ένας σταθμός διαχείρισης είναι υπεύθυνος για πολλούς πράκτορες και αν κάθε πράκτορας χειρίζεται πολλά αντικείμενα, τότε η διαδικασία περιοδικών αναφορών καθίσταται ασύμφορη Το SNMP και η συσχετιζόμενη MIB είναι σχεδιασμένα ώστε να χρησιμοποιείται η τεχνική αναφορές με παγίδες

18 Ακαδημαϊκό Έτος Η τεχνική αναφορές με παγίδες έχει ως ακολούθως: 1.Σε κάποιο αρχικό χρόνο και σε περιοδικά διαστήματα π.χ. μια φορά την ημέρα ο σταθμός διαχείρισης μπορεί να ζητήσει από τους πράκτορες: i.σημαντικές πληροφορίες: χαρακτηριστικά διασύνδεσης ii.στατιστικά στοιχεία: μέσος όρος πακέτα που αποστέλλονται και λαμβάνονται από κάθε κόσμο σε δεδομένη χρονική περίοδο 2.στη συνέχεια ο σταθμός διαχείρισης σιωπά και ο πράκτορας είναι υπεύθυνος να αποστείλει αναφορά όταν συμβεί κάποιο μη συνηθισμένο γεγονός: επανεκκίνηση πράκτορα 3.τα γεγονότα αυτά στα SNMP μηνύματα ονομάζονται παγίδες: traps Αναφορές με παγίδες (2/2)

19 Ακαδημαϊκό Έτος Μήνυμα SNMP (1/2) Στο SNMP οι πληροφορίες ανταλλάσσονται ανάμεσα στο σταθμό διαχείρισης και τον πράκτορα με τη μορφή μηνυμάτων SNMP Κάθε μήνυμα περιλαμβάνει: ▫τον αριθμό έκδοσης του SNMP (version) ▫το όνομα της κοινότητας που χρησιμοποιείται σε αυτή την ανταλλαγή (community) και ▫έναν από τους πέντε τύπους των μονάδων δεδομένων πρωτοκόλλου (PDU-Protocol Data Unit) GetRequest GetNextRequest SetRequest GetResponse Trap

20 Ακαδημαϊκό Έτος Μήνυμα SNMP (2/2) Η μορφή των GetRequest, GetNextRequest και SetRequset είναι η ίδια όπως αυτή της GetResponse PDU, με την τιμή στο πεδίο του error-index να είναι πάντα 0 Αποτέλεσμα είναι να μειωθεί ο αριθμός των διαφορετικών μορφών των μονάδων δεδομένων πρωτοκόλλου που χρησιμοποιεί το SNMP

21 Ακαδημαϊκό Έτος Δομή των πληροφοριών διαχείρισης Η δομή των πληροφοριών διαχείρισης SMI (RFC 1155, RFC 1212) καθορίζει: ▫το μοντέλο των αντικειμένων διαχείρισης ▫τις λειτουργίες που μπορούν να πραγματοποιηθούν ▫τους τύπους των δεδομένων που μπορούν να χρησιμοποιηθούν Ενθαρρύνεται η απλότητα κα η επεκτασιμότητα της MIB (RFC 1213)  η MIB αποθηκεύει μόνο απλούς τύπους δεδομένων, δηλ. βαθμωτά μεγέθη και δισδιάστατους πίνακες Το SNMP δεν υποστηρίζει τη δημιουργία ή την ανάκτηση πολύπλοκων δομών δεδομένων

22 Ακαδημαϊκό Έτος Ορισμός αντικειμένων (1/3) Τα υπό διαχείριση αντικείμενα σε μια ΜΙΒ ορίζονται κατά μοναδικό τρόπο σε μια ιεραρχική δενδροειδή δομή  Δένδρα Πληροφοριών Διαχείρισης (MIT – Management Information Trees) Η δομή του δένδρο επιτρέπει τον επιμέρους διαχωρισμό μιας ομάδας αντικειμένων σε λογικές υποομάδες τύποτιμήΚάθε αντικείμενο ανήκει σε έναν τύπο και έχει μια τιμή τύπος του αντικειμένου (object type) ▫ο τύπος του αντικειμένου (object type) ορίζει το είδος του διαχειριζόμενου αντικειμένου – συντακτική περιγραφή στιγμιότυπο αντικειμένου (object instance) ▫το στιγμιότυπο αντικειμένου (object instance) είναι ένα στιγμιότυπο ενός τύπου δεδομένων που είναι συνδεδεμένο με μια τιμή

23 Ακαδημαϊκό Έτος Object Object Type Name: OBJECT IDENTIFIER Syntax: ASN.1 Encoding: BER Object Instance Ορισμός αντικειμένων (2/3)

24 Ακαδημαϊκό Έτος Object Object Type Name: OBJECT IDENTIFIER Syntax: ASN.1 Encoding: BER Object Instance 3 Object Instance 2 Object Instance 1 Ορισμός αντικειμένων (3/3)

25 Ακαδημαϊκό Έτος Δένδρο πληροφοριών διαχείρισης

26 Ακαδημαϊκό Έτος Όνομα αντικειμένων Κάθε object type ορίζεται από το DESCRIPTOR και το OBJECT IDENTIFER (ASN.1) DESCRIPTOR: δίνει την περιγραφή του αντικειμένου π.χ. internet OBJECT IDENTIFER: είναι μια σειρά από ακέραιους αριθμούς από τους οποίους καθορίζεται η θέση του αντικειμένου στη MIB internet OBJECT IDENTIFIER ::= {iso(1) org(3) dod(6) internet(1) } internet OBJECT IDENTIFIER ::= { }

27 Ακαδημαϊκό Έτος Υποδένδρο Internet (1/2) directory OBJECT IDENTIFIER ::= {internet 1} mgmt OBJECT IDENTIFIER ::= {internet 2} experimentalOBJECT IDENTIFIER ::= {internet 3} private OBJECT IDENTIFIER ::= {internet 4}

28 Ακαδημαϊκό Έτος Υποδένδρο Internet ( 2 /2)

29 Ακαδημαϊκό Έτος Υποδένδρο MIB-2 (1/2)

30 Ακαδημαϊκό Έτος Υποδένδρο MIB-2 (2/2)

31 Ακαδημαϊκό Έτος

32 Ακαδημαϊκό Έτος

33 Ακαδημαϊκό Έτος Ομάδες ΜΙΒ-ΙΙ (1/3) SystemSystem: γενικές πληροφορίες για τις διαχειριζόμενες συσκευές π.χ. περιγραφή, ταυτότητα, όνομα, τοποθεσία InterfacesInterfaces: πληροφορίες για κάθε διεπαφή του συστήματος με τα υποδίκτυα, πληροφορίες για τη διαμόρφωση στις διεπαφές και στατιστικές πληροφορίες για γεγονότα που συμβαίνουν σε κάθε διεπαφή At (Address translation)At (Address translation): περιγραφή του πίνακα μετάφρασης διεύθυνσης για την αντιστοίχιση της διαδικτυακής διεύθυνσης σε αυτήν του υποδικτύου σε κάθε διεπαφή IpIp: πληροφορίες για την υλοποίηση και εκτέλεση του IP πρωτοκόλλου (Internet Protocol) στο σύστημα Το υποδένδρο mib-2 χωρίζεται σε 11 ομάδες και κάθε μια από αυτές σε επιμέρους υποομάδες:

34 Ακαδημαϊκό Έτος Ομάδες ΜΙΒ-ΙΙ (2/3) IcmpIcmp: πληροφορίες για την υλοποίηση και εκτέλεση του ICMP πρωτοκόλλου (Internet Control Message Protocol) στο σύστημα, αποτελεί αναπόσπαστο τμήμα του TCP/IP και παρέχει τον τρόπο της μεταφοράς μηνυμάτων από δρομολογητές σε υπολογιστές και από υπολογιστές σε υπολογιστές TCPTCP: πληροφορίες για την υλοποίηση και εκτέλεση του TCP πρωτοκόλλου (Transmission Control Protocol) στο σύστημα UDPUDP: πληροφορίες για την υλοποίηση και εκτέλεση του UDP πρωτοκόλλου (User Datagram Protocol) στο σύστημα EgpEgp: πληροφορίες για την υλοποίηση και εκτέλεση του Egp πρωτοκόλλου (External Gateway Protocol) στο σύστημα

35 Ακαδημαϊκό Έτος Ομάδες ΜΙΒ-ΙΙ (3/3) Dot3Dot3: πληροφορίες για τα πρωτόκολλα μετάδοσης και πρόσβασης σε κάθε διεπαφή CMOTCMOT: δυνατότητα υλοποίησης των πρωτοκόλλων διαχείρισης του μοντέλου OSI πάνω από TCP. Η ιδέα δεν υλοποιήθηκε και δεν προχώρησε SnmpSnmp: πληροφορίες για την υλοποίηση και εκτέλεση του SNMP στο σύστημα

36 Ακαδημαϊκό Έτος System Group (1/4)

37 Ακαδημαϊκό Έτος System Group (2/4)

38 Ακαδημαϊκό Έτος System Group (3/4) Η ομάδα system περιλαμβάνει επίσης και διοικητικές πληροφορίες που βοηθούν το διαχειριστή του δικτύου, όπως sysContact και sysLocation Η υλοποίηση της ομάδας system είναι υποχρεωτική για όλα τα συστήματα, τόσο στο διαχειριστή όσο και στον πράκτορα

39 Ακαδημαϊκό Έτος System Group (4/4)

40 Ακαδημαϊκό Έτος TCP Group

41 Ακαδημαϊκό Έτος Ασφάλεια στο SNMP Η διαχείριση ενός SNMP δικτύου αποτελεί μια σχέση ένας-προς- πολλούς ανάμεσα στο σταθμό διαχείρισης και σε μια ομάδα διαχειριζόμενων πόρων Κάθε πράκτορας ελέγχει τη δική του MIB και πρέπει να μπορεί να ελέγχει τη χρήση αυτής της MIB από τους διάφορους διαχειριστές σταθμούς Ο έλεγχος πραγματοποιείται με: ▫Υπηρεσία εξουσιοδότησης ▫Υπηρεσία εξουσιοδότησης: ο πράκτορας μπορεί να περιορίσει την πρόσβαση στη MIB του μόνο σε εξουσιοδοτημένους διαχειριστές ▫Πολιτική πρόσβασης ▫Πολιτική πρόσβασης: ο πράκτορας μπορεί να δώσει διαφορετικά δικαιώματα πρόσβασης στους διάφορους διαχειριστές ▫Υπηρεσία Διαμεσολαβητή ▫Υπηρεσία Διαμεσολαβητή: ένας πράκτορας μπορεί να λειτουργήσει ως διαμεσολαβητής σε άλλους πράκτορες  θα πρέπει να ορίσει τις υπηρεσίες εξουσιοδότησης και την πολιτική πρόσβαση για τους άλλους πράκτορες

42 Ακαδημαϊκό Έτος Κοινότητες το SNMP Μια SNMP κοινότητα είναι μια σχέση ανάμεσα σε έναν πράκτορα SNMP και σε μια ομάδα από διαχειριστές SNMP που ορίζει τα χαρακτηριστικά της εξουσιοδότησης, της πρόσβασης και του διαμεσολαβητή Η έννοια της κοινότητας είναι τοπική και ορίζεται στο διαχειριζόμενο σύστημα: ▫κάθε κοινότητα έχει ένα μοναδικό όνομα (για τον πράκτορα) ▫οι σταθμοί διαχείρισης μέσα στην κοινότητα έχουν τη δυνατότητα χρήσης των get και set λειτουργιών Ο πράκτορας μπορεί να διατηρεί έναν αριθμό από κοινότητες και σε μερικές περιπτώσεις με επικαλυπτόμενους σταθμούς διαχείρισης Ο σταθμός διαχείρισης πρέπει να τηρεί λογαριασμό για το όνομα ή τα ονόματα των κοινοτήτων που σχετίζονται με κάθε πράκτορα που διαχειρίζεται

43 Ακαδημαϊκό Έτος Με τον ορισμό μιας κοινότητας ο πράκτορας περιορίζει την πρόσβαση στη MIB του μόνο σε επιλεγμένους σταθμούς διαχείρισης Με τη χρήση πολλών κοινοτήτων είναι εφικτό ένας πράκτορας να αποδώσει διαφορετική εξουσιοδότηση πρόσβασης στη MIB του σε διαφορετικούς σταθμούς διαχείρισης Για τον έλεγχο πρόσβασης υπάρχουν 2 χαρακτηριστικά: ▫SNMP MIB view («άποψη»): κάθε κοινότητα μπορεί να έχει διαφορετική άποψη της MIB, δηλαδή να βλέπει διαφορετική ομάδα αντικειμένων στη βάση ▫SNMP Access (τρόπος πρόσβασης SNMP): ο τρόπος πρόσβασης ορίζεται για κάθε κοινότητα και μπορεί να είναι {READ-ONLY, READ-WRITE} Πολιτική πρόσβασης (1/2)

44 Ακαδημαϊκό Έτος Πολιτική πρόσβασης (2/2)

45 Ακαδημαϊκό Έτος SNMPv1: Περιορισμοί (1/2) Το SNMPv1 μπορεί να μην είναι κατάλληλο για διαχείριση ιδιαίτερα μεγάλων δικτύων εξαιτίας των περιορισμένων επιδόσεών του σε ότι αφορά στις παγίδες: ▫οι περιοδικές αναφορές επιβαρύνουν πολύ το δίκτυο με την κυκλοφορία των μηνυμάτων διαχείρισης Το SNMPv1 δεν είναι κατάλληλα εφοδιασμένο για την ανάκτηση μεγάλου αριθμού δεδομένων όπως είναι ένας πίνακας δρομολογητή Τα SNMPv1 Traps δεν στέλνουν επιβεβαίωση λήψης με αποτέλεσμα ο πράκτορας να μην είναι σίγουρος αν ένα κρίσιμο μήνυμα έχει φθάσει στο σταθμό διαχείρισης

46 Ακαδημαϊκό Έτος SNMPv1: Περιορισμοί (2/2) Το SNMPv1 παρέχει μόνο τυπική εξουσιοδότηση (κωδικός κοινότητας): ▫είναι προτιμότερη η χρήση του για παρακολούθηση παρά για έλεγχο Το SNMPv1 δεν υποστηρίζει ευθέως εντολές – προσταγές ▫ο μόνος τρόπος για να γίνει κάποια δράση σε έναν πράκτορα είναι με έμμεσο τρόπο αλλάζοντας την τιμή του αντικειμένου π.χ. ένα αντικείμενο reboot παίρνει τιμή 1 Το μοντέλο της MIB του SNMPv1 είναι περιορισμένο και δεν υποστηρίζει εφαρμογές που δίνουν τη δυνατότητα πολύπλοκων ερωτήσεων βασισμένων στο όνομα ή την τιμή του αντικειμένου Το SNMPv1 δεν υποστηρίζει επικοινωνία από διαχειριστή σε διαχειριστή

47 Ακαδημαϊκό Έτος Το SNMPv2 δημιουργήθηκε, καθώς μετά από εκτεταμένη χρήση του SNMPv1, έγινε πιεστική η ανάγκη για:  αποτελεσματική μεταφορά μεγάλης ποσότητας δεδομένων  αποκέντρωση του συστήματος διαχείρισης  βελτίωση της ασφάλειας του δικτύου  μείωση του φορτίου κυκλοφορίας SNMPv2

48 Ακαδημαϊκό Έτος Βελτιώσεις SNMPv2 (1/2) Οι βασικές βελτιώσεις του SNMPv1 που παρέχονται στο SNMPv2 περιλαμβάνουν: τη δομή διαχείρισης πληροφορίας (SMI) τις λειτουργίες του πρωτοκόλλου τη δυνατότητα επικοινωνίας διαχειριστή με διαχειριστή

49 Ακαδημαϊκό Έτος Οι πιο σημαντικές βελτιώσεις είναι: GetBulkRequest PDUη εντολή GetBulkRequest PDU για την ανάκτηση μεγάλων ποσοτήτων πληροφορίας InformRequest PDUη εντολή InformRequest PDU για την υποστήριξη της συνεργασίας μεταξύ διαχειριστών διαχείριση λαθών και εξαιρέσεωνη πιο αποτελεσματική διαχείριση λαθών και εξαιρέσεων: ▫το SNMPv1 σχεδιάστηκε για ελάχιστο φορτίο  υλοποιείται, τυπικά πάνω από το UDP το οποίο παρέχει μεγαλύτερη χρήση του εύρους ζώνης θυσιάζοντας, όμως, τη δυνατότητα διόρθωσης των λαθών ▫στο SNMPv1, αν μια μεταβλητή ή μια λίστα δεν μπορεί να ανακτηθεί, αποτυγχάνει ολόκληρη η εντολή ‘get’ και δεν επιστρέφονται δεδομένα ▫στο SNMPv2, ένας πράκτορας επεξεργάζεται τις έγκυρες μεταβλητές σε μια αίτηση και επιστρέφει τις τιμές τους, ενώ επιστρέφει ‘τιμή αναφοράς προβλήματος’ για τις μη έγκυρες μεταβλητές  αυτό έχει ως αποτέλεσμα να μειωθεί το περιττό κόστος διακίνησης Βελτιώσεις SNMPv2 (2/2)

50 Ακαδημαϊκό Έτος Ένα μήνυμα του SNMPv2 αποτελείται, όπως και στο SNMPv1, από: ▫το πεδίο της Έκδοσης  περιέχει πληροφορίες για την έκδοση του SNMP που χρησιμοποιείται  αν το πεδίο αυτό δεν είναι σωστό, το μήνυμα απορρίπτεται ▫το πεδίο του Ονόματος της Κοινότητας  χρησιμοποιείται για εξουσιοδότηση  ο πράκτορας ελέγχει αυτό το πεδίο, για να διασφαλίσει ότι το μήνυμα προέρχεται από έγκυρη κοινότητα ▫το πεδίο Μονάδας Δεδομένων Πρωτοκόλλου (PDU) Τα μηνύματα του SNMPv2 (1/4)

51 Ακαδημαϊκό Έτος επτάΥπάρχουν επτά Μονάδες Δεδομένων Πρωτοκόλλου (PDUs) σε ένα μήνυμα SNMPv2 με γενική δομή την παρακάτω: PDU TagPDU LengthPDU Value Request-id error statuserror index variablebindings Τα μηνύματα του SNMPv2 (2/4)

52 Ακαδημαϊκό Έτος Το πεδίο της τιμής (PDU value) διαφοροποιείται ανάλογα με τις διαφορετικές λειτουργίες που ζητούνται GetRequest PDUGetNextRequest PDUSetRequest PDU InformRequest PDUSNMPv2-Trap PDUΟι GetRequest PDU, GetNextRequest PDU, SetRequest PDU, InformRequest PDU και η SNMPv2-Trap PDU GetResponse PDU ▫έχουν την ίδια μορφή με την GetResponse PDU, ▫αλλά με κατάσταση σφάλματος (error-status) και δείκτη σφάλματος (error-index) να είναι πάντα μηδέν Τα μηνύματα του SNMPv2 (3/4)

53 Ακαδημαϊκό Έτος PDU type request id 0 0 name1 value1…… PDU type request id error status error index name1 value1…… PDU type request id non-repeaters max-repetitions name1 value1 …... GetRequest PDU, GetNextRequest PDU, SetRequest PDU, SNMPv2 Trap PDU, InformRequest PDU GetResponse PDU GetBulkRequest PDU Τα μηνύματα του SNMPv2 (4/4)

54 Ακαδημαϊκό Έτος GetRequest PDU η GetRequest δεν είναι ατομική

55 Ακαδημαϊκό Έτος GetNextRequest PDU

56 Ακαδημαϊκό Έτος GetBulkRequestΜία από τις σημαντικότερες βελτιώσεις που έχουν γίνει στη δεύτερη έκδοση του SNMPv2, είναι η λειτουργία GetBulkRequest Σκοπός της είναι, να ελαχιστοποιηθεί ο αριθμός των ανταλλαγών που απαιτούνται, για να μεταφερθεί-επαληθευθεί μία μεγάλη ποσότητα πληροφορίας Ενώ στην πρώτη έκδοση υπήρχε η δυνατότητα λήψης πληροφορίας από έναν πίνακα, λαμβάνοντας μία μόνον γραμμή σε κάθε ανταλλαγή, στη δεύτερη έκδοση είναι δυνατή η ανάκτηση όλου του πίνακα GetBulkRequest PDU (1/4)

57 Ακαδημαϊκό Έτος GetBulkRequestΗ GetBulkRequest λειτουργεί ως ακολούθως: N+RΝ GetNextRequest R ▫περιέχει μία λίστα N+R ονομάτων μεταβλητών, όπου για τα πρώτα Ν η επαλήθευση γίνεται όπως και στην GetNextRequest (λεξικογραφική σειρά), ενώ στα τελευταία R, επιστρέφονται πολλαπλές επιλογές ▫έχει δύο πεδία, που δεν τα έχουν οι υπόλοιπες PDUs. Τα πεδία αυτά είναι τα :(i) non-repeaters και (ii) max-repetitions ▫το πρώτο πεδίο καθορίζει τον αριθμό των μεταβλητών που υπάρχουν στη variablebinding λίστα, για τις οποίες επιστρέφεται ένας μόνο λεξικογραφικός διάδοχος και ▫το δεύτερο τον αριθμό των λεξικογραφικών διαδόχων που επιστρέφονται, για τις υπόλοιπες μεταβλητές της λίστας GetBulkRequest PDU (2/4)

58 Ακαδημαϊκό Έτος GetBulkRequest PDUTo GetBulkRequest PDU επιλύει ένα σημαντικό μειονέκτημα του SNMP, που είναι η ανικανότητα του ανακτά μεγάλα κομμάτια δεδομένων σωστά Επίσης, μειώνεται το μέγεθος των εφαρμογών διαχείρισης που υποστηρίζονται από το πρωτόκολλο GetBulkRequestΤέλος, σε περιπτώσεις αίτησης μεγάλων πακέτων δεδομένων, το GetBulkRequest θα στείλει όσο περισσότερα δεδομένα μπορεί αντί για μήνυμα λάθους tooBig GetBulkRequest PDU (3/4)

59 Ακαδημαϊκό Έτος GetBulkRequest PDU (4/4)

60 Ακαδημαϊκό Έτος Η ασφάλεια στο SNMPv1 βασίζεται στο όνομα της κοινότητας, που σημαίνει ότι με βάση το όνομα της κοινότητας, αποφασίζεται εξουσιοδότηση ή όχι του ελέγχου πρόσβασης ▫το όνομα της κοινότητας είναι ένα αλφαριθμητικό, που μεταφέρεται χωρίς μηχανισμούς προστασίας και περιγράφει το ποιες δυνατότητες θα έπρεπε να έχει αυτός που έκανε την αίτηση. Στο SNMPv2 δεν προστίθεται παραπέρα ασφάλεια, υπό την έννοια ότι και εδώ η ασφάλεια βασίζεται στο όνομα της κοινότητας Ακόμα και στο SNMPv2c που χρησιμοποιείται σήμερα δεν προστέθηκε περαιτέρω ασφάλεια Νεότερες εκδόσεις του πρωτοκόλλου SNMPv2* και SNMPv2u και τελικά το SNMPv3 δίνουν δυνατότητες: ▫πιστοποίησης, ▫κρυπτογράφησης και ▫εξουσιοδότησης Ασφάλεια

61 Ακαδημαϊκό Έτος Εγκατάσταση SNMP Agent και NMS Agent ▫http://www.mydigitallife.info/2007/11/01/install-and-enable-snmp- service-in-windows-xp-vista-and-2003/ 1.Install 2.Configure NMS ▫http://sourceforge.net/projects/net-snmp/files/net- snmp%20binaries/5.5-binaries/ 1.net-snmp x86.exe


Κατέβασμα ppt "ΠΡΟ.ΜΕ.Σ.Ι.Π. Διαχείριση και Ασφάλεια Δικτύων SNMP."

Παρόμοιες παρουσιάσεις


Διαφημίσεις Google