Η παρουσίαση φορτώνεται. Παρακαλείστε να περιμένετε

Η παρουσίαση φορτώνεται. Παρακαλείστε να περιμένετε

Διαχείριση & Ασφάλεια Δικτύων Διάλεξη 2-To Πρωτόκολο SNMP

Παρόμοιες παρουσιάσεις


Παρουσίαση με θέμα: "Διαχείριση & Ασφάλεια Δικτύων Διάλεξη 2-To Πρωτόκολο SNMP"— Μεταγράφημα παρουσίασης:

1 Διαχείριση & Ασφάλεια Δικτύων Διάλεξη 2-To Πρωτόκολο SNMP
Πανεπιστήμιο Πελοποννήσου Τμήμα Επιστήμης & Τεχνολογίας Τηλεπικοινωνιών Διαχείριση & Ασφάλεια Δικτύων Διάλεξη 2-To Πρωτόκολο SNMP Διδάσκων: Δρ. Γενειατάκης Δημήτρης Στο τέλος της διάλεξης αυτής θα πρέπει να δούμε λεπτομέρειες σχετικά με τον τρόπο λειτουργίας του SNMP σε ένα αληθινό δίκτυο ή έστω... Σε χρησιμοποιώντας κάτι έτοιμο...

2 Πανεπιστήμιο Πελλοπονήσου
Περιεχόμενα Ενότητα 2 Βάση Διαχείρισης Πληροφοριών Πρωτόκολλα Διαχείρισης SNMP 10/13/2017 Πανεπιστήμιο Πελλοπονήσου

3 Βάση Πληροφοριών Διαχείρισης (1/5)
Βάση Δεδομένων Σταθμοί διαχείρισης δεν επικοινωνούν άμεσα με τα δικτυακά στοιχεία αλλά έμμεσα μέσω της βάσης πληροφοριών διαχείρισης Λειτουργίες που εκτελούνται προς τη βάση πληροφοριών Ερωτήσεις Τροποποιήσεις Δομείται ιεραρχικά (σύμφωνα με το RFC 1155) 10/13/2017 Πανεπιστήμιο Πελλοπονήσου

4 Βάση Πληροφοριών Διαχείρισης (2/5)
Ονοματοδοσία αντικειμένων της MIB Κάθε στοιχείο-αντικείμενο μιας MIB προσδιορίζεται μοναδικά από ένα αναγνωριστικό Σχήμα ονοματοδοσίας Αντικειμενοστραφές Ιεραρχικό Κάθε διαχειριζόμενο αντικείμενο περιγράφεται σύμφωνα με συγκεκριμένους κανόνες Χρήση ASN.1 Δικτυακά στοιχεία διαφορετικών κατασκευαστών 10/13/2017 Πανεπιστήμιο Πελλοπονήσου

5 Bάση Πληροφοριών Διαχείρισης (3/5)
Δομή διαχειριζόμενων αντικειμένων Γενική Σύνταξη ASN.1 Valuerefernce <type> ::=value Δεν καλύπτει τις ανάγκες για την περιγραφή των αντικειμένων διαχείρισης 10/13/2017 Πανεπιστήμιο Πελλοπονήσου

6 Βάση Πληροφοριών Διαχείρισης (4/5)
Δομή διαχειριζόμενων αντικειμένων (RFC 1155) OBJECT-TYPE MACRO ::= BEGIN TYPE NOTATION ::= "SYNTAX" type (TYPE ObjectSyntax) "ACCESS" Access "STATUS" Status VALUE NOTATION ::= value (VALUE ObjectName) Access ::= "read-only" | "read-write" | "write-only" | "not-accessible" Status ::= "mandatory" | "optional” | "obsolete" END 10/13/2017 Πανεπιστήμιο Πελλοπονήσου

7 Βάση Πληροφοριών Διαχείρισης (5/5)
(a)ipNetToMediaPhysAddress OBJECT-TYPE SYNTAX OCTET STRING ACCESS read-write STATUS mandatory DESCRIPTION "The media-dependent 'physical' address." ::= { ipNetToMediaEntry 2 } 10/13/2017 Πανεπιστήμιο Πελλοπονήσου

8 Ορισμός Βάσης Διαχείρισης Πληροφοριών
MIB-II (RFC 1213) mib-2 OBJECT IDENTIFIER ::= { mgmt 1 } System OBJECT IDENTIFIER ::= { mib-2 1 } interfaces OBJECT IDENTIFIER ::= { mib-2 2 } At OBJECT IDENTIFIER ::= { mib-2 3 } Ip OBJECT IDENTIFIER ::= { mib-2 4 } Icmp OBJECT IDENTIFIER ::= { mib-2 5 } tcp OBJECT IDENTIFIER ::= { mib-2 6 } udp OBJECT IDENTIFIER ::= { mib-2 7 } egp OBJECT IDENTIFIER ::= { mib-2 8 } 10/13/2017 Πανεπιστήμιο Πελλοπονήσου

9 Ιεαρχική Δομή Βάσης Πληροφοριών Διαχείρισης
root ccit (0) osi (1) org(3) dod (6) internet (1) directory (1) mgmt (2) MIB (1) system (1) interface (2) addres tr (3) IP (4) ICMP (5) TCP (6) UDP (7) experimental (3) private (4) ccitosi (2) 10/13/2017 Πανεπιστήμιο Πελλοπονήσου

10 Ιεραρχική Δομή Βάσης Πληροφοριών Διαχείρισης
Host (mib -25) hrsystem hrstorage hrDevice hrSwRun hrSWRunPerf hrSWInstalled 10/13/2017 Πανεπιστήμιο Πελλοπονήσου

11 Ιεαρχικό Μοντέλο Βάσης Πληροφοριών Διαχείρισης - Εξοικοίωση
Να ορισθεί ένα νέο διαχειρίσιμο αντικείμενο στην παραπάνω αρχιτεκτονική στο διαχειριστικό τομέα του internet Να ορισθεί μια νέα ιδιότητα στο διαχειριστικό τομέα του system 10/13/2017 Πανεπιστήμιο Πελλοπονήσου

12 Βασικά Πρωτόκολλα Διαχείρισης Δικτύων
Simple Network Management Protocol (SNMP) Telecommunication Management Network (TMN) Common Management Information Protocol (CMIP) 10/13/2017 Πανεπιστήμιο Πελλοπονήσου

13 Πρότυπα Περιγραφής SNMP (1/3)
RFC 1155 Structure and Identification of Management Information for TCP/IP-based Internets RFC 2570 Introduction to Version 3 of the Internet-standard Network Management Framework RFC 1213 Management Information Base for Network Management of TCP/IP-based internets 10/13/2017 Πανεπιστήμιο Πελλοπονήσου

14 Πρότυπα Περιγραφής SNMP (2/3)
RFC 2271 An Architecture for Describing SNMP Management Framework RFC 2272 Message Processing and Dispatching for the Simple Network Management Protocol (SNMP) RFC 2273 SNMPv3 Applications 10/13/2017 Πανεπιστήμιο Πελλοπονήσου

15 Πρότυπα Περιγραφής SNMP (3/3)
RFC 3414 User-based Security Model (USM) for version 3 of the Simple Network Management Protocol (SNMPv3) RFC 2275 View-based Access Control Model (VACM) for the Simple Network Management Protocol (SNMP) 10/13/2017 Πανεπιστήμιο Πελλοπονήσου

16 Πανεπιστήμιο Πελλοπονήσου
Εισαγωγή στο SNMP Simple Network Management Protocol (SNMP) Μπορεί να χρησιμοποιηθεί για τη διαχείριση Unix Windows Εκτυπωτές Δρομολογητές κ.α 10/13/2017 Πανεπιστήμιο Πελλοπονήσου

17 Βασική Αρχιτεκτονική SNMP
Πρωτόκολλο Επιπέδου Εφαρμογής SNMP στην αρχιτεκτονική του διαδικτύου SNMP UDP IP Network Διαχειρίσμος Κόμβος Διαχειριστής 10/13/2017 Πανεπιστήμιο Πελλοπονήσου

18 Αρχιτεκτονική Διαχείρισης SNMP
10/13/2017 Πανεπιστήμιο Πελλοπονήσου

19 Πανεπιστήμιο Πελλοπονήσου
Δομικά Στοιχεία SNMP 10/13/2017 Πανεπιστήμιο Πελλοπονήσου

20 Πανεπιστήμιο Πελλοπονήσου
Λειτουργικότητα SNMP Ανάκτηση Πληροφοριών (GET) Ανάθεση-Τροποποίηση Πληροφοριών (SET) Παγίδες (TRAPS) ΝΑ ΕΛΕΓΘΕΙ ΕΑΝ ΥΠΑΡΧΟΥΝ ΣΥΓΚΕΚΡΙΜΕΝΕΣ ΠΑΓΙΔΕΣ ΣΤΟΥΣ ROUTERS ΤΗΣ CISCO 10/13/2017 Πανεπιστήμιο Πελλοπονήσου

21 Πανεπιστήμιο Πελλοπονήσου
Οι Eντολές SNMP GetRequestPDU GetNextRequestPDU GetResponsePDU SetRequestPDU Trap Notification (v2) Inform (v2) Report (v2) 10/13/2017 Πανεπιστήμιο Πελλοπονήσου

22 Δομή Αιτήσεων/Αποκρίσεων SNMP v1
Έκδοση Αναγνωριστικό ομάδας Μονάδα Δεδομένων πρωτοκόλλου PDU TYPE REQUEST-ID ERROR ERROR-INDEX VARIABLE- BINDINGS Na thimithw na kanw sxima sto pinaka sxetika me to community Object Name -Value 10/13/2017 Πανεπιστήμιο Πελλοπονήσου

23 Δομή Μηνύματων SNMP v3 10/13/2017 Πανεπιστήμιο Πελλοπονήσου msgVersion
msgID msgMaxSize msgSecurityModel msgeAuthoritativeEngineID msgAuthoritativeEngineBoots msgAuthoritativeEnginetime msgUserName msgAuthenticationParameters msgPrivacyParameters contextEngineID ContxtName PDU 10/13/2017 Πανεπιστήμιο Πελλοπονήσου

24 Παράδειγμα Λειτουργίας (1/2)
Ο διαχειριστής αποστέλει προς τη διαχειριζόμενη συσκευή GetRequest (GetRequest-PDU, 1, 0, 0, ( , NULL)) Ο Πράκτορας αποκρίνεται GetResponse (GetRequest-PDU, 1, 0, 0, ( , 235)) Πως θα ήταν η δομή της εντολής GetNextRequest? 10/13/2017 Πανεπιστήμιο Πελλοπονήσου

25 Παράδειγμα Λειτουργίας (2/2)
Ο διαχειριστής αποστέλει προς τη διαχειριζόμενη συσκευή SetRequest (SetRequest-PDU, 1, 0, 0, ( , 100)) Ο Πράκτορας αποκρίνεται GetResponse (SetRequest-PDU, 1, 0, 0, ( , 100)) 10/13/2017 Πανεπιστήμιο Πελλοπονήσου

26 Αρχιτεκτονική Διαχείρισης SNMP
10/13/2017 Πανεπιστήμιο Πελοποννήσου

27 Πανεπιστήμιο Πελλοπονήσου
SNMP Traps 10/13/2017 Πανεπιστήμιο Πελλοπονήσου

28 Δομή Traps SNMP v1 Έκδοση Αναγνωριστικό ομάδας
Μονάδα Δεδομένων πρωτοκόλλου PDU TYPE ENTEPRISE AGENT-ADDR GENERIC-TRAP VARIABLE- BINDINGS SPECIFI-TRAP enterprise: Προσδιορίζει τον agent που προκάλεσε το trap. Η τιμή του λαμβάνεται από το αντικείμενο sysObjectID του group system. 10/13/2017 Πανεπιστήμιο Πελλοπονήσου

29 Πανεπιστήμιο Πελλοπονήσου
Τύποι Trap (1/2) Generic Trap coldStart: μη αναμενόμενο restart του αντιπροσώπου warmStart αναμενόμενο restart του αντιπροσώπου linkDown αλλαγή της κατάστασης κάποιας διεπαφής (interface) από Up σε Down linkUp(3): αλλαγή της κατάστασης κάποιας διεπαφής από Down σε Up authenticationFailure: ο πράκτορας παρέλαβε ένα μήνυμα SNMP με community name που δεν αντιστοιχεί σε κάποιο από τα γνωστά communities που έχουν ορισθεί από αυτόν egpNeighborloss(5): κάποια από τις EGP συνδέσεις του αντιπροσώπου άλλαξε από κατάσταση Up σε κατάσταση Down 10/13/2017 Πανεπιστήμιο Πελλοπονήσου

30 Πανεπιστήμιο Πελλοπονήσου
Τύποι Trap (2/2) Generic Trap enterpriseSpecific(6): κάποιο άλλο ασυνήθιστο γεγονός συνέβη, το οποίο καθορίζεται στο πεδίο specific-trap. Specific Trap Ορίζεται από τον κατασκευαστή 10/13/2017 Πανεπιστήμιο Πελλοπονήσου

31 Παράδειγμα Διαχείρισης με το SNMP
Σέ ένα τοπικό δίκτυο υπάρχουν δύο εκτυπωτές λόγω βλάβης ο ένας από τους δύο εκτυπωτές τίθεται εκτός λειτουργίας, οπότε ο ενεργός εκτυπωτής θα πρέπει να λαμβάνει όλο το φόρτο εργασίας μέγιστο 100, ενώ το αρχικό του μέγιστο όριο είναι 50. Ποιά θα είναι η διαδικασία που θα ακολουθηθεί; 10/13/2017 Πανεπιστήμιο Πελλοπονήσου

32 Βασικές Εντολές SNMP σε UNIX
Snmpget Snmpwalk Snmpbulkget Snmpset 10/13/2017 Πανεπιστήμιο Πελλοπονήσου

33 Προετοιμασία για το Εργαστήριο
Ποιά είναι η λειτουργία των παραπάνω εντολών, Ποιοι είναι οι βασικοί παράμετροι που δέχονται Με τη χρήση των παραπάνω εντολών να εντοπισθεί το όνομα του κεντρικού router 10/13/2017 Πανεπιστήμιο Πελλοπονήσου

34 Πανεπιστήμιο Πελλοπονήσου
Ερωτήσεις 10/13/2017 Πανεπιστήμιο Πελλοπονήσου

35 Πανεπιστήμιο Πελλοπονήσου
Ασφάλεια στο SNMP Βασικές Απαιτήσεις Ασφάλειας Eμπιστευτικότητα – Confidentiality Ακεραιότητα – Integrity Αυθεντικότητα – Authenticity Έλεγχος Προσπέλασης (Access Control) 10/13/2017 Πανεπιστήμιο Πελλοπονήσου

36 Πανεπιστήμιο Πελλοπονήσου
Ασφάλεια στο SNMP Ορισμός Απειλής (Τhreat) H (δήλωση) πρόθεση(ς) μιας οντότητας να προκαλέσει ζημίες σε ένα σύστημα Οντότητα που μπορεί να προκαλέσει ζημιά ή παραβίαση σε τμήμα ή στο σύνολο του δικτύου Ορισμός Επίθεσης (Attack) Είναι η εκμετάλλευση μιας αδυναμίας από εισβολέα για την πραγματοποίηση απειλής 10/13/2017 Πανεπιστήμιο Πελλοπονήσου

37 Πανεπιστήμιο Πελλοπονήσου
Απειλές στο SNMP Τροποποίηση (Modification) Αποκάλυψη (Disclosure) Άρνηση Παροχής Υπηρεσίας (Denial of Service) Πλαστοπροσωπία (Masquerade) Ανάλυση Κίνησης (Traffic Analysis) 10/13/2017 Πανεπιστήμιο Πελλοπονήσου

38 Απειλές και Απαιτήσεις Ασφάλειας στο SNMP
Απειλή Απαίτηση-Τρόπος Προστασίας Τροποποίηση Αποκάλυψη Άρνηση Παροχής Υπηρεσίας Πλαστοπρωσοπία Ανάλυση-Κίνησης 10/13/2017 Πανεπιστήμιο Πελλοπονήσου

39 Παραδείγματα Επιθέσεων στο SNMP (1/2)
Χρήση των προκαθορισμένων αλφαριθμιτικών κοινοτήτων στο SNMP (public, private) Αποτροπή αποστολής trap κατά τη διαδικασία αυθεντικοποίησης Πλημμύρα Αιτήσεων ICMP Echo Υποκλοπή των μηνυμάτων SNMP Επιθέσεις μη συμβατών μηνυμάτων 10/13/2017 Πανεπιστήμιο Πελλοπονήσου

40 Παραδείγματα Επιθέσεων στο SNMP (2/2)
cross-site scripting Επιθέσεις πλημμύρας με τη χρήση SNMP μηνυμάτων 10/13/2017 Πανεπιστήμιο Πελλοπονήσου

41 Πανεπιστήμιο Πελλοπονήσου
Ασφάλεια στο SNMP v1 Βασικός Μηχανισμός Ασφάλειας στο SNMP Κοινότητα (Community) 10/13/2017 Πανεπιστήμιο Πελλοπονήσου

42 Υποσύστημα Ασφάλειας στο SNMP v3
Μοντέλο Ασφάλειας Α Μοντέλο Ασφάλειας Β Μοντέλο Ασφάλειας Γ Υποσύστημα Ασφάλειας 10/13/2017 Πανεπιστήμιο Πελλοπονήσου

43 Υποσύστημα Ασφάλειας SNMP
Το μοντέλο ασφάλειας προσδιορίζει τις απειλές-επιθέσεις από τις οποίες προστατεύει το σύστημα τους μηχανισμούς ασφάλειας Μοντέλο ασφάλειας βασισμένο στο χρήστη RFC 3414 10/13/2017 Πανεπιστήμιο Πελλοπονήσου

44 Μοντέλο Ασφάλειας Βασισμένο στο Χρήστη
Απειλές Τροποποίηση Πλαστοπροσωπία Αποκάλυψη Υπηρεσίες Ασφάλειας Ακεραιότητα Αυθεντικότητα Αποστολέα (Data Origin Authentication) Εμπιστευτικότητα Χρονική Διάρκεια Ζωής Μηνύματος (Message Timeline) 10/13/2017 Πανεπιστήμιο Πελλοπονήσου

45 Μοντέλο Ασφάλειας Βασισμένο στο Χρήστη
Διαχωρίζεται σε τρία αρθρώματα (modules) Αυθεντικοποίησης Ακεραιότητα Αυθεντικότητα Αποστολέα Χρονικής Διάρκειας Επανεκπομπή Εμπιστευτικότητας 10/13/2017 Πανεπιστήμιο Πελλοπονήσου

46 Βασικές Ιδιότητες ΜΑΒΧ
UserName securityName authProtocol authKey authKeyChange/authOwnKeyChange privProtocol privKey privKeyChange/privOwnKeyChange 10/13/2017 Πανεπιστήμιο Πελλοπονήσου

47 Άρθρωμα Αυθεντικοποίησης ΜΑΒΧ
Περιγραφή Hashed Message Authentication Code (RFC 2104) H(K XOR opad, H(K XOR ipad, text)), όπου Η είναι μια συνάρτηση σύνοψης HMAC-MD5-96 HMAC-SHA-96 10/13/2017 Πανεπιστήμιο Πελλοπονήσου

48 Αρθρωμα Αυθεντικοποίησης ΜΑΒΧ
msgVersion msgID msgMaxSize msgSecurityModel msgAuthoritativeEngineID msgAuthoritativeEngineBoots msgAuthoritativeEnginetime msgUserName msgAuthenticationParameters msgPrivacyParameters contextEngineID ContxtName PDU 10/13/2017 Πανεπιστήμιο Πελλοπονήσου

49 Άρθρωμα Εμπιστευτικότητας ΜΑΒΧ
msgVersion msgID msgMaxSize msgSecurityModel msgAuthoritativeEngineID msgAuthoritativeEngineBoots msgAuthoritativeEnginetime msgUserName msgAuthenticationParameters msgPrivacyParameters contextEngineID ContxtName PDU DES-CBC 10/13/2017 Πανεπιστήμιο Πελλοπονήσου

50 Πανεπιστήμιο Πελλοπονήσου
Διαχείριση Κλειδιών Κλειδί Αυθεντικοποίησης Κλειδί Εμπιστευτικότητας Δημιουργία με βάση το συνθηματικό του χρήστη 10/13/2017 Πανεπιστήμιο Πελλοπονήσου

51 Πανεπιστήμιο Πελλοπονήσου
Άρθρωμα Χρονισμού Παρέχει προστασία από Καθυστέρηση παράδοσης μηνυμάτων Επιθέσεις επαναλήψεων 10/13/2017 Πανεπιστήμιο Πελλοπονήσου

52 Πανεπιστήμιο Πελλοπονήσου
Άρθρωμα Χρονισμού Τρόπος λειτουργίας Για κάθε μηχανή SNMP διατηρούνται: snmpEngineBoots snmpEngineTime (συχγρονίζεται με το απομακρισμένο σύστημα) latestReceivedEngineTime Ποιά είναι η χρήση της; Συγχρονισμός (σε κάθε μήνυμα) msgAuthoritativeEngineBoot msgAuthoritativeEngineTime msgAuthoritativeEnigneID 10/13/2017 Πανεπιστήμιο Πελλοπονήσου

53 Πανεπιστήμιο Πελλοπονήσου
Άρθρωμα Χρονισμού Εάν το μήνυμα είναι «αυθεντικό» και μέσα στο παράθυρο του χρόνου τότε ενημερώνει τις τοπικές μεταβλητές (για την απομακρυσμένη μηχανή) Συνθήκες ενημέρωσης α)snmpEngineboot < msgAuthoritativeEngineBoot β) snmpEngineboot = msgAuthoritativeEngineBoot & msgAuthoritativeEngineTime > latestReceivedEngineTime Απαιτείται η χρήση του αρθρώματος αυθεντικοποίησης 10/13/2017 Πανεπιστήμιο Πελλοπονήσου

54 Πανεπιστήμιο Πελλοπονήσου
Άρθρωμα Χρονισμού Παράθυρο Χρονισμού (time window) Παράμετροι που το επηρεάζουν Roundtrip Ακρίβεια από το ρολογίου Μικρό Παράθυρο Χρονισμού Αυθεντικποιημένα μηνύματα μπορεί να αποριφθούν Μεγάλο Παράθυρο Χρονισμού Επιθέσεις επανάληψης μπορούν να πραγματοποιηθούν Καθυστερήσεις 10/13/2017 Πανεπιστήμιο Πελλοπονήσου

55 Πανεπιστήμιο Πελλοπονήσου
Σύνοψη SNMP 10/13/2017 Πανεπιστήμιο Πελλοπονήσου

56 Πανεπιστήμιο Πελλοπονήσου
Ερωτήσεις 10/13/2017 Πανεπιστήμιο Πελλοπονήσου


Κατέβασμα ppt "Διαχείριση & Ασφάλεια Δικτύων Διάλεξη 2-To Πρωτόκολο SNMP"

Παρόμοιες παρουσιάσεις


Διαφημίσεις Google