TEMA 3 - A Infraestrutura do Gerenciamento de Redes II

Prévia do material em texto

04/03/2022 20:26 Disciplina Portal
https://estudante.estacio.br/disciplinas/estacio_6824597/temas/3/conteudos/1 1/14
Gerência e Análise de Redes
Aula 3 - A infraestrutura do gerenciamento de
redes II
INTRODUÇÃO
Na aula anterior, iniciamos os estudos da infraestrutura de gerenciamento padrão da Internet: O SNMP (Simple
Network Management Protocol).
Nesta aula, continuaremos no mesmo assunto, dando destaque para a base de informações de gerenciamento (MIB)
e a padronização de módulos.
Além disso, veremos as operações do protocolo SNMP, bem como seus mapeamentos de transporte. Por �m,
falaremos sobre as novas funcionalidades trazidas pelo SNMPv3: segurança e administração.
04/03/2022 20:26 Disciplina Portal
https://estudante.estacio.br/disciplinas/estacio_6824597/temas/3/conteudos/1 2/14
Bons estudos!
OBJETIVOS
Analisar a base de informações de gerenciamento (MIB e módulos padronizados);
Descrever as operações do protocolo SNMP e os mapeamentos de transporte;
Avaliar as funcionalidades segurança e administração.
04/03/2022 20:26 Disciplina Portal
https://estudante.estacio.br/disciplinas/estacio_6824597/temas/3/conteudos/1 3/14
MIB E MÓDULOS PADRONIZADOS
Fonte da Imagem:
Como já dissemos, a base de informações de gerenciamento (Management Information Base — MIB) pode ser
imaginada como um banco virtual de informações que guarda objetos gerenciados com valores que coletivamente
re�etem o “estado” atual da rede. Esses valores podem ser consultados e/ou de�nidos por uma entidade
gerenciadora através do envio de mensagens SNMP ao agente que está rodando em um dispositivo gerenciado em
nome da entidade gerenciadora.
Fonte: donatas1205 / Shutterstock
Objetos gerenciados são especi�cados utilizando a construção “object-type” da SMI (glossário), discutida
anteriormente, e agrupados em módulos MIB, utilizando a construção “module-identity”.
Saiba mais!
, A IETF tem estado muito atarefada com a padronização de módulos MIB associados a roteadores hospedeiros e outros
equipamentos de rede. Isso inclui dados básicos de identi�cação sobre determinado componente de hardware e informações
de gerenciamento sobre as interfaces e os protocolos de dispositivos da rede., , Até 2006 havia mais de 200 módulos MIB
baseados em padrões e um número ainda maior de módulos MIB especificados por fabricantes privados., , Com todos esses
padrões, a IETF precisava encontrar um modo de identi�car e dar nome aos módulos padronizados, bem como aos objetos
gerenciados especí�cos dentro de um módulo. Em vez de começar do zero, a IETF adotou uma estrutura padronizada de
identi�cação de objetos (nomeação) que já tinha sido publicada pela ISO.
04/03/2022 20:26 Disciplina Portal
https://estudante.estacio.br/disciplinas/estacio_6824597/temas/3/conteudos/1 4/14
Fonte da Imagem:
Como acontece com muitas entidades dedicadas à padronização, a ISO tinha “grandes planos” para sua estrutura
padronizada de identi�cação de objetos:
Identi�car todo e qualquer objeto padronizado possível (por exemplo, formato
de dados protocolo ou informação) em qualquer rede das organizações
dedicadas à padronização das redes (como IETF, ISO, IEEE ou ANSI) do
fabricante do equipamento ou do proprietário da rede.
Esse é um objetivo bem grandioso mesmo!
Os módulos MIB padronizados já têm seu próprio lugar dentro dessa estrutura de nomeação bastante abrangente
como veremos a seguir.
Atenção!
, A estrutura de identi�cação de objeto adotada pela ISO é parte da linguagem de de�nição de objetos ASN.1 [ISO X.680 2002]
que serão explicados mais adiante.
NOMEAÇÃO EM MODO HIERÁRQUICO
Veja como, na estrutura de nomeação da ISO, os objetos são nomeados de modo hierárquico:
04/03/2022 20:26 Disciplina Portal
https://estudante.estacio.br/disciplinas/estacio_6824597/temas/3/conteudos/1 5/14
Fonte da Imagem:
Note que:
Cada ponto de ramo da árvore tem um nome e um número (entre parênteses). Assim, qualquer ponto da árvore pode
ser identi�cado pela sequência de nomes ou números que especi�cam o trajeto da raiz até aquele ponto na árvore
identi�cadora.
No topo da hierarquia, estão a ISO e o ITU-T, as duas principais entidades de padronização que tratam da ASN.1, bem
como um ramo para o esforço conjunto realizado por essas duas organizações.
No ramo ISO da árvore, encontramos registros para todos os padrões ISO (1.0) e para os emitidos por entidades
padronizadoras de vários países membros da ISO (1.2).
Embora não apareça na imagem, logo abaixo desse ramo da árvore (ISO/países membros também conhecido como
1.2) encontraríamos os Estados Unidos (1.2.840) embaixo dos quais encontraríamos um número para os padrões
IEEE e ANSI e para os padrões especí�cos de empresas privadas.
Entre essas empresas, estão a RSA (1.2.840.11359) e a Microsoft (1.2.840.113556), sob a qual encontraríamos os
Microsoft File Formats (1.2.840.113556.4) para vários produtos da Microsoft, como o Word (1.2.840.113556.2).
Saiba mais!
, Veja um programa baseado na Web — divertido, mas incompleto e não o�cial — que percorre parte da árvore de
identi�cadores de objetos (usando informações sobre os ramos oferecidas por voluntários), clicando aqui (//oid-
info.com/get/1.3.6.1.2.1).
Ramo 1.3
Como estamos interessados em redes (e não nos arquivos do MS Word), vamos voltar a nossa atenção ao ramo
denominado 1.3, os padrões emitidos por entidades reconhecidas pela ISO. Entre elas estão, além de muitas outras
organizações:
O departamento de redes dos Estados Unidos (6) (sob o qual encontraremos os padrões da internet);
A Open Software Foundation (22);
A associação de empresas aéreas SITA (69);
As entidades identi�cadas pela OTAN (57).
Ramos
Sobre os ramos, destacamos:
RAMO INTERNET
Da árvore (1.3.6.1) há sete categorias.
RAMO PRIVATE
https://oid-info.com/get/1.3.6.1.2.1
04/03/2022 20:26 Disciplina Portal
https://estudante.estacio.br/disciplinas/estacio_6824597/temas/3/conteudos/1 6/14
Da árvore (1.3.6.1.4) onde encontramos uma lista [IANA 2009b] dos nomes e códigos de empresas privadas para as mais de
quatro mil empresas privadas que se registraram na Internet Assigned Numbers Authority (IANA) [IANA 2009a].
RAMO MANAGEMENT
Da árvore (1.3.6.1.2) e MIB-2 (1.3.6.1.2.1), onde encontramos a de�nição dos módulos MIB padronizados.
Fonte da Imagem:
Observa-se que o ramo mais baixo da árvore da imagem que tratamos anteriormente mostra alguns dos módulos
MIB importantes orientados para hardware (system e interface), bem como os associados a alguns dos protocolos
mais importantes da internet. O RFC (glossário) 5000 relaciona todos os módulos MIB padronizados.
Essa é uma longa jornada até chegarmos ao nosso cantinho no espaço de nomes da ISO!
OBJETOS GERENCIADOS
Os objetos gerenciados que �cam sob o título system contêm informações gerais sobre o dispositivo que está sendo
gerenciado. Todos os dispositivos gerenciados devem suportar os objetos MIB do grupo system.
A tabela a seguir de�ne os objetos gerenciados no grupo system, de acordo com o RFC 1213.
Podemos, também, de�nir os objetos gerenciados no módulo MIB para o protocolo UDP em uma entidade
gerenciada. Observe na próxima tabela.
04/03/2022 20:26 Disciplina Portal
https://estudante.estacio.br/disciplinas/estacio_6824597/temas/3/conteudos/1 7/14
OPERAÇÕES DO PROTOCOLO SNMP E MAPEAMENTOS DE
TRANSPORTE
O protocolo simples de gerenciamento de redes versão 2 (SNMPv2) [RFC 3416] é usado para transportar informações
da MIB entre entidades gerenciadoras a agentes, executando em nome das entidades gerenciadoras.
A utilização mais comum do SNMP é em um modo comando-resposta, no qual:
Em geral, uma requisição é usada para consultar (recuperar) ou modi�car (de�nir) valores de objetos MIB associados
a um dispositivo gerenciado. Veja, a seguir, outros usos do SNMP.
“Mensagem trap”
O SNMP também é usado quando um agente envia uma mensagem não solicitada, conhecida como “mensagem
trap”, à entidade gerenciadora.
As “mensagens traps” são usadas para noti�car uma entidade gerenciadora de uma situação excepcional que
resultou em mudançanos valores dos objetos MIB.
Vimos na aula anterior que o administrador de rede pode querer receber uma “mensagem trap”, por exemplo, quando:
04/03/2022 20:26 Disciplina Portal
https://estudante.estacio.br/disciplinas/estacio_6824597/temas/3/conteudos/1 8/14
Atenção!
, Observe que há uma série de compromissos importantes entre consulta de objetos (interação comando-resposta) e a
trapping.
Mensagens PDUs
O SNMPv2 de�ne alguns tipos de mensagens conhecidas genericamente como PDUs (Protocol Data Units/ Protocolo
de Unidade de Dados), conforme mostrado a seguir:
PDUS GETREQUEST, GETNEXTREQUEST E GETBULKREQUEST
Enviadas de uma entidade gerenciadora a um agente para requisitar o valor de um ou mais objetos MIB no dispositivo
gerenciado do agente.
Os identi�cadores de objeto dos MIB cujos valores estão sendo requisitados são especificados na parte de vinculação de
variáveis da PDU.
GetRequest, GetNextRequest e GetBulkRequest diferem no grau de especi�cidade de seus pedidos de dados:
GetRequest pode requisitar um conjunto arbitrário de valores MIB;
GetNextRequest múltiplas podem ser usadas para percorrer a sequência de uma lista ou tabela de objetos MIB;
GetBulkRequest permite que um grande bloco de dados seja devolvido, evitando a sobrecarga incorrida quando tiverem de ser
enviadas múltiplas mensagens GetRequest ou GetNextRequest.
Nos três casos, o agente responde com uma PDU Response que contém os identi�cadores de objetos e seus valores
associados.
PDU SETREQUEST
Usada por uma entidade gerenciadora para estabelecer o valor de um ou mais objetos MIB em um dispositivo gerenciado.
Um agente responde com uma PDU Response que contém uma mensagem de estado de erro “noError” para con�rmar que o
valor realmente foi estabelecido.
PDU INFORMREQUEST
Usada por uma entidade gerenciadora para comunicar informações MIB remotas à entidade receptora.
A entidade receptora responde usando uma PDU Response com a mensagem de estado de erro “noError” para reconhecer o
recebimento da PDU InformRequest.
“MENSAGEM TRAP”
O tipo �nal de PDU SNMPv2 é a “mensagem trap” gerada assincronamente, isto é, não é gerada em resposta a uma requisição
recebida, mas em resposta a um evento para o qual a entidade gerenciadora requer noti�cação.
O RFC 3418 de�ne tipos conhecidos de “trap” que incluem uma partida a frio ou a quente realizada por um dispositivo para
ativação ou interrupção de um enlace e perda de um vizinho ou um evento de falha de autenticação.
Uma requisição de “trap” recebida não exige resposta de uma entidade gerenciadora.
A tabela, a seguir, resume os tipos de PDU SNMPv2.
04/03/2022 20:26 Disciplina Portal
https://estudante.estacio.br/disciplinas/estacio_6824597/temas/3/conteudos/1 9/14
Fonte da Imagem:
Sabendo da natureza do SNMPv2, convém observar que, embora as SNMP-PDUs possam ser transportadas por
muitos protocolos de transporte diferentes, elas normalmente são transportadas na carga útil de um datagrama UDP.
Na verdade, o RFC 3417 estabelece que o UDP é o “mapeamento de transporte preferencial”.
Já que o UDP é um protocolo de transporte não con�ável, não há garantia de que um comando ou sua resposta será
recebido no destino pretendido.
O campo request ID da PDU é usado pela entidade gerenciadora para numerar as requisições que faz a um agente. A
resposta de um agente adota a request ID daquela do comando recebido. Assim, o campo request ID pode ser usado
pela entidade gerenciadora para detectar comandos ou respostas perdidos. Cabe à entidade gerenciadora decidir se
retransmitirá um comando, se nenhuma resposta correspondente for recebida após determinado período de tempo.
Saiba mais!
, Em particular, o padrão SNMP não impõe nenhum procedimento especí�co de retransmissão; nem mesmo diz que o comando
deve ser enviado em primeiro lugar. Ele requer apenas que a entidade gerenciadora “haja com em relação à frequência e à
duração das retransmissões”. Isso, é claro, nos leva a re�etir sobre como deve agir um protocolo “responsável”!
Veja o formato do PDU SNMPv2:
SEGURANÇA E ADMINISTRAÇÃO (SNMPV3)
04/03/2022 20:26 Disciplina Portal
https://estudante.estacio.br/disciplinas/estacio_6824597/temas/3/conteudos/1 10/14
Os projetistas do SNMPv3 têm dito que o “SNMPv3 pode ser considerado um SNMPv2 com
capacidades adicionais de segurança e de administração” [RFC 3410].
Decerto que há mudanças no SNMPv3 em relação ao SNMPv2, mas em nenhum lugar elas são
mais evidentes do que nas áreas da administração e da segurança.
O papel central da segurança no SNMPv3 era de particular importância já que a falta de segurança
adequada resultava no uso do SNMP primordialmente para monitorar em vez de controlar (por
exemplo, SetRequest é pouquíssimo usada no SNMPv1).
À medida que o SNMP amadurecia, passando por 3 versões, sua funcionalidade crescia. Porém,
infelizmente, crescia também o número de documentos de padronização relacionados a ele.
Isso é evidenciado pelo fato de que há agora um RFC [RFC 3411] que “descreve uma arquitetura para
descrever os Ambientes de Gerenciamento do SNMP”!
Embora a ideia de uma “arquitetura” para “descrever um ambiente” possa ser um pouco excessiva para nossa
cabeça, o objetivo do RFC 3411 é admirável:
Fonte: donatas1205 / Shutterstock
Introduzir uma linguagem comum para descrever a funcionalidade e as ações executadas por um agente ou entidade
gerenciadora SNMPv3.
Comentário
, A arquitetura de uma entidade SNMPv3 é direta e viajar por ela servirá para solidi�car nosso entendimento do SNMP.
A seguir, veja as especi�cações da SNMP.
Aplicações SNMP
Entre outras, as denominadas aplicações SNMP consistem em:
04/03/2022 20:26 Disciplina Portal
https://estudante.estacio.br/disciplinas/estacio_6824597/temas/3/conteudos/1 11/14
Gerador de comandos
Veja o processo do gerador de comandos:
A imagem, a seguir, mostra uma PDU gerada pela aplicação geradora de comandos que entra primeiro no módulo de
despacho, onde é determinada a versão do SNMP.
Saiba mais!
, Caso seja necessária criptografia ou autenticação, são incluídos também os campos de cabeçalho apropriados para essas
informações., , Você pode ver mais detalhes no RFC 3411.
04/03/2022 20:26 Disciplina Portal
https://estudante.estacio.br/disciplinas/estacio_6824597/temas/3/conteudos/1 12/14
Fonte da Imagem:
Por �m, a mensagem SNMP (a PDU gerada pela aplicação e mais as informações do cabeçalho de mensagem) é
passada ao protocolo de transporte apropriado.
O protocolo de transporte preferencial para transportar mensagens SNMP é o UDP, isto é, as mensagens SNMP são
transportadas como carga útil de um datagrama UDP e o número de porta preferencial para o SNMP é a porta 161. A
porta 162 é usada para “mensagens trap”.
Vimos antes que as mensagens SNMP são usadas não só para monitorar mas também para controlar elementos da
rede (por exemplo, através do comando SetRequest).
É claro que um intruso que conseguisse interceptar mensagens SNMP e/ou gerar seus próprios pacotes SNMP na
infraestrutura de gerenciamento poderia criar um grande tumulto na rede.
Assim, é crucial que mensagens SNMP sejam transmitidas com segurança. E foi apenas na versão mais recente do
SNMP que a segurança recebeu a atenção merecida.
Chegou a hora de exercitar o que você aprendeu!
Analise os itens abaixo e, em seguida, faça a relação com suas de�nições.
( ) MIB
( ) UDP
( ) PDU SNMP “trap”
( ) PDU SNMP
“InformRequest”
( ) SNMPv3
( ) PDU SNMP
“GetBulkRequest”
1 - É o protocolo de camada de transporte que por padrão é usado para
transportar mensagens SNMP.
2 - É denominada a base de dados presente em cada dispositivo gerenciado e
armazena informações colhidas para posteriormente serem lidas pela entidade
gerenciadora.
3 - É a versão SNMP que introduziu funcionalidades de segurança e
administração.
4 - Tem como função informar ao gerente SNMP um evento excepcional.
5 - Tem como função solicitar valores em grandes blocos de dados, por
exemplo, valores em uma grande tabela.
6 - Tem como função informar à entidade gerenciadora remota valores MIB que
sãoremotos para seu acesso.
A sequência correta é:
2 − 1 − 4 − 3 – 5 – 6
04/03/2022 20:26 Disciplina Portal
https://estudante.estacio.br/disciplinas/estacio_6824597/temas/3/conteudos/1 13/14
2 – 1 – 3 – 4 – 6 - 5
3 − 4 − 2 − 1 – 5 - 6
2 – 1 – 4 – 6 – 3 – 5
Justi�cativa
Glossário
SMI - STRUCTURE FOR MANAGEMENT INFORMATION
Linguagem padrão para descrição de dados usado pelo protocolo SNMP.
IETF
Internet Engineering Task Force.
04/03/2022 20:26 Disciplina Portal
https://estudante.estacio.br/disciplinas/estacio_6824597/temas/3/conteudos/1 14/14
ISO
International Organization for Standardization.
RFC - REQUEST FOR COMMENTS.
Documentos de domínio público que de�nem cada padrão/protocolo usado pela internet. Esses documentos estão
gratuitamente disponíveis na internet.