Διαχείριση και Ασφάλεια Τηλεπικοινωνιακών Συστημάτων

Διαχείριση και Ασφάλεια Τηλεπικοινωνιακών Συστημάτων Διαχείριση Δικτύων

Ανάγκη για Συστήματα Διαχείρισης ΠΑΡΑΓΟΝΤΕΣ γεωγραφική επέκταση δικτύων ετερογένεια δικτύων πλήθος και πολυπλοκότητα εφαρμογών υποστήριξη μεγάλου αριθμού χρηστών έχουν ως φυσικό επακόλουθο να αυξάνουν οι πιθανότητες ανεπαρκούς σχεδιασμού και εμφάνισης δυσλειτουργιών προφανής η ανάγκη αποδοτικής διαχείρισης των δικτύων 2

Λειτουργίες διαχείρισης Η διαχείριση σύγχρονων δικτύων υπολογιστών περιλαμβάνει λειτουργίες όπως: o παρακολούθηση της κατάστασης των δικτυακών κόμβων και των ζεύξεων (γραμμών) o παρακολούθηση και έλεγχο της απόδοσης λειτουργίας o ανίχνευση και διόρθωση σφαλμάτων o παρακολούθηση και προστασία της ασφάλειας του δικτύου 3

Ορισμός Διαχείρισης Δικτύων Ονομάζουμε Διαχείριση δικτύων όλες τις ενέργειες που έχουν στόχο τον έλεγχο λειτουργίας, ασφάλειας και απόδοσης, την αντιμετώπιση βλαβών και τη βελτιστοποίηση της λειτουργίας διασυνδεδεμένων υπολογιστικών συστημάτων 4

Συστήματα διαχείρισης δικτύου (Ι) Ένα σύστημα διαχείρισης δικτύου αποτελείται από τα παρακάτω δομικά στοιχεία: 1. Σταθμός διαχείρισης δικτύου ή διαχειριστής (NMS- Network Management Station) 2. Βάση δεδομένων διαχείρισης (MDB-Management Data Base) 3. Διαχειριζόμενα στοιχεία (NE-Network Elements) - Πράκτορας (Agent) 4. Βάση πληροφοριών διαχείρισης (MIB-Management Information Base) 5. Πρωτόκολλο διαχείρισης δικτύου (NMP-Network Management Protocol) 5

Συστήματα διαχείρισης δικτύου (ΙΙ) ΔΙΑΧΕΙΡΙΣΤΗΣ-NMS MDB ΔΙΚΤΥΟ ΠΡΑΚΤΟΡΑΣ Μ Ι Β NE1 ΠΡΑΚΤΟΡΑΣ Μ Ι Β ΝΕ2 ΠΡΑΚΤΟΡΑΣ Μ Ι Β ΝΕ3 6

Σταθμός διαχείρισης - NMS Ο Σταθμός διαχείρισης πρέπει να έχει κατ ελάχιστο: 1. το σύνολο των εφαρμογών διαχείρισης για την ανάλυση των δεδομένων, διόρθωση λαθών κ.λ.π. 2. μια διεπαφή με την οποία μπορεί να παρακολουθεί και να ελέγχει το δίκτυο 3. την ικανότητα να ερμηνεύει τις απαιτήσεις της διαχείρισης δικτύου για την παρακολούθηση και τον έλεγχο των απομακρυσμένων στοιχείων του 4. τη Βάση Δεδομένων Διαχείρισης η οποία περιέχει τις τιμές των υπό διαχείριση αντικειμένων 5. τη Βάση Πληροφοριών Διαχείρισης η οποία χρησιμοποιείται και από το διαχειριστή και από τον πράκτορα για την αποθήκευση και ανταλλαγή διαχειριστικών πληροφοριών 7

Πράκτορας - Agent Είναι λογισμικό που βρίσκεται εγκατεστημένο σε κάθε διαχειριζόμενο στοιχείο του δικτύου με στόχο να καταστήσει δυνατή την επικοινωνία του με το διαχειριστή Διαχειριζόμενα στοιχεία όπως κεντρικοί υπολογιστές, γέφυρες, δρομολογητές μπορούν να εφοδιαστούν με το λογισμικό του πράκτορα και να τεθούν υπό διαχείριση Για να γίνει αυτό πρέπει να παρουσιαστούν ως αντικείμενα (objects) με συγκεκριμένα χαρακτηριστικά 8

Οι Βάσεις Δεδομένων 1. Η ΜΙΒ περιέχει εκείνες τις πληροφορίες των αντικειμένων που είναι απαραίτητες έτσι ώστε οι διάφορες διαδικασίες να μπορούν να ανταλλάσσουν πληροφορίες MDB MANAGER MIB 2. Η MDB περιέχει τις τιμές των παραπάνω πληροφοριών Network Elements - NE 9

Πρωτόκολλο διαχείρισης Ο σταθμός διαχείρισης και ο πράκτορας επικοινωνούν με το πρωτόκολλο διαχείρισης δικτύου: 1. Το πρωτόκολλο για τη διαχείριση σε TCP/IP δίκτυα είναι το Απλό Πρωτόκολλο Διαχείρισης Δικτύου SNMP Simple Network Management Protocol 2. Για δίκτυα τα οποία βασίζονται στο μοντέλο OSI έχει αναπτυχθεί το Πρωτόκολλο Πληροφορίας Κοινής Διαχείρισης CMIP Common Management Information Protocol 10

Νέα μοντέλα διαχείρισης 1. Μοντέλα που βασίζονται στον Παγκόσμιο Ιστό (WWW) a. WBEM-Web-based Enterprise Management b. JMAPI-Java Management Programming Interface c. CGI-Common Gateway Interface (scripts) 2. Μοντέλα που βασίζονται σε πρωτόκολλα τύπου Κλήσης Απομακρυσμένης Διαδικασίας (RCP-Remote Call Process) a. DMI-Desktop Management Interface 3. Μοντέλα που βασίζονται στην αρχιτεκτονική Αίτησης Κοινού Αντικειμένου (CORBA-Common Oject Request Architecture) 11

12

Ακαδημαϊκό Έτος 2011-2012 13

Ακαδημαϊκό Έτος 2011-2012 14

Γράφοι στατιστικών κίνησης 1. Τα γραφήματα εισερχόμενης και εξερχόμενης κίνησης δημιουργήθηκαν με το εργαλείο MRTG 2. MRTG Multi Router Traffic Grapher: http://oss.oetiker.ch/mrtg/ 3. Το λογισμικό MRTG συλλέγει δεδομένα δικτυακής κίνησης από δρομολογητές και παράγει γράφους κίνησης: είναι γραμμένο σε γλώσσα perl, τρέχει σε περιβάλλοντα Unix/Linux και είναι free 15

Αρχιτεκτονική ΣΔΔ (1/3) Διαχειριστής (NMS) Πράκτορας (Agent)- Σταθμός εργασίας (NE) NME NMA Comm OS Appl Πράκτορας (Agent)- Εξυπηρετητής (NE) NME Comm OS Appl ΔΙΚΤΥΟ NME Comm OS Appl Πράκτορας (Agent)- Δρομολογητής (NE) NME Comm OS NMA: Network Management Application Λογισμικό Διαχείρισης Δικτύου NME: Network Management Entity Οντότητα Διαχείρισης Δικτύου Appl: Λογισμικό Εφαρμογών Χρήστη Comm: Λογισμικό Επικοινωνίας OS: Λειτουργικό Σύστημα 16

Αρχιτεκτονική ΣΔΔ (2/3) Κάθε κόμβος του δικτύου (NMS ή ΝΕ) περιλαμβάνει μια συλλογή λογισμικού που είναι αφιερωμένο στις λειτουργίες της διαχείρισης του δικτύου: Network Management Entity (NME) Οι εργασίες που εκτελεί είναι: Συλλογή στατιστικών στοιχείων για δραστηριότητες του δικτύου Απαντά σε εντολές από το κέντρο διαχείρισης του δικτύου που αφορούν: Μετάδοση των στατιστικών στοιχείων στο κέντρο διαχείρισης Αλλαγή παραμέτρων (π.χ. χρονομετρητής σε ένα πρωτόκολλο μετάδοσης) Παροχή πληροφοριών κατάστασης στοιχείων Δημιουργία τεχνητής δικτυακής κίνησης για τις ανάγκες διαδικασιών ελέγχου 17

Αρχιτεκτονική ΣΔΔ (3/3) 3 βασικές αρχιτεκτονικές κεντρική κατανεμημένη ιεραρχική διαφορές στον αριθμό των διαχειριστών και στο βαθμό επικοινωνίαςανεξαρτησίας τους κάθε επιλογή έχει τα πλεονεκτήματα και μειονεκτήματα της η επιλογή εξαρτάται από απαιτήσεις διαχείρισης και τον τύπο- χαρακτήρα του δικτύου 18

Κεντρική αρχιτεκτονική ΣΔΔ (1/3) ΔΙΑΧΕΙΡΙΣΤΗΣ-NMS MDB ΔΙΚΤΥΟ ΠΡΑΚΤΟΡΑΣ ΠΡΑΚΤΟΡΑΣ NE1 MIB NE3 MIB ΠΡΑΚΤΟΡΑΣ NE2 MIB 19

Κεντρική αρχιτεκτονική ΣΔΔ (2/3) Η κεντρικοποιημένη αρχιτεκτονική: 1. είναι η απλούστερη και πιο κλασική αρχιτεκτονική 2. περιέχει έναν μόνο κεντρικό διαχειριστή, ο οποίος: i. αναλαμβάνει την επικοινωνία με όλους τους διαχειριζόμενους κόμβους μέσω των πρακτόρων και του πρωτοκόλλου διαχείρισης ii. διαχειρίζεται την αποθήκευση των πληροφοριών διαχείρισης iii. παρέχει ενιαία εικόνα του διαχειριζόμενου δικτύου 20

Κεντρική αρχιτεκτονική ΣΔΔ (3/3) Πλεονεκτήματα Ο διαχειριστής: 1. έχει πλήρη έλεγχο 2. προσαρμόζει την κατανομή των δικτυακών πόρων στις υπάρχουσες ανάγκες 3. βελτιστοποιεί τη χρήση των επικοινωνιακών πόρων Μειονέκτημα: 1. μη ικανοποιητική λειτουργία σε δίκτυα μεγάλου μεγέθους ή σε δίκτυα με μεγάλο φόρτο κίνησης 2. κεντρικός έλεγχος - single point of failure 21

Ιεραρχική αρχιτεκτονική ΣΔΔ (1/3) ΔΙΑΧΕΙΡΙΣΤΗΣ-NMS MDB ΔΙΑΧΕΙΡΙΣΤΗΣ-NMS ΔΙΑΧΕΙΡΙΣΤΗΣ-NMS ΔΙΑΧΕΙΡΙΣΤΗΣ-NMS ΔΙΚΤΥΟ ΠΡΑΚΤΟΡΑΣ ΠΡΑΚΤΟΡΑΣ NE2 MIB ΠΡΑΚΤΟΡΑΣ NE1 MIB NE3 MIB 22

Ιεραρχική αρχιτεκτονική ΣΔΔ (2/3) Στην ιεραρχική αρχιτεκτονική: 1. χρησιμοποιούνται πολλές πλατφόρμες διαχείρισης ομότιμοι διαχειριστές i. καθεμιά έχε το δικό της τομέα διαχείρισης - manager domain ii. διαχειρίζονται από τον manager of managers - MOM 2. υπάρχει μια MDB στον κεντρικό διαχειριστή 3. η επικοινωνία μεταξύ του κεντρικού διαχειριστή και των ομότιμων διαχειριστών γίνεται είτε μέσω του διαχειριζόμενου δικτύου είτε μέσω ειδικού, ανεξάρτητου δικτύου ανάλογα με τις απαιτήσεις αξιοπιστίας 23

Ιεραρχική αρχιτεκτονική ΣΔΔ (3/3) Πλεονεκτήματα: 1. καλύτερος έλεγχος και υψηλότερη απόδοση στη διαχείριση δικτύου 2. απομόνωση από τον κεντρικό διαχειριστή των πρωτοκόλλων χαμηλότερου στην ιεραρχία επιπέδου ετερογενή δίκτυα i. μειωμένο κόστος σε υλικό ii. λιγότερο δαπανηρή ανάπτυξη και συντήρηση των εφαρμογών διαχείρισης iii. ανάπτυξη ευφυών εφαρμογών που χρησιμοποιούν στοιχεία από πολλά επίπεδα και ετερογενή τμήματα δικτύου 24

Κατανεμημένη αρχιτεκτονική ΣΔΔ (1/3) ΔΙΑΧΕΙΡΙΣΤΗΣ-NMS MDB ΔΙΑΧΕΙΡΙΣΤΗΣ-NMS MDB ΔΙΑΧΕΙΡΙΣΤΗΣ-NMS MDB ΔΙΚΤΥΟ ΠΡΑΚΤΟΡΑΣ ΠΡΑΚΤΟΡΑΣ NE2 MIB ΠΡΑΚΤΟΡΑΣ NE1 MIB NE3 MIB 25

Κατανεμημένη αρχιτεκτονική ΣΔΔ (2/3) Η κατανεμημένη αρχιτεκτονική: 1. αποτελεί συνδυασμό της κεντρικής και ιεραρχικής i. πολλές πλατφόρμες διαχείρισης καθεμιά αποτελεί ένα κεντρικό σύστημα ii. πολλές MDBs μια για κάθε πλατφόρμα iii. τομείς διαχείρισης, πιθανώς να επικαλύπτονται 2. κανένας δεν έχει πλήρη εικόνα του δικτύου πιθανή επικοινωνία για ανταλλαγή πληροφοριών (είτε μέσω του διαχειριζόμενου δικτύου είτε μέσω ανεξάρτητου δικτύου) 3. πιθανώς κάποια πλατφόρμα να λειτουργεί ως επικεφαλής μιας σειράς ομότιμων συστημάτων διαχείρισης 26

Κατανεμημένη αρχιτεκτονική ΣΔΔ (3/3) Πλεονεκτήματα: 1. εφαρμογή σε μεγάλα δίκτυα 2. μικρότερες απαιτήσεις σε υλικό και υπολογιστική ισχύ 3. ελαχιστοποιείται η επιβάρυνση από την κυκλοφορία διαχειριστικής πληροφορίας η κυκλοφορία γίνεται τοπικά 4. προσφέρεται μεγαλύτερη ευελιξία σε περίπτωση επέκτασης του δικτύου υπάρχει ευκολία στην προσθήκη νέων πόρων στο σύστημα 5. ελαχιστοποιείται η περίπτωση βλάβης σε όλο το δίκτυο με τη χρήση πολλαπλών σταθμών 27

Πληρεξούσιος ή διαμεσολαβητής (1/2) ΔΙΑΧΕΙΡΙΣΤΗΣ-NMS MDB ΔΙΚΤΥΟ ΠΡΑΚΤΟΡΑΣ ΠΛΗΡΕΞΟΥΣΙΟΣ ΠΡΑΚΤΟΡΑΣ MIB NE1 router MIB NE2 bridge 28

Πληρεξούσιος ή διαμεσολαβητής (2/2) Ο πληρεξούσιος διαχειριστής ή διαμεσολαβητής (proxy) χρησιμοποιείται από: παλαιά συστήματα τα οποία δεν υποστηρίζουν τα πρότυπα διαχείρισης δικτύων που χρησιμοποιούνται σήμερα μικρά συστήματα τα οποία θα επιβαρυνθούν πολύ με την πλήρη υλοποίηση της ΝΜΕ συσκευές όπως hubs, bridges, modems ή multiplexers που δεν έχουν δυνατότητα επεξεργασίας 29

Μοντέλο διαχείρισης κατά ISO Μοντέλο Οργάνωσης Ανοικτό σύστημα Α Σύστημα Διαχειριστή Ανοικτό σύστημα Β Σύστημα Διαχειριστή MIB ΜΙΒ Λειτουργίες διαχείρισης Επικοινωνία λειτουργιών Λειτουργίες διαχείρισης MIB ΜΙΒ Μοντέλο Λειτουργίας Μοντέλο Πληροφορίας Μοντέλο Επικοινωνίας 30

Μοντέλο Οργάνωσης Το Μοντέλο Οργάνωσης: o περιγράφει τους υπό διαχείριση πόρους ενός δικτύου και τη σχέση ανάμεσά τους o προϋποθέτει ένα συνεργατικό σχήμα διαχείρισης σε ένα δίκτυο ανοικτών συστημάτων o διαχωρίζεται στο διαχειριστή και τον πράκτορα, όπου κάθε σύστημα μπορεί να λαμβάνει ρόλους και αρμοδιότητες σε σχέση με ένα συγκεκριμένο πόρο o γίνεται ο ορισμός των ΝΕs 31

Μοντέλο διαχείρισης κατά ISO Μοντέλο Οργάνωσης Ανοικτό σύστημα Α Σύστημα Διαχειριστή Ανοικτό σύστημα Β Σύστημα Διαχειριστή MIB ΜΙΒ Λειτουργίες διαχείρισης Επικοινωνία λειτουργιών Λειτουργίες διαχείρισης MIB ΜΙΒ Μοντέλο Λειτουργίας Μοντέλο Πληροφορίας Μοντέλο Επικοινωνίας 32

Μοντέλο Λειτουργίας Το Μοντέλο Λειτουργίας διαιρεί όλο το πλέγμα της διαχείρισης σε πέντε λειτουργικές περιοχές FCAPS. Οι απαιτήσεις που ορίζονται κατά ISO είναι: 1. Διαχείριση βλαβών (Fault Management) 2. Διαχείριση διάρθρωσης (Configuration Management) 3. Διαχείριση κοστολόγησης (Accounting Management) 4. Διαχείριση απόδοσης (Performance Management) 5. Διαχείριση ασφάλειας (Security Management) 33

Μοντέλο διαχείρισης κατά ISO Μοντέλο Οργάνωσης Ανοικτό σύστημα Α Σύστημα Διαχειριστή Ανοικτό σύστημα Β Σύστημα Διαχειριστή MIB ΜΙΒ Λειτουργίες διαχείρισης Επικοινωνία λειτουργιών Λειτουργίες διαχείρισης MIB ΜΙΒ Μοντέλο Λειτουργίας Μοντέλο Πληροφορίας Μοντέλο Επικοινωνίας 34

Μοντέλο Επικοινωνίας (1/2) Το Μοντέλο Επικοινωνίας: o ορίζει την ανταλλαγή των πληροφοριών διαχείρισης μεταξύ διεργασιών της εφαρμογής διαχείρισης του επιπέδου εφαρμογής: o δηλαδή μεταξύ διεργασιών πράκτορα και διαχειριστή ή o μεταξύ διεργασιών διαχειριστών 35

Μοντέλο Επικοινωνίας (2/2) Τρία πράγματα πρέπει να διευθετηθούν κατά την επικοινωνία δύο οντοτήτων: 1. Το πρωτόκολλο μεταφοράς (transport protocol) Internet (UDP/IP) OSI (TP4/x25) 2. Η μορφή δομή μηνύματος (application protocol) Internet (SNMP) OSI (CMIP) 3. Το πραγματικό μήνυμα (commands, responses) Λειτουργίες/αιτήσεις Διαχειριστής Απαντήσεις Ενημερώσεις/παγίδες Πράκτορας 36

Μοντέλο διαχείρισης κατά ISO Μοντέλο Οργάνωσης Ανοικτό σύστημα Α Σύστημα Διαχειριστή Ανοικτό σύστημα Β Σύστημα Διαχειριστή MIB ΜΙΒ Λειτουργίες διαχείρισης Επικοινωνία λειτουργιών Λειτουργίες διαχείρισης MIB ΜΙΒ Μοντέλο Λειτουργίας Μοντέλο Πληροφορίας Μοντέλο Επικοινωνίας 37

Μοντέλο Πληροφορίας ασχολείται με τη δομή και την αποθήκευσης των πληροφοριών κάθε αντικείμενο που ελέγχεται υπό διαχείριση αντικείμενο (managed object) MIB: σύνολο από managed objects routers, hubs, switches Workstations LANs κάρτες δικτύου Η Δομή Πληροφοριών Διαχείρισης (SMI - Structure of Management Information) ορίζει τη σύνταξη και σημασιολογία των πληροφοριών διαχείρισης που είναι αποθηκευμένες σε μια ΜΙΒ Αφηρημένος Συντακτικός Συμβολισμός (ANS.1: Abstract Syntax Notation) 38

Το OSI Δένδρο (1/2) 1. ο κλάδος iso (1) ορίζει τα διαχειριζόμενα αντικείμενα κατά ISO 2. ο κλάδος itu (ccitt) (0) ορίζει τα διαχειριζόμενα αντικείμενα κατά ITU και για 3. ο κλάδος (2) ορίζει αντικείμενα για τα οποία έχει ορισθεί κοινή διαχείριση από (0) και (1) 39

Το OSI Δένδρο (2/2) ενδιαφέρον παρουσιάζει το ISO, κομμάτι το οποίο καθορίζεται από το μονοπάτι 1.3.6.1 και έχει παραχωρηθεί στην «κοινότητα του Διαδικτύου» παραδείγματα internet OBJECT IDENTIFIER ::= {iso(1) org(3) dod(6) internet(1) } or 1.3.6.1 ο κόμβος internet έχει τιμή ταυτότητας 1.3.6.1. Η παραπάνω τιμή θα χρησιμοποιηθεί ως πρόθεμα για κόμβους που βρίσκονται σε χαμηλότερα επίπεδα στο δένδρο 40

Το SNMP πρωτόκολλο (1/4) SNMP SNMPv1 SNMPv3 SNMPv2 41

Το SNMP πρωτόκολλο (2/4) Πλεονεκτήματα είναι απλό ορίζει μια περιορισμένη και εύκολα πραγματοποιήσιμη MIB βαθμωτών μεταβλητών και δισδιάστατων πινάκων επιτρέπει στο διαχειριστή να καθορίζει την τιμή των μεταβλητών της MIB επιτρέπει στους πράκτορες να εκδίδουν αυτόνομα ειδοποιήσεις (παγίδες, traps) καταναλώνει μικρή υπολογιστική ισχύ και έχει χαμηλές απαιτήσεις σε δικτυακούς πόρους χρειάζεται ένα μικρό αριθμό εντολών για διαχείριση είναι ευρέως δοκιμασμένο 42

Το SNMP πρωτόκολλο (3/4) Μειονεκτήματα δυσκολία μεταφοράς ομαδοποιημένων δεδομένων αδυναμίες ασφάλειας έλλειψη μηχανισμών αυθεντικοποίησης είναι connectionless και άρα όχι αξιόπιστο το polling που χρησιμοποιεί καταλαμβάνει πολύτιμο bandwidth του δικτύου, ιδίως όταν αυτό γίνεται μέσω δικτύου ευρείας ζώνης WAN όπου οι ταχύτητες είναι χαμηλές 43

Το SNMP πρωτόκολλο (4/4) 161 UDP port 162 UDP port Τα SNMP PDUs ενθυλακώνονται σε UDP datagrams 44

SNMP εντολές και μηνύματα (1/4) Το SNMP στην πρώτη του έκδοση παρέχει 3 λειτουργίες, δηλαδή 3 διαφορετικά PDUs: 1. GET: αποστέλλεται από το διαχειριστή στον πράκτορα και χρησιμοποιείται για την ανάκτηση των διαφόρων τιμών που λαμβάνουν τα υπό διαχείριση αντικείμενα στη ΜΙΒ του πράκτορα 2. SET: αποστέλλεται από το διαχειριστή στον πράκτορα και χρησιμοποιείται για την ανάθεση μιας τιμής σε ένα υπό διαχείριση αντικείμενο 3. TRAP: αποστέλλεται από τον πράκτορα στο διαχειριστή για να τον ειδοποιήσει για κάποιο ασυνήθιστο γεγονός ή κατάσταση 45

trap trap SNMP εντολές και μηνύματα (2/4) 46

SNMP εντολές και μηνύματα (3/4) από το σταθμό διαχείρισης εκδίδονται 3 τύποι μηνυμάτων: GetRequest, SetRequest, GetNextRequest για όλα τα παραπάνω μηνύματα αποστέλλεται από τον πράκτορα προς το διαχειριστή επιβεβαίωση λήψης με τη μορφή μηνύματος GetResponse ένας πράκτορας μπορεί να εκδώσει και ένα Trap μήνυμα σε απόκριση ενός γεγονότος που επηρεάζει τη MIB του και τους διαχειριζόμενους πόρους 47

SNMP εντολές και μηνύματα (4/4) Το SNMP βασίζεται στο UDP το οποίο είναι πρωτόκολλο χωρίς σύνδεση και ως εκ τούτου και το SNMP είναι πρωτόκολλο χωρίς σύνδεση: 1. δεν εγκαθίσταται σύνδεση ανάμεσα στο σταθμό διαχείρισης και στους πράκτορες 2. κάθε ανταλλαγή μηνύματος είναι μια μεμονωμένη ενέργεια ανάμεσα στο σταθμό και τους πράκτορες 48

Μήνυμα SNMP (1/2) Στο SNMP οι πληροφορίες ανταλλάσσονται ανάμεσα στο σταθμό διαχείρισης και τον πράκτορα με τη μορφή μηνυμάτων SNMP Κάθε μήνυμα περιλαμβάνει: τον αριθμό έκδοσης του SNMP (version) το όνομα της κοινότητας που χρησιμοποιείται σε αυτή την ανταλλαγή (community) και έναν από τους πέντε τύπους των μονάδων δεδομένων πρωτοκόλλου (PDU- Protocol Data Unit) GetRequest GetNextRequest SetRequest GetResponse Trap 49

Μήνυμα SNMP (2/2) Η μορφή των GetRequest, GetNextRequest και SetRequset είναι η ίδια όπως αυτή της GetResponse PDU, με την τιμή στο πεδίο του errorindex να είναι πάντα 0 Αποτέλεσμα είναι να μειωθεί ο αριθμός των διαφορετικών μορφών των μονάδων δεδομένων πρωτοκόλλου που χρησιμοποιεί το SNMP 50

Ορισμός αντικειμένων (1/3) Τα υπό διαχείριση αντικείμενα σε μια ΜΙΒ ορίζονται κατά μοναδικό τρόπο σε μια ιεραρχική δενδροειδή δομή Δένδρα Πληροφοριών Διαχείρισης (MIT Management Information Trees) Η δομή του δένδρο επιτρέπει τον επιμέρους διαχωρισμό μιας ομάδας αντικειμένων σε λογικές υποομάδες Κάθε αντικείμενο ανήκει σε έναν τύπο και έχει μια τιμή ο τύπος του αντικειμένου (object type) ορίζει το είδος του διαχειριζόμενου αντικειμένου συντακτική περιγραφή το στιγμιότυπο αντικειμένου (object instance) είναι ένα στιγμιότυπο ενός τύπου δεδομένων που είναι συνδεδεμένο με μια τιμή 51

Ορισμός αντικειμένων (2/3) Object Object Type Object Instance Name: OBJECT IDENTIFIER Syntax: ASN.1 Encoding: BER 52

Ορισμός αντικειμένων (3/3) Object Object Instance 1 Object Instance 2 Object Type Object Instance 3 Name: OBJECT IDENTIFIER Syntax: ASN.1 Encoding: BER 53

Όνομα αντικειμένων Κάθε object type ορίζεται από το DESCRIPTOR και το OBJECT IDENTIFER (ASN.1) DESCRIPTOR: δίνει την περιγραφή του αντικειμένου π.χ. internet OBJECT IDENTIFER: είναι μια σειρά από ακέραιους αριθμούς από τους οποίους καθορίζεται η θέση του αντικειμένου στη MIB internet OBJECT IDENTIFIER ::= {iso(1) org(3) dod(6) internet(1) } internet OBJECT IDENTIFIER ::= {1 3 6 1} 54

Υποδένδρο Internet (1/2) directory OBJECT IDENTIFIER ::= {internet 1} mgmt OBJECT IDENTIFIER ::= {internet 2} experimental OBJECT IDENTIFIER ::= {internet 3} private OBJECT IDENTIFIER ::= {internet 4} 55

Υποδένδρο Internet (2/2) 56

Υποδένδρο MIB-2 (1/2) Ακαδημαϊκό Έτος 2011-2012 57

Ακαδημαϊκό Έτος 2011-2012 58

59

System Group (1/3) 60

System Group (2/3) Η ομάδα system περιλαμβάνει επίσης και διοικητικές πληροφορίες που βοηθούν το διαχειριστή του δικτύου, όπως syscontact και syslocation Η υλοποίηση της ομάδας system είναι υποχρεωτική για όλα τα συστήματα, τόσο στο διαχειριστή όσο και στον πράκτορα 61

System Group (3/3) 62

TCP Group 63

Ασφάλεια στο SNMP Η διαχείριση ενός SNMP δικτύου αποτελεί μια σχέση ένας-προςπολλούς ανάμεσα στο σταθμό διαχείρισης και σε μια ομάδα διαχειριζόμενων πόρων Κάθε πράκτορας ελέγχει τη δική του MIB και πρέπει να μπορεί να ελέγχει τη χρήση αυτής της MIB από τους διάφορους διαχειριστές σταθμούς Ο έλεγχος πραγματοποιείται με: Υπηρεσία εξουσιοδότησης: ο πράκτορας μπορεί να περιορίσει την πρόσβαση στη MIB του μόνο σε εξουσιοδοτημένους διαχειριστές Πολιτική πρόσβασης: ο πράκτορας μπορεί να δώσει διαφορετικά δικαιώματα πρόσβασης στους διάφορους διαχειριστές Υπηρεσία Διαμεσολαβητή: ένας πράκτορας μπορεί να λειτουργήσει ως διαμεσολαβητής σε άλλους πράκτορες θα πρέπει να ορίσει τις υπηρεσίες εξουσιοδότησης και την πολιτική πρόσβαση για τους άλλους πράκτορες 64

Κοινότητες στο SNMP Μια SNMP κοινότητα είναι μια σχέση ανάμεσα σε έναν πράκτορα SNMP και σε μια ομάδα από διαχειριστές SNMP που ορίζει τα χαρακτηριστικά της εξουσιοδότησης, της πρόσβασης και του διαμεσολαβητή Η έννοια της κοινότητας είναι τοπική και ορίζεται στο διαχειριζόμενο σύστημα: κάθε κοινότητα έχει ένα μοναδικό όνομα (για τον πράκτορα) οι σταθμοί διαχείρισης μέσα στην κοινότητα έχουν τη δυνατότητα χρήσης των get και set λειτουργιών Ο πράκτορας μπορεί να διατηρεί έναν αριθμό από κοινότητες και σε μερικές περιπτώσεις με επικαλυπτόμενους σταθμούς διαχείρισης Ο σταθμός διαχείρισης πρέπει να τηρεί λογαριασμό για το όνομα ή τα ονόματα των κοινοτήτων που σχετίζονται με κάθε πράκτορα που διαχειρίζεται 65

Πολιτική πρόσβασης (1/2) Με τον ορισμό μιας κοινότητας ο πράκτορας περιορίζει την πρόσβαση στη MIB του μόνο σε επιλεγμένους σταθμούς διαχείρισης Με τη χρήση πολλών κοινοτήτων είναι εφικτό ένας πράκτορας να αποδώσει διαφορετική εξουσιοδότηση πρόσβασης στη MIB του σε διαφορετικούς σταθμούς διαχείρισης Για τον έλεγχο πρόσβασης υπάρχουν 2 χαρακτηριστικά: SNMP MIB view («άποψη»): κάθε κοινότητα μπορεί να έχει διαφορετική άποψη της MIB, δηλαδή να βλέπει διαφορετική ομάδα αντικειμένων στη βάση SNMP Access (τρόπος πρόσβασης SNMP): ο τρόπος πρόσβασης ορίζεται για κάθε κοινότητα και μπορεί να είναι {READ-ONLY, READ-WRITE} 66

Πολιτική πρόσβασης (2/2) 67

Ασφάλεια Η ασφάλεια στο SNMPv1 βασίζεται στο όνομα της κοινότητας, που σημαίνει ότι με βάση το όνομα της κοινότητας, αποφασίζεται εξουσιοδότηση ή όχι του ελέγχου πρόσβασης το όνομα της κοινότητας είναι ένα αλφαριθμητικό, που μεταφέρεται χωρίς μηχανισμούς προστασίας και περιγράφει το ποιες δυνατότητες θα έπρεπε να έχει αυτός που έκανε την αίτηση. Στο SNMPv2 δεν προστίθεται παραπέρα ασφάλεια, υπό την έννοια ότι και εδώ η ασφάλεια βασίζεται στο όνομα της κοινότητας Νεότερες εκδόσεις του πρωτοκόλλου SNMPv2* και SNMPv2u και τελικά το SNMPv3 δίνουν δυνατότητες: πιστοποίησης, κρυπτογράφησης και εξουσιοδότησης 68

Εγκατάσταση SNMP Agent και NMS σε περιβάλλον Windows Agent NMS http://www.mydigitallife.info/2007/11/01/install-and-enablesnmp-service-in-windows-xp-vista-and-2003/ 1. Install 2. Configure http://sourceforge.net/projects/net-snmp/files/netsnmp%20binaries/5.5-binaries/ 1. net-snmp-5.5.0-1.x86.exe 69