• No se han encontrado resultados

Análisis del protocolo SNMPv3 para el desarrollo de un prototipo de monitoreo de red segura

N/A
N/A
Info
Descargar
Protected

Academic year: 2020

Share "Análisis del protocolo SNMPv3 para el desarrollo de un prototipo de monitoreo de red segura"

Copied!
179
0
0

Cargando.... (Ver texto completo ahora)

Descargar ahora ( 179 página )

Texto completo

(1)ESCUELA SUPERIOR POLITÉCNICA DE CHIMBORAZO FACULTAD DE INFORMÁTICA Y ELECTRÓNICA ESCUELA DE INGENIERIA EN ELECTRÓNICA TELECOMUNICACIONES Y REDES. TEMA:. ANÁLISIS DEL PROTOCOLO SNMPv3 PARA EL DESARROLLO DE UN PROTOTIPO DE MONITOREO DE RED SEGURA. TESIS DE GRADO Previo a la obtención del título de:. INGENIERO EN ELECTRÓNICA TELECOMUNICACIONES Y REDES. Presentado por:. Ruth Alexandra Crespata Almachi. RIOBAMBA-ECUADOR 2012.

(2) AGRADECIMIENTO. Quiero expresar un total e infinito agradecimiento. a. mis. padres,. quienes inculcaron en mi valores éticos y morales, los mismos que me han guiado en toda mi trayectoria como. estudiante,. de. la. misma. manera quiero expresar un eterno agradecimiento a la muy ilustre Escuela. Superior. Chimborazo. Politécnica. de. que me abrió las. puertas y me dio la oportunidad de formarme como una profesional de principios. Hago extensiva este agradecimiento a esas personas invisibles que de una u otra forma. colaboraron o. participaron en la realización de esta investigación.. Ruth Crespata.

(3) DEDICATORIA Este manojo de ilusiones y sueños va dedicado a Dios por haberme permitido vivir, a mis hermanos que nunca me hicieron faltar palabras de aliento para que no desmayara en el intento de conseguir el más anhelado sueño, a mis profesores. que siempre. estuvieron prestos a dilucidar mis dudas y preguntas, especialmente este trabajo va dedicado a mis padres quienes. son mi. ejemplo de lucha y perseverancia que sin importar las adversidades de la vida en ningún momento dejaron de ser un ejemplo de vida para mí. Finalmente quiero dedicar este trabajo a todo el profesorado de la FIE por haber depositado en mí todo sus sabios conocimientos y vivencias, que gracias a ellos hoy cumplo una de mis más grandes sueños el de convertirme en una profesional integra y de principios. Ruth Crespata.

(4) DERECHOS DE AUTORIA Yo, Ruth Alexandra Crespata Almachi, portadora del número de cédula 050286955-5, me hago responsable del contenido, ideas y doctrinas vertidas en la presente Tesis y el patrimonio intelectual pertenece a la Escuela Superior Politécnica de Chimborazo.. Ruth Alexandra Crespata Almachi.

(5) FIRMAS RESPONSABLES Y NOTA. NOMBRES. FIRMAS. FECHA. Ing. Iván Menes DECANO DE LA FACULTAD DE INFORMÁTICA Y ELECTRÓNICA. ------------------------------. ------------------------. Ing. Pedro Infante DIRECTOR DE LA ESCUELA DE INGENIERIA EN ELECTRÓNICA TELECOMUNICACIONES Y REDES. ------------------------------. ------------------------. Ing. Alberto Arellano DIRECTOR DE TESIS. ------------------------------. ------------------------. Ing. Daniel Haro MIEMBRO DEL TRIBUNAL. ------------------------------. ------------------------. Tlg. Carlos Rodríguez DIR. CENTRO DE DOCUMENTACIÓN. ------------------------------. ------------------------. NOTA DE LA TESIS. ------------------------------.

(6) INDICE DE ABREVIATURAS. ASN.1. Notación Sintáctica Abstracta. AUTHPRIV. Autenticatión and Private, Autenticación y Privacidad. AUTHNOPRIV. Autentication and private No, Autenticación y Privacidad No. EGP. Enhanced Gateway Protocol, Protocolo Exterior de Gateway. IEEE. Institute of Electrical and Electronics Engineers, Instituto de ingenieros eléctricos y electrónicos. LAN. Network local área, Red de Área Local. MIB. Management Information Base, Base de Información Administrativa. NMS. Network Management System, Sistema Administrador de Red. NOAUTHNOPRIV. No autenticación y No privacidad. OID. Objecto Identifier, Objeto Identificador. IETF. Internet Engineering Task Force, Grupo de trabajo de ingeniería de Internet. IP. Internet Protocol, protocolo de Internet. RMON. Remote Monitor, Monitor Remoto. SNMP. Simple Network Management Protocol, Protocolo Simple de Administración y Gestión de Redes. SMI. Structure Management Information, Estructura de la información de Administración. TLV. Codec tipe Value, Codificación Tipo Longitud Valor. USM. User Security Model, Modelo de seguridad basado en usuario. VACM. View Access Control Model, Control de Acceso basado en vistas.

(7) INDICE GENERAL PORTADA AGRADECIMIENTO DEDICATORIA INDICES INTRODUCCIÓN CAPITULO I MARCO REFERENCIAL ......................................................................................................................... - 15 1.1. ANTECEDENTES ...................................................................................................................... - 15 -. 1.2. JUSTIFICACIÓN ........................................................................................................................ - 17 -. 1.3. OBJETIVOS............................................................................................................................... - 19 -. 1.3.1. GENERAL ............................................................................................................................. - 19 -. 1.3.2. ESPECIFICOS....................................................................................................................... - 19 -. 1.4. HIPÓTESIS................................................................................................................................ - 19 -. CAPITULO II MARCO TEÓRICO ................................................................................................................................. - 20 2. MONITOREO DE RED........................................................................................................................ - 20 2.1INTRODUCCIÓN ............................................................................................................................... - 20 2.2 Definición de Monitoreo ..................................................................................................................... - 21 2.3.1 Monitoreo Activo ........................................................................................................................ - 22 2.3.2. Monitoreo Pasivo ................................................................................................................... - 22 -. 2.4 ARQUITECTURA SNMP ................................................................................................................... - 23 2.4.1 Introducción ................................................................................................................................... - 23 2.4.2. Elementos de la Arquitectura SNMP ....................................................................................... - 24 -. 2.4.3 Consola de administración (NMS) .............................................................................................. - 24 2.4.3.1 Funciones básicas .................................................................................................................. - 24 2.4.3.2 ARQUITECTURA NMS PARA LA ADMINISTRACIÓN DE RED.............................................. - 25 2.4.3.2.1 Arquitectura Centralizada ................................................................................................. - 25 2.4.3.2.2 Arquitectura Distribuida .................................................................................................... - 26 2.4.2.3.3 Arquitectura jerárquica .................................................................................................... - 26 2.4.4 Agente ....................................................................................................................................... - 27 2.4.5 MIB (MANAGEMENT INFORMATION BASE) ............................................................................ - 28 2.4.5.1 OIDs (Objeto Identificador) ................................................................................................. - 28 -.

(8) 2.4.5.2 Estructura de la MIB........................................................................................................... - 29 2.4.5.3 Sintaxis de la MIB .............................................................................................................. - 30 2.4.5.4 TIPOS DE MIBS ................................................................................................................ - 33 2.5 SNMPv3 ....................................................................................................................................... - 42 2.5.1 Características de seguridad .................................................................................................. - 42 2.5.2 Modelos y niveles de seguridad............................................................................................. - 42 2.5.3 Arquitectura SNMPv3............................................................................................................. - 44 2.5.4 Entidades SNMP .................................................................................................................. - 44 2.5.6 Agente SNMP ........................................................................................................................ - 49 2.5.7 Formato mensaje SNMPv3 ................................................................................................... - 50 2.5.8 SEGURIDAD EN SNMPv3 ..................................................................................................... - 52 CAPITULO III EVALUACIÓN HERRAMIENTAS DE MONITOREO CACTI, ZABBIX, Y NAGIOS .................................... - 78 3.1 INTRODUCCIÓN .............................................................................................................................. - 78 3.2 Elección de herramientas .................................................................................................................. - 68 3.2.1 Análisis de la selección de software a utilizar .............................................................................. - 68 3.2.2 Identificación de los parámetros a analizar o evaluar en cada una de las aplicaciones .......... - 69 3.4 Análisis comparativo CACTI, ZABBIX y NAGIOS ...................................................................... - 81 CAPITULO IV MARCO METODOLÓGICO E HIPOTETICO ........................................................................................... - 87 4.1 TIPO DE INVESTIGACIÓN ............................................................................................................... - 87 4.2 SISTEMA DE HIPÓTESIS................................................................................................................. - 86 4.3 OPERACIONALIZACIÓN DE LAS VARIABLES ................................................................................. - 86 4.3.1 Descripción de las variables con sus respectivos indicadores e indices ........................................... - 88 4.3.1.1 Indicadores ................................................................................................................................ - 88 4.4 POBLACIÓN Y MUESTRA ............................................................................................................... - 90 4.5 PROCEDIMIENTOS GENERALES .................................................................................................... - 90 4.6 INSTRUMENTOS DE RECOLECCIÓN DE DATOS ........................................................................... - 90 4.7 VALIDACIÓN DE LOS INSTRUMENTOS .......................................................................................... - 90 4.8 AMBIENTE DE SIMULACIÓN ........................................................................................................... - 92 4.9 EXPERIMENTO 1 (ANEXO 4) ........................................................................................................... - 93 4.10 EXPERIMENTO 2 (ANEXO3) .......................................................................................................... - 94 -.

(9) CAPITULO V ANÁLISIS DE RESULTADOS ............................................................................................................... - 105 5. PROCESAMIENTO DE LA INFORMACIÓN ..................................................................................... - 105 5.1 ANÁLISIS DE LOS RESULTADOS DEL EXPERIMENTO 1 Y2 ...................................................... - 105 5.1.1 ANÁLISIS DE LAS VARIABLE INDEPENDIENTE ACORDE AL EXPERIMENTO 1 Y 2................. - 96 5.1.2 ANÁLISIS DE LA VARIABLE DEPENDIENTE BASADOS EN LOS EXPERIMENTOS 1 Y 2 .......... - 101 5.2 PRUEBA DE LA HIPOTESIS........................................................................................................... - 110 CAPITULO VI MARCO PROPOSITIVO ....................................................................................................................... - 119 6. IMPLEMENTACIÓN DEL PROTOTIPO DE MONITOREO DE RED SEGURA ................................... - 119 6.1 HARDWARE................................................................................................................................... - 119 6.1.1 SWITCHES CATALYST 2950....................................................................................................... - 116 6.1.2 SWITCH CATALYST 2960 ........................................................................................................... - 117 6.1.3 ROUTER CISCO 2811 ................................................................................................................. - 118 6.2 HERRAMIENTAS Y SOFWARE ...................................................................................................... - 118 6.2.1 NMS-CACTI ................................................................................................................................. - 118 6.3 IMPLEMENTACIÓN DEL PROTOTIPO ........................................................................................... - 119 6.3.1 Instalación del Gestor (CACTI) ..................................................................................................... - 119 6.3.1.3 Agregar dispositivos a monitorear en Cacti................................................................................. - 122 6.3.2 Configuración de los agentes SNMPv3 ........................................................................................ - 124 6.3.2.1 SNMPV3 EN ROUTER 2811 ................................................................................................. - 124 6.3.2.2 SNMPV3 EN CATALYST 2950 Y 2960 ................................................................................. - 127 6.3.2.3 SNMPV3 EN PC ................................................................................................................... - 130 CONCLUSIONES RECOMENDACIONES RESUMEN SUMMARY GLOSARIO ANEXOS BIBLIOGRAFIA.

(10) INDICE DE FIGURAS Figura I. I Ambiente de Simulación................................................................................................. - 18 Figura II. 1 Arquitectura de administración Centralizada ........................................................................... - 25 Figura II. 2 Arquitectura de administración distribuida .............................................................................. - 26 Figura II. 3 Arquitectura de Administración Jerárquica............................................................................ - 27 Figura II. 4 Estructura de la MIB .............................................................................................................. - 29 Figura II. 5 Entidad SNMPv3 ................................................................................................................. - 44 Figura II. 6 Gestor SNMP Tradicional ...................................................................................................... - 48 Figura II. 7 Agente Tradicional................................................................................................................ - 49 Figura II. 8 Formato mensaje SNMPv3 .................................................................................................... - 50 Figura II. 9 Diagrama de flujo para VACM................................................................................................ - 54 Figura IV. I Ambiente de simulación ........................................................................................................ - 92 Figura V. 1 Funcionamiento SNMPv3 ...................................................................................................... - 96 Figura V. 2 Ataque de hombre en el Medio SNMP ................................................................................... - 97 Figura V. 3 Seguridad SNMP .................................................................................................................. - 98 Figura V. 4 Disposición de Equipos SNMP .............................................................................................. - 99 Figura V. 5 Overload SNMP .................................................................................................................. - 100 Figura V. 6 Presencia de la información de gestión en la red ................................................................. - 100 Figura V. 7 Seguridad en Contraseñas .................................................................................................. - 102 Figura V. 8 Métodos de Autenticación ................................................................................................... - 103 Figura V. 9 Contraseñas Encriptación/des-Encriptación ......................................................................... - 104 Figura V. 10 Confidencialidad ............................................................................................................... - 105 Figura V. 11 Revelación Selectiva ......................................................................................................... - 106 Figura V. 12 Privacidad ......................................................................................................................... - 107 Figura V. 13 Control De Acceso ............................................................................................................ - 108 Figura V. 14 Curva del análisis de chi-cuadrado .................................................................................... - 114 . Figura VI. 1 switch catalyst 2950 ........................................................................................................ - 116 Figura VI. 2 switch catalyst 2960 ......................................................................................................... - 117 Figura VI. 3 Red de pruebas ................................................................................................................. - 119 Figura VI. 4 Instalación Apache2 ........................................................................................................... - 119 Figura VI. 5 Instalación Base de datos MySql ........................................................................................ - 120 Figura VI. 6 Guía de instalación Cacti .................................................................................................... - 120 -.

(11) Figura VI. 7 Selección new Install .......................................................................................................... - 121 Figura VI. 8 Confirmación de rutas de acceso de los ejecutables ........................................................... - 121 Figura VI. 9 Ingreso usuario y contraseña.............................................................................................. - 121 Figura VI. 10 Forzar cambio de usuario y contraseña............................................................................. - 122 Figura VI. 11 Consola de administración Cacti ...................................................................................... - 122 Figura VI. 12 Creación de los dispositivos ............................................................................................. - 122 Figura VI. 13 Configuración de los parámetros del dispositivo a monitorear ........................................... - 123 Figura VI. 14 Acceso satisfactorio del dispositivo a monitorear ............................................................. - 123 Figura VI. 15 vista escritura en el Router 2811....................................................................................... - 125 Figura VI. 16 Configuración del grupo administrador_secundario en el router 2811 ............................... - 125 Figura VI. 17 Configuración grupo administrador_principal ..................................................................... - 126 Figura VI. 18 Creación del usuario Alejandra ligado al grupo administrador_ principal ............................ - 127 Figura VI. 19 Creación del usuario Ruth ligado al grupo administrador_secundario................................. - 127 Figura VI. 20 Configuración vista lectura en catalyst 2950 y2960......................................................... - 128 Figura VI. 21 Configuración vista escritura en catalyst 2950 y2960......................................................... - 128 Figura VI. 22 Configuración del grupo administrador principal ................................................................ - 129 Figura VI. 23 Inicialización del agente SNMPv3 ..................................................................................... - 130 Figura VI. 24 Configuración de la vista escritura .................................................................................... - 130 Figura VI. 25 Definición de grupo administrador_principal ...................................................................... - 131 Figura VI. 26 Definición de usuario Alejandra ........................................................................................ - 131 -.

(12) INDICE DE TABLAS TABLA II. I TIPOS DE DATOS SIMPLES O PRIMITIVOS .......................................................................... - 31 TABLA II. II TIPOS DE DATOS COMPUESTOS O ESTRUCTURALES...................................................... - 32 TABLA II. III TIPOS DE DATOS DEFINIDOS............................................................................................. - 32 TABLA II. IV MIB II y MIB I ...................................................................................................................... - 33 TABLA II. V DESCRIPCIÓN DE LOS OBJETOS EN EL GRUPO SYSTEM .............................................. - 34 TABLA II. VI DESCRIPCIÓN OBJETOS EN EL GRUPO INTERFACES ..................................................... - 35 TABLA II. VII OBJETOS EN EL GRUPO ADDRESS TRANSLATION ......................................................... - 36 TABLA II. VIII OBJETOS DEL GRUPO IP ................................................................................................. - 36 TABLA II. IX DESCRIPCIÓN OBJETOS DEL GRUPO ICMP ..................................................................... - 37 TABLA II. X DESCRIPCIÓN DE LOS OBJETOS DEL GRUPO TCP........................................................... - 38 TABLA II. XI DESCRIPCIÓN DE OBJETOS DEL GRUPO UDP ................................................................. - 39 TABLA II. XII DESCRIPCIÓN DE LOS OBJETOS DEL GRUPO SNMP...................................................... - 40 TABLA II. XIII MODELOS Y NIVELES DE SEGURIDAD ............................................................................ - 43 TABLA II. XIV MEJORAS DE SNMPV3 FRENTE A SUS VERSIONES ANTERIORES .................................. 65 TABLA III. I REQUISITOS DE HADWARE PARA LA INSTALACIÓN DE ZABBIX ....................................... - 73 TABLA III. II PLATAFORMAS SOPORTADAS POR ZABBIX ..................................................................... - 73 TABLA III. III REQUISITOS PARA LA INSTALACIÓN DE NAGIOS ............................................................ - 77 TABLA III. IV ANÁLISIS COMPARATIVO .................................................................................................. - 82 TABLA III. V ANÁLISIS COMPARATIVO ENTRE CACTI Y ZABBIX .......................................................... - 83 TABLA IV. I OPERACIONALIZACIÓN CONCEPTUAL DE VARIABLES ..................................................... - 86 TABLA IV. II OPERACIONALIZACIÓN METODOLÓGICA DE LA VARIABLE INDEPENDIENTE .............. - 87 TABLA IV. III OPERACIONALIZACIÓN METODOLÓGICA DE LA VARIABLE DEPENDIENTE.................. - 87 TABLA IV. IV DETALLES TÉCNICOS DEL AMBIENTE DE SIMULACIÓN ................................................ - 93 TABLA V. I FUNCIONAMIENTO SNMPV3 ................................................................................................ - 96 TABLA V. II SEGURIDAD SNMP ............................................................................................................ - 97 TABLA V. III DISPOSICIÓN DE EQUIPOS SNMP ..................................................................................... - 98 TABLA V. IV OVERLOAD DE LA INFORMACIÓN DE GESTIÓN EN LA RED ........................................ - 100 TABLA V. V CUANTIFICADORES Y ABREVIATURAS DE LA CALIFICACIÓN DE LOS PARÁMETROS .. - 101 TABLA V. VI VALORACIÓN CUANTITATIVA Y CUALITATIVA DEL INDICADOR 4 ................................. - 103 TABLA V. VII PRIVACIDAD .................................................................................................................... - 106 TABLA V. VIII CONTROL DE ACCESO................................................................................................... - 108 -.

(13) TABLA V. IX RESUMEN DE LA VARIABLE DEPENDIENTE Y SUS PUNTAJES TOTALES ..................... - 109 TABLA V. X RESUMEN DE LOS VALORES OBTENIDOS PARA CADA UNO DE LOS INDICADORES . - 111 TABLA V. XI FRECUECIAS OBSERVADAS ............................................................................................ - 111 TABLA V. XII FRECUENCIAS ESPERADAS ......................................................................................... - 112 TABLA V. XIII SUMATORIA DE X2 ....................................................................................................... - 113 -.

(14) INTRODUCCIÓN. Debido al constante crecimiento que presentan las redes se han vuelto mucho más complejas y heterogéneas haciendo que su control y seguimiento de red se tornen complicados y se conviertan en verdaderos retos para los administradores de red. Como es de conocimiento general las redes de hoy no solo soportan aplicaciones o solo sirven para enviar correos electrónicos, para transferencia de archivos, hoy en día las redes dan soporte a aplicaciones robustas y servicios estratégicos que son de vital importancia para el correcto funcionamiento de la empresa. Es por esa razón que la información que es utilizada para gestionar los dispositivos de forma remota debe transitar de forma segura y confiable, con el fin de precautelar la integridad y evitar que se conozca la inteligencia de la red. Por tal motivo, se debe escoger protocolos probos de gestión que garanticen la transferencia segura y confiable de la data de gestión. Por lo que la presente tesis propone la utilización de SNMPv3 como protocolo de gestión de red, dado que el mencionado protocolo garantiza en gran medida el tránsito seguro de la data de administración a través de la red. Se utilizara CACTI como herramienta de monitoreo, que estará a cargo de procesar la información generada por SNMPv3. Convirtiéndose en la interfaz entre el usuario y el protocolo. Fue escogida la mencionada herramienta por las características que presenta en las que sobresale, licencia GPL, facilidad, poco consumo de recursos de red, configuración simple, etc..

(15) CAPÍTULO I MARCO REFERENCIAL 1.1 ANTECEDENTES En los años 80, No había un soporte para hacer una buena administración de las redes, Los administradores de red no contaban con las herramientas suficientes y necesarias para administrar una red local, ni mucho menos una red como la internet. Las únicas herramientas de gestión de red en aquel entonces eran ICMP, PING, Trace-route, no proporcionaban la suficiente información para resolver con rapidez los problemas que se presentaban en la red. Como solución a este problema en 1988 la IAB propone desarrollar el protocolo SNMP. Buscando tener poco impacto en el rendimiento en los nodos cuando se utilizaran estos protocolos, por lo tanto tenían que ser protocolos sencillos pero al mismo tiempo robustos. Con el tiempo SNMP se convierte en un estándar de facto para la administración y gestión de red. Pero con el crecimiento global de las redes pronto dejo al descubierto varias falencias y debilidades que hicieron que aparezcan nuevas ampliaciones al protocolo..

(16) - 16 -.  Por los inconvenientes que presentaba SNMPv1 en cuanto a seguridad y al excesivo tráfico de información de gestión presente en la red, da pie para que se introduzca una ampliación al protocolo naciendo así SNMPv2 con el propósito de cubrir estas falencias.  SNMP en su versión dos presenta mejoras pero sigue adoleciendo de seguridad en cuanto al envío de paquetes SNMP por la red, la seguridad en la versión dos está basada en comunidades al igual que SNMPv1, cuyos nombres son enviadas en texto plano, lo que conlleva a que esto se convierta en un punto débil de la LAN. Debido a que un individuo con un poco de conocimiento pueda hacer uso de un sniffer y capturar el tráfico y podría vulnerar la red con dicha información.  Por la falta de seguridad en las versiones 1 y 2 de SNMP, se da paso a la creación de SNMPv3 que incrementa la seguridad en los entornos de gestión valiéndose de operaciones de autenticación, privacidad y control de acceso: limitando el acceso a los recursos de gestión únicamente a personas probas..

(17) - 17 -. 1.2. JUSTIFICACIÓN. La principal motivación detrás del desarrollo del presente proyecto es estudiar los posibles perjuicios a tener debido al intercambio inseguro de la información de gestión entre los dispositivos monitoreados (routers, switchs, hub, etc.) y la/las estación (NMS) que se encargara de procesar dicha información. La NMS que se encargara de procesar la información de gestión será seleccionada de una terna de tres participantes, las mismas que deben cumplir con ciertas condiciones la principal y la más importantes es que estas herramientas se instalen y se han software libres por las ventajas de costes que presentan frente a los paquetes de monitoreo que ofrecen diferentes casas fabricantes, la desventaja de tener programas con licencia paga es para las organizaciones pequeñas o instituciones públicas que no cuentan con el suficiente dinero para realizar una alta inversión en licencias de software. La visión del proyecto se centra en la obtención de resultados, cuya información nos indique en qué medida se ve afectada la información de administración y gestión de redes durante su paso por la red al hacer uso de las primeras versiones del protocolos de gestión SNMP que no proporcionan la seguridad necesaria para la mencionada información, a diferencia de SNMPv3 que si aporta con la seguridades del caso. Los resultados serán producto de una evaluación previa de parámetros como la seguridad en contraseñas, formas de autenticación, contraseñas de encriptación y des encriptación, revelación selectiva del contenido de los mensajes utilizando sniffers como wireshark y dsniff, además se medirá la confidencialidad de la información de gestión para ello se realizar un ataque de hombre en el medio en un ambiente de simulación, además se medirá la carga de tráfico generado tanto por SNMPv1/v2 y SNMPv3 utilizando iptraf.

(18) - 18 -. Figura I. I Ambiente de Simulación. Lo que se pretende solucionar con este proyecto son infiltraciones no autorizadas a los recursos de gestión y a los equipos, evitando que se realicen ataques a la red haciendo uso de los propios recursos de gestión, que por descuido o por falta de conocimiento del administrador de red permite que los datos de gestión transiten de forma insegura por la red constituyéndose en un punto de fragilidad para la red..

(19) - 19 -. 1.3 OBJETIVOS. 1.3.1. GENERAL. Analizar el protocolo SNMPv3 y aplicarlo al desarrollo de un prototipo de monitoreo de red segura. 1.3.2. •. ESPECIFICOS. Estudiar el protocolo de administración y gestión de redes SNMP en su versión 3 para entender su funcionamiento. •. Determinar las mejoras de SNMPv3 frente a sus versiones anteriores.. •. Evaluar herramientas de software libre que incorporen SNMPv3 para la gestión y monitoreo de redes. •. Implementar un prototipo de pruebas para el desarrollo de la plataforma de monitoreo basada en SNMPv3. 1.4 HIPÓTESIS El protocolo SNMPv3 podrá ser aplicado al diseño de un prototipo de monitoreo de red segura, en un ambiente OpenSource que permitirá alcanzar niveles apropiados de seguridad en la administración y gestión de redes..

(20) CAPÍTULO II MARCO TEÓRICO 2. MONITOREO DE RED 2.1INTRODUCCIÓN La detecciòn oportuna de fallas y el monitoreo de los elementos que conforman una red de datos son actividades de gran relevancia para brindar un servicio de calidad a nuestros usuarios. De esto se deriva la importancia de un sistema capaz de notificar las fallas en la red y de mostrarnos su comportamiento mediante el análisis y recolecciòn del tráfico. En la actualidad las redes, cada vez mas soportan aplicaciones y sevicios estratégicos de las organizaciones y si presentan algún tipo de desperfecto en su rendimiento, sin saber cual es el punto de ruptura, puede causar perdidas para la entidad u organización. Las redes de datos de las organizaciones, cada vez se vuelven mucho mas complejas y la exigencia de operación es cada vez mas demandante..

(21) - 21 -. Por lo cual el análisis y monitoreo de red se ha convertido en una labor de mucha importancia y de carácter proactivo para evitar problemas a futuro . La seguridad no solo radica en la prevención, sino tambien en la identificación. Entre menos tiempo haya pasado desde la intrusión e identificacion, el daño sera menor,para lograr esto es importante realizar un constante monitoreo del sistema con la finalidad de identificar vulnerabilidades en la red que los intrusos o el propio personal de la empresa puede hacer uso para acceder a recursos de la red que no estan autorizados y puedan causar denegaciones de servicio o otros problemas . La prestacion de servicios de calidad a los usuarios de una red depende en gran medida de factores que involucran aspectos de eficiencia y de seguridad. En el aspecto de eficiencia el ancho de banda disponible y la utilizacion que se haga del mismo representa un factor critico,Mientras en el caso de la seguridad, es importante conocer el tipo de tráfico que esta siendo cursado por la red , asi como tener la capacidad de detectar el tráfico malicioso.. 2.2 Definición de Monitoreo Es el proceso de observar el comportamiento de la red y de sus nodos a traves de la correspondiente información de adminsitración. Esto se realiza con el fin de detectar fallas en la red y en los nodos. La Monitorización involucra dos factores importantes el tiempo de duracion del monitoreo y el uso de recursos de la red. Mientras mayor sea el tiempo de monitoreo mas efectiva sera la detección de problemas, pero habra una mayor ocupación de los recursos lo cual perjudicara a otras tareas.Por lo tanto debe existir un balance para conseguir un desempeño aceptable del sistema..

(22) - 22 -. 2.3 ENFOQUES DE MONITOREO1 Existen, dos formas de abordar el proceso de monitorear una red: el enfoque activo y el enfoque pasivo. Aunque son diferentes ambos se complementan.. 2.3.1 Monitoreo Activo Este tipo de monitoreo se realiza inyectando paquetes de prueba en la red, o envíando paquetes a determinadas aplicaciones midiendo sus tiempos de respuesta, Este enfoque tiene la particularidad de agregar tráfico a la red. Es utilizado para medir el rendimiento de la red. Técnicas de Monitoreo activo. Basado en ICMP  Díagnosticar Problemas en la red.  Detectar retardo, perdidad de paquetes.  Disponibilidad de host de host y redes. Basdo en TCP  Tasa de transferencia  Díagnosticar problemas a nivel de aplicación. Basado en UDP  Perdidas de paquete en un sentido (one-way) 2.3.2. Monitoreo Pasivo. Este enfoque se basa en la obtención de datos apartir de recolectar y analizar el tráfico circundante por la red, se emplean diversos dispositivos como sniffers,ruteadores,computadores con software de. 1 Carlos. Alberto Vicente Altamirano,Monitoreo de Recursos de Red, Mexico 2005 .pdf”Universidad Nacional Autonoma de Mexico”.

(23) - 23 -. análisis de tráfico y en general dispositivos con soporte snmp,rmon y netflow. Este enfoque no agrega tráfico a la red. Técnicas de Monitoreo pasivo. Mediante SNMP Utilizado para obtener estadisticas sobre la utilización de ancho de banda,consumo de recursos de red, etc., al mismo tiempo genera traps que indica que un evento inusual ha ocurrido.. Captura de tráfico Se puede llevar a cabo de dos formas: 1.-Mediante la configuraciòn de un puerto espejo en un dispositivo de red, el cual hara una copia del tráfico que ercibe en un puerto hacia otro donde estara conectado el equipo que realizara la captura. 2.- Mediante la instalaciòn de un dispositivo intermedio que capture el tráfico, el cual puede ser una computadora con el software de captura esta tecnica es utilizada para contabilizar el tráfico que circula por la red.. Análisis de Tráfico Usado para identificar el tipo de aplicaciones. Se puede implementar atraves de un dispositivo intermedio con una plicación capaz de clasificar el tráfico por aplicación, direcciónes IP origen y destino, puertos origen y destino etc.. 2.4 ARQUITECTURA SNMP 2.4.1 Introducción SNMP, se ha constituido en. salida y solución propuesta para poder unificar el proceso de. administración de redes privadas (intranet), sin tener en cuenta la casa matriz de donde provienen los dispositivos que son parte de la red a ser gestionada..

(24) - 24 -. Hasta el día de hoy existe tres versiones conocidas de SNMP, la versión 1 que fue desarrollada por Case, McGlorie, Rose y Waldbuser , la versión 2 que incorpora mejoras en las operaciones del protocolo y por último la versión 3 que cubre las falencias de seguridad que venían arrastrando sus versiones pasadas .. 2.4.2. Elementos de la Arquitectura SNMP. En un sistema SNMP se puede identificar cuatro componentes fundamentales. 1. Gestor de red (NMS), 2. Agente 3. MIB. 4. Protocolo SNMP. 2.4.3 Consola de administración (NMS) La estación NMS es algún tipo de software que puede manejar procesos administrativas, es la interfaz entre la red y el administrador. Una NMS es responsable de generar consultas y de recibir notificaciones de agentes en la red. A través de una consulta se obtiene información que más tarde puede ser usada para determinar si ha ocurrido algún evento crítico. Por otro lado una notificación permite al agente dar aviso que algo ha ocurrido. La estación tiene la capacidad de realizar una acción basada en la información que recibió del agente, realizando asi un monitoreo proactivo en algunos casos.. 2.4.3.1 Funciones básicas  Los datos son centralizados en registros para poder tener una visión y realizar un análisis apropiado de los mismos..

(25) - 25 -.  Provee una interface para el administrador de manera que esta pueda controlar y observar el proceso de administración de red.  Permite tener una visión completa del desempeño de los dispositivos gestionados, como la salud de la red, interfaces caídas, etc. 2.4.3.2 ARQUITECTURA NMS PARA LA ADMINISTRACIÓN DE RED Se tienen tres arquitecturas fundamentales para la administración de red: jerárquica, centralizada y distribuida.Tienen una dependencia directa con el protocolo que se va utilizar para establecer las reglas de monitoreo. 2.4.3.2.1 Arquitectura Centralizada Aquí todas las consultas son envíadas a un sistema de gestión simple. Las aplicaciones de administración son instaladas en la NMS, la cúal responde a todos los avisos envíados desde los agentes. En un sistema de administración centralizada hay un único responsable de realizar consultas de información a los dispositivos. Si bien su información es fácil de manejar,una NMS puede llegar a sobrecargarse facilmente debido al número de traps2 que los agentes pueden envíar al NMS. Figura II. 1 Arquitectura de administración Centralizada. 22. Traps: Eventos inusuales que se disparan cuando se cumplen una determinada premisa en el dispositivo y que son enviadas a la NMS.

(26) - 26 -. 2.4.3.2.2 Arquitectura Distribuida Como se muestra en la figura II.2, hay dos puntos de administración del sistema que gestiona los agentes .Se puede organizar una arquitectura distribuida basada en la geografía, o se puede asignar a cada NMS responsabilidad sobre un grupo específico de recursos de la red.. Figura II. 2 Arquitectura de administración distribuida. Como se puede apreciar en la figura II.2 cada dispositivo NMS gestiona un grupo específico de dispositivos de la red, manejando de forma centralizada sus aplicaciones de gestión, de esta manera se puede asegurar que las máquinas gestoras no sufrirán saturaciones. Este modelo tiende a limitar los beneficios de un modelo de administración de red centralizado, ya que las NMS pueden enviar solo mensajes entre ellas pero no pueden actualizar consultas o resultados de bases de datos de agentes administrados por otras NMS este tipo de arquitectura depende del tipo de protocolo de gestión a utilizar. 2.4.2.3.3 Arquitectura jerárquica Combina el sistema centralizado con el distribuido. Es la arquitectura más compleja pero. Provee las fortalezas de las anteriores .Como se muestra en la figura II.3 se utiliza una NMS centralizada que solo coordina consultas enviadas de entidades NMS adicionales..

(27) - 27 -. Figura II. 3 Arquitectura de Administración Jerárquica. Se puede delegar varias tareas y responsabilidades a varios sistemas en la red, de esta manera se mantiene y almacena información de una manera centralizada y sin embargo asegura que los sistemas distribuidos sean responsables del procesamiento de consultas y respuestas. Las aplicaciones de administración están distribuidas en varios sistemas en la red 2.4.4 Agente Los agentes de administración son procesos que se ejecutan en cada nodo de la red, como hosts, routers, puentes, hubs, switches que deben estar equipados con SNMP. Representa a la parte del servidor en la medida que tiene la información que desea administrar y espera los comandos a ejecutar por parte del cliente (entidad administradora).Todos los datos del agente se almacenan en su MIB ver figura II.IV y entre las funciones principales que un agente puede controlar encontramos.  Número y estado de circuitos virtuales  Mensajes de difusión enviados y recibidos.  Número de bytes y paquetes entrantes y salientes del dispositivo.  Interfaces de red que se han caído y las que se han activado.

(28) - 28 -. Para realizar estas funciones cada Agente mantiene un MIB (Manejador de Información Básica) que contiene toda la información (tanto reciente como histórica) sobre su configuración local y el tráfico que maneja. La estación manejadora mantendrá un MIB global con la información resumida de todos los agentes. 2.4.5 MIB (MANAGEMENT INFORMATION BASE) Una MIB es una base de datos de información que está organizada de forma. jerárquica.. estructurada en forma de árbol, en la que se agrupan todos los objetos de un dispositivo de red que van a ofrecer algún tipo de interoperabilidad o funcionamiento en este, y que se desean que sean gestionados a través de SNMP. Un objeto administrado o comúnmente conocido como objeto MIB es uno de cualquier número de características específicas de. un dispositivo administrado. Los objetos administrados están. compuestos de una o más instancias de objeto, que son esencialmente variables. Tipos de objetos Administrados: escalares y tabulares. Los objetos escalares definen una simple instancia de objeto a diferencia de los objetos tabulares que define múltiples instancias de objetos. 2.4.5.1 OIDs (Objeto Identificador) Cada uno de las ramificaciones del árbol y de los objetos contenidos en estas, están representados por un número que identifica su posición exacta dentro de la MIB. Este número se denomina OID y es único entre todas las MIBs existentes. Esto hace que cada objeto se ha accesible a través de un solo camino, quedando perfectamente identificado mediante lo que se conoce como una ruta absoluta del objeto..

(29) - 29 -. 2.4.5.2 Estructura de la MIB SNMP sigue una estructura tipo árbol, donde sus ramificaciones son los objetos a ser gestionados cada uno con una función específica en la red. Los objetos se agrupan en estructuras lógicas relacionadas entre sí.Está definida baja las condiciones de SMI ver Anexo 1 •. Árbol MIB. Los objetos de una MIB están agrupados en una estructura en cascada compuesta por diversos nodos: cada uno de estos nodos contiene un determinado número de objetos relacionados entre sí según su función dentro del dispositivo: a esta estructura se la conoce como árbol MIB.. Figura II. 4 Estructura de la MIB.

(30) - 30 -. La zona superior de este árbol está reservada para diferentes organizaciones estándares, mientras que las de la parte inferior están reservadas para las organizaciones asociadas: la rama principal se inicia en el nodo ISO donde de los demás apartados definidos para su propio uso, se ha definido uno para el resto de organizaciones dentro de este se encuentra en nodo correspondiente a la comunidad de internet que nos interesa en particular. El nodo internet, uno de los principales nodos del árbol, en un principio estaba formado por las siguientes 4 ramificaciones: 1. Directory: reservada para memorias futuras que discutan sobre la organización de la estructura ISO utilizada en internet. 2. Mgmt: identifica a los objetos definidos en documentos aprobados por la IAB. aquí es en donde se almacenan las MIBs estandarizadas. 3. Experimental: En este nodo se almacenan las MIBs en fase de pruebas. 4. Private: es uno de los nodos más importantes dentro de internet ya que es en dónde se almacenan las MIBs definidas de forma unilateral. Dentro del nodo private está el nodo Enterprise donde cada fabricante reconocido dispone de su propio espacio para almacenar las MIBs de sus dispositivos. 2.4.5.3 Sintaxis de la MIB Definición de ASN.1 ASN.1 es una notación estándar muy flexible que proporciona un conjunto de normas, tipos de datos y constructores, que permiten describir estructuras para representar, codificar, descodificar y transmitir datos, de forma independiente de la máquina en la que se encuentran y de sus formas de representación interna..

(31) - 31 -. Fue desarrollada como parte de la capa de presentación del modelo OSI y ofrece una abstracción similar a la que otorga un lenguaje de programación de alto nivel. Al igual que cualquiera de estos lenguajes. Tipos de datos ASN.1 La notación Sintáctica Abstracta (ASN.1). es una notación perteneciente a la capa de. presentación del modelo OSI, tal notación presenta un alto nivel de abstracción para representar los objetos gestionados. El uso de ASN.1 permite que la comunicación de las aplicaciones gestoragente se ha posible aun cuando usen máquinas con diferentes tipos de representación interna. Para esto ASN.1 define tres tipos de datos generales. Simples o primitivos: Conocidos también como registros escalares, puesto que almacenan un único valor. Los tipos primitivos más importantes son lo que se muestran en la Tabla II.I TABLA II. I TIPOS DE DATOS SIMPLES O PRIMITIVOS TIPO. DESCRIPCIÓN Número entero negativo o positivo de hasta 32 bits. Integer OctectString. DisplayString. Cadena de caracteres ASCII imprimibles. OctectBitString. Usado para cadenas de bits mayores a 32 bits. PhysAddress. Representan direcciones de la capa de enlace. ObjetcIdentifier. Identificador de objeto, que marca la posición del objeto en la MIB. Null. Representa la ausencia de valor. Boolean. Representa un valor que pueda ser verdadero o falso. Estructurados o compuestos: Son registros vectoriales, que sirven para definir filas y tablas. Son construidos a partir de otros tipos primitivos. En la Tabla II.II se detallan los tipos de datos estructurados..

(32) - 32 -. TABLA II. II TIPOS DE DATOS COMPUESTOS O ESTRUCTURALES TIPO. DESCRIPCIÓN. Sequence. Representa una fila, es decir una lista ordenada de tipos de datos diferentes. Son construidos a partir de datos primitivos.. Sequence OF. Representa una tabla, es decir es una lista ordenada de varias filas iguales. Son construidos a partir de tipos compuestos.. Set. Es un tipo de datos similar al sequence. SetOf. Es un tipo de datos similar a sequence of, con la diferencia que la lista no está ordenada. Choice. Es un tipo de datos que se debe escoger de una lista predefinida.. Definidos: Se construyen a partir de los tipos de datos (primitivos y compuestos) con la diferencia que se les ha definido un nombre más descriptivo, se utiliza para distinguir los tipos dentro de una aplicación. Los tipos descriptivos o etiquetados se detallan en la Tabla II.III. TABLA II. III TIPOS DE DATOS DEFINIDOS TIPO. DESCRIPCIÓN. NetworkAddress. Representa una dirección de red de cualquier familia de protocolos. Ipaddress. Representa la dirección de internet, definida en la pila de protocolos. Counter. Representa un entero positivo que se incrementa hasta 232-1 Se reinicia cuando alcanza el máximo valor. Gauge. Representa un entero positivo, el cual se incrementa o decrementa, se reinicia cuando alcanza su máximo valor. Time Ticks. Representa un entero positivo, el cual cuenta el tiempo transcurrido en centésimas de segundo. Opaque. Representa un octectString que se le puede pasar cualquier valor ASN.1.

(33) - 33 -. 2.4.5.4 TIPOS DE MIBS Estándares •. MIB-I y MIB-II. Experimentales •. Con grupos en fase de desarrollo.. Privadas •. Incorporan la información del fabricante. 2.4.5.4.1 MIB I (Management Information Base I) Constituyo la primera MIB normalizada y estandarizaba la definición de los objetos de la torre de protocolos TCP/IP. Está definida en la RFC 1155 ver Tabla II.IV TABLA II. IV MIB II y MIB I GRUPO SYSTEM. MIB I MIB II DESTINO 3 7 EL propio sistema. INTERFACES. 22. 22. Interfaces de red. AT. 3. 3. Correspondencia de direcciónes IP. IP. 33. 38. Internet Protocol. ICMP. 26. 26. Internet control messageProtocol. TCP. 17. 19. Transmisio Control Protocol. UDP. 4. 7. UserDatagramProtocol. EGP. 6. 18. Exterior Gateway protocol. 0. Nuevo grupo. 30. Nuevo grupo. TRANSMISSION NO SNMP. NO.

(34) - 34 -. 2.4.5.4.2 MIB-II (Management Information Base II) Define objetos y grupos adicionales a los definidos en el MIB tradicional, para esto, exigen ciertos requisitos que deben cumplir los objetos para que puedan ser incluidos en el MIB-II ver Tabla 2.4, dichos requisitos son los siguientes:  Sólo se permiten objetos que al modificarlos, provoquen daños limitados, esto se debe a la falta de seguridades en SNMP.  MIB-II elimina objetos dependientes de implementaciones concretas, ejemplo BSD UNIX.  MIB-II elimina el límite de mantener menos cien objetos que posee MIB-I, esto se debe a que cada vez hay más tecnologías que administrar. 2.4.5.4.2.1 descripción e identificación de los objetos MIB II3 Grupo 1, El Nodo System Define una lista de objetos que están relacionados con el funcionamiento del sistema, es decir, da información del sistema en el que se encuentra el agente. Ver tabla II.V. TABLA II. V DESCRIPCIÓN DE LOS OBJETOS EN EL GRUPO SYSTEM. 3. NOMBRE DEL OBJETO Sysdescr. VALOR. DESCRIPCIÓN. 1. Descripción del dispositivo. SysObjectID. 2. Identificación del sistema Operativo. SysUptime. 3. Tiempo Transcurrido desde el último Reset. SysContact. 4. Nombre del administrador responsable. Sysname. 5. Nombre del dispositvo. SysLocation. 6. Ubicación Física del dispositivo. SysServices. 7. Servicios ofrecidos por el dispositivo. Diseño e implementación de un sistema de monitorización y control para un modem satélite a través de SNMP, Comprezios Marc A. enero 2011.

(35) - 35 -. Grupo 2, Interfaces Mantiene un registro del estado de cada interfaz de red en una entidad gestionada. El grupo interfaz monitoriza que interfaces están caídas o levantadas ver Tabla II.VI TABLA II. VI DESCRIPCIÓN OBJETOS EN EL GRUPO INTERFACES NOMBRE DEL OBJETO. VALOR. DESCRIPCIÓN. IfIndex. 1. Numero de una interfaz. IfDescr. 2. Descripción de una interfaz. ItType. 3. Tipo de interfaz. IfMTU. 4. Máximo de octetos en un Datagrama. IfSpeed. 5. Ancho de banda en bits por segundo. IfPhysAddress. 6. Dirección física. IfAdminStatus. 7. Para cambiar el estado de la interfaz. IfOperStatus. 8. El estado Actual de la interfaz. IfLastChange. 9. El valor de Sysuptime sobre la interfaz. IfInOctects. 10. Total de octetos recibidos en una interfaz. IfInUcastPkts. 11. Número de paquetes unicast de subred de entrada. IflnNucastPkts. 12. Número de paquetes no unicast de subred de entrada. IfInDiscard. 13. Paquetes entrantes descartados. IfInErrors. 14. Paquetes de entrada descartados por error. IfInUnKnownProtocols. 15. Paquetes de entrad con error de protocolo. IfOutOctets. 16. Total de octetos transmitidos por una interfaz. IfOutUcastPkts. 17. Numero de paquetes unicast de subred de salida.. IfOutNUcastPkts. 18. Número de paquetes no unicast de subred de salida. IfOutDiscard. 19. Número de paquetes de salida descartados. IfOutErrors. 20. Paquetes de salida descartados por error. IfOutQlen. 21. Longitud e la cola de paquetes de salida. IfSpecific. 22. Referencia de Documentación del medio específico para la interfaz.

(36) - 36 -. Grupo 3 Address Translation. Es el grupo de traducción de direcciones, se encuentra en estado deprecated y únicamente se mantiene por compatibilidad con la MIB I probablemente desaparezca en la MIB III ver tabla II.VII TABLA II. VII OBJETOS EN EL GRUPO ADDRESS TRANSLATION NOMBRE DEL OBJETO. SIGNIFICADO. AtIfIndex. Interface Number. AtPhysAddress. Dirección del medio del mapeo. AtNetAddress. Dirección IP del mapeo. Grupo 4 Internet Protocol Mantiene un registro de varios aspectos de IP, más concretamente lleva las estadísticas del protocolo IP. Registra IP recibidos, reenviados, descartados, etc. TABLA II. VIII OBJETOS DEL GRUPO IP NOMBRE DEL OBJETO. VALOR. SIGNIFICADO. IPAdEnAddr. 1. Dirección IP destino. IpAdEntiflndex. 2. Número de interfaz. IpAdEntNetMask. 3. Mascara de subred para la dirección IP. IpAdEntBcastAddr. 4. LSB de la dirección de broadcast. IpAdEntReasmMaxSize. 5. El datagrama más grande que se pueda reensamblar.. IpRouteDest. 1. Dirección IP destino. IpRouteIfIndex. 2. Número de interfaz. IpRouteMetric 1. 3. Métrica de enrutamiento #1. IpRouteMetric 2. 4. Métrica de enrutamiento #2. IpRouteMetric 3. 5. Métrica de enrutamiento #3. IpRouteMetric 4. 6. Métrica de enrutamiento #4. IpRouteNextHope. 7. Dirección IP del Gateway par el siguiente host.

(37) - 37 -. IpRouteType. 8. Tipo directo, remoto, válido o inválido. IpRouteProto. 9. Mecanismo utilizado para determinar la ruta. IpRouteAge. 10. La última vez en segundos que fue actualizada la ruta. IpRouteMask. 11. Mascara de subred para la ruta. IprouteMetric 5. 12. Una métrica de enrutamiento alternativo. IpRouteInfo. 13. Referencia MIB para el protocolo. IpNetToMedíaIfIndex. 1. Número de interfaz. IpNetToMedíaPhysAddres. 2. Dirección del medio de mapeo. IpNetToMedíaNetsAddres. 3. Dirección IP del mapeo. IpNetToMedíaType. 4. Como el mapeo fue determinado. Grupo 5 ICMP Mantiene un registro de varios aspectos ICMP, más concretamente lleva estadísticas del tráfico ICMP por ejemplo errores, mensajes ECHO recibidos/enviados etc. Ver Tabla II.IX TABLA II. IX DESCRIPCIÓN OBJETOS DEL GRUPO ICMP NOMBRE DEL OBJETO. VALOR. SIGNIFICADO. IcmpInMsgs. 1. Mensajes recibidos incluyendo los de error. IcmpInErrors. 2. Mensajes recibidos con errores. IcmpInDestUnrecheable. 3. Mensajes recibidos con destino irreconocible. IcmpInTimeExcds. 4. Mensajes recibidos con tiempo extendido. IcmpInParmProbs. 5. Mensajes recibidos con problemas en los parámetros. IcmpInSrcQuenchs. 6. Mensajes recibidos de fuentes apagadas. IcmpInRedirects. 7. Mensajes recibidos redirigidos. IcmpInEchos. 8. Mensajes recibidos con peticiones de eco. IcmpInEchosRep. 9. Mensajes recibidos de respuesta de eco. IcmpInTimestamps. 10. Mensajes recibidos de marcas de tiempo. IcmpInTimestampReps. 11. Mensajes recibidos de respuestas de marcas de tiempo. IcmpInAddrMasks. 12. Mensajes recibidos de peticiones de mascara de subred.

(38) - 38 -. IcmpInAddrMaskResp. 13. Mensajes recibidos de respuestas de mascara de subred. IcmpOutMsg. 14. Mensajes mandados incluyendo con los de error. IcmpOutErrors. 15. Mensajes no enviados debido al control de flujo. IcmpOutDestUnrecheable. 16. Mensajes enviados con destino irreconocible. IcmpOutTimeExcs. 17. Mensajes enviados con tiempo excedido. IcmpOutParmProbs. 18. Mensajes enviados con problemas de parámetros. IcmpOutSrcQuenchs. 19. Mensajes enviados con fuente apagada. IcmpOutRedirects. 20. Mensajes enviados redirigidos. IcmpOutEchos. 21. Mensajes enviados con solicitud de eco. IcmpOutEchosResp. 22. Mensajes enviados con respuesta de eco. IcmpOutTimestamp. 23. Mensajes enviados con solicitud de marcas de tiempo. IcmpOutTimestampResp. 24. Mensajes enviados con respuestas de marcas de Tiempo.. IcmpOutAddrsMasks. 25. Mensajes enviados con petición de mascara de subred. IcmpOutAddrsMaskResp. 26. Mensajes enviados con respuesta de mascara de subred. Grupo 6 TCP Lleva un registro del estado de las conexiones TCP (cerradas, escuchando, etc) y de los datos generales sobre TCP (números de conexiones establecidas, máximo timeout de retransmisión, etc.) Ver tabla II.X TABLA II. X DESCRIPCIÓN DE LOS OBJETOS DEL GRUPO TCP NOMBRE OBJETO. DEL VALOR. SIGNIFICADO. TcpRtoAlgorithm. 1. Identificación del algoritmo de retransmisión. TcpRtoMin. 2. El tiempo de salida mínimo de retransmisión. TcpRtoMax. 3. El tiempo mínimo de retransmisión. TcpMAxconn. 4. Conexiones TCP máximas permitidas. TCpActiveOpens. 5. Cambio de estadso a SYN-SENT de closed. TcpPassivesOpens. 6. Cambio de estado a SYN-RCVD de Listen.

(39) - 39 -. TcpAttemptFAil. 7. Cambio de estado a closed de ESTAB/WAIT. TcpCurrEstab. 9. Número de conexiones con el estado established o closed. TcpInSegs. 10. Segmentos recibidos, incluyendo con error. TcpOutSegs. 11. Segmentos mandados incluyendo con error. TcpConnState. 1. Estado de la conexión Tcp. TcpConnLocalAddress 2. Dirección IP para esta conexión TCP. TcpConnLocalPort. Número de puerto para esta conexión TCP. 3. TcpConnRmAddress 4. Dirección IP remota para esta conexión. TcpConnremPort. Número de puerto Remoto para esta conexión. 5. Grupo 7 UDP Controlan las estadísticas de datagramas de entrada y salida, conexiones UDP de entrada y de salida ver Tabla II.XI. TABLA II. XI DESCRIPCIÓN DE OBJETOS DEL GRUPO UDP NOMBRE DEL OBJETO. VALOR. SIGNIFICADO. UdpInDatagrams. 1. Datagramas enviados a usuarios UDP. UdpNoPorts. 2. Datagramas dirigidos a puertos desconocidos. UdpInErrors. 3. Datagramas no enviados por formatos de error. UdpOutDatagrams. 4. Datagramas mandados desde la entidad. UdpLocalAddress. 1. Dirección IP para esta aplicación UDP. UdpLocalPort. 2. Número de puerto local para esta aplicación UDP. Grupo 8 EGP Esta encargado del control estadísticas EGP y mantenimiento de la tableEGPneighbor. Grupo 9 EL CMOT El CMOT define al protocolo ISO para administrar redes. El CMIP, sobre TCP:.

(40) - 40 -. El grupo 9 del MIB-II fue diseñado para este propósito. Pero todavía no ha sido implementado. Grupo 10 TRANSMISSION Actualmente no existen objetos asociados a este grupo; sin embargo otro MIBs Específicos para medios está definido en este subárbol. Grupo 11 SNMP Mide el rendimiento de la implementación SNMP en el dispositivo administrado y controla cosas como paquetes enviados y recibidos y cada uno es identificado en la Tabla II.XII TABLA II. XII DESCRIPCIÓN DE LOS OBJETOS DEL GRUPO SNMP NOMBRE. VALOR DESCRIPCIÓN. SnmplnpKTS. 1. Mensajes recibidos de un servicio de transporte. SnmplnOutPkts. 2. Mensajes pasados al servicio de transporte. SnmplnBadVersions. 3. Mensajes recibidos con error en la versión. SnmplnBadConmmunityNames 4. Mensajes de error en la comunidad. SnmplnBadConmmunityUses. 5. Mensajes entrantes con operaciones SNMP no válidas. SnmplnASNParseErrs. 6. Mensajes entrantes con errores en la sintaxis. SnmplnTooBigs. 8. PDU entrante con errores de tipo TooBIg. SnmplnNoSuchNames. 9. PDU entrante con errores de tipo NosuchName. SnmplnBadValues. 10. PDU entrante con errores de tipo BadValue. SnmplnReadOnly. 11. PDU entrante con errores de tipo ReadOnly. SnmplnGenErrs. 12. PDU entrante con errores de tipo GenErrs. SnmplnTotalSetVars. 14. Objetos alterados con el PDU al recibir un set -request. SnmplnGetRequest. 15. Get-request aceptados y procesados por snmp. SnmplnGetResponse. 18. GetResponse aceptados y procesados por snmp. SnmplnTraps. 19. Traps procesados y aceptados por SNMP. SnmpOutTooBig. 20. PDUs generados con error TooBig. SnmpOutNosuchNames. 21. PDU generado con error tipo suchname.

(41) - 41 -. 2.4.5.4.3 MIBS EXPERIMENTALES MIB, Estas fueron desarrolladas por los grupos de trabajo de Internet. Actualmente existen MIBs para: •. IEEE 802.4 TokenBus (RFC 1230).. •. IEEE 802.5 TokenRing(RFC 1231).. •. IEEE 802.3 RepeaterDevices(RFC 1368).. •. Ethernet(RFC 1398). (ya estándar).. •. FDDI (RFC 1285).. •. RMON (RFC 1271).. •. Bridges(RFC 1286. 2.4.5.4.4 MIBs PRIVADAS MIBs de productos específicos desarrollados por las propias casas fabricantes de equipos de Telecomunicaciones, con el objeto de añadir funcionalidad a las MIBs estándares. Las hacen públicas, a través de Internet .algunas MIB privadas.  MIB Cabletron.  MIB Synoptics.  MIB Proteon.  MIB ATT.  MIB Cisco..

(42) - 42 -. 2.5 SNMPv3 Es un protocolo basado en estándares de interoperabilidad: Provee accesos de seguridad para los dispositivos de red, mediante la combinación de paquetes de autenticación y encriptación. 2.5.1 Características de seguridad  Integridad: El protocolo deberá verificar que cada mensaje recibido SNMPv3 no ha sido modificado durante su transmisión a través de la red de tal forma que una operación de gestión no autorizada pudiera resultar.  Autenticación: El protocolo deberá verificar la identidad del originador del mensaje recibido.  Tiempo en que se originaron los datos: El protocolo verificara el tiempo aparente de la generación del mensaje. Para proteger contra la amenaza de modificación de flujo de mensajes para lo cual una marca de tiempo es incluido en el mensaje.  Confidencialidad: el protocolo deberá garantizar, cuando se ha necesario que el contenido del mensaje se ha indescifrable. Un algoritmo de encriptación simétrica es puesto en marcha para proteger contra la amenaza de revelación de contenido. 2.5.2 Modelos y niveles de seguridad Modelo de Seguridad: es una estrategia de autenticación determinada para un usuario y grupo en que este reside. Niveles de seguridad: define el umbral permitido dentro del modelo de seguridad. La combinación de ambos decidirá el mecanismo hacer empleado para el intercambio de mensajes SNMP. Tres son los modelos de seguridad disponibles:.

(43) - 43 -. SNMPv1, SNMPv2 y SNMPv3 y tres son los niveles de seguridad disponibles: noAuth-Nopriv, AuthNoPriv, AuthPriv. La Tabla 2.13 describe las posibles combinaciones entre estos dos conceptos. Los fundamentos de la seguridad en SNMPv3 se pueden describir a través de los siguientes puntos.  Cada usuario pertenece a un grupo  Un grupo define sus políticas de acceso para un conjunto de usuarios  Una política SNMP determina que objetos de la MIB pueden ser accedidos para escribir y leer.  Un grupo también determina el modelo y el nivel de seguridad para sus usuarios Beneficios  Los datos pueden ser colectados en forma segura por equipos SNMP sin el temor que hayan sido forzados o corrompidos.  Manejo de la información confidencial. Por ejemplo un conjunto de comandos SNMP que cambian la configuración de un equipo, pueden ser configurado para prevenir la exposición de su contenido en la red.  Acceso selectivo hacia cada uno de los objetos de la MIB.  Identificación del origen de los mensajes  Robustos algoritmos para la autenticación y la encriptación TABLA II. XIII MODELOS Y NIVELES DE SEGURIDAD MODELO. NIVEL. AUTENTICACIÓN. ENCRIPTACIÓN. V1 V2 V3 V3 V3. noAuthNopriv noAuthNopriv noAuthNopriv AuthNopriv AuthPriv. Comunidad Comunidad usuario MD5 o SHA MD5 o SHA. No No No No SI.

(44) - 44 -. 2.5.3 Arquitectura SNMPv3 EN SNMPv3 se abandona la noción de agentes y gestores, Ambos, administradores y agentes, ahora se denominan entidades SNMP, Cada entidad está formada por un único motor SNMP y por una o más aplicaciones SNMP. El motor y las aplicaciones a su vez están conformadas por modelos. Los subsistemas interactúan entre sí mediante primitivas y parámetros abstractos con el fin de que una entidad pueda proveer un determinado servicio. Dependiendo de los tipos de módulos que conformen una entidad, esta podrá actuar como: agente, gestor o una combinación de ambos. La arquitectura SNMP tiene algunas ventajas:  Permite el desarrollo de estrategias de coexistencia y transición con otros módulos  Definición del rol de una entidad en base a los módulos que se tenga implementado.  Capacidad de actualizar de forma modular sin la necesidad de actualizar todo el protocolo 2.5.4 Entidades SNMP. APLICACIONES SNMP GENERADOR DE COMANDOS. RECEPTOR NOTIFICACIONES. DE EMISOR PROXY. CONTESTADOR DE COMANDOS. ORIGINADOR DE NOTIFICACIONES. MOTOR SNMP DISTPACHER. SUBSISTEMA DE CONTROL DE ACCESO. SUBSISTEMA DE PROCESAMIENTO DE MENSAJES. SUBSISTEMA SEGURIDAD. Figura II. 5 Entidad SNMPv3. DE.

(45) - 45 -. Es un conjunto de módulos que interactúan entre sí. Cada entidad SNMP ofrece una porción de la capacidad de SNMP y puede actuar como los tradicionales Agentes o gestores o una combinación de ambos. Cada entidad está formada por módulos que interactúan entre sí para ofrecer un servicio, como se ilustra en el diagrama de bloques de la figura II.V 2.5.4.1 Motor SNMP Es la parte esencial de cualquier entidad SNMP. El Motor SNMP es el encargado de proporcionar las funciones de.  Envió de mensajes  Recepción de mensajes  Autenticación  Encriptado y descencriptado de los mensajes  Control de Acceso a los objetos administrados Estas funciones son provistas como servicios a una o más aplicaciones y está provisto de 4 módulos. Ver Fig. II.V 2.5.4.1.1 Dispatcher(despachador) Es el encargado de administrar el tráfico. Para mensajes salientes recibe las PDUs de las aplicaciones determina el tipo de procesamiento requerido (SNMPv1, SNMPv2, SNMPv3) y entrega estos datos al módulo de procesamiento de mensajes adecuado. Para mensajes entrantes, acepta mensajes del nivel de transporte y lo deriva al módulo de procesamiento de mensajes idóneo. 2.5.4.1.2 Subsistema de Procesamiento Mensajes Es el responsable del armado y desarmado de la PDU, recibe y entrega los mensajes del despachador. Si es necesario luego del armado de la PDU (mensaje saliente) o antes de desarmarla (mensaje entrante) pasaría la misma al subsistema de seguridad. Un subsistema de procesamiento.

(46) - 46 -. de mensajes puede contener varios modelos de procesamiento de mensajes para SNMPv1 (denominado v1MP), para SNMPv2 (denominado v2cMP), SNMPv3 (denominado v3MP) y para otros protocolos de gestión. 2.5.4.1.3 Subsistema de seguridad Es el encargado de ejecutar las funciones de autenticación y encriptación de los mensajes SNMP, haciendo uso del modelo de seguridad basado en usuarios (USM), agregando un encabezado específico de seguridad en cada mensaje. También debe proveer mecanismos de seguridad basada en comunidades para el caso de SNMPv2 y SNMPv1.Especificamente la RFC-2574 establece que el modelo de seguridad basado en usuario protege frente a las siguientes amenazas.  Retransmisión del flujo de mensajes  Suplantación de identidad  Confidencialidad de los datos  Eventos disfrazados  Modificación de la información de gestión 2.5.4.1.4 Subsistema de control de Acceso Proporciona servicios de autorización para controlar el acceso a los objetos MIB, es decir determina a que objetos de la MIB se accede y que operaciones pueden ejecutarse en ellos. Implementa el Modelo de control de Accesos basado envistas (VACM), provee servicios que comprueban los permisos para realizar una determinada operación en una vista especifica. 2.5.4.2 Aplicaciones SNMP Las aplicaciones SNMP son subsistemas que usan los servicios de un motor SNMP para llevar a cabo operaciones especificas relacionadas al procesamiento de información de gestión..

(47) - 47 -. 2.5.4.2.1 Generador de Comandos Monitoriza y maneja los datos de administración de los dispositivos gestionados. Específicamente genera las PDUs: GetRequest, GetNextRequest, GetBulkRequest y SetRequest, además recibe y procesa las respuestas GetResponse a los pedidos que ha generado. Esta aplicación se implementa en la entidad que actúa como NMS. 2.5.4.2.2 Contestador de comandos Recibe las PDUs GetRequest, GetNexteRequest, GetBulkreuqest y SetRequest, realiza las acciones solicitadas y utilizando el control de acceso, genera mensajes GetResponse para responder la solicitud de una NMS. Esta aplicación es implementada en una estación que actúa como agente. 2.5.4.2.3 Receptor de Notificaciones Es el encargado de monitorizar la llegada de notificaciones y de tratarlas una vez recibidas y en el caso de un informRequest genera un Getresponse. 2.5.4.2.4 Generador de notificaciones El encargado de monitorizar constantemente el sistema y de generar las notificaciones, en caso de detectar un evento particular, que haya cambiado la forma de operar del dispositivo monitoreado, Para el cual haya sido programado con anterioridad por parte del encargado de gestionar la red. 2.5.4.2.5 Reenviador Proxy Reenvía mensajes entre entidades SNMP, La implementación de esta aplicación es opcional. Una entidad no tiene por qué implementar todos los módulos anteriores ya que esto depende de las funcionalidades que se desea que tenga dispositivo. 2.5.5 Gestor SNMP La Figura II.6 muestra el diagrama de bloques de un gestor SNMP tradicional..

(48) - 48 -. APLICACIÓNES SNMP ORIGINADOR COMANDOS. DE. RECEPTOR NOTIFICACIONES. DE. GENERADOR COMANDOS. DE. MOTOR SNMP SUBS. DE MENSAJES. DISPATCHER. PROC.. DE. V1MP. PDU DISPATCHER. SUBSISTEMA SEGURIDAD USM. DE. (user-. ) V2MP DISPATCHER. DE. OTRO MODELO DE V3MP. MAPEO. UDP. DE. IPX. SEGURIDAD. OTRO MP. OTRO. RED Figura II. 6 Gestor SNMP Tradicional. Una entidad SNMP que contenga una o más aplicaciones: generadoras de comandos, receptoras de notificaciones y originadoras de notificaciones (junto con un motor snmp) se llama Gestor SNMP. Todas estas aplicaciones utilizan servicios proporcionados por el motor SNMP. Recibe los mensajes SNMP desde la capa de transporte (UDP), realiza el procedimiento de autenticación y descifrado, y luego extrae las PDUs para posteriormente ser entregadas a las aplicaciones pertinentes..

(49) - 49 -. 2.5.6 Agente SNMP RED. UDO. IPX. OTRO MOTOR SNMP. DISPATCHER. MAPEO TRANSPORTE. SUBS. DE PROC. DE MENSAJES. DE. V1MP. SUBSISTEMA SEGURIDAD. DE. SUBSISTEMA DE CONTROL DE ACCESO. USM VACM. V2MP DISPATCHER MENSAJES. OTRO MODELO DE SEGURIDAD. DE. PDU DISPATCHER. V3MP. OTRO MODELO DE CONTROL DE ACCESO. OTRO MP. APLICACIÓNES SNMP. REENVÍADOR PROXY. GENERADOR NOTIFICACIONES. DE. CONTESTADOR COMANDOS. Figura II. 7 Agente Tradicional. Una entidad SNMP que contenga una o más aplicaciones contestadoras. de comandos,. originadoras de notificaciones y opcionalmente reenviadores proxy (junto con un motor SNMP) se llama agente SNMP. El motor SNMP de un agente SNMP contiene los subsistemas del motor de un Gestor SNMP más un subsistema de control de acceso..

Referencias

Descargar ahora ( PDF - 179 página - 14.10 MB )

Outline

TIPOS DE MIBS 33 Arquitectura SNMPv3 44 Identificación de los parámetros a analizar o evaluar en cada una de las aplicaciones 69 SNMPV3 EN ROUTER 2811 124

Documento similar

Prólogos de ida y vuelta: Juan de Piña, Alonsode Castillo Solórzano, Francisco de Quintana,Juan Pérez de Montalbán y María de Zayas enel campo literario de Lope de Vega

Abstract: This paper reviews the dialogue and controversies between the paratexts of a corpus of collections of short novels –and romances– publi- shed from 1624 to 1637:

Y DE LA LINDA CLAMONDA, HIJA DEL REY DE TOSCAM

E Clamades andaua sienpre sobre el caua- 11o de madera, y en poco tienpo fue tan lexos, que el no sabia en donde estaña; pero el tomo muy gran esfuergo en si, y pensó yendo assi

DEFENSE OF A REBELLION: THE TRIAL FOR THE REVOLUTIONARY MANIFESTO OF 1930. POLITICAL

Habiendo organizado un movimiento revolucionario en Valencia a principios de 1929 y persistido en las reuniones conspirativo-constitucionalistas desde entonces —cierto que a aquellas

Informes de auditoría de cuentas de Red.es

En nuestra opinión, las cuentas anuales de la Entidad Pública Empresarial Red.es correspondientes al ejercicio 2010 representan en todos los aspectos significativos la imagen fiel

Informes de auditoría de cuentas de Red.es

En nuestra opinión, las cuentas anuales de la Entidad Pública Empresarial Red.es correspondientes al ejercicio 2012 representan en todos los aspectos

Informes de auditoría de cuentas de Red.es

La Intervención General de la Administración del Estado, a través de la Oficina Nacional de Auditoría, en uso de las competencias que le atribuye el artículo 168

Informes de auditoría de cuentas de Red.es

La Intervención General de la Administración del Estado, a través de la Oficina Nacional de Auditoría, en uso de las competencias que le atribuye el artículo

Informe de la campaña de control del mercado de termómetros digitales de uso clínico

La campaña ha consistido en la revisión del etiquetado e instrucciones de uso de todos los ter- mómetros digitales comunicados, así como de la documentación técnica adicional de