Διαχείριση & Ασφάλεια Δικτύων Διάλεξη 2-To Πρωτόκολο SNMP Πανεπιστήμιο Πελοποννήσου Τμήμα Επιστήμης & Τεχνολογίας Τηλεπικοινωνιών Διαχείριση & Ασφάλεια Δικτύων Διάλεξη 2-To Πρωτόκολο SNMP Διδάσκων: Δρ. Γενειατάκης Δημήτρης email: dgen@aegean.gr Στο τέλος της διάλεξης αυτής θα πρέπει να δούμε λεπτομέρειες σχετικά με τον τρόπο λειτουργίας του SNMP σε ένα αληθινό δίκτυο ή έστω... Σε χρησιμοποιώντας κάτι έτοιμο...
Πανεπιστήμιο Πελλοπονήσου Περιεχόμενα Ενότητα 2 Βάση Διαχείρισης Πληροφοριών Πρωτόκολλα Διαχείρισης SNMP 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
Βάση Πληροφοριών Διαχείρισης (1/5) Βάση Δεδομένων Σταθμοί διαχείρισης δεν επικοινωνούν άμεσα με τα δικτυακά στοιχεία αλλά έμμεσα μέσω της βάσης πληροφοριών διαχείρισης Λειτουργίες που εκτελούνται προς τη βάση πληροφοριών Ερωτήσεις Τροποποιήσεις Δομείται ιεραρχικά (σύμφωνα με το RFC 1155) 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
Βάση Πληροφοριών Διαχείρισης (2/5) Ονοματοδοσία αντικειμένων της MIB Κάθε στοιχείο-αντικείμενο μιας MIB προσδιορίζεται μοναδικά από ένα αναγνωριστικό Σχήμα ονοματοδοσίας Αντικειμενοστραφές Ιεραρχικό Κάθε διαχειριζόμενο αντικείμενο περιγράφεται σύμφωνα με συγκεκριμένους κανόνες Χρήση ASN.1 Δικτυακά στοιχεία διαφορετικών κατασκευαστών 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
Bάση Πληροφοριών Διαχείρισης (3/5) Δομή διαχειριζόμενων αντικειμένων Γενική Σύνταξη ASN.1 Valuerefernce <type> ::=value Δεν καλύπτει τις ανάγκες για την περιγραφή των αντικειμένων διαχείρισης 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
Βάση Πληροφοριών Διαχείρισης (4/5) Δομή διαχειριζόμενων αντικειμένων (RFC 1155) OBJECT-TYPE MACRO ::= BEGIN TYPE NOTATION ::= "SYNTAX" type (TYPE ObjectSyntax) "ACCESS" Access "STATUS" Status VALUE NOTATION ::= value (VALUE ObjectName) Access ::= "read-only" | "read-write" | "write-only" | "not-accessible" Status ::= "mandatory" | "optional” | "obsolete" END 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
Βάση Πληροφοριών Διαχείρισης (5/5) (a)ipNetToMediaPhysAddress OBJECT-TYPE SYNTAX OCTET STRING ACCESS read-write STATUS mandatory DESCRIPTION "The media-dependent 'physical' address." ::= { ipNetToMediaEntry 2 } 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
Ορισμός Βάσης Διαχείρισης Πληροφοριών MIB-II (RFC 1213) mib-2 OBJECT IDENTIFIER ::= { mgmt 1 } System OBJECT IDENTIFIER ::= { mib-2 1 } interfaces OBJECT IDENTIFIER ::= { mib-2 2 } At OBJECT IDENTIFIER ::= { mib-2 3 } Ip OBJECT IDENTIFIER ::= { mib-2 4 } Icmp OBJECT IDENTIFIER ::= { mib-2 5 } tcp OBJECT IDENTIFIER ::= { mib-2 6 } udp OBJECT IDENTIFIER ::= { mib-2 7 } egp OBJECT IDENTIFIER ::= { mib-2 8 } 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
Ιεαρχική Δομή Βάσης Πληροφοριών Διαχείρισης root ccit (0) osi (1) org(3) dod (6) internet (1) directory (1) mgmt (2) MIB (1) system (1) interface (2) addres tr (3) IP (4) ICMP (5) TCP (6) UDP (7) experimental (3) private (4) ccitosi (2) 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
Ιεραρχική Δομή Βάσης Πληροφοριών Διαχείρισης Host (mib -25) hrsystem hrstorage hrDevice hrSwRun hrSWRunPerf hrSWInstalled 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
Ιεαρχικό Μοντέλο Βάσης Πληροφοριών Διαχείρισης - Εξοικοίωση Να ορισθεί ένα νέο διαχειρίσιμο αντικείμενο στην παραπάνω αρχιτεκτονική στο διαχειριστικό τομέα του internet Να ορισθεί μια νέα ιδιότητα στο διαχειριστικό τομέα του system 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
Βασικά Πρωτόκολλα Διαχείρισης Δικτύων Simple Network Management Protocol (SNMP) Telecommunication Management Network (TMN) Common Management Information Protocol (CMIP) 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
Πρότυπα Περιγραφής SNMP (1/3) RFC 1155 Structure and Identification of Management Information for TCP/IP-based Internets RFC 2570 Introduction to Version 3 of the Internet-standard Network Management Framework RFC 1213 Management Information Base for Network Management of TCP/IP-based internets 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
Πρότυπα Περιγραφής SNMP (2/3) RFC 2271 An Architecture for Describing SNMP Management Framework RFC 2272 Message Processing and Dispatching for the Simple Network Management Protocol (SNMP) RFC 2273 SNMPv3 Applications 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
Πρότυπα Περιγραφής SNMP (3/3) RFC 3414 User-based Security Model (USM) for version 3 of the Simple Network Management Protocol (SNMPv3) RFC 2275 View-based Access Control Model (VACM) for the Simple Network Management Protocol (SNMP) 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
Πανεπιστήμιο Πελλοπονήσου Εισαγωγή στο SNMP Simple Network Management Protocol (SNMP) Μπορεί να χρησιμοποιηθεί για τη διαχείριση Unix Windows Εκτυπωτές Δρομολογητές κ.α 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
Βασική Αρχιτεκτονική SNMP Πρωτόκολλο Επιπέδου Εφαρμογής SNMP στην αρχιτεκτονική του διαδικτύου SNMP UDP IP Network Διαχειρίσμος Κόμβος Διαχειριστής 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
Αρχιτεκτονική Διαχείρισης SNMP 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
Πανεπιστήμιο Πελλοπονήσου Δομικά Στοιχεία SNMP 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
Πανεπιστήμιο Πελλοπονήσου Λειτουργικότητα SNMP Ανάκτηση Πληροφοριών (GET) Ανάθεση-Τροποποίηση Πληροφοριών (SET) Παγίδες (TRAPS) ΝΑ ΕΛΕΓΘΕΙ ΕΑΝ ΥΠΑΡΧΟΥΝ ΣΥΓΚΕΚΡΙΜΕΝΕΣ ΠΑΓΙΔΕΣ ΣΤΟΥΣ ROUTERS ΤΗΣ CISCO 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
Πανεπιστήμιο Πελλοπονήσου Οι Eντολές SNMP GetRequestPDU GetNextRequestPDU GetResponsePDU SetRequestPDU Trap Notification (v2) Inform (v2) Report (v2) 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
Δομή Αιτήσεων/Αποκρίσεων SNMP v1 Έκδοση Αναγνωριστικό ομάδας Μονάδα Δεδομένων πρωτοκόλλου PDU TYPE REQUEST-ID ERROR ERROR-INDEX VARIABLE- BINDINGS Na thimithw na kanw sxima sto pinaka sxetika me to community Object Name -Value 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
Δομή Μηνύματων SNMP v3 10/13/2017 Πανεπιστήμιο Πελλοπονήσου msgVersion msgID msgMaxSize msgSecurityModel msgeAuthoritativeEngineID msgAuthoritativeEngineBoots msgAuthoritativeEnginetime msgUserName msgAuthenticationParameters msgPrivacyParameters contextEngineID ContxtName PDU 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
Παράδειγμα Λειτουργίας (1/2) Ο διαχειριστής αποστέλει προς τη διαχειριζόμενη συσκευή GetRequest (GetRequest-PDU, 1, 0, 0, (1.3.6.1.2.1.6.7.1.0, NULL)) Ο Πράκτορας αποκρίνεται GetResponse (GetRequest-PDU, 1, 0, 0, (1.3.6.1.2.1.6.7.1.0, 235)) Πως θα ήταν η δομή της εντολής GetNextRequest? 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
Παράδειγμα Λειτουργίας (2/2) Ο διαχειριστής αποστέλει προς τη διαχειριζόμενη συσκευή SetRequest (SetRequest-PDU, 1, 0, 0, (1.3.6.1.2.1.6.7.1.0, 100)) Ο Πράκτορας αποκρίνεται GetResponse (SetRequest-PDU, 1, 0, 0, (1.3.6.1.2.1.6.7.1.0, 100)) 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
Αρχιτεκτονική Διαχείρισης SNMP 10/13/2017 Πανεπιστήμιο Πελοποννήσου
Πανεπιστήμιο Πελλοπονήσου SNMP Traps 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
Δομή Traps SNMP v1 Έκδοση Αναγνωριστικό ομάδας Μονάδα Δεδομένων πρωτοκόλλου PDU TYPE ENTEPRISE AGENT-ADDR GENERIC-TRAP VARIABLE- BINDINGS SPECIFI-TRAP enterprise: Προσδιορίζει τον agent που προκάλεσε το trap. Η τιμή του λαμβάνεται από το αντικείμενο sysObjectID του group system. 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
Πανεπιστήμιο Πελλοπονήσου Τύποι Trap (1/2) Generic Trap coldStart: μη αναμενόμενο restart του αντιπροσώπου warmStart αναμενόμενο restart του αντιπροσώπου linkDown αλλαγή της κατάστασης κάποιας διεπαφής (interface) από Up σε Down linkUp(3): αλλαγή της κατάστασης κάποιας διεπαφής από Down σε Up authenticationFailure: ο πράκτορας παρέλαβε ένα μήνυμα SNMP με community name που δεν αντιστοιχεί σε κάποιο από τα γνωστά communities που έχουν ορισθεί από αυτόν egpNeighborloss(5): κάποια από τις EGP συνδέσεις του αντιπροσώπου άλλαξε από κατάσταση Up σε κατάσταση Down 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
Πανεπιστήμιο Πελλοπονήσου Τύποι Trap (2/2) Generic Trap enterpriseSpecific(6): κάποιο άλλο ασυνήθιστο γεγονός συνέβη, το οποίο καθορίζεται στο πεδίο specific-trap. Specific Trap Ορίζεται από τον κατασκευαστή 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
Παράδειγμα Διαχείρισης με το SNMP Σέ ένα τοπικό δίκτυο υπάρχουν δύο εκτυπωτές λόγω βλάβης ο ένας από τους δύο εκτυπωτές τίθεται εκτός λειτουργίας, οπότε ο ενεργός εκτυπωτής θα πρέπει να λαμβάνει όλο το φόρτο εργασίας μέγιστο 100, ενώ το αρχικό του μέγιστο όριο είναι 50. Ποιά θα είναι η διαδικασία που θα ακολουθηθεί; 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
Βασικές Εντολές SNMP σε UNIX Snmpget Snmpwalk Snmpbulkget Snmpset 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
Προετοιμασία για το Εργαστήριο Ποιά είναι η λειτουργία των παραπάνω εντολών, Ποιοι είναι οι βασικοί παράμετροι που δέχονται Με τη χρήση των παραπάνω εντολών να εντοπισθεί το όνομα του κεντρικού router 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
Πανεπιστήμιο Πελλοπονήσου Ερωτήσεις 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
Πανεπιστήμιο Πελλοπονήσου Ασφάλεια στο SNMP Βασικές Απαιτήσεις Ασφάλειας Eμπιστευτικότητα – Confidentiality Ακεραιότητα – Integrity Αυθεντικότητα – Authenticity Έλεγχος Προσπέλασης (Access Control) 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
Πανεπιστήμιο Πελλοπονήσου Ασφάλεια στο SNMP Ορισμός Απειλής (Τhreat) H (δήλωση) πρόθεση(ς) μιας οντότητας να προκαλέσει ζημίες σε ένα σύστημα Οντότητα που μπορεί να προκαλέσει ζημιά ή παραβίαση σε τμήμα ή στο σύνολο του δικτύου Ορισμός Επίθεσης (Attack) Είναι η εκμετάλλευση μιας αδυναμίας από εισβολέα για την πραγματοποίηση απειλής 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
Πανεπιστήμιο Πελλοπονήσου Απειλές στο SNMP Τροποποίηση (Modification) Αποκάλυψη (Disclosure) Άρνηση Παροχής Υπηρεσίας (Denial of Service) Πλαστοπροσωπία (Masquerade) Ανάλυση Κίνησης (Traffic Analysis) 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
Απειλές και Απαιτήσεις Ασφάλειας στο SNMP Απειλή Απαίτηση-Τρόπος Προστασίας Τροποποίηση Αποκάλυψη Άρνηση Παροχής Υπηρεσίας Πλαστοπρωσοπία Ανάλυση-Κίνησης 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
Παραδείγματα Επιθέσεων στο SNMP (1/2) Χρήση των προκαθορισμένων αλφαριθμιτικών κοινοτήτων στο SNMP (public, private) Αποτροπή αποστολής trap κατά τη διαδικασία αυθεντικοποίησης Πλημμύρα Αιτήσεων ICMP Echo Υποκλοπή των μηνυμάτων SNMP Επιθέσεις μη συμβατών μηνυμάτων 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
Παραδείγματα Επιθέσεων στο SNMP (2/2) cross-site scripting Επιθέσεις πλημμύρας με τη χρήση SNMP μηνυμάτων 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
Πανεπιστήμιο Πελλοπονήσου Ασφάλεια στο SNMP v1 Βασικός Μηχανισμός Ασφάλειας στο SNMP Κοινότητα (Community) 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
Υποσύστημα Ασφάλειας στο SNMP v3 Μοντέλο Ασφάλειας Α Μοντέλο Ασφάλειας Β Μοντέλο Ασφάλειας Γ Υποσύστημα Ασφάλειας 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
Υποσύστημα Ασφάλειας SNMP Το μοντέλο ασφάλειας προσδιορίζει τις απειλές-επιθέσεις από τις οποίες προστατεύει το σύστημα τους μηχανισμούς ασφάλειας Μοντέλο ασφάλειας βασισμένο στο χρήστη RFC 3414 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
Μοντέλο Ασφάλειας Βασισμένο στο Χρήστη Απειλές Τροποποίηση Πλαστοπροσωπία Αποκάλυψη Υπηρεσίες Ασφάλειας Ακεραιότητα Αυθεντικότητα Αποστολέα (Data Origin Authentication) Εμπιστευτικότητα Χρονική Διάρκεια Ζωής Μηνύματος (Message Timeline) 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
Μοντέλο Ασφάλειας Βασισμένο στο Χρήστη Διαχωρίζεται σε τρία αρθρώματα (modules) Αυθεντικοποίησης Ακεραιότητα Αυθεντικότητα Αποστολέα Χρονικής Διάρκειας Επανεκπομπή Εμπιστευτικότητας 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
Βασικές Ιδιότητες ΜΑΒΧ UserName securityName authProtocol authKey authKeyChange/authOwnKeyChange privProtocol privKey privKeyChange/privOwnKeyChange 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
Άρθρωμα Αυθεντικοποίησης ΜΑΒΧ Περιγραφή Hashed Message Authentication Code (RFC 2104) H(K XOR opad, H(K XOR ipad, text)), όπου Η είναι μια συνάρτηση σύνοψης HMAC-MD5-96 HMAC-SHA-96 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
Αρθρωμα Αυθεντικοποίησης ΜΑΒΧ msgVersion msgID msgMaxSize msgSecurityModel msgAuthoritativeEngineID msgAuthoritativeEngineBoots msgAuthoritativeEnginetime msgUserName msgAuthenticationParameters msgPrivacyParameters contextEngineID ContxtName PDU 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
Άρθρωμα Εμπιστευτικότητας ΜΑΒΧ msgVersion msgID msgMaxSize msgSecurityModel msgAuthoritativeEngineID msgAuthoritativeEngineBoots msgAuthoritativeEnginetime msgUserName msgAuthenticationParameters msgPrivacyParameters contextEngineID ContxtName PDU DES-CBC 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
Πανεπιστήμιο Πελλοπονήσου Διαχείριση Κλειδιών Κλειδί Αυθεντικοποίησης Κλειδί Εμπιστευτικότητας Δημιουργία με βάση το συνθηματικό του χρήστη 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
Πανεπιστήμιο Πελλοπονήσου Άρθρωμα Χρονισμού Παρέχει προστασία από Καθυστέρηση παράδοσης μηνυμάτων Επιθέσεις επαναλήψεων 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
Πανεπιστήμιο Πελλοπονήσου Άρθρωμα Χρονισμού Τρόπος λειτουργίας Για κάθε μηχανή SNMP διατηρούνται: snmpEngineBoots snmpEngineTime (συχγρονίζεται με το απομακρισμένο σύστημα) latestReceivedEngineTime Ποιά είναι η χρήση της; Συγχρονισμός (σε κάθε μήνυμα) msgAuthoritativeEngineBoot msgAuthoritativeEngineTime msgAuthoritativeEnigneID 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
Πανεπιστήμιο Πελλοπονήσου Άρθρωμα Χρονισμού Εάν το μήνυμα είναι «αυθεντικό» και μέσα στο παράθυρο του χρόνου τότε ενημερώνει τις τοπικές μεταβλητές (για την απομακρυσμένη μηχανή) Συνθήκες ενημέρωσης α)snmpEngineboot < msgAuthoritativeEngineBoot β) snmpEngineboot = msgAuthoritativeEngineBoot & msgAuthoritativeEngineTime > latestReceivedEngineTime Απαιτείται η χρήση του αρθρώματος αυθεντικοποίησης 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
Πανεπιστήμιο Πελλοπονήσου Άρθρωμα Χρονισμού Παράθυρο Χρονισμού (time window) Παράμετροι που το επηρεάζουν Roundtrip Ακρίβεια από το ρολογίου Μικρό Παράθυρο Χρονισμού Αυθεντικποιημένα μηνύματα μπορεί να αποριφθούν Μεγάλο Παράθυρο Χρονισμού Επιθέσεις επανάληψης μπορούν να πραγματοποιηθούν Καθυστερήσεις 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
Πανεπιστήμιο Πελλοπονήσου Σύνοψη SNMP 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
Πανεπιστήμιο Πελλοπονήσου Ερωτήσεις 10/13/2017 Πανεπιστήμιο Πελλοπονήσου