SNMP

SNMP
EL PROTOCOLO SIMPLE DE ADMINISTRACIÓN DE REDES (SNMP) SE DESARROLLÓ PARA QUE LOS ADMINISTRADORES PUEDAN ADMINISTRAR NODOS COMO SERVIDORES, ESTACIONES DE TRABAJO, ROUTERS, SWITCHES Y DISPOSITIVOS DE SEGURIDAD EN UNA RED IP. PERMITE QUE LOS ADMINISTRADORES DE REDES MONITOREEN Y ADMINISTREN EL RENDIMIENTO DE LA RED, DETECTEN Y RESUELVAN PROBLEMAS DE RED Y PLANIFIQUEN EL CRECIMIENTO DE LA RED.

Indice

    Funcionamiento de SNMP
  • Introduccion a SNMP

  • Funcionamiento de SNMP

  • Traps del agente SNMP

  • Versiones de SNMP

  • Cadenas de comunidad

  • ID de objeto de base de información de administración

  • SNMPv3

      Configurar SNMP
    • Pasos para configurar SNMP

    • Verificacion de la configuracion de SNMP

    • Practicas recomendads de SNMP

    • Pasos de configuracion de SNMPv3

    • Configuracion de SNMPv3

      Introduccion a SNMP


      SNMP ES UN PROTOCOLO DE CAPA DE APLICACIÓN QUE PROPORCIONA UN FORMATO DE MENSAJE PARA LA COMUNICACIÓN ENTRE ADMINISTRADORES Y AGENTES. EL SISTEMA SNMP CONSTA DE TRES ELEMENTOS:
    • ADMINISTRADOR DE SNMP




      • El administrador de SNMP forma parte de un sistema de administración de red (NMS). El administrador de SNMP ejecuta software de administración SNMP.el administrador de SNMP puede recopilar información de un agente SNMP mediante una acción “get” y puede cambiar la configuración en un agente mediante la acción “set”. Además, lo agentes de SNMP pueden reenviar información directamente a un administrador de red mediante notificaciones
    • AGENTES SNMP (NODO ADMINISTRADO)




      • EL agente de SNMP y MIB se alojan en los dispositivos del cliente de SNMP. Los dispositivos de red que se deben administrar, como los switches, los routers, los servidores, los firewalls y las estaciones de trabajo, cuentan con un módulo de software de agente SMNP.
    • BASE DE INFORMACIÓN DE ADMINISTRACIÓN (MIB)




      • Las MIB almacenan datos sobre el dispositivo y estadísticas operativas y deben estar disponibles para los usuarios remotos autenticados. El agente de SNMP es responsable de brindar acceso a la MIB local.
















      Funcionamiento de SNMP


      LOS AGENTES SNMP QUE RESIDEN EN LOS DISPOSITIVOS ADMINISTRADOS RECOPILAN Y ALMACENAN INFORMACIÓN SOBRE LOS DISPOSITIVOS Y SU FUNCIONAMIENTO. EL AGENTE ALMACENA ESTA INFORMACIÓN LOCALMENTE EN LA MIB. EL ADMINISTRADOR DE SNMP LUEGO USA EL AGENTE SNMP PARA TENER ACCESO A LA INFORMACIÓN DENTRO DE LA MIB. Existen dos solicitudes principales de administrador de SNMP: get y set. NMS usa una solicitud get para solicitar datos al dispositivo. NMS usa una solicitud "set" para cambiar las variables de configuración en el dispositivo de agente.
        El agente SNMP responde a las solicitudes del administrador de SNMP de la siguiente manera:
      • Obtener una variable de MIB: el agente de SNMP ejecuta esta función en respuesta a GetRequest-PDU del administrador de red. El agente obtiene el valor de la variable de MIB solicitada y responde al administrador de red con dicho valor.
      • Definir una variable de MIB: el agente de SNMP ejecuta esta función en respuesta a SetRequest-PDU del administrador de red. El agente de SNMP cambia el valor de la variable de MIB al valor especificado por el administrador de red. La respuesta del agente SNMP a una solicitud set incluye la nueva configuración en el dispositivo.

      Traps del agente SNMP


      NMS SONDEA PERIÓDICAMENTE A LOS AGENTES SNMP QUE RESIDEN EN LOS DISPOSITIVOS ADMINISTRADOS PARA SOLICITAR DATOS A LOS DISPOSITIVOS MEDIANTE LA SOLICITUD GET. CON ESTE PROCESO, UNA APLICACIÓN DE ADMINISTRACIÓN DE RED PUEDE RECOPILAR INFORMACIÓN PARA CONTROLAR CARGAS DE TRÁFICO Y VERIFICAR LAS CONFIGURACIONES DE LOS DISPOSITIVOS ADMINISTRADOS. TIEMPO REAL.

      Versiones de SNMP


        HAY VARIAS VERSIONES DE SNMP:
      • SNMPV1: EL PROTOCOLO SIMPLE DE ADMINISTRACIÓN DE RED, UN ESTÁNDAR DE INTERNET COMPLETO, SE DEFINE EN RFC 1157.
      • SNMPV2C: SE DEFINE EN LAS RFC 1901 A 1908; UTILIZA EL MARCO ADMINISTRATIVO BASADO EN CADENAS DE COMUNIDAD.
      • SNMPV3: PROTOCOLO INTEROPERABLE BASADO EN ESTÁNDARES DEFINIDO ORIGINALMENTE EN LAS RFC 2273 A 2275;
        PROPORCIONA ACCESO SEGURO MEDIANTE LA AUTENTICACIÓN Y EL CIFRADO DE PAQUETES A TRAVÉS DE LA RED.

      Cadenas de comunidad


      Para que SNMP funcione, NMS debe tener acceso a la MIB. Para asegurar que las solicitudes de acceso sean válidas, debe haber cierta forma de autenticación. SNMPv1 y SNMPv2c usan cadenas de comunidad que controlan el acceso a la MIB. Las cadenas de comunidad son contraseñas de texto no cifrado. Las cadenas de la comunidad de SNMP autentican el acceso a los objetos MIB.
        Existen dos tipos de cadenas de comunidad:
      • Solo lectura (ro): proporciona acceso a las variables de MIB, pero no permite realizar cambios a estas variables, solo leerlas. Debido a que la seguridad es mínima en la versión 2c, muchas organizaciones usan SNMPv2c en modo de solo lectura.
      • Lectura y escritura (rw): proporciona acceso de lectura y escritura a todos los objetos de la MIB.
        • Para ver o establecer variables de MIB, el usuario debe especificar la cadena de comunidad correspondiente para el acceso de lectura o escritura.

        ID de objeto de base de información de administración

        LA MIB ORGANIZA VARIABLES DE MANERA JERÁRQUICA. LAS VARIABLES DE MIB PERMITEN QUE EL SOFTWARE DE ADMINISTRACIÓN CONTROLE EL DISPOSITIVO DE RED. FORMALMENTE, LA MIB DEFINE CADA VARIABLE COMO UNA ID DE OBJETO (OID). LAS OID IDENTIFICAN DE FORMA EXCLUSIVA LOS OBJETOS ADMINISTRADOS EN LA JERARQUÍA DE LA MIB. LA MIB ORGANIZA LAS OID SEGÚN ESTÁNDARES RFC EN UNA JERARQUÍA DE OID, QUE SE SUELE MOSTRAR COMO UN ÁRBOL.

        SNMPv3

        El protocolo simple de administración de redes versión 3 (SNMPv3) autentica y cifra los paquetes de toda la red para proporcionar un acceso seguro a los dispositivos. El agregado de la autenticación y el cifrado a SNMPv3 brinda una solución a las vulnerabilidades de las versiones anteriores de SNMP.
          SNMPv3 proporciona tres funciones de seguridad:
        • Integridad y autenticación de mensajes: las transmisiones del administrador de SNMP (NMS) a los agentes (nodos administrados) pueden autenticarse para garantizar la identidad del emisor y la integridad y la puntualidad del mensaje. Esto garantiza que el paquete no se haya manipulado en tránsito y que sea de una fuente válida.
        • Encriptación: los mensajes de SNMPv3 se pueden encriptar para garantizar la privacidad. La encriptación cifra los contenidos de un paquete para evitar que los vea una fuente no autorizada.
        • Control de acceso: limita a los administradores SNMP a ciertas acciones en partes específicas de los datos. Por ejemplo, se puede evitar que NMS tenga acceso total al dispositivo de firewall.

          • Pasos para configurar SNMP

          Un administrador de red puede configurar SNMPv2 para obtener información de red de los dispositivos de red. Como se muestra en la ilustración, todos los pasos básicos para configurar SNMP se realizan en el modo de configuración global.

          Paso 1. (Obligatorio) Configure la cadena de comunidad y el nivel de acceso (solo lectura o lectura y escritura) mediante el comando snmp-server community string ro | rw .

          Paso 2: (Optativo) Registre la ubicación del dispositivo mediante el comando snmp-server location text .

          Paso 3. (Optativo) Registre el contacto del sistema mediante el comando snmp-server contact text .

          Paso 4. (Opcional) Restrinja el acceso de SNMP a los host de NMS (administradores de SNMP) permitidos por una ACL: defina la ACL y haga referencia a la ACL con el comando snmp-server community string access-list-number-or-name .

          Paso 6: (Optativo) Habilite las notificaciones en un agente SNMP con el comando snmp-server enable traps notification-types . Si no se especifica ningún tipo de notificación de traps en este comando, entonces se envían todos los tipos de trap

          Verificacion de la configuracion de SNMP

          Existen varias soluciones de software para ver el resultado de SNMP. Para nuestros fines, el servidor de syslog Kiwi muestra los mensajes de SNMP asociados a las traps de SNMP. Para verificar la configuración SNMP, utilice cualquier variante del comando show snmp del modo EXEC privilegiado. El comando más útil es simplemente el comando show snmp, ya que muestra la información que suele ser de interés al examinar la configuración SNMP. A menos que haya una configuración SNMPv3 involucrada, la mayoría de las otras opciones de comandos solo muestran partes seleccionadas del resultado del comando show snmp. El resultado del comando show snmp no muestra información relacionada con la cadena de comunidad SNMP o, si corresponde, con la ACL asociada.

          Practicas recomendadas de SNMP

          SNMP ES MUY ÚTIL PARA MONITOREAR Y SOLUCIONAR PROBLEMAS, COMO SE MUESTRA EN LA FIGURA, PERO TAMBIÉN PUEDE CREAR VULNERABILIDADES DE SEGURIDAD. POR ESTE MOTIVO, ANTES DE IMPLEMENTAR SNMP, TENGA EN CUENTA LAS PRÁCTICAS RECOMENDADAS DE SEGURIDAD. SNMPV1 Y SNMPV2C DEPENDEN DE LAS CADENAS DE COMUNIDAD SNMP EN TEXTO NO CIFRADO PARA AUTENTICAR EL ACCESO A LOS OBJETOS DE LA MIB. ESTAS CADENAS DE COMUNIDAD, AL IGUAL QUE TODAS LAS CONTRASEÑAS, SE DEBEN ELEGIR CUIDADOSAMENTE PARA ASEGURAR QUE NO SEAN DEMASIADO FÁCILES DE DESCIFRAR.

          Pasos de configuracion de SNMPPv

          PASO 1: CONFIGURE UNA ACL ESTÁNDAR QUE PERMITA EL ACCESO A ADMINISTRADO RES DE SNMP AUTORIZADOS.

          PASO 2. CONFIGURE UNA VISTA DE SNMP CON EL COMANDO DE CONFIGURACIÓN GLOBAL SNMP-SERVER VIEW PARA INDICAR QUÉ IDENTIFICADORES DE OBJETOS MIB (OID) PODRÁ LEER EL ADMINISTRADOR DE SNMP. SE REQUIERE LA CONFIGURACIÓ N DE UNA VISUALIZACIÓN PARA LIMITAR LOS MENSAJES SNMP A ACCESO DE SÓLO LE CTURA.

          PASO 3. CONFIGURE LAS FUNCIONES DEL GRUPO DE SNMP CON EL COMANDO DE CONFIGURACIÓN GLOBAL SNMP-SERVER GROUP. ESTE COMANDO TIENE LOS SIGUIENTES PARÁMETROS (CONSULTE LA SINTAXIS EN LA FIGURA): CONFIGURA UN NOMBRE PARA EL GRUPO. ESTABLECE LA VERSIÓN DE SNMP. ESPECIFICA LA AUTENTICACIÓN Y LA ENCRIPTACIÓN NECESARIAS. ASOCIA LA VISTA DEL PASO 2 AL GRUPO. ESPECIFICA EL ACCESO DE LECTURA O DE LECTURA Y ESCRITURA. FILTRA EL GRUPO CON LA ACL CONFIGURADA EN EL PASO 1.

          PASO 4. CONFIGURE LAS FUNCIONES DE USUARIO DEL GRUPO DE SNMP CON EL COMANDO DE CONFIGURACIÓN GLOBAL SNMP-SERVER USER. EL COMANDO TIENE LOS SIGUIENTES PARÁMETROS: CONFIGURA UN NOMBRE DE USUARIO. ASOCIA AL USUARIO CON EL NOMBRE DE GRUPO CONFIGURADO EN EL PASO 3. ESTABLECE LA VERSIÓN DE SNMP. ESTABLECE EL TIPO DE AUTENTICACIÓN. SE PREFIERE EL SHA Y DEBE SE R ADMITIDO POR EL SOFTWARE DE ADMINISTRACIÓN DE SNMP. ESTABLECE EL TIPO DE ENCRIPTACIÓN. CONFIGURA UNA CONTRASEÑA DE ENCRIPTACIÓN.

          Configuracion de SNMPv

          Una vista de SNMP se denomina SNMP-RO y se configura para incluir todo el árbol ISO de MIB. En una red de producción, el administrador de red probablemente configuraría esta vista para incluir sólo los OID de MIB que fueran necesarios para supervisar y administrar la red. Se configura un grupo SNMP con el nombre ADMIN. El SNMP se establece en versión 3 con autenticación y cifrado requeridos. El grupo tiene acceso de solo lectura a la vista (SNMP-RO). El acceso para el grupo está limitado por PERMIT-ADMIN ACL.


















    Comentarios

    Publicar un comentario

    ¿Quienes somos?

    Somos una empresa que se dedica a la explicacion y mitigacion de problemas de red

    Tambien nos dedicamos a la seguridad de los puertos

    analisis de trafico sospechoso y en SPAN(Switches Port Analyzer) Analizador de puertos de switches



    En los apartados de arriba se muestra nuestra visión, misión y los temas que abordaremos junto con sus explicaciones