Πανεπιστήμιο Πειραιώς Τμήμα Ψηφιακών Συστημάτων ρ.αρίστη Γαλάνη Ακαδημαϊκό Έτος 2016-2017
Simple Network Management Protocol (SNMP) Simple Network Management Protocol (Απλό Πρωτόκολλο ιαχείρισης ικτύων): χρησιμοποιείται γιατηδιαχείρισημικρών& μεγάλων δικτύων και έχει υιοθετηθεί από την κοινότητα του ιαδικτύου (Internet) Η ανάπτυξή του στηρίχθηκε στο πρωτόκολλο Simple Gateway Monitoring Protocol (SGMP), το οποίο είχε σχεδιαστεί για έλεγχο πυλών Έχει επικρατήσει λόγω της απλότητάς του => χαμηλή κατανάλωση υπολογιστικής ισχύς & μικρές απαιτήσεις για δικτυακούς πόρους Με την ευρεία χρήση του εντοπίστηκαν οι αδυναμίες του, οι οποίες οδήγησαν σε νέες εκδόσεις του πρωτοκόλλου Υποστηρίζει κεντρική & κατανεμημένη διαχείριση ρ.αρίστη Γαλάνη 2
SNMP Μοντέλο manager-agent Ο διαχειριστής (manager) είναι υπεύθυνος για την πραγματοποίηση των σχετικών λειτουργιών του Σ Ο πράκτορας(agent) εκτελεί εντολές από τον manager, και παρακολουθεί και παρέχει στον manager πληροφορίες για την λειτουργική του κατάσταση Οι πόροι του δικτύου μπορούν να διαχειριστούν εάν αναπαρασταθούν από αντικείμενα. Κάθε διαχειριζόμενο αντικείμενο (Managed Object MO) είναι μία μεταβλητή που αναπαριστά ένα λειτουργικό χαρακτηριστικό ή ιδιότητα της διαχειριζόμενης συσκευής. Η συλλογή των αντικειμένων αποτελεί τη SNMP Βάση Πληροφοριών ιαχείρισης (Management Information Base (MIB)) ρ.αρίστη Γαλάνη 3
SNMP Ανταλλαγή πληροφορίας Η ανταλλαγή πληροφοριών πραγματοποιείται με την ανταλλαγή κατάλληλων μηνυμάτων Η αποστολή μηνυμάτων από τον manager για την απόκτηση συγκεκριμένης πληροφορίας από τον agent καλείται αναφορά κατά απαίτηση (poll) Η αποστολή ανεξάρτητων μηνυμάτων από τον agent προς τον manager καλείται παγίδευση (trap) Τα μηνύματα poll και trap μπορούν να συμβούν μεταξύ του manager και ενός agent ακόμη και ταυτόχρονα ρ.αρίστη Γαλάνη 4
SNMP & δίκτυα TCP/IP Το SNMP χρησιμοποιεί το πρωτόκολλο User Datagram Protocol (UDP) ως πρωτόκολλο μεταφοράς για τη μεταφορά δεδομένων μεταξύ managers & agents ρ.αρίστη Γαλάνη 5
Λειτουργίες SNMP (1) Τα μηνύματα του SNMP που συνιστούν τις λειτουργίες του SNMP είναι: GetRequest: Αίτημα του manager στον agent με το οποίο ζητά την ανάκτηση της τιμής μίας ή περισσότερων αντικειμένων της ΜΙΒ Η απάντηση (response) περιλαμβάνει τις αντίστοιχες τιμές GetNextRequest: Αίτημα του manager στον agent με το οποίο ζητά διαχειριστική πληροφορία Στην περίπτωση αυτή, για κάθε αντικείμενο που περιέχεται στο request, o agent επιστρέφει το επόμενο αντικείμενο που βρίσκεται στη σειρά (σε λεξικογραφική διάταξη), μετά το αντικείμενο που περιλαμβάνεται στο σχετικό αίτημα ρ.αρίστη Γαλάνη 6
Λειτουργίες SNMP (2) SetRequest: Αίτημα του manager στον agent με το οποίο ζητά την αλλαγή της τιμής μίας ή περισσότερων αντικειμένων της ΜΙΒ GetBulkRequest: Αίτημα του manager στον agent με το οποίο ζητά τμήματα συγκεντρωμένης πληροφορίας (για παράδειγμα το περιεχόμενο ενός ολόκληρου πίνακα), το όριο της οποίας εξαρτάται από τον περιορισμό του μεγέθους του πακέτου (SNMPv2) Response: Απάντηση από τον agent στον manager για καθένα από τα μηνύματα «GetRequest», «GetNextRequest», «SetRequest» και «GetBulkRequest» Trap: Ενημέρωση από τον agent στον manager για σημαντικά γεγονότα αλλά και αποστολή στον manager πρόσθετης πληροφορίας Το μήνυμα του SNMP InformRequest αφορά ενημέρωση μεταξύ managers Χρησιμοποιείται σε ορισμένες περιπτώσεις για ανταλλαγή πληροφορίας μεταξύ agent και manager, με επιβεβαίωση της λήψης της πληροφορίας από τον manager (SNMPv2) ρ.αρίστη Γαλάνη 7
SNMP Communities Το SNMPv1 & το SNMPv2 επιτρέπoυν τον καθορισμό σχέσεων μεταξύ SNMP οντοτήτων και την ομαδοποίησή τους σε σύνολα που ονομάζονται κοινότητες (communities). Oι οντότητες που ανήκουν στις ίδιες κοινότητες έχουν το ίδιο όνομα κοινότητας, που τους εξασφαλίζει τη δυνατότητα επικοινωνίας Το σύνολο των αντικειμένων της ΜΙΒ που είναι προσβάσιμα από τον manager ανάλογα με την κοινότητα που ανήκει η διαχειριζόμενη οντότητα ονομάζεται προβολή της ΜΙΒ (MIB view) Η προσβασιμότητα κάθε αντικειμένου της ΜΙΒ καθορίζεται από την τιμή του τρόπου πρόσβασης (access mode) ΗΜΙΒview και η MIB access mode καθορίζουν το προφίλ της κοινότητας (community profile) O συνδυασμός του ονόματος της κοινότητας και του community profile αποτελεί την SNMP πολιτική πρόσβασης (SNMP access policy) ρ.αρίστη Γαλάνη 8
SNMP Proxy agent Ο Proxy Agent (πληρεξούσιος πράκτορας) αναλαμβάνει την ευθύνη διαχείρισης δικτυακών πόρων που δεν υποστηρίζουν SNMP Υλοποιεί διαφορετική πολιτική πρόσβασης για κάθε συσκευή που αντιπροσωπεύει ρ.αρίστη Γαλάνη 9
SNMP Μονάδα Πληροφοριών Πρωτοκόλλου (PDU) Τα μηνύματα που υλοποιούν τις λειτουργίες SNMP, συνίστανται από τρία τμήματα: Το πρώτο τμήμα καθορίζει την έκδοση του πρωτοκόλλου SNMP Το δεύτερο τμήμα είναι η συμβολοσειρά κοινότητας (community string), που λειτουργεί ως κωδικός πρόσβασης To τρίτο μέρος συνιστά μία Μονάδα Πληροφοριών Πρωτοκόλλου (Protocol Data Unit (PDU)), το οποίο αποτελείται από ένα πεδίο που πιστοποιεί το είδος της λειτουργίας και τις αντίστοιχες παραμέτρους ρ.αρίστη Γαλάνη 10
SNMP PDU Η PDU έχει κοινή μορφή για τα μηνύματα GetRequest/GetNextRequest /SetRequest/Response Τα πεδία του PDU είναι: Request ID: μοναδικός αριθμός για τη διάκριση των αιτημάτων και το συσχετισμό τους με την αντίστοιχη απόκριση Error status:ένδειξη λάθους κατά την επεξεργασία του αιτήματος από τον agent Error index: καθορισμός της μεταβλητής στην οποία υπήρξε σφάλμα κατά την επεξεργασία του αιτήματος από τον agent Variable binding list: λίστα μεταβλητών στις οποίες αναφέρεται το σχετικό αίτημα ρ.αρίστη Γαλάνη 11
SNMP Τrap PDU Τα πεδία του PDU είναι: Enterprise object identifier: δείκτης του SNMP agent που στέλνει το trap Agent address: IP address του SNMP agent που στέλνει το trap Trap type: οοτύποςτουtrap PDU που στέλνεται Specific trap type: καθορισμένη τιμή για εταιρικό trap Time stamp: ο χρόνος που το σύστημα, που δημιουργεί το trap είναι ενεργό Variable binding list: λίστα μεταβλητών στις οποίες αναφέρεται το σχετικό μήνυμα ρ.αρίστη Γαλάνη 12
SNMP Τrap PDU Trap type Το πεδίο Trap type (ή Generic-trap) μπορεί να πάρει μία από τις ακόλουθες τιμές: coldstartevent (0): μη αναμενόμενη επανεκκίνηση warmstartevent (1): επανεκκίνηση ρουτίνας linkdownevent (2): βλάβη σε ένα από τα σημεία επικοινωνίας του agent linkupevent (3): ένα από τα σημεία επικοινωνίας του agent επανασυνδέθηκε snmpauthenfailureevent (4): το πρωτόκολλο έχει λάβει ένα μήνυμα που δεν είναι εξουσιοδοτημένο egpneighborlossevent (5): έχει χαθεί η επικοινωνία με τον EGP (External Gateway Protocol) neighbor entspecificevent (6): το πρωτόκολλο αναγνωρίζει ότι έχει λάβει χώρα μη αναμενόμενο γεγονός, το οποίο προέρχεται από enterprisespecific υποσύστημα ρ.αρίστη Γαλάνη 13
SNMPv3 Καθορίζει εναλλακτικές μεθόδους ασφάλειας που μπορούν να χρησιμοποιηθούν με συνδυασμό των υπαρχόντων & των μελλοντικών εκδόσεων του SNMP Κάθε SNMP οντότητα περιλαμβάνει μία μηχανή SNMP που αναγνωρίζεται από το snmpengineid, που αποτελεί αναγνωριστικό & της SNMP οντότητας που αντιστοιχεί σε αυτή τη μηχανή, και υλοποιεί λειτουργίες όπως: Αποστολή & λήψη μηνυμάτων Πιστοποίηση αυθεντικότητας Κρυπτογράφηση & αποκρυπτογράφηση μηνυμάτων Έλεγχος της πρόσβασης στα διαχειριζόμενα αντικείμενα Η SNMP μηχανή ορίζεται ως σύνολο ανεξάρτητων ενοτήτων, όπου η υλοποίηση του συνδυασμού τους καθορίζει το ρόλο της ρ.αρίστη Γαλάνη 14
SNMPv3 Tο Μοντέλο Ασφάλειας Χρήστη (User based Security Model- USM) εξασφαλίζει την ασφαλή επικοινωνία με τους δικτυακούς πόρους, παρέχοντας αυθεντικοποίηση (authentication) και κρυπτογράφηση (encryption) των μηνυμάτων Το Μοντέλο Ελέγχου Πρόσβασης βασισμένο στην Προβολή (View-Based Access Control Model (VACM)) παρέχει μηχανισμό ελέγχου πρόσβασης στη διαχειριστική πληροφορία O έλεγχος πρόσβασης (access control) εφαρμόζεται στο επίπεδο της PDU & προδιαγράφει μηχανισμούς που καθορίζουν αν θα επιτραπεί η πρόσβαση στην ΜΙΒ ενός διαχειριζόμενου αντικειμένου από τον διαχειριστή ρ.αρίστη Γαλάνη 15
SNMPv3 View-Based Access Control Model (VACM) Το VACM συνίσταται από: Τις ομάδες (groups) To επίπεδο ασφάλειας (security level) Εκφράζεται σε σχέση με το αν υποστηρίζεται ή όχι η πιστοποίηση αυθεντικότητας και/ή η μυστικότητα (εναλλακτικές τιμές: noauthnopriv, authnopriv, authpriv) Τη συνάφεια (context) Υποσύνολο των αντικειμένων σε μια τοπική ΜΙΒ Τις «απόψεις» της ΜΙΒ (MIB view) Την πολιτική πρόσβασης (access policy) Τηλεπικοινωνιακές Υποδομές & Υπηρεσίες ρ.αρίστη Γαλάνη 16
SNMPv3 VACM: Αccess Policy O καθορισμός της πρόσβασης εξαρτάται από: Την αρχή που υποβάλλει ένα αίτημα πρόσβασης Με το VACM είναι δυνατό για έναν agent να παραχωρεί διαφορετικά δικαιώματα πρόσβασης σε διαφορετικούς χρήστες Το security level που περιέχεται σε ένα SNMP μήνυμα Το μοντέλο ασφάλειας που χρησιμοποιείται για την επεξεργασία του μηνύματος Εάν σε έναν agent έχουν υλοποιηθεί πολλαπλά μοντέλα, ο agent μπορεί να διαμορφωθεί έτσι ώστε να μπορεί να προσφέρει διαφορετικά επίπεδα πρόσβασης για μηνύματα που επεξεργάζονται από διαφορετικά μοντέλα ασφάλειας Το Σύστημα Ελέγχου Πρόσβασης λαμβάνει την απόφαση του με μία διαδικασία «ερωτημάτων» που λαμβάνει υπόψη τις σχετικές μεταβλητές: Who (ποιος) Security Model & security name Where (πού) Context How (πώς) Security Model & security level Why (γιατί) View type What (τι) Object type Which (ποιο) Object instance Τηλεπικοινωνιακές Υποδομές & Υπηρεσίες ρ.αρίστη Γαλάνη 17
SNMP MIB Ένας agent πρέπει να μπορεί να υλοποιεί την δομή ΜΙΒ-ΙΙ, η οποία συνίσταται από γενική διαχειριστική πληροφορία που ομαδοποιείται σε ομάδες (groups) και σχετίζεται με την λειτουργία της συσκευής στο πλαίσιο των TCP/IP δικτύων Ταυτόχρονα, ο agent μπορεί να υλοποιεί και άλλες ΜΙΒ, ανάλογα με το είδος της συσκευής και τη δομή και τη λειτουργία του δικτύου Το περιεχόμενο της MIB οργανώνεται βάση της ομής ιαχείρισης Πληροφοριών (Structure Management Information (SMI)), που αποτελεί ένα καθορισμένο υποσύνολο του προτύπου ASN.1 Όταν το SNMP αποκτήσει πρόσβαση σε κάποιο αντικείμενο της ΜΙΒ ζητά το στιγμιότυπο του αντικειμένου, η ταυτότητα του οποίου ορίζεται προσθέτοντας στο τέλος «0» ρ.αρίστη Γαλάνη 18
SNMP MIB Η ΜΙΒ έχει ιεραρχική δενδροειδή δομή Κάθε αντικείμενο του δένδρου έχει ένα όνομα και προσδιορίζεται μοναδικά από τον βασικό τύπο του δείκτη (Object Identifier (OID)) Ο OID αποτελεί αριθμητική απεικόνιση της δενδροειδής δομής, όπου κάθε αριθμός αντιστοιχεί σε έναν κόμβο του δένδρου Η ΜΙΒ του SNMPv1 χαρακτηρίζεται ως ΜΙΒ- STANDARD & η ΜΙΒ του SNMPv2 χαρακτηρίζεται ως SNMPv2-MIB ρ.αρίστη Γαλάνη 19
SMI Η SMI προδιαγράφει τα διαχειριζόμενα αντικείμενα της ΜΙΒ, καθώς και τη συμπεριφορά τους Από τους στοιχειώδης τύπους του ASN.1, επιτρέπεται να χρησιμοποιηθούν στην ΜΙΒ για τον ορισμό αντικειμένων οι εξής τύποι: INTEGER: παριστά αριθμό μεγέθους 32bit OCTET STRING: παριστά ακολουθία χαρακτήρων NULL:παριστά την απουσία οποιουδήποτε στοιχείου (κράτηση θέσης) OBJECT IDENTIFIER: παριστά ταυτότητα αντικειμένου δηλωμένου σε δενδροειδή ιεραρχική δομή (δηλ. καθορίζει διαχειριζόμενο αντικείμενο της ΜΙΒ) Και οι σύνθετοι (δομημένοι) τύποι : SEQUENCE: ιατεταγμένη παράθεση τιμών ίδιων ή διαφορετικών τύπων SEQUENCE OF: ιατεταγμένη παράθεση τιμών ίδιου τύπου ρ.αρίστη Γαλάνη 20
SMI Αpplication Types Oρίζονται οι εξής τύποι: Νetwork address: παριστά διάφορες μορφές διευθύνσεων δικτύου (από διάφορα πρωτόκολλα) IP address: παριστά 32-bit IΡv4 διεύθυνση Counter: παριστά μετρητή (μη αρνητικός ακέραιος) που μπορεί να αυξάνεται μέχρι την μέγιστη τιμή του. Όταν φθάσει στη μέγιστη τιμή, αρχίζει η αρίθμηση από την αρχή Gauge: παριστά μη αρνητικό αριθμό που μπορεί να αυξάνεται μέχρι την μέγιστη τιμή του ή να μειώνεται μέχρι το μηδέν. Όταν φθάσει στο μέγιστο, παραμένει εκεί μέχρι την επανεκκίνηση Timeticks: μετρά το χρόνο σε εκατοστά του δευτερολέπτου από την έναρξη κάποιου γεγονότος Opaque: παρέχει τη δυνατότητα εισόδου «αυθαίρετων δεδομένων ( επιτρέπει την ενσωμάτωση ASN.1 κωδικοποιημένης πληροφορίας σε OCTET STRING) max= 1 = 32 2 4.294.967.295 ρ.αρίστη Γαλάνη 21
SNMPv2 SMI Eισάγονται οι τύποι: Counter64: παριστά μετρητή των 64bit (μη αρνητικός ακέραιος) που μπορεί να αυξάνεται μέχρι την μέγιστη τιμή του. Όταν φθάσει στη μέγιστη τιμή, αρχίζει η αρίθμηση από το μηδέν Counter32:παριστά μετρητή των 32bit Gauge32: παριστά μη αρνητικό αριθμό που μπορεί να αυξάνεται/ελαττώνεται μέχρι μία οριακή μέγιστη/ελάχιστη τιμή (μικρότερο ή ίσο με το max του Gauge). Όταν φθάσει στο μέγιστο, μπορεί να μειωθεί BITS: παριστά απαρίθμηση δυαδικών ψηφιών Unsigned32: ακέραιοι στο διάστημα max ρ.αρίστη Γαλάνη 22
SMI Πίνακες Η SMI υποστηρίζει μόνο πίνακες δύο διαστάσεων Για τη δημιουργία πινάκων χρησιμοποιείται ο τύπος SEQUENCE OF Στο SNMPv2 επιτρέπονται δύο κατηγορίες πινάκων: Πίνακες που απαγορεύουν τη δημιουργία & τη διαγραφή γραμμών από τον manager Πίνακες που επιτρέπουν τη δημιουργία & διαγραφή γραμμών από τον manager ρ.αρίστη Γαλάνη 23
SMI Macros Ορισμός αντικειμένων με τη χρήση μακροεντολών (macros) Ορισμός Macro: καθορίζει τη σύνταξη συσχετιζόμενων αντικειμένων Στιγμιότυπο Macro: προκύπτει από τον ορισμό macro με απόδοση τιμών στις παραμέτρους του ορισμού ρ.αρίστη Γαλάνη 24
SMI H MIB κάθε διαχειριζόμενης οντότητας αποτελείται από ΜΙΒ modules, που παριστάνουν λειτουργικότητες/ιδιότητες της διαχειριζόμενης οντότητας. Η SMI περιλαμβάνει: Module definitions: καθορίζουν το εννοιολογικό περιεχόμενο του module (μέσω της μακροεντολής MODULE-IDENTITY) Περιέχει όρους (clauses) με τα στοιχεία επικοινωνίας για το συγγραφέα, την ημερομηνία της τελευταίας επικαιροποίησης (update), revision history, περιγραφή του module Object definitions: καθορίζουν τη σύνταξη και το εννοιολογικό περιεχόμενο του διαχειριζόμενου αντικειμένου (μέσω της μακροεντολής ΟΒJECT-TYPE) Περιέχει τέσσερις όρους (clauses) SYNTAX: καθορίζει τους βασικούς τύπους δεδομένων που συνδέονται με το αντικείμενο ACCESS (MAX-ACCESS σε SNMPv2): καθoρίζει τον τρόπο με τον οποίο θα έχει πρόσβαση το SNMP σε ένα στιγμιότυπο αντικειμένου STATUS: παρέχει τον τύπο της υλοποίησης που απαιτείται για ένα αντικείμενο (π.χ. υποχρεωτική (mandatory), προαιρετική (optional)) DESCRIPTION: λεκτική περιγραφή του τύπου του αντικειμένου Notification definitions: καθορίζουν τη σύνταξη και το περιεχόμενο ειδοποίησης (μέσω της μακροεντολής NOTIFICATION-TYPE ) ρ.αρίστη Γαλάνη 25