Содержание:
1.Мониторинги анализ локальных сетей
2.Классификациясредств мониторинга и анализа
2.1Анализаторы протоколов
2.2Сетевые анализаторы
3. Протокол SNMP
3.1 Отличия SNMPv3
3.2 Безопасность в SNMPv3
3.3Недостатки протокола SNMP
1. Мониторинг и анализлокальных сетей
Постоянный контроль заработой локальной сети, составляющей основу любой корпоративной сети, необходимдля поддержания ее в работоспособном состоянии. Контроль — это необходимыйпервый этап, который должен выполняться при управлении сетью. Ввиду важностиэтой функции ее часто отделяют от других функций систем управления и реализуютспециальными средствами. Такое разделение функций контроля и собственноуправления полезно для небольших и средних сетей, для которых установкаинтегрированной системы управления экономически нецелесообразна. Использованиеавтономных средств контроля помогает администратору сети выявить проблемныеучастки и устройства сети, а их отключение или реконфигурацию он можетвыполнять в этом случае вручную. Процесс контроля работы сети обычно делят надва этапа — мониторинг и анализ.
На этапе мониторингавыполняется более простая процедура — процедура сбора первичных данных оработе сети: статистики о количестве циркулирующих в сети кадров и пакетовразличных протоколов, состоянии портов концентраторов, коммутаторов имаршрутизаторов и т. п.
Далее выполняется этап анализа,под которым понимается более сложный и интеллектуальный процесс осмыслениясобранной на этапе мониторинга информации, сопоставления ее с данными,полученными ранее, и выработки предположений о возможных причинах замедленнойили ненадежной работы сети.
Задачи мониторингарешаются программными и аппаратными измерителями, тестерами, сетевымианализаторами, встроенными средствами мониторинга коммуникационных устройств, атакже агентами систем управления. Задача анализа требует более активногоучастия человека и использования таких сложных средств, как экспертные системы,аккумулирующие практический опыт многих сетевых специалистов.
/>2. Классификациясредств мониторинга и анализа
Все многообразиесредств, применяемых для анализа и диагностики вычислительных сетей, можноразделить на несколько крупных классов.
· Агентысистем управления, поддерживающие функции одной из стандартных MIB (MIB(Management Information Base) — база данных информации управления,используемая в процессе управления сетью в качестве модели управляемого объектав архитектуре агент-менедже) и поставляющие информацию попротоколу SNMP или CMIP. Для получения данных от агентов обычно требуетсяналичие системы управления, собирающей данные от агентов в автоматическомрежиме.
· Встроенныесистемы диагностики и управления (Embedded systems). Эти системы выполняются ввиде программно-аппаратных модулей, устанавливаемых в коммуникационноеоборудование, а также в виде программных модулей, встроенных в операционныесистемы. Они выполняют функции диагностики и управления только однимустройством, и в этом их основное отличие от централизованных системуправления. Примером средств этого класса может служить модуль управлениямногосегментным повторителем Ethernet, реализующий функции автосегментациипортов при обнаружении неисправностей, приписывания портов внутренним сегментамповторителя и некоторые другие. Как правило, встроенные модули управления «посовместительству» выполняют роль SNMP-агентов, поставляющих данные о состоянииустройства для систем управления.
· Анализаторыпротоколов (Protocol analyzers). Представляют собой программные или аппаратно-программныесистемы, которые ограничиваются в отличие от систем управления лишь функциямимониторинга и анализа трафика в сетях. Хороший анализатор протоколов можетзахватывать и декодировать пакеты большого количества протоколов, применяемых всетях, — обычно несколько десятков. Анализаторы протоколов позволяют установитьнекоторые логические условия для захвата отдельных пакетов и выполняют полноедекодирование захваченных пакетов, то есть показывают в удобной для специалистаформе вложенность пакетов протоколов разных уровней друг в друга с расшифровкойсодержания отдельных полей каждого пакета.
· Экспертныесистемы. Этот вид систем аккумулирует знания технических специалистов овыявлении причин аномальной работы сетей и возможных способах приведения сети вработоспособное состояние. Экспертные системы часто реализуются в видеотдельных подсистем различных средств мониторинга и анализа сетей: системуправления сетями, анализаторов протоколов, сетевых анализаторов. Простейшимвариантом экспертной системы является контекстно-зависимая система помощи.Более сложные экспертные системы представляют собой, так называемые базызнаний, обладающие элементами искусственного интеллекта. Примерами таких системявляются экспертные системы, встроенные в систему управления Spectrum компанииCabletron и анализатора протоколов Sniffer компании Network General. Работаэкспертных систем состоит в анализе большого числа событий для выдачипользователю краткого диагноза о причине неисправности сети.
· Оборудованиедля диагностики и сертификации кабельных систем. Условно это оборудование можноподелить на четыре основные группы: сетевые мониторы, приборы для сертификациикабельных систем, кабельные сканеры и тестеры.
o Сетевыемониторы (называемые также сетевыми анализаторами) предназначены длятестирование кабелей различных категорий. Сетевые мониторы собирают такжеданные о статистических показателях трафика — средней интенсивности общеготрафика сети, средней интенсивности потока пакетов с определенным типом ошибкии т. п. Эти устройства являются наиболее интеллектуальными устройствами из всехчетырех групп устройств данного класса, так как работают не только нафизическом, но и на канальном, а иногда и на сетевом уровнях.
o Устройствадля сертификации кабельных систем выполняют сертификацию в соответствии стребованиями одного из международных стандартов на кабельные системы.
o Кабельныесканеры используются для диагностики медных кабельных систем.
o Тестерыпредназначены для проверки кабелей на отсутствие физического разрыва.Многофункциональные портативные устройства анализа и диагностики. В связи сразвитием технологии больших интегральных схем появилась возможностьпроизводства портативных приборов, которые совмещали бы функции несколькихустройств: кабельных сканеров, сетевых мониторов и анализаторов протоколов.
/>2.1 Анализаторыпротоколов
Анализатор протоколовпредставляет собой либо специализированное устройство, либо персональныйкомпьютер, обычно переносной, класса Notebook, оснащенный специальной сетевойкартой и соответствующим программным обеспечением.
Применяемые сетеваякарта и программное обеспечение должны соответствовать технологии сети(Ethernet, Token Ring, FDDI, Fast Ethernet). Анализатор подключается к сетиточно так же, как и обычный узел. Отличие состоит в том, что анализатор можетпринимать все пакеты данных, передаваемые по сети, в то время как обычнаястанция — только адресованные ей. Для этого сетевой адаптер анализаторапротоколов переводится в режим «беспорядочного» захвата —promiscuousmode.
Программное обеспечениеанализатора состоит из ядра, поддерживающего работу сетевого адаптера ипрограммного обеспечения, декодирующего протокол канального уровня, с которымработает сетевой адаптер, а также наиболее распространенные протоколы верхнихуровней, например IP, TCP, ftp, telnet, HTTP, IPX, NCP, NetBEUI, DECnet и т. п.В состав некоторых анализаторов может входить также экспертная система, котораяпозволяет выдавать пользователю рекомендации о том, какие эксперименты следуетпроводить в данной ситуации, что могут означать те или иные результатыизмерений, как устранить некоторые виды неисправности сети.
Анализаторы протоколовимеют некоторые общие свойства.
· Возможность(кроме захвата пакетов) измерения среднестатистических показателей трафика в сегментелокальной сети, в котором установлен сетевой адаптер анализатора.
· Обычноизмеряется коэффициент использования сегмента, матрицы перекрестного трафикаузлов, количество хороших и плохих кадров, прошедших через сегмент.
· Возможностьработы с несколькими агентами, поставляющими захваченные пакеты из разныхсегментов локальной сети. Эти агенты чаще всего взаимодействуют с анализаторомпротоколов по собственному протоколу прикладного уровня, отличному от SNMP илиCMIP.
· Наличиеразвитого графического интерфейса, позволяющего представить результатыдекодирования пакетов с разной степенью детализации.
· Фильтрациязахватываемых и отображаемых пакетов. Условия фильтрации задаются в зависимостиот значения адресов назначения и источника, типа протокола или значенияопределенных полей пакета. Пакет либо игнорируется, либо записывается в буферзахвата. Использование фильтров значительно ускоряет и упрощает анализ, так какисключает захват или просмотр ненужных в данный момент пакетов.
· Использованиетриггеров. Триггеры — это задаваемые администратором некоторые условия начала ипрекращения процесса захвата данных из сети. Такими условиями могут быть: времясуток, продолжительность процесса захвата, появление определенных значений вкадрах данных. Триггеры могут использоваться совместно с фильтрами, позволяяболее детально и тонко проводить анализ, а также продуктивнее расходоватьограниченный объем буфера захвата.
· Многоканальность.Некоторые анализаторы протоколов позволяют проводить одновременную запись пакетовот нескольких сетевых адаптеров, что удобно для сопоставления процессов,происходящих в разных сегментах сети.
Возможности анализапроблем сети на физическом уровне у анализаторов протоколов минимальные,поскольку всю информацию они получают от стандартных сетевых адаптеров.
Поэтому они передают иобобщают информацию физического уровня, которую сообщает им сетевой адаптер, аона во многом зависит от типа сетевого адаптера.
Некоторые сетевыеадаптеры сообщают более детальные данные об ошибках кадров и интенсивностиколлизий в сегменте, а некоторые вообще не передают такую информацию верхнимуровням протоколов, на которых работает анализатор протоколов.
С распространениемсерверов Windows NT все более популярным становится анализатор Network Monitorфирмы Microsoft. Он является частью сервера управления системой SMS, а такжевходит в стандартную поставку Windows NT Server, начиная с версии 4.0 (версия сусеченными функциями). Network Monitor в версии SMS является многоканальныманализатором протоколов, поскольку может получать данные от нескольких агентовNetwork Monitor Agent, работающих в среде Windows NT Server, однако в каждыймомент времени анализатор может работать только с одним агентом, так чтосопоставить данные разных каналов с его помощью не удастся. Network Monitorподдерживает фильтры захвата (достаточно простые) и дисплейные фильтры,отображающие нужные кадры после захвата (более сложные). Экспертной системойNetwork Monitor не располагает.
/>2.2 Сетевыеанализаторы
Сетевые анализаторыпредставляют собой эталонные измерительные приборы для диагностики исертификации кабелей и кабельных систем. Они могут с высокой точностью измеритьвсе электрические параметры кабельных систем, а также работают на более высокихуровнях стека протоколов. Сетевые анализаторы генерируют синусоидальные сигналыв широком диапазоне частот, что позволяет измерять на приемной пареамплитудно-частотную характеристику и перекрестные наводки, затухание исуммарное затухание. Сетевой анализатор представляет собой лабораторный приборбольших размеров, достаточно сложный в обращении.
Многие производителидополняют сетевые анализаторы функциями статистического анализа трафика —коэффициента использования сегмента, уровня широковещательного трафика,процента ошибочных кадров, а также функциями анализатора протоколов, которыеобеспечивают захват пакетов разных протоколов в соответствии с условиямифильтров и декодирование пакетов.
/>Сетеваястатистика
В этой группе собранынаиболее важные статистические показатели — коэффициент использования сегмента(utilization), уровень коллизий, уровень ошибок и уровень широковещательноготрафика. Превышение этими показателями определенных порогов в первую очередьговорят о проблемах в том сегменте сети, к которому подключен многофункциональныйприбор.
Статистика ошибочныхкадров
Эта функция позволяетотслеживать все типы ошибочных кадров для определенной технологии. Например,для технологии Ethernet характерны следующие типы ошибочных кадров.
· Укороченныекадры (Short frames). Это кадры, имеющие длину, меньше допустимой, то естьменьше 64 байт. Иногда этот тип кадров дифференцируют на два класса — простокороткие кадры (short), у которых имеется корректная контрольная сумма, и«коротышки» (runts), не имеющие корректной контрольной суммы. Наиболеевероятными причинами появления укороченных кадров являются неисправные сетевыеадаптеры и их драйверы.
· Удлиненныекадры (Jabbers). Это кадры, имеющие длину, превышающую допустимое значение в1518 байт с хорошей или плохой контрольной суммой. Удлиненные кадры являютсяследствием затянувшейся передачи, которая появляется из-за неисправностейсетевых адаптеров.
· Кадрынормальных размеров, но с плохой контрольной суммой (Bad FCS) и кадры сошибками выравнивания по границе байта. Кадры с неверной контрольной суммойявляются следствием множества причин — плохих адаптеров, помех на кабелях,плохих контактов, некорректно работающих портов повторителей, мостов,коммутаторов и маршрутизаторов. Ошибка выравнивания всегда сопровождаетсяошибкой по контрольной сумме, поэтому некоторые средства анализа-трафика неделают между ними различий. Ошибка выравнивания может быть следствиемпрекращения передачи кадра при распознавании коллизии передающим адаптером.
· Кадры-призраки(ghosts) являются результатом электромагнитных наводок на кабеле. Онивоспринимаются сетевыми адаптерами как кадры, не имеющие нормального признаканачала кадра — 10101011. Кадры-призраки имеют длину более 72 байт, в противномслучае они классифицируются как удаленные коллизии. Количество обнаруженныхкадров-призраков в большой степени зависит от точки подключения сетевогоанализатора. Причинами их возникновения являются петли заземления и другиепроблемы с кабельной системой.
Знание процентногораспределения общего количества ошибочных кадров по их типам может многоеподсказать администратору о возможных причинах неполадок в сети. Даже небольшойпроцент ошибочных кадров может привести к значительному снижению полезнойпропускной способности сети, если протоколы, восстанавливающие искаженныекадры, работают с большими тайм-аутами ожидания квитанций. Считается, что внормально работающей сети процент ошибочных кадров не должен превышать 0,01 %,то есть не более 1 ошибочного кадра из 10 000.
Статистика по коллизиям
Эта группа характеристикдает информацию о количестве и видах коллизий, отмеченных на сегменте сети,позволяет определить наличие и местонахождение проблемы. Анализаторы протоколовобычно не могут дать дифференцированной картины распределения общего числаколлизий по их отдельным типам, в то же время знание преобладающего типаколлизий может помочь понять причину плохой работы сети.
Ниже приведены основныетипы коллизий сети Ethernet.
· Локальнаяколлизия (Local Collision). Является результатом одновременной передачи двухили более узлов, принадлежащих к тому сегменту, в котором производятсяизмерения. Если многофункциональный прибор не генерирует кадры, то в сети навитой паре или волоконно-оптическом кабеле локальные коллизии не фиксируются.Слишком высокий уровень локальных коллизий является следствием проблем скабельной системой.
· Удаленнаяколлизия (Remote Collision). Эти коллизии происходят на другой сторонеповторителя (по отношению к тому сегменту, в котором установлен измерительныйприбор). В сетях, построенных на многопортовых повторителях (10Base-T,10Base-FL/FB, 100Base-TX/FX/T4, Gigabit Ethernet), все измеряемые коллизииявляются удаленными (кроме тех случаев, когда анализатор сам генерирует кадры иможет быть виновником коллизии). Не все анализаторы протоколов и средствамониторинга одинаковым образом фиксируют удаленные коллизии. Это происходитиз-за того, что некоторые измерительные средства и системы не фиксируютколлизии, происходящие при передаче преамбулы.
· Поздняяколлизия (Late Collision). Это коллизия, которая происходит после передачипервых 64 байт кадра (по протоколу Ethernet коллизия должна обнаруживаться припередаче первых 64 байт кадра). Результатом поздней коллизии будет кадр,который имеет длину более 64 байт и содержит неверное значение контрольнойсуммы. Чаще всего это указывает на то, что сетевой адаптер, являющийсяисточником конфликта, оказывается не в состоянии правильно прослушивать линию ипоэтому не может вовремя остановить передачу. Другой причиной поздней коллизииявляется слишком большая длина кабельной системы или слишком большое количествопромежуточных повторителей, приводящее к превышению максимального значениявремени двойного оборота сигнала. Средняя интенсивность коллизий в нормальноработающей сети должна быть меньше 5 %. Большие всплески (более 20 %) могутбыть индикатором кабельных проблем.
Распределениеиспользуемых сетевых протоколов
Эта статистическаягруппа относится к протоколам сетевого уровня. На дисплее отображается списокосновных протоколов в убывающем порядке относительно процентного соотношениякадров, содержащих пакеты данного протокола к общему числу кадров в сети.
Основные отправители(Top Sendes)
Функция позволяетотслеживать наиболее активные передающие узлы локальной сети. Прибор можнонастроить на фильтрацию по единственному адресу и выявить список основныхотправителей кадров для данной станции. Данные отражаются на дисплее в видедиаграммы вместе с перечнем основных отправителей кадров.
Основные получотели(Top Receivers)
Функция позволяетследить за наиболее активными узлами-получателями сети. Информация отображаетсяв виде, аналогичном приведенному выше.
Основные генераторышироковещательного трафика (Top Broadcasters)
Функция выявляетстанции сети, которые больше остальных генерируют кадры с широковещательными игрупповыми адресами.
Генерирование трафика(Traffic Generation)
Прибор можетгенерировать трафик для проверки работы сети при повышенной нагрузке. Трафикможет генерироваться параллельно с активизированными функциями Сетеваястатистика, Статистика ошибочных кадров и Статистика по коллизиям.
Пользователь можетзадать параметры генерируемого трафика, такие как интенсивность и размеркадров. Для тестирования мостов и маршрутизаторов прибор может автоматическисоздавать заголовки IP- и IPX-пакетов, и все что требуется от оператора — этовнести адреса источника и назначения.
В ходе испытанийпользователь может увеличить на ходу размер и частоту следования кадров спомощью клавиш управления курсором. Это особенно ценно при поиске источникапроблем производительности сети и условий возникновения отказов.
/>3. Протокол SNMP
Всюнеобходимую информацию протокол SNMP получает из базы управляющей информации (ManagementInformationBase, MIB). MIB представляет собой базуданных стандартизированной структуры. База данных имеет древовидную структуру,а все переменные классифицированы по тематике. Каждое поддерево содержитопределенную тематическую подгруппу переменных. Наиболее важные компоненты,отвечающие за работу сетевых узлов, объединены в подгруппе MIB-II.
Существуютдва типа MIB: стандартные и фирменные. Стандартные MIB определены комиссией подеятельности Интернет (Internet Activity Board, IAB), а фирменные — производителем устройства.
В таблице 1приведён список наиболее распространенных стандартов баз управляющейинформации.
Таблица 1База Назначение MIB-II Задает множество объектов, которые могут быть использованы для управления сетевыми интерфейсами. MIB повторителя Включена в подмножество MIB-II. Устанавливает объекты, которые можно использовать для управления повторителем. MIB моста
Включена в подмножество MIB-II.
Задает объекты данных, которые можно использовать для управления мостом. RMON MIB Указывает объекты данных, которые можно использовать для управления сетью в целом, при помощи протокола RMON.
В базахданных, указанных в таблице 1, присутствует множество переменных, которые могутбыть полезны для диагностирования сети и сетевых устройств.
Например,используя MIB-II, можно получить сведения об общем количестве пакетов,переданных сетевым интерфейсом, а с помощью MIB повторителя можно узнатьинформацию о количестве коллизий в порту.
В MIBкаждый объект имеет имя и тип. Имя объекта характеризует его положение в деревеMIB. При этом имя дочернего узла включает в себя имя родительского узла изадается целым числом.
3.1 Отличия SNMPv3
SNMP – протокол прикладногоуровня. Он предназначен для обмена информацией между сетевыми устройствами. Припомощи этого протокола, сетевой администратор может производить анализ сетевогооборудования, находить и решать множество сетевых проблем.
В Декабре1997 года с выходом SNMPv3, пользователям стали доступны новые службы, такие как:ограничение доступа, защита данных и аутентификация пользователя.
Кромеэтого, стоит отметить, что SNMPv3 перенял модульную архитектуру от своих предшественников. Этообеспечивает поддержку предыдущих версий SNMPи, не смотря на то, что SNMPv1 и SNMPv2 не поддерживаютаутентификацию и шифрование, у Вас будет возможность управления устройствами,которые поддерживают эти версии.
Присоздании новой версии разработчики руководствовались следующими принципами:
1. необходимо обеспечить большую безопасность протокола (особенно дляопераций типа SET);
2. SNMPv3 должен иметь возможностьдальнейшего развития и расширения;
3. протокол должен остаться простым и понятным;
4. настройки параметров безопасности SNMPv3 должны быть максимальнопростыми;
В SNMPv3 уже не применяются термины«агент» и «менеджер», теперь используются термины «сущности». Как и раньше однасущность находится на управляемом устройстве, а вторая занимается опросомприложений.
Усущностей-агентов и сущностей-менеджеров теперь есть ядро, которое выполняетчетыре основные функции (см. Рисунок 1):
1.функциидиспетчера;
2.обработкасообщений;
3.функциибезопасности;
4.контрольдоступа.
Диспетчер– это простая система управления входящим и исходящим трафиком. Для каждогоисходящего блока данных (PDU) он определяет тип необходимой обработки (SNMPv1, SNMPv2, SNMPv3) и передает блок данныхсоответствующему модулю в системе обработки сообщений.
После тогокак система обработки сообщений вернет сообщение, которое содержит этот блокданных, Диспетчер отправит его на транспортный уровень для последующейпередачи. Для входящих сообщений, Диспетчер проводит обратную операцию.
Системаобработки сообщений получает от Диспетчераисходящие блоки данных (PDU), добавляет к ним подходящий заголовок и возвращает их обратноДиспетчеру.
Системабезопасности отвечает за шифрование иаутентификацию. Все исходящие сообщения перед отправкой сначала передаются изсистемы обработки сообщений в систему безопасности, где все шифруются поля взаголовке сообщения, блок данных (PDU), генерируется код аутентификации и добавляется к заголовкусообщения.
После этогосообщение передается обратно в систему обработки сообщений. Точно такая жеоперация, но в обратном порядке производится для всех входящих сообщений.
Системаконтроля доступа управляет службамиаутентификации для контроля доступа к MIB исходя из содержимого блоков данных. (PDU). Теоретически, системаконтроля доступа может работать с самыми разными моделями контроля доступа, нона данный момент в RFC 2275 описана только одна модель – VACM (View-BasedAccessControlModel)
Таблица 2 — Основные методы SNMP Метод Для чего применяется Поддерживается GET Используется менеджером для получения данных из MIB. Размер сообщения ограничен возможностями агента. SNMPv1-3 GET-NEXT Метод позволяет последовательно выполнить набор команд иполучить набор значений из MIB SNMPv1-3 GET-BULK Используется менеджером для получения сразу большого количества данных из MIB. Размер сообщения отсылаемого агентом не ограничен. SNMPv2, SNMPv3 SET Используется менеджером для установки значений в MIB агента SNMPv1-3 GET-RESPONSE SNMPv1-3 TRAP Используется агентом чтобы послать сигнал менеджеру SNMPv1-3 NOTIFICATION SNMPv2, SNMPv3 INFORM Используется менеджером для отсылки сигнала другому менеджеру SNMPv2, SNMPv3 REPORT SNMPv2, SNMPv3
Припомощи этих команд и стандартной базы MIB можно получить самую разнообразную информацию.
Например:количество принятых и отправленных пакетов по TCP, IP, UDP или ICMP. А еще можно узнать околичестве ошибок, которые были обнаружены во времяотправки или полученияпакетов.
Приразработке SNMPv3 немало внимания было уделено безопасности протокола. Теперьстала поддерживаться модель, ориентированная на пользователя (User-BasedSecurityModel сокр. USMRFC3414>) благодаря которой стало возможным добавление модулейаутентификации и шифрованиябез смены базовой архитектуры.
/>
3.2 Безопасность в SNMPv3
Модель USM включает в себя модульаутентификации, модуль шифрования и модуль контроля времени. При этом, модульаутентификации и шифрования занимаются защитой данных, а модуль контролявремени синхронизирует время между сущностями SNMP.
Основныепроблемы, которые необходимо было решить при помощи модели USM:
Изменениеданных сущностями не прошедшими аутентификацию;
1. Возможность откладывания каких-либо действий на неопределенноевремя или повторение одних и тех же действий с произвольными интервалами;
2. Возможность заблокировать обмен данными между сущностями;
3. Возможность перехвата трафика при передаче между сущностями;
4. Возможность «маскарада», т.е. сущность не прошедшаяаутентификацию, могла прикинуться сущностью прошедшей аутентификацию.
Проблемурешили следующим образом: для каждого сетевого устройства пароль преобразуетсяв некоторый уникальный ключ. Это обеспечивает дополнительную безопасность т.к.даже в том случае, если ключ будет перехвачен, злоумышленник получит доступтолько к одному сетевому устройству. Для шифрования пароля используетсяалгоритм MD5, но разработчики видимо решили, что это не обеспечит достаточнойсохранности пароля и поэтому блок PDU дважды хэшируется при помощи двух разных ключей, которые в своюочередь генерируются из закрытого ключа. Позже, первые 12 октетов используютсякак код аутентификации сообщения, который добавляется к сообщению. Такой жепроцесс приходится производить на другой стороне, но только в обратном порядке.Несмотря на всю сложность и энергоемкость процесса передачи данных междусущностями SNMP, по мнению разработчиков, алгоритм шифрования (DES) на самом деле не обеспечиваетдостаточной защиты информации, поэтому в дальнейшем предполагается использоватьдругие алгоритмы. Например, алгоритм Диффи-Хиллмана (Diffie-Hillman)
Разработчикамипредусмотрено 3 уровня безопасности:
1. noAuthNoPriv – пароли передаются воткрытом виде, конфиденциальность данных отсутствует.
2. authNoPriv – аутентификация безконфиденциальности. Большинство пользователейиспользует именно этот уровень т.куровень защищенности в нем уже достаточно высок, а сетевые устройства неперегружаются шифрованием данных.
3. authPriv – аутентификация ишифрование. Максимальный уровень защищенности.
Какправило, покупатели сначала выбирают второй уровень безопасности и лишьнемногие из них, потом начинают использовать третий. Одной из причин, покоторой не используется третий уровень, является то, что он перегружает сетевыеустройства.
На данныймомент закончена разработка новой спецификации DataOverCableServiceInterfaceSpecificationRFC3256>, а для управленияключами многие пользователи уже используют алгоритмы Диффи-Хиллмана(Diffie-Hillman) и Kerberosвместо DES.Скорее всего, это означает, что скоро можно будет ожидать выходновой версии протокола SNMP.
Интернет — гигантскаясеть. Напрашивается вопрос, как она сохраняет свою целостность и функциональностьбез единого управления? Если же учесть разнородность ЭВМ, маршрутизаторов ипрограммного обеспечения, используемых в сети, само существование Интернетпредставится просто чудом. Так как же решаются проблемы управления в Интернет?Отчасти на этот вопрос уже дан ответ — сеть сохраняет работоспособность за счетжесткой протокольной регламентации. «Запас прочности» заложен в самихпротоколах. Функции диагностики возложены, как было сказано выше, на протоколICMP. Учитывая важность функции управления, для этих целей создано двапротокола SNMP (Simple Network Management Protocol, RFC-1157, -1215, -1187,-1089, std-15 разработан в 1988 году) и CMOT (Common ManagementInformation services and protocol over TCP/IP, RFC-1095, в последнее времяприменение этого протокола ограничено). Обычно управляющая прикладная программавоздействует на сеть по цепочке SNMP-UDP-IP-Ethernet. Наиболее важным объектомуправления обычно является внешний порт сети (gateway) или маршрутизатор сети.Каждому управляемому объекту присваивается уникальный идентификатор.
Протокол SNMP работаетна базе транспортных возможностей UDP (возможны реализации и на основе ТСР) ипредназначен для использования сетевыми управляющими станциями. Он позволяетуправляющим станциям собирать информацию о положении в сети Интернет. Протоколопределяет формат данных, а их обработка и интерпретация остаются на усмотрениеуправляющих станций или менеджера сети. SNMP-сообщения не имеют фиксированногоформата и фиксированных полей. При своей работе SNMP использует управляющуюбазу данных (MIB — management information base, RFC-1213, -1212, std-17).
Алгоритмы управления вИнтернет обычно описывают в нотации ASN.1 (Abstract Syntax Notation). Всеобъекты в Интернет разделены на 10 групп и описаны в MIB: система, интерфейсы,обмены, трансляция адресов, IP, ICMP, TCP, UDP, EGP, SNMP. В группу«система» входит название и версия оборудования, операционнойсистемы, сетевого программного обеспечения и пр… В группу«интерфейсы» входит число поддерживаемых интерфейсов, тип интерфейса,работающего под IP (Ethernet, LAPB etc.), размер дейтограмм, скорость обмена,адрес интерфейса. IP-группа включает в себя время жизни дейтограмм, информацияо фрагментации, маски субсетей и т.д. В TCP-группу входит алгоритм повторнойпересылки, максимальное число повторных пересылок и пр… Ниже приведена таблица(3) команд (pdu — protocol data unit) SNMP:
Таблица 3 — КомандыSNMPКоманда SNMP Тип PDU Назначение GET-request Получить значение указанной переменной или информацию о состоянии сетевого элемента; GET_next_request 1 Получить значение переменной, не зная точного ее имени (следующий логический идентификатор на дереве MIB); SET-request 2 Присвоить переменной соответствующее значение. Используется для описания действия, которое должно быть выполнено; GET response 3 Отклик на GET-request, GET_next_request и SET-request. Содержит также информацию о состоянии (коды ошибок и другие данные); TRAP 4 Отклик сетевого объекта на событие или на изменение состояния. GetBulkRequest 5 Запрос пересылки больших объемов данных, например, таблиц. InformRequest 6 Менеджер обращает внимание партнера на определенную информацию в MIB. SNMPv3-Trap 7 Отклик на событие (расширение по отношению v1 и v2). Report 8 Отчет (функция пока не задана).
/>
Рис. 2 — Схемазапросов/откликов SNMP
Формат SNMP-сообщений,вкладываемых в UDP-дейтограммы, имеет вид (рис. 4.4.13.2):
/>
Рис. 3 — ФорматSNMP-сообщений, вкладываемых в UDP-дейтограммы
Поле версиясодержит значение, равное номеру версии SNMP минус один. Поле пароль(community — определяет группу доступа) содержит последовательность символов,которая является пропуском при взаимодействии менеджера и объекта управления.Обычно это поле содержит 6-байтовую строку public, что означаетобщедоступность. Для запросов GET, GET-next и SET значение идентификаторазапроса устанавливается менеджером и возвращается объектом управления вотклике GET, что позволяет связывать в пары запросы и отклики. Поле фирма(enterprise) = sysobjectid объекта. Поле статус ошибки характеризуетсяцелым числом, присланным объектом управления:
Таблица 4. Номера иназначения используемых портовНазначение Порт Пояснение SNMP 161/TCP Simple Network Management Protocol SNMP 162/TCP Trap SMUX 199/TCP SNMP Unix Multiplexer SMUX 199/UDP SNMP Unix Multiplexer synoptics-relay 391/TCP SynOptics SNMP Relay Port synoptics-relay 391/UDP SynOptics SNMP Relay Port Agentx 705/TCP AgentX snmp-tcp-port 1993/TCP cisco SNMP TCP port snmp-tcp-port 1993/UDP cisco SNMP TCP port
Таблица 5 — Коды ошибокСтатус ошибки Имя ошибки Описание Noerror Все в порядке; 1 Toobig Объект не может уложить отклик в одно сообщение; 2 Nosuchname В операции указана неизвестная переменная; 3 badvalue В команде set использована недопустимая величина или неправильный синтаксис; 4 Readonly Менеджер попытался изменить константу; 5 Generr Прочие ошибки.
Еслипроизошла ошибка, поле индекс ошибки (error index) характеризует,к какой из переменных это относится. error index является указателемпеременной и устанавливается объектом управления не равным нулю для ошибокbadvalue, readonly и nosuchname. Для оператора TRAP (тип PDU=4) форматсообщения меняется. Таблица типов TRAPпредставлена ниже (4.4.13.4):
Таблица 6 — Коды TRAPТип TRAP Имя TRAP Описание Coldstart Установка начального состояния объекта. 1 Warmstart Восстановление начального состояния объекта. 2 Linkdown Интерфейс выключился. Первая переменная в сообщении идентифицирует интерфейс. 3 Linkup Интерфейс включился. Первая переменная в сообщении идентифицирует интерфейс. 4 Authenticationfailure От менеджера получено snmp-сообщение с неверным паролем (community). 5 EGPneighborloss R$GP-партнер отключился. Первая переменная в сообщении определяет IP-адрес партнера. 6 Entrprisespecific Информация о TRAP содержится в поле специальный код.
Для тип TRAP 0-4поле специальный код должно быть равно нулю. Поле временная меткасодержит число сотых долей секунды (число тиков) с момента инициализацииобъекта управления. Так прерывание coldstart выдается объектом через 200 мспосле инициализации.
В последнее времяширокое распространение получила идеология распределенного протокольногоинтерфейса DPI (Distributed Protocol Interface). Для транспортировкиsnmp-запросов может использоваться не только UDP-, но и TCP-протокол. Это даетвозможность применять SNMP-протокол не только в локальных сетях. ФорматыSNMP-DPI-запросов (версия 2.0) описаны в документе RFC-1592. Пример заголовкаsnmp-запроса (изображенные поля образуют единый массив; см. рис. 4.4.13.3):
/>
Рис. 4 — Форматзаголовка SNMP-запроса
Поле Флаг=0x30является признаком ASN.1-заголовка. Коды Ln — представляют собой длины полей,начинающиеся с байта, который следует за кодом длины, вплоть до концасообщения-запроса (n — номер поля длины), если не оговорено другое. Так L1 — длина пакета-запроса, начиная с T1 и до конца пакета, а L3 — длина поля пароля.Субполя Tn — поля типа следующего за ними субполя запроса. Так T1=2 означает,что поле характеризуется целым числом, а T2=4 указывает на то, что далееследует пароль (поле community, в приведенном примере = public). Цифры подрисунками означают типовые значения субполей. Код 0xA — является признаком GET-запроса,за ним следует поле кода PDU (=0-4, см. табл. 4.4.13.1)
Блок субполей идентификаторазапроса служит для тех же целей, что и другие идентификаторы — дляопределения пары запрос-отклик. Собственно идентификатор запроса может заниматьодин или два байта, что определяется значением Lиз. СО — статусошибки (СО=0 — ошибки нет); ТМ — тип MIB-переменной (в приведенном примере =0x2B); ИО — индекс ошибки. Цифровой код MIB-переменной отображаетсяпоследовательностью цифровых субполей, характеризующих переменную, например:переменная 1.3.6.1.2.1.5 (в символьном выраженииiso.org.dod.internet.mgmt.mib.icmp) характеризуется последовательностью кодов0x2B 0x06 0x01 0x02 0x01 0x05 0x00.
Начиная с января 1998года, выпущен набор документов, посвященных SNMPv3. В этой версиисущественно расширена функциональность (см. таблицу 1 тип PDU=5-8), разработанасистема безопасности.
В данной версииреализована модель, базирующаяся на процессоре SNMP (SNMP Engene) и содержащаянесколько подсистем (дипетчер, система обработки сообщений, безопасности иуправления доступом, см. рис. 4.4.13.4).
Перечисленныеподсистемы служат основой функционирования генератора и обработчика команд,отправителя и обработчика уведомлений и прокси-сервера (Proxy Forwarder),работающих на прикладном уровне. Процессор SNMP идентифицируется с помощьюsnmpEngineID.
Обеспечениебезопасности модели работы SNMP упрощается обычно тем, что обмензапросами-откликами осуществляется в локальной сети, а источникизапросов-откликов легко идентифицируются.
/>
Рис. 5 — Архитектурасущности SNMP (SNMP-entity)
Компоненты процессораSNMP перечислены в таблице 4.4.13.5 (смотри RFC 2571 и -2573)
Таблица 7 — Компонентыпроцессора SNMPНазвание компонента Функция компонента Диспетчер Позволяет одновременную поддержку нескольких версий SNMP-сообщений в процессоре SNMP. Этот компонент ответственен за прием протокольных блоков данных (PDU), за передачу PDU подсистеме обработки сообщений, за передачу и прием сетевых SNMP-сообщений Подсистема обработки сообщений Ответственна за подготовку сообщений для отправки и за извлечение данных из входных сообщений Подсистема безопасности Предоставляет услуги, обеспечивающие безопасность: аутентификацию и защищенность сообщений от перехвата и искажения. Допускается реализация нескольких моджелей безопасности Подсистема управления доступом Предоставляет ряд услуг авторизации, которые могут использоваться приложениями для проверки прав доступа. Генератор команд Инициирует SNMP-запросы Get, GetNext, GetBulk или Set, предназначенные для локальной системы, которые могут использоваться приложениями для проверки прав доступа. Обработчик команд Воспринимает SNMP-запросы Get, GetNext, GetBulk или Set, предназначенные для локальной системы, это индицируется тем, что contextEngeneID в полученном запросе равно соответствующему значению в процессоре SNMP. Приложение обработчика команд выполняет соответствующие протокольные операции, генерирует сообщения отклика и посылает их откправителю запроса. Отправитель уведомлений Мониторирует систему на предмет выявления определенных событий или условий и генерирует сообщения Trap или Inform. Источник уведомлений должен иметь механизм определения адресата таких сообщений, а также параметров безопасности Получатель уведомлений Прослушивает сообщения уведомления и формирует сообщения-отклики, когда приходит сообщение с PDU Inform Прокси-сервер Переадресует SNMP-сообщения. Реализация этогог модуля является опционной
На рис. 6 показанформат сообщений SNMPv3, реализующий модель безопасности UBM (User-BasedSecurity Model).
/>
Рис.6 — Форматсообщений SNMPv3 c UBM
Первые пять полейформируются отправителем в рамках модели обработки сообщений и обрабатываютсяполучателем. Следующие шесть полей несут в себе параметры безопасности. Далееследует PDU (блок поля данных) с contextEngeneID и contextName.
· msgVersion (для SNMPv3)=3
· msgID — уникальныйидентификатор, используемый SNMP-сущностями для установления соответствия междузапросом и откликом. Значение msgID лежит в диапазоне 0 — (231-1)
· msgMaxSize — определяетмаксимальный размер сообщения в октетах, поддерживаемый отправителем. Егозначение лежит в диапазоне 484 — (231-1) и равно максимальномуразмеру сегмента, который может воспринять отправитель.
· msgFlags — 1-октетная строка,содержащая три флага в младших битах: reportableFlag, privFlag, authFlag.Если reportableFlag=1, должно быть прислано сообщение с PDU Report; когда флаг=0, Report посылать не следует. Флаг reportableFlag=1 устанавливаетсяотправителем во всех сообщениях запроса (Get, Set) или Inform. Флагустанавливается равным нулю в откликах, уведомлениях Trap или сообщенияхReport. Флаги privFlag и authFlag устанавливаются отправителем для индикацииуровня безопасности для данного сообщения. Для privFlag=1 используетсяшифрование, а для authFlag=0 — аутентификация. Допустимы любые комбинациизначений флагов кроме privFlag=1 AND authFlag=0 (шифрование бехаутентификации).
· msgSecurityModel — идентификаторсо значением в диапазоне 0 — (231-1), который указывает на модельбезопасности, использованную при формировании данного сообщения.Зарезервированы значения 1 для SNMPv1,2 и 3 — для SNMPv3.
Модель безопасности USM(User-Based Security Model) использует концепцию авторизованного сервера(authoritative Engene). При любой передаче сообщения одна или две сущности,передатчик или приемник, рассматриваются в качестве авторизованногоSNMP-сервера. Это делается согласно следующим правилам:
· КогдаSNMP-сообщение содержит поле данных, которое предполагает отклик (например,Get, GetNext, GetBulk, Set или Inform), получатель такого сообщения считаетсяавторизованным.
· КогдаSNMP-сообщение содержит поле данных, которое не предполагает посылку отклика(например, SNMPv2-Trap, Response или Report), тогда отправитель такогосообщения считается авторизованным.
Таким образом,сообщения, посланные генератором команд, и сообщения Inform, посланныеотправителем уведомлений, получатель является авторизованным. Для сообщений,посланных обработчиком команд или отправителем уведомлений Trap, отправительявляется авторизованным. Такой подход имеет две цели:
· Своевременностьсообщения определяется с учетом показания часов авторизованного сервера. Когдаавторизованный сервер посылает сообщение (Trap, Response, Report), оно содержиттекущее показание часов, так что неавторизованный получатель можетсинхронизовать свои часы. Когда неавторизованный сервер посылает сообщение (Get,GetNext, GetBulk, Set, Inform), он помещает туда текущую оценку показания часовместа назначения, позволяя получателю оценить своевременность приходасообщения.
· Процесслокализации ключа, описанный ниже, устанавливает единственного принципала,который может владеть ключем. Ключи могут храниться только в авторизованномсервере, исключая хранение нескольких копий ключа в разных местах.
Когда исходящеесообщение передается процессором сообщений в USM, USM заполняет поля параметровбезопасности в заголовке сообщения. Когда входное сообщение передаетсяобработчиком сообщений в USM, обрабатываются значения параметров безопасности,содержащихся в заголоке сообщения. В параметрах безопасности содержатся:
· msgAuthoritativeEngeneID — snmpEngeneID авторизованного сервера, участвующего в обмене. Таким образом,это значение идентификатора отправителя для Trap, Response или Report илиадресата для Get, GetNext, GetBulk, Set или Inform.
· msgAuthoritativeEngeneBoots — snmpEngeneBoots авторизованного сервера, участвующего в обмене. ОбъектsnmpEngeneBoots является целым в диапазоне 0 — (231-1). Этот кодхарактеризует число раз, которое SNMP-сервер был перезагружен с моментаконфигурирования.
· msgAuthoritativeEngeneTime — nmpEngeneTime авторизованного сервера, участвующего в обмене. Значение этогокода лежит в диапазоне 0 — (231-1). Этот код характеризует числосекунд, которое прошло с момента последней перезагрузки. Каждый авторизованныйсервер должен инкрементировать этот код один раз в секунду.
· msgUserName — идентификаторпользователя от имени которого послано сообщение.
· msgAuthenticationParameters — нуль, если при обмене не используется аутентификация. В противном случае — это аутентификационный параметр.
· msgPrivacyParameters — нуль — если не требуется соблюдения конфимденциальности. В противном случае — это параметр безопасности. В действующей модели USM используется алгоритмшифрования DES.
Механизм аутентификациив SNMPv3 предполагает, что полученное сообщение действительно посланопринципалом, идентификатор которого содержится в заголовке сообщения, и он небыл модифицирован по дороге. Для реализации аутентификации каждый изпринципалов, участвующих в обмене должен иметь секретный ключ аутентификации,общий для всех участников (определяется на фазе конфигурации системы). Впосылаемое сообщение отправитель должен включить код, который является функциейсодержимого сообщения и секретного ключа. Одним из принципов USM являетсяпрверка своевременности сообщения (смотри выше), что делает маловероятной атакус использованием копий сообщения.
Системаконфигурирования агентов позволяет обеспечить разные уровни доступа к MIB дляразличных SNMP-менеджеров. Это делается путем ограничения доступа некоторымагантам к определенным частям MIB, а также с помощью ограничения перечнядопустимых операций для заданной части MIB. Такая схема управления доступомназывается VACM (View-Based Access Control Model). В процессе управлениядоступом анализируется контекст (vacmContextTable), а также специализированныетаблицы vacmSecurityToGroupTable, vacmTreeFamilyTable и vacmAccessTable.
SNMP-протоколслужит примером системы управления, где для достижения нужного результатавыдается не команда, а осуществляется обмен информацией, решение же принимается«на месте» в соответствии с полученными данными. Внедрены подситемыаутентификации, информационной безопасности и управления доступом.
Структура SNMP MIB
Обрабатываемый агентомсписок объектов и их типов закладывается в него разработчиком, а станцияуправления получает эту информацию с помощью MIB (Management Information Base).MIB — текстовый файл, описывающий доступные объекты и их типы на языке,определяемом стандартом SMI (Structure and Identification of ManagementInformation). Агент не использует этот файл при работе. MIB делится на модули,некоторые модули принимаются в виде стандартов, некоторые модули создаютсяразработчиками оборудования.
Разработчикуправляемого оборудования (разработчик агента) должен предоставить списокподдерживаемых агентом модулей. При описании модуля указывается какие объектыобязательны для реализации, а какие — нет. При описании агента можно указыватькакие модули он поддерживает, в каком объеме и с какими модификациями.
Ha сегодня существуетнесколько стандартов на базы данных управляющей информации для протокола SNMP.Основными являются стандарты MIB-I и MIB-II, а также версия базы данных дляудаленного управления RMON MIB. Кроме этого существуют стандарты дляспециальных устройств MIB конкретного типа (например, MIB для концентраторовили MIB для модемов), а также частные MIB конкретных фирм-производителейоборудования.
Первоначальнаяспецификация MIB-I определяла только операции чтения значений переменных.Операции изменения или установки значений объекта являются частью спецификацийMIB-II.
База данных MIB-IIне дает детальной статистики по характерным ошибкам кадров Ethernet, кромеэтого, она не отражает изменение характеристик во времени, что часто интересуетсетевого администратора.
Эти ограничения быливпоследствии сняты новым стандартом на MIB — RMON MIB, который специальноориентирован на сбор детальной статистики по протоколу Ethernet, к тому же споддержкой такой важной функции, как построение агентом зависимостейстатистических характеристик от времени.
/>/>/>3.3 Недостатки протокола SNMP
Протокол SNMP служитосновой многих систем управления, хотя имеет несколько принципиальныхнедостатков, которые перечислены ниже.
· Отсутствиесредств взаимной аутентификации агентов и менеджеров. Единственным средством,которое можно было бы отнести к средствам аутентификации, являетсяиспользование в сообщениях так называемой «строки сообщества» — «communitystring». Эта строка передается по сети в открытой форме в сообщении SNMP ислужит основой для деления агентов и менеджеров на «сообщества», так что агентвзаимодействует только с теми менеджерами, которые указывают в поле communitystring ту же символьную строку, что и строка, хранящаяся в памяти агента. Это,безусловно, не способ аутентификации, а способ структурирования агентов и менеджеров.Версия SNMP v.2 должна была ликвидировать этот недостаток, но в результатеразногласий между разработчиками стандарта новые средства аутентификации хотя ипоявились в этой версии, но как необязательные.
· Работачерез ненадежный протокол UDP (а именно так работает подавляющее большинствореализаций агентов SNMP) приводит к потерям аварийных сообщений (сообщенийtrap) от агентов к менеджерам, что может привести к некачественному управлению.Исправление ситуации путем перехода на надежный транспортный протокол сустановлением соединений чревато потерей связи с огромным количествомвстроенных агентов SNMP, имеющихся в установленном в сетях оборудовании.(Протокол CMIP изначально работает поверх надежного транспорта стека OSI и этимнедостатком не страдает.) Разработчики платформ управления стараются преодолетьэти недостатки. Например, в платформе HP OV Telecom DM TMN, являющейсяплатформой для разработки многоуровневых систем управления в соответствии состандартами TMN и ISO, работает новая реализация SNMP, организующая надежныйобмен сообщениями между агентами и менеджерами за счет самостоятельнойорганизации повторных передач сообщений SNMP при их потерях.