Gestão de Redes e Sistemas Distribuídos
SNMPv3 e tendências de gestão na Internet
2004/2005
Teresa MariaVazão
IST/INESC
Contactos:IST/Tagus-Park
Email: [email protected]
Tel: 214233242
Sumário
 Módulo II
• Arquitectura de Gestão SNMP
•
•
•
•
•
•
• SNMPv1; MIB-II; SNMPv2
• SNMPv3
Arquitectura de Gestão OSI/TMN
CORBA como Arquitectura de Gestão
Gestão baseada na WEB
JAVA como Arquitectura de Gestão
Gestão DMTF
Integração de Arquitecturas de Gestão
TMV - 2004
Gestão de Redes e Sistemas Distribuídos
2
Arquitectura de Gestão Internet-SNMPv3
Requisitos
Simplicidade
Base de concepção:
SNMPv2
Segurança execução
das acções de controlo
Arquitectura modular
Diferentes ambientes
operacionais
Modelos de segurança
alternativos
Normalização por partes
TMV - 2004
Gestão de Redes e Sistemas Distribuídos
3
Arquitectura de Gestão Internet-SNMPv3
Configuração remota
Chaves secretas configuradas
remotamente
Arquitectura
Modelos conceptuais
baseados em subsistemas
e interfaces
ESTRUTURADA
Aproximação de desenvolvimento
Documentos
Descrição de cada parte num só
documento (MIB e funções)
Complexidade controlada
Suporte de dispositivos simples
Segurança
Protecção contra ataques de segurança
TMV - 2004
Gestão de Redes e Sistemas Distribuídos
4
Arquitectura de Gestão Internet-SNMPv3
Tipos de ataques de segurança contemplados
Modificação de informação
•Alteração de uma mensagens em trânsito
•Alteração de informação de configuração ou de contabilização de recursos
Disclosure
• Observação de trocas de informação Gestor - Agente
• Observação de um comando de alteração de password
Alteração de sequência
• Duplicação, atraso ou reordenação de mensagens
• Duplicação uma mensagem de reboot
Masquerade
•Realização de operações não permitidas a uma entidade através da
adopção de uma entidade falsa, que tenha privilégios para as executar
TMV - 2004
Gestão de Redes e Sistemas Distribuídos
5
Arquitectura de Gestão Internet-SNMPv3
Tipos de ataques de segurança não contemplados
Negação de serviço
• Evitar a comunicação Gestor - Agente
• Situação análoga à que se verifica quando há falha de comunicação
• Quando ocorre afecta todas as comunicações pelo que deverá ser resolvido
no âmbito geral das comunicações, e não específico da gestão.
Análise de tráfego
• Observação do padrão de tráfego gerado Gestor - Agente
• Padrão de tráfego previsível, pelo que não há vantagem em proteger a sua
observação
TMV - 2004
Gestão de Redes e Sistemas Distribuídos
6
Arquitectura de Gestão Internet-SNMPv3
Princípios fundamentais da arquitectura
Conceito de entidade
• A arquitectura de Gestão SNMP é constituída por um
conjunto de entidades SNMP distribuídas, que cooperam entre
si.
• Cada entidade implementa uma parte da arquitectura SNMP,
podendo funcionar como Agente, Gestor ou ambos em
simultâneo.
Conceito de módulo
• Cada entidade é constituída por um conjunto de módulos que
interagem entre si para providenciar serviços.
• As interacções são modeladas através dum conjunto de
primitivas abstractas e parâmetros.
TMV - 2004
Gestão de Redes e Sistemas Distribuídos
7
Arquitectura de Gestão Internet-SNMPv3
Entidade SNMP
Aplicações
Gerador de
Comandos
Gerador de
Notificações
Proxy
Forwarder
Gerador de
Respostas
Receptor de
Notifcações
Outros
Despacho
Subsistema de
Processamento
de Mensagens
Subsistema de
Segurança
Subsistema de
Controlo de
Acessos
Máquina SNMP
TMV - 2004
Gestão de Redes e Sistemas Distribuídos
8
Arquitectura de Gestão Internet-SNMPv3
Aplicações
Gerador de Comandos
Envia mensagens Get, GetNext,
GetBulk e SetRequest
Processa mensagens Response
recebidas como resposta a pedidos
enviados
Gerador de Notificações
Monitoriza um sistema e gera
Traps ou InformRequest com
base em eventos ou condições
Selecciona o destino das
Notificações, versão do SNMP e
parâmetros de segurança
Proxy Forwarder
Envia mensagens
SNMP
Opcional !!!
Gerador de Respostas
Gerador de Processa mensagens
Get, GetNext, GetBulk e
SetRequest recebidas
Utiliza o Controlo de Acessos e
executa a acção adequada
Envia mensagem Response como
resposta a pedidos recebidos
TMV - 2004
Receptor de Notificações
Espera e recebe Traps ou
InformRequest
Gera uma resposta quando recebe
InformRequest
Gestão de Redes e Sistemas Distribuídos
9
Arquitectura de Gestão Internet-SNMPv3
Despacho
Coordena a transferência de PDUs
entre a rede e as aplicações
Segurança
Serviços de segurança
Ex: autenticação e confidencialidade
Processamento mensagens
Conversão PDUs <-> mensagens
SNMP
TMV - 2004
Controlo de Acesso
Serviços de autorização que uma aplicação
necessita para a verificação de privilégios
Gestão de Redes e Sistemas Distribuídos
10
Arquitectura de Gestão Internet-SNMPv3
Gerador de
Comandos
Despacho
de PDU
Processamento
v2cMP
de
Rede
TMV - 2004
Baseado
em
Utilizador
v3MP
Mensagens
Mapeamento
de Transporte
IPX
Segurança
v1MP
Despacho
de Msg.
UDP
Receptor de
Notifcações
Gerador de
Notificações
Outro
Outro
Outros
Estrutura geral dum Gestor
Gestão de Redes e Sistemas Distribuídos
11
Arquitectura de Gestão Internet-SNMPv3
Manipulação da MIB
Gerador de
Respostas
Despacho
de PDU
Processamento
v2cMP
de
v3MP
Baseado
em
Utilizador
Controlo
de Acessos
Baseado
em
Views
Mensagens
Mapeamento
de Transporte
IPX
Segurança
v1MP
Despacho
de Msg.
UDP
Proxy
Forwarder
Gerador de
Notificações
Outro
Outros
Outro
Outro
Estrutura geral dum Agente
Rede
TMV - 2004
Gestão de Redes e Sistemas Distribuídos
12
Arquitectura de Gestão Internet-SNMPv2
TMV - 2004
Gestão de Redes e Sistemas Distribuídos
16
Arquitectura de Gestão Internet-SNMPv3
RESUMO
TMV - 2004
Gestão de Redes e Sistemas Distribuídos
17
Arquitectura de Gestão Internet-SNMPv3
??
MENSAGEM
CIFRADA
TMV - 2004
Gestão de Redes e Sistemas Distribuídos
18
Arquitectura de Gestão Internet-SNMPv3
TEMPO
ACTUAL
TMV - 2004
Gestão de Redes e Sistemas Distribuídos
Janela de Tempo
t
19
Arquitectura de Gestão Internet-SNMPv2
Mecanismos de segurança
Autenticidade da origem e do conteúdo: ckecksum MD5
• Valor obtido = f (mensagem, chave)
• A mensagem é enviada, a chave é comum à origem e destino,
mas não é enviada
Confidencialidade  Data Encripation Standard (DES)
• Modo Cipher Block Chaining (CBC): o valor de uma parte
da mensagem afecta o valor cifrado da parte restante
Time Stamp:
• Monitorização de sequências fora de ordem
• Definição de intervalo máximo para a resposta
TMV - 2004
Gestão de Redes e Sistemas Distribuídos
20
Arquitectura de Gestão Internet-SNMPv3
Modelo de Controlo de Acessos baseado em VIEWS
• Grupos
•
{ (securityModel, securityName)} utilizados no acesso aos objectos
• Nível de segurança
•
O tipo de acesso de um grupo depende do nível de segurança
associado à mensagem
• acesso RO para mensagens não autenticadas
• Contexto
•
Agregação de objectos em {} de acordo com critérios de acesso
• 2 bridges não SNMP geridas por um Proxy, que mantém a MIB de cada em
contextos distintos.
• MIB views
•
MIB view restringe o acesso de um grupo a determinados objectos
da MIB
• Política de acesso
•
Definição de perfis de acesso.
TMV - 2004
Gestão de Redes e Sistemas Distribuídos
21
Arquitectura de Gestão Internet-Evolução
TMV - 2004
Gestão de Redes e Sistemas Distribuídos
22
Arquitectura de Gestão Internet- Evolução
Causas…
Expansão da Internet
Expansão da
Arquitectura de Gestão
Escalabilidade
Expansão das
tecnologias
Adaptação a novos requisitos
Adaptação às novas tecnologias
TMV - 2004
Gestão de Redes e Sistemas Distribuídos
23
Arquitectura de Gestão Internet - Evolução
Extensão do conceito de Agentes -AgentX
• Normalização
• IETF RFC 2471
• Escalabilidade
• Permite a comunicação entre Agentes SNMP
• Conceitos fundamentais .
• Master Agent
• Comunica com outros agentes (Sub-Agents) e executa as funções
tradicionais do SNMP
• Sub Agent
• Executam tarefas de gestão específicas, contendo as informações
associadas
• AgentX
• Protocolo de comunicação entre Agentes
• O mesmo tipo de operações pedidas ao agente principal é
multiplexado pelos Sub-Agentes, de acordo com a porção
da MIB que cada um destes implementa
TMV - 2004
Gestão de Redes e Sistemas Distribuídos
24
Arquitectura de Gestão Internet - Evolução
Extensão do conceito de Agentes -AgentX
TMV - 2004
Gestão de Redes e Sistemas Distribuídos
25
Arquitectura de Gestão Internet - Evolução
Gestão baseada em políticas activas
• Normalização
• Diferentes visões
• Adaptação a novas necessidades
• Sugiu na área da Segurança
• Posteriormente adaptada para a área de Desempenho e
Configuração
• Muito adequada para o Suporte de Qualidade de Serviço
• Vantagem .
• Configuração de um conjunto alargado de agentes através
duma configuração uniforme
• Útil em redes complexas e/ou com elevado número de
agentes
TMV - 2004
Gestão de Redes e Sistemas Distribuídos
26
Arquitectura de Gestão Internet - Evolução
Policy-based Management – Modelo distribuído
• Imperial College, Londres, M. Sloman
Management applications
User interface
Distributed Management
Application Component
Common management
Policies
Domains
Distributed processing
Distributed object
Communication
TMV - 2004
•Componentes principais
• Conjunto comum de serviços
• Serviços de gestão
• Aplicações de gestão
• Conceitos relevantes
• Políticas
• Entidade que pode alterar o
comportamento do sistema
• Domínio
• Conjunto de entidades que têm
um política comum
Gestão de Redes e Sistemas Distribuídos
27
Arquitectura de Gestão Internet - Evolução
Policy-based Management – Modelo centralizado
• IETF
Policy
Mngt.
Tool
• Principais componentes
• PDP – Policy Decision Point
• PEP –Policy Enforcement Point
• Outros componentes
• Policy Repository
• Policy Management Tool
Repository Access
Protocol
LDAP, SNMP
IETF Framework
PDP
Policy
Repository
Policy Protocol
COPS
PEP
TMV - 2004
Gestão de Redes e Sistemas Distribuídos
28
Arquitectura de Gestão Internet - Evolução
Policy-based Management – Modelo híbrido
(N+1) Policy
Consumer
• Projecto IST (6º Programa Quadro)
(N) Agent-Manager
(N+1) Policy
Consumer
(N) Policy
Consumer
Managed Object
Managed Logic
(N-1) Agent-Manager
(N) Policy
Consumer
Managed Object
Tequilla
•Agent-Manager
• (N) Objectos geridos descrevem
as propriedades de gestão dos da
camada N para a camada N+1
• (N+1) Lógica de Gestão – acede
à informação de gestão dos
objectos geridos da camada N
• Policy Consumer
• (N) Policy Consumer opera
sobre os objectos geridos da
camada N-1
Managed Logic
TMV - 2004
Gestão de Redes e Sistemas Distribuídos
29
Resumo da aula
• SNMPv3
• Conceitos gerais
• Entidade SNMP
• Segurança
• Controlo de acessos
• Tendências de evolução
• AgentX – Comunicação entre agentes
• Gestão baseada em políticas activas
TMV - 2004
Gestão de Redes e Sistemas Distribuídos
30