Retele de calculatoare Curs 7 Simple Network Management

  • Slides: 28
Download presentation
Retele de calculatoare Curs 7 Simple Network Management Protocol SNMP

Retele de calculatoare Curs 7 Simple Network Management Protocol SNMP

Cuprins • • Securitatea informaţiei în SNMP Concepte de bază Arhitectura SNMP Procesarea mesajelor

Cuprins • • Securitatea informaţiei în SNMP Concepte de bază Arhitectura SNMP Procesarea mesajelor şi modelul de securitate • Controlul accesului la MIB – Management Information Base

Securitatea datelor in retele TCP/IP 1/3 Localizarea elementelor de securitate

Securitatea datelor in retele TCP/IP 1/3 Localizarea elementelor de securitate

Securitatea informaţiei în SNMP 2/3 SNMP: § cel mai utilizat protocol pentru managementul reţelelor

Securitatea informaţiei în SNMP 2/3 SNMP: § cel mai utilizat protocol pentru managementul reţelelor bazate pe TCP/IP § defineşte protocol pentru schimbul de informaţii de management § defineste formatul pentru reprezentarea acestor informaţii § definestemodul de organizare a sistemelor distribuite în staţii de management şi agenţi supuşi managementului § sunt definite, ca parte a SNMP, structuri de baze de date, numite Management Information Bases (MIB) § MIB specifică obiectele administrate pentru cele mai uzuale aspecte ale managementului reţelelor, incluzând: punţi, rutere, reţele locale § SNMPv 1 si SNMPv 2 nu dispun de implementările de securitate, în special în domeniul autentificării şi confidenţialităţii, necesare pentru a putea folosi integral facilităţile SNMP § setul de RFC-uri cunoscut sub numele de SNMPv 3 corectează această deficienţă

Securitatea informaţiei în SNMP 3/3 Arhitectura SNMP

Securitatea informaţiei în SNMP 3/3 Arhitectura SNMP

Concepte de bază Tipuri de sisteme in retea: agenţi şi manageri • modul agent

Concepte de bază Tipuri de sisteme in retea: agenţi şi manageri • modul agent in orice nod al reţelei care trebuie gestionat – calculatoare personale, staţii de lucru, servere, punţi, rutere • agentul îndeplineşte următoarele funcţii: - Colectarea şi actualizarea informaţiei locale de stare - Furnizarea acestei informaţii către un manager, fie ca răspuns la o cerere, fie fără a fi solicitată, atunci când au loc evenimente importante în reţea - Executarea comenzilor manager-ului pentru modificarea configuraţiei sau parametrilor de operare locali.

Concepte de bază • staţii de administrare sau manageri sunt inclusi in orice configuraţie

Concepte de bază • staţii de administrare sau manageri sunt inclusi in orice configuraţie de reţea • staţia manager asigură o interfaţă de utilizator astfel ca un operator uman să poată observa şi controla procesul de management al reţelei • această interfaţă permite utilizatorului să dea comenzi şi include logica necesară pentru procesarea informaţiei colectate de sistem • in centrul sistemului de management al reţelei se află un set de aplicaţii care îndeplinesc cerinţele pentru administrarea reţelei

Concepte de bază • un sistem va include aplicaţii elementare pentru a realiza monitorizarea

Concepte de bază • un sistem va include aplicaţii elementare pentru a realiza monitorizarea performanţelor, controlul configurării şi facturarea serviciilor • sistemele mai dezvoltate pot include aplicaţii mai elaborate din categoriile de mai sus, facilităţi pentru detectarea şi corectarea erorilor, facilităţi pentru gestionarea mecanismelor de securitate ale reţelei • toate aplicaţiile pentru managementul reţelei utilizează de regulă un acelaşi protocol de management care asigură funcţiile fundamentale pentru a obţine informaţiile de management de la agenţi şi pentru a transmite comenzi către agenţi

Concepte de bază • SMNP protocolul asigură patru funcţii de baza de management :

Concepte de bază • SMNP protocolul asigură patru funcţii de baza de management : - Get: utilizat de un manager pentru a obţine o înregistrare din MIB-ul unui agent - Set: utilizat de un manager pentru a modifica o valoare în MIB-ul unui agent • SNMP este conceput pentru a fi implementat cu un consum minim de resurse de procesor şi de reţea - Trap: utilizat de un agent pentru a trimite un mesaj de alarmă unui manager - Inform: utilizat de un manager pentru a trimite un mesaj de alarmă unui alt manager.

Concepte de bază • Specificitatea şi eficienţa SNMP este asigurată de setul de structuri

Concepte de bază • Specificitatea şi eficienţa SNMP este asigurată de setul de structuri MIB definite • MIB-ul unui agent stabileşte ce informaţii colectează şi stochează agentul • Exemplu: există un număr de variabile în MIB – urile standardizate care se referă la operaţiile efectuate de protocoalele de nivel inferior TCP şi IP, incluzând numărul de pachete trimise şi recepţionate, pachete eronate etc • toţi agenţii asigură acelaşi set de variabile, deci aplicaţiile scrise pentru staţiile manager pot folosi uşor aceste informaţii

Arhitectura SNMP RFC 2271 impune proiectarea unei arhitecturi modulare care să îndeplinească următoarele cerinţe:

Arhitectura SNMP RFC 2271 impune proiectarea unei arhitecturi modulare care să îndeplinească următoarele cerinţe: • Să permită implementarea într-o gamă largă de condiţii de operare, de la condiţii cu necesităţi funcţionale minimale până la condiţii care să impună implementarea unor facilităţi adiţionale, necesare managementului reţelelor mari. • Să permită dezvoltarea unor componente ale arhitecturii din cadrul standardului, chiar dacă nu există consens asupra tuturor componentelor. • Să permită utilizarea unor modele de securitate alternativă.

Arhitectura SNMP • fiecare entitate SNMP include o singură maşină SNMP • o maşină

Arhitectura SNMP • fiecare entitate SNMP include o singură maşină SNMP • o maşină SNMP implementează funcţii pentru: - transmiterea şi recepţionarea mesajelor - autentificare şi criptare/decriptare - controlul accesului la obiectele administrate • aceste funcţii sunt furnizate ca servicii către una sau mai multe aplicaţii, care au în configuraţie maşina SNMP respectivă • atât maşina SNMP, cât şi aplicaţia pentru care lucrează, sunt definite ca o mulţime de module

Arhitectura SNMP Arhitectura modulară asigură următoarele avantaje: • Rolul unei entităţi SNMP este determinat

Arhitectura SNMP Arhitectura modulară asigură următoarele avantaje: • Rolul unei entităţi SNMP este determinat de modulele implementate în această entitate; de exemplu, un anume set de module este necesar pentru un agent SNMP şi un alt set este necesar pentru un manager SNMP, dar cele două seturi pot avea module comune. • Structura modulară a specificaţiei face posibilă definirea a diferite versiuni pentru fiecare modul; se permit astfel: - definirea unor variante diferite sau îmbunătăţite pentru SNMP fără a fi necesară o nouă versiune - specificarea clară a strategiilor de coexistenţă şi tranziţie

Arhitectura SNMP/ - Manager SNMP

Arhitectura SNMP/ - Manager SNMP

Arhitectura SNMP/managerul SNMP • managerul SNMP interacţionează cu agentul prin emiterea comenzilor (get şi

Arhitectura SNMP/managerul SNMP • managerul SNMP interacţionează cu agentul prin emiterea comenzilor (get şi set) şi prin recepţionarea de mesaje trap • managerul mai poate interacţiona cu alţi manageri prin: - emiterea de Inform Request PDU, care indică alarmă - recepţionarea de Inform Response PDU, care confirmă Inform Request PDU • In terminologia SNMP, un manager SNMP tradiţional include trei categorii de aplicaţii: - Generator de comenzi: monitorizează şi manipulează date privind managementul pentru agenţi - Generator de notificări: iniţiază mesaje asincrone - Inform Request PDU - Receptor de notificări: - Inform Request PDU şi SNMP v 2 Trap PDU; în cazul recepţionării Inform Request PDU, emite Inform Response PDU.

Arhitectura SNMP /managerul SNMP Maşina SNMP este formată din: • Dispecer -un manager de

Arhitectura SNMP /managerul SNMP Maşina SNMP este formată din: • Dispecer -un manager de trafic; pentru PDU generate de aplicaţii, dispecerul determină tipul de procesare necesar (SNMPv 1, SNMPv 2, SNMPv 3) şi pasează PDU modulului adecvat din subsistemul de procesare a mesajelor; după ataşarea header-ului adecvat, dispecerul pasează mesajul nivelului de transport. Pentru mesajele primite de la nivelul de transport, dispecerul asigură pasarea către modulul de procesare adecvat, care returnează PDU din mesaj; apoi PDU este dirijat către modulul de aplicaţie de destinaţie. • Subsistemul pentru procesarea mesajelor asigură pentru mesajele care provin de la aplicaţii împachetarea acestora cu header-ul corespunzător, iar pentru mesajele care provin de la nivelul de transport, extragerea PDU conţinut de aceste mesaje • Subsistemul de securitate asigură funcţii de autentificare şi criptare/decriptare; poate cripta PDU inclus în mesaj şi eventual anumite câmpuri ale header-ului; mai poate fi generat un cod de autentificare este inserat în header-ul mesajului. Similar, la receptie este testat codul de autentificare al mesajului, apoi mesajul este decriptat. Mesajul astfel procesat este returnat subsistemului de procesare a mesajelor

Arhitectura SNMP/agentul SNMP

Arhitectura SNMP/agentul SNMP

Arhitectura SNMP/agentul SNMP • Agentul SNMP tradiţional este prezentat în figura 6. 3 –

Arhitectura SNMP/agentul SNMP • Agentul SNMP tradiţional este prezentat în figura 6. 3 – realizată pe baza RFC 2271. Acest agent poate conţine trei tipuri de aplicaţii: • Generator de răspunsuri la comenzi: asigură accesul la managementul datelor. Aceste aplicaţii răspund la recepţionarea unei cereri prin emiterea unui Response PDU • Generator de notificări: iniţiază mesaje asincrone; pentru această aplicaţie sunt utilizate SNMPv 2 – Trap sau SNMPv 3 – Trap • Aplicaţie Proxy Forwarder; retransmite mesaje între entităţi.

Arhitectura SNMP/agentul SNMP Agentul SNMP conţine trei tipuri de aplicaţii: • Generator de răspunsuri

Arhitectura SNMP/agentul SNMP Agentul SNMP conţine trei tipuri de aplicaţii: • Generator de răspunsuri la comenzi: asigură accesul la managementul datelor; aceste aplicaţii răspund la recepţionarea unei cereri prin emiterea unui Response PDU • Generator de notificări: iniţiază mesaje asincrone; pentru această aplicaţie sunt utilizate SNMPv 2 – Trap sau SNMPv 3 – Trap • Aplicaţie Proxy Forwarder; retransmite mesaje între entităţi.

Arhitectura SNMP/agentul SNMP • Maşina SNMP pentru un agent tradiţional are toate componentele maşini

Arhitectura SNMP/agentul SNMP • Maşina SNMP pentru un agent tradiţional are toate componentele maşini SNMP pentru un manager tradiţional, plus un subsistem de control al accesului • Acest subsistem asigură servicii pentru controlul accesului la MIB pentru citirea şi setarea stărilor obiectelor administrate; se pot implementa mai multe modele. RFC 2275 defineşte modelul VACM – View-Based Access Control Model. • Funcţiile legate de securitate sunt organizate în două subsisteme separate: - subsistemul de securitate procesează mesajele şi asigură autentificarea şi confidenţialitatea - subsistemul de control al accesului procesează PDU din mesaje şi asigură controlul accesului la informaţia de management.

Formatul mesajului SNMPv 3 cu USM • msg. Version: setat pentru SNMPv 3 (3)

Formatul mesajului SNMPv 3 cu USM • msg. Version: setat pentru SNMPv 3 (3) • msg. ID: un identificator unic, utilizat între două entităţi SNMP pentru a coordona mesajele de cerere/răspuns • msg. Max. Size: dimensiunea maximă a mesajului acceptată de expeditorul mesajului de la o altă entitate SNMP • msg. Flags: un octet care conţine trei indicatori (flag) în biţii cel mai puţin semnificativi: reportable. Flag, priv. Flag, auth. Flag • msg. Security. Model: un identificator al modelului de securitate utilizat de expeditor pentru procesarea mesajului; este un număr cuprins între 0 şi 231 -1. Valorile rezervate sunt 1 pentru SNMPv 1, 2 pentru SNMPv 2, 3 pentru SNMPv 3.

User Security Model (USM) USM urmareste contracararea următoarelor tipuri de atacuri: • Modificarea parametrilor

User Security Model (USM) USM urmareste contracararea următoarelor tipuri de atacuri: • Modificarea parametrilor de management, inclusiv pe cei legaţi de configurare, comenzi, evidenţă • Modificarea identităţii (masquerade) • Modificarea fluxului de mesaje: SNMP este proiectat pentru a lucra deasupra unui protocol de transport fără conexiune; există deci posibilitatea ca mesajele să fie reordonate, întârziate sau duplicate pentru a se realiza operaţii de management neautorizate. • Interceptarea informaţiei pentru a cunoaşte valorile pentru obiectele administrate şi evenimentele care sunt notificate.

User Security Model (USM) USM nu urmăreşte contracararea următoarelor tipuri de atacuri: • Interzicerea

User Security Model (USM) USM nu urmăreşte contracararea următoarelor tipuri de atacuri: • Interzicerea accesului la servicii: atacul constă în împiedicarea schimburilor de mesaje • Analiza traficului: atacul constă în observarea desfăşurării schimbului de mesaje Lipsa unor măsuri împotriva celor două tipuri de atacuri menţionate mai sus este justificată de următoarele consideraţii: • interzicerea accesului la servicii nu poate fi deosebită de defecţiunile din reţea • interzicerea accesului la servicii afecteaza orice schimb de informaţii prin reţea; contracararea acestui tip de atac este o problemă de securitate globală a reţelei. • succesiunea mesajelor unui protocol de management este predictibilă

Generarea cheilor criptografice • Se obţine un şir de lungime 220 octeţi, denumit digest

Generarea cheilor criptografice • Se obţine un şir de lungime 220 octeţi, denumit digest 0, prin repetarea parolei de câte ori este necesar, cu trunchierea ultimei repetări, dacă este necesar. • Rezultatul algoritmului MD 5 (pentru cheie de 16 octeţi) sau SHA-1 (pentru o cheie de 20 octeţi), digest 1, este cheia criptografică. Avantaje: • Creşte în mod semnificativ durata de găsire a cheii în cazul unui atac cu forţă brută, care presupune generarea tuturor cheilor posibile. • NMS – Network Management System nu trebuie să stocheze cheile utilizatorului • Se evita memorarea cheilor; aceasta reduce siguranţa sistemului şi poate face imposibilă accesarea cheilor în cazul unei defecţiuni care afectează fişierul în care sunt stocate acestea; dacă sunt folosite copii ale fişierului pentru chei, se creează ţinte suplimentare pentru un eventual atac asupra securităţii sistemului

Managementul cheilor criptografice Implică următoarele cerinţe: • Fiecare agent SNMP dintr-un sistem distribuit să

Managementul cheilor criptografice Implică următoarele cerinţe: • Fiecare agent SNMP dintr-un sistem distribuit să deţină câte o cheie criptografică pentru fiecare utilizator care este autorizat să-l administreze • Fiecare utilizator dintr-un sistem distribuit să deţină câte o cheie criptografică pentru fiecare agent pe care este autorizat să-l administreze • Funcţiile de management al reţelei să poată fi executate de utilizator din orice punct al reţelei, independent de configurarea sistemului de management al reţelei (asocierea parolă – cheie criptografică) • Un utilizator să nu fie obligat să administreze un număr mare de chei, care să crească odată cu adăugarea de noi agenţi administraţi. • Un adversar care descoperă cheia unui agent să nu fie capabil să se substituie nici unei alte entităţi din reţea, cu excepţia agentului respectiv

Managementul cheilor criptografice • Pentru a realiza aceste cerinţe, singura cheie a unui utilizator

Managementul cheilor criptografice • Pentru a realiza aceste cerinţe, singura cheie a unui utilizator este asociată cu ajutorul unei funcţii neinversabile (de exemplu o funcţie hash one-way), cu diferite chei localizate pentru diferiţi agenţi. Procedura este următoarea: • Se formează şirul digest 2 prin concatenarea şirului: digest 1 (cheia criptografică unică si valoarea snmp. Engine. ID pentru entitatea autorizată. • Digest 2 este folosit ca şir de intrare pentru algoritmul MD 5, dacă se doreşte o cheie de 16 octeţi, sau pentru SHA-1, dacă se doreşte o cheie de 20 octeţi. Şirul rezultat este cheia criptografică localizată pentru entitatea având snmp. Engin. ID utilizat de algoritm şi utilizatorul având cheia digest 1

Localizarea cheilor

Localizarea cheilor