SNMPv3

1

• SNMPv3
• RFC 2271, 2275, 2273

2
Algoritmo Criptográficos

• SNMPv3 especifica 4 algoritmos
• Data Encription Standard (DES)
• Función Hash Segura MD5
• Función Hash Segura SHA-1
• Mensaje de Autentificación con HMAC

3
Introducción

• Resuelve la falta de seguridad de SNMPv2
• Define un conjunto de capacidades de seguridad
• Define un marco para
• El uso con SNMPv1 y SNMPv2
• Uso nuevas funcionalidades
• Modificaciones y mejoras de seguridad

4
Introducción

• Definición modular de los elementos funcionales y
  de seguridad
• Objetivos
• Uso en los trabajos existentes
• Asegurar los mensajes Set Request
• Arquitectura modular
• Permite en gran rango de entornos operacionales
• Permitir la evolución hacia estándar si no hay
  acuerdo
• Posibilidad de modelos de seguridad alternativos

5
Introducción

• Seguridad contra amenazas de
• Modificación de la información
• Enmascaramiento
• Modificación de la secuencia de mensajes
• Revelación de información
• No asegura
• Denegación de servicios
• Análisis del tráfico

6
Arquitectura

• Conjunto de entidades SNMP interactivas y
  distribuidas
• Cada entidad
• Realiza tareas SNMP
• Puede actuar como gestor, agente o ambos
• Conjunto de módulos que interactuan con otras
  entidades para proporcionar servicios
• Interacciones son conjunto de primitivas y
  parámetros

7
Arquitectura

• Entidades SNMP
• Incluye un único motor SNMP
• Un motor SNMP
• Envia y recibe mensajes
• Autentifica, cifra y descifra los mensajes
• Control de acceso a los objetos administrados
• Estas funciones se ofrecen a una o varias
  aplicaciones que se configuran con el motor SNMP
  para formar una entidad SNMP
• Tanto el motor SNMP como las aplicaciones se
  definen como un conjunto de módulos

8
Arquitectura

• Ventajas
• La función de una entidad depende de los módulos
  que la forma
• La estructura modular permite definir distintas
  versiones de cada módulo.
• Mejorar capacidades sin cambiar de versión
• Estrategias de coexistencia y transición

9
Componentes de una entidad SNMP

• Motor SNMP (snmpEngineID)
• Dispatcher
• Subsistema de procesamiento de mensajes
• Subsistema de seguridad
• Subsistema de control de acceso
• Aplicaciones
• Generador de Comandos
• Contestador de comandos
• Emisor de notificaciones
• Receptor de notificaciones
• Proxy
• Otros

10
Componentes de una entidad SNMP

• Motor SNMP
• Dispatcher
• Permite múltiples versiones de mensajes SNMP
• Interfase de las aplicaciones con la red (PDUs)
• Interfase con el subsistema de procesamiento de
  mensajes
• Envía y recibe mensajes SNMP por la red
• Subsistema de procesamiento de mensajes
• Prepara los mensajes para enviarlos y extrae los
  datos de los mensajes recibidos

11
Componentes de una entidad SNMP

• Motores (snmpEngineID)
• Subsistema de seguridad
• Proporciona servicios de seguridad.
  Autentificación y privacidad
• Contiene múltiples modelos de seguridad
• Subsistema de control de acceso
• Servicios de autorización que puede ser utilizado
  por las aplicaciones

12
Componentes de una entidad SNMP

• Aplicaciones
• Generador de Comandos
• Inicia PDUs SNMP y procesa las respuestas
• Contestador de comandos
• Recibe PDUs SNMP, realiza las operaciones
  definidas en el protocolo, utilizando el control
  de acceso y responde
• Emisor de notificaciones
• Monitoriza el sistema para condiciones o eventos
• Genera Traps e Inform
• Receptor de notificaciones
• Escucha mensajes de notificación y genera
  respuesta a los Inform

13
Componentes de una entidad SNMP

• Aplicaciones
• Generador de Comandos
• Inicia PDUs SNMP y procesa las respuestas
• Contestador de comandos
• Recibe PDUs SNMP, realiza las operaciones
  definidas en el protocolo, utilizando el control
  de acceso y responde
• Emisor de notificaciones
• Monitoriza el sistema para condiciones o eventos
• Genera Traps e Inform
• Receptor de notificaciones
• Escucha mensajes de notificación y genera
  respuesta a los Inform

14
Gestor SNMP

• Aplicaciones
• Generador de comandos
• Get, GetNext, GetBulk,Set
• Emisor de notificaciones
• InformRequest
• Receptor de notificaciones
• InformRequest, Trap

15
Gestor SNMP

• Motor SNMP
• Acepta PDUs de salida de las aplicaciones
• Procesa
• Inserta autentificación y cifrado
• Encapsula la PDU en mensajes de transmisión
• Acepta mensajes SNMP de entrada
• Procesa
• Autentificación y descifrado
• Extrae la PDU del mensaje
• Se pasa a la aplicación SNMP correspondiente

16
Gestor SNMP

• Motor SNMP
• Dispatcher
• Recibe PDU de las aplicaciones
• Tipo de mensaje (SNMPv1, v2 ó v3)
• Pasa al módulo correspondiente del Subsistema de
  Procesamiento de Mensajes (SPM)
• SPM le devuelve el mensaje que el dispatcher
  envía
• Recibe mensajes del nivel de transporte
• Enruta el mensaje al módulo correspondiente del
  SPM
• SPM retorna la PDU incluida en el mensaje
• Pasa la PDU a la aplicación correspondiente.

17
Gestor SNMP

• Motor SNMP
• Subsistema de procesamiento de mensajes
• Encapsula la PDU de salida que recibe del
  dispatcher y las devuelve
• Desencapsula los mensajes de entrada que recibe
  del Dispatcher y devuelve las PDU.
• Subsistema de seguridad
• Realiza autentificación y cifrado
• Recibe las peticiones de SPM tanto PDUs de salida
  como de mensajes de entrada.

18
Agente SNMP

• Aplicaciones
• Contestador de comandos
• Response
• Emisor de notificaciones
• Trap
• Proxy entre aplicaciones

19
Agente SNMP

• Motor SNMP
• Dispatcher
• Subsistema de procesamiento de mensajes
• Subsistema de seguridad
• Subsistema de control de acceso
• Servicios de autorización
• Control de acceso a la MIB

20
Interfases de servicios

• Los servicios entre módulos se definen como
• Primitivas
• Función a ser realizada
• Parámetros
• Datos e Información de control

21
Aplicaciones SNMPv3

• RFC 2273 define los procedimientos de cada tipo
  de aplicación cuando
• Genera una PDU
• Recibe una PDU
• Los procedimientos se definen en términos de
  interacción con el Dispatcher.

22
MIB

• RFC 2273 define tres MIB
• MIB destino de la gestión
• MIB de notificación
• MIB proxy

23
MIB

• MIB destino de la gestión
• Entidades de gestión que pueden ser receptoras de
  mensajes generados por
• el generador de notificaciones
• Proxys
• Información
• Destino
• Parámetros del mensaje SNMP
• Modelo procesamiento, de seguridad, nivel de
  seguridad
• Grupo snmpTargetObject (2 tablas)
• Target Address Table
• Target Parameters Table

24
MIB

• MIB de notificación
• Objetos para la configuración remota de los
  parámetros utilizados para la generación de
  notificaciones
• Grupo snmpNotifyTable (3 tablas)
• snmpNotifiTable
• snmpNotifyFilterProfileTable
• snmpNotifyFilterProfileTable

25
MIB

• MIB proxy
• Objetos para la configuración remota de
  paraámetros utilizados para operaciones de proxy
• Grupo snmpProxyObjectsGroup
• snmpProxyTable

26
Mensaje SNMPv3

• msgVersion
• msgID
• msgMaxSize
• msgFlags
• reportableFlag
• privFlag
• authFlag
• msgSecurityModel
• msgSecurityParameters
• contextEngineID
• contextName
• PDU