Simple Network Management Protocol SNMPv3.
VinnicioRValResumen17 de Abril de 2017
4.311 Palabras (18 Páginas)278 Visitas
Simple Network Management Protocol SNMPv3.
Abstract— El protocolo de administración simple de red (SNMP) es el protocolo de administración de red más utilizado en las redes basadas en TCP / IP. La funcionalidad de SNMP se mejoró con la publicación de SNMPv2. Sin embargo, ambas versiones de SNMP carecen de características de seguridad, especialmente autenticación y privacidad, que son necesarias para explotar completamente SNMP. Un conjunto reciente de RFC, conocido colectivamente como SNMPv3, corrige esta deficiencia. En este artículo se describe el marco general de gestión de red definido en SNMPv3 y, a continuación, se examinan las principales instalaciones de seguridad definidas en SNMPv3: autenticación, privacidad y control de acceso.
Palabras Claves—Snmpv3, autenticación, Gestión de red, Administración de red, agente.
I. INTRODUCCIÓN
Con el paso del tiempo las redes de computadores han ido evolucionando de acuerdo a los requerimientos de los clientes y por ende de las aplicaciones creadas, dicha evolución ha hecho necesaria una gestión y administración de recursos hardware y software de manera periódica, eficiente, eficaz y documentada, para lo cual se han creado diferentes métodos, entre ellos tenemos los inventarios, que son documentos físicos o virtuales que permiten conocer detalladamente el estado y las estadísticas de los componentes de la red. [1,2]
En usos típicos SNMP, uno o más equipos administrativos, llamados gerentes, tienen la tarea de supervisión o la gestión de un grupo de hosts o dispositivos de una red informática. En cada sistema gestionado se ejecuta, en todo momento, un componente de software llamado agente que reporta la información a través de SNMP con el gerente. Los agentes SNMP exponen los datos de gestión en los sistemas administrados como variables. El protocolo también permite realizar tareas de gestión de activos, tales como la modificación y la aplicación de una nueva configuración a través de la modificación remota de estas variables. Las variables accesibles a través de SNMP están organizadas en jerarquías. Estas jerarquías y otros metadatos (tales como el tipo y la descripción de la variable), se describen por Bases de Información de Gestión (MIB) [1,2]
II. MARCO TEÓRICO
SNMP v3 es un protocolo de interoperabilidad basado en estándares para la gestión de red. Asimismo, el SNMP v3 proporciona el acceso seguro a los dispositivos mediante una combinación de autenticación y encriptación de los paquetes a través de la red. Algunas características de SNMP v3 son:
- Seguridad del mensaje: se asegura de que el mensaje no sea alterado mientras este en tránsito.
- Autenticación: determina que el mensaje provenga de una fuente valida.
- Encriptado: encripta un paquete para evitar que el contenido sea visto por una fuente no autorizada.
El SNMP v3, proporciona tanto modelos de seguridad como niveles de seguridad. Es por ello, que un modelo de seguridad es una estrategia de autenticación creado para un usuario y el grupo en que el usuario reside. Por otra parte, un nivel de seguridad es el nivel permitido de seguridad dentro de un modelo de seguridad. En tal sentido, una combinación de un modelo de seguridad y un nivel de seguridad determinará cual mecanismo será empleado en la tramitación de un paquete SNMP. [3,4]
De acuerdo con el RFC 3410, el SNMP v3 apoya un modelo de seguridad basado en usuario (RFC 3414) ya que incorpora características de seguridad tales como: autenticación y control de la privacidad. La autenticación de SNMP v3, se lleva a cabo utilizando el Código de Autenticación de Mensaje Hash (HMAC), que se calcula mediante una función de Hash criptográfica en combinación con una clave secreta. Las implementaciones de SNMP v3 puede permitir que un código abreviado HMAC en el campo autenticado que verifique a un agente utilizando un mínimo de un byte. [3,4]
- CARACTERÍSTICAS GENERALES DE SNMPV3
La última versión de SNMP, SNMPv3, refuerza las prestaciones de seguridad, incluyendo autentificación, privacidad y control de acceso; y de administración de protocolo, con una mayor modularidad y la posibilidad de configuración remota. SNMPv3 apareció en 1997, estando descrito en las RFC 1902-1908 y 2271-2275.
Cabe destacar que SNMPv3 no se trata de un estándar que reemplaza a SNMPv1 y/o SNMPv2, sino que define una serie de capacidades adicionales de seguridad y administración a ser utilizadas en conjunción con SNMPv2 (preferiblemente) o SNMPv1. Estas mejoras harán que SNMP se constituya en un protocolo de gestión susceptible de ser utilizado con altas prestaciones en todo tipo de redes, desplazando a mediano plazo a CMIP como estándar de gestión de las grandes redes de las operadoras de telecomunicación.
Fue diseñada para proteger contra las siguientes amenazas de seguridad, mediante el uso de algoritmos de autenticación y de encriptación, como lo especifica el RFC 2574. [5]
SNMP Versión 3 | |
Seguridad | Se emplean campos adicionales que se usan para la seguridad y la autenticación de usuarios. Tiene tres niveles de seguridad: 1.- “noAuthNoPriv”; 2.- “AuthNoPriv”; 3.- “AuthPriv”. Se puede encriptar el contenido de los paquetes evitando que su contenido pueda ser leído por otros usuarios. |
Operaciones | Operaciones que puede realizar: GetRequest, GetNextRequest, GetResponse, Set, Trap, GetBulk e Inform. |
Traps | Se mantiene la estructura expuesta en la Versión 2. |
Tabla 1. Tabla sintetizada de características de SNMPv3.
- ARQUITECTURA DE SNMPV3
La arquitectura SNMP, como la presenta el RFC 2571, consiste en un conjunto distribuido de entidades SNMP que actúan entre sí. Cada entidad implementa una parte de la capacidad SNMP y puede actuar como un nodo agente, un nodo administrador o una combinación de ellos. Cada entidad SNMP se compone de un conjunto de módulos que interactúan entre sí para suministrar servicios. Estas interacciones se pueden modelar como un conjunto de primitivas y parámetros abstractos.
[pic 3]
Figura 1. “Arquitectura del protocolo SNMP.”
La arquitectura del RFC 2571 refleja un requisito de diseño fundamental para SNMPv3: diseñar una arquitectura modular que (1) permita la implementación en una gran variedad de entornos, de los cuales, algunos necesiten funcionalidad mínima y de bajo coste, y otros puedan admitir características adicionales para la gestión de redes grandes; (2) hacer posible que partes de la arquitectura avancen en el proceso de estandarización incluso aunque no se haya alcanzado consenso en todas las partes; y (3) dar cabida a modelos alternativos de seguridad. [6]
COMPONENTES BÁSICOS DE SNMP
Los componentes básicos de una red gestionada con SNMP, son: los agentes, componentes software que se ejecutan en los dispositivos a gestionar; y los gestores, componentes software que se ejecutan en los sistemas de gestión de red. Un sistema puede operar exclusivamente como gestor o como agente, o bien puede desempeñar ambas funciones simultáneamente. Por consiguiente, el protocolo SNMP tiene una arquitectura cliente servidor distribuida, como se ilustra en la Figura 2.
La parte servidora de SNMP consiste en un software SNMP gestor, responsable del sondeo de los agentes SNMP para la obtención de información específica y del envío de peticiones a dichos agentes solicitando la modificación de un determinado valor relativo a su configuración. Es decir, son los elementos del sistema de gestión ubicados en la plataforma de gestión centralizada de red, que interaccionan con los operadores humanos y desencadenan las acciones necesarias para llevar a cabo las tareas por ellos invocadas o programadas. [3,4]
La parte cliente de SNMP consiste en un software SNMP agente y una base de datos con información de gestión o MIB. Los agentes SNMP reciben peticiones y reportan información a los gestores SNMP para la comunidad a la que pertenecen; siendo una comunidad, un dominio administrativo de agentes y gestores SNMP. Es decir, son los elementos del sistema de gestión ubicados en cada uno de los dispositivos a gestionar, e invocados por el gestor de la red.
El principio de funcionamiento reside, por consiguiente, en el intercambio de información de gestión entre nodos gestores y nodos gestionados. Habitualmente, los agentes mantienen en cada dispositivo gestionado información acerca de su estado y su configuración. El gestor pide al agente, a través del protocolo SNMP, que realice determinadas operaciones con estos datos de gestión, gracias a las cuales podrá conocer el estado del recurso y podrá influir en su comportamiento. Cuando se produce alguna situación anómala en un recurso gestionado, los agentes, sin necesidad de ser invocados por el gestor, emiten los denominados eventos o notificaciones que son enviados a un gestor para que el sistema de gestión pueda actuar en consecuencia. [3,4]
...