Analisis Del Protocolo Snmpv3 Para El Desarrollo de Un Prototipo de Monitoreo de Red Segura -...

7/26/2019 Analisis Del Protocolo Snmpv3 Para El Desarrollo de Un Prototipo de Monitoreo de Red Segura - 98t00017

1/179

01


2/179

AGRADECIMIENTO

Quiero expresar un total e infinito

agradecimiento a mis padres,

quienes inculcaron en mi valores

ticos y morales, los mismos que me

han guiado en toda mi trayectoria

como estudiante, de la misma

manera quiero expresar un eterno

agradecimiento a la muy ilustre

Escuela Superior Politcnica de

Chimborazo que me abri las

puertas y me dio la oportunidad de

formarme como una profesional de

principios.

Hago extensiva este agradecimiento

a esas personas invisibles que de

una u otra forma colaboraron o

participaron en la realizacin de

esta investigacin.

Ruth CrespataRuth CrespataRuth CrespataRuth Crespata


3/179

DEDICATORIA

Este manojo de ilusiones y sueos va

dedicado a Dios por haberme permitido vivir,

a mis hermanos que nunca me hicieron faltar

palabras de aliento para que no desmayara

en el intento de conseguir el ms anhelado

sueo, a mis profesores que siempre

estuvieron prestos a dilucidar mis dudas y

preguntas, especialmente este trabajo va

dedicado a mis padres quienes son mi

ejemplo de lucha y perseverancia que sin

importar las adversidades de la vida en

ningn momento dejaron de ser un ejemplo

de vida para m.

Finalmente quiero dedicar este trabajo a todo

el profesorado de la FIE por haber depositado

en m todo sus sabios conocimientos y

vivencias, que gracias a ellos hoy cumplo unade mis ms grandes sueos el de convertirme

en una profesional integra y de principios

Ruth CrespataRuth CrespataRuth CrespataRuth Crespata


4/179

DERECHOS DE AUTORIA

Yo, Ruth Alexandra Crespata Almachi, portadora del nmero de cdula 050286955-5, me hago

responsable del contenido, ideas y doctrinas vertidas en la presente Tesis y el patrimonio intelectual

pertenece a la Escuela Superior Politcnica de Chimborazo.

Ruth Alexandra Crespata Almachi


5/179

FIRMAS RESPONSABLES Y NOTA

NOMBRES FIRMAS FECHA

Ing. Ivn Menes ------------------------------ ------------------------DECANO DE LA FACULTAD DEINFORMTICA Y ELECTRNICA

Ing. Pedro Infante ------------------------------ ------------------------DIRECTOR DE LA ESCUELADE INGENIERIA EN ELECTRNICATELECOMUNICACIONES Y REDES

Ing. Alberto Arellano ------------------------------ ------------------------DIRECTOR DE TESIS

Ing. Daniel Haro ------------------------------ ------------------------MIEMBRO DEL TRIBUNAL

Tlg. Carlos RodrguezDIR. CENTRO DE DOCUMENTACIN ------------------------------ ------------------------

NOTA DE LA TESIS ------------------------------


6/179

INDICE DE ABREVIATURAS

ASN.1 Notacin Sintctica Abstracta

AUTHPRIV Autenticatin and Private, Autenticacin y Privacidad

AUTHNOPRIV Autentication and private No, Autenticacin y Privacidad No

EGP Enhanced Gateway Protocol, Protocolo Exterior de Gateway

IEEE Institute of Electrical and Electronics Engineers, Instituto de ingenieros

elctricos y electrnicos

LAN Network local rea, Red de rea Local

MIB Management Information Base, Base de Informacin Administrativa

NMS Network Management System, Sistema Administrador de Red

NOAUTHNOPRIV No autenticacin y No privacidad

OID Objecto Identifier, Objeto Identificador

IETF Internet Engineering Task Force, Grupo de trabajo de ingeniera de Internet

IP Internet Protocol,protocolo de Internet

RMON Remote Monitor, Monitor Remoto

SNMP Simple Network Management Protocol, Protocolo Simple de Administracin

y Gestin de Redes

SMI Structure Management Information, Estructura de la informacin de

Administracin

TLV Codec tipe Value, Codificacin Tipo Longitud Valor

USM User Security Model, Modelo de seguridad basado en usuario

VACM View Access Control Model, Control de Acceso basado en vistas


7/179

INDICE GENERALPORTADA

AGRADECIMIENTO

DEDICATORIA

INDICES

INTRODUCCIN

CAPITULO I

MARCO REFERENCIAL ......................................................................................................................... - 15 -

1.1 ANTECEDENTES ........... ............. ............. ............. ............. ............. ............ ............. .............. ... - 15 -

1.2 JUSTIFICACIN .......... ............... ............ ............ ............... ............ ............ .............. ............ ...... - 17 -

1.3 OBJETIVOS ............... ............ ............ .............. ............. ............ ............. ............. ............. .......... - 19 -

1.3.1 GENERAL ............ ............. ............ .............. ............. ............ ............. ............. ............. .......... - 19 -

1.3.2 ESPECIFICOS ............ .............. ............ ............ .............. ............. ............ ............. .............. ... - 19 -

1.4 HIPTESIS ............. ............. ............ .............. ............ ............ ............... ............ ............ ............. - 19 -

CAPITULO II

MARCO TERICO ................................................................................................................................. - 20 -

2. MONITOREO DE RED ........................................................................................................................ - 20 -

2.1INTRODUCCIN ............................................................................................................................... - 20 -

2.2 Definicin de Monitoreo ..................................................................................................................... - 21 -

2.3.1 Monitoreo Activo ........................................................................................................................ - 22 -

2.3.2 Monitoreo Pasivo ............. ............ .............. ............ ............ ............... ............ ............ ............. - 22 -

2.4 ARQUITECTURA SNMP ................................................................................................................... - 23 -

2.4.1 Introduccin ................................................................................................................................... - 23 -

2.4.2 Elementos de la Arquitectura SNMP ............. ............. ............ .............. ............ ............. .......... - 24 -

2.4.3 Consola de administracin (NMS) .............................................................................................. - 24 -

2.4.3.1 Funciones bsicas .................................................................................................................. - 24 -

2.4.3.2 ARQUITECTURA NMS PARA LA ADMINISTRACIN DE RED.............................................. - 25 -

2.4.3.2.1 Arquitectura Centralizada ................................................................................................. - 25 -

2.4.3.2.2 Arquitectura Distribuida .................................................................................................... - 26 -

2.4.2.3.3 Arquitectura jerrquica .................................................................................................... - 26 -

2.4.4 Agente ....................................................................................................................................... - 27 -

2.4.5 MIB (MANAGEMENT INFORMATION BASE) ............ ............ ............... ............ ............ ............. - 28 -

2.4.5.1 OIDs (Objeto Identificador) ................................................................................................. - 28 -


8/179

2.4.5.2 Estructura de la MIB........................................................................................................... - 29 -

2.4.5.3 Sintaxis de la MIB .............................................................................................................. - 30 -2.4.5.4 TIPOS DE MIBS .............. ............ ............. .............. ............ ............. .............. ............ ........ - 33 -

2.5 SNMPv3 ....................................................................................................................................... - 42 -

2.5.1 Caractersticas de seguridad.................................................................................................. - 42 -

2.5.2 Modelos y niveles de seguridad ............ ............ .............. ............. ............ ............. .............. ... - 42 -

2.5.3 Arquitectura SNMPv3 ............................................................................................................. - 44 -

2.5.4 Entidades SNMP ............ ............ .............. ............ ............ ............... ............ ............ ............. - 44 -

2.5.6 Agente SNMP ........................................................................................................................ - 49 -

2.5.7 Formato mensaje SNMPv3 ........... .............. ............. ............ .............. ............ ............ ........... - 50 -2.5.8 SEGURIDAD EN SNMPv3 ..................................................................................................... - 52 -

CAPITULO III

EVALUACIN HERRAMIENTAS DE MONITOREO CACTI, ZABBIX, Y NAGIOS ............. ............. .......... - 78 -

3.1 INTRODUCCIN .............................................................................................................................. - 78 -

3.2 Eleccin de herramientas .................................................................................................................. - 68 -

3.2.1 Anlisis de la seleccin de software a utilizar .............................................................................. - 68 -

3.2.2 Identificacin de los parmetros a analizar o evaluar en cada una de las aplicaciones .......... - 69 -

3.4 Anlisis comparativo CACTI, ZABBIX y NAGIOS .............. ............ ............ .............. ............ ...... - 81 -CAPITULO IV

MARCO METODOLGICO E HIPOTETICO ........................................................................................... - 87 -

4.1 TIPO DE INVESTIGACIN ............................................................................................................... - 87 -

4.2 SISTEMA DE HIPTESIS ................................................................................................................. - 86 -

4.3 OPERACIONALIZACIN DE LAS VARIABLES ................................................................................. - 86 -

4.3.1 Descripcin de las variables con sus respectivos indicadores e indices ........................................... - 88 -

4.3.1.1 Indicadores ............. ............. ............ .............. ............ ............ ............... ............ ............ ............. - 88 -

4.4 POBLACIN Y MUESTRA ............. ............. ............ .............. ............ ............. .............. ............ ........ - 90 -4.5 PROCEDIMIENTOS GENERALES .................................................................................................... - 90 -

4.6 INSTRUMENTOS DE RECOLECCIN DE DATOS ........................................................................... - 90 -

4.7 VALIDACIN DE LOS INSTRUMENTOS .......................................................................................... - 90 -

4.8 AMBIENTE DE SIMULACIN ........................................................................................................... - 92 -

4.9 EXPERIMENTO 1 (ANEXO 4) ........................................................................................................... - 93 -

4.10 EXPERIMENTO 2 (ANEXO3) .......................................................................................................... - 94 -


9/179

CAPITULO V

ANLISIS DE RESULTADOS ............................................................................................................... - 105 -5. PROCESAMIENTO DE LA INFORMACIN ............ .............. ............ .............. ............ ............. ........ - 105 -

5.1 ANLISIS DE LOS RESULTADOS DEL EXPERIMENTO 1 Y2 ............ ............ .............. ............ .... - 105 -

5.1.1 ANLISIS DE LAS VARIABLE INDEPENDIENTE ACORDE AL EXPERIMENTO 1 Y 2 .............. ... - 96 -

5.1.2 ANLISIS DE LA VARIABLE DEPENDIENTE BASADOS EN LOS EXPERIMENTOS 1 Y 2 .......... - 101 -

5.2 PRUEBA DE LA HIPOTESIS ........................................................................................................... - 110 -

CAPITULO VI

MARCO PROPOSITIVO ....................................................................................................................... - 119 -

6. IMPLEMENTACIN DEL PROTOTIPO DE MONITOREO DE RED SEGURA ........................ ........... - 119 -6.1 HARDWARE ................................................................................................................................... - 119 -

6.1.1 SWITCHES CATALYST 2950....................................................................................................... - 116 -

6.1.2 SWITCH CATALYST 2960 ........................................................................................................... - 117 -

6.1.3 ROUTER CISCO 2811 ................................................................................................................. - 118 -

6.2 HERRAMIENTAS Y SOFWARE ...................................................................................................... - 118 -

6.2.1 NMS-CACTI ................................................................................................................................. - 118 -

6.3 IMPLEMENTACIN DEL PROTOTIPO ........................................................................................... - 119 -

6.3.1 Instalacin del Gestor (CACTI) ..................................................................................................... - 119 -6.3.1.3 Agregar dispositivos a monitorear en Cacti................................................................................. - 122 -

6.3.2 Configuracin de los agentes SNMPv3 .............. ............ ............ ............... ............ ............ ........... - 124 -

6.3.2.1 SNMPV3 EN ROUTER 2811 ................................................................................................. - 124 -

6.3.2.2 SNMPV3 EN CATALYST 2950 Y 2960 ............ ............... ............ ............ .............. ............ .... - 127 -

6.3.2.3 SNMPV3 EN PC ................................................................................................................... - 130 -

CONCLUSIONES

RECOMENDACIONES

RESUMENSUMMARY

GLOSARIO

ANEXOS

BIBLIOGRAFIA


10/179

INDICE DE FIGURAS

Figura I. I Ambiente de Simulacin

Figura II. 1 Arquitectura de administracin Centralizada ........................................................................... - 25 -

Figura II. 2 Arquitectura de administracin distribuida .............................................................................. - 26 -

Figura II. 3 Arquitectura de Administracin Jerrquica ............ ............ ............... ............ ............ ............. - 27 -

Figura II. 4 Estructura de la MIB .............................................................................................................. - 29 -

Figura II. 5 Entidad SNMPv3 ........... ............ .............. ............ ............ ............... ............ ............ ............. - 44 -

Figura II. 6 Gestor SNMP Tradicional ...................................................................................................... - 48 -

Figura II. 7 Agente Tradicional ............ ............ .............. ............. ............ ............. ............. ............. .......... - 49 -

Figura II. 8 Formato mensaje SNMPv3 .................................................................................................... - 50 -

Figura II. 9 Diagrama de flujo para VACM ................................................................................................ - 54 -

Figura IV. I Ambiente de simulacin ........................................................................................................ - 92 -

Figura V. 1 Funcionamiento SNMPv3 ...................................................................................................... - 96 -

Figura V. 2 Ataque de hombre en el Medio SNMP ................................................................................... - 97 -

Figura V. 3 Seguridad SNMP .................................................................................................................. - 98 -

Figura V. 4 Disposicin de Equipos SNMP .............................................................................................. - 99 -

Figura V. 5 Overload SNMP .................................................................................................................. - 100 -

Figura V. 6 Presencia de la informacin de gestin en la red ................................................................. - 100 -

Figura V. 7 Seguridad en Contraseas .................................................................................................. - 102 -

Figura V. 8 Mtodos de Autenticacin ................................................................................................... - 103 -

Figura V. 9 Contraseas Encriptacin/des-Encriptacin ......................................................................... - 104 -

Figura V. 10 Confidencialidad ............................................................................................................... - 105 -

Figura V. 11 Revelacin Selectiva ......................................................................................................... - 106 -

Figura V. 12 Privacidad ......................................................................................................................... - 107 -

Figura V. 13 Control De Acceso ............................................................................................................ - 108 -

Figura V. 14 Curva del anlisis de chi-cuadrado .................................................................................... - 114 -

. Figura VI. 1 switch catalyst 2950 ............. ............ ............ ............... ............ ............ .............. ............. . - 116 -

Figura VI. 2 switch catalyst 2960 .............. ............ ............ ............... ............ ............ .............. ............. . - 117 -

Figura VI. 3 Red de pruebas ................................................................................................................. - 119 -

Figura VI. 4 Instalacin Apache2 ........................................................................................................... - 119 -

Figura VI. 5 Instalacin Base de datos MySql ........................................................................................ - 120 -

Figura VI. 6 Gua de instalacin Cacti .................................................................................................... - 120 -


11/179

Figura VI. 7 Seleccin new Install .......................................................................................................... - 121 -

Figura VI. 8 Confirmacin de rutas de acceso de los ejecutables ........................................................... - 121 -Figura VI. 9 Ingreso usuario y contrasea .............................................................................................. - 121 -

Figura VI. 10 Forzar cambio de usuario y contrasea............................................................................. - 122 -

Figura VI. 11 Consola de administracin Cacti .............. ............. ............ .............. ............ ............. ........ - 122 -

Figura VI. 12 Creacin de los dispositivos ............................................................................................. - 122 -

Figura VI. 13 Configuracin de los parmetros del dispositivo a monitorear ........... .............. ............ ...... - 123 -

Figura VI. 14 Acceso satisfactorio del dispositivo a monitorear ........... ............... ............ ............ ........... - 123 -

Figura VI. 15 vista escritura en el Router 2811 ....................................................................................... - 125 -

Figura VI. 16 Configuracin del grupo administrador_secundario en el router 2811 .................. ............. - 125 -Figura VI. 17 Configuracin grupo administrador_principal ..................................................................... - 126 -

Figura VI. 18 Creacin del usuario Alejandra ligado al grupo administrador_ principal ............ ............ .... - 127 -

Figura VI. 19 Creacin del usuario Ruth ligado al grupo administrador_secundario ............ ............ ......... - 127 -

Figura VI. 20 Configuracin vista lectura en catalyst 2950 y2960 ............ ............. .............. ............ ...... - 128 -

Figura VI. 21 Configuracin vista escritura en catalyst 2950 y2960 ............ ............. .............. ............ ...... - 128 -

Figura VI. 22 Configuracin del grupo administrador principal ................................................................ - 129 -

Figura VI. 23 Inicializacin del agente SNMPv3 ..................................................................................... - 130 -

Figura VI. 24 Configuracin de la vista escritura .................................................................................... - 130 -Figura VI. 25 Definicin de grupo administrador_principal ...................................................................... - 131 -

Figura VI. 26 Definicin de usuario Alejandra ........................................................................................ - 131 -


12/179

INDICE DE TABLAS

TABLA II. I TIPOS DE DATOS SIMPLES O PRIMITIVOS ............. ............ ............ ............... ............ .......... - 31 -

TABLA II. II TIPOS DE DATOS COMPUESTOS O ESTRUCTURALES ............... ............ ............ .............. . - 32 -

TABLA II. III TIPOS DE DATOS DEFINIDOS ............. ............ ............ .............. ............. ............ .............. ... - 32 -

TABLA II. IV MIB II y MIB I ........... ............. .............. ............ ............. .............. ............ ............ .............. ... - 33 -

TABLA II. V DESCRIPCIN DE LOS OBJETOS EN EL GRUPO SYSTEM ............ .............. ............ ........ - 34 -

TABLA II. VI DESCRIPCIN OBJETOS EN EL GRUPO INTERFACES .............. ............ ............ .............. . - 35 -

TABLA II. VII OBJETOS EN EL GRUPO ADDRESS TRANSLATION ............. ............ .............. ............. ..... - 36 -

TABLA II. VIII OBJETOS DEL GRUPO IP ................................................................................................. - 36 -

TABLA II. IX DESCRIPCIN OBJETOS DEL GRUPO ICMP ............ ............. ............ .............. ............. ..... - 37 -

TABLA II. X DESCRIPCIN DE LOS OBJETOS DEL GRUPO TCP..................... ............. ............ ............. - 38 -

TABLA II. XI DESCRIPCIN DE OBJETOS DEL GRUPO UDP ........... ............... ............ ............ .............. . - 39 -

TABLA II. XII DESCRIPCIN DE LOS OBJETOS DEL GRUPO SNMP ............... ............ ............ .............. . - 40 -

TABLA II. XIII MODELOS Y NIVELES DE SEGURIDAD ............. ............ .............. ............ ............. ............ - 43 -

TABLA II. XIV MEJORAS DE SNMPV3 FRENTE A SUS VERSIONES ANTERIORES .......... ............... ......... 65

TABLA III. I REQUISITOS DE HADWARE PARA LA INSTALACIN DE ZABBIX .............. ............ ............. - 73 -

TABLA III. II PLATAFORMAS SOPORTADAS POR ZABBIX ............ ............. ............ .............. ............. ..... - 73 -

TABLA III. III REQUISITOS PARA LA INSTALACIN DE NAGIOS ........... ............. .............. ............ .......... - 77 -

TABLA III. IV ANLISIS COMPARATIVO .................................................................................................. - 82 -

TABLA III. V ANLISIS COMPARATIVO ENTRE CACTI Y ZABBIX ............ ............ .............. ............ ........ - 83 -

TABLA IV. I OPERACIONALIZACIN CONCEPTUAL DE VARIABLES .............. ............ ............ .............. . - 86 -

TABLA IV. II OPERACIONALIZACIN METODOLGICA DE LA VARIABLE INDEPENDIENTE ........... ... - 87 -

TABLA IV. III OPERACIONALIZACIN METODOLGICA DE LA VARIABLE DEPENDIENTE.................. - 87 -

TABLA IV. IV DETALLES TCNICOS DEL AMBIENTE DE SIMULACIN ........... ............... ............ .......... - 93 -

TABLA V. I FUNCIONAMIENTO SNMPV3 ................................................................................................ - 96 -

TABLA V. II SEGURIDAD SNMP ............ ............. ............ ............... ............ ............ .............. ............. ..... - 97 -

TABLA V. III DISPOSICIN DE EQUIPOS SNMP ..................................................................................... - 98 -

TABLA V. IV OVERLOAD DE LA INFORMACIN DE GESTIN EN LA RED ............. ............ .............. . - 100 -

TABLA V. V CUANTIFICADORES Y ABREVIATURAS DE LA CALIFICACIN DE LOS PARMETROS .. - 101 -

TABLA V. VI VALORACIN CUANTITATIVA Y CUALITATIVA DEL INDICADOR 4 ............... ............ ...... - 103 -

TABLA V. VII PRIVACIDAD .................................................................................................................... - 106 -

TABLA V. VIII CONTROL DE ACCESO................................................................................................... - 108 -


13/179

TABLA V. IX RESUMEN DE LA VARIABLE DEPENDIENTE Y SUS PUNTAJES TOTALES ........... .......... - 109 -

TABLA V. X RESUMEN DE LOS VALORES OBTENIDOS PARA CADA UNO DE LOS INDICADORES . - 111 -TABLA V. XI FRECUECIAS OBSERVADAS ............................................................................................ - 111 -

TABLA V. XII FRECUENCIAS ESPERADAS ........... .............. ............ ............... ............ ............ ............. - 112 -

TABLA V. XIII SUMATORIA DE X2 .......... ............... ............ ............ .............. ............. ............ .............. . - 113 -


14/179

INTRODUCCIN

Debido al constante crecimiento que presentan las redes se han vuelto mucho ms complejas y

heterogneas haciendo que su control y seguimiento de red se tornen complicados y se conviertan

en verdaderos retos para los administradores de red.

Como es de conocimiento general las redes de hoy no solo soportan aplicaciones o solo sirven

para enviar correos electrnicos, para transferencia de archivos, hoy en da las redes dan soporte a

aplicaciones robustas y servicios estratgicos que son de vital importancia para el correcto

funcionamiento de la empresa.

Es por esa razn que la informacin que es utilizada para gestionar los dispositivos de forma

remota debe transitar de forma segura y confiable, con el fin de precautelar la integridad y evitar que

se conozca la inteligencia de la red.

Por tal motivo, se debe escoger protocolos probos de gestin que garanticen la transferencia

segura y confiable de la data de gestin.

Por lo que la presente tesis propone la utilizacin de SNMPv3 como protocolo de gestin de red,

dado que el mencionado protocolo garantiza en gran medida el trnsito seguro de la data de

administracin a travs de la red.Se utilizara CACTI como herramienta de monitoreo, que estar a cargo de procesar la informacin

generada por SNMPv3. Convirtindose en la interfaz entre el usuario y el protocolo. Fue escogida la

mencionada herramienta por las caractersticas que presenta en las que sobresale, licencia GPL,

facilidad, poco consumo de recursos de red, configuracin simple, etc.


15/179

CAPTULO I

MARCO REFERENCIAL

1.1ANTECEDENTES

En los aos 80, No haba un soporte para hacer una buena administracin de las redes, Los

administradores de red no contaban con las herramientas suficientes y necesarias para administrar

una red local, ni mucho menos una red como la internet. Las nicas herramientas de gestin de red

en aquel entonces eran ICMP, PING, Trace-route, no proporcionaban la suficiente informacin

para resolver con rapidez los problemas que se presentaban en la red.

Como solucin a este problema en 1988 la IAB propone desarrollar el protocolo SNMP. Buscando

tener poco impacto en el rendimiento en los nodos cuando se utilizaran estos protocolos, por lo

tanto tenan que ser protocolos sencillos pero al mismo tiempo robustos.

Con el tiempo SNMP se convierte en un estndar de facto para la administracin y gestin de red.

Pero con el crecimiento global de las redes pronto dejo al descubierto varias falencias y debilidades

que hicieron que aparezcan nuevas ampliaciones al protocolo.


16/179

Por los inconvenientes que presentaba SNMPv1 en cuanto a seguridad y al excesivo

trfico de informacin de gestin presente en la red, da pie para que se introduzca una

ampliacin al protocolo naciendo as SNMPv2 con el propsito de cubrir estas

falencias.

SNMP en su versin dos presenta mejoras pero sigue adoleciendo de seguridad en

cuanto al envo de paquetes SNMP por la red, la seguridad en la versin dos est

basada en comunidades al igual que SNMPv1, cuyos nombres son enviadas en texto

plano, lo que conlleva a que esto se convierta en un punto dbil de la LAN. Debido a

que un individuo con un poco de conocimiento pueda hacer uso de un sniffer y

capturar el trfico y podra vulnerar la red con dicha informacin.

Por la falta de seguridad en las versiones 1 y 2 de SNMP, se da paso a la creacin de

SNMPv3 que incrementa la seguridad en los entornos de gestin valindose de

operaciones de autenticacin, privacidad y control de acceso: limitando el acceso a los

recursos de gestin nicamente a personas probas.


17/179

1.2 JUSTIFICACIN

La principal motivacin detrs del desarrollo del presente proyecto es estudiar los posibles perjuicios

a tener debido al intercambio inseguro de la informacin de gestin entre los dispositivos

monitoreados (routers, switchs, hub, etc.) y la/las estacin (NMS) que se encargara de procesar

dicha informacin. La NMS que se encargara de procesar la informacin de gestin ser

seleccionada de una terna de tres participantes, las mismas que deben cumplir con ciertas

condiciones la principal y la ms importantes es que estas herramientas se instalen y se han

software libres por las ventajas de costes que presentan frente a los paquetes de monitoreo que

ofrecen diferentes casas fabricantes, la desventaja de tener programas con licencia paga es para

las organizaciones pequeas o instituciones pblicas que no cuentan con el suficiente dinero para

realizar una alta inversin en licencias de software.

La visin del proyecto se centra en la obtencin de resultados, cuya informacin nos indique en qu

medida se ve afectada la informacin de administracin y gestin de redes durante su paso por la

red al hacer uso de las primeras versiones del protocolos de gestin SNMP que no proporcionan

la seguridad necesaria para la mencionada informacin, a diferencia de SNMPv3 que si aporta con

la seguridades del caso.

Los resultados sern producto de una evaluacin previa de parmetros como la seguridad en

contraseas, formas de autenticacin, contraseas de encriptacin y des encriptacin, revelacin

selectiva del contenido de los mensajes utilizando sniffers como wireshark y dsniff, adems se

medir la confidencialidad de la informacin de gestin para ello se realizar un ataque de hombre

en el medio en un ambiente de simulacin, adems se medir la carga de trfico generado tanto

por SNMPv1/v2 y SNMPv3 utilizando iptraf


18/179

Figura I. I Ambiente de Simulacin

Lo que se pretende solucionar con este proyecto son infiltraciones no autorizadas a los recursos de

gestin y a los equipos, evitando que se realicen ataques a la red haciendo uso de los propios

recursos de gestin, que por descuido o por falta de conocimiento del administrador de red permite

que los datos de gestin transiten de forma insegura por la red constituyndose en un punto de

fragilidad para la red.


19/179

1.3OBJETIVOS

1.3.1 GENERAL

Analizar el protocolo SNMPv3 y aplicarlo al desarrollo de un prototipo de monitoreo de red segura

1.3.2 ESPECIFICOS

Estudiar el protocolo de administracin y gestin de redes SNMP en su versin 3 para

entender su funcionamiento

Determinar las mejoras de SNMPv3 frente a sus versiones anteriores.

Evaluar herramientas de software libre que incorporen SNMPv3 para la gestin y

monitoreo de redes

Implementar un prototipo de pruebas para el desarrollo de la plataforma de monitoreo

basada en SNMPv3

1.4HIPTESIS

El protocolo SNMPv3 podr ser aplicado al diseo de un prototipo de monitoreo de redsegura, en un ambiente OpenSource que permitir alcanzar niveles apropiados de seguridad

en la administracin y gestin de redes.


20/179

CAPTULO II

MARCO TERICO

2. MONITOREO DE RED

2.1INTRODUCCIN

La deteccin oportuna de fallas y el monitoreo de los elementos que conforman una red de datos

son actividades de gran relevancia para brindar un servicio de calidad a nuestros usuarios. De esto

se deriva la importancia de un sistema capaz de notificar las fallas en la red y de mostrarnos su

comportamiento mediante el anlisis y recoleccin del trfico.

En la actualidad las redes, cada vez mas soportan aplicaciones y sevicios estratgicos de las

organizaciones y si presentan algn tipo de desperfecto en su rendimiento, sin saber cual es el

punto de ruptura, puede causar perdidas para la entidad u organizacin.

Las redes de datos de las organizaciones, cada vez se vuelven mucho mas complejas y la exigencia

de operacin es cada vez mas demandante.


21/179

Por lo cual el anlisis y monitoreo de red se ha convertido en una labor de mucha importancia y de

carcter proactivo para evitar problemas a futuro .

La seguridad no solo radica en la prevencin, sino tambien en la identificacin. Entre menos tiempo

haya pasado desde la intrusin e identificacion, el dao sera menor,para lograr esto es importante

realizar un constante monitoreo del sistema con la finalidad de identificar vulnerabilidades en la red

que los intrusos o el propio personal de la empresa puede hacer uso para acceder a recursos de la

red que no estan autorizados y puedan causar denegaciones de servicio o otros problemas .

La prestacion de servicios de calidad a los usuarios de una red depende en gran medida de factores

que involucran aspectos de eficiencia y de seguridad. En el aspecto de eficiencia el ancho de banda

disponible y la utilizacion que se haga del mismo representa un factor critico,Mientras en el caso de

la seguridad, es importante conocer el tipo de trfico que esta siendo cursado por la red , asi como

tener la capacidad de detectar el trfico malicioso.

2.2 Definicin de Monitoreo

Es el proceso de observar el comportamiento de la red y de sus nodos a traves de la

correspondiente informacin de adminsitracin. Esto se realiza con el fin de detectar fallas en la red

y en los nodos. La Monitorizacin involucra dos factores importantes el tiempo de duracion del

monitoreo y el uso de recursos de la red. Mientras mayor sea el tiempo de monitoreo mas efectiva

sera la deteccin de problemas, pero habra una mayor ocupacin de los recursos lo cual perjudicara

a otras tareas.Por lo tanto debe existir un balance para conseguir un desempeo aceptable del

sistema.


22/179

2.3 ENFOQUES DE MONITOREO1

Existen, dos formas de abordar el proceso de monitorear una red: el enfoque activo y el enfoque

pasivo. Aunque son diferentes ambos se complementan.

2.3.1 Monitoreo Activo

Este tipo de monitoreo se realiza inyectando paquetes de prueba en la red, o envando paquetes a

determinadas aplicaciones midiendo sus tiempos de respuesta, Este enfoque tiene la particularidad

de agregar trfico a la red. Es utilizado para medir el rendimiento de la red.

Tcnicas de Monitoreo activo

Basado en ICMP

Dagnosticar Problemas en la red.

Detectar retardo, perdidad de paquetes.

Disponibilidad de host de host y redes.

Basdo en TCP

Tasa de transferencia

Dagnosticar problemas a nivel de aplicacin.

Basado en UDP

Perdidas de paquete en un sentido (one-way)

2.3.2 Monitoreo Pasivo

Este enfoque se basa en la obtencin de datos apartir de recolectar y analizar el trfico circundante

por la red, se emplean diversos dispositivos como sniffers,ruteadores,computadores con software de

1Carlos Alberto Vicente Altamirano,Monitoreo de Recursos de Red, Mexico 2005 .pdfUniversidad Nacional Autonoma de Mexico


23/179

anlisis de trfico y en general dispositivos con soporte snmp,rmon y netflow. Este enfoque no

agrega trfico a la red.

Tcnicas de Monitoreo pasivo

Mediante SNMP

Utilizado para obtener estadisticas sobre la utilizacin de ancho de banda,consumo de recursos de

red, etc., al mismo tiempo genera traps que indica que un evento inusual ha ocurrido.

Captura de trfico

Se puede llevar a cabo de dos formas: 1.-Mediante la configuracin de un puerto espejo en un

dispositivo de red, el cual hara una copia del trfico que ercibe en un puerto hacia otro donde estara

conectado el equipo que realizara la captura.

2.- Mediante la instalacin de un dispositivo intermedio que capture el trfico, el cual puede

ser una computadora con el software de captura esta tecnica es utilizada para contabilizar el

trfico que circula por la red.

Anlisis de Trfico

Usado para identificar el tipo de aplicaciones. Se puede implementar atraves de un dispositivo

intermedio con una plicacin capaz de clasificar el trfico por aplicacin, direccines IP origen y

destino, puertos origen y destino etc.

2.4 ARQUITECTURA SNMP

2.4.1 Introduccin

SNMP, se ha constituido en salida y solucin propuesta para poder unificar el proceso de

administracin de redes privadas (intranet), sin tener en cuenta la casa matriz de donde provienen

los dispositivos que son parte de la red a ser gestionada.


24/179

Hasta el da de hoy existe tres versiones conocidas de SNMP, la versin 1 que fue desarrollada por

Case, McGlorie, Rose y Waldbuser , la versin 2 que incorpora mejoras en las operaciones del

protocolo y por ltimo la versin 3 que cubre las falencias de seguridad que venan arrastrando sus

versiones pasadas .

2.4.2 Elementos de la Arquitectura SNMP

En un sistema SNMP se puede identificar cuatro componentes fundamentales.

1. Gestor de red (NMS),

2. Agente

3. MIB.

4. Protocolo SNMP

2.4.3 Consola de administracin (NMS)

La estacin NMS es algn tipo de software que puede manejar procesos administrativas, es la

interfaz entre la red y el administrador. Una NMS es responsable de generar consultas y de recibir

notificaciones de agentes en la red. A travs de una consulta se obtiene informacin que ms tarde

puede ser usada para determinar si ha ocurrido algn evento crtico. Por otro lado una notificacin

permite al agente dar aviso que algo ha ocurrido. La estacin tiene la capacidad de realizar una

accin basada en la informacin que recibi del agente, realizando asi un monitoreo proactivo en

algunos casos.

2.4.3.1 Funciones bsicas

Los datos son centralizados en registros para poder tener una visin y realizar un anlisis

apropiado de los mismos.


25/179

Provee una interface para el administrador de manera que esta pueda controlar y observar

el proceso de administracin de red.

Permite tener una visin completa del desempeo de los dispositivos gestionados, como la

salud de la red, interfaces cadas, etc.

2.4.3.2 ARQUITECTURA NMS PARA LA ADMINISTRACIN DE RED

Se tienen tres arquitecturas fundamentales para la administracin de red: jerrquica, centralizada y

distribuida.Tienen una dependencia directa con el protocolo que se va utilizar para establecer las

reglas de monitoreo.

2.4.3.2.1 Arquitectura Centralizada

Aqu todas las consultas son envadas a un sistema de gestin simple. Las aplicaciones de

administracin son instaladas en la NMS, la cal responde a todos los avisos envados desde los

agentes. En un sistema de administracin centralizada hay un nico responsable de realizar

consultas de informacin a los dispositivos. Si bien su informacin es fcil de manejar,una NMS

puede llegar a sobrecargarse facilmente debido al nmero de traps2 que los agentes pueden envar

al NMS

Figura II. 1 Arquitectura de administracin Centralizada

22Traps: Eventos inusuales que se disparan cuando se cumplen una determinada premisa en el dispositivo y que son enviadas a la NMS


26/179

2.4.3.2.2 Arquitectura Distribuida

Como se muestra en la figura II.2, hay dos puntos de administracin del sistema que gestiona los

agentes .Se puede organizar una arquitectura distribuida basada en la geografa, o se puede

asignar a cada NMS responsabilidad sobre un grupo especfico de recursos de la red.

Figura II. 2 Arquitectura de administracin distribuida

Como se puede apreciar en la figura II.2 cada dispositivo NMS gestiona un grupo especfico de

dispositivos de la red, manejando de forma centralizada sus aplicaciones de gestin, de esta manera

se puede asegurar que las mquinas gestoras no sufrirn saturaciones. Este modelo tiende a limitar

los beneficios de un modelo de administracin de red centralizado, ya que las NMS pueden enviar

solo mensajes entre ellas pero no pueden actualizar consultas o resultados de bases de datos de

agentes administrados por otras NMS este tipo de arquitectura depende del tipo de protocolo de

gestin a utilizar.

2.4.2.3.3 Arquitectura jerrquica

Combina el sistema centralizado con el distribuido. Es la arquitectura ms compleja pero. Provee las

fortalezas de las anteriores .Como se muestra en la figura II.3 se utiliza una NMS centralizada que

solo coordina consultas enviadas de entidades NMS adicionales.


27/179

Figura II. 3 Arquitectura de Administracin Jerrquica

Se puede delegar varias tareas y responsabilidades a varios sistemas en la red, de esta manera se

mantiene y almacena informacin de una manera centralizada y sin embargo asegura que los

sistemas distribuidos sean responsables del procesamiento de consultas y respuestas. Las

aplicaciones de administracin estn distribuidas en varios sistemas en la red

2.4.4 Agente

Los agentes de administracin son procesos que se ejecutan en cada nodo de la red, como hosts,

routers, puentes, hubs, switches que deben estar equipados con SNMP. Representa a la parte del

servidor en la medida que tiene la informacin que desea administrar y espera los comandos a

ejecutar por parte del cliente (entidad administradora).Todos los datos del agente se almacenan en

su MIB ver figura II.IV y entre las funciones principales que un agente puede controlar encontramos.

Nmero y estado de circuitos virtuales

Mensajes de difusin enviados y recibidos.

Nmero de bytes y paquetes entrantes y salientes del dispositivo.

Interfaces de red que se han cado y las que se han activado


28/179

Para realizar estas funciones cada Agente mantiene un MIB (Manejador de Informacin Bsica) que

contiene toda la informacin (tanto reciente como histrica) sobre su configuracin local y el trfico

que maneja. La estacin manejadora mantendr un MIB global con la informacin resumida de todos

los agentes.

2.4.5 MIB (MANAGEMENT INFORMATION BASE)

Una MIB es una base de datos de informacin que est organizada de forma jerrquica.

estructurada en forma de rbol, en la que se agrupan todos los objetos de un dispositivo de red que

van a ofrecer algn tipo de interoperabilidad o funcionamiento en este, y que se desean que sean

gestionados a travs de SNMP.

Un objeto administrado o comnmente conocido como objeto MIB es uno de cualquier nmero de

caractersticas especficas de un dispositivo administrado. Los objetos administrados estn

compuestos de una o ms instancias de objeto, que son esencialmente variables.

Tipos de objetos Administrados: escalares y tabulares.

Los objetos escalares definen una simple instancia de objeto a diferencia de los objetos tabulares

que define mltiples instancias de objetos

2.4.5.1 OIDs (Objeto Identificador)

Cada uno de las ramificaciones del rbol y de los objetos contenidos en estas, estn representados

por un nmero que identifica su posicin exacta dentro de la MIB. Este nmero se denomina OID y

es nico entre todas las MIBs existentes.

Esto hace que cada objeto se ha accesible a travs de un solo camino, quedando perfectamente

identificado mediante lo que se conoce como una ruta absoluta del objeto.


29/179

2.4.5.2 Estructura de la MIB

SNMP sigue una estructura tipo rbol, donde sus ramificaciones son los objetos a ser gestionados

cada uno con una funcin especfica en la red. Los objetos se agrupan en estructuras lgicas

relacionadas entre s.Est definida baja las condiciones de SMI ver Anexo 1

rbol MIB

Los objetos de una MIB estn agrupados en una estructura en cascada compuesta por diversos

nodos: cada uno de estos nodos contiene un determinado nmero de objetos relacionados entre ssegn su funcin dentro del dispositivo: a esta estructura se la conoce como rbol MIB.

Figura II. 4 Estructura de la MIB


30/179

La zona superior de este rbol est reservada para diferentes organizaciones estndares, mientras

que las de la parte inferior estn reservadas para las organizaciones asociadas: la rama principal se

inicia en el nodo ISO donde de los dems apartados definidos para su propio uso, se ha definido uno

para el resto de organizaciones dentro de este se encuentra en nodo correspondiente a la

comunidad de internet que nos interesa en particular.

El nodo internet, uno de los principales nodos del rbol, en un principio estaba formado por las

siguientes 4 ramificaciones:

1. Directory: reservada para memorias futuras que discutan sobre la organizacin de la

estructura ISO utilizada en internet.

2. Mgmt: identifica a los objetos definidos en documentos aprobados por la IAB. aqu es en

donde se almacenan las MIBs estandarizadas.

3. Experimental:En este nodo se almacenan las MIBs en fase de pruebas.

4. Private: es uno de los nodos ms importantes dentro de internet ya que es en dnde se

almacenan las MIBs definidas de forma unilateral. Dentro del nodo private est el nodo

Enterprise donde cada fabricante reconocido dispone de su propio espacio para almacenar

las MIBs de sus dispositivos.

2.4.5.3 Sintaxis de la MIB

Definicin de ASN.1

ASN.1 es una notacin estndar muy flexible que proporciona un conjunto de normas, tipos de datos

y constructores, que permiten describir estructuras para representar, codificar, descodificar y

transmitir datos, de forma independiente de la mquina en la que se encuentran y de sus formas de

representacin interna.


31/179

Fue desarrollada como parte de la capa de presentacin del modelo OSI y ofrece una abstraccin

similar a la que otorga un lenguaje de programacin de alto nivel. Al igual que cualquiera de estos

lenguajes.

Tipos de datos ASN.1

La notacin Sintctica Abstracta (ASN.1) es una notacin perteneciente a la capa de

presentacin del modelo OSI, tal notacin presenta un alto nivel de abstraccin para representar los

objetos gestionados. El uso de ASN.1 permite que la comunicacin de las aplicaciones gestor-

agente se ha posible aun cuando usen mquinas con diferentes tipos de representacin interna.

Para esto ASN.1 define tres tipos de datos generales.

Simples o primitivos: Conocidos tambin como registros escalares, puesto que almacenan un

nico valor. Los tipos primitivos ms importantes son lo que se muestran en la Tabla II.I

TABLA II. I TIPOS DE DATOS SIMPLES O PRIMITIVOS

TIPO DESCRIPCIN

Integer Nmero entero negativo o positivo de hasta 32 bits

OctectString

DisplayString Cadena de caracteres ASCII imprimibles

OctectBitString Usado para cadenas de bits mayores a 32 bits

PhysAddress Representan direcciones de la capa de enlace

ObjetcIdentifier Identificador de objeto, que marca la posicin del objetoen la MIB

Null

Representa la ausencia de valor

Boolean Representa un valor que pueda ser verdadero o falso

Estructurados o compuestos: Son registros vectoriales, que sirven para definir filas y tablas. Son

construidos a partir de otros tipos primitivos. En la Tabla II.II se detallan los tipos de datos

estructurados.


32/179

TABLA II. II TIPOS DE DATOS COMPUESTOS O ESTRUCTURALES

TIPO DESCRIPCIN

Sequence Representa una fila, es decir una lista ordenada de tipos de

datos diferentes. Son construidos a partir de datos primitivos.

Sequence OF Representa una tabla, es decir es una lista ordenada de varias filas iguales.

Son construidos a partir de tipos compuestos.

Set Es un tipo de datos similar al sequence

SetOf Es un tipo de datos similar a sequence of, con la diferencia que la lista no

est ordenadaChoice Es un tipo de datos que se debe escoger de una lista predefinida.

Definidos: Se construyen a partir de los tipos de datos (primitivos y compuestos) con la diferencia

que se les ha definido un nombre ms descriptivo, se utiliza para distinguir los tipos dentro de una

aplicacin. Los tipos descriptivos o etiquetados se detallan en la Tabla II.III.

TABLA II. III TIPOS DE DATOS DEFINIDOS

TIPO DESCRIPCIN

NetworkAddress Representa una direccin de red de cualquier familia de protocolos

Ipaddress Representa la direccin de internet, definida en la pila de protocolos

Counter Representa un entero positivo que se incrementa hasta 232-1 Se

reinicia cuando alcanza el mximo valor

Gauge Representa un entero positivo, el cual se incrementa o decrementa,

se reinicia cuando alcanza su mximo valor

Time Ticks Representa un entero positivo, el cual cuenta el tiempo transcurrido

en centsimas de segundo

Opaque Representa un octectString que se le puede pasar cualquier valor

ASN.1


33/179

2.4.5.4 TIPOS DE MIBS

Estndares

MIB-I y MIB-II

Experimentales

Con grupos en fase de desarrollo.

Privadas

Incorporan la informacin del fabricante2.4.5.4.1 MIB I (Management Information Base I)

Constituyo la primera MIB normalizada y estandarizaba la definicin de los objetos de la torre de

protocolos TCP/IP. Est definida en la RFC 1155 ver Tabla II.IV

TABLA II. IV MIB II y MIB I

GRUPO MIB I MIB II DESTINO

SYSTEM 3 7 EL propio sistemaINTERFACES 22 22 Interfaces de red

AT 3 3 Correspondencia de direccines IP

IP 33 38 Internet Protocol

ICMP 26 26 Internet control messageProtocol

TCP 17 19 Transmisio Control Protocol

UDP 4 7 UserDatagramProtocol

EGP 6 18 Exterior Gateway protocol

TRANSMISSION NO 0 Nuevo grupo

SNMP NO 30 Nuevo grupo


34/179

2.4.5.4.2 MIB-II (Management Information Base II)

Define objetos y grupos adicionales a los definidos en el MIB tradicional, para esto, exigen ciertos

requisitos que deben cumplir los objetos para que puedan ser incluidos en el MIB-II ver Tabla 2.4,

dichos requisitos son los siguientes:

Slo se permiten objetos que al modificarlos, provoquen daos limitados, esto se debe a la

falta de seguridades en SNMP.

MIB-II elimina objetos dependientes de implementaciones concretas, ejemplo BSD UNIX.

MIB-II elimina el lmite de mantener menos cien objetos que posee MIB-I, esto se debe a

que cada vez hay ms tecnologas que administrar.

2.4.5.4.2.1 descripcin e identificacin de los objetos MIB II3

Grupo 1, El Nodo System

Define una lista de objetos que estn relacionados con el funcionamiento del sistema, es decir, da

informacin del sistema en el que se encuentra el agente. Ver tabla II.V.

TABLA II. V DESCRIPCIN DE LOS OBJETOS EN EL GRUPO SYSTEM

NOMBRE DELOBJETO

VALOR DESCRIPCIN

Sysdescr 1 Descripcin del dispositivo

SysObjectID 2 Identificacin del sistema Operativo

SysUptime 3 Tiempo Transcurrido desde el ltimo Reset

SysContact 4 Nombre del administrador responsableSysname 5 Nombre del dispositvo

SysLocation 6 Ubicacin Fsica del dispositivo

SysServices 7 Servicios ofrecidos por el dispositivo

3Diseo e implementacin de un sistema de monitorizacin y control para un modem satlite a travs de SNMP,

Comprezios Marc A. enero 2011


35/179

Grupo 2, Interfaces

Mantiene un registro del estado de cada interfaz de red en una entidad gestionada. El grupo interfaz

monitoriza que interfaces estn cadas o levantadas ver Tabla II.VI

TABLA II. VI DESCRIPCIN OBJETOS EN EL GRUPO INTERFACES

NOMBRE DEL OBJETO VALOR DESCRIPCIN

IfIndex 1 Numero de una interfaz

IfDescr 2 Descripcin de una interfaz

ItType 3 Tipo de interfazIfMTU 4 Mximo de octetos en un Datagrama

IfSpeed 5 Ancho de banda en bits por segundo

IfPhysAddress 6 Direccin fsica

IfAdminStatus 7 Para cambiar el estado de la interfaz

IfOperStatus 8 El estado Actual de la interfaz

IfLastChange 9 El valor de Sysuptime sobre la interfaz

IfInOctects 10 Total de octetos recibidos en una interfazIfInUcastPkts 11 Nmero de paquetes unicast de subred de entrada

IflnNucastPkts 12 Nmero de paquetes no unicast de subred de entrada

IfInDiscard 13 Paquetes entrantes descartados

IfInErrors 14 Paquetes de entrada descartados por error

IfInUnKnownProtocols 15 Paquetes de entrad con error de protocolo

IfOutOctets 16 Total de octetos transmitidos por una interfaz

IfOutUcastPkts 17 Numero de paquetes unicast de subred de salida.

IfOutNUcastPkts 18 Nmero de paquetes no unicast de subred de salida

IfOutDiscard 19 Nmero de paquetes de salida descartados

IfOutErrors 20 Paquetes de salida descartados por error

IfOutQlen 21 Longitud e la cola de paquetes de salida

IfSpecific 22 Referencia de Documentacin del medio especfico

para la interfaz


36/179

Grupo 3 Address Translation.

Es el grupo de traduccin de direcciones, se encuentra en estado deprecated y nicamente se

mantiene por compatibilidad con la MIB I probablemente desaparezca en la MIB III ver tabla II.VII

TABLA II. VII OBJETOS EN EL GRUPO ADDRESS TRANSLATION

NOMBRE DEL OBJETO SIGNIFICADO

AtIfIndex Interface Number

AtPhysAddress Direccin del medio del mapeo

AtNetAddress Direccin IP del mapeo

Grupo 4 Internet Protocol

Mantiene un registro de varios aspectos de IP, ms concretamente lleva las estadsticas del

protocolo IP. Registra IP recibidos, reenviados, descartados, etc.

TABLA II. VIII OBJETOS DEL GRUPO IP

NOMBRE DEL OBJETO VALOR SIGNIFICADO

IPAdEnAddr 1 Direccin IP destino

IpAdEntiflndex 2 Nmero de interfaz

IpAdEntNetMask 3 Mascara de subred para la direccin IP

IpAdEntBcastAddr 4 LSB de la direccin de broadcast

IpAdEntReasmMaxSize 5 El datagrama ms grande que se pueda reensamblar.

IpRouteDest 1 Direccin IP destino

IpRouteIfIndex 2 Nmero de interfazIpRouteMetric 1 3 Mtrica de enrutamiento #1

IpRouteMetric 2 4 Mtrica de enrutamiento #2



IpRouteNextHope 7 Direccin IP del Gateway par el siguiente host


37/179

IpRouteType 8 Tipo directo, remoto, vlido o invlido

IpRouteProto 9 Mecanismo utilizado para determinar la rutaIpRouteAge 10 La ltima vez en segundos que fue actualizada la ruta

IpRouteMask 11 Mascara de subred para la ruta

IprouteMetric 5 12 Una mtrica de enrutamiento alternativo

IpRouteInfo 13 Referencia MIB para el protocolo

IpNetToMedaIfIndex 1 Nmero de interfaz

IpNetToMedaPhysAddres 2 Direccin del medio de mapeo

IpNetToMedaNetsAddres 3 Direccin IP del mapeoIpNetToMedaType 4 Como el mapeo fue determinado

Grupo 5 ICMP

Mantiene un registro de varios aspectos ICMP, ms concretamente lleva estadsticas del trfico

ICMP por ejemplo errores, mensajes ECHO recibidos/enviados etc. Ver Tabla II.IX

TABLA II. IX DESCRIPCIN OBJETOS DEL GRUPO ICMP


IcmpInMsgs 1 Mensajes recibidos incluyendo los de error

IcmpInErrors 2 Mensajes recibidos con errores

IcmpInDestUnrecheable 3 Mensajes recibidos con destino irreconocible

IcmpInTimeExcds 4 Mensajes recibidos con tiempo extendido

IcmpInParmProbs 5 Mensajes recibidos con problemas en los parmetros

IcmpInSrcQuenchs 6 Mensajes recibidos de fuentes apagadas

IcmpInRedirects 7 Mensajes recibidos redirigidos

IcmpInEchos 8 Mensajes recibidos con peticiones de eco

IcmpInEchosRep 9 Mensajes recibidos de respuesta de eco

IcmpInTimestamps 10 Mensajes recibidos de marcas de tiempo

IcmpInTimestampReps 11 Mensajes recibidos de respuestas de marcas de tiempo

IcmpInAddrMasks 12 Mensajes recibidos de peticiones de mascara de subred


38/179

IcmpInAddrMaskResp 13 Mensajes recibidos de respuestas de mascara de subred

IcmpOutMsg 14 Mensajes mandados incluyendo con los de errorIcmpOutErrors 15 Mensajes no enviados debido al control de flujo

IcmpOutDestUnrecheable 16 Mensajes enviados con destino irreconocible

IcmpOutTimeExcs 17 Mensajes enviados con tiempo excedido

IcmpOutParmProbs 18 Mensajes enviados con problemas de parmetros

IcmpOutSrcQuenchs 19 Mensajes enviados con fuente apagada

IcmpOutRedirects 20 Mensajes enviados redirigidos

IcmpOutEchos 21 Mensajes enviados con solicitud de ecoIcmpOutEchosResp 22 Mensajes enviados con respuesta de eco

IcmpOutTimestamp 23 Mensajes enviados con solicitud de marcas de tiempo

IcmpOutTimestampResp 24 Mensajes enviados con respuestas de marcas de Tiempo.

IcmpOutAddrsMasks 25 Mensajes enviados con peticin de mascara de subred

IcmpOutAddrsMaskResp 26 Mensajes enviados con respuesta de mascara de subred

Grupo 6 TCP

Lleva un registro del estado de las conexiones TCP (cerradas, escuchando, etc) y de los datos

generales sobre TCP (nmeros de conexiones establecidas, mximo timeout de retransmisin, etc.)

Ver tabla II.X

TABLA II. X DESCRIPCIN DE LOS OBJETOS DEL GRUPO TCP

NOMBRE DELOBJETO

VALOR SIGNIFICADO

TcpRtoAlgorithm 1 Identificacin del algoritmo de retransmisinTcpRtoMin 2 El tiempo de salida mnimo de retransmisin

TcpRtoMax 3 El tiempo mnimo de retransmisin

TcpMAxconn 4 Conexiones TCP mximas permitidas

TCpActiveOpens 5 Cambio de estadso a SYN-SENT de closed

TcpPassivesOpens 6 Cambio de estado a SYN-RCVD de Listen


39/179

TcpAttemptFAil 7 Cambio de estado a closed de ESTAB/WAIT

TcpCurrEstab 9 Nmero de conexiones con el estado established o closedTcpInSegs 10 Segmentos recibidos, incluyendo con error

TcpOutSegs 11 Segmentos mandados incluyendo con error

TcpConnState 1 Estado de la conexin Tcp

TcpConnLocalAddress 2 Direccin IP para esta conexin TCP

TcpConnLocalPort 3 Nmero de puerto para esta conexin TCP

TcpConnRmAddress 4 Direccin IP remota para esta conexin

TcpConnremPort 5 Nmero de puerto Remoto para esta conexin

Grupo 7 UDP

Controlan las estadsticas de datagramas de entrada y salida, conexiones UDP de entrada y de

salida ver Tabla II.XI.

TABLA II. XI DESCRIPCIN DE OBJETOS DEL GRUPO UDP


UdpInDatagrams 1 Datagramas enviados a usuarios UDP

UdpNoPorts 2 Datagramas dirigidos a puertos desconocidos

UdpInErrors 3 Datagramas no enviados por formatos de error

UdpOutDatagrams 4 Datagramas mandados desde la entidad

UdpLocalAddress 1 Direccin IP para esta aplicacin UDP

UdpLocalPort 2 Nmero de puerto local para esta aplicacin UDP

Grupo 8 EGP

Esta encargado del control estadsticas EGP y mantenimiento de la tableEGPneighbor.

Grupo 9 EL CMOT

El CMOT define al protocolo ISO para administrar redes. El CMIP, sobre TCP:


40/179

El grupo 9 del MIB-II fue diseado para este propsito. Pero todava no ha sido implementado.

Grupo 10 TRANSMISSION

Actualmente no existen objetos asociados a este grupo; sin embargo otro MIBs Especficos para

medios est definido en este subrbol.

Grupo 11 SNMP

Mide el rendimiento de la implementacin SNMP en el dispositivo administrado y controla cosas

como paquetes enviados y recibidos y cada uno es identificado en la Tabla II.XII

TABLA II. XII DESCRIPCIN DE LOS OBJETOS DEL GRUPO SNMP

NOMBRE VALOR DESCRIPCIN

SnmplnpKTS 1 Mensajes recibidos de un servicio de transporte

SnmplnOutPkts 2 Mensajes pasados al servicio de transporte

SnmplnBadVersions 3 Mensajes recibidos con error en la versin

SnmplnBadConmmunityNames 4 Mensajes de error en la comunidad

SnmplnBadConmmunityUses 5 Mensajes entrantes con operaciones SNMP no vlidas

SnmplnASNParseErrs 6 Mensajes entrantes con errores en la sintaxis

SnmplnTooBigs 8 PDU entrante con errores de tipo TooBIg

SnmplnNoSuchNames 9 PDU entrante con errores de tipo NosuchName

SnmplnBadValues 10 PDU entrante con errores de tipo BadValue

SnmplnReadOnly 11 PDU entrante con errores de tipo ReadOnly

SnmplnGenErrs 12 PDU entrante con errores de tipo GenErrs

SnmplnTotalSetVars 14 Objetos alterados con el PDU al recibir un set -requestSnmplnGetRequest 15 Get-request aceptados y procesados por snmp

SnmplnGetResponse 18 GetResponse aceptados y procesados por snmp

SnmplnTraps 19 Traps procesados y aceptados por SNMP

SnmpOutTooBig 20 PDUs generados con error TooBig

SnmpOutNosuchNames 21 PDU generado con error tipo suchname


41/179

2.4.5.4.3MIBS EXPERIMENTALES

MIB, Estas fueron desarrolladas por los grupos de trabajo de Internet. Actualmente existen MIBs

para:

IEEE 802.4 TokenBus (RFC 1230).

IEEE 802.5 TokenRing(RFC 1231).

IEEE 802.3 RepeaterDevices(RFC 1368).

Ethernet(RFC 1398). (ya estndar).

FDDI (RFC 1285).

RMON (RFC 1271).

Bridges(RFC 1286

2.4.5.4.4 MIBs PRIVADAS

MIBs de productos especficos desarrollados por las propias casas fabricantes de equipos de

Telecomunicaciones, con el objeto de aadir funcionalidad a las MIBs estndares. Las hacen

pblicas, a travs de Internet .algunas MIB privadas.

MIB Cabletron.

MIB Synoptics.

MIB Proteon.

MIB ATT.

MIB Cisco.


42/179

2.5 SNMPv3

Es un protocolo basado en estndares de interoperabilidad:

Provee accesos de seguridad para los dispositivos de red, mediante la combinacin de paquetes de

autenticacin y encriptacin.

2.5.1 Caractersticas de seguridad

Integridad: El protocolo deber verificar que cada mensaje recibido SNMPv3 no ha sido

modificado durante su transmisin a travs de la red de tal forma que una operacin de

gestin no autorizada pudiera resultar.

Autenticacin: El protocolo deber verificar la identidad del originador del mensaje recibido.

Tiempo en que se originaron los datos: El protocolo verificara el tiempo aparente de la

generacin del mensaje. Para proteger contra la amenaza de modificacin de flujo de

mensajes para lo cual una marca de tiempo es incluido en el mensaje.

Confidencialidad: el protocolo deber garantizar, cuando se ha necesario que el contenido

del mensaje se ha indescifrable. Un algoritmo de encriptacin simtrica es puesto en marcha

para proteger contra la amenaza de revelacin de contenido.

2.5.2 Modelos y niveles de seguridad

Modelo de Seguridad: es una estrategia de autenticacin determinada para un usuario y grupo en

que este reside.

Niveles de seguridad: define el umbral permitido dentro del modelo de seguridad.

La combinacin de ambos decidir el mecanismo hacer empleado para el intercambio de mensajes

SNMP. Tres son los modelos de seguridad disponibles:


43/179

SNMPv1, SNMPv2 y SNMPv3 y tres son los niveles de seguridad disponibles: noAuth-Nopriv,

AuthNoPriv, AuthPriv. La Tabla 2.13 describe las posibles combinaciones entre estos dos conceptos.

Los fundamentos de la seguridad en SNMPv3 se pueden describir a travs de los siguientes puntos.

Cada usuario pertenece a un grupo

Un grupo define sus polticas de acceso para un conjunto de usuarios

Una poltica SNMP determina que objetos de la MIB pueden ser accedidos para escribir y

leer.

Un grupo tambin determina el modelo y el nivel de seguridad para sus usuarios

Beneficios

Los datos pueden ser colectados en forma segura por equipos SNMP sin el temor que hayan

sido forzados o corrompidos.

Manejo de la informacin confidencial. Por ejemplo un conjunto de comandos SNMP que

cambian la configuracin de un equipo, pueden ser configurado para prevenir la exposicin

de su contenido en la red.

Acceso selectivo hacia cada uno de los objetos de la MIB.

Identificacin del origen de los mensajes

Robustos algoritmos para la autenticacin y la encriptacin

TABLA II. XIII MODELOS Y NIVELES DE SEGURIDAD

MODELO NIVEL AUTENTICACIN ENCRIPTACIN

V1V2V3V3V3

noAuthNoprivnoAuthNoprivnoAuthNoprivAuthNoprivAuthPriv

ComunidadComunidadusuarioMD5 o SHAMD5 o SHA

NoNoNoNoSI


44/179

2.5.3 Arquitectura SNMPv3

EN SNMPv3 se abandona la nocin de agentes y gestores, Ambos, administradores y agentes,

ahora se denominan entidades SNMP,Cada entidad est formada por un nico motor SNMP y por

una o ms aplicaciones SNMP. El motor y las aplicaciones a su vez estn conformadas por modelos.

Los subsistemas interactan entre s mediante primitivas y parmetros abstractos con el fin de que

una entidad pueda proveer un determinado servicio. Dependiendo de los tipos de mdulos que

conformen una entidad, esta podr actuar como: agente, gestor o una combinacin de ambos.

La arquitectura SNMP tiene algunas ventajas:

Permite el desarrollo de estrategias de coexistencia y transicin con otros mdulos

Definicin del rol de una entidad en base a los mdulos que se tenga implementado.

Capacidad de actualizar de forma modular sin la necesidad de actualizar todo el protocolo

2.5.4 Entidades SNMP

Figura II. 5 Entidad SNMPv3

GENERADOR

DE COMANDOS

RECEPTOR

NOTIFICACIONES

EMISOR PROXY

CONTESTADOR

DE COMANDOS

ORIGINADOR

NOTIFICACIONES

SUBSISTEMA DE PROCESAMIENTO

DE MENSAJES

DISTPACHER

SUBSISTEMA

SEGURIDAD

SUBSISTEMA DE

CONTROL DE ACCESO


45/179

Es un conjunto de mdulos que interactan entre s. Cada entidad SNMP ofrece una porcin de la

capacidad de SNMP y puede actuar como los tradicionales Agentes o gestores o una combinacin

de ambos. Cada entidad est formada por mdulos que interactan entre s para ofrecer un servicio,

como se ilustra en el diagrama de bloques de la figura II.V

2.5.4.1Motor SNMP

Es la parte esencial de cualquier entidad SNMP.

El Motor SNMP es el encargado de proporcionar las funciones de.

Envi de mensajes

Recepcin de mensajes

Autenticacin

Encriptado y descencriptado de los mensajes

Control de Acceso a los objetos administrados

Estas funciones son provistas como servicios a una o ms aplicaciones y est provisto de 4

mdulos. Ver Fig. II.V

2.5.4.1.1 Dispatcher(despachador)

Es el encargado de administrar el trfico. Para mensajes salientes recibe las PDUs de las

aplicaciones determina el tipo de procesamiento requerido (SNMPv1, SNMPv2, SNMPv3) y entrega

estos datos al mdulo de procesamiento de mensajes adecuado. Para mensajes entrantes, acepta

mensajes del nivel de transporte y lo deriva al mdulo de procesamiento de mensajes idneo.

2.5.4.1.2 Subsistema de Procesamiento Mensajes

Es el responsable del armado y desarmado de la PDU, recibe y entrega los mensajes del

despachador. Si es necesario luego del armado de la PDU (mensaje saliente) o antes de desarmarla

(mensaje entrante) pasara la misma al subsistema de seguridad. Un subsistema de procesamiento


46/179

de mensajes puede contener varios modelos de procesamiento de mensajes para SNMPv1

(denominado v1MP), para SNMPv2 (denominado v2cMP), SNMPv3 (denominado v3MP) y para

otros protocolos de gestin.

2.5.4.1.3 Subsistema de seguridad

Es el encargado de ejecutar las funciones de autenticacin y encriptacin de los mensajes SNMP,

haciendo uso del modelo de seguridad basado en usuarios (USM), agregando un encabezado

especfico de seguridad en cada mensaje. Tambin debe proveer mecanismos de seguridad

basada en comunidades para el caso de SNMPv2 y SNMPv1.Especificamente la RFC-2574

establece que el modelo de seguridad basado en usuario protege frente a las siguientes amenazas.

Retransmisin del flujo de mensajes

Suplantacin de identidad

Confidencialidad de los datos

Eventos disfrazados

Modificacin de la informacin de gestin

2.5.4.1.4 Subsistema de control de Acceso

Proporciona servicios de autorizacin para controlar el acceso a los objetos MIB, es decir determina

a que objetos de la MIB se accede y que operaciones pueden ejecutarse en ellos. Implementa el

Modelo de control de Accesos basado envistas (VACM), provee servicios que comprueban los

permisos para realizar una determinada operacin en una vista especifica.

2.5.4.2Aplicaciones SNMP

Las aplicaciones SNMP son subsistemas que usan los servicios de un motor SNMP para llevar a

cabo operaciones especificas relacionadas al procesamiento de informacin de gestin.


47/179

2.5.4.2.1 Generador de Comandos

Monitoriza y maneja los datos de administracin de los dispositivos gestionados. Especficamente

genera las PDUs: GetRequest, GetNextRequest, GetBulkRequest y SetRequest, adems recibe y

procesa las respuestas GetResponse a los pedidos que ha generado.

Esta aplicacin se implementa en la entidad que acta como NMS.

2.5.4.2.2 Contestador de comandos

Recibe las PDUs GetRequest, GetNexteRequest, GetBulkreuqest y SetRequest, realiza las acciones

solicitadas y utilizando el control de acceso, genera mensajes GetResponse para responder la

solicitud de una NMS. Esta aplicacin es implementada en una estacin que acta como agente.

2.5.4.2.3 Receptor de Notificaciones

Es el encargado de monitorizar la llegada de notificaciones y de tratarlas una vez recibidas y en el

caso de un informRequest genera un Getresponse.

2.5.4.2.4 Generador de notificaciones

El encargado de monitorizar constantemente el sistema y de generar las notificaciones, en caso de

detectar un evento particular, que haya cambiado la forma de operar del dispositivo monitoreado,

Para el cual haya sido programado con anterioridad por parte del encargado de gestionar la red.

2.5.4.2.5 Reenviador Proxy

Reenva mensajes entre entidades SNMP, La implementacin de esta aplicacin es opcional.

Una entidad no tiene por qu implementar todos los mdulos anteriores ya que esto depende de las

funcionalidades que se desea que tenga dispositivo.

2.5.5 Gestor SNMP

La Figura II.6 muestra el diagrama de bloques de un gestor SNMP tradicional.


48/179

Figura II. 6 Gestor SNMP Tradicional

Una entidad SNMP que contenga una o ms aplicaciones: generadoras de comandos, receptoras

de notificaciones y originadoras de notificaciones (junto con un motor snmp) se llama Gestor

SNMP. Todas estas aplicaciones utilizan servicios proporcionados por el motor SNMP.

Recibe los mensajes SNMP desde la capa de transporte (UDP), realiza el procedimiento de

autenticacin y descifrado, y luego extrae las PDUs para posteriormente ser entregadas a las

aplicaciones pertinentes.

(

. .

1


49/179

2.5.6 Agente SNMP

Figura II. 7 Agente Tradicional

Una entidad SNMP que contenga una o ms aplicaciones contestadoras de comandos,

originadoras de notificaciones y opcionalmente reenviadores proxy (junto con un motor SNMP) se

llama agente SNMP.

El motor SNMP de un agente SNMP contiene los subsistemas del motor de un Gestor SNMP ms

un subsistema de control de acceso.

. .

1


50/179

2.5.7 Formato mensaje SNMPv3

El formato del mensaje SNMPv3 es totalmente diferente al de sus versiones anteriores. En virtud

que se introducen parmetros de autenticacin y encriptacin. Los campos sombreados con violeta

son generados y procesados por el subsistema de procesamiento de mensajes.

Figura II. 8 Formato mensaje SNMPv3

El mensaje incluye los siguientes campos:

msgVersion:Identifica la versin de snmp utilizada, esta seteado a 3 (SNMPv3)

MsgVersion

msgID

MsgMaxSize

MsgFlags

MsgSecurityModel

msgAuthoritativeEngineID

msgAuthoritativeEngineBoots

msgAuthoritativeEngineTime

MsgUserName

msgAuthenticationParameters

MsgPrivacyParameters

ContextEngineID

ContextName

PDU

ENCRIPT

ACIN

AUTENTICACIN


51/179

msgID:Identificador que permite relacionar los mensajes es decir permite asociar los

mensajes de solicitud con los de respuesta.

msgMaxSize: Este campo expresa en octetos al mximo tamao del mensaje que puede

recibir la entidad SNMP que emitio el mensaje actual. Su rango va desde 484 a 231-1.

msgFlags: Es un octeto que contiene tres banderas en los bits menos significativos. Las

banderas son reportableFlag, privFlag y authFlag.la bandera reportableFlag sirve para

determinar cundo enviar un 1 o un 0 a una Pdu report a la entidad emisora del mensaje.

Esta bandera debe estar seteada en 1 en las PDUs get, Set e inform y debe estar seteada a

cero en las PDUs response Trap y report. Las banderas privFlag y authFlag sirven para

indicar el nivel de seguridad aplicado al mensaje

msgSecuritymodel: sirve para indicar qu tipo de modelo de seguridad fue usado por el

remitente del mensaje y por lo tanto que modelo de seguridad debe ser utilizado por el

receptor del mensaje para procesarlo. Su rango va desde 0 a 231-1 pero existen valores

reservados: 0(cualquiera), 1(SNMPv1), 2(SNMPv2) y 3(USM).

La siguiente seccin tiene parmetros exclusivos para la operacin USM.

msgAutoritativeEngineID: Es un identificador que se asigna al motor de una entidad SNMP

(agente o gestor) que responde a las peticiones o al que recibe las notificaciones, y es el

que sirve como referencia para el denominado motor autorizado (AutoritativeEngine).

msgAuthoritativeEngineBoots: Indica el nmero de ocasiones que un motor SNMP se

reinici desde su configuracin original.

msgAutoritativeEngineTime: Indica el tiempo en segundos desde que se inici por ltima

vez .La tercera seccin es la que contiene la PDU SNMP definidas.


52/179

ContextEngineID: En los mensajes entrantes, este campo indica a que aplicacin se

entregara la PDU. Es el identificador de una entidad SNMP asociado con un contexto

ContextName: Nombre que se asigna a un contexto que tiene relacin con la informacin

de administracin contenida en la PDU del mensaje.

PDU: contiene los valores (OID e instancias) de una peticin o respuesta SNMP.

2.5.8 SEGURIDAD EN SNMPv3

SNMPv3 mantiene una forma flexible y poderosa para incrementar la seguridad en los entornos

gestin durante el trnsito de la misma a travs de la red. Esta versin proporciona la posibilidad de

configuracin de nombres de usuario, derechos de acceso, y diferentes claves para limitar el acceso

a los recursos de gestin.

SNMPv3 logra reducir al mximo los riesgos de que la informacin de gestin sea fcilmente

obtenida. Para lo cual hace uso de un modelo de seguridad basado en usuario y un control de

acceso basado en vistas, los mismos que trabajando en conjunto aseguran el transito seguro de la

informacin de gestin atreves de la red

2.5.8.1 Control de Acceso basado en vistas (VACM)

El modelo de control de acceso est basado en vistas est definido en el RFC 3415 Esta

implementado sobre el subsistema de control de acceso de los agentes tradicionales permitiendo

determinar quin est autorizado para acceder a la MIB, segn las polticas de acceso de cada

objeto de la MIB, definidas en la configuracin del motor SNMP al que pertenece.

El modelo de control de acceso utiliza los campos msgFlags, msgSecurityModel y scopedpdu del

mensaje SNMPv3 para determinar qu tipo de acceso tiene el mensaje. Si el acceso no es

permitido a dicho tipo de solicitud, entonces se enva una notificacin de error al principal.


53/179

VACM tiene dos caractersticas fundamentales:

determina si un acceso a la MIB local est permitido

Posee su propia MIB en la cual se definen las polticas de acceso y habilita la configuracin

remota.

Se definen cinco elementos que constituyen la VACM:

1. Grupos:anan un conjunto de usuarios con los mismos derechos de acceso a los objetos

de la MIB. Cada principal est representado por una dupla securityModel, securityName.

Todo grupo est identificado con groupName en un agente, un principal debe pertenecer a

un solo grupo.

2. Nivel de seguridad: definen las diferentes comprobaciones de autenticacin y privacidad

que deben considerarse antes de permitir el acceso: Es posible configurar diferentes formas

de acceso para cada usuario. El nivel de seguridad es importante en la definicin de

derechos de acceso, de tal manera que si el nivel de seguridad es noauNopriv, entonces los

derechos de acceso pueden solo ser de lectura. Si el nivel de seguridad es authPriv o

authNopriv, entonces los derechos de acceso pueden ser solo de escritura.

3. Contextos:Es un subconjunto de instancias de objeto en la MIB local, bajo el nombre

contextName, accesibles por una entidad SNMP. Permite agrupar objetos con distintas

polticas de acceso. Un objeto puede pertenecer a ms de un contexto.

4. vistasMIB:Define conjuntos especficos de objetos administrados, los cuales se pueden

agrupar en jerarquas de rboles y familias de manera que se pueda restringir su acceso a

determinados grupos

5. Polticas de Acceso:son las normas de acceso que se asignan a un contexto SNMP.


54/179

La determinacin de un derecho de acceso est dada por los siguientes factores.

El gestor SNMP (principal) que est realizando el pedido de acceso.

El nivel de seguridad del mensaje de pedido

El contextoMIB referenciado en el mensaje de pedido.

El modelo de seguridad usado para el procesamiento de mensaje pedido.

El tipo de acceso solicitado (lectura, escritura o notificacin).

Figura II. 9 Diagrama de flujo para VACM


55/179

2.5.8.2 Modelo de Seguridad Basado en Usuario

USM est implementado sobre el subsistema de seguridad para proporcionar los servicios de

autenticacin y privacidad en una entidad SNMPv3. Utiliza un mecanismo tpico de usuario y

contrasea asociada a este y funciona de la mano con el grupo VACM con una serie de vistas

configuradas que establecen privilegios de acceso. Especficamente la RFC

Analisis Del Protocolo Snmpv3 Para El Desarrollo de Un Prototipo de Monitoreo de Red Segura -...

Documents

Transcript of Analisis Del Protocolo Snmpv3 Para El Desarrollo de Un Prototipo de Monitoreo de Red Segura -...