Протокол управления сетями SNMP

История развития протокола SNMP. Структура и база управляющей информации. Форматы и имена объектов SNMP MIB. Протокол управления простым роутером и система управления объектами высшего уровня. Отсутствие средств взаимной аутентификации агентов.

Рубрика Программирование, компьютеры и кибернетика
Вид курсовая работа
Язык русский
Дата добавления 29.05.2014
Размер файла 238,9 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Курсовая работа

Протокол управления сетями SNMP

Выполнил

Студент гр. 10 -БАС

Бобрихин З.А.

Проверил

Брянск 2014 г.

СОДЕРЖАНИЕ

ВВЕДЕНИЕ

1.Теоретические основы протокола SNMP

1.1 История развития протокола SNMP

1.2 Основы SNMP управления

1.3 Структура управляющей информации

1.4 Защита в SNMP

2. База управляющей информации (MIB)

2.1 Структура SNMP MIВ

2.2 Форматы и имена объектов SNMP MIB

2.3 Недостатки протокола SNMP

Заключение

Список используемой литературы

ВВЕДЕНИЕ

Начало 1980 года ознаменовалось резким ростом в области применения сетей. Как только компании поняли, что сетевая технология обеспечивает им сокращение расходов и повышение производительности, они начали устанавливать новые и расширять уже существующие сети почти с такой же скоростью, с какой появлялись новые технологии сетей и изделия для них.

Основными проблемами, связанными с увеличением сетей, являются каждодневное управление работой сети и стратегическое планирование роста сети. Характерным является то, что каждая новая технология сети требует свою собственную группу экспертов для ее работы и поддержки. В начале 1980гг. стратегическое планирование роста этих сетей превратилось в какой-то кошмар. Одни только требования к числу персонала для управления крупными гетерогенными сетями привели многие организации на грань кризиса. Насущной необходимостью стало автоматизированное управление сетями (включая то, что обычно называется "планированием возможностей сети"), интегрированное по всем различным окружениям.

SNMP (англ. Simple Network Management Protocol -- простой протокол сетевого управления) -- стандартный интернет-протокол для управления устройствами в IP-сетях на основе архитектур UDP/TCP. К поддерживающим SNMP устройствам относятся маршрутизаторы, коммутаторы, серверы, рабочие станции, принтеры, модемные стойки и другие. Протокол обычно используется в системах сетевого управления для контроля, подключенных к сети устройств на предмет условий, которые требуют внимания администратора. SNMP определен Инженерным советом интернета (IETF) как компонент TCP/IP. Он состоит из набора стандартов для сетевого управления, включая протокол прикладного уровня, схему баз данных и набор объектов данных.

SNMP это простой протокол, основанный на запросах и откликах, предназначенный для обмена между SNMP менеджером и SNMP агентом. Информационная база данных управления (MIB) определяет переменные, которые обслуживаются агентом, которые, в свою очередь, менеджер может либо запросить, либо установить. Для определения переменных используется ограниченное количество типов данных.

Все переменные идентифицируются идентификаторами объекта, используется иерархическая схема присвоения имен, которая состоит из длинных строк чисел, которые обычно сокращаются в простые имена, для простоты чтения. Конкретные переменные строятся с помощью добавления переменной к идентификатору объекта.

Большинство SNMP переменных содержится в таблицах, с фиксированными номерами колонок, однако с переменными номерами строк. Фундаментальным для SNMP является схема идентификации, используемая для того, чтобы идентифицировать каждую строку в таблице (в том случае, когда мы не знаем, сколько строк содержится в таблице), и лексикографический порядок (порядок колонка-строка). SNMP оператор get-next является основным для любого SNMP менеджера.

1.Теоретические основы протокола SNMP

1.1 История развития протокола SNMP

В создание протокола SNMP внесли свой вклад разработки по трем направлениям:

1. High-level Entity Management System (HEMS)

Система управления объектами высшего уровня. Определяет систему управления с рядом интересных технических характеристик. К сожалению, HEMS использовалась только в местах ее разработки, что в конечном итоге привело к прекращению ее действия.

2. Simple Gateway Monitoring Protocol (SGMP)

Протокол управления простым роутером. Разработка была начата группой сетевых инженеров для решения проблем, связанных с управлением быстрорастущей Internet; результатом их усилий стал протокол, предназначенный для управления роутерами Internet. SGMP был реализован во многих региональных ветвях Internet.

3. CMIP over TCP (CMOT)

CMIP над ТСР. Пропагандирует сетевое управление, базирующееся на OSI, в частности, применение Common Management Information Protocol (CMIP) (Протокол информации общего управления) для облегчения управления объединенных сетей, базирующихся на ТСР [3].

Достоинства и недостатки этих трех методов (HEMS, SGMP и CMOT) часто и горячо обсуждались в течение второй половины 1987 г. К началу 1988 года стало ясно, что необходим некоторый общий набор средств управления сетевыми устройствами различных производителей, которые до сих пор создавали собственные продукты мониторинга и конфигурирования для своих же сетевых устройств, поддерживающие уникальные механизмы взаимодействия с ними.

После многих заседаний IAB (Internet Architecture Board, Группа, ответственная за техническую разработку протоколов Интернет) опубликовал в апреле 1988 года эпохальный RFC 1052: IAB Recommendations for the Development of Internet Network Management Standards, в котором призвал к скорейшему созданию элементов Простого Сетевого Управления (Simple Network Management). Были организованы две рабочие группы.

Одна группа стала заниматься спецификацией и разработкой элементов Информационной Базы Управления - MIB (Management Information Base). В дальнейшем работа по этому направлению вылилась в создание Структуры Управления Объектами - SMI (Structure for Management Information).

Другая группа, занимавшаяся развитием протокола управления, пришла к соглашению, что временным решением проблемы управления может стать улучшенная версия SGMP, которая позже была названа SNMP. Для долгосрочного применения, после глубоких и обстоятельных доработок, должна была использоваться одна из технологий, базирующихся на OSI (либо CMOT, либо сам CMIP) [6].

Кроме того, было решено во всех системах управления сетями использовать спецификацию ASN.1 (Abstract Syntax Notation One, Спецификация синтаксиса номер один), которая является чем-то вроде универсального языка (наподобие эсперанто) для представления форматов структур управления. Эта спецификация в настоящее время используется для описания структур и элементов MIB.

В августе 1988 появились три основополагающих документа:

- RFC 1065: Structure and Identification of Management Information for TCP/IP-based internets.

- RFC 1066: Management Information Base for Network Management of TCP/IP-based internets.

- RFC 1067: A Simple Network Management Protocol.

Впоследствии эти документы были переизданы и дополнены до определения следующего поколения SNMP: RFC 1155, 1156 и 1157, которые в свою очередь, также подверглись переработкам.

В конце концов, в мае 1991 года была закончена работа по созданию первой версии протокола SNMP, которая нашла свое отражение в своде следующих документов:

1. RFC 1155: (SIM) Structure and Identification of Management Information for TCP/IP-based internets (Май, 1990)

- Определяет структуру управляющей информации в виде глобального дерева.

- Представляет синтаксис определения имен переменных управления.

2. RFC 1212: (MIB) Concise MIB (Management Information Base) Definitions (Март, 1991)

- Дополняет RFC 1155 в части синтаксиса определения имен переменных.

3. RFC 1213: (MIB-II) Management Information Base for Network Management of TCP/IP-based internets: MIB-II (Март, 1991)

- Содержит список более ста наиболее необходимых переменных, отвечающих за конфигурацию, статус и статистику систем, входящих в TCP/IP сеть.

4. RFC 1157: (SNMP) A Simple Network Management Protocol (Май, 1990)

- Определяет сообщения, которыми обмениваются управляющая станция и объект управления для получения и обновления значения переменных.

- Определяет trap(alarm)-сообщения, посылаемые системой при значительных изменениях в ее конфигурации [3].

Сегодня SNMP является самым популярным протоколом управления различными коммерческими, университетскими и исследовательскими объединенными сетями. Деятельность по стандартизации, связанная с SNMP, продолжается по мере того, как поставщики разрабатывают и выпускают современные прикладные программы управления, базирующиеся на SNMP. SNMP относительно простой протокол, однако набор его характеристик является достаточно мощным для решения трудных проблем, возникающих при управлении гетерогенных сетей [4].

1.2 Основы SNMP управления

SNMP определяет всего пять типов сообщений, которыми обмениваются менеджер и клиент.

Получить значение одной или нескольких переменных: оператор get-request. Получить следующую переменную после этой или несколько указанных переменных: оператор get-next-request. (Мы опишем то, что имеем в виду под словом "следующий" позже в этой главе.) Установить значение одной или нескольких переменных: оператор set-request. Выдать значение одной или нескольких переменных: оператор get-response. Это сообщение возвращается агентом менеджеру в ответ на операторы get-request, get-next-request и set-request. Уведомить менеджера, когда что-либо произошло с агентом: оператор trap.

Первые три сообщения отправляются от менеджера к агенту, а последние два от агента к менеджеру. (Мы будем называть первые три оператора как get, get-next и set.) На рисунке 1 приведены все пять операторов.

Так как четыре из пяти SNMP сообщений реализуются простой последовательностью запрос-отклик (менеджер отправляет запрос, а агент возвращает отклик), SNMP используют UDP. Это означает, что запрос от менеджера может не прибыть к агенту, а отклик от агента может не прибыть к менеджеру. В этом случае менеджер, возможно, отработает тайм-аут и осуществит повторную передачу.

Рисунок 1. Пять операторов SNMP.

Менеджер отправляет эти три запроса на UDP порт 161. Агент отправляет ловушки (trap) на UDP порт 162. Так как используются два разных порта, одна система может выступать в роли менеджера и агента одновременно.

На рисунке 2 показан формат пяти SNMP сообщений, инкапсулированных в UDP датаграмму.

Рисунок 2. Формат пяти SNMP сообщений.

Значение поля version равно 0. Это значение в действительности равно номеру версии минус единица [5].

На рисунке 3 показано значение для типа блока данных протокола (PDU type). (PDU - это блок данных протокола - Protocol Data Unit, обычно называемый "пакет".)

PDU type

Имя

0

get-request

1

get-next-request

2

set-request

3

get-response

4

trap

Рисунок 3. Типы PDU сообщений SNMP.

Сообщество (community) это строка символов, в которой содержится пароль в открытом виде. Пароль используется при общении между менеджером и агентом. Обычное значение - 6-символьная строка public.

В операторах get, get-next и set менеджер устанавливает идентификатор запроса (request ID), который возвращается агентом в сообщении get-response. Мы видели этот тип переменной в других UDP приложениях. Это позволяет клиенту (менеджеру в данном случае) сопоставить отклики от сервера (агент) с запросами, которые были отправлены клиентом. Это поле также позволяет менеджеру выдать несколько запросов одному или нескольким агентам, а затем отсортировать полученные отклики [1].

Статус ошибки (error status) это целое число, которое возвращается агентам и указывает на ошибку. На рисунке 4 показаны значения, имена и описания ошибок.

статус ошибки

Имя

Описание

0

noError

все в порядке

1

tooBig

клиент не может поместить отклик в одно SNMP сообщение

2

noSuchName

оператор указывает на несуществующую переменную

3

badValue

в операции установки использовано недопустимое значение или сделана ошибка в синтаксисе

4

readOnly

менеджер попытался изменить переменную, которая помечена как "только для чтения"

5

genErr

неопознанная ошибка

Рисунок 4. Значения статуса ошибки SNMP.

Если возникла ошибка, индекс ошибки (error index) это целое смещение, указывающее на то, в какой переменной произошла ошибка. Это значение устанавливается агентом только для ошибок noSuchName (нет такого имени), badValue (неверное значение) и readOnly (только для чтения).

Список имен переменных и значений следует в get, get-next и set запросах. Раздел значений игнорируется в операторах get и get-next.

Для оператора trap (PDU type равен 4) формат SNMP сообщения изменяется.

1.3 Структура управляющей информации

SNMP использует небольшое количество различных типов данных. В этой главе мы рассмотрим эти типы, однако не будем рассматривать то, как эти данные в действительности кодируются (для хранения данных используются битовые шаблоны) [4].

INTEGER (целое число). Некоторые переменные объявляются как целые без ограничений (например, MTU для интерфейса), некоторые определены с конкретными значениями (например, флаг IP о перенаправлении установлен в 1, если перенаправление включено, или в 2, если перенаправление выключено), а другие определены с их минимальными и максимальными значениями (например, номера портов TCP и UDP находятся в диапазоне от 0 до 65535).

OCTET STRING (восьмеричная строка). Строка из 0 или нескольких 8-битных байт. Каждый байт имеет значение от 0 до 255. В кодировании BER, используемом для этих типов данных и для следующего, счетчик количества байт в строке находится перед самой строкой. Эти строки не заканчиваются нулевыми значениями.

DisplayString. Строка из 0 или нескольких 8-битных байт, причем каждый байт должен быть символом из набора ASCII NVT (глава 26, раздел "Протокол Telnet"). Все переменные этого типа в MIB-II должны содержать не больше чем 255 символов. (Строка нулевой длины допустима.)

OBJECT IDENTIFIER (идентификатор объекта). Мы опишем их в следующем разделе.

NULL (ноль). Означает, что у соответствующей переменной нет значения. Используется, например, в качестве всех значений для переменных в запросах get или get-next, пока эти переменные запрашиваются, а не устанавливаются.

IpAddress (IP адрес). OCTET STRING (восьмеричная строка) длиной 4, с 1 байтом на каждый байт IP адреса.

PhysAddress (физический адрес). OCTET STRING (восьмеричная строка), содержит физический адрес (например, 6-байтный Ethernet адрес).

Counter (счетчик). Неотрицательное целое число, значение которого увеличивается монотонно от 0 до значения 232-1 (4.294.967.295) и затем вновь возвращается в 0 [2].

Gauge (критерий). Неотрицательное целое число в диапазоне от 0 до 232-1, значение которого может увеличиваться или уменьшаться, однако изменения прекращаются по достижении максимального значения. Это означает, что если значение достигнет величины 232-1, критерий будет оставаться в этом значении до тех пор, пока не будет сброшен. Примером может служить переменная MIB tcpCurrEstab: это количество TCP соединений, находящихся в настоящий момент в состоянии ESTABLISHED (установлено) или CLOSE_WAIT (ожидание закрытия).

TimeTicks (тики времени). Счетчик, который считает время в сотых долях секунды с какой-либо исходной точки. Различные переменные могут указывать начало счета с различных исходных точек, исходная точка используемая для каждой переменной этого типа и указывается, когда переменная объявляется в MIB. Например, переменная sysUpTime это количество сотых долей секунды, в течение которых агент был включен.

SEQUENCE (последовательность). Напоминает структуру в языке программирования С. Например, мы рассмотрим, как в MIB определяется последовательность (SEQUENCE), которая называется UdpEntry и которая содержит информацию об активности конечных точек UDP агента. (Под словом "активность" мы подразумеваем порты, которые используются в настоящее время приложением.) В этой структуре есть две записи:

- udpLocalAddress, типа IpAddress, содержащая локальный IP адрес.

- udpLocalPort, типа INTEGER, в диапазоне от 0 до 65535, которая содержит локальный номер порта.

SEQUENCE OF (последовательность чего). Это определение вектора со всеми элементами, которые имеют тот же самый тип данных. Если каждый элемент имеет простой тип данных, такой как целое, мы имеем простой вектор (одномерный массив). Однако мы увидим, что SNMP использует эти типы данных с каждым элементом вектора, который является последовательностью (SEQUENCE) (структура). Поэтому мы можем считать их двумерными массивами или таблицей. Например, таблица слушающих процессов (listener) UDP называется udpTable, и является последовательностью (SEQUENCE OF) 2-элементной структуры (SEQUENCE) UdpEntry, которую мы только что описали. На рисунке 5 показан двумерный массив [5].

Рисунок 5. Таблица listener UDP (udpTable), которая представлена как двумерный массив SNMP.

1.4 Защита в SNMP

Одно из самых слабых (и критикуемых) мест SNMP -- реализация защиты. Так, станция управления может не только узнать практически все о находящихся в сфере ее контроля узлах, но и остановить их. Поэтому агенты должны быть уверены, что полученный ими запрос действительно исходит от станции управления.

В SNMPv1 простейшая идентификация отправителя осуществляется посредством включения в сообщения имени группы (community name), причем имя передается открытым текстом. После проверки имени группы агент или менеджер проверяет наличие у отправителя с данным адресом прав на выполнение запрошенной операции. Таким образом, проверка прав осуществляется на основании имени группы и адреса отправителя [6].

В SNMPv2 сделана попытка укрепить защиту SNMP за счет использования современных криптографических методов, в частности DES. Однако это еще более усложнило протокол. Кроме того, в такой реализации SNMPv2 оказался обратно несовместим с SNMPv1.

2. База управляющей информации (MIB)

2.1 Структура SNMP MIВ

На сегодня существует несколько стандартов на базы данных управляющей информации для протокола SNMP. Основными являются стандарты MIB-I и MIB-II, а также версия базы данных для удаленного управления RMON MIB. Кроме этого существуют стандарты для специальных устройств MIB конкретного типа (например, MIB для концентраторов или MIB для модемов), а также частные MIB конкретных фирм-производителей оборудования.

Первоначальная спецификация MIB-I определяла только операции чтения значений переменных. Операции изменения или установки значений объекта являются частью спецификаций MIB-II [1].

Версия MIB-I (RFC 1156) определяет 114 объектов, которые подразделяются на 8 групп.

- System -- общие данные об устройстве (например, идентификатор поставщика, время последней инициализации системы).

- Interfaces -- параметры сетевых интерфейсов устройства (например, их количество, типы, скорости обмена, максимальный размер пакета).

- Address Translation Table -- описание соответствия между сетевыми и физическими адресами (например, по протоколу ARP).

- Internet Protocol -- данные, относящиеся к протоколу IP (адреса IP-шлюзов, хостов, статистика о IP-пакетах).

- ICMP -- данные, относящиеся к протоколу обмена управляющими сообщениями ICMP.

- TCP -- данные, относящиеся к протоколу TCP.

- UDP -- данные, относящиеся к протоколу UDP (число переданных, принятых и ошибочных UPD-дейтаграмм).

- EGP -- данные, относящиеся к протоколу обмена маршрутной информацией Exterior Gateway Protocol, используемому в Internet (число принятых с ошибками и без ошибок сообщений).

Из этого перечня групп переменных видно, что стандарт MIB-I разрабатывался с жесткой ориентацией на управление маршрутизаторами, поддерживающими протоколы стека TCP/IP.

В версии MIB-II (RFC 1213), принятой в 1992 году, был существенно (до 185) расширен набор стандартных объектов, а число групп увеличилось до 10 [2].

На рис. 6 приведен пример древовидной структуры базы объектов MIB-II. На нем показаны две из 10 возможных групп объектов -- System (имена объектов начинаются с префикса Sys) иInterfaces (префикс if). Объект SysUpTime содержит значение продолжительности времени работы системы с момента последней перезагрузки, объект SysObjectID -- идентификатор устройства (например, маршрутизатора).

Рис. 6. Стандартное дерево MIB-II (фрагмент)

Объект ifNumber определяет количество сетевых интерфейсов устройства, а объект ifEntry является вершиной поддерева, описывающего один из конкретных интерфейсов устройства. Входящие в это поддерево объекты ifType и ifAdminStatus определяют соответственно тип и состояние одного из интерфейсов, в данном случае интерфейса Ethernet.

В число объектов, описывающих каждый конкретный интерфейс устройства, включены следующие [3]:

- ifType- Тип протокола, который поддерживает интерфейс. Этот объект принимает значения всех стандартных протоколов канального уровня, например rfc877-x25, ethernet-csmacd, iso88023-csmacd, iso88024-tokenBus, iso88025-tokenRing и т. д.

- ifMtu- Максимальный размер пакета сетевого уровня, который можно послать через этот интерфейс.

- ifSpeed- Пропускная способность интерфейса в битах в секунду (100 для Fast Ethernet).

- ifPhysAddress- Физический адрес порта, для Fast Ethernet им будет МАС-адрес.

- ifAdminStatus

Желаемый статус порта:

up -- готов передавать пакеты;

down -- не готов передавать пакеты;

testing -- находится в тестовом режиме.

- ifOperStatus- Фактический текущий статус порта, имеет те же значения, что и ifAdminStatus.

- ifInOctets- Общее количество байт, принятое данным портом, включая служебные, с момента последней инициализации SNMP-агента.

- ifInUcastPkts- Количество пакетов с индивидуальным адресом интерфейса, доставленных протоколу верхнего уровня.

- ifInNUcastPkts- Количество пакетов с широковещательным или мультивещательным адресом интерфейса, доставленных протоколу верхнего уровня.

- ifInDiscards- Количество пакетов, которые были приняты интерфейсом, оказались корректными, но не были доставлены протоколу верхнего уровня, скорее всего из-за переполнения буфера пакетов или же по иной причине.

- ifInErrors- Количество пришедших пакетов, которые не были переданы протоколу верхнего уровня из-за обнаружения в них ошибок.

Кроме объектов, описывающих статистику по входным пакетам, имеются аналогичные объекты, но относящиеся к выходным пакетам. Как видно из описания объектов MIB-II, эта база данных не дает детальной статистики по характерным ошибкам кадров Ethernet, кроме этого, она не отражает изменение характеристик во времени, что часто интересует сетевого администратора [5].

Эти ограничения были впоследствии сняты новым стандартом на MIB -- RMON MIB, который специально ориентирован на сбор детальной статистики по протоколу Ethernet, к тому же с поддержкой такой важной функции, как построение агентом зависимостей статистических характеристик от времени.

2.2 Форматы и имена объектов SNMP MIB

Для именования переменных базы MIB и однозначного определения их форматов используется дополнительная спецификация, называемая SMI -- Structure of Management Information. Например, спецификация SMI включает в качестве стандартного имя IpAddress и определяет его формат как строку из 4 байт. Другой пример -- имя Counter, для которого определен формат в виде целого числа в диапазоне от 0 до 232-1.

При описании переменных MIB и форматов протокола SNMP спецификация SMI опирается на формальный язык ASN.1, принятый ISO в качестве нотации для описания терминов коммуникационных протоколов (правда, многие коммуникационные протоколы, например IP, PPP или Ethernet, обходятся без этой нотации). Нотация ASN.1 служит для установления однозначного соответствия между терминами, взятыми из стандартов, предназначенных для человеческого использования, и теми данными, которые передаются в коммуникационных протоколах аппаратурой. Достигаемая однозначность очень важна для гетерогенной среды, характерной для корпоративных сетей. Так, вместо того чтобы указать, что некоторая переменная протокола представляет собой целое число, разработчик протокола, использующий нотацию ASN.1, должен точно определить формат и допустимый диапазон переменной. В результате документация на MIB, написанная с помощью нотации ASN.1, может точно и механически транслироваться в форму кодов, характерных для сообщений протоколов [3].

Нотация ASN.1 похожа на другие метаязыки, например нормальную Бэкусову форму, используемую при описании языков программирования, в частности Алгола. Нотация ASN.1 поддерживает базовый набор различных типов данных, таких как целое число, строка и т. п., а также позволяет конструировать из этих базовых типов составные данные -- массивы, перечисления, структуры.

Существуют правила трансляции структур данных, описанных на ASN.1, в структуры данных языков программирования, например C++. Соответственно, имеются трансляторы, выполняющие эту работу. Примеры описаний данных с помощью ASN.1 приведены ниже при описании протокольных блоков данных SNMP. Нотация ASN.1 широко используется при описании многих стандартов OSI, в частности моделей управляемых объектов и структуры сообщений протокола CMIP [1].

Имена переменных MIB могут быть записаны как в символьном, так и в числовом форматах. Символьный формат используется для представления переменных в текстовых документах и на экране дисплея, а числовые имена -- в сообщениях протокола SNMP. Например, символьному имени SysDescr соответствует числовое имя 1, а более точно 1.3.6.1.2.1.1.1.
Составное числовое имя объекта SNMP MIB соответствует полному имени этого объекта в дереве регистрации объектов стандартизации ISO. Разработчики протокола SNMP не стали использовать традиционный для стандартов Internet способ фиксации численных параметров протокола в специальном RFC, называемом «Assigned Numbers» (там описываются, например, численные значения, которые может принимать поле Protocol пакета IP, и т. п.). Вместо этого они зарегистрировали объекты баз MIB SNMP во всемирном дереве регистрации стандартов ISO, показанном на рис. 7.

Рис. 7. Пространство имен объектов ISO

Как и в любых сложных системах, пространство имен объектов ISO имеет древовидную иерархическую структуру, причем на рис. 6 показана только его верхняя часть. От корня этого дерева отходят три ветви соответствующие стандартам, контролируемым ISO, ITU и совместно ISO-ITU. В свою очередь, организация ISO создала ветвь для стандартов, создаваемых национальными и международными организациями (ветвь org). Стандарты Internet создавались под эгидой Министерства обороны США (Departament of Defence, DoD), поэтому стандарты MIB попали в поддеревоdod-internet, а далее, естественно, в группу стандартов управления сетью -- ветвь mgmt. Объекты любых стандартов, создаваемых под эгидой ISO, однозначно идентифицируются составными символьными именами, начинающимися от корня этого дерева. В сообщениях протоколов символьные имена не используются, а применяются однозначно соответствующие им составные числовые имена. Каждая ветвь дерева имен объектов нумеруется в дереве целыми числами слева направо, начиная с единицы, и эти числа и заменяют символьные имена. Поэтому полное символьное имя объекта MIB имеет вид: iso.org.dod.internet.mgmt.mib, a полное числовое имя: 1.3.6.1.2.1.

Группа объектов private (4) зарезервирована за стандартами, создаваемыми частными компаниями, например Cisco, Hewlett-Packard и т. п. Это же дерево регистрации используется для именования классов объектов CMIP и TMN [4].

Соответственно, каждая группа объектов MIB-I и MIB-II также имеет кроме кратких символьных имен, приведенных выше, полные символьные имена и соответствующие им числовые имена. Например, краткое символьное имя группы System имеет полную форму iso.org.dod.internet.mgmt.mib.system, а ее соответствующее числовое имя -- 1.3.6.1.2.1. Часть дерева имен ISO, включающая группы объектов MIB, показана на рис. 8.

Рис. 8. Часть дерева имен ISO, включающая группы объектов MIB-I

2.3 Недостатки протокола SNMP

протокол управляющий информация аутентификация

Протокол SNMP служит основой многих систем управления, хотя имеет несколько принципиальных недостатков, которые перечислены ниже.

Отсутствие средств взаимной аутентификации агентов и менеджеров. Единственным средством, которое можно было бы отнести к средствам аутентификации, является использование в сообщениях так называемой «строки сообщества» -- «community string». Эта строка передается по сети в открытой форме в сообщении SNMP и служит основой для деления агентов и менеджеров на «сообщества», так что агент взаимодействует только с теми менеджерами, которые указывают в поле community string ту же символьную строку, что и строка, хранящаяся в памяти агента. Это, безусловно, не способ аутентификации, а способ структурирования агентов и менеджеров. Версия SNMP v.2 должна была ликвидировать этот недостаток, но в результате разногласий между разработчиками стандарта новые средства аутентификации хотя и появились в этой версии, но как необязательные [1].

Работа через ненадежный протокол UDP (а именно так работает подавляющее большинство реализаций агентов SNMP) приводит к потерям аварийных сообщений (сообщений trap) от агентов к менеджерам, что может привести к некачественному управлению. Исправление ситуации путем перехода на надежный транспортный протокол с установлением соединений чревато потерей связи с огромным количеством встроенных агентов SNMP, имеющихся в установленном в сетях оборудовании. (Протокол CMIP изначально работает поверх надежного транспорта стека OSI и этим недостатком не страдает.) Разработчики платформ управления стараются преодолеть эти недостатки. Например, в платформе HP OV Telecom DM TMN, являющейся платформой для разработки многоуровневых систем управления в соответствии со стандартами TMN и ISO, работает новая реализация SNMP, организующая надежный обмен сообщениями между агентами и менеджерами за счет самостоятельной организации повторных передач сообщений SNMP при их потерях [2].

Заключение

Протокол SNMP (Simple Network Management Protocol) предназначен для облегчения работы администратора по управлению устройствами сети. Однако огромной проблемой протокола SNMP версии 1 (SNMPvl) всегда была абсолютная незащищенность узла, на котором работали средства поддержки этого протокола. В исходной версии использовался только один механизм обеспечения безопасности, основанный на использовании специальных паролей, называемых строками доступа (community string). В ответ на жалобы о наличии слабых мест в системе обеспечения безопасности была быстро разработана значительно улучшенная версия SNMP (SNMFV2). В этой версии для аутентификации сообщений, передаваемых между серверами и клиентами SNMP, используется алгоритм хэширования MD5. Это позволяет обеспечить как целостность пересылаемых данных, так и возможность проверки их подлинности. Кроме того, SNMPv2 допускает шифрование передаваемых данных. Это ограничивает возможности злоумышленников по прослушиванию трафика сети и получению строк доступа. Однако в то же время ничто не мешает администраторам использовать на маршрутизаторах простейшие пароли.

Третья версия протокола SNMP (SNMPv3) является текущим стандартом и позволяет достичь необходимого уровня безопасности устройств, но его принятие, по-видимому, затянется на довольно длительное время. Достаточно изучить типичную сеть, чтобы убедиться в том, что большинство устройств работает под управлением даже не SNMPv2, a SNMPvl. Однако ни одна из версий протокола SNMP не ограничивает возможности использования администраторами строк доступа, предлагаемых разработчиками. Как правило, для них устанавливаются легко угадываемые пароли, которые хорошо известны всем, кто хоть немного интересуется подобными вопросами.

Еще хуже то, что во многих организациях протокол SNMP практически не учитывается в реализуемой политике безопасности. Возможно, это происходит из-за того, что протокол SNMP работает поверх UDP (который, как правило, отсутствует в стеке протоколов), или потому, что о его возможностях известно лишь немногим администраторам. В любом случае необходимо констатировать, что вопросы обеспечения безопасности при использовании протокола SNMP часто ускользают из поля зрения, что нередко дает возможность взломщикам проникнуть в сеть.

Однако перед тем, как перейти к подробному рассмотрению изъянов протокола SNMP, давайте кратко познакомимся с основными понятиями, которые с ним связаны. Строки доступа могут быть одного из двух типов -- позволяющие только чтение (тип read) и позволяющие как чтение, так и запись (read/write). При использовании строк доступа SNMP, позволяющих только чтение, можно лишь просматривать сведения о конфигурации устройства, такие как описание системы, TCP- и UDP-соединения, сетевые адаптеры и т.д. Строки доступа, предоставляющие права чтения и записи, обеспечивают администратору (и, конечно, злоумышленнику) возможность записывать информацию в устройство. Например, с использованием всего одной команды SNMP администратор может изменить контактную системную информацию, snmpset 10.12.45.2 private .1.3.6.1.2.1.1 s Smith

Список используемой литературы

1. Новиков Ю.В., Кондратенко С.В.- Локальные сети: архитектура, алгоритмы, проектирование. М.: Издательство ЭКОМ, 2012.- 312 с.

2. Олифер В.Г., Олифер Н.А..- Компьютерные сети и системы. Принципы, технологии, протоколы., СПб.: Питер, 2013.- 672 с.:ил.

3. Шмидт, Дуглас Кевин Дж., Мауро Р. - Основы SNMP, 2-е издание, Символ-Плюс , 2012.-520 с.

4. http://ru.wikipedia.org/wiki/SNMP

5. http://www.citforum.ru/nets/lvs/glava_7.shtml

6. http://www.citforum.ru/nets/ito/32.shtml

Размещено на Allbest.ru


Подобные документы

  • Общие понятия, задачи и характеристика компьютерной сети TMN: технология управления, состав и назначение основных элементов, функциональные возможности, архитектура. Реализация управления в модели ВОС. Сравнительная характеристика протоколов SNMP и CMIP.

    курсовая работа [1,1 M], добавлен 18.03.2011

  • Правила настройки параметров разрешений и общих строк протокола SNMP в целях предотвращения несанкционированного доступа к информации. Требования к обработке ошибок на уровне сервера. Шифрование личных данных, архивация и восстановление приложений.

    курсовая работа [1,0 M], добавлен 13.11.2011

  • Сущность и значение мониторинга и анализа локальных сетей как контроля работоспособности. Классификация средств мониторинга и анализа, сбор первичных данных о работе сети: анализаторы протоколов и сетей. Протокол SNMP: отличия, безопасность, недостатки.

    контрольная работа [474,8 K], добавлен 07.12.2010

  • Определение IP-протокола, передающего пакеты между сетями без установления соединений. Структура заголовка IP-пакета. Инициализация TCP-соединения, его этапы. Реализация IP на маршрутизаторе. Протокол надежной доставки сообщений ТСР, его сегменты.

    контрольная работа [86,1 K], добавлен 09.11.2014

  • Описание основных типов станций протокола HDLC. Нормальный, асинхронный и сбалансированный режимы работы станции в состоянии передачи информации. Методы управления потоком данных. Формат и содержание информационного и управляющего полей протокола HDLC.

    лабораторная работа [77,1 K], добавлен 02.10.2013

  • Создание автоматизированной системы мониторинга состояния аппаратных средств компьютерных сетей на основе протокола SNMP в среде программирования С++Builder. Описание реляционной базы данных и ее визуальное представление. Разработка диаграммы классов.

    отчет по практике [2,2 M], добавлен 05.01.2016

  • Аутентификация в Windows 2000. Преимущества аутентификации по протоколу Kerberos. Стандарты аутентификации по протоколу Kerberos. Расширения протокола и его обзор. Управление ключами, сеансовые билеты. Аутентификация за пределами домена, подпротоколы.

    курсовая работа [369,2 K], добавлен 17.12.2010

  • Внедрение первой сети с децентрализованным управлением на основе протокола NCP - ARPANET. История появления и развития Internet: спецификация протокола управления передачей данных TCP/IP, создание локальных сетей. Роль всемирной сети в телемедицине.

    реферат [21,4 K], добавлен 04.12.2010

  • Протокол динамического распределения адресов DHCP (Dynamic Host Configuration Protocol). Конфигурационные параметры, взаимодействие клиента и сервера при выделении сетевого адреса. Internet/intranet - технологический базис новых методов управления.

    контрольная работа [825,5 K], добавлен 09.06.2010

  • История сети Internet. Из чего состоит Internet? Протоколы сети Internet. Сети с коммутацией пакетов. Межсетевой протокол (IP). Протокол управления передачей (ТСР). Доменная система имён. Правовые нормы. Сетевая этика. Соображения безопасности.

    реферат [129,3 K], добавлен 23.11.2006

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.