Formato de paquete SNMPv3 en Routers AR de Huawei

Última respuesta jun. 28, 2019 07:55:46 74 1 2 0

SNMPv3 define un nuevo formato de paquete, como se muestra a continuación.

 

095645tollygysbebp62z2.png?image.png

Formato de paquete SNMPv3

 

La composición de un paquete SNMPv3 es la siguiente:

 

l  Versión: especifica la versión SNMP. El valor para SNMPv3 es 2.

l  Encabezado: incluye información como el tamaño máximo de mensaje que admite el transmisor y el modo de seguridad de los mensajes.

l  Parámetros de seguridad: incluye la información del motor de la entidad, el nombre de usuario, el parámetro de autenticación y la información de cifrado.

l  Context EngineID: indica el ID de SNMP único. Este campo y la PDU juntos determinan a qué aplicación deben enviarse las PDU.

l  Context Name: determina la vista MIB del ID de contexto del dispositi****dministrado.

l  SNMPv3 PDU: incluye el tipo de PDU, el ID de solicitud y la lista de variables de enlace. La PDU SNMPv3 incluye la PDU GetRequest, la PDU GetNextRequest, la PDU SetRequest, la PDU Response, la PDU Trap y la PDU GetBulkRequest.

 

Arquitectura SNMPv3

 

SNMPv3 proporciona entidades SNMPv3 a través de las cuales todos los NMS habilitados para SNMP pueden administrar elementos de red habilitados para SNMP. Una entidad SNMPv3 consta de motores y aplicaciones SNMPv3, y cada motor o aplicación SNMPv3 tiene varios módulos.

 

La arquitectura modular de la entidad SNMPv3 tiene las siguientes ventajas:

l  Adaptabilidad fuerte: esta arquitectura es adaptable tanto para redes simples como complejas.

l  Administración simple: esta arquitectura consta de múltiples subsistemas y aplicaciones independientes. Cuando ocurre una falla en un sistema SNMP, es fácil ubicar el subsistema donde se originó la falla en función del tipo de falla.

l  Buena expansibilidad: los módulos se pueden agregar a una entidad SNMP para ampliar un sistema SNMP. Por ejemplo, se puede agregar un módulo al subsistema de seguridad para ejecutar un nuevo protocolo de seguridad.

 

SNMPv3 mejora la seguridad a través del modelo de seguridad del usuario (USM) y el modelo de control de acceso basado en vistas (VACM):

l  USM: proporciona una clave compartida entre el NMS y los agentes para autenticar las identidades de los usuarios y cifrar los datos.

n  Identificar autenticación: un proceso en el que un agente (o NMS) determina si un mensaje recibido proviene de un NMS autorizado (o agente) y si el mensaje ha sido modificado durante la transmisión. El código de autenticación de mensajes (HMAC) utiliza la función de hash de seguridad y la clave para generar códigos de autenticación de mensajes. La herramienta HMAC es ampliamente utilizada en Internet. Los mecanismos HMAC que utiliza SNMP incluyen HWAC-MD5-96 y HWAC-SHA-96. La función hash de HWAC-MD5-96 es MD5, que utiliza una clave de autenticación de 128 bits para generar claves. La función hash de HWAC-SHA-96 es SHA-1, que utiliza una clave de autenticación de 160 bits para generar claves.

n  Cifrado de datos: al igual que la autenticación de identidad, el cifrado de datos también requiere que la estación de administración de red y el agente utilicen una clave compartida para el cifrado o descifrado. ESP encripta el contenido del paquete IP para evitar que sean interceptados durante la transmisión. Los algoritmos de cifrado se implementan utilizando un sistema de claves simétricas, que utiliza la misma clave para cifrar y descifrar datos. SNMP utiliza los siguientes algoritmos de cifrado:

u  Estándar de cifrado de datos (DES): cifra el texto sin formato de 64 bits mediante una clave de 56 bits.

u  Estándar de cifrado avanzado (AES): cifra el texto sin formato mediante una clave de 128 bits, 192 bits o 256 bits.

l  VACM: controla el acceso de los grupos de usuarios o los nombres de comunidad basados en vistas. Debe preconfigurar una vista y especificar su autoridad. Luego, cuando configura un usuario, grupo de usuarios o comunidad, debe cargar esta vista para implementar restricciones de lectura / escritura o funciones de captura.

 

Mecanismo SNMPv3

 

SNMPv3 tiene el mismo mecanismo que SNMPv1 y SNMPv2c, excepto que SNMPv3 admite la autenticación y el cifrado de identidad. A continuación se usa la operación Get como ejemplo para describir el mecanismo SNMPv3.

 

Como se muestra en la adelante, un NMS pretende obtener el valor del objeto sysContact en un dispositi****dministrado en modo de autenticación y cifrado.

 

095729mzqp5vngho0qi6v9.png?image.png

Operación Get de SNMPv3

 

1.         El NMS envía un paquete GetRequest sin parámetros de seguridad al agente y solicita los valores de Context EngineID, nombre de contexto y parámetro de seguridad.

2.         El agente devuelve una respuesta que contiene los parámetros solicitados.

3.         El NMS envía de nuevo un paquete GetRequest al agente. Los campos en el paquete son los siguientes:

l  Versión: SNMPv3.

l  Encabezado: modos de autenticación y encriptación.

l  Parámetros de seguridad: el NMS calcula los parámetros de autenticación y cifrado de acuerdo con los parámetros de seguridad obtenidos del agente, y rellena los parámetros de autenticación, cifrado y seguridad en los campos correspondientes.

l  PDU: El NMS llena el Context EngineID y el Nombre de contexto obtenidos en los campos correspondientes. El tipo de PDU se establece en Obtener, el nombre del objeto MIB es sysContact y el algoritmo de cifrado configurado se utiliza para cifrar la PDU.

4.         El agente autentica el paquete GetRequest enviado desde el NMS. Cuando la autenticación es exitosa, el agente descifra la PDU. Cuando el cifrado es exitoso, el agente obtiene el valor de sysContact y lo encapsula en el paquete de respuesta a la PDU. El agente cifra la PDU y envía el paquete de respuesta al NMS. Si cualquiera de las operaciones de consulta, autenticación o cifrado falla, el agente envía un mensaje de error al NMS.

  • x
  • convención:

Gustavo.HdezF
Moderador Publicado 2019-6-28 07:55:46 Útil(0) Útil(0)
Muy interesante tema sobre el protocolo SNMPv3, una de sus ventajas es que encripta la información para garantizar la confiabilidad de los datos. Gracias por compartir. Saludos.
  • x
  • convención:

Ingeniero%20en%20Comunicaciones%20y%20Electr%C3%B3nica%20con%2020%20a%C3%B1os%20de%20experiencia%20en%20el%20%C3%A1rea%20de%20las%20telecomunicaciones%20para%20voz%20y%20datos%2C%20comparto%20mi%20experiencia%20dando%20clases%20en%20la%20Universidad%20Polit%C3%A9cnica%20de%20Quer%C3%A9taro.

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje