1 / 23

H εξέλιξη του SNMP (1/3)

H εξέλιξη του SNMP (1/3). Simple Gateway Management Protocol (SGMP). SNMPv1. RMON MIB. Secure SNMP. SNMPv2 security working group. SNMPv2 working group. SNMPv2 (original version; with security). SNMPv2u. SNMPv2*. SNMPv2 (revised version; without security). SNMPv3.

dinos
Download Presentation

H εξέλιξη του SNMP (1/3)

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. H εξέλιξη του SNMP (1/3) Simple Gateway Management Protocol (SGMP) SNMPv1 RMON MIB Secure SNMP SNMPv2 security working group SNMPv2 working group SNMPv2 (original version; with security) SNMPv2u SNMPv2* SNMPv2 (revised version; without security) SNMPv3

  2. H εξέλιξη του SNMP (2/3) • July 1992: • Secure SNMP (SNMPsec) RFCs (RFC 1351-1353) • έλεγχο της σειράς κα του χρόνου ζωής των μηνυμάτων • έλεγχο γνησιότητας (authentication) • έλεγχο πρόσβασης (access control) • Message Digest 5 (MD5) • Data Encryption Standard (DES) • Simple Management Protocol (SMP) documents • March 1993: • SNMPv2 (SNMPv2p) RFCs (RFC 1441 έως RFC 1452) • Ασφάλεια βασισμένη στην έννοια του συμβαλλόμενου (party) • 1996: • SMIv2, RFCs 1902-1904 • SNMPv2 χωρίς ασφάλεια, RFCs 1905-1908 • SNMPv2C, Community-based SNMPv2, RFC 1901 • SNMPv2u, User-based SNMPv2, RFC 1909 & 1910

  3. H εξέλιξη του SNMP (3/3) • 1999: • SNMPv3 • RFC 2271 - Architecture for Describing SNMP Management Frameworks • RFC 2272 - Message processing and Dispatching • RFC 2273 - SNMPv3 Applications • RFC 2274 - User-based Security Model • RFC 2275 - View-based Access Control Model

  4. SNMPv2 • Νέες δυνατότητες • Επιτρέπει τη διαχείριση οποιοδήποτε πόρων και όχι μόνο πόρων του δικτύου και μπορεί να χρησιμοποιηθεί για τη διαχείριση εφαρμογών και τη διαχείριση συστημάτων. • Επιτρέπει την επικοινωνία μεταξύ δύο συστημάτων διαχείρισης (manager-to-manager capabiblity) σε μια ιεραρχική αρχιτεκτονική με τη χρήση της νέας μονάδας δεδομένων του πρωτοκόλλου Inform. • Έχει μηχανισμούς για την πιο αποτελεσματική ανταλλαγή μεγαλύτερου όγκου πληροφοριών διαχείρισης με τον ορισμό της νέας λειτουργίας GetBulk. • Παρέχει καλύτερη τεκμηρίωση στον ορισμό των MIBs. Αυτό επιτυγχάνεται με τη χρήση μηχανισμών για την περιγραφή των ικανοτήτων ενός αντιπροσώπου σε σχέση με τις ομάδες αντικειμένων διαχείρισης (groups) και τις MIBs που υποστηρίζει.

  5. Δομή των πληροφοριών διαχείρισης στο SNMPv2, SMIv2 (1/2) • Χειρισμός Πινάκων • Υποστήριξη δύο είδη πινάκων: • Πίνακες στους οποίους απαγορεύεται η διαγραφή και εισαγωγή γραμμών από το σταθμό διαχείρισης και ελέγχονται πλήρως από τον αντιπρόσωπο • Πίνακες στους οποίους επιτρέπεται η διαγραφή και εισαγωγή γραμμών από το σταθμό διαχείρισης, οι οποίοι είναι δυνατό να αρχικοποιούνται κενοί και μόνο ο σταθμός διαχείρισης να εισάγει και να διαγράφει γραμμές • Ύπαρξη συγκεκριμένου αντικειμένου στήλης τύπουRowStatusμε κατηγορία πρόσβασηςread-write • Δυνατότητα πρόσθεσης νέων στηλών σε πίνακες • Τα αντικείμενα στήλης που αποτελούν τμήμα του κλειδιού ενός πίνακα (auxiliary objects) δεν είναι δυνατό να προσπελαστούν από το σταθμό διαχείρισης • Αλλαγή κανόνων στη δεικτοδότηση πινάκων • Ελαχιστοποίηση του μεγέθους των αναγνωριστικών στιγμιότυπων • Συγκεκριμένη μέθοδος διαγραφής και εισαγωγής γραμμών σε πίνακα

  6. Δομή των πληροφοριών διαχείρισης στο SNMPv2, SMIv2 (2/2) • Νέος τρόπος ορισμού αντικειμένων διαχείρισης σε MIBs • Νέοι τύποι δεδομένων κυρίως για μεγαλύτερους μετρητές (Counter64, κλπ) • Δυνατότητα καθορισμού της μονάδας μέτρησης ενός αντικειμένου διαχείρισης (UNITS) • Νέος τρόπος ορισμού της αναφοράς αναπάντεχων γεγονότων από τον αντιπρόσωπο στο σταθμό διαχείρισης (NOTIFICATION)

  7. SNMPv2 PDUs Διαχειριστής Αντιπρόσωπος Διαχειριστής Αντιπρόσωπος Διαχειριστής Αντιπρόσωπος GetRequest-PDU GetNextRequest-PDU GetBulkRequest-PDU Response-PDU Response-PDU Response-PDU Διαχειριστής Αντιπρόσωπος Διαχειριστής Διαχειριστής Διαχειριστής Αντιπρόσωπος SetRequest-PDU InformRequest-PDU SNMPv2-Trap-PDU Response-PDU Response-PDU

  8. SNMPv2 GetBulkRequest PDU (1/2) • GetBulkRequest(non-repeaters, max-repetitions, variable-names) name2 nameN+2 name1 nameN+1 nameN nameN+R Για τα πρώτα Νονόματα ανάκτηση της τιμής του επόμενου λεξικογραφικά αντικειμένου Για τα τελευταία R ονόματα ανάκτηση της τιμής των επόμενων Μλεξικογραφικά αντικειμένων L= αριθμός των ονομάτων μεταβλητών Ν= MAX [MIN(non-repeaters, L), 0] M= MAX [max-repetitions, 0] R= L- N

  9. Δίκτυο υπολογιστών Υ Χ SNMPv2 GetBulkRequest PDU (2/2) GetBulkRequest(non-repeaters=2 max-repetitions=6, X, Y, TA, TB, TC) Σταθμός διαχείρισης αντιπρόσωπος Response(X, Y, TA(1), TB(1), TC(1) TA(2), TB(2), TC(2) TA(3), TB(3), TC(3) TA(4), TB(4), TC(4) TA(5), TB(5), TC(5) TA(6), TB(6), TC(6))

  10. Άλλα θέματα σχετικά με SNMPv2 • Συνύπαρξη μεταξύ SNMPv1 και SNMPv2 • Χρήση πληρεξούσιου αντιπροσώπου που μετατρέπει τις SNMPv1 PDUS σε SNMPv2 PDUs • Χρήση δίγλωσσου σταθμού διαχείρισης που χρησιμοποιεί την ανάλογη έκδοση του πρωτοκόλλου σύμφωνα με τον τύπο του αντιπροσώπου με τον οποίο επικοινωνεί • SNMPv2 MIB • system group: επέκταση της ομάδας system με αντικείμενα που επιτρέπουν σε έναν SNMPv2 αντιπρόσωπο την περιγραφή πόρων της διάρθρωσής του • SNMP group: επαπροσδιορισμός της ομάδας για την περιγραφή του πρωτοκόλλου SNMP • MIB objects group: ένα σύνολο αντικειμένων που σχετίζονται με το χειρισμό των SNMPv2-trap PDUs για το συντονισμό της λειτουργίας setμεταξύ σταθμών διαχείρισης • Ορισμός της συμμόρφωσης (conformance statements) • Δυνατότητα ορισμού του επιπέδου υλοποίησης μιας SNMPv2 οντότητας σε σχέση με τους σχετικούς πρότυπους ορισμούς αντικειμένων. Για παράδειγμα, ορισμό του βαθμού υλοποίηση συγκεκριμένων ΜΙΒ ομάδων αντικειμένων (AGENT-CAPABILITIES)

  11. SNMPv3 • Βασικές σχεδιαστικές αρχές: • Χρήση της υπάρχουσας εμπειρίας από την υλοποίηση προηγούμενων εκδόσεων του πρωτοκόλλου • Ασφάλεια στη μετάδοση των μηνυμάτων set • Αρχιτεκτονική τμηματοποιημένη (modular) ώστε: • να είναι δυνατή η υλοποίηση από απλών έως πολύπλοκων συστημάτων διαχείρισης ανάλογα με τις ανάγκες και το μέγεθος των δικτύων και των συσκευών • να είναι δυνατή η προτυποποίηση τμημάτων του πρωτοκόλλου • να είναι δυνατή η υποστήριξη διαφορετικών σχημάτων ασφάλειας και ελέγχου πρόσβασης • Συγκράτηση της απλότητας του πρωτοκόλλου

  12. Η αρχιτεκτονική στο SNMPv3 • Μια οντότηταSNMP (SNMP entity) αποτελείται από: • Μίαμηχανή SNMP(SNMP engine)που αποτελείται από ένα σύνολο υποστηστημάτων (subsystems) • Ένα σύνολο εφαρμογών (applications) • Τα υποσυστήματα μιας μηχανής SNMP είναι: • Ο διανομέας μηνυμάτων (dispatcher). Ένας μόνο διανομέας υπάρχει σε κάθε μηχανή και επιτρέπει την αποστολή και λήψη μηνυμάτων SNMP και την προώθηση ενός μηνύματος στο κατάλληλο υποσύστημα, ανάλογα με την έκδοση του πρωτοκόλλου. • Το υποσύστημα επεξεργασίας μηνυμάτων (message processing subsystem) που μπορεί να υποστηρίζει τις μορφές μηνυμάτων των πρωτοκόλλων SNMPv1, SNMPv2c και SNMPv3. • Το υποσύστημα ασφάλειας (security subsystem) που είναι υπεύθυνο για τον έλεγχο γνησιότητας και την τήρηση της ιδιωτικότητας των SNMP μηνυμάτων. • Το υποσύστημα ελέγχου πρόσβασης (access control subsystem) που είναι υπεύθυνο για το ποιος είναι αρμόδιος να έχει πρόσβαση σε συγκεκριμένα τμήματα των πληροφοριών.

  13. Η αρχιτεκτονική στο SNMPv3 • Οι εφαρμογές μιας οντότηταςSNMP (SNMP entity) είναι: • Εφαρμογή δημιουργίας εντολών (command originator) • Εφαρμογή απάντησης εντολών (command responder) • Εφαρμογή δημιουργίας ενημερώσεων (notification originator) • Εφαρμογή παραλαβής ενημερώσεων (notification receiver) • Εφαρμογή προώθησης μηνυμάτων (proxy forwarder) • Ένα SNMPv3 περιβάλλον διαχείρισης αποτελείται από: • πολλούς κόμβους, καθένας εκ των οποίων περιέχει μια οντότητα SNMP που παίζει τον παραδοσιακό ρόλο του αντιπροσώπου. Η οντότητα SNMP περιέχει την εφαρμογή απάντησης εντολών (command responder) και την εφαρμογή αποστολέα ενημερώσεων (notification originator). • τουλάχιστον μια οντότητα SNMP που παίζει τον παραδοσιακό ρόλο του διαχειριστή και περιέχει την εφαρμογή δημιουργίας εντολών (command generator) ή/και την εφαρμογή παραλαβής ενημερώσεων. • το πρωτόκολλο διαχείρισης.

  14. Η αρχιτεκτονική του διαχειριστή SNMPv3 Εφαρμογή αποστολής ενημερώσεων Εφαρμογή παραλαβής ενημερώσεων Εφαρμογή δημιουργίας εντολών Υποσύστημα επεξεργασίας μηνυμάτων Υποσύστημα ασφάλειας Υποσύστημα διεκπεραίωσης μηνυμάτων SNMP οντότητα User-based security model V1 V2c Άλλο μοντέλο ασφάλειας V3 άλλο UDP IPX άλλο δίκτυο

  15. Η αρχιτεκτονική του αντιπροσώπου SNMPv3 δίκτυο UDP IPX άλλο Υποσύστημα ελέγχου πρόσβασης Υποσύστημα επεξεργασίας μηνυμάτων Υποσύστημα ασφάλειας User-based security model View-based access control Υποσύστημα διεκπεραίωσης μηνυμάτων V1 V2c V3 Άλλο μοντέλο ασφάλειας Άλλο μοντέλο πρόσβασης άλλο Εφαρμογή προώθησης μηνυμάτων Εφαρμογή δημιουργίας ενημερώσεων Εφαρμογή απάντησης ερωτήσεων ΜΙΒ

  16. SNMPv3 User-based Security Model (USM) • Αντιμετώπιση προβλημάτων ασφάλειας: • Μία μη-αρμόδια (unauthorized) οντότητα μπορεί να αλλάξει τα περιεχόμενα ενός μηνύματος SNMP που έχει δημιουργήσει μία αρμόδια οντότητα κατά τη διάρκεια μεταφοράς του μηνύματος (Modification of information) • Μία μη-αρμόδια οντότητα προσπαθεί να εκτελέσει μια λειτουργία προσποιούμενη μία αρμόδια οντότητα (Masquerade) • Αλλαγή σειράς, διπλασιασμός ή καθυστέρηση ενός μηνύματος μεγαλύτερη από αυτή σε συνήθεις συνθήκες λειτουργίας του δικτύου (Message stream modification) • Μη-αρμόδιες οντότητες SNMP μπορούν να δουν τα περιεχόμενα ανταλλαγής SNMP μηνυμάτων (Disclosure)

  17. SNMPv3 User-based Security Model (USM) • Τα βασικά στοιχεία του μοντέλου ασφαλείας που βασίζεται στο χρήστη • Αυθεντικοποίηση (Authentication):παρέχει ακεραιότητα δεδομένων και έλεγχο γνησιότητας της πηγής των δεδομένων. Χρησιμοποιεί Message Authentication Code HMAC με τη συνάρτηση κατακερματισμού (hash function) MD5 ή SHA-1. • Χρόνος άφιξης μηνυμάτων (Timeless): παρέχει προστασία έναντι στην καθυστέρηση ή στο διπλασιασμό μηνυμάτων • Ιδιωτικότητα (privacy):παρέχει προστασία έναντι στη παρακολούθηση των μηνυμάτων από μη-αρμόδιες οντότητες με τη χρήση του DES • Μορφή μηνυμάτων SNMP:καθορίζει τη μορφή των μηνυμάτων όταν υποστηρίζεται αυθεντικοποίηση, έλεγχο χρόνου άφιξης μηνυμάτων και ιδιωτικότητα. • Διαχείριση κλειδιών (key management): Ορίζει διαδικασίες για δημιουργία, ενημέρωση και χρήση των κλειδιών

  18. Βασικές έννοιες του USM (1/2) • Η έννοια του principal: εκ μέρους του οποίου παρέχονται οι υπηρεσίες ή εκτελείται η επεξεργασία, μπορεί να είναι άτομο, σύνολο ατόμων με συγκεκριμένες αρμοδιότητες, εφαρμογή ή σύνολο εφαρμογών ή συνδυασμός τους • Ο principal στο USM είναι ο χρήστης (user) που αναγνωρίζεται με ένα userName • Ο χρήστης γνωρίζει τα μυστικά κλειδιά και πληροφορίες σχετικά με την ασφάλεια όπως ποιοι αλγόριθμοι κρυπτογραφίας θα χρησιμοποιηθούν • Το userNameαντιστοιχεί σε ένα αναγνωριστικό securityNameπου δεν εξαρτάται από το πρωτόκολλο και είναι αλφαριθμητικό που μπορεί να διαβαστεί από ανθρώπους • Μία μηχανή SNMP αναγνωρίζεται από to snmpEngineID

  19. Βασικές έννοιες του USM (2/2) • Η έννοια της αυθεντικής (authoritative) SNMP μηχανής: • Όταν ένα μήνυμα χρήζει απάντησης (get-request, get-next-request, get-bulk-request, set-request, inform-request) τότε ο παραλήπτης πρέπει είναι αυθεντική οντότητα • Όταν ένα μήνυμα δε χρήζει απάντησης (SNMPv2-trap, response και report) τότε ο αποστολέας πρέπει να είναι αυθεντική οντότητα • Τα κλειδιά του χρήστη που αποθηκεύονται στις μηχανές SNMP είναι τοπικά για τις αυθεντικέςμηχανές SNMP • Οι δείκτες για τον έλεγχο του χρόνου άφιξης μηνυμάτων των αυθεντικώνμηχανών SNMP είναι αυθεντικές = Η μη-αυθεντική μηχανή συντονίζεται με βάση τις αυθεντικές

  20. Η αυθεντικοποίηση στο USM • H έννοια του Message Authentication Code (MAC) Αποστολέας Παραλήπτης Message MAC MAC Message Key Key Σύγκριση MAC • Δύο πρωτόκολλα MAC για το USM: • HMAC-MD5-96 βασισμένο στο MD5 • HMAC-SHA-96 βασισμένο στο SHA-1

  21. Διαχείριση κλειδιών στο USM (1/2) • Κλειδιά • Τοπικό κλειδί (localized key):ένα μυστικό κλειδί που μοιράζονται ένας χρήστης και μία αυθεντική SNMP μηχανή • Ο χρήστης γνωρίζει τα μυστικά κλειδιά που μοιράζεται με τις απομακρυσμένες SNMP μηχανές που διαχειρίζεται • Δύο κλειδιά ανά χρήστη ανά μηχανή SNMP: ένα για αυθεντικοποίηση και ένα για ιδιωτικότητα • Για το χρήστη τα κλειδιά είναι κωδικοί (passwords), ASCII συμβολοσειρές • Ένας κωδικός χρήστη μετατρέπεται σε ένα αριθμό από μοναδικά κλειδιά για κάθε μηχανή SNMPπου διαχειρίζεται με τη χρήση διαδικασίας που αναφέρεται ως key localization • Βασικές αρχές διαχείρισης κλειδιών • Κάθε αντιπρόσωπος έχει το δικό του μοναδικό κλειδί για κάθε χρήση που τον διαχειρίζεται • Τα κλειδιά ενός χρήστη για διαφορετικούς αντιπροσώπους είναι διαφορετικά • Η διαχείριση του δικτύου μπορεί να γίνει από οποιοδήποτε σταθμό διαχείρισης

  22. Διαχείριση κλειδιών στο USM (2/2) • Δημιουργία κλειδιών • Ο κωδικός χρήστη μετατρέπεται σε κλειδί χρήστη με ειδικό αλγόριθμο του USM με τη χρήση συνάρτησης κατακερματισμού που εφαρμόζεται σε επεκταμένη μορφή του κωδικού • Key localization: Ένας κωδικός χρήστη μετατρέπεται σε ένα αριθμό από μοναδικά κλειδιά για κάθε μηχανή SNMP που διαχειρίζεται • Χρήση της συνάρτησης κατακερματισμού MD-5 ή SHA-1 σε συνδυασμό του κλειδιού του χρήστη και του snmpEngineIDτης μηχανής • Το μυστικό κλειδί πρέπει να οριστεί στην απομακρυσμένη μηχανή SNMP με μηχανισμό που είναι εκτός της αρμοδιότητας του SNMPv3 (χειροκίνητα ή με χρήση ασφαλούς πρωτοκόλλου) Συνάρτηση κατακερματισμού σε κλειδί χρήστη & snmpEngineID τοπικό κλειδί Συνάρτηση κατακερματισμού σε επεκταμένη μορφή κωδικού Κωδικός χρήστη κλειδί χρήστη ….. Συνάρτηση κατακερματισμού σε κλειδί χρήστη & snmpEngineID τοπικό κλειδί

  23. Έλεγχος χρόνου άφιξης μηνυμάτων • Ιδιωτικότητα • Κρυπτογράφηση μηνυμάτων SNMP με τη χρήση του DES • Έλεγχος πρόσβασης

More Related