UNIVERSIDADE FEDERAL DO RIO DE JANEIRO
ESCOLA POLITÉCNICA
DEPARTAMENTO DE ENGENHARIA ELETRÔNICA E DE COMPUTAÇÃO
Gerência de Redes - Simple Network Management Protocol (SNMP)

 

 

 

 

 

 

 

 

 

 

Componentes Básicos

Segundo a normalização proposta na RFC 3410, o SNMP possui 4 componentes básicos, comuns em todas as suas versões:

Dispositivos gerenciados, Gerenciador SNMP, Protocolo de gerenciamento e gerenciador de informação, esses componentes foram absorvidos em 3 componentes, provendo uma estrutura mais simples: Dispositivos gerenciados, Agente e Sistema de Gerenciamento de Redes.

Dispositivos Gerenciados, é um grupo de computadores, switches, roteadores e outros dispositivos de redes, cada um desses dispositivos executa um um sistema conhecido com Agente, responsável pela troca de informação do protocolo de gerenciamento SNMP entre os dispositivos gerenciados e o sistema de gerenciamento de redes (NMS), que executa a função de gerenciador de informação e gerenciador SNMP.

Estrutura de Gerenciamento de Informação (SMI)

A estrutura de gerenciamento de informação define e padroniza a sintaxe e a semântica de escrita da linguagem de dados SNMP, sua estrutura e adaptada do modelo ASN. O SMI é dividido em três partes:

Definição de Modulo: define como serão descritos os módulos de informação

Definição de Objeto: define como serão descritos os objetos gerenciados

Definição de notificação: define com serão descritos as notificações.

Base de dados de gerenciamento de informação (MIB)


A Base de dados de gerenciamento de Informação ou MIB é um conjunto de informações necessárias para monitorar e gerenciar os elementos de rede, é organizada de forma hierárquica seguindo uma topologia do tipo arvore, podem fornecer características mais especificas dos equipamentos gerenciados. As MIB's são construídas baseadas nas estruturas de gerenciamento de informação (SMI).

Protocolos de Operação

Protocolo de operação é responsável pela troca de informações de gerenciamento entre o agente e o sistema de gerenciamento de redes essas mensagens são chamadas de PDU's SNMP, em sua versão mais recente, SNMPv2, totalizam sete unidades de dados de protocolo (PDU)

GetRequest: É uma requisição que parte do sistemas de gerenciamento de redes para o agente, solicitando uma ou mais variáveis da MIB a partir de um identificador de Objeto (OID).

GetNextRequest: É uma requisição que parte do sistemas de gerenciamento de redes para o agente, solicitando um conjunto sequencial de variáveis de uma MIB, realiza um incremento a cada variável solicitada, é capaz de fornecer todas as informações da MIB se o OID enviado for igual a 0.

GetBulkRequest: Versão otimizado do GetNextRequest-PDU é uma chamada de múltiplas iterações do comando GetNextRequest.

SetRequest: É uma requisição que parte do sistemas de gerenciamento de redes para o agente, usado para atribuir um valor a uma variável da MIB.

Response: Envia as respostas ou relatórios de erro dos comandos GetRequest, GetNextRequest, GetBulkRequest, SetRequest e InformRequest do agente para o gerenciador de redes.

InformRequest: E uma notificação de reconhecimento é utilizado para resolver o problema da falta de garantia dos PDU's do tipo Trap.

SNMPv2-Trap: São notificações enviadas dos agentes para o sistema de gerenciamento de redes, afim de informar eventos significativos. Essas mensagens não possuem garantia de entrega pois utiliza-se como serviço de transporte o UDP.

Ameaças de seguranças

As principais ameaças de segurança no contexto do modelo SNMP são:

Alteração de informação: O Invasor intercepta e altera as informações contidas no pacote SNMP, podendo falsificar os valores de objetos.

Masquerade: O Invasor assume a identidade de uma das estações de gerenciamento, obtendo todas as permissões do sistema de gerenciamento de redes, podendo alterar ou obter informações da rede através dos PDU's

Modificação do Fluxo de Mensagens: O Invasor altera o fluxo das mensagens SNMP, direcionando-as para outros dispositivos, podendo causar negação de serviços e inconsistência nos dados da tabela MIB

Divulgação de informação: O malfeitor obtêm informações sigilosas sobre o funcionamento da rede e características dos dispositivos, facilitando outros tipos de ataques futuros.

Negação de Serviço: O malfeitor interrompe o trafego entre o agente e o sistema de gerenciamento de redes, causando indisponibilidade no serviço.

Analise de tráfegos: Através da analise de trafego o malfeitor visualiza o fluxo das mensagens, distinguindo gerenciadores e dispositivos, adquirindo conhecimento para outros tipos de ataques.

Modelo de segurança baseado em usuário (USM)

Utiliza dois algoritmos de HASH o MD5 e o SHA para garantir integridade nos dados SNMP, garantindo que a informação não sera alterada no seu percurso, além disso, prove indiretamente a autenticação da origem de dados. Garantindo a defesa conta ataques do tipo: Masquerade, Alteração de informação, Modificação do Fluxo de Mensagens e Divulgação de informação. Na versão SNMPv3 é permitido a utilização de chaves simétricas ou assimétricas para garantir integridade e autenticidade.

Controle de Acesso baseado em visão (VACM)

É um sistema de controle de acesso que verifica se uma tipo de permissão e valido para um determinado objeto, garantindo que a informação só possa ser alterada por quem prove essa permissão.

 

 

Este trabalho foi totalmente produzido pelos autores que declaram não terem violado os direitos autorais de terceiros, sejam eles pessoas físicas ou jurídicas. Havendo textos, tabelas e figuras transcritos de obras de terceiros com direitos autorais protegidos ou de domínio público tal como idéias e conceitos de terceiros, mesmo que sejam encontrados na Internet, os mesmos estão com os devidos créditos aos autores originais e estão incluídas apenas com o intuito de deixar o trabalho autocontido. O(s) autor(es) tem(êm) ciência dos Artigos 297 a 299 do Código Penal Brasileiro e também que o uso do artifício de copiar/colar texto de outras fontes e outras formas de plágio é um ato ilícito, condenável e passível de punição severa. No contexto da Universidade a punição não precisa se restringir à reprovação na disciplina e pode gerar um processo disciplinar que pode levar o(s) aluno(s) à suspensão;