Baixe o app para aproveitar ainda mais
Prévia do material em texto
04/03/2022 20:26 Disciplina Portal https://estudante.estacio.br/disciplinas/estacio_6824597/temas/3/conteudos/1 1/14 Gerência e Análise de Redes Aula 3 - A infraestrutura do gerenciamento de redes II INTRODUÇÃO Na aula anterior, iniciamos os estudos da infraestrutura de gerenciamento padrão da Internet: O SNMP (Simple Network Management Protocol). Nesta aula, continuaremos no mesmo assunto, dando destaque para a base de informações de gerenciamento (MIB) e a padronização de módulos. Além disso, veremos as operações do protocolo SNMP, bem como seus mapeamentos de transporte. Por �m, falaremos sobre as novas funcionalidades trazidas pelo SNMPv3: segurança e administração. 04/03/2022 20:26 Disciplina Portal https://estudante.estacio.br/disciplinas/estacio_6824597/temas/3/conteudos/1 2/14 Bons estudos! OBJETIVOS Analisar a base de informações de gerenciamento (MIB e módulos padronizados); Descrever as operações do protocolo SNMP e os mapeamentos de transporte; Avaliar as funcionalidades segurança e administração. 04/03/2022 20:26 Disciplina Portal https://estudante.estacio.br/disciplinas/estacio_6824597/temas/3/conteudos/1 3/14 MIB E MÓDULOS PADRONIZADOS Fonte da Imagem: Como já dissemos, a base de informações de gerenciamento (Management Information Base — MIB) pode ser imaginada como um banco virtual de informações que guarda objetos gerenciados com valores que coletivamente re�etem o “estado” atual da rede. Esses valores podem ser consultados e/ou de�nidos por uma entidade gerenciadora através do envio de mensagens SNMP ao agente que está rodando em um dispositivo gerenciado em nome da entidade gerenciadora. Fonte: donatas1205 / Shutterstock Objetos gerenciados são especi�cados utilizando a construção “object-type” da SMI (glossário), discutida anteriormente, e agrupados em módulos MIB, utilizando a construção “module-identity”. Saiba mais! , A IETF tem estado muito atarefada com a padronização de módulos MIB associados a roteadores hospedeiros e outros equipamentos de rede. Isso inclui dados básicos de identi�cação sobre determinado componente de hardware e informações de gerenciamento sobre as interfaces e os protocolos de dispositivos da rede., , Até 2006 havia mais de 200 módulos MIB baseados em padrões e um número ainda maior de módulos MIB especificados por fabricantes privados., , Com todos esses padrões, a IETF precisava encontrar um modo de identi�car e dar nome aos módulos padronizados, bem como aos objetos gerenciados especí�cos dentro de um módulo. Em vez de começar do zero, a IETF adotou uma estrutura padronizada de identi�cação de objetos (nomeação) que já tinha sido publicada pela ISO. 04/03/2022 20:26 Disciplina Portal https://estudante.estacio.br/disciplinas/estacio_6824597/temas/3/conteudos/1 4/14 Fonte da Imagem: Como acontece com muitas entidades dedicadas à padronização, a ISO tinha “grandes planos” para sua estrutura padronizada de identi�cação de objetos: Identi�car todo e qualquer objeto padronizado possível (por exemplo, formato de dados protocolo ou informação) em qualquer rede das organizações dedicadas à padronização das redes (como IETF, ISO, IEEE ou ANSI) do fabricante do equipamento ou do proprietário da rede. Esse é um objetivo bem grandioso mesmo! Os módulos MIB padronizados já têm seu próprio lugar dentro dessa estrutura de nomeação bastante abrangente como veremos a seguir. Atenção! , A estrutura de identi�cação de objeto adotada pela ISO é parte da linguagem de de�nição de objetos ASN.1 [ISO X.680 2002] que serão explicados mais adiante. NOMEAÇÃO EM MODO HIERÁRQUICO Veja como, na estrutura de nomeação da ISO, os objetos são nomeados de modo hierárquico: 04/03/2022 20:26 Disciplina Portal https://estudante.estacio.br/disciplinas/estacio_6824597/temas/3/conteudos/1 5/14 Fonte da Imagem: Note que: Cada ponto de ramo da árvore tem um nome e um número (entre parênteses). Assim, qualquer ponto da árvore pode ser identi�cado pela sequência de nomes ou números que especi�cam o trajeto da raiz até aquele ponto na árvore identi�cadora. No topo da hierarquia, estão a ISO e o ITU-T, as duas principais entidades de padronização que tratam da ASN.1, bem como um ramo para o esforço conjunto realizado por essas duas organizações. No ramo ISO da árvore, encontramos registros para todos os padrões ISO (1.0) e para os emitidos por entidades padronizadoras de vários países membros da ISO (1.2). Embora não apareça na imagem, logo abaixo desse ramo da árvore (ISO/países membros também conhecido como 1.2) encontraríamos os Estados Unidos (1.2.840) embaixo dos quais encontraríamos um número para os padrões IEEE e ANSI e para os padrões especí�cos de empresas privadas. Entre essas empresas, estão a RSA (1.2.840.11359) e a Microsoft (1.2.840.113556), sob a qual encontraríamos os Microsoft File Formats (1.2.840.113556.4) para vários produtos da Microsoft, como o Word (1.2.840.113556.2). Saiba mais! , Veja um programa baseado na Web — divertido, mas incompleto e não o�cial — que percorre parte da árvore de identi�cadores de objetos (usando informações sobre os ramos oferecidas por voluntários), clicando aqui (//oid- info.com/get/1.3.6.1.2.1). Ramo 1.3 Como estamos interessados em redes (e não nos arquivos do MS Word), vamos voltar a nossa atenção ao ramo denominado 1.3, os padrões emitidos por entidades reconhecidas pela ISO. Entre elas estão, além de muitas outras organizações: O departamento de redes dos Estados Unidos (6) (sob o qual encontraremos os padrões da internet); A Open Software Foundation (22); A associação de empresas aéreas SITA (69); As entidades identi�cadas pela OTAN (57). Ramos Sobre os ramos, destacamos: RAMO INTERNET Da árvore (1.3.6.1) há sete categorias. RAMO PRIVATE https://oid-info.com/get/1.3.6.1.2.1 04/03/2022 20:26 Disciplina Portal https://estudante.estacio.br/disciplinas/estacio_6824597/temas/3/conteudos/1 6/14 Da árvore (1.3.6.1.4) onde encontramos uma lista [IANA 2009b] dos nomes e códigos de empresas privadas para as mais de quatro mil empresas privadas que se registraram na Internet Assigned Numbers Authority (IANA) [IANA 2009a]. RAMO MANAGEMENT Da árvore (1.3.6.1.2) e MIB-2 (1.3.6.1.2.1), onde encontramos a de�nição dos módulos MIB padronizados. Fonte da Imagem: Observa-se que o ramo mais baixo da árvore da imagem que tratamos anteriormente mostra alguns dos módulos MIB importantes orientados para hardware (system e interface), bem como os associados a alguns dos protocolos mais importantes da internet. O RFC (glossário) 5000 relaciona todos os módulos MIB padronizados. Essa é uma longa jornada até chegarmos ao nosso cantinho no espaço de nomes da ISO! OBJETOS GERENCIADOS Os objetos gerenciados que �cam sob o título system contêm informações gerais sobre o dispositivo que está sendo gerenciado. Todos os dispositivos gerenciados devem suportar os objetos MIB do grupo system. A tabela a seguir de�ne os objetos gerenciados no grupo system, de acordo com o RFC 1213. Podemos, também, de�nir os objetos gerenciados no módulo MIB para o protocolo UDP em uma entidade gerenciada. Observe na próxima tabela. 04/03/2022 20:26 Disciplina Portal https://estudante.estacio.br/disciplinas/estacio_6824597/temas/3/conteudos/1 7/14 OPERAÇÕES DO PROTOCOLO SNMP E MAPEAMENTOS DE TRANSPORTE O protocolo simples de gerenciamento de redes versão 2 (SNMPv2) [RFC 3416] é usado para transportar informações da MIB entre entidades gerenciadoras a agentes, executando em nome das entidades gerenciadoras. A utilização mais comum do SNMP é em um modo comando-resposta, no qual: Em geral, uma requisição é usada para consultar (recuperar) ou modi�car (de�nir) valores de objetos MIB associados a um dispositivo gerenciado. Veja, a seguir, outros usos do SNMP. “Mensagem trap” O SNMP também é usado quando um agente envia uma mensagem não solicitada, conhecida como “mensagem trap”, à entidade gerenciadora. As “mensagens traps” são usadas para noti�car uma entidade gerenciadora de uma situação excepcional que resultou em mudançanos valores dos objetos MIB. Vimos na aula anterior que o administrador de rede pode querer receber uma “mensagem trap”, por exemplo, quando: 04/03/2022 20:26 Disciplina Portal https://estudante.estacio.br/disciplinas/estacio_6824597/temas/3/conteudos/1 8/14 Atenção! , Observe que há uma série de compromissos importantes entre consulta de objetos (interação comando-resposta) e a trapping. Mensagens PDUs O SNMPv2 de�ne alguns tipos de mensagens conhecidas genericamente como PDUs (Protocol Data Units/ Protocolo de Unidade de Dados), conforme mostrado a seguir: PDUS GETREQUEST, GETNEXTREQUEST E GETBULKREQUEST Enviadas de uma entidade gerenciadora a um agente para requisitar o valor de um ou mais objetos MIB no dispositivo gerenciado do agente. Os identi�cadores de objeto dos MIB cujos valores estão sendo requisitados são especificados na parte de vinculação de variáveis da PDU. GetRequest, GetNextRequest e GetBulkRequest diferem no grau de especi�cidade de seus pedidos de dados: GetRequest pode requisitar um conjunto arbitrário de valores MIB; GetNextRequest múltiplas podem ser usadas para percorrer a sequência de uma lista ou tabela de objetos MIB; GetBulkRequest permite que um grande bloco de dados seja devolvido, evitando a sobrecarga incorrida quando tiverem de ser enviadas múltiplas mensagens GetRequest ou GetNextRequest. Nos três casos, o agente responde com uma PDU Response que contém os identi�cadores de objetos e seus valores associados. PDU SETREQUEST Usada por uma entidade gerenciadora para estabelecer o valor de um ou mais objetos MIB em um dispositivo gerenciado. Um agente responde com uma PDU Response que contém uma mensagem de estado de erro “noError” para con�rmar que o valor realmente foi estabelecido. PDU INFORMREQUEST Usada por uma entidade gerenciadora para comunicar informações MIB remotas à entidade receptora. A entidade receptora responde usando uma PDU Response com a mensagem de estado de erro “noError” para reconhecer o recebimento da PDU InformRequest. “MENSAGEM TRAP” O tipo �nal de PDU SNMPv2 é a “mensagem trap” gerada assincronamente, isto é, não é gerada em resposta a uma requisição recebida, mas em resposta a um evento para o qual a entidade gerenciadora requer noti�cação. O RFC 3418 de�ne tipos conhecidos de “trap” que incluem uma partida a frio ou a quente realizada por um dispositivo para ativação ou interrupção de um enlace e perda de um vizinho ou um evento de falha de autenticação. Uma requisição de “trap” recebida não exige resposta de uma entidade gerenciadora. A tabela, a seguir, resume os tipos de PDU SNMPv2. 04/03/2022 20:26 Disciplina Portal https://estudante.estacio.br/disciplinas/estacio_6824597/temas/3/conteudos/1 9/14 Fonte da Imagem: Sabendo da natureza do SNMPv2, convém observar que, embora as SNMP-PDUs possam ser transportadas por muitos protocolos de transporte diferentes, elas normalmente são transportadas na carga útil de um datagrama UDP. Na verdade, o RFC 3417 estabelece que o UDP é o “mapeamento de transporte preferencial”. Já que o UDP é um protocolo de transporte não con�ável, não há garantia de que um comando ou sua resposta será recebido no destino pretendido. O campo request ID da PDU é usado pela entidade gerenciadora para numerar as requisições que faz a um agente. A resposta de um agente adota a request ID daquela do comando recebido. Assim, o campo request ID pode ser usado pela entidade gerenciadora para detectar comandos ou respostas perdidos. Cabe à entidade gerenciadora decidir se retransmitirá um comando, se nenhuma resposta correspondente for recebida após determinado período de tempo. Saiba mais! , Em particular, o padrão SNMP não impõe nenhum procedimento especí�co de retransmissão; nem mesmo diz que o comando deve ser enviado em primeiro lugar. Ele requer apenas que a entidade gerenciadora “haja com em relação à frequência e à duração das retransmissões”. Isso, é claro, nos leva a re�etir sobre como deve agir um protocolo “responsável”! Veja o formato do PDU SNMPv2: SEGURANÇA E ADMINISTRAÇÃO (SNMPV3) 04/03/2022 20:26 Disciplina Portal https://estudante.estacio.br/disciplinas/estacio_6824597/temas/3/conteudos/1 10/14 Os projetistas do SNMPv3 têm dito que o “SNMPv3 pode ser considerado um SNMPv2 com capacidades adicionais de segurança e de administração” [RFC 3410]. Decerto que há mudanças no SNMPv3 em relação ao SNMPv2, mas em nenhum lugar elas são mais evidentes do que nas áreas da administração e da segurança. O papel central da segurança no SNMPv3 era de particular importância já que a falta de segurança adequada resultava no uso do SNMP primordialmente para monitorar em vez de controlar (por exemplo, SetRequest é pouquíssimo usada no SNMPv1). À medida que o SNMP amadurecia, passando por 3 versões, sua funcionalidade crescia. Porém, infelizmente, crescia também o número de documentos de padronização relacionados a ele. Isso é evidenciado pelo fato de que há agora um RFC [RFC 3411] que “descreve uma arquitetura para descrever os Ambientes de Gerenciamento do SNMP”! Embora a ideia de uma “arquitetura” para “descrever um ambiente” possa ser um pouco excessiva para nossa cabeça, o objetivo do RFC 3411 é admirável: Fonte: donatas1205 / Shutterstock Introduzir uma linguagem comum para descrever a funcionalidade e as ações executadas por um agente ou entidade gerenciadora SNMPv3. Comentário , A arquitetura de uma entidade SNMPv3 é direta e viajar por ela servirá para solidi�car nosso entendimento do SNMP. A seguir, veja as especi�cações da SNMP. Aplicações SNMP Entre outras, as denominadas aplicações SNMP consistem em: 04/03/2022 20:26 Disciplina Portal https://estudante.estacio.br/disciplinas/estacio_6824597/temas/3/conteudos/1 11/14 Gerador de comandos Veja o processo do gerador de comandos: A imagem, a seguir, mostra uma PDU gerada pela aplicação geradora de comandos que entra primeiro no módulo de despacho, onde é determinada a versão do SNMP. Saiba mais! , Caso seja necessária criptografia ou autenticação, são incluídos também os campos de cabeçalho apropriados para essas informações., , Você pode ver mais detalhes no RFC 3411. 04/03/2022 20:26 Disciplina Portal https://estudante.estacio.br/disciplinas/estacio_6824597/temas/3/conteudos/1 12/14 Fonte da Imagem: Por �m, a mensagem SNMP (a PDU gerada pela aplicação e mais as informações do cabeçalho de mensagem) é passada ao protocolo de transporte apropriado. O protocolo de transporte preferencial para transportar mensagens SNMP é o UDP, isto é, as mensagens SNMP são transportadas como carga útil de um datagrama UDP e o número de porta preferencial para o SNMP é a porta 161. A porta 162 é usada para “mensagens trap”. Vimos antes que as mensagens SNMP são usadas não só para monitorar mas também para controlar elementos da rede (por exemplo, através do comando SetRequest). É claro que um intruso que conseguisse interceptar mensagens SNMP e/ou gerar seus próprios pacotes SNMP na infraestrutura de gerenciamento poderia criar um grande tumulto na rede. Assim, é crucial que mensagens SNMP sejam transmitidas com segurança. E foi apenas na versão mais recente do SNMP que a segurança recebeu a atenção merecida. Chegou a hora de exercitar o que você aprendeu! Analise os itens abaixo e, em seguida, faça a relação com suas de�nições. ( ) MIB ( ) UDP ( ) PDU SNMP “trap” ( ) PDU SNMP “InformRequest” ( ) SNMPv3 ( ) PDU SNMP “GetBulkRequest” 1 - É o protocolo de camada de transporte que por padrão é usado para transportar mensagens SNMP. 2 - É denominada a base de dados presente em cada dispositivo gerenciado e armazena informações colhidas para posteriormente serem lidas pela entidade gerenciadora. 3 - É a versão SNMP que introduziu funcionalidades de segurança e administração. 4 - Tem como função informar ao gerente SNMP um evento excepcional. 5 - Tem como função solicitar valores em grandes blocos de dados, por exemplo, valores em uma grande tabela. 6 - Tem como função informar à entidade gerenciadora remota valores MIB que sãoremotos para seu acesso. A sequência correta é: 2 − 1 − 4 − 3 – 5 – 6 04/03/2022 20:26 Disciplina Portal https://estudante.estacio.br/disciplinas/estacio_6824597/temas/3/conteudos/1 13/14 2 – 1 – 3 – 4 – 6 - 5 3 − 4 − 2 − 1 – 5 - 6 2 – 1 – 4 – 6 – 3 – 5 Justi�cativa Glossário SMI - STRUCTURE FOR MANAGEMENT INFORMATION Linguagem padrão para descrição de dados usado pelo protocolo SNMP. IETF Internet Engineering Task Force. 04/03/2022 20:26 Disciplina Portal https://estudante.estacio.br/disciplinas/estacio_6824597/temas/3/conteudos/1 14/14 ISO International Organization for Standardization. RFC - REQUEST FOR COMMENTS. Documentos de domínio público que de�nem cada padrão/protocolo usado pela internet. Esses documentos estão gratuitamente disponíveis na internet.
Compartilhar