Đang tải... (xem toàn văn)
Giao thức quản lý mạng đơn giản SNMP
Table of Contents LỜI NÓI ĐẦU I Tổng quan SNMP Khái niệm SNMP SNMP giao thức quản lý mạng đơn giản SNMP “giao thức quản lý mạng đơn giản”, dịch từ cụm từ “Simple Network Management Protocol” Thế giao thức quản lý mạng đơn giản ? Giao thức tập hợp thủ tục mà bên tham gia cần tuân theo để giao tiếp với Trong lĩnh vực thông tin, giao thức quy định cấu trúc, định dạng (format) dòng liệu trao đổi với quy định trình tự, thủ tục để trao đổi dòng liệu Nếu bên tham gia gửi liệu không định dạng không theo trình tự bên khác không hiểu từ chối trao đổi thông tin SNMP giao thức, có quy định riêng mà thành phần mạng phải tuân theo Một thiết bị hiểu hoạt động tuân theo giao thức SNMP gọi “có hỗ trợ SNMP” (SNMP supported) “tương thích SNMP” (SNMP compartible) SNMP dùng để quản lý, nghĩa theo dõi, lấy thông tin, thông báo, tác động để hệ thống hoạt động ý muốn VD số khả phần mềm SNMP : + Theo dõi tốc độ đường truyền router, biết tổng số byte + truyền/nhận Lấy thông tin máy chủ có ổ cứng, ổ cứng trống + Tự động nhận cảnh báo switch có port bị down + Điều khiển tắt (shutdown) port switch SNMP dùng để quản lý mạng, nghĩa thiết kế để chạy TCP/IP quản lý thiết bị có nối mạng TCP/IP Các thiết bị mạng không thiết phải máy tính mà switch, router, firewall, adsl gateway, số phần mềm cho phép quản trị SNMP Giả sử bạn có máy giặt nối mạng IP hỗ trợ SNMP bạn quản lý từ xa SNMP SNMP giao thức đơn giản, thiết kế đơn giản cấu trúc tin thủ tục hoạt động, đơn giản bảo mật (ngoại trừ SNMP version 3) Sử dụng phần mềm SNMP, người quản trị mạng quản lý, giám sát tập trung từ xa toàn mạng SNMP có phiên : SNMPv1, SNMPv2c, SNMPv2u SNMPv3 Các phiên khác chút định dạng tin phương thức hoạt động Ưu điểm thiết kế SNMP SNMP thiết kế để đơn giản hóa trình quản lý thành phần mạng Nhờ phần mềm SNMP phát triển nhanh tốn chi phí (trong chương tác giả trình bày cách xây dựng phần mềm giám sát SNMP, bạn thấy tính đơn giản nó) SNMP thiết kế để mở rộng chức quản lý, giám sát Không có giới hạn SNMP quản lý Khi có thiết bị với thuộc tính, tính người ta thiết kế “custom” SNMP để phục vụ cho riêng (trong chương tác giả trình bày file cấu trúc liệu SNMP) SNMP thiết kế để hoạt động độc lập với kiến trúc chế thiết bị hỗ trợ SNMP Các thiết bị khác có hoạt động khác đáp ứng SNMP giống VD bạn dùng phần mềm để theo dõi dung lượng ổ cứng trống máy chủ chạy HĐH Windows Linux; không dùng SNMP mà làm trực tiếp HĐH bạn phải thực theo cách khác Nhược điểm SNMP Làm tăng lưu lượng đáng kể + Không cho phép phân bổ tác động trực tiếp cho đại lý + Không có điều khiển tổng hợp nhiều nơi quản lý Khái niệm tảng + RFC : (Request for Comments) tài liệu mô tả giao thức, thủ tục hoạt động internet RFC cá nhân, tổ chức đưa chuẩn, nhà phát triển sản phẩm tuân theo không theo RFC Khi RFC tốt nhiều nhà phát triển tuân theo nhà phát triển khác nên hỗ trợ để tương thích tốt với cộng đồng Theo RFC1157, kiến trúc SNMP bao gồm thành phần : trạm quản lý mạng (network management station) thành tố mạng (network element) Network management station thường máy tính chạy phần mềm quản lý SNMP (SNMP management application), dùng để giám sát điều khiển tập trung network element Network element thiết bị, máy tính, phần mềm tương thích SNMP quản lý network management station Như element bao gồm device, host application Một management station quản lý nhiều element, element quản lý nhiều management station Vậy element quản lý station điều xảy ra? Nếu station lấy thông tin từ element station có thông tin giống Nếu station tác động đến element element đáp ứng tác động theo thứ tự đến trước SNMP agent : tiến trình (process) chạy network element, có nhiệm vụ cung cấp thông tin element cho station, nhờ station quản lý element SNMP application chạy station SNMP agent chạy element tiến trình SNMP trực tiếp liên hệ với Các ví dụ minh họa sau làm rõ khái niệm : + Để dùng máy chủ (= station) quản lý máy (= element) chạy HĐH Windows thông qua SNMP bạn phải : cài đặt phần mềm quản lý SNMP (= application) máy chủ, bật SNMP service (= agent) + máy Để dùng máy chủ (= station) giám sát lưu lượng router (= element) bạn phải : cài phần mềm quản lý SNMP (= application) máy chủ, bật tính SNMP (= agent) router Object ID Một thiết bị hỗ trợ SNMP cung cấp nhiều thông tin khác nhau, thông tin gọi object Ví dụ : + Máy tính cung cấp thông tin : tổng số ổ cứng, tổng số port nối mạng, tổng số byte truyền/nhận, tên máy tính, tên process + chạy, … Router cung cấp thông tin : tổng số card, tổng số port, tổng số byte truyền/nhận, tên router, tình trạng port router, … Mỗi object có tên gọi mã số để nhận dạng object đó, mã số gọi Object ID (OID) VD : + Tên thiết bị gọi sysName, OID 1.3.6.1.2.1.1.5 Tổng số port giao tiếp (interface) gọi ifNumber, OID + 1.3.6.1.2.1.2.1 Địa Mac Address port gọi ifPhysAddress, OID + 1.3.6.1.2.1.2.2.1.6 Số byte nhận port gọi ifInOctets, OID + 1.3.6.1.2.1.2.2.1.10 Một object có OID, chẳng hạn tên thiết bị object Tuy nhiên thiết bị lại có nhiều tên làm để phân biệt ? Lúc người ta dùng thêm số gọi “scalar instance index” (cũng gọi “sub-id”) đặt sau OID Ví dụ : + Tên thiết bị gọi sysName, OID 1.3.6.1.2.1.1.5; thiết bị có tên chúng gọi sysName.0 & sysName.1 có OID 1.3.6.1.2.1.1.5.0 & 1.3.6.1.2.1.1.5.1 + Địa Mac address gọi ifPhysAddress, OID 1.3.6.1.2.1.2.2.1.6; thiết bị có mac address chúng gọi ifPhysAddress.0 & ifPhysAddress.1 có OID 1.3.6.1.2.1.2.2.1.6.0 & 1.3.6.1.2.1.2.2.1.6.1 + Tổng số port gọi ifNumber, giá trị có (duy nhất) nên OID phân cấp 1.3.6.1.2.1.2.1 Một ưu điểm SNMP thiết kế để chạy độc lập với thiết bị khác Chính nhờ việc chuẩn hóa OID mà ta dùng SNMP application để lấy thông tin loại device hãng khác Object access Mỗi object có quyền truy cập READ_ONLY READ_WRITE Mọi object đọc object có quyền READ_WRITE thay đổi giá trị VD : Tên thiết bị (sysName) READ_WRITE, ta thay đổi tên thiết bị thông qua giao thức SNMP Tổng số port thiết bị (ifNumber) READ_ONLY, dĩ nhiên ta thay đổi số port Management Information Base MIB (cơ sở thông tin quản lý) cấu trúc liệu gồm đối tượng quản lý (managed object), dùng cho việc quản lý thiết bị chạy TCP/IP MIB kiến trúc chung mà giao thức quản lý TCP/IP nên tuân theo, có SNMP MIB thể thành file (MIB file), biểu diễn thành (MIB tree) MIB chuẩn hóa tự tạo Một node object, gọi tên id Ví dụ : + Node iso.org.dod.internet.mgmt.mib-2.system có OID 1.3.6.1.2.1.1, chứa tất object liên quan đến thông tin hệ thống tên thiết bị (iso.org.dod.internet.mgmt.mib2.system.sysName hay 1.3.6.1.2.1.1.5) + Các OID hãng iso.org.dod.internet.private.enterprise tự Ví thiết dụ : kế nằm Cisco nằm iso.org.dod.internet.private.enterprise.cisco hay 1.3.6.1.4.1.9, Microsoft nằm iso.org.dod.internet.private.enterprise.microsoft hay 1.3.6.1.4.1.311 Số (Cisco) hay 311 (Microsoft) số dành riêng cho công ty IANA cấp Nếu Cisco hay Microsoft chế tạo thiết bị đó, thiết bị hỗ trợ MIB chuẩn định nghĩa sẵn (như mib-2) hay hỗ trợ MIB thiết kế riêng Các MIB công ty thiết kế riêng phải nằm bên OID công ty Hình sau minh họa MIB tree : Hình Các objectID MIB xếp thứ tự liên tục, biết OID không chắn xác định OID MIB VD chuẩn mib-2 object ifSpecific object atIfIndex nằm kề OID 1.3.6.1.2.1.2.2.1.22 1.3.6.1.2.1.3.1.1.1 Muốn hiểu OID bạn cần có file MIB mô tả OID Một MIB file không thiết phải chứa toàn mà chứa mô tả cho nhánh Bất nhánh tất gọi mib Một manager quản lý device ứng dụng SNMP manager ứng dụng SNMP agent hỗ trợ MIB Các ứng dụng hỗ trợ lúc nhiều MIB Phương thức hoạt động SNMP Bản tin/phương thức GetRequest GetNextRequest SetRequest GetResponse Trap Mô tả tác dụng Manager gửi GetRequest cho agent để yêu cầu agent cung cấp thông tin dựa vào ObjectID (trong GetRequest có chứa OID) Manager gửi GetNextRequest có chứa ObjectID cho agent để yêu cầu cung cấp thông tin nằm ObjectID MIB Manager gửi SetRequest cho agent để đặt giá trị cho đối tượng agent Mỗi tin có chứa OID biết object mang OID GetRequest cho biết muốn lấy thông tin object OID GetResponse cho biết mang giá trị object OID SetRequest muốn thiết lập giá trị cho object OID Trap thông báo kiện xảy object GetRequest Bản tin GetRequest manager gửi đến agent để lấy thông tin Trong GetRequest có chứa OID object muốn lấy VD : Muốn lấy thông tin tên Device1 manager gửi tin GetRequest OID=1.3.6.1.2.1.1.5 đến Device1, tiến trình SNMP agent Device1 nhận tin tạo tin trả lời 10 xuyên agent mà kiện mang tính biến cố Ví dụ : Khi có port down, có người dùng login không thành công, thiết bị khởi động lại, agent gửi trap cho manager Tuy nhiên biến cố agent gửi trap, agent gửi trap xảy biến cố Việc agent gửi hay không gửi trap cho biến cố hãng sản xuất device/agent quy định Phương thức trap độc lập với phương thức request/response SNMP request/response dùng để quản lý SNMP trap dùng để cảnh báo Nguồn gửi trap gọi Trap Sender nơi nhận trap gọi Trap Receiver Một trap sender cấu hình để gửi trap đến nhiều trap receiver lúc Có loại trap : trap phổ biến (generic trap) trap đặc thù (specific trap) Generic trap quy định chuẩn SNMP, specific trap người dùng tự định nghĩa (người dùng hãng sản xuất SNMP device) Loại trap số nguyên chứa tin trap, dựa vào mà phía nhận trap biết tin trap có nghĩa Theo SNMPv1, generic trap có loại sau : coldStart(0), warmStart(1), linkDown(2), linkUp(3), authenticationFailure(4), egpNeighborloss(5), enterpriseSpecific(6) Giá trị ngoặc mã số loại trap Ý nghĩa tin generic-trap sau : + coldStart : thông báo thiết bị gửi tin khởi động lại + (reinitialize) cấu hình bị thay đổi sau khởi động warmStart : thông báo thiết bị gửi tin khởi động lại + giữ nguyên cấu hình cũ linkDown : thông báo thiết bị gửi tin phát kết nối truyền thông (communication link) gặp lỗi Trong tin trap có tham số ifIndex kết nối bị lỗi 12 + linkUp : thông báo thiết bị gửi tin phát kết nối truyền thông khôi phục trở lại + Trong tin trap có tham số ifIndex kết nối khôi phục authenticationFailure : thông báo thiết bị gửi tin nhận tin không chứng thực thành công (bản tin bị chứng thực không thành công thuộc nhiều giao thức khác telnet, ssh, snmp, ftp, …) Thông thường trap loại xảy + user đăng nhập không thành công vào thiết bị egpNeighborloss : thông báo số “EGP neighbor” thiết bị gửi trap bị coi down quan hệ đối tác (peer + relationship) bên không trì enterpriseSpecific : thông báo tin trap không thuộc kiểu generic mà loại tin người dùng tự định nghĩa Người dùng tự định nghĩa thêm loại trap để làm phong phú thêm khả cảnh báo thiết bị : boardFailed, configChanged, powerLoss, cpuTooHigh, v.v… Người dùng tự quy định ý nghĩa giá trị specific trap này, dĩ nhiên trap receiver trap sender hỗ trợ MIB hiểu ý nghĩa specific trap Do bạn dùng phần mềm trap receiver để nhận trap trap sender bất kỳ, bạn đọc hiểu generic trap chúng xảy ra; bạn không hiểu ý nghĩa specific trap chúng lên hình tin trap chứa số Đối với phương thức Get/Set/Response SNMP Agent lắng nghe port UDP 161, phương thức trap SNMP Trap Receiver lắng nghe port UDP 162 Cơ chế bảo mật Một SNMP management station quản lý/giám sát nhiều SNMP element, thông qua hoạt động gửi request nhận trap Tuy nhiên 13 SNMP element cấu hình phép SNMP management station phép quản lý/giám sát Các chế bảo mật đơn giản gồm có : community string, view SNMP access control list Community string Community string chuỗi ký tự cài đặt giống SNMP manager SNMP agent, đóng vai trò “mật khẩu” bên trao đổi liệu Community string có loại : Read-community, Write-Community Trap-Community Khi manager gửi GetRequest, GetNextRequest đến agent tin gửi có chứa Read-Community Khi agent nhận tin request so sánh Read-community manager gửi Read-community mà cài đặt Nếu chuỗi giống nhau, agent trả lời; chuỗi khác nhau, agent không trả lời Write-Community dùng tin SetRequest Agent chấp nhận thay đổi liệu writecommunity bên giống Trap-community nằm tin trap trap sender gửi cho trap receiver Trap receiver nhận lưu trữ tin trap trap-community bên giống nhau, nhiên có nhiều trap receiver cấu hình nhận tất tin trap mà không quan tâm đến trap-community Community string có loại loại có nhiều string khác Nghĩa agent khai báo nhiều read-community, nhiều write-community Trên hầu hết hệ thống, read-community mặc định “public”, write-community mặc định “private” trap-community mặc định “public” Community string chuỗi ký tự dạng cleartext, hoàn toàn bị nghe truyền mạng Hơn nữa, community mặc định thường “public” “private” nên người quản trị không thay đổi chúng dễ dàng bị dò Khi community string mạng bị lộ, người dùng bình thường máy tính mạng quản lý/giám sát toàn device có community mà không cho phép người quản trị 14 View Khi manager có read-community đọc toàn OID agent Tuy nhiên agent quy định cho phép đọc số OID có liên quan nhau, tức đọc phần MIB Tập MIB gọi view, agent định nghĩa nhiều view Ví dụ : agent định nghĩa view interfaceView bao gồm OID liên quan đến interface, storageView bao gồm OID liên quan đến lưu trữ, hay AllView bao gồm tất OID Một view phải gắn liền với community string Tùy vào community string nhận mà agent xử lý view tương ứng Ví dụ : agent định nghĩa read-community “inf” view interfaceView, “sto” storageView; manager gửi request lấy OID ifNumber với community “inf” đáp ứng ifNumber nằm interfaceView; manager request OID hrStorageSize với community “inf” agent không trả lời hrStorageSize không nằm interfaceView; manager request hrStorageSize với community “sto” trả lời hrStorageSize nằm storageView Việc định nghĩa view tùy thuộc vào SNMP agent khác Có nhiều hệ thống không hỗ trợ tính view SNMP access control list Khi manager gửi không community OID cần lấy lại không nằm view cho phép agent không trả lời Tuy nhiên community bị lộ manager request thông tin Để ngăn chặn hoàn toàn SNMP manager không phép, người quản trị dùng đến SNMP access control list (ACL) SNMP ACL danh sách địa IP phép quản lý/giám sát agent, áp dụng riêng cho giao thức SNMP cài agent Nếu manager có IP không phép ACL gửi request agent không xử lý, dù request có community string Đa số thiết bị tương thích SNMP cho phép thiết lập SNMP ACL 15 Cấu trúc tin SNMP SNMP chạy UDP Cấu trúc tin SNMP bao gồm : version, community data Hình + + Version : v1 = 0, v2c = 1, v2u = 2, v3 = Phần Data tin SNMP gọi PDU (Protocol Data Unit) SNMPv1 có phương thức hoạt động tương ứng loại PDU Tuy nhiên có loại định dạng tin PDU Trap-PDU; tin Get, GetNext, Set, GetResponse có định dạng PDU, tin Trap có định dạng Trap-PDU SNMPv3 6.1 Đặc điểm SNMPv3 SNMPv3 dựa việc thực giao thức, loại liệu uỷ quyền SNMPv2 cải tiến phần an toàn SNMPv3 cung cấp an toàn truy nhập vào thiết bị cách kết hợp xác nhận mã khoá gói tin mạng Những đặc điểm bảo mật cung cấp SNMPv3 là: Tính toàn vẹn thông tin : Đảm bảo gói tin không bị sửa truyền 16 Sự xác nhận: Xác nhận nguồn thông tin gửi đến Mã khoá: Đảo nội dung gói tin, ngăn cản việc gửi thông báo từ nguồn không xác nhận SNMPv3 cung cấp mô hình an toàn mức an toàn Mô hình an toàn thực việc xác nhận thiết lập cho người sử dụng nhóm người sử dụng có Mức an toàn mức bảo đảm an toàn mô hình an toàn Sự kết hợp mô hình an toàn mức an toàn xác định chế an toàn gửi gói tin Tuy nhiên việc sử dụng SNMPv3 phức tạp cồng kềnh dù lựa chọn tốt cho vấn đề bảo mật mạng Việc sử dụng tốn nhiều tài nguyên tin truyền có phần mã hóa BER Phần mã hóa chiếm phần băng thông đường truyền làm tăng phí tổn mạng Mặc dù coi phiên đề nghị cuối coi đầy đủ SNMPv3 tiêu chuẩn dự thảo nghiên cứu hoàn thiện 6.2 Kiến trúc thực thể SNMPv3 Kiến trúc thực thể SNMPv3 (RFC257) thể hình sau gồm cấu SNMP ứng dụng 17 Hình Kiến trúc thực thể SNMPv3 Cơ cấu SNMPv3 gồm thành phần: + + + + Điều phối (Dispatcher) Phân hệ xử lý tin (Message Processing Subsystem) Phân hệ bảo mật (Security Subsystem) Phân hệ điều khiển truy nhập (Access Control Subsystem) Phân hệ điều phối tin xử lý tin gửi nhận, nhận tin phân hệ xác nhận phiên SNMP gửi tin tới phân hệ xử lý tin tương ứng Phân hệ xử lý tin chia thành khối (module) sau : 18 Hình Phân hệ xử lý tin SNMPv3 Module SNMPv3 tách phần liệu tin gửi tới phân hệ bảo mật để giải nén nhận thực Phân hệ bảo mật có nhiệm vụ nén liệu Cấu trúc module phân hệ bảo mật sau : Hình Cấu trúc module phân hệ bảo mật SNMPv3 SNMPv3 tương thích hoàn toàn với SNMPv1 SNMPv2, gồm mô hình bảo mật dựa người dùng mô hình bảo mật chung để xử lý SNMPv1, SNMPv2 Cấu trúc module đơn giản thêm vào module bảo mật dạng khác trình phát triển Khi số liệu tách khỏi PDU gửi 19 tới ứng dụng thích hợp qua phân hệ điều khiển truy nhập Phân hệ điều khiển truy nhập chịu trách nhiệm xác định đối tượng bị quản lí cách thức truy nhập tới Hiện có mô hình điều khiển truy nhập mở rộng tương lai (RFC2575) Hình Cấu trúc phân hệ điều khiển truy nhập SNMPv3 Mô hình điểu khiển truy nhập nhìn thấy (RFC 2575) định người dùng truy nhập (đọc đặt trạng thái) cho đối tượng quản lí 6.3 Khuôn dạng tin SNMPv3 RFC 2572 định nghĩa khuôn dạng tin SNMPv3 Khuôn dạng tin SNMPv3 phân chia trong bốn phần + Dữ liệu chung (Common data)- Trường xuất tất + tin SNMPv3 Bảo mật mô hình liệu (Security model data)- Vùng có ba phần: + phần chung, phần dành cho chứng thực phần cho liệu riêng Context – Hai trường nhận dạng tên dùng để cung cấp context + cho PDU phải xử lý PDU –Vùng chứa SNMPv2c PDU 20 Hình Khuôn dạng tin SNMPv3 MessageVersion Trường tin trường phiên SNMP.Trường cung cấp tính tương thích với phiên khác Giá trị trường tin SNMPv3 Giá trị tương ứng với SNMPv2 SNMPv1 MessageID Nhận dạng tin số sử dụng hai thực thể cho tin tương quan Đơn vị liệu giao thức PDU chứa trường nhận dạng yêu cầu sử dụng nhận dạng SNMPv1 SNMPv2c, từ SNMPv3 mã hóa PDUs, message ID nằm bên tiêu đề MaxMessageSize Kích thước tin lớn MaxMessageSize kích thước lớn tin hỗ trợ bên gửi tin Đây gói kích thước lớn để giao thức vận chuyển mang mà không cần phân đoạn Bên phía thu sử dụng giá trị MaxMessageSize để bảo đảm trả lời nằm phạm vi kích thước cho phép MessageFlags Cờ đánh dấu tin có độ dài byte, xác định thiết lập chứng thực đặt riêng cho tin Nó thông báo tin yêu cầu 21 đáp lại từ phía máy thu Có ba bit sử dụng việc mã hóa không thành công + + + Không có chứng thực riêng lẻ (giá trị bit 000) Chứng thực riêng lẻ (giá trị bit 001) Chứng thực riêng lẻ (giá trị bit 011) Cả ba trường hợp đặt cảnh báo tùy chọn MessageSecurity Bảo mật tin đối tượng số nguyên đặt bảo mật cho tin Phạm vi giá trị hỗ trợ sau: + + + + + dành cho “ any ” (bất kỳ) dành cho SNMPv1 dành cho SNMPv2c dành cho USM (User-based Security Model) 4-555 dành cho mô hình bảo mật tiêu chuẩn khác Các giá trị 255 dùng cho mô hình bảo mật tiêu chuẩn Bên thu phải dùng mô hình bảo mật xử lý bảo mật hoạt động Phân hệ bảo mật điều khiển trình xử lý tin SNMPv3 Mô hình bảo mật liệu chung Phần chung mô hình bảo mật liệu bao gồm trường sau: + + + + EngineID: Sự nhận dạng engine SNMPv3 EngineBoots: khoảng thời gian mà engine SNMP bắt đầu up reset giá trị usmUserTable cuối bị sửa đổi EngineTime: Số giây mà giá trị EngineBoots cuối sửa đổi UserName: Tên người dùng Những trường trước vùng liệu chứng thực riêng lẻ EngineID UserName dùng để tạo số bảng gọi 22 usmUserTable Bảng lưu giữ liệu mô hình bảo mật cho EngineID cặp người dùng Mô hình bảo mật liệu qua chứng thực Hai giao thức chứng thực hỗ trợ SNMPv3 MD5 SHA Cả hai giao thức phục vụ cho mục đích: xác nhận thông báo SNMPv3 Thuật toán MD5 tính toán 16 byte (128 bit) digest 12 byte (96 bit) bao gồm thành phần tin bên trường chứng thực Người dùng phải chọn chìa khóa bí mật 16-octet (byte) để dùng cho thuật toán MD5 Nếu người dùng chọn thuật toán chứng thực SHA thuật toán tính toán 20 byte (160 bit) digest lần 12 byte (96 bit) bao gồm thành phần tin chứng thực Người dùng phải chọn chìa khóa bí mật 20-octet để dùng thuật toán SHA Dù giải thuật dùng trường giao thức chứng thực chuỗi 12 byte dùng làm nhận dạng để chứng thực tin Khi thực thể SNMPv3 (manager) muốn gửi yêu cầu cho thực thể khác (agent) phải dùng chìa khóa bí mật cho hai phía Mô hình bảo mật liệu qua giao thức riêng Trường giao thức riêng lẻ chuỗi 18 byte octet dùng cho thuật toán tiêu chuẩn mã hóa liệu DES (Data Encryption Standard) Mã hóa dùng khóa 16 byte octet khóa bí mật 16 octet dùng khóa DES octet dùng vector khởi tạo Cả hai dùng khóa riêng bí mật để mã hóa giải mã tin 6.4 Hỗ trợ bảo mật và xác thực SNMPv3 Một mục tiêu – không coi mục đích chính – phát triển SNMPv3 thêm đặc tính bảo mật cho quản lí SNMP Xác thực bảo vệ thông tin, xác thực điều khiển truy cập, 23 nêu rõ Cấu trúc SNMPv3 cho phép sử dụng linh hoạt giao thức cho xác thực bảo vệ thông tin Dù sao, nhóm IETF SNMPv3 đưa mô hình bảo mật người dùng 6.4.1 Các mối đe doạ bảo mật Có mối đe doạ đến thông tin quản lí mạng thực thể quản lí truyền đến thực thể khác là: + Thông tin bị thay đổi người dùng không phép + truyền Người dùng không phép cố gắng giả trang người dùng + phép Thông tin SNMP chia làm nhiều gói nhỏ để truyền theo nhiều hướng phía nhận phải xếp lại Vì bị người làm trễ gói tin, bị gửi lại người không phép tạo làm + thay đổi thông tin tin Bị ngăn chặn bị lộ tin Ít có mối đe doạ thường xảy với kết nối liệu truyền thống, với mô hình bảo mật người dùng SNMP coi mối đe doạ Thứ từ chối dịch vụ, xác thực người dùng bị từ chối dịch vụ thực thể quản lí Nó không bị coi mối đe doạ, mạng lỗi lý từ chối, giao thức thực thi mục đích Thứ hai thống kê lưu lượng người dùng không xác thực Nhóm IETF SNMv3 xác định thuận lợi quan trọng đạt cách chống lại công 6.4.2 Mô hình bảo mật 24 Hình : Mô hình bảo mật Mô hình bảo mật SNMPv3 mô hình bảo mật người dùng (User-base Security Model viết tắt USM) Nó phản ánh khái niệm tên người dùng truyền thống Như định nghĩa giao diện dịch vụ trừu tượng phân hệ khác thực thể SNMP, định nghĩa giao diện dịch vụ trừu tượng USM Các định nghĩa bao trùm lên khái niệm giao diện dịch vụ giống USM xác thực không phụ thuộc dịch vụ riêng Hai primitive kết hợp với dịch vụ xác thực, tạo tin xác thực đi, để kiểm tra tin xác thực đến Tương tự, primitive kết hợp với dịch vụ riêng: encryptData để mã hoá tin decryptData để giải mã tin đến Các dịch vụ cung cấp module xác thực module riêng phân hệ bảo mật cho tin tin đến Mô hình xử lý tin dẫn chứng cho USM phân hệ bảo mật Dựa mức bảo mật gắn tin, USM dẫn qua module xác thực module riêng Kết đưa trở lại mô hình xử lý tin USM II Tìm hiểu gói thư viện SNMP4J 25 III Demo 26 [...]... các phương thức Get/Set/Response thì SNMP Agent lắng nghe ở port UDP 161, còn phương thức trap thì SNMP Trap Receiver lắng nghe ở port UDP 162 4 Cơ chế bảo mật Một SNMP management station có thể quản lý/ giám sát nhiều SNMP element, thông qua hoạt động gửi request và nhận trap Tuy nhiên một 13 SNMP element có thể được cấu hình để chỉ cho phép các SNMP management station nào đó được phép quản lý/ giám sát... access control list (ACL) SNMP ACL là một danh sách các địa chỉ IP được phép quản lý/ giám sát agent, nó chỉ áp dụng riêng cho giao thức SNMP và được cài trên agent Nếu một manager có IP không được phép trong ACL gửi request thì agent sẽ không xử lý, dù request có community string là đúng Đa số các thiết bị tương thích SNMP đều cho phép thiết lập SNMP ACL 15 5 Cấu trúc bản tin SNMP SNMP chạy trên nền UDP... còn bản tin Trap có định dạng là Trap-PDU 6 SNMPv3 6.1 Đặc điểm mới của SNMPv3 SNMPv3 dựa trên việc thực hiện giao thức, loại dữ liệu và uỷ quyền như SNMPv2 và cải tiến phần an toàn SNMPv3 cung cấp an toàn truy nhập vào các thiết bị bằng cách kết hợp sự xác nhận và mã khoá các gói tin trên mạng Những đặc điểm bảo mật cung cấp trong SNMPv3 là: Tính toàn vẹn thông tin : Đảm bảo các gói tin không bị sửa... xử lý bản tin tương ứng Phân hệ xử lý bản tin chia thành 3 khối (module) như sau : 18 Hình Phân hệ xử lý bản tin trong SNMPv3 Module SNMPv3 tách phần dữ liệu của bản tin gửi tới phân hệ bảo mật để giải nén và nhận thực Phân hệ bảo mật cũng có nhiệm vụ nén dữ liệu Cấu trúc module của phân hệ bảo mật như sau : Hình Cấu trúc module của phân hệ bảo mật trong SNMPv3 SNMPv3 tương thích hoàn toàn với SNMPv1... SNMPv1 và SNMPv2, nó gồm mô hình bảo mật dựa trên người dùng và mô hình bảo mật chung để xử lý SNMPv1, SNMPv2 Cấu trúc module đơn giản khi thêm vào các module bảo mật dạng khác trong quá trình phát triển Khi số liệu tách ra khỏi PDU và nó sẽ được gửi 19 tới ứng dụng thích hợp qua phân hệ điều khiển truy nhập Phân hệ điều khiển truy nhập chịu trách nhiệm xác định đối tượng bị quản lí và cách thức truy... thực thể cho bản tin tương quan Đơn vị dữ liệu giao thức PDU chứa trường nhận dạng yêu cầu và được sử dụng nhận dạng trong SNMPv1 và SNMPv2c, nhưng từ SNMPv3 cả mã hóa PDUs, message ID đều nằm bên trong tiêu đề MaxMessageSize Kích thước bản tin lớn nhất MaxMessageSize là kích thước lớn nhất của bản tin được hỗ trợ bởi bên gửi bản tin Đây là gói kích thước lớn nhất để giao thức vận chuyển có thể mang mà... và xác thực trong SNMPv3 Một trong những mục tiêu chính – nếu không coi là một mục đích chính chính – khi phát triển SNMPv3 đó là thêm đặc tính bảo mật cho quản lí SNMP Xác thực và bảo vệ thông tin, cũng như xác thực và điều khiển truy cập, đã 23 được nêu rõ ở trên Cấu trúc SNMPv3 cho phép sử dụng linh hoạt bất cứ một giao thức nào cho xác thực và bảo vệ thông tin Dù sao, nhóm IETF SNMPv3 đã đưa ra... thể bị nghe lén khi truyền trên mạng Hơn nữa, các community mặc định thường là “public” và “private” nên nếu người quản trị không thay đổi thì chúng có thể dễ dàng bị dò ra Khi community string trong mạng bị lộ, một người dùng bình thường tại một máy tính nào đó trong mạng có thể quản lý/ giám sát toàn bộ các device có cùng community mà không được sự cho phép của người quản trị 14 View Khi manager có... để dùng thuật toán SHA Dù giải thuật nào được dùng thì trường giao thức chứng thực là một chuỗi 12 byte được dùng làm nhận dạng để chứng thực bản tin Khi một thực thể SNMPv3 (manager) muốn gửi một yêu cầu cho thực thể khác (agent) phải dùng một chìa khóa bí mật cho cả hai phía Mô hình bảo mật dữ liệu qua giao thức riêng Trường của giao thức riêng lẻ là chuỗi 18 byte octet dùng cho thuật toán tiêu chuẩn... dùng để cung cấp context + cho PDU nào sẽ phải xử lý PDU –Vùng này chứa một SNMPv2c PDU 20 Hình Khuôn dạng bản tin SNMPv3 MessageVersion Trường đầu tiên trong bản tin là trường phiên bản SNMP. Trường này cung cấp tính tương thích với các phiên bản khác nhau Giá trị 3 trong trường này chỉ ra đây là một bản tin SNMPv3 Giá trị 2 và 1 tương ứng với SNMPv2 và SNMPv1 MessageID Nhận dạng bản tin là một số được ... quan SNMP Khái niệm SNMP SNMP giao thức quản lý mạng đơn giản SNMP giao thức quản lý mạng đơn giản , dịch từ cụm từ “Simple Network Management Protocol” Thế giao thức quản lý mạng đơn giản ? Giao. .. phép quản trị SNMP Giả sử bạn có máy giặt nối mạng IP hỗ trợ SNMP bạn quản lý từ xa SNMP SNMP giao thức đơn giản, thiết kế đơn giản cấu trúc tin thủ tục hoạt động, đơn giản bảo mật (ngoại trừ SNMP. .. Sử dụng phần mềm SNMP, người quản trị mạng quản lý, giám sát tập trung từ xa toàn mạng SNMP có phiên : SNMPv1, SNMPv2c, SNMPv2u SNMPv3 Các phiên khác chút định dạng tin phương thức hoạt động Ưu