analisis del protocolo snmpv3 para el desarrollo de un prototipo de monitoreo de red segura -...
Post on 13-Apr-2018
231 Views
Preview:
TRANSCRIPT
-
7/26/2019 Analisis Del Protocolo Snmpv3 Para El Desarrollo de Un Prototipo de Monitoreo de Red Segura - 98t00017
1/179
01
-
7/26/2019 Analisis Del Protocolo Snmpv3 Para El Desarrollo de Un Prototipo de Monitoreo de Red Segura - 98t00017
2/179
AGRADECIMIENTO
Quiero expresar un total e infinito
agradecimiento a mis padres,
quienes inculcaron en mi valores
ticos y morales, los mismos que me
han guiado en toda mi trayectoria
como estudiante, de la misma
manera quiero expresar un eterno
agradecimiento a la muy ilustre
Escuela Superior Politcnica de
Chimborazo que me abri las
puertas y me dio la oportunidad de
formarme como una profesional de
principios.
Hago extensiva este agradecimiento
a esas personas invisibles que de
una u otra forma colaboraron o
participaron en la realizacin de
esta investigacin.
Ruth CrespataRuth CrespataRuth CrespataRuth Crespata
-
7/26/2019 Analisis Del Protocolo Snmpv3 Para El Desarrollo de Un Prototipo de Monitoreo de Red Segura - 98t00017
3/179
DEDICATORIA
Este manojo de ilusiones y sueos va
dedicado a Dios por haberme permitido vivir,
a mis hermanos que nunca me hicieron faltar
palabras de aliento para que no desmayara
en el intento de conseguir el ms anhelado
sueo, a mis profesores que siempre
estuvieron prestos a dilucidar mis dudas y
preguntas, especialmente este trabajo va
dedicado a mis padres quienes son mi
ejemplo de lucha y perseverancia que sin
importar las adversidades de la vida en
ningn momento dejaron de ser un ejemplo
de vida para m.
Finalmente quiero dedicar este trabajo a todo
el profesorado de la FIE por haber depositado
en m todo sus sabios conocimientos y
vivencias, que gracias a ellos hoy cumplo unade mis ms grandes sueos el de convertirme
en una profesional integra y de principios
Ruth CrespataRuth CrespataRuth CrespataRuth Crespata
-
7/26/2019 Analisis Del Protocolo Snmpv3 Para El Desarrollo de Un Prototipo de Monitoreo de Red Segura - 98t00017
4/179
DERECHOS DE AUTORIA
Yo, Ruth Alexandra Crespata Almachi, portadora del nmero de cdula 050286955-5, me hago
responsable del contenido, ideas y doctrinas vertidas en la presente Tesis y el patrimonio intelectual
pertenece a la Escuela Superior Politcnica de Chimborazo.
Ruth Alexandra Crespata Almachi
-
7/26/2019 Analisis Del Protocolo Snmpv3 Para El Desarrollo de Un Prototipo de Monitoreo de Red Segura - 98t00017
5/179
FIRMAS RESPONSABLES Y NOTA
NOMBRES FIRMAS FECHA
Ing. Ivn Menes ------------------------------ ------------------------DECANO DE LA FACULTAD DEINFORMTICA Y ELECTRNICA
Ing. Pedro Infante ------------------------------ ------------------------DIRECTOR DE LA ESCUELADE INGENIERIA EN ELECTRNICATELECOMUNICACIONES Y REDES
Ing. Alberto Arellano ------------------------------ ------------------------DIRECTOR DE TESIS
Ing. Daniel Haro ------------------------------ ------------------------MIEMBRO DEL TRIBUNAL
Tlg. Carlos RodrguezDIR. CENTRO DE DOCUMENTACIN ------------------------------ ------------------------
NOTA DE LA TESIS ------------------------------
-
7/26/2019 Analisis Del Protocolo Snmpv3 Para El Desarrollo de Un Prototipo de Monitoreo de Red Segura - 98t00017
6/179
INDICE DE ABREVIATURAS
ASN.1 Notacin Sintctica Abstracta
AUTHPRIV Autenticatin and Private, Autenticacin y Privacidad
AUTHNOPRIV Autentication and private No, Autenticacin y Privacidad No
EGP Enhanced Gateway Protocol, Protocolo Exterior de Gateway
IEEE Institute of Electrical and Electronics Engineers, Instituto de ingenieros
elctricos y electrnicos
LAN Network local rea, Red de rea Local
MIB Management Information Base, Base de Informacin Administrativa
NMS Network Management System, Sistema Administrador de Red
NOAUTHNOPRIV No autenticacin y No privacidad
OID Objecto Identifier, Objeto Identificador
IETF Internet Engineering Task Force, Grupo de trabajo de ingeniera de Internet
IP Internet Protocol,protocolo de Internet
RMON Remote Monitor, Monitor Remoto
SNMP Simple Network Management Protocol, Protocolo Simple de Administracin
y Gestin de Redes
SMI Structure Management Information, Estructura de la informacin de
Administracin
TLV Codec tipe Value, Codificacin Tipo Longitud Valor
USM User Security Model, Modelo de seguridad basado en usuario
VACM View Access Control Model, Control de Acceso basado en vistas
-
7/26/2019 Analisis Del Protocolo Snmpv3 Para El Desarrollo de Un Prototipo de Monitoreo de Red Segura - 98t00017
7/179
INDICE GENERALPORTADA
AGRADECIMIENTO
DEDICATORIA
INDICES
INTRODUCCIN
CAPITULO I
MARCO REFERENCIAL ......................................................................................................................... - 15 -
1.1 ANTECEDENTES ........... ............. ............. ............. ............. ............. ............ ............. .............. ... - 15 -
1.2 JUSTIFICACIN .......... ............... ............ ............ ............... ............ ............ .............. ............ ...... - 17 -
1.3 OBJETIVOS ............... ............ ............ .............. ............. ............ ............. ............. ............. .......... - 19 -
1.3.1 GENERAL ............ ............. ............ .............. ............. ............ ............. ............. ............. .......... - 19 -
1.3.2 ESPECIFICOS ............ .............. ............ ............ .............. ............. ............ ............. .............. ... - 19 -
1.4 HIPTESIS ............. ............. ............ .............. ............ ............ ............... ............ ............ ............. - 19 -
CAPITULO II
MARCO TERICO ................................................................................................................................. - 20 -
2. MONITOREO DE RED ........................................................................................................................ - 20 -
2.1INTRODUCCIN ............................................................................................................................... - 20 -
2.2 Definicin de Monitoreo ..................................................................................................................... - 21 -
2.3.1 Monitoreo Activo ........................................................................................................................ - 22 -
2.3.2 Monitoreo Pasivo ............. ............ .............. ............ ............ ............... ............ ............ ............. - 22 -
2.4 ARQUITECTURA SNMP ................................................................................................................... - 23 -
2.4.1 Introduccin ................................................................................................................................... - 23 -
2.4.2 Elementos de la Arquitectura SNMP ............. ............. ............ .............. ............ ............. .......... - 24 -
2.4.3 Consola de administracin (NMS) .............................................................................................. - 24 -
2.4.3.1 Funciones bsicas .................................................................................................................. - 24 -
2.4.3.2 ARQUITECTURA NMS PARA LA ADMINISTRACIN DE RED.............................................. - 25 -
2.4.3.2.1 Arquitectura Centralizada ................................................................................................. - 25 -
2.4.3.2.2 Arquitectura Distribuida .................................................................................................... - 26 -
2.4.2.3.3 Arquitectura jerrquica .................................................................................................... - 26 -
2.4.4 Agente ....................................................................................................................................... - 27 -
2.4.5 MIB (MANAGEMENT INFORMATION BASE) ............ ............ ............... ............ ............ ............. - 28 -
2.4.5.1 OIDs (Objeto Identificador) ................................................................................................. - 28 -
-
7/26/2019 Analisis Del Protocolo Snmpv3 Para El Desarrollo de Un Prototipo de Monitoreo de Red Segura - 98t00017
8/179
2.4.5.2 Estructura de la MIB........................................................................................................... - 29 -
2.4.5.3 Sintaxis de la MIB .............................................................................................................. - 30 -2.4.5.4 TIPOS DE MIBS .............. ............ ............. .............. ............ ............. .............. ............ ........ - 33 -
2.5 SNMPv3 ....................................................................................................................................... - 42 -
2.5.1 Caractersticas de seguridad.................................................................................................. - 42 -
2.5.2 Modelos y niveles de seguridad ............ ............ .............. ............. ............ ............. .............. ... - 42 -
2.5.3 Arquitectura SNMPv3 ............................................................................................................. - 44 -
2.5.4 Entidades SNMP ............ ............ .............. ............ ............ ............... ............ ............ ............. - 44 -
2.5.6 Agente SNMP ........................................................................................................................ - 49 -
2.5.7 Formato mensaje SNMPv3 ........... .............. ............. ............ .............. ............ ............ ........... - 50 -2.5.8 SEGURIDAD EN SNMPv3 ..................................................................................................... - 52 -
CAPITULO III
EVALUACIN HERRAMIENTAS DE MONITOREO CACTI, ZABBIX, Y NAGIOS ............. ............. .......... - 78 -
3.1 INTRODUCCIN .............................................................................................................................. - 78 -
3.2 Eleccin de herramientas .................................................................................................................. - 68 -
3.2.1 Anlisis de la seleccin de software a utilizar .............................................................................. - 68 -
3.2.2 Identificacin de los parmetros a analizar o evaluar en cada una de las aplicaciones .......... - 69 -
3.4 Anlisis comparativo CACTI, ZABBIX y NAGIOS .............. ............ ............ .............. ............ ...... - 81 -CAPITULO IV
MARCO METODOLGICO E HIPOTETICO ........................................................................................... - 87 -
4.1 TIPO DE INVESTIGACIN ............................................................................................................... - 87 -
4.2 SISTEMA DE HIPTESIS ................................................................................................................. - 86 -
4.3 OPERACIONALIZACIN DE LAS VARIABLES ................................................................................. - 86 -
4.3.1 Descripcin de las variables con sus respectivos indicadores e indices ........................................... - 88 -
4.3.1.1 Indicadores ............. ............. ............ .............. ............ ............ ............... ............ ............ ............. - 88 -
4.4 POBLACIN Y MUESTRA ............. ............. ............ .............. ............ ............. .............. ............ ........ - 90 -4.5 PROCEDIMIENTOS GENERALES .................................................................................................... - 90 -
4.6 INSTRUMENTOS DE RECOLECCIN DE DATOS ........................................................................... - 90 -
4.7 VALIDACIN DE LOS INSTRUMENTOS .......................................................................................... - 90 -
4.8 AMBIENTE DE SIMULACIN ........................................................................................................... - 92 -
4.9 EXPERIMENTO 1 (ANEXO 4) ........................................................................................................... - 93 -
4.10 EXPERIMENTO 2 (ANEXO3) .......................................................................................................... - 94 -
-
7/26/2019 Analisis Del Protocolo Snmpv3 Para El Desarrollo de Un Prototipo de Monitoreo de Red Segura - 98t00017
9/179
CAPITULO V
ANLISIS DE RESULTADOS ............................................................................................................... - 105 -5. PROCESAMIENTO DE LA INFORMACIN ............ .............. ............ .............. ............ ............. ........ - 105 -
5.1 ANLISIS DE LOS RESULTADOS DEL EXPERIMENTO 1 Y2 ............ ............ .............. ............ .... - 105 -
5.1.1 ANLISIS DE LAS VARIABLE INDEPENDIENTE ACORDE AL EXPERIMENTO 1 Y 2 .............. ... - 96 -
5.1.2 ANLISIS DE LA VARIABLE DEPENDIENTE BASADOS EN LOS EXPERIMENTOS 1 Y 2 .......... - 101 -
5.2 PRUEBA DE LA HIPOTESIS ........................................................................................................... - 110 -
CAPITULO VI
MARCO PROPOSITIVO ....................................................................................................................... - 119 -
6. IMPLEMENTACIN DEL PROTOTIPO DE MONITOREO DE RED SEGURA ........................ ........... - 119 -6.1 HARDWARE ................................................................................................................................... - 119 -
6.1.1 SWITCHES CATALYST 2950....................................................................................................... - 116 -
6.1.2 SWITCH CATALYST 2960 ........................................................................................................... - 117 -
6.1.3 ROUTER CISCO 2811 ................................................................................................................. - 118 -
6.2 HERRAMIENTAS Y SOFWARE ...................................................................................................... - 118 -
6.2.1 NMS-CACTI ................................................................................................................................. - 118 -
6.3 IMPLEMENTACIN DEL PROTOTIPO ........................................................................................... - 119 -
6.3.1 Instalacin del Gestor (CACTI) ..................................................................................................... - 119 -6.3.1.3 Agregar dispositivos a monitorear en Cacti................................................................................. - 122 -
6.3.2 Configuracin de los agentes SNMPv3 .............. ............ ............ ............... ............ ............ ........... - 124 -
6.3.2.1 SNMPV3 EN ROUTER 2811 ................................................................................................. - 124 -
6.3.2.2 SNMPV3 EN CATALYST 2950 Y 2960 ............ ............... ............ ............ .............. ............ .... - 127 -
6.3.2.3 SNMPV3 EN PC ................................................................................................................... - 130 -
CONCLUSIONES
RECOMENDACIONES
RESUMENSUMMARY
GLOSARIO
ANEXOS
BIBLIOGRAFIA
-
7/26/2019 Analisis Del Protocolo Snmpv3 Para El Desarrollo de Un Prototipo de Monitoreo de Red Segura - 98t00017
10/179
INDICE DE FIGURAS
Figura I. I Ambiente de Simulacin
Figura II. 1 Arquitectura de administracin Centralizada ........................................................................... - 25 -
Figura II. 2 Arquitectura de administracin distribuida .............................................................................. - 26 -
Figura II. 3 Arquitectura de Administracin Jerrquica ............ ............ ............... ............ ............ ............. - 27 -
Figura II. 4 Estructura de la MIB .............................................................................................................. - 29 -
Figura II. 5 Entidad SNMPv3 ........... ............ .............. ............ ............ ............... ............ ............ ............. - 44 -
Figura II. 6 Gestor SNMP Tradicional ...................................................................................................... - 48 -
Figura II. 7 Agente Tradicional ............ ............ .............. ............. ............ ............. ............. ............. .......... - 49 -
Figura II. 8 Formato mensaje SNMPv3 .................................................................................................... - 50 -
Figura II. 9 Diagrama de flujo para VACM ................................................................................................ - 54 -
Figura IV. I Ambiente de simulacin ........................................................................................................ - 92 -
Figura V. 1 Funcionamiento SNMPv3 ...................................................................................................... - 96 -
Figura V. 2 Ataque de hombre en el Medio SNMP ................................................................................... - 97 -
Figura V. 3 Seguridad SNMP .................................................................................................................. - 98 -
Figura V. 4 Disposicin de Equipos SNMP .............................................................................................. - 99 -
Figura V. 5 Overload SNMP .................................................................................................................. - 100 -
Figura V. 6 Presencia de la informacin de gestin en la red ................................................................. - 100 -
Figura V. 7 Seguridad en Contraseas .................................................................................................. - 102 -
Figura V. 8 Mtodos de Autenticacin ................................................................................................... - 103 -
Figura V. 9 Contraseas Encriptacin/des-Encriptacin ......................................................................... - 104 -
Figura V. 10 Confidencialidad ............................................................................................................... - 105 -
Figura V. 11 Revelacin Selectiva ......................................................................................................... - 106 -
Figura V. 12 Privacidad ......................................................................................................................... - 107 -
Figura V. 13 Control De Acceso ............................................................................................................ - 108 -
Figura V. 14 Curva del anlisis de chi-cuadrado .................................................................................... - 114 -
. Figura VI. 1 switch catalyst 2950 ............. ............ ............ ............... ............ ............ .............. ............. . - 116 -
Figura VI. 2 switch catalyst 2960 .............. ............ ............ ............... ............ ............ .............. ............. . - 117 -
Figura VI. 3 Red de pruebas ................................................................................................................. - 119 -
Figura VI. 4 Instalacin Apache2 ........................................................................................................... - 119 -
Figura VI. 5 Instalacin Base de datos MySql ........................................................................................ - 120 -
Figura VI. 6 Gua de instalacin Cacti .................................................................................................... - 120 -
-
7/26/2019 Analisis Del Protocolo Snmpv3 Para El Desarrollo de Un Prototipo de Monitoreo de Red Segura - 98t00017
11/179
Figura VI. 7 Seleccin new Install .......................................................................................................... - 121 -
Figura VI. 8 Confirmacin de rutas de acceso de los ejecutables ........................................................... - 121 -Figura VI. 9 Ingreso usuario y contrasea .............................................................................................. - 121 -
Figura VI. 10 Forzar cambio de usuario y contrasea............................................................................. - 122 -
Figura VI. 11 Consola de administracin Cacti .............. ............. ............ .............. ............ ............. ........ - 122 -
Figura VI. 12 Creacin de los dispositivos ............................................................................................. - 122 -
Figura VI. 13 Configuracin de los parmetros del dispositivo a monitorear ........... .............. ............ ...... - 123 -
Figura VI. 14 Acceso satisfactorio del dispositivo a monitorear ........... ............... ............ ............ ........... - 123 -
Figura VI. 15 vista escritura en el Router 2811 ....................................................................................... - 125 -
Figura VI. 16 Configuracin del grupo administrador_secundario en el router 2811 .................. ............. - 125 -Figura VI. 17 Configuracin grupo administrador_principal ..................................................................... - 126 -
Figura VI. 18 Creacin del usuario Alejandra ligado al grupo administrador_ principal ............ ............ .... - 127 -
Figura VI. 19 Creacin del usuario Ruth ligado al grupo administrador_secundario ............ ............ ......... - 127 -
Figura VI. 20 Configuracin vista lectura en catalyst 2950 y2960 ............ ............. .............. ............ ...... - 128 -
Figura VI. 21 Configuracin vista escritura en catalyst 2950 y2960 ............ ............. .............. ............ ...... - 128 -
Figura VI. 22 Configuracin del grupo administrador principal ................................................................ - 129 -
Figura VI. 23 Inicializacin del agente SNMPv3 ..................................................................................... - 130 -
Figura VI. 24 Configuracin de la vista escritura .................................................................................... - 130 -Figura VI. 25 Definicin de grupo administrador_principal ...................................................................... - 131 -
Figura VI. 26 Definicin de usuario Alejandra ........................................................................................ - 131 -
-
7/26/2019 Analisis Del Protocolo Snmpv3 Para El Desarrollo de Un Prototipo de Monitoreo de Red Segura - 98t00017
12/179
INDICE DE TABLAS
TABLA II. I TIPOS DE DATOS SIMPLES O PRIMITIVOS ............. ............ ............ ............... ............ .......... - 31 -
TABLA II. II TIPOS DE DATOS COMPUESTOS O ESTRUCTURALES ............... ............ ............ .............. . - 32 -
TABLA II. III TIPOS DE DATOS DEFINIDOS ............. ............ ............ .............. ............. ............ .............. ... - 32 -
TABLA II. IV MIB II y MIB I ........... ............. .............. ............ ............. .............. ............ ............ .............. ... - 33 -
TABLA II. V DESCRIPCIN DE LOS OBJETOS EN EL GRUPO SYSTEM ............ .............. ............ ........ - 34 -
TABLA II. VI DESCRIPCIN OBJETOS EN EL GRUPO INTERFACES .............. ............ ............ .............. . - 35 -
TABLA II. VII OBJETOS EN EL GRUPO ADDRESS TRANSLATION ............. ............ .............. ............. ..... - 36 -
TABLA II. VIII OBJETOS DEL GRUPO IP ................................................................................................. - 36 -
TABLA II. IX DESCRIPCIN OBJETOS DEL GRUPO ICMP ............ ............. ............ .............. ............. ..... - 37 -
TABLA II. X DESCRIPCIN DE LOS OBJETOS DEL GRUPO TCP..................... ............. ............ ............. - 38 -
TABLA II. XI DESCRIPCIN DE OBJETOS DEL GRUPO UDP ........... ............... ............ ............ .............. . - 39 -
TABLA II. XII DESCRIPCIN DE LOS OBJETOS DEL GRUPO SNMP ............... ............ ............ .............. . - 40 -
TABLA II. XIII MODELOS Y NIVELES DE SEGURIDAD ............. ............ .............. ............ ............. ............ - 43 -
TABLA II. XIV MEJORAS DE SNMPV3 FRENTE A SUS VERSIONES ANTERIORES .......... ............... ......... 65
TABLA III. I REQUISITOS DE HADWARE PARA LA INSTALACIN DE ZABBIX .............. ............ ............. - 73 -
TABLA III. II PLATAFORMAS SOPORTADAS POR ZABBIX ............ ............. ............ .............. ............. ..... - 73 -
TABLA III. III REQUISITOS PARA LA INSTALACIN DE NAGIOS ........... ............. .............. ............ .......... - 77 -
TABLA III. IV ANLISIS COMPARATIVO .................................................................................................. - 82 -
TABLA III. V ANLISIS COMPARATIVO ENTRE CACTI Y ZABBIX ............ ............ .............. ............ ........ - 83 -
TABLA IV. I OPERACIONALIZACIN CONCEPTUAL DE VARIABLES .............. ............ ............ .............. . - 86 -
TABLA IV. II OPERACIONALIZACIN METODOLGICA DE LA VARIABLE INDEPENDIENTE ........... ... - 87 -
TABLA IV. III OPERACIONALIZACIN METODOLGICA DE LA VARIABLE DEPENDIENTE.................. - 87 -
TABLA IV. IV DETALLES TCNICOS DEL AMBIENTE DE SIMULACIN ........... ............... ............ .......... - 93 -
TABLA V. I FUNCIONAMIENTO SNMPV3 ................................................................................................ - 96 -
TABLA V. II SEGURIDAD SNMP ............ ............. ............ ............... ............ ............ .............. ............. ..... - 97 -
TABLA V. III DISPOSICIN DE EQUIPOS SNMP ..................................................................................... - 98 -
TABLA V. IV OVERLOAD DE LA INFORMACIN DE GESTIN EN LA RED ............. ............ .............. . - 100 -
TABLA V. V CUANTIFICADORES Y ABREVIATURAS DE LA CALIFICACIN DE LOS PARMETROS .. - 101 -
TABLA V. VI VALORACIN CUANTITATIVA Y CUALITATIVA DEL INDICADOR 4 ............... ............ ...... - 103 -
TABLA V. VII PRIVACIDAD .................................................................................................................... - 106 -
TABLA V. VIII CONTROL DE ACCESO................................................................................................... - 108 -
-
7/26/2019 Analisis Del Protocolo Snmpv3 Para El Desarrollo de Un Prototipo de Monitoreo de Red Segura - 98t00017
13/179
TABLA V. IX RESUMEN DE LA VARIABLE DEPENDIENTE Y SUS PUNTAJES TOTALES ........... .......... - 109 -
TABLA V. X RESUMEN DE LOS VALORES OBTENIDOS PARA CADA UNO DE LOS INDICADORES . - 111 -TABLA V. XI FRECUECIAS OBSERVADAS ............................................................................................ - 111 -
TABLA V. XII FRECUENCIAS ESPERADAS ........... .............. ............ ............... ............ ............ ............. - 112 -
TABLA V. XIII SUMATORIA DE X2 .......... ............... ............ ............ .............. ............. ............ .............. . - 113 -
-
7/26/2019 Analisis Del Protocolo Snmpv3 Para El Desarrollo de Un Prototipo de Monitoreo de Red Segura - 98t00017
14/179
INTRODUCCIN
Debido al constante crecimiento que presentan las redes se han vuelto mucho ms complejas y
heterogneas haciendo que su control y seguimiento de red se tornen complicados y se conviertan
en verdaderos retos para los administradores de red.
Como es de conocimiento general las redes de hoy no solo soportan aplicaciones o solo sirven
para enviar correos electrnicos, para transferencia de archivos, hoy en da las redes dan soporte a
aplicaciones robustas y servicios estratgicos que son de vital importancia para el correcto
funcionamiento de la empresa.
Es por esa razn que la informacin que es utilizada para gestionar los dispositivos de forma
remota debe transitar de forma segura y confiable, con el fin de precautelar la integridad y evitar que
se conozca la inteligencia de la red.
Por tal motivo, se debe escoger protocolos probos de gestin que garanticen la transferencia
segura y confiable de la data de gestin.
Por lo que la presente tesis propone la utilizacin de SNMPv3 como protocolo de gestin de red,
dado que el mencionado protocolo garantiza en gran medida el trnsito seguro de la data de
administracin a travs de la red.Se utilizara CACTI como herramienta de monitoreo, que estar a cargo de procesar la informacin
generada por SNMPv3. Convirtindose en la interfaz entre el usuario y el protocolo. Fue escogida la
mencionada herramienta por las caractersticas que presenta en las que sobresale, licencia GPL,
facilidad, poco consumo de recursos de red, configuracin simple, etc.
-
7/26/2019 Analisis Del Protocolo Snmpv3 Para El Desarrollo de Un Prototipo de Monitoreo de Red Segura - 98t00017
15/179
CAPTULO I
MARCO REFERENCIAL
1.1ANTECEDENTES
En los aos 80, No haba un soporte para hacer una buena administracin de las redes, Los
administradores de red no contaban con las herramientas suficientes y necesarias para administrar
una red local, ni mucho menos una red como la internet. Las nicas herramientas de gestin de red
en aquel entonces eran ICMP, PING, Trace-route, no proporcionaban la suficiente informacin
para resolver con rapidez los problemas que se presentaban en la red.
Como solucin a este problema en 1988 la IAB propone desarrollar el protocolo SNMP. Buscando
tener poco impacto en el rendimiento en los nodos cuando se utilizaran estos protocolos, por lo
tanto tenan que ser protocolos sencillos pero al mismo tiempo robustos.
Con el tiempo SNMP se convierte en un estndar de facto para la administracin y gestin de red.
Pero con el crecimiento global de las redes pronto dejo al descubierto varias falencias y debilidades
que hicieron que aparezcan nuevas ampliaciones al protocolo.
-
7/26/2019 Analisis Del Protocolo Snmpv3 Para El Desarrollo de Un Prototipo de Monitoreo de Red Segura - 98t00017
16/179
Por los inconvenientes que presentaba SNMPv1 en cuanto a seguridad y al excesivo
trfico de informacin de gestin presente en la red, da pie para que se introduzca una
ampliacin al protocolo naciendo as SNMPv2 con el propsito de cubrir estas
falencias.
SNMP en su versin dos presenta mejoras pero sigue adoleciendo de seguridad en
cuanto al envo de paquetes SNMP por la red, la seguridad en la versin dos est
basada en comunidades al igual que SNMPv1, cuyos nombres son enviadas en texto
plano, lo que conlleva a que esto se convierta en un punto dbil de la LAN. Debido a
que un individuo con un poco de conocimiento pueda hacer uso de un sniffer y
capturar el trfico y podra vulnerar la red con dicha informacin.
Por la falta de seguridad en las versiones 1 y 2 de SNMP, se da paso a la creacin de
SNMPv3 que incrementa la seguridad en los entornos de gestin valindose de
operaciones de autenticacin, privacidad y control de acceso: limitando el acceso a los
recursos de gestin nicamente a personas probas.
-
7/26/2019 Analisis Del Protocolo Snmpv3 Para El Desarrollo de Un Prototipo de Monitoreo de Red Segura - 98t00017
17/179
1.2 JUSTIFICACIN
La principal motivacin detrs del desarrollo del presente proyecto es estudiar los posibles perjuicios
a tener debido al intercambio inseguro de la informacin de gestin entre los dispositivos
monitoreados (routers, switchs, hub, etc.) y la/las estacin (NMS) que se encargara de procesar
dicha informacin. La NMS que se encargara de procesar la informacin de gestin ser
seleccionada de una terna de tres participantes, las mismas que deben cumplir con ciertas
condiciones la principal y la ms importantes es que estas herramientas se instalen y se han
software libres por las ventajas de costes que presentan frente a los paquetes de monitoreo que
ofrecen diferentes casas fabricantes, la desventaja de tener programas con licencia paga es para
las organizaciones pequeas o instituciones pblicas que no cuentan con el suficiente dinero para
realizar una alta inversin en licencias de software.
La visin del proyecto se centra en la obtencin de resultados, cuya informacin nos indique en qu
medida se ve afectada la informacin de administracin y gestin de redes durante su paso por la
red al hacer uso de las primeras versiones del protocolos de gestin SNMP que no proporcionan
la seguridad necesaria para la mencionada informacin, a diferencia de SNMPv3 que si aporta con
la seguridades del caso.
Los resultados sern producto de una evaluacin previa de parmetros como la seguridad en
contraseas, formas de autenticacin, contraseas de encriptacin y des encriptacin, revelacin
selectiva del contenido de los mensajes utilizando sniffers como wireshark y dsniff, adems se
medir la confidencialidad de la informacin de gestin para ello se realizar un ataque de hombre
en el medio en un ambiente de simulacin, adems se medir la carga de trfico generado tanto
por SNMPv1/v2 y SNMPv3 utilizando iptraf
-
7/26/2019 Analisis Del Protocolo Snmpv3 Para El Desarrollo de Un Prototipo de Monitoreo de Red Segura - 98t00017
18/179
Figura I. I Ambiente de Simulacin
Lo que se pretende solucionar con este proyecto son infiltraciones no autorizadas a los recursos de
gestin y a los equipos, evitando que se realicen ataques a la red haciendo uso de los propios
recursos de gestin, que por descuido o por falta de conocimiento del administrador de red permite
que los datos de gestin transiten de forma insegura por la red constituyndose en un punto de
fragilidad para la red.
-
7/26/2019 Analisis Del Protocolo Snmpv3 Para El Desarrollo de Un Prototipo de Monitoreo de Red Segura - 98t00017
19/179
1.3OBJETIVOS
1.3.1 GENERAL
Analizar el protocolo SNMPv3 y aplicarlo al desarrollo de un prototipo de monitoreo de red segura
1.3.2 ESPECIFICOS
Estudiar el protocolo de administracin y gestin de redes SNMP en su versin 3 para
entender su funcionamiento
Determinar las mejoras de SNMPv3 frente a sus versiones anteriores.
Evaluar herramientas de software libre que incorporen SNMPv3 para la gestin y
monitoreo de redes
Implementar un prototipo de pruebas para el desarrollo de la plataforma de monitoreo
basada en SNMPv3
1.4HIPTESIS
El protocolo SNMPv3 podr ser aplicado al diseo de un prototipo de monitoreo de redsegura, en un ambiente OpenSource que permitir alcanzar niveles apropiados de seguridad
en la administracin y gestin de redes.
-
7/26/2019 Analisis Del Protocolo Snmpv3 Para El Desarrollo de Un Prototipo de Monitoreo de Red Segura - 98t00017
20/179
CAPTULO II
MARCO TERICO
2. MONITOREO DE RED
2.1INTRODUCCIN
La deteccin oportuna de fallas y el monitoreo de los elementos que conforman una red de datos
son actividades de gran relevancia para brindar un servicio de calidad a nuestros usuarios. De esto
se deriva la importancia de un sistema capaz de notificar las fallas en la red y de mostrarnos su
comportamiento mediante el anlisis y recoleccin del trfico.
En la actualidad las redes, cada vez mas soportan aplicaciones y sevicios estratgicos de las
organizaciones y si presentan algn tipo de desperfecto en su rendimiento, sin saber cual es el
punto de ruptura, puede causar perdidas para la entidad u organizacin.
Las redes de datos de las organizaciones, cada vez se vuelven mucho mas complejas y la exigencia
de operacin es cada vez mas demandante.
-
7/26/2019 Analisis Del Protocolo Snmpv3 Para El Desarrollo de Un Prototipo de Monitoreo de Red Segura - 98t00017
21/179
Por lo cual el anlisis y monitoreo de red se ha convertido en una labor de mucha importancia y de
carcter proactivo para evitar problemas a futuro .
La seguridad no solo radica en la prevencin, sino tambien en la identificacin. Entre menos tiempo
haya pasado desde la intrusin e identificacion, el dao sera menor,para lograr esto es importante
realizar un constante monitoreo del sistema con la finalidad de identificar vulnerabilidades en la red
que los intrusos o el propio personal de la empresa puede hacer uso para acceder a recursos de la
red que no estan autorizados y puedan causar denegaciones de servicio o otros problemas .
La prestacion de servicios de calidad a los usuarios de una red depende en gran medida de factores
que involucran aspectos de eficiencia y de seguridad. En el aspecto de eficiencia el ancho de banda
disponible y la utilizacion que se haga del mismo representa un factor critico,Mientras en el caso de
la seguridad, es importante conocer el tipo de trfico que esta siendo cursado por la red , asi como
tener la capacidad de detectar el trfico malicioso.
2.2 Definicin de Monitoreo
Es el proceso de observar el comportamiento de la red y de sus nodos a traves de la
correspondiente informacin de adminsitracin. Esto se realiza con el fin de detectar fallas en la red
y en los nodos. La Monitorizacin involucra dos factores importantes el tiempo de duracion del
monitoreo y el uso de recursos de la red. Mientras mayor sea el tiempo de monitoreo mas efectiva
sera la deteccin de problemas, pero habra una mayor ocupacin de los recursos lo cual perjudicara
a otras tareas.Por lo tanto debe existir un balance para conseguir un desempeo aceptable del
sistema.
-
7/26/2019 Analisis Del Protocolo Snmpv3 Para El Desarrollo de Un Prototipo de Monitoreo de Red Segura - 98t00017
22/179
2.3 ENFOQUES DE MONITOREO1
Existen, dos formas de abordar el proceso de monitorear una red: el enfoque activo y el enfoque
pasivo. Aunque son diferentes ambos se complementan.
2.3.1 Monitoreo Activo
Este tipo de monitoreo se realiza inyectando paquetes de prueba en la red, o envando paquetes a
determinadas aplicaciones midiendo sus tiempos de respuesta, Este enfoque tiene la particularidad
de agregar trfico a la red. Es utilizado para medir el rendimiento de la red.
Tcnicas de Monitoreo activo
Basado en ICMP
Dagnosticar Problemas en la red.
Detectar retardo, perdidad de paquetes.
Disponibilidad de host de host y redes.
Basdo en TCP
Tasa de transferencia
Dagnosticar problemas a nivel de aplicacin.
Basado en UDP
Perdidas de paquete en un sentido (one-way)
2.3.2 Monitoreo Pasivo
Este enfoque se basa en la obtencin de datos apartir de recolectar y analizar el trfico circundante
por la red, se emplean diversos dispositivos como sniffers,ruteadores,computadores con software de
1Carlos Alberto Vicente Altamirano,Monitoreo de Recursos de Red, Mexico 2005 .pdfUniversidad Nacional Autonoma de Mexico
-
7/26/2019 Analisis Del Protocolo Snmpv3 Para El Desarrollo de Un Prototipo de Monitoreo de Red Segura - 98t00017
23/179
anlisis de trfico y en general dispositivos con soporte snmp,rmon y netflow. Este enfoque no
agrega trfico a la red.
Tcnicas de Monitoreo pasivo
Mediante SNMP
Utilizado para obtener estadisticas sobre la utilizacin de ancho de banda,consumo de recursos de
red, etc., al mismo tiempo genera traps que indica que un evento inusual ha ocurrido.
Captura de trfico
Se puede llevar a cabo de dos formas: 1.-Mediante la configuracin de un puerto espejo en un
dispositivo de red, el cual hara una copia del trfico que ercibe en un puerto hacia otro donde estara
conectado el equipo que realizara la captura.
2.- Mediante la instalacin de un dispositivo intermedio que capture el trfico, el cual puede
ser una computadora con el software de captura esta tecnica es utilizada para contabilizar el
trfico que circula por la red.
Anlisis de Trfico
Usado para identificar el tipo de aplicaciones. Se puede implementar atraves de un dispositivo
intermedio con una plicacin capaz de clasificar el trfico por aplicacin, direccines IP origen y
destino, puertos origen y destino etc.
2.4 ARQUITECTURA SNMP
2.4.1 Introduccin
SNMP, se ha constituido en salida y solucin propuesta para poder unificar el proceso de
administracin de redes privadas (intranet), sin tener en cuenta la casa matriz de donde provienen
los dispositivos que son parte de la red a ser gestionada.
-
7/26/2019 Analisis Del Protocolo Snmpv3 Para El Desarrollo de Un Prototipo de Monitoreo de Red Segura - 98t00017
24/179
Hasta el da de hoy existe tres versiones conocidas de SNMP, la versin 1 que fue desarrollada por
Case, McGlorie, Rose y Waldbuser , la versin 2 que incorpora mejoras en las operaciones del
protocolo y por ltimo la versin 3 que cubre las falencias de seguridad que venan arrastrando sus
versiones pasadas .
2.4.2 Elementos de la Arquitectura SNMP
En un sistema SNMP se puede identificar cuatro componentes fundamentales.
1. Gestor de red (NMS),
2. Agente
3. MIB.
4. Protocolo SNMP
2.4.3 Consola de administracin (NMS)
La estacin NMS es algn tipo de software que puede manejar procesos administrativas, es la
interfaz entre la red y el administrador. Una NMS es responsable de generar consultas y de recibir
notificaciones de agentes en la red. A travs de una consulta se obtiene informacin que ms tarde
puede ser usada para determinar si ha ocurrido algn evento crtico. Por otro lado una notificacin
permite al agente dar aviso que algo ha ocurrido. La estacin tiene la capacidad de realizar una
accin basada en la informacin que recibi del agente, realizando asi un monitoreo proactivo en
algunos casos.
2.4.3.1 Funciones bsicas
Los datos son centralizados en registros para poder tener una visin y realizar un anlisis
apropiado de los mismos.
-
7/26/2019 Analisis Del Protocolo Snmpv3 Para El Desarrollo de Un Prototipo de Monitoreo de Red Segura - 98t00017
25/179
Provee una interface para el administrador de manera que esta pueda controlar y observar
el proceso de administracin de red.
Permite tener una visin completa del desempeo de los dispositivos gestionados, como la
salud de la red, interfaces cadas, etc.
2.4.3.2 ARQUITECTURA NMS PARA LA ADMINISTRACIN DE RED
Se tienen tres arquitecturas fundamentales para la administracin de red: jerrquica, centralizada y
distribuida.Tienen una dependencia directa con el protocolo que se va utilizar para establecer las
reglas de monitoreo.
2.4.3.2.1 Arquitectura Centralizada
Aqu todas las consultas son envadas a un sistema de gestin simple. Las aplicaciones de
administracin son instaladas en la NMS, la cal responde a todos los avisos envados desde los
agentes. En un sistema de administracin centralizada hay un nico responsable de realizar
consultas de informacin a los dispositivos. Si bien su informacin es fcil de manejar,una NMS
puede llegar a sobrecargarse facilmente debido al nmero de traps2 que los agentes pueden envar
al NMS
Figura II. 1 Arquitectura de administracin Centralizada
22Traps: Eventos inusuales que se disparan cuando se cumplen una determinada premisa en el dispositivo y que son enviadas a la NMS
-
7/26/2019 Analisis Del Protocolo Snmpv3 Para El Desarrollo de Un Prototipo de Monitoreo de Red Segura - 98t00017
26/179
2.4.3.2.2 Arquitectura Distribuida
Como se muestra en la figura II.2, hay dos puntos de administracin del sistema que gestiona los
agentes .Se puede organizar una arquitectura distribuida basada en la geografa, o se puede
asignar a cada NMS responsabilidad sobre un grupo especfico de recursos de la red.
Figura II. 2 Arquitectura de administracin distribuida
Como se puede apreciar en la figura II.2 cada dispositivo NMS gestiona un grupo especfico de
dispositivos de la red, manejando de forma centralizada sus aplicaciones de gestin, de esta manera
se puede asegurar que las mquinas gestoras no sufrirn saturaciones. Este modelo tiende a limitar
los beneficios de un modelo de administracin de red centralizado, ya que las NMS pueden enviar
solo mensajes entre ellas pero no pueden actualizar consultas o resultados de bases de datos de
agentes administrados por otras NMS este tipo de arquitectura depende del tipo de protocolo de
gestin a utilizar.
2.4.2.3.3 Arquitectura jerrquica
Combina el sistema centralizado con el distribuido. Es la arquitectura ms compleja pero. Provee las
fortalezas de las anteriores .Como se muestra en la figura II.3 se utiliza una NMS centralizada que
solo coordina consultas enviadas de entidades NMS adicionales.
-
7/26/2019 Analisis Del Protocolo Snmpv3 Para El Desarrollo de Un Prototipo de Monitoreo de Red Segura - 98t00017
27/179
Figura II. 3 Arquitectura de Administracin Jerrquica
Se puede delegar varias tareas y responsabilidades a varios sistemas en la red, de esta manera se
mantiene y almacena informacin de una manera centralizada y sin embargo asegura que los
sistemas distribuidos sean responsables del procesamiento de consultas y respuestas. Las
aplicaciones de administracin estn distribuidas en varios sistemas en la red
2.4.4 Agente
Los agentes de administracin son procesos que se ejecutan en cada nodo de la red, como hosts,
routers, puentes, hubs, switches que deben estar equipados con SNMP. Representa a la parte del
servidor en la medida que tiene la informacin que desea administrar y espera los comandos a
ejecutar por parte del cliente (entidad administradora).Todos los datos del agente se almacenan en
su MIB ver figura II.IV y entre las funciones principales que un agente puede controlar encontramos.
Nmero y estado de circuitos virtuales
Mensajes de difusin enviados y recibidos.
Nmero de bytes y paquetes entrantes y salientes del dispositivo.
Interfaces de red que se han cado y las que se han activado
-
7/26/2019 Analisis Del Protocolo Snmpv3 Para El Desarrollo de Un Prototipo de Monitoreo de Red Segura - 98t00017
28/179
Para realizar estas funciones cada Agente mantiene un MIB (Manejador de Informacin Bsica) que
contiene toda la informacin (tanto reciente como histrica) sobre su configuracin local y el trfico
que maneja. La estacin manejadora mantendr un MIB global con la informacin resumida de todos
los agentes.
2.4.5 MIB (MANAGEMENT INFORMATION BASE)
Una MIB es una base de datos de informacin que est organizada de forma jerrquica.
estructurada en forma de rbol, en la que se agrupan todos los objetos de un dispositivo de red que
van a ofrecer algn tipo de interoperabilidad o funcionamiento en este, y que se desean que sean
gestionados a travs de SNMP.
Un objeto administrado o comnmente conocido como objeto MIB es uno de cualquier nmero de
caractersticas especficas de un dispositivo administrado. Los objetos administrados estn
compuestos de una o ms instancias de objeto, que son esencialmente variables.
Tipos de objetos Administrados: escalares y tabulares.
Los objetos escalares definen una simple instancia de objeto a diferencia de los objetos tabulares
que define mltiples instancias de objetos
2.4.5.1 OIDs (Objeto Identificador)
Cada uno de las ramificaciones del rbol y de los objetos contenidos en estas, estn representados
por un nmero que identifica su posicin exacta dentro de la MIB. Este nmero se denomina OID y
es nico entre todas las MIBs existentes.
Esto hace que cada objeto se ha accesible a travs de un solo camino, quedando perfectamente
identificado mediante lo que se conoce como una ruta absoluta del objeto.
-
7/26/2019 Analisis Del Protocolo Snmpv3 Para El Desarrollo de Un Prototipo de Monitoreo de Red Segura - 98t00017
29/179
2.4.5.2 Estructura de la MIB
SNMP sigue una estructura tipo rbol, donde sus ramificaciones son los objetos a ser gestionados
cada uno con una funcin especfica en la red. Los objetos se agrupan en estructuras lgicas
relacionadas entre s.Est definida baja las condiciones de SMI ver Anexo 1
rbol MIB
Los objetos de una MIB estn agrupados en una estructura en cascada compuesta por diversos
nodos: cada uno de estos nodos contiene un determinado nmero de objetos relacionados entre ssegn su funcin dentro del dispositivo: a esta estructura se la conoce como rbol MIB.
Figura II. 4 Estructura de la MIB
-
7/26/2019 Analisis Del Protocolo Snmpv3 Para El Desarrollo de Un Prototipo de Monitoreo de Red Segura - 98t00017
30/179
La zona superior de este rbol est reservada para diferentes organizaciones estndares, mientras
que las de la parte inferior estn reservadas para las organizaciones asociadas: la rama principal se
inicia en el nodo ISO donde de los dems apartados definidos para su propio uso, se ha definido uno
para el resto de organizaciones dentro de este se encuentra en nodo correspondiente a la
comunidad de internet que nos interesa en particular.
El nodo internet, uno de los principales nodos del rbol, en un principio estaba formado por las
siguientes 4 ramificaciones:
1. Directory: reservada para memorias futuras que discutan sobre la organizacin de la
estructura ISO utilizada en internet.
2. Mgmt: identifica a los objetos definidos en documentos aprobados por la IAB. aqu es en
donde se almacenan las MIBs estandarizadas.
3. Experimental:En este nodo se almacenan las MIBs en fase de pruebas.
4. Private: es uno de los nodos ms importantes dentro de internet ya que es en dnde se
almacenan las MIBs definidas de forma unilateral. Dentro del nodo private est el nodo
Enterprise donde cada fabricante reconocido dispone de su propio espacio para almacenar
las MIBs de sus dispositivos.
2.4.5.3 Sintaxis de la MIB
Definicin de ASN.1
ASN.1 es una notacin estndar muy flexible que proporciona un conjunto de normas, tipos de datos
y constructores, que permiten describir estructuras para representar, codificar, descodificar y
transmitir datos, de forma independiente de la mquina en la que se encuentran y de sus formas de
representacin interna.
-
7/26/2019 Analisis Del Protocolo Snmpv3 Para El Desarrollo de Un Prototipo de Monitoreo de Red Segura - 98t00017
31/179
Fue desarrollada como parte de la capa de presentacin del modelo OSI y ofrece una abstraccin
similar a la que otorga un lenguaje de programacin de alto nivel. Al igual que cualquiera de estos
lenguajes.
Tipos de datos ASN.1
La notacin Sintctica Abstracta (ASN.1) es una notacin perteneciente a la capa de
presentacin del modelo OSI, tal notacin presenta un alto nivel de abstraccin para representar los
objetos gestionados. El uso de ASN.1 permite que la comunicacin de las aplicaciones gestor-
agente se ha posible aun cuando usen mquinas con diferentes tipos de representacin interna.
Para esto ASN.1 define tres tipos de datos generales.
Simples o primitivos: Conocidos tambin como registros escalares, puesto que almacenan un
nico valor. Los tipos primitivos ms importantes son lo que se muestran en la Tabla II.I
TABLA II. I TIPOS DE DATOS SIMPLES O PRIMITIVOS
TIPO DESCRIPCIN
Integer Nmero entero negativo o positivo de hasta 32 bits
OctectString
DisplayString Cadena de caracteres ASCII imprimibles
OctectBitString Usado para cadenas de bits mayores a 32 bits
PhysAddress Representan direcciones de la capa de enlace
ObjetcIdentifier Identificador de objeto, que marca la posicin del objetoen la MIB
Null
Representa la ausencia de valor
Boolean Representa un valor que pueda ser verdadero o falso
Estructurados o compuestos: Son registros vectoriales, que sirven para definir filas y tablas. Son
construidos a partir de otros tipos primitivos. En la Tabla II.II se detallan los tipos de datos
estructurados.
-
7/26/2019 Analisis Del Protocolo Snmpv3 Para El Desarrollo de Un Prototipo de Monitoreo de Red Segura - 98t00017
32/179
TABLA II. II TIPOS DE DATOS COMPUESTOS O ESTRUCTURALES
TIPO DESCRIPCIN
Sequence Representa una fila, es decir una lista ordenada de tipos de
datos diferentes. Son construidos a partir de datos primitivos.
Sequence OF Representa una tabla, es decir es una lista ordenada de varias filas iguales.
Son construidos a partir de tipos compuestos.
Set Es un tipo de datos similar al sequence
SetOf Es un tipo de datos similar a sequence of, con la diferencia que la lista no
est ordenadaChoice Es un tipo de datos que se debe escoger de una lista predefinida.
Definidos: Se construyen a partir de los tipos de datos (primitivos y compuestos) con la diferencia
que se les ha definido un nombre ms descriptivo, se utiliza para distinguir los tipos dentro de una
aplicacin. Los tipos descriptivos o etiquetados se detallan en la Tabla II.III.
TABLA II. III TIPOS DE DATOS DEFINIDOS
TIPO DESCRIPCIN
NetworkAddress Representa una direccin de red de cualquier familia de protocolos
Ipaddress Representa la direccin de internet, definida en la pila de protocolos
Counter Representa un entero positivo que se incrementa hasta 232-1 Se
reinicia cuando alcanza el mximo valor
Gauge Representa un entero positivo, el cual se incrementa o decrementa,
se reinicia cuando alcanza su mximo valor
Time Ticks Representa un entero positivo, el cual cuenta el tiempo transcurrido
en centsimas de segundo
Opaque Representa un octectString que se le puede pasar cualquier valor
ASN.1
-
7/26/2019 Analisis Del Protocolo Snmpv3 Para El Desarrollo de Un Prototipo de Monitoreo de Red Segura - 98t00017
33/179
2.4.5.4 TIPOS DE MIBS
Estndares
MIB-I y MIB-II
Experimentales
Con grupos en fase de desarrollo.
Privadas
Incorporan la informacin del fabricante2.4.5.4.1 MIB I (Management Information Base I)
Constituyo la primera MIB normalizada y estandarizaba la definicin de los objetos de la torre de
protocolos TCP/IP. Est definida en la RFC 1155 ver Tabla II.IV
TABLA II. IV MIB II y MIB I
GRUPO MIB I MIB II DESTINO
SYSTEM 3 7 EL propio sistemaINTERFACES 22 22 Interfaces de red
AT 3 3 Correspondencia de direccines IP
IP 33 38 Internet Protocol
ICMP 26 26 Internet control messageProtocol
TCP 17 19 Transmisio Control Protocol
UDP 4 7 UserDatagramProtocol
EGP 6 18 Exterior Gateway protocol
TRANSMISSION NO 0 Nuevo grupo
SNMP NO 30 Nuevo grupo
-
7/26/2019 Analisis Del Protocolo Snmpv3 Para El Desarrollo de Un Prototipo de Monitoreo de Red Segura - 98t00017
34/179
2.4.5.4.2 MIB-II (Management Information Base II)
Define objetos y grupos adicionales a los definidos en el MIB tradicional, para esto, exigen ciertos
requisitos que deben cumplir los objetos para que puedan ser incluidos en el MIB-II ver Tabla 2.4,
dichos requisitos son los siguientes:
Slo se permiten objetos que al modificarlos, provoquen daos limitados, esto se debe a la
falta de seguridades en SNMP.
MIB-II elimina objetos dependientes de implementaciones concretas, ejemplo BSD UNIX.
MIB-II elimina el lmite de mantener menos cien objetos que posee MIB-I, esto se debe a
que cada vez hay ms tecnologas que administrar.
2.4.5.4.2.1 descripcin e identificacin de los objetos MIB II3
Grupo 1, El Nodo System
Define una lista de objetos que estn relacionados con el funcionamiento del sistema, es decir, da
informacin del sistema en el que se encuentra el agente. Ver tabla II.V.
TABLA II. V DESCRIPCIN DE LOS OBJETOS EN EL GRUPO SYSTEM
NOMBRE DELOBJETO
VALOR DESCRIPCIN
Sysdescr 1 Descripcin del dispositivo
SysObjectID 2 Identificacin del sistema Operativo
SysUptime 3 Tiempo Transcurrido desde el ltimo Reset
SysContact 4 Nombre del administrador responsableSysname 5 Nombre del dispositvo
SysLocation 6 Ubicacin Fsica del dispositivo
SysServices 7 Servicios ofrecidos por el dispositivo
3Diseo e implementacin de un sistema de monitorizacin y control para un modem satlite a travs de SNMP,
Comprezios Marc A. enero 2011
-
7/26/2019 Analisis Del Protocolo Snmpv3 Para El Desarrollo de Un Prototipo de Monitoreo de Red Segura - 98t00017
35/179
Grupo 2, Interfaces
Mantiene un registro del estado de cada interfaz de red en una entidad gestionada. El grupo interfaz
monitoriza que interfaces estn cadas o levantadas ver Tabla II.VI
TABLA II. VI DESCRIPCIN OBJETOS EN EL GRUPO INTERFACES
NOMBRE DEL OBJETO VALOR DESCRIPCIN
IfIndex 1 Numero de una interfaz
IfDescr 2 Descripcin de una interfaz
ItType 3 Tipo de interfazIfMTU 4 Mximo de octetos en un Datagrama
IfSpeed 5 Ancho de banda en bits por segundo
IfPhysAddress 6 Direccin fsica
IfAdminStatus 7 Para cambiar el estado de la interfaz
IfOperStatus 8 El estado Actual de la interfaz
IfLastChange 9 El valor de Sysuptime sobre la interfaz
IfInOctects 10 Total de octetos recibidos en una interfazIfInUcastPkts 11 Nmero de paquetes unicast de subred de entrada
IflnNucastPkts 12 Nmero de paquetes no unicast de subred de entrada
IfInDiscard 13 Paquetes entrantes descartados
IfInErrors 14 Paquetes de entrada descartados por error
IfInUnKnownProtocols 15 Paquetes de entrad con error de protocolo
IfOutOctets 16 Total de octetos transmitidos por una interfaz
IfOutUcastPkts 17 Numero de paquetes unicast de subred de salida.
IfOutNUcastPkts 18 Nmero de paquetes no unicast de subred de salida
IfOutDiscard 19 Nmero de paquetes de salida descartados
IfOutErrors 20 Paquetes de salida descartados por error
IfOutQlen 21 Longitud e la cola de paquetes de salida
IfSpecific 22 Referencia de Documentacin del medio especfico
para la interfaz
-
7/26/2019 Analisis Del Protocolo Snmpv3 Para El Desarrollo de Un Prototipo de Monitoreo de Red Segura - 98t00017
36/179
Grupo 3 Address Translation.
Es el grupo de traduccin de direcciones, se encuentra en estado deprecated y nicamente se
mantiene por compatibilidad con la MIB I probablemente desaparezca en la MIB III ver tabla II.VII
TABLA II. VII OBJETOS EN EL GRUPO ADDRESS TRANSLATION
NOMBRE DEL OBJETO SIGNIFICADO
AtIfIndex Interface Number
AtPhysAddress Direccin del medio del mapeo
AtNetAddress Direccin IP del mapeo
Grupo 4 Internet Protocol
Mantiene un registro de varios aspectos de IP, ms concretamente lleva las estadsticas del
protocolo IP. Registra IP recibidos, reenviados, descartados, etc.
TABLA II. VIII OBJETOS DEL GRUPO IP
NOMBRE DEL OBJETO VALOR SIGNIFICADO
IPAdEnAddr 1 Direccin IP destino
IpAdEntiflndex 2 Nmero de interfaz
IpAdEntNetMask 3 Mascara de subred para la direccin IP
IpAdEntBcastAddr 4 LSB de la direccin de broadcast
IpAdEntReasmMaxSize 5 El datagrama ms grande que se pueda reensamblar.
IpRouteDest 1 Direccin IP destino
IpRouteIfIndex 2 Nmero de interfazIpRouteMetric 1 3 Mtrica de enrutamiento #1
IpRouteMetric 2 4 Mtrica de enrutamiento #2
IpRouteMetric 3 5 Mtrica de enrutamiento #3
IpRouteMetric 4 6 Mtrica de enrutamiento #4
IpRouteNextHope 7 Direccin IP del Gateway par el siguiente host
-
7/26/2019 Analisis Del Protocolo Snmpv3 Para El Desarrollo de Un Prototipo de Monitoreo de Red Segura - 98t00017
37/179
IpRouteType 8 Tipo directo, remoto, vlido o invlido
IpRouteProto 9 Mecanismo utilizado para determinar la rutaIpRouteAge 10 La ltima vez en segundos que fue actualizada la ruta
IpRouteMask 11 Mascara de subred para la ruta
IprouteMetric 5 12 Una mtrica de enrutamiento alternativo
IpRouteInfo 13 Referencia MIB para el protocolo
IpNetToMedaIfIndex 1 Nmero de interfaz
IpNetToMedaPhysAddres 2 Direccin del medio de mapeo
IpNetToMedaNetsAddres 3 Direccin IP del mapeoIpNetToMedaType 4 Como el mapeo fue determinado
Grupo 5 ICMP
Mantiene un registro de varios aspectos ICMP, ms concretamente lleva estadsticas del trfico
ICMP por ejemplo errores, mensajes ECHO recibidos/enviados etc. Ver Tabla II.IX
TABLA II. IX DESCRIPCIN OBJETOS DEL GRUPO ICMP
NOMBRE DEL OBJETO VALOR SIGNIFICADO
IcmpInMsgs 1 Mensajes recibidos incluyendo los de error
IcmpInErrors 2 Mensajes recibidos con errores
IcmpInDestUnrecheable 3 Mensajes recibidos con destino irreconocible
IcmpInTimeExcds 4 Mensajes recibidos con tiempo extendido
IcmpInParmProbs 5 Mensajes recibidos con problemas en los parmetros
IcmpInSrcQuenchs 6 Mensajes recibidos de fuentes apagadas
IcmpInRedirects 7 Mensajes recibidos redirigidos
IcmpInEchos 8 Mensajes recibidos con peticiones de eco
IcmpInEchosRep 9 Mensajes recibidos de respuesta de eco
IcmpInTimestamps 10 Mensajes recibidos de marcas de tiempo
IcmpInTimestampReps 11 Mensajes recibidos de respuestas de marcas de tiempo
IcmpInAddrMasks 12 Mensajes recibidos de peticiones de mascara de subred
-
7/26/2019 Analisis Del Protocolo Snmpv3 Para El Desarrollo de Un Prototipo de Monitoreo de Red Segura - 98t00017
38/179
IcmpInAddrMaskResp 13 Mensajes recibidos de respuestas de mascara de subred
IcmpOutMsg 14 Mensajes mandados incluyendo con los de errorIcmpOutErrors 15 Mensajes no enviados debido al control de flujo
IcmpOutDestUnrecheable 16 Mensajes enviados con destino irreconocible
IcmpOutTimeExcs 17 Mensajes enviados con tiempo excedido
IcmpOutParmProbs 18 Mensajes enviados con problemas de parmetros
IcmpOutSrcQuenchs 19 Mensajes enviados con fuente apagada
IcmpOutRedirects 20 Mensajes enviados redirigidos
IcmpOutEchos 21 Mensajes enviados con solicitud de ecoIcmpOutEchosResp 22 Mensajes enviados con respuesta de eco
IcmpOutTimestamp 23 Mensajes enviados con solicitud de marcas de tiempo
IcmpOutTimestampResp 24 Mensajes enviados con respuestas de marcas de Tiempo.
IcmpOutAddrsMasks 25 Mensajes enviados con peticin de mascara de subred
IcmpOutAddrsMaskResp 26 Mensajes enviados con respuesta de mascara de subred
Grupo 6 TCP
Lleva un registro del estado de las conexiones TCP (cerradas, escuchando, etc) y de los datos
generales sobre TCP (nmeros de conexiones establecidas, mximo timeout de retransmisin, etc.)
Ver tabla II.X
TABLA II. X DESCRIPCIN DE LOS OBJETOS DEL GRUPO TCP
NOMBRE DELOBJETO
VALOR SIGNIFICADO
TcpRtoAlgorithm 1 Identificacin del algoritmo de retransmisinTcpRtoMin 2 El tiempo de salida mnimo de retransmisin
TcpRtoMax 3 El tiempo mnimo de retransmisin
TcpMAxconn 4 Conexiones TCP mximas permitidas
TCpActiveOpens 5 Cambio de estadso a SYN-SENT de closed
TcpPassivesOpens 6 Cambio de estado a SYN-RCVD de Listen
-
7/26/2019 Analisis Del Protocolo Snmpv3 Para El Desarrollo de Un Prototipo de Monitoreo de Red Segura - 98t00017
39/179
TcpAttemptFAil 7 Cambio de estado a closed de ESTAB/WAIT
TcpCurrEstab 9 Nmero de conexiones con el estado established o closedTcpInSegs 10 Segmentos recibidos, incluyendo con error
TcpOutSegs 11 Segmentos mandados incluyendo con error
TcpConnState 1 Estado de la conexin Tcp
TcpConnLocalAddress 2 Direccin IP para esta conexin TCP
TcpConnLocalPort 3 Nmero de puerto para esta conexin TCP
TcpConnRmAddress 4 Direccin IP remota para esta conexin
TcpConnremPort 5 Nmero de puerto Remoto para esta conexin
Grupo 7 UDP
Controlan las estadsticas de datagramas de entrada y salida, conexiones UDP de entrada y de
salida ver Tabla II.XI.
TABLA II. XI DESCRIPCIN DE OBJETOS DEL GRUPO UDP
NOMBRE DEL OBJETO VALOR SIGNIFICADO
UdpInDatagrams 1 Datagramas enviados a usuarios UDP
UdpNoPorts 2 Datagramas dirigidos a puertos desconocidos
UdpInErrors 3 Datagramas no enviados por formatos de error
UdpOutDatagrams 4 Datagramas mandados desde la entidad
UdpLocalAddress 1 Direccin IP para esta aplicacin UDP
UdpLocalPort 2 Nmero de puerto local para esta aplicacin UDP
Grupo 8 EGP
Esta encargado del control estadsticas EGP y mantenimiento de la tableEGPneighbor.
Grupo 9 EL CMOT
El CMOT define al protocolo ISO para administrar redes. El CMIP, sobre TCP:
-
7/26/2019 Analisis Del Protocolo Snmpv3 Para El Desarrollo de Un Prototipo de Monitoreo de Red Segura - 98t00017
40/179
El grupo 9 del MIB-II fue diseado para este propsito. Pero todava no ha sido implementado.
Grupo 10 TRANSMISSION
Actualmente no existen objetos asociados a este grupo; sin embargo otro MIBs Especficos para
medios est definido en este subrbol.
Grupo 11 SNMP
Mide el rendimiento de la implementacin SNMP en el dispositivo administrado y controla cosas
como paquetes enviados y recibidos y cada uno es identificado en la Tabla II.XII
TABLA II. XII DESCRIPCIN DE LOS OBJETOS DEL GRUPO SNMP
NOMBRE VALOR DESCRIPCIN
SnmplnpKTS 1 Mensajes recibidos de un servicio de transporte
SnmplnOutPkts 2 Mensajes pasados al servicio de transporte
SnmplnBadVersions 3 Mensajes recibidos con error en la versin
SnmplnBadConmmunityNames 4 Mensajes de error en la comunidad
SnmplnBadConmmunityUses 5 Mensajes entrantes con operaciones SNMP no vlidas
SnmplnASNParseErrs 6 Mensajes entrantes con errores en la sintaxis
SnmplnTooBigs 8 PDU entrante con errores de tipo TooBIg
SnmplnNoSuchNames 9 PDU entrante con errores de tipo NosuchName
SnmplnBadValues 10 PDU entrante con errores de tipo BadValue
SnmplnReadOnly 11 PDU entrante con errores de tipo ReadOnly
SnmplnGenErrs 12 PDU entrante con errores de tipo GenErrs
SnmplnTotalSetVars 14 Objetos alterados con el PDU al recibir un set -requestSnmplnGetRequest 15 Get-request aceptados y procesados por snmp
SnmplnGetResponse 18 GetResponse aceptados y procesados por snmp
SnmplnTraps 19 Traps procesados y aceptados por SNMP
SnmpOutTooBig 20 PDUs generados con error TooBig
SnmpOutNosuchNames 21 PDU generado con error tipo suchname
-
7/26/2019 Analisis Del Protocolo Snmpv3 Para El Desarrollo de Un Prototipo de Monitoreo de Red Segura - 98t00017
41/179
2.4.5.4.3MIBS EXPERIMENTALES
MIB, Estas fueron desarrolladas por los grupos de trabajo de Internet. Actualmente existen MIBs
para:
IEEE 802.4 TokenBus (RFC 1230).
IEEE 802.5 TokenRing(RFC 1231).
IEEE 802.3 RepeaterDevices(RFC 1368).
Ethernet(RFC 1398). (ya estndar).
FDDI (RFC 1285).
RMON (RFC 1271).
Bridges(RFC 1286
2.4.5.4.4 MIBs PRIVADAS
MIBs de productos especficos desarrollados por las propias casas fabricantes de equipos de
Telecomunicaciones, con el objeto de aadir funcionalidad a las MIBs estndares. Las hacen
pblicas, a travs de Internet .algunas MIB privadas.
MIB Cabletron.
MIB Synoptics.
MIB Proteon.
MIB ATT.
MIB Cisco.
-
7/26/2019 Analisis Del Protocolo Snmpv3 Para El Desarrollo de Un Prototipo de Monitoreo de Red Segura - 98t00017
42/179
2.5 SNMPv3
Es un protocolo basado en estndares de interoperabilidad:
Provee accesos de seguridad para los dispositivos de red, mediante la combinacin de paquetes de
autenticacin y encriptacin.
2.5.1 Caractersticas de seguridad
Integridad: El protocolo deber verificar que cada mensaje recibido SNMPv3 no ha sido
modificado durante su transmisin a travs de la red de tal forma que una operacin de
gestin no autorizada pudiera resultar.
Autenticacin: El protocolo deber verificar la identidad del originador del mensaje recibido.
Tiempo en que se originaron los datos: El protocolo verificara el tiempo aparente de la
generacin del mensaje. Para proteger contra la amenaza de modificacin de flujo de
mensajes para lo cual una marca de tiempo es incluido en el mensaje.
Confidencialidad: el protocolo deber garantizar, cuando se ha necesario que el contenido
del mensaje se ha indescifrable. Un algoritmo de encriptacin simtrica es puesto en marcha
para proteger contra la amenaza de revelacin de contenido.
2.5.2 Modelos y niveles de seguridad
Modelo de Seguridad: es una estrategia de autenticacin determinada para un usuario y grupo en
que este reside.
Niveles de seguridad: define el umbral permitido dentro del modelo de seguridad.
La combinacin de ambos decidir el mecanismo hacer empleado para el intercambio de mensajes
SNMP. Tres son los modelos de seguridad disponibles:
-
7/26/2019 Analisis Del Protocolo Snmpv3 Para El Desarrollo de Un Prototipo de Monitoreo de Red Segura - 98t00017
43/179
SNMPv1, SNMPv2 y SNMPv3 y tres son los niveles de seguridad disponibles: noAuth-Nopriv,
AuthNoPriv, AuthPriv. La Tabla 2.13 describe las posibles combinaciones entre estos dos conceptos.
Los fundamentos de la seguridad en SNMPv3 se pueden describir a travs de los siguientes puntos.
Cada usuario pertenece a un grupo
Un grupo define sus polticas de acceso para un conjunto de usuarios
Una poltica SNMP determina que objetos de la MIB pueden ser accedidos para escribir y
leer.
Un grupo tambin determina el modelo y el nivel de seguridad para sus usuarios
Beneficios
Los datos pueden ser colectados en forma segura por equipos SNMP sin el temor que hayan
sido forzados o corrompidos.
Manejo de la informacin confidencial. Por ejemplo un conjunto de comandos SNMP que
cambian la configuracin de un equipo, pueden ser configurado para prevenir la exposicin
de su contenido en la red.
Acceso selectivo hacia cada uno de los objetos de la MIB.
Identificacin del origen de los mensajes
Robustos algoritmos para la autenticacin y la encriptacin
TABLA II. XIII MODELOS Y NIVELES DE SEGURIDAD
MODELO NIVEL AUTENTICACIN ENCRIPTACIN
V1V2V3V3V3
noAuthNoprivnoAuthNoprivnoAuthNoprivAuthNoprivAuthPriv
ComunidadComunidadusuarioMD5 o SHAMD5 o SHA
NoNoNoNoSI
-
7/26/2019 Analisis Del Protocolo Snmpv3 Para El Desarrollo de Un Prototipo de Monitoreo de Red Segura - 98t00017
44/179
2.5.3 Arquitectura SNMPv3
EN SNMPv3 se abandona la nocin de agentes y gestores, Ambos, administradores y agentes,
ahora se denominan entidades SNMP,Cada entidad est formada por un nico motor SNMP y por
una o ms aplicaciones SNMP. El motor y las aplicaciones a su vez estn conformadas por modelos.
Los subsistemas interactan entre s mediante primitivas y parmetros abstractos con el fin de que
una entidad pueda proveer un determinado servicio. Dependiendo de los tipos de mdulos que
conformen una entidad, esta podr actuar como: agente, gestor o una combinacin de ambos.
La arquitectura SNMP tiene algunas ventajas:
Permite el desarrollo de estrategias de coexistencia y transicin con otros mdulos
Definicin del rol de una entidad en base a los mdulos que se tenga implementado.
Capacidad de actualizar de forma modular sin la necesidad de actualizar todo el protocolo
2.5.4 Entidades SNMP
Figura II. 5 Entidad SNMPv3
GENERADOR
DE COMANDOS
RECEPTOR
NOTIFICACIONES
EMISOR PROXY
CONTESTADOR
DE COMANDOS
ORIGINADOR
NOTIFICACIONES
SUBSISTEMA DE PROCESAMIENTO
DE MENSAJES
DISTPACHER
SUBSISTEMA
SEGURIDAD
SUBSISTEMA DE
CONTROL DE ACCESO
-
7/26/2019 Analisis Del Protocolo Snmpv3 Para El Desarrollo de Un Prototipo de Monitoreo de Red Segura - 98t00017
45/179
Es un conjunto de mdulos que interactan entre s. Cada entidad SNMP ofrece una porcin de la
capacidad de SNMP y puede actuar como los tradicionales Agentes o gestores o una combinacin
de ambos. Cada entidad est formada por mdulos que interactan entre s para ofrecer un servicio,
como se ilustra en el diagrama de bloques de la figura II.V
2.5.4.1Motor SNMP
Es la parte esencial de cualquier entidad SNMP.
El Motor SNMP es el encargado de proporcionar las funciones de.
Envi de mensajes
Recepcin de mensajes
Autenticacin
Encriptado y descencriptado de los mensajes
Control de Acceso a los objetos administrados
Estas funciones son provistas como servicios a una o ms aplicaciones y est provisto de 4
mdulos. Ver Fig. II.V
2.5.4.1.1 Dispatcher(despachador)
Es el encargado de administrar el trfico. Para mensajes salientes recibe las PDUs de las
aplicaciones determina el tipo de procesamiento requerido (SNMPv1, SNMPv2, SNMPv3) y entrega
estos datos al mdulo de procesamiento de mensajes adecuado. Para mensajes entrantes, acepta
mensajes del nivel de transporte y lo deriva al mdulo de procesamiento de mensajes idneo.
2.5.4.1.2 Subsistema de Procesamiento Mensajes
Es el responsable del armado y desarmado de la PDU, recibe y entrega los mensajes del
despachador. Si es necesario luego del armado de la PDU (mensaje saliente) o antes de desarmarla
(mensaje entrante) pasara la misma al subsistema de seguridad. Un subsistema de procesamiento
-
7/26/2019 Analisis Del Protocolo Snmpv3 Para El Desarrollo de Un Prototipo de Monitoreo de Red Segura - 98t00017
46/179
de mensajes puede contener varios modelos de procesamiento de mensajes para SNMPv1
(denominado v1MP), para SNMPv2 (denominado v2cMP), SNMPv3 (denominado v3MP) y para
otros protocolos de gestin.
2.5.4.1.3 Subsistema de seguridad
Es el encargado de ejecutar las funciones de autenticacin y encriptacin de los mensajes SNMP,
haciendo uso del modelo de seguridad basado en usuarios (USM), agregando un encabezado
especfico de seguridad en cada mensaje. Tambin debe proveer mecanismos de seguridad
basada en comunidades para el caso de SNMPv2 y SNMPv1.Especificamente la RFC-2574
establece que el modelo de seguridad basado en usuario protege frente a las siguientes amenazas.
Retransmisin del flujo de mensajes
Suplantacin de identidad
Confidencialidad de los datos
Eventos disfrazados
Modificacin de la informacin de gestin
2.5.4.1.4 Subsistema de control de Acceso
Proporciona servicios de autorizacin para controlar el acceso a los objetos MIB, es decir determina
a que objetos de la MIB se accede y que operaciones pueden ejecutarse en ellos. Implementa el
Modelo de control de Accesos basado envistas (VACM), provee servicios que comprueban los
permisos para realizar una determinada operacin en una vista especifica.
2.5.4.2Aplicaciones SNMP
Las aplicaciones SNMP son subsistemas que usan los servicios de un motor SNMP para llevar a
cabo operaciones especificas relacionadas al procesamiento de informacin de gestin.
-
7/26/2019 Analisis Del Protocolo Snmpv3 Para El Desarrollo de Un Prototipo de Monitoreo de Red Segura - 98t00017
47/179
2.5.4.2.1 Generador de Comandos
Monitoriza y maneja los datos de administracin de los dispositivos gestionados. Especficamente
genera las PDUs: GetRequest, GetNextRequest, GetBulkRequest y SetRequest, adems recibe y
procesa las respuestas GetResponse a los pedidos que ha generado.
Esta aplicacin se implementa en la entidad que acta como NMS.
2.5.4.2.2 Contestador de comandos
Recibe las PDUs GetRequest, GetNexteRequest, GetBulkreuqest y SetRequest, realiza las acciones
solicitadas y utilizando el control de acceso, genera mensajes GetResponse para responder la
solicitud de una NMS. Esta aplicacin es implementada en una estacin que acta como agente.
2.5.4.2.3 Receptor de Notificaciones
Es el encargado de monitorizar la llegada de notificaciones y de tratarlas una vez recibidas y en el
caso de un informRequest genera un Getresponse.
2.5.4.2.4 Generador de notificaciones
El encargado de monitorizar constantemente el sistema y de generar las notificaciones, en caso de
detectar un evento particular, que haya cambiado la forma de operar del dispositivo monitoreado,
Para el cual haya sido programado con anterioridad por parte del encargado de gestionar la red.
2.5.4.2.5 Reenviador Proxy
Reenva mensajes entre entidades SNMP, La implementacin de esta aplicacin es opcional.
Una entidad no tiene por qu implementar todos los mdulos anteriores ya que esto depende de las
funcionalidades que se desea que tenga dispositivo.
2.5.5 Gestor SNMP
La Figura II.6 muestra el diagrama de bloques de un gestor SNMP tradicional.
-
7/26/2019 Analisis Del Protocolo Snmpv3 Para El Desarrollo de Un Prototipo de Monitoreo de Red Segura - 98t00017
48/179
Figura II. 6 Gestor SNMP Tradicional
Una entidad SNMP que contenga una o ms aplicaciones: generadoras de comandos, receptoras
de notificaciones y originadoras de notificaciones (junto con un motor snmp) se llama Gestor
SNMP. Todas estas aplicaciones utilizan servicios proporcionados por el motor SNMP.
Recibe los mensajes SNMP desde la capa de transporte (UDP), realiza el procedimiento de
autenticacin y descifrado, y luego extrae las PDUs para posteriormente ser entregadas a las
aplicaciones pertinentes.
(
. .
1
-
7/26/2019 Analisis Del Protocolo Snmpv3 Para El Desarrollo de Un Prototipo de Monitoreo de Red Segura - 98t00017
49/179
2.5.6 Agente SNMP
Figura II. 7 Agente Tradicional
Una entidad SNMP que contenga una o ms aplicaciones contestadoras de comandos,
originadoras de notificaciones y opcionalmente reenviadores proxy (junto con un motor SNMP) se
llama agente SNMP.
El motor SNMP de un agente SNMP contiene los subsistemas del motor de un Gestor SNMP ms
un subsistema de control de acceso.
. .
1
-
7/26/2019 Analisis Del Protocolo Snmpv3 Para El Desarrollo de Un Prototipo de Monitoreo de Red Segura - 98t00017
50/179
2.5.7 Formato mensaje SNMPv3
El formato del mensaje SNMPv3 es totalmente diferente al de sus versiones anteriores. En virtud
que se introducen parmetros de autenticacin y encriptacin. Los campos sombreados con violeta
son generados y procesados por el subsistema de procesamiento de mensajes.
Figura II. 8 Formato mensaje SNMPv3
El mensaje incluye los siguientes campos:
msgVersion:Identifica la versin de snmp utilizada, esta seteado a 3 (SNMPv3)
MsgVersion
msgID
MsgMaxSize
MsgFlags
MsgSecurityModel
msgAuthoritativeEngineID
msgAuthoritativeEngineBoots
msgAuthoritativeEngineTime
MsgUserName
msgAuthenticationParameters
MsgPrivacyParameters
ContextEngineID
ContextName
PDU
ENCRIPT
ACIN
AUTENTICACIN
-
7/26/2019 Analisis Del Protocolo Snmpv3 Para El Desarrollo de Un Prototipo de Monitoreo de Red Segura - 98t00017
51/179
msgID:Identificador que permite relacionar los mensajes es decir permite asociar los
mensajes de solicitud con los de respuesta.
msgMaxSize: Este campo expresa en octetos al mximo tamao del mensaje que puede
recibir la entidad SNMP que emitio el mensaje actual. Su rango va desde 484 a 231-1.
msgFlags: Es un octeto que contiene tres banderas en los bits menos significativos. Las
banderas son reportableFlag, privFlag y authFlag.la bandera reportableFlag sirve para
determinar cundo enviar un 1 o un 0 a una Pdu report a la entidad emisora del mensaje.
Esta bandera debe estar seteada en 1 en las PDUs get, Set e inform y debe estar seteada a
cero en las PDUs response Trap y report. Las banderas privFlag y authFlag sirven para
indicar el nivel de seguridad aplicado al mensaje
msgSecuritymodel: sirve para indicar qu tipo de modelo de seguridad fue usado por el
remitente del mensaje y por lo tanto que modelo de seguridad debe ser utilizado por el
receptor del mensaje para procesarlo. Su rango va desde 0 a 231-1 pero existen valores
reservados: 0(cualquiera), 1(SNMPv1), 2(SNMPv2) y 3(USM).
La siguiente seccin tiene parmetros exclusivos para la operacin USM.
msgAutoritativeEngineID: Es un identificador que se asigna al motor de una entidad SNMP
(agente o gestor) que responde a las peticiones o al que recibe las notificaciones, y es el
que sirve como referencia para el denominado motor autorizado (AutoritativeEngine).
msgAuthoritativeEngineBoots: Indica el nmero de ocasiones que un motor SNMP se
reinici desde su configuracin original.
msgAutoritativeEngineTime: Indica el tiempo en segundos desde que se inici por ltima
vez .La tercera seccin es la que contiene la PDU SNMP definidas.
-
7/26/2019 Analisis Del Protocolo Snmpv3 Para El Desarrollo de Un Prototipo de Monitoreo de Red Segura - 98t00017
52/179
ContextEngineID: En los mensajes entrantes, este campo indica a que aplicacin se
entregara la PDU. Es el identificador de una entidad SNMP asociado con un contexto
ContextName: Nombre que se asigna a un contexto que tiene relacin con la informacin
de administracin contenida en la PDU del mensaje.
PDU: contiene los valores (OID e instancias) de una peticin o respuesta SNMP.
2.5.8 SEGURIDAD EN SNMPv3
SNMPv3 mantiene una forma flexible y poderosa para incrementar la seguridad en los entornos
gestin durante el trnsito de la misma a travs de la red. Esta versin proporciona la posibilidad de
configuracin de nombres de usuario, derechos de acceso, y diferentes claves para limitar el acceso
a los recursos de gestin.
SNMPv3 logra reducir al mximo los riesgos de que la informacin de gestin sea fcilmente
obtenida. Para lo cual hace uso de un modelo de seguridad basado en usuario y un control de
acceso basado en vistas, los mismos que trabajando en conjunto aseguran el transito seguro de la
informacin de gestin atreves de la red
2.5.8.1 Control de Acceso basado en vistas (VACM)
El modelo de control de acceso est basado en vistas est definido en el RFC 3415 Esta
implementado sobre el subsistema de control de acceso de los agentes tradicionales permitiendo
determinar quin est autorizado para acceder a la MIB, segn las polticas de acceso de cada
objeto de la MIB, definidas en la configuracin del motor SNMP al que pertenece.
El modelo de control de acceso utiliza los campos msgFlags, msgSecurityModel y scopedpdu del
mensaje SNMPv3 para determinar qu tipo de acceso tiene el mensaje. Si el acceso no es
permitido a dicho tipo de solicitud, entonces se enva una notificacin de error al principal.
-
7/26/2019 Analisis Del Protocolo Snmpv3 Para El Desarrollo de Un Prototipo de Monitoreo de Red Segura - 98t00017
53/179
VACM tiene dos caractersticas fundamentales:
determina si un acceso a la MIB local est permitido
Posee su propia MIB en la cual se definen las polticas de acceso y habilita la configuracin
remota.
Se definen cinco elementos que constituyen la VACM:
1. Grupos:anan un conjunto de usuarios con los mismos derechos de acceso a los objetos
de la MIB. Cada principal est representado por una dupla securityModel, securityName.
Todo grupo est identificado con groupName en un agente, un principal debe pertenecer a
un solo grupo.
2. Nivel de seguridad: definen las diferentes comprobaciones de autenticacin y privacidad
que deben considerarse antes de permitir el acceso: Es posible configurar diferentes formas
de acceso para cada usuario. El nivel de seguridad es importante en la definicin de
derechos de acceso, de tal manera que si el nivel de seguridad es noauNopriv, entonces los
derechos de acceso pueden solo ser de lectura. Si el nivel de seguridad es authPriv o
authNopriv, entonces los derechos de acceso pueden ser solo de escritura.
3. Contextos:Es un subconjunto de instancias de objeto en la MIB local, bajo el nombre
contextName, accesibles por una entidad SNMP. Permite agrupar objetos con distintas
polticas de acceso. Un objeto puede pertenecer a ms de un contexto.
4. vistasMIB:Define conjuntos especficos de objetos administrados, los cuales se pueden
agrupar en jerarquas de rboles y familias de manera que se pueda restringir su acceso a
determinados grupos
5. Polticas de Acceso:son las normas de acceso que se asignan a un contexto SNMP.
-
7/26/2019 Analisis Del Protocolo Snmpv3 Para El Desarrollo de Un Prototipo de Monitoreo de Red Segura - 98t00017
54/179
La determinacin de un derecho de acceso est dada por los siguientes factores.
El gestor SNMP (principal) que est realizando el pedido de acceso.
El nivel de seguridad del mensaje de pedido
El contextoMIB referenciado en el mensaje de pedido.
El modelo de seguridad usado para el procesamiento de mensaje pedido.
El tipo de acceso solicitado (lectura, escritura o notificacin).
Figura II. 9 Diagrama de flujo para VACM
-
7/26/2019 Analisis Del Protocolo Snmpv3 Para El Desarrollo de Un Prototipo de Monitoreo de Red Segura - 98t00017
55/179
2.5.8.2 Modelo de Seguridad Basado en Usuario
USM est implementado sobre el subsistema de seguridad para proporcionar los servicios de
autenticacin y privacidad en una entidad SNMPv3. Utiliza un mecanismo tpico de usuario y
contrasea asociada a este y funciona de la mano con el grupo VACM con una serie de vistas
configuradas que establecen privilegios de acceso. Especficamente la RFC
top related