Κατέβασμα παρουσίασης
Η παρουσίαση φορτώνεται. Παρακαλείστε να περιμένετε
ΔημοσίευσεἙλένη Σωστράτη Βιτάλης Τροποποιήθηκε πριν 7 χρόνια
1
Διαχείριση & Ασφάλεια Δικτύων Διάλεξη 2-To Πρωτόκολο SNMP
Πανεπιστήμιο Πελοποννήσου Τμήμα Επιστήμης & Τεχνολογίας Τηλεπικοινωνιών Διαχείριση & Ασφάλεια Δικτύων Διάλεξη 2-To Πρωτόκολο SNMP Διδάσκων: Δρ. Γενειατάκης Δημήτρης Στο τέλος της διάλεξης αυτής θα πρέπει να δούμε λεπτομέρειες σχετικά με τον τρόπο λειτουργίας του SNMP σε ένα αληθινό δίκτυο ή έστω... Σε χρησιμοποιώντας κάτι έτοιμο...
2
Πανεπιστήμιο Πελλοπονήσου
Περιεχόμενα Ενότητα 2 Βάση Διαχείρισης Πληροφοριών Πρωτόκολλα Διαχείρισης SNMP 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
3
Βάση Πληροφοριών Διαχείρισης (1/5)
Βάση Δεδομένων Σταθμοί διαχείρισης δεν επικοινωνούν άμεσα με τα δικτυακά στοιχεία αλλά έμμεσα μέσω της βάσης πληροφοριών διαχείρισης Λειτουργίες που εκτελούνται προς τη βάση πληροφοριών Ερωτήσεις Τροποποιήσεις Δομείται ιεραρχικά (σύμφωνα με το RFC 1155) 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
4
Βάση Πληροφοριών Διαχείρισης (2/5)
Ονοματοδοσία αντικειμένων της MIB Κάθε στοιχείο-αντικείμενο μιας MIB προσδιορίζεται μοναδικά από ένα αναγνωριστικό Σχήμα ονοματοδοσίας Αντικειμενοστραφές Ιεραρχικό Κάθε διαχειριζόμενο αντικείμενο περιγράφεται σύμφωνα με συγκεκριμένους κανόνες Χρήση ASN.1 Δικτυακά στοιχεία διαφορετικών κατασκευαστών 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
5
Bάση Πληροφοριών Διαχείρισης (3/5)
Δομή διαχειριζόμενων αντικειμένων Γενική Σύνταξη ASN.1 Valuerefernce <type> ::=value Δεν καλύπτει τις ανάγκες για την περιγραφή των αντικειμένων διαχείρισης 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
6
Βάση Πληροφοριών Διαχείρισης (4/5)
Δομή διαχειριζόμενων αντικειμένων (RFC 1155) OBJECT-TYPE MACRO ::= BEGIN TYPE NOTATION ::= "SYNTAX" type (TYPE ObjectSyntax) "ACCESS" Access "STATUS" Status VALUE NOTATION ::= value (VALUE ObjectName) Access ::= "read-only" | "read-write" | "write-only" | "not-accessible" Status ::= "mandatory" | "optional” | "obsolete" END 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
7
Βάση Πληροφοριών Διαχείρισης (5/5)
(a)ipNetToMediaPhysAddress OBJECT-TYPE SYNTAX OCTET STRING ACCESS read-write STATUS mandatory DESCRIPTION "The media-dependent 'physical' address." ::= { ipNetToMediaEntry 2 } 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
8
Ορισμός Βάσης Διαχείρισης Πληροφοριών
MIB-II (RFC 1213) mib-2 OBJECT IDENTIFIER ::= { mgmt 1 } System OBJECT IDENTIFIER ::= { mib-2 1 } interfaces OBJECT IDENTIFIER ::= { mib-2 2 } At OBJECT IDENTIFIER ::= { mib-2 3 } Ip OBJECT IDENTIFIER ::= { mib-2 4 } Icmp OBJECT IDENTIFIER ::= { mib-2 5 } tcp OBJECT IDENTIFIER ::= { mib-2 6 } udp OBJECT IDENTIFIER ::= { mib-2 7 } egp OBJECT IDENTIFIER ::= { mib-2 8 } 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
9
Ιεαρχική Δομή Βάσης Πληροφοριών Διαχείρισης
root ccit (0) osi (1) org(3) dod (6) internet (1) directory (1) mgmt (2) MIB (1) system (1) interface (2) addres tr (3) IP (4) ICMP (5) TCP (6) UDP (7) experimental (3) private (4) ccitosi (2) 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
10
Ιεραρχική Δομή Βάσης Πληροφοριών Διαχείρισης
Host (mib -25) hrsystem hrstorage hrDevice hrSwRun hrSWRunPerf hrSWInstalled 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
11
Ιεαρχικό Μοντέλο Βάσης Πληροφοριών Διαχείρισης - Εξοικοίωση
Να ορισθεί ένα νέο διαχειρίσιμο αντικείμενο στην παραπάνω αρχιτεκτονική στο διαχειριστικό τομέα του internet Να ορισθεί μια νέα ιδιότητα στο διαχειριστικό τομέα του system 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
12
Βασικά Πρωτόκολλα Διαχείρισης Δικτύων
Simple Network Management Protocol (SNMP) Telecommunication Management Network (TMN) Common Management Information Protocol (CMIP) 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
13
Πρότυπα Περιγραφής SNMP (1/3)
RFC 1155 Structure and Identification of Management Information for TCP/IP-based Internets RFC 2570 Introduction to Version 3 of the Internet-standard Network Management Framework RFC 1213 Management Information Base for Network Management of TCP/IP-based internets 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
14
Πρότυπα Περιγραφής SNMP (2/3)
RFC 2271 An Architecture for Describing SNMP Management Framework RFC 2272 Message Processing and Dispatching for the Simple Network Management Protocol (SNMP) RFC 2273 SNMPv3 Applications 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
15
Πρότυπα Περιγραφής SNMP (3/3)
RFC 3414 User-based Security Model (USM) for version 3 of the Simple Network Management Protocol (SNMPv3) RFC 2275 View-based Access Control Model (VACM) for the Simple Network Management Protocol (SNMP) 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
16
Πανεπιστήμιο Πελλοπονήσου
Εισαγωγή στο SNMP Simple Network Management Protocol (SNMP) Μπορεί να χρησιμοποιηθεί για τη διαχείριση Unix Windows Εκτυπωτές Δρομολογητές κ.α 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
17
Βασική Αρχιτεκτονική SNMP
Πρωτόκολλο Επιπέδου Εφαρμογής SNMP στην αρχιτεκτονική του διαδικτύου SNMP UDP IP Network Διαχειρίσμος Κόμβος Διαχειριστής 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
18
Αρχιτεκτονική Διαχείρισης SNMP
10/13/2017 Πανεπιστήμιο Πελλοπονήσου
19
Πανεπιστήμιο Πελλοπονήσου
Δομικά Στοιχεία SNMP 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
20
Πανεπιστήμιο Πελλοπονήσου
Λειτουργικότητα SNMP Ανάκτηση Πληροφοριών (GET) Ανάθεση-Τροποποίηση Πληροφοριών (SET) Παγίδες (TRAPS) ΝΑ ΕΛΕΓΘΕΙ ΕΑΝ ΥΠΑΡΧΟΥΝ ΣΥΓΚΕΚΡΙΜΕΝΕΣ ΠΑΓΙΔΕΣ ΣΤΟΥΣ ROUTERS ΤΗΣ CISCO 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
21
Πανεπιστήμιο Πελλοπονήσου
Οι Eντολές SNMP GetRequestPDU GetNextRequestPDU GetResponsePDU SetRequestPDU Trap Notification (v2) Inform (v2) Report (v2) 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
22
Δομή Αιτήσεων/Αποκρίσεων SNMP v1
Έκδοση Αναγνωριστικό ομάδας Μονάδα Δεδομένων πρωτοκόλλου PDU TYPE REQUEST-ID ERROR ERROR-INDEX VARIABLE- BINDINGS Na thimithw na kanw sxima sto pinaka sxetika me to community Object Name -Value 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
23
Δομή Μηνύματων SNMP v3 10/13/2017 Πανεπιστήμιο Πελλοπονήσου msgVersion
msgID msgMaxSize msgSecurityModel msgeAuthoritativeEngineID msgAuthoritativeEngineBoots msgAuthoritativeEnginetime msgUserName msgAuthenticationParameters msgPrivacyParameters contextEngineID ContxtName PDU 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
24
Παράδειγμα Λειτουργίας (1/2)
Ο διαχειριστής αποστέλει προς τη διαχειριζόμενη συσκευή GetRequest (GetRequest-PDU, 1, 0, 0, ( , NULL)) Ο Πράκτορας αποκρίνεται GetResponse (GetRequest-PDU, 1, 0, 0, ( , 235)) Πως θα ήταν η δομή της εντολής GetNextRequest? 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
25
Παράδειγμα Λειτουργίας (2/2)
Ο διαχειριστής αποστέλει προς τη διαχειριζόμενη συσκευή SetRequest (SetRequest-PDU, 1, 0, 0, ( , 100)) Ο Πράκτορας αποκρίνεται GetResponse (SetRequest-PDU, 1, 0, 0, ( , 100)) 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
26
Αρχιτεκτονική Διαχείρισης SNMP
10/13/2017 Πανεπιστήμιο Πελοποννήσου
27
Πανεπιστήμιο Πελλοπονήσου
SNMP Traps 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
28
Δομή Traps SNMP v1 Έκδοση Αναγνωριστικό ομάδας
Μονάδα Δεδομένων πρωτοκόλλου PDU TYPE ENTEPRISE AGENT-ADDR GENERIC-TRAP VARIABLE- BINDINGS SPECIFI-TRAP enterprise: Προσδιορίζει τον agent που προκάλεσε το trap. Η τιμή του λαμβάνεται από το αντικείμενο sysObjectID του group system. 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
29
Πανεπιστήμιο Πελλοπονήσου
Τύποι Trap (1/2) Generic Trap coldStart: μη αναμενόμενο restart του αντιπροσώπου warmStart αναμενόμενο restart του αντιπροσώπου linkDown αλλαγή της κατάστασης κάποιας διεπαφής (interface) από Up σε Down linkUp(3): αλλαγή της κατάστασης κάποιας διεπαφής από Down σε Up authenticationFailure: ο πράκτορας παρέλαβε ένα μήνυμα SNMP με community name που δεν αντιστοιχεί σε κάποιο από τα γνωστά communities που έχουν ορισθεί από αυτόν egpNeighborloss(5): κάποια από τις EGP συνδέσεις του αντιπροσώπου άλλαξε από κατάσταση Up σε κατάσταση Down 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
30
Πανεπιστήμιο Πελλοπονήσου
Τύποι Trap (2/2) Generic Trap enterpriseSpecific(6): κάποιο άλλο ασυνήθιστο γεγονός συνέβη, το οποίο καθορίζεται στο πεδίο specific-trap. Specific Trap Ορίζεται από τον κατασκευαστή 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
31
Παράδειγμα Διαχείρισης με το SNMP
Σέ ένα τοπικό δίκτυο υπάρχουν δύο εκτυπωτές λόγω βλάβης ο ένας από τους δύο εκτυπωτές τίθεται εκτός λειτουργίας, οπότε ο ενεργός εκτυπωτής θα πρέπει να λαμβάνει όλο το φόρτο εργασίας μέγιστο 100, ενώ το αρχικό του μέγιστο όριο είναι 50. Ποιά θα είναι η διαδικασία που θα ακολουθηθεί; 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
32
Βασικές Εντολές SNMP σε UNIX
Snmpget Snmpwalk Snmpbulkget Snmpset 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
33
Προετοιμασία για το Εργαστήριο
Ποιά είναι η λειτουργία των παραπάνω εντολών, Ποιοι είναι οι βασικοί παράμετροι που δέχονται Με τη χρήση των παραπάνω εντολών να εντοπισθεί το όνομα του κεντρικού router 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
34
Πανεπιστήμιο Πελλοπονήσου
Ερωτήσεις 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
35
Πανεπιστήμιο Πελλοπονήσου
Ασφάλεια στο SNMP Βασικές Απαιτήσεις Ασφάλειας Eμπιστευτικότητα – Confidentiality Ακεραιότητα – Integrity Αυθεντικότητα – Authenticity Έλεγχος Προσπέλασης (Access Control) 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
36
Πανεπιστήμιο Πελλοπονήσου
Ασφάλεια στο SNMP Ορισμός Απειλής (Τhreat) H (δήλωση) πρόθεση(ς) μιας οντότητας να προκαλέσει ζημίες σε ένα σύστημα Οντότητα που μπορεί να προκαλέσει ζημιά ή παραβίαση σε τμήμα ή στο σύνολο του δικτύου Ορισμός Επίθεσης (Attack) Είναι η εκμετάλλευση μιας αδυναμίας από εισβολέα για την πραγματοποίηση απειλής 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
37
Πανεπιστήμιο Πελλοπονήσου
Απειλές στο SNMP Τροποποίηση (Modification) Αποκάλυψη (Disclosure) Άρνηση Παροχής Υπηρεσίας (Denial of Service) Πλαστοπροσωπία (Masquerade) Ανάλυση Κίνησης (Traffic Analysis) 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
38
Απειλές και Απαιτήσεις Ασφάλειας στο SNMP
Απειλή Απαίτηση-Τρόπος Προστασίας Τροποποίηση Αποκάλυψη Άρνηση Παροχής Υπηρεσίας Πλαστοπρωσοπία Ανάλυση-Κίνησης 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
39
Παραδείγματα Επιθέσεων στο SNMP (1/2)
Χρήση των προκαθορισμένων αλφαριθμιτικών κοινοτήτων στο SNMP (public, private) Αποτροπή αποστολής trap κατά τη διαδικασία αυθεντικοποίησης Πλημμύρα Αιτήσεων ICMP Echo Υποκλοπή των μηνυμάτων SNMP Επιθέσεις μη συμβατών μηνυμάτων 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
40
Παραδείγματα Επιθέσεων στο SNMP (2/2)
cross-site scripting Επιθέσεις πλημμύρας με τη χρήση SNMP μηνυμάτων 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
41
Πανεπιστήμιο Πελλοπονήσου
Ασφάλεια στο SNMP v1 Βασικός Μηχανισμός Ασφάλειας στο SNMP Κοινότητα (Community) 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
42
Υποσύστημα Ασφάλειας στο SNMP v3
Μοντέλο Ασφάλειας Α Μοντέλο Ασφάλειας Β Μοντέλο Ασφάλειας Γ Υποσύστημα Ασφάλειας 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
43
Υποσύστημα Ασφάλειας SNMP
Το μοντέλο ασφάλειας προσδιορίζει τις απειλές-επιθέσεις από τις οποίες προστατεύει το σύστημα τους μηχανισμούς ασφάλειας Μοντέλο ασφάλειας βασισμένο στο χρήστη RFC 3414 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
44
Μοντέλο Ασφάλειας Βασισμένο στο Χρήστη
Απειλές Τροποποίηση Πλαστοπροσωπία Αποκάλυψη Υπηρεσίες Ασφάλειας Ακεραιότητα Αυθεντικότητα Αποστολέα (Data Origin Authentication) Εμπιστευτικότητα Χρονική Διάρκεια Ζωής Μηνύματος (Message Timeline) 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
45
Μοντέλο Ασφάλειας Βασισμένο στο Χρήστη
Διαχωρίζεται σε τρία αρθρώματα (modules) Αυθεντικοποίησης Ακεραιότητα Αυθεντικότητα Αποστολέα Χρονικής Διάρκειας Επανεκπομπή Εμπιστευτικότητας 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
46
Βασικές Ιδιότητες ΜΑΒΧ
UserName securityName authProtocol authKey authKeyChange/authOwnKeyChange privProtocol privKey privKeyChange/privOwnKeyChange 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
47
Άρθρωμα Αυθεντικοποίησης ΜΑΒΧ
Περιγραφή Hashed Message Authentication Code (RFC 2104) H(K XOR opad, H(K XOR ipad, text)), όπου Η είναι μια συνάρτηση σύνοψης HMAC-MD5-96 HMAC-SHA-96 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
48
Αρθρωμα Αυθεντικοποίησης ΜΑΒΧ
msgVersion msgID msgMaxSize msgSecurityModel msgAuthoritativeEngineID msgAuthoritativeEngineBoots msgAuthoritativeEnginetime msgUserName msgAuthenticationParameters msgPrivacyParameters contextEngineID ContxtName PDU 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
49
Άρθρωμα Εμπιστευτικότητας ΜΑΒΧ
msgVersion msgID msgMaxSize msgSecurityModel msgAuthoritativeEngineID msgAuthoritativeEngineBoots msgAuthoritativeEnginetime msgUserName msgAuthenticationParameters msgPrivacyParameters contextEngineID ContxtName PDU DES-CBC 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
50
Πανεπιστήμιο Πελλοπονήσου
Διαχείριση Κλειδιών Κλειδί Αυθεντικοποίησης Κλειδί Εμπιστευτικότητας Δημιουργία με βάση το συνθηματικό του χρήστη 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
51
Πανεπιστήμιο Πελλοπονήσου
Άρθρωμα Χρονισμού Παρέχει προστασία από Καθυστέρηση παράδοσης μηνυμάτων Επιθέσεις επαναλήψεων 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
52
Πανεπιστήμιο Πελλοπονήσου
Άρθρωμα Χρονισμού Τρόπος λειτουργίας Για κάθε μηχανή SNMP διατηρούνται: snmpEngineBoots snmpEngineTime (συχγρονίζεται με το απομακρισμένο σύστημα) latestReceivedEngineTime Ποιά είναι η χρήση της; Συγχρονισμός (σε κάθε μήνυμα) msgAuthoritativeEngineBoot msgAuthoritativeEngineTime msgAuthoritativeEnigneID 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
53
Πανεπιστήμιο Πελλοπονήσου
Άρθρωμα Χρονισμού Εάν το μήνυμα είναι «αυθεντικό» και μέσα στο παράθυρο του χρόνου τότε ενημερώνει τις τοπικές μεταβλητές (για την απομακρυσμένη μηχανή) Συνθήκες ενημέρωσης α)snmpEngineboot < msgAuthoritativeEngineBoot β) snmpEngineboot = msgAuthoritativeEngineBoot & msgAuthoritativeEngineTime > latestReceivedEngineTime Απαιτείται η χρήση του αρθρώματος αυθεντικοποίησης 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
54
Πανεπιστήμιο Πελλοπονήσου
Άρθρωμα Χρονισμού Παράθυρο Χρονισμού (time window) Παράμετροι που το επηρεάζουν Roundtrip Ακρίβεια από το ρολογίου Μικρό Παράθυρο Χρονισμού Αυθεντικποιημένα μηνύματα μπορεί να αποριφθούν Μεγάλο Παράθυρο Χρονισμού Επιθέσεις επανάληψης μπορούν να πραγματοποιηθούν Καθυστερήσεις 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
55
Πανεπιστήμιο Πελλοπονήσου
Σύνοψη SNMP 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
56
Πανεπιστήμιο Πελλοπονήσου
Ερωτήσεις 10/13/2017 Πανεπιστήμιο Πελλοπονήσου
Παρόμοιες παρουσιάσεις
© 2024 SlidePlayer.gr Inc.
All rights reserved.