HCIP Seguridad H12 723 Operación y Mantenimiento del Sistema de Seguridad IX Protocolo SNMP

Última respuesta febr. 04, 2020 13:47:45 34 2 1 0

OPERACIÓN y MANTENIMIENTO DEL SISTEMA DE SEGURIDAD IX—eSight: Administración del Servicio Parte 3

Características de los Protocolos de Administración de Red


Buenas noches.

Esta publicación es la número 9 de 12 del Segmento y la parte 3 del tema eSight

Aquí puedes acceder a las publicaciones anteriores:


https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-723-operación-y-mantenimiento-del-sistema-de-seguridad-administración-de-usuarios/thread/597120-100233


https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-723-operación-y-mantenimiento-del-sistema-de-seguridad-ii-tecnología-de-administración-de-usuarios/thread/597454-100233


https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-723-operación-y-mantenimiento-del-sistema-de-seguridad-iii-tecnología-de-administración-de-usuarios/thread/597456-100233


https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-723-operación-y-mantenimiento-del-sistema-de-seguridad-iv-tecnología-de-administración-de-usuarios/thread/597672-100233


https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-723-operación-y-mantenimiento-del-sistema-de-seguridad-v-agile-network/thread/597674-100233


https://forum.huawei.com/enterprise/es/post/597886?type=forum&fid=100233&threadType=0


https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-723-operación-y-mantenimiento-del-sistema-de-seguridad-esight/thread/597886-100233


https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-723-operación-y-mantenimiento-del-sistema-de-seguridad-viii/thread/598320-100233



Introducción al Protocolo SNMP

Vista Conjunta de SNMP

·        El protocolo SNMP es un protocolo estándar de administración ampliamente usado en redes TCP/IP para la recolección de información, administración de los dispositivos.


·        Como parte de la familia de protocolos TCP/IP, los mensajes de SNMP se encapsulan en paquetes UDP para la transmisión sobre Ethernet.

SNMP


Arquitectura SNMP

·        Existen tres roles dentro de las redes basadas en SNMP:

§  NMS: envía paquetes de consulta hacia los dipositivos administrados, y recibe alarmas enviadas por estos mismos dispositivos.

 

§  Agente: como un proceso del dispositivo administrado, el agente tiene las siguientes funciones:

Ø Recibe y analiza los paquetes de consulta enviados por el NMS.

Ø Lee o escribe las variables de administración basado en el tipo de consulta y garantiza y envía paquetes de respuesta hacia NMS.

 

Ø Envía alarmas hacia el NMS cuando ocurre un evento en particular. Por ejemplo, la vista del sistema se abre o se cierra, o si el dispositivo se reinicia. Los módulos del protocolo en el dispositivo definen las condiciones que guían a las alarmas.

 

§  Dispositivo Administrado: son administrados por el NMS, y reporta las alarmas generadas hacia el NMS

 

·        para identificar de manera única a los dispositivos administrados, SNMP los organiza en un árbol jerárquico e identifica a cada uno mediante un camino que empieza desde la raíz del árbol hacia el nodo. Los nodos en el árbol don los objetos administrados.

 

·        Un objeto se identifica de manera única por una cadena de dígitos {1.2.1.1}. Esta cadena es el identificador de objeto. Una MIB es un conjunto estándar definición de variables de los dispositivos monitoreados en la red. Es usada para describir la estructura jerárquica del árbol.

·        Los usuarios pueden utilizar las MIB estándar o definirlas con base a sus requerimientos. Al usar una MIB estándar se puede reducir el costo de implementar un proxy, y por ende reduce el costo del NMS entero.

ARQUITECTURA SNMP


Conceptos Básicos SNMP

·        MIB: Es el acrónimo para Management Information Base (MIB/Base de Información de Administración) es una base virtual que recolecta la información acerca del estado de administración de los dispositivos al buscar las MIBs. En la MIB, los objetos administrados son organizados de manera jerárquica en la estructura de árbol y son descritos en el formato Abstract Syntax Notation (ASN 1)

 

·        ASN 1: es empleado para especificar protocolos. Describe la sintaxis usada durante la transmisión de los datos en lugar del significado detallado de los datos.

 

·        BER: es el acrónimo para Basic Encoding Rules (Reglas de Codificación Básica). En la sintaxis de la estructura, ASN.1 describe como están representados los datos durante la transmisión.

 

·        SMI: Structured Management Information (Información de la Estructura de Administración) es un conjunto de reglas para nombrar y definir variables en las MIB. Todos los objetos administrados están organizados  en una estructura jerárquica de árbol. La ubicación de cada objeto de la estructura de árbol identifica como acceder al objeto

·        TRAP: es una alarma enviada al NMS a través  de SNMP cuando el valor de algunos módulos del dispositivo exceden el umbral definido

 

 

MIB

MIB


·        IAB: es la abreviación de Internet Architecture Board (tabla de arquitectura de internet.

 

·        MIB:

§  Es una base virtual, todos los procesos de los agentes están contenidos en el proceso de administración y para consultar o configurar una colección de cierta información. El mantenimiento ha sido configurado del lado del dispositivo de administración. MIB está descrito de acuerdo con la estructura jerárquica de objetos administrados usando el formato ASN. 1

 

§  MIB describe la entidad de administración de SNMP de un grupo de objetos, definirá los objetos definidos de una serie de atributos:

Ø Object Identifier (OID)

Ø Acceso a los objetos

Ø El tipo de datos del Objeto

Ø MIB es la información base que se intercambia entre el NMS y el agente.



Arquitectura del Protocolo SNMP

ARQ SBNMP


·        SNMP define 5 tipos de PDU (es decir, en este caso, paquetes de SNMP) para las interacciones entre el NMS y el agente.

·        SNMP reemplaza los comandos complejos configuraciones con las operaciones GET-SET.

 

·        Estos son los tipos de PDU

§  Get-request: obtiene uno o más valores de parámetros del proceso proxy

 

§  Get-next-request: obtiene el siguiente parámetro del proceso proxy

 

§  Set-request: configura uno o más valores de parámetros del proceso proxy

 

§  Get-response: regresa uno o más valores de parámetros. Esta operación es ejecutada por el proceso agente.  Es la respuesta  a las tres operaciones precedentes.

 

§  Trap: proactivamente, se envía por el proceso proxy para notificar un proceso de administración sobre la noticia de un evento

 

·        Las primeras tres operaciones son enviadas por el NMS hacia el agente mientras que las últimas dos operaciones son enviadas por el agente al el NMS

 

Implementación de  SNMP

IMPLEMENTACIÓN SNMP


·        El agente recibe las peticiones UDP del NMS a través del puerto 161.

·        El agente procesa un paquete recibido con base a los siguientes pasos:

1.   Decodifica el paquete. De acuerdo con las reglas de codificación de ASN. 1, el agente genera un paquete que está representado en la estructura interna de los datos. Si ocurre un error en este proceso y la codificación falla, el paquete es descartado sin que se procese más.

 

2.   Checa la versión de SNMP. El agente compara la versión del paquete recibido con la lista de las versiones soportadas.

 

3.   Autentica el nombre de la comunidad. El agente  el nombre del paquete de comunidad, el cual se llenado por el origen de NMS.

 

4.   Checa el nombre de la comunidad. El agente lo obtiene del paquete de nombre de comunidad, el cual cual es configurado por el NMS que envía el paquete. SNMPV1 provee una medida débil de seguridad, lo cual se ve mejorado en SNMPv3.

 

5.   Obtener el PDU: el agente obtiene el PDU del objeto ASN 1 autenticado. Si el proceso falla, el paquete es descartado sin mayor procesamiento.

 

6.   Procesar el PDU: El agente procesa el PDU de acuerdo con su entidad SNMP. Entonces el agente obtiene el valor del objeto administrado desde el módulo correspondiente para  generar un paquete de respuesta. Después de eso, el agente codifica el paquete de respuesta y envía de regreso al NMS.

 

7.   El NMS recibe el paquete de respuesta y lo procesa de una manera similar. Después, el NMS despliega un resultado.

 

·        Cuando se reúne las condiciones disparadas por una alarma dentro del modulo de administración de dispositivo, el agente envía traps hacia el NMS. Entonces, los ingenieros de la administración de la red pueden tomar medidas precautorias para hacer frente a las fallas de la red.

·        NMS usa el puerto 162 para recibir los paquetes trap y no  necesita confirmar que lo ha recibido. Si los valores de algunos módulos exceden el umbral definido, se usará este puerto para enviar el mensaje al NMS.

 

Versiones de  SNMP

·        Existen tres versiones de SNMP

·        SNMPV1

§  Es la implementación inicial de SNMP. Provee un método de monitoreo y administración para las computadoras de la red. Provee autenticación basada en nombres de comunidad. Tiene un bajo nivel de seguridad y solo puede regresar pocos códigos de error.

 

·        SNPV2

§  Hereda  seguridad basada en autenticación  nombre de comunidad. Incluye la petición GetBulk, y provee más códigos de error.

 

·        SNMPV3

§  para mejorar la seguridad, SNMPV3 provee el módulo de seguridad de usuario (USM) basado en autenticación y en encriptación y vistas basadas en el modelo  de control de acceso (VACM).

§  SNMPV3 asegura la seguridad de los datos y el control de acceso.

 

§  Provee seguridad a nivel mensaje de las siguientes formas:

Ø Seguridad de los Datos: la modificación de los datos debe ser autorizada de antemano. La secuencia de la modificación de los datos debe estar dentro de un objetivo específico.

 

Ø Verificación del Origen de los Datos: esta verificación deja en claro de cuales usuarios provienen los datos recibidos. SMPV3 asegura la base de la seguridad de un usuario y autentica los mensajes por usuario en vez de hacerlo por programa de aplicación.

 

Ø Chequeo de Verificación de Datos: el NMS o agente checa el tiempo en el que se ha generado un paquete recibido. El mensaje no será aceptado si se excede el tiempo entre el mensaje y la hora del sistema dentro del rango especificado. El chequeo de la verificación de los datos protege los mensajes que están en transferencia de ser falsificados, y previene la recepción y el manejo de mensajes maliciosos.

 

·        SNMPV3 implementa control de acceso basado en operaciones de protocolo, y controla el acceso a los objetos administrados.

 

 

Estructura de los Paquetes de  SNMPv1

estructura de los paquetes snmp


·        Consiste en los siguientes campos:

 

§  Versión: indica el número de versión. En este caso, la versión es 1

§  Comunidad: indica el nombre de la comunidad

§  PDU SNMP: indica el PDU. Es la carga útil válida en el paquete SNMP

 

·        La estructura del PDU consiste en los siguientes campos:

§  Tipos de PDU: indica los diferentes tipos de PDU para las diferentes operaciones:

Ø Get-request-PDU: generado y transmitido por el NMS para obtener uno o más parámetros provenientes del agente.

 

Ø GetNextEquest-PDU: generado y transmitidos por el NMS para obtener los valores de los parámetros en orden alfabético provenientes del agente.

 

Ø SeTRequest-PDU: usado para configurar uno o más valores de los parámetros por un agente.

 

Ø GetResponse-PDU: contiene uno o más parámetros. Generado por el agente y transmitido en respuesta al Get-Request PDU desde el NMS.

 

 

Ø Traps-PDU: mensajes que se originan con el agente y son enviados para informar a las estación de trabajo sobre los eventos de la red.

 

Ø Request ID: identifica de manera única un paquete de petición.

 

Ø Estado de Error: indica los diferentes códigos de error:

o   noSuchName: indica que el agente no conoce el objeto.

 

o   tooBig: indica que el agente no puede colocar el resultado de la petición en un solo PDU.

 

o   badValue: inidca que la variable está configurada como valor inválido durante la operación Set.

 

o   genErr: indica otros errores excepto los anteriores.

 

 

Estructura de los Paquetes de  SNMPv2

SNMP V2


·        La estructura de los paquetes de SNMV2 es la misma que la estructura de los paquetes de SNMPV1

·        Las diferencias entre la V1 y V2 son:

§  Adición de la operación GetBulk en el tipo de PDU

Ø En la operación GetBulk, los no repetidores reemplazan el estado de error, el índice de reemplazo de error máximo de repeticiones, los no repetidores indican que una operación GetNext debe estar hecha como variables estén asociadas, y las repeticiones máximas indican cuantas veces la operación precedente debe hacerse de manera continua.

 

·        se identifican más códigos de error en la versión 2

§  wronValue: indica que la variable está configurada hacia un valor inválido durante la operación Set.

 

§  wrongEncoding: indica que el campo está codificado en un formato diferente de otros campos.

 

§  wrongType: indica que la variable está configurada hacia un tipo inválido durante la operación set.

 

§  WrongLenght: indica que la variable está configurada hacia un valor que no es consistente con su longitud.

 

§  inconsistentValue: indica que la variable está configurada hacia un valor que es inválido en la situación actual pero válido en otras situaciones.

 

§  noAccess: indica que el valor a ser configurado no  es accesible.

 

§  notWtitable: indica que el valor a ser alterado existe pero no se puede escribir.

 

§  noCreation: indica que el valor a ser alterado existe, pero no se puede crear.

 

§  incosistentName: indica que la variable no existe y no se puede crear.

 

§  resourceUnavailable: indica que falló la aplicación del recurso durante la operación Set.

 

§  commitFailed: indica que la operación SET falló.

 

§  undoFailed: indica que la operación SET falló y algunas asignaciones no pueden responder.

 

§  genErr: otros errores, excepto los ya mencionados



Finalizamos aquí el tema SNMP. Recuerda: consulta el resto de los temas y mas de seguridad de la información en mi perfil. No olvides dar click en ♥, compartir y comentar.

  • x
  • convención:

gabo.lr
VIP Publicado 2020-2-1 08:09:45 Útil(0) Útil(0)
Muy útil, gracias por compartir!!
  • x
  • convención:

Telecommunications%20and%20Electronics%20Engineer%2C%20with%208%20years%20of%20experience%20working%20with%20Huawei%20equipment.
JTX
Publicado 2020-2-4 13:47:45 Útil(0) Útil(0)
extenso el tema.
Gracias por la info.
  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión