menedzsment SNMP protokollt
Internet - egy hatalmas hálózatot. Ez felveti a kérdést, mert megtartja integritását és a funkcionalitás ellenőrzése nélkül? Ha figyelembe vesszük a heterogenitás számítógépek, útválasztók és használt szoftver a hálózat fennállásának az internet bemutatott egyszerű csoda. Tehát hogyan mer Internet kormányzási kérdések? Ennek egy része a kérdést már válaszolt - a hálózat működőképes marad, mivel a merev protokoll szabályozás. „Reserve erő” meghatározott protokollok magukat. A diagnosztikai funkciók tartoznak, mint már említettük, az ICMP protokoll. Tekintettel a vezérlési funkciók e célra létrehozott két SNMP (Simple Network Management Protocol, RFC-1157, -1215, -1187, -1089, std-15-ben fejlesztették 1988) és CMOT (Common Management Information szolgáltatások és protokoll TCP / IP RFC-1095, az utóbbi években az e protokoll használata korlátozott). Jellemzően a vezérlő alkalmazás hátrányosan befolyásolja a hálózat lánc SNMP-UDP-IP-Ethernet. A legfontosabb cél az ellenőrzés általában egy külső hálózati port (gateway) vagy a hálózati útválasztó. Minden kezelt objektum egy egyedi azonosítót.
Táblázat 4.4.13.1 SNMP parancsok
Kap az érték a megadott változó vagy információt az állapota a hálózati elem;
Szerezd meg a változó értékét anélkül, hogy ismerné a pontos neve azt (a következő logikus azonosítót a MIB fa);
Rendeljen egy változó értéke. Leírására használt műveletet kell elvégezni;
A válasz a GET-kérelmet, GET_next_request és SET-kérést. Azt is tartalmaz információt az állapotot (hibakódok és egyéb adatok);
Tájékoztatás a TRAP szereplő speciális kódot.
Típusú TRAP 0-4 speciális kódot területén nullának kell lennie. Időbélyeg mező száma centisecundumokban (kullancsok száma) az idő az inicializálás a vezérlő objektum. Mivel megszakítást ki coldstart objektum át 200 ms inicializálás után.
Az utóbbi években széles körben elterjedt az ideológia elosztott protokoll interfész DPI (Distributed Protocol Interface). Szállítás SNMP-lekérdezéseket lehet használni nem csak UDP, de a TCP-protokoll. Ez lehetővé teszi, hogy használja az SNMP protokoll nem csak a helyi hálózatok. Formátumok SNMP-DPI-lekérdezéseket (2.0 verzió) leírása az RFC-1592. Példa fejléc SNMP-kérelmet (mezejű alkotnak egy tömb látható; 4.4.13.3 ..):
Golf flag = 0x30 jele ASN.1-fejlécet. Kódok Ln - van egy hossz mezőt tartalmaz, kezdve a byte, amely követi a kódhosszúság, amíg a végén a kérelem üzenet (n - száma a mező hosszúság), hacsak másképpen nem jelezzük. Mivel az L1 --query csomag hossza kezdve T1, hogy a végén a csomag, és L3 - jelszó hosszúság mezőt. Részterület Tn - típusú mező a kérést követő részterület őket. Mivel T1 = 2 azt jelenti, hogy a mező jellemzi egy egész szám, T2 = 4 azt jelzi, hogy az alábbiak a jelszó (közösségi mező a fenti példában = nyilvános). Az alábbi adatok a számadatok azt mutatják, jellemző értékek almezők. 0xA Code - jele GET-kérelmet, majd PDU kód mező (0-4, lásd 4.4.13.1 ..) Blokk almezők kérés azonosítója használjuk ugyanarra a célra, mint a más azonosítók - meghatározni a kérés-válasz párok . Tulajdonképpen kérelem azonosító lehet egy vagy két bájt, amely meghatározza a Liz. CO - hiba állapota (PS = 0 - nincs hiba); TM - MIB-változó típus (a példában = 0x2B); IO - hibakód. Digitális kódja MIB-változó kijelzők a szekvenciát a digitális almezők jellemző változó, például: változó 1.3.6.1.2.1.5 (szimbolikus szempontjából iso.org.dod.internet.mgmt.mib.icmp) jellemzi sorozata kód 0x2B 0x06 0x01 0x02 0x01 0x05 0x00.
SNMP processzor I. táblázatban felsorolt komponensek 4.4.13.5 (lásd RFC 2571 és -2573)
Táblázat 4.4.13.5. SNMP processzor komponenseket
Ez lehetővé teszi az egyidejű támogatása több változatát SNMP-üzenet processzor SNMP. Ez az összetevő felelős a fogadó protokoll adat egységek (PDU) továbbításához PDU üzenet feldolgozása alrendszer adására és vételére hálózati üzenetek SNMP-
Üzenet gépek alrendszer
Előkészítéséért felelős üzenetek küldésére és adatvisszaszerzés a bemeneti üzenet
Szolgáltatásokat nyújt, amelyek a biztonság: a hitelesítési és biztonsági üzenetek lehallgatását és torzítás. Ez lehetővé tette a végrehajtása több biztonsági modellek
Access Control alrendszer
Kezdeményezi kéri SNMP-get, GetNext, GetBulk vagy Set, amelynek célja a helyi rendszerek is használják az alkalmazások, hogy ellenőrizze a hozzáférési jogok.
SNMP-kérelem érzékeli Get, GetNext, GetBulk vagy Set, szánt a helyi rendszer, azt jelzi, hogy a kérelem beérkezett contextEngeneID egyenlő a megfelelő értéket a processzor SNMP. parancsot kezelő alkalmazás elvégzi a megfelelő protokoll működését, létrehozza a válasz üzenetet, és elküldi azt a feladó kérésére.
Hallgatja a figyelmeztető üzenetet, és előállítja válasz üzenetet, amikor az üzenet származik a PDU Inform
Ábra. 4.4.13.5 mutatja SNMPv3 üzenet formátum, amely végrehajtja a biztonsági modell UBM (User-alapú biztonsági modell).
Az első öt mező által generált küldő üzeneten belül feldolgozási modell és dolgozza fel a kagylót. A következő hat mező hordozza a biztonsági paraméterek. A következő PDU (adatblokk mező), és a contextEngeneID contextName.
- msgVersion (az SNMPv3) = 3
- msgstr - egyedi azonosító által használt SNMP-szervezetek létrehozása közötti levelezés kérés és a válasz. Msgstr érték közötti tartományban 0 - (február 31 -1)
- msgMaxSize - meghatározza az üzenet maximális méret bájtban támogatott a feladó. Jelentősége abban rejlik, a tartományban 484 - (február 31-1) és egyenlő a maximális szegmens méret lehet által érzékelt a feladó.
- msgFlags - 1 oktetes tartalmazó karakterlánc három zászló a legkevésbé szignifikáns bit: reportableFlag, privFlag, authFlag. Ha reportableFlag = 1, kell küldeni egy üzenetet PDU jelentés; ha a flag = 0, jelentése nem kell küldeni. Flag reportableFlag = 1 beállítása az összes üzenet van a feladó kérésére (Get, Set) vagy Inform. A zászló nullára van állítva a válaszokban, vagy értesítő Trap jelentés üzeneteket. Zászlók privFlag és authFlag által meghatározott feladó jelzésére biztonsági szintjét ezt az üzenetet. A privFlag = 1 titkosítást használnak, és a authFlag = 0 - hitelesítést. Az érvényes jelzőértékeit bármilyen kombinációja mellett privFlag = 1 AND authFlag = 0 (hitelesítés titkosítás nélkül).
- msgSecurityModel - azonosítót egy értéket a tartomány 0 - (február 31 -1), ami azt jelzi, a biztonsági modell kialakítására alkalmazzák ezt az üzenetet. Fenntartott SNMPv1,2 értékeket az 1. és 3. - az SNMPv3.
Ha egy kimenő üzenetet küld, az üzenet processzor a USM, USM kitölti a biztonsági beállításokat az üzenet fejlécében. Ha a bemeneti üzenetet továbbítjuk az üzenetet kezelő az USM, kezelni a biztonsági beállításokat tartalmaz az üzenet fejlécében. A biztonsági paraméterek a következők:
SNMPv3 hitelesítési mechanizmus feltételezi, hogy a kapott üzenet valóban küldeni a megbízó, akinek azonosítót tartalmazza a levél fejlécében, és ez nem módosult az út mentén. Végrehajtásához hitelesítés, mind a megbízók részt vesz a csere kell egy titkos hitelesítési kulcsot a valamennyi résztvevő (meghatározva a rendszer konfigurációjától fázis). Az üzenetben a feladó küldte tartalmaznia kell kód, amely egy olyan funkció az üzenet tartalmát és a titkos kulcsot. Egyik alapelve az, hogy ellenőrizze USM aktuális üzeneteit (lásd fent), ami valószínűtlenné teszi a támadás segítségével másolatot az üzenetet.
ügynök konfigurációs rendszer lehetővé teszi a különböző hozzáférési szinteket a különböző MIB SNMP-vezetők. Ez úgy történik, bizonyos szerek korlátozza a hozzáférést bizonyos részeit a MIB, valamint korlátozta az engedélyezett műveletek egy adott része a MIB. Az ilyen hozzáférés-vezérlési rendszer az úgynevezett VACM (Kattintás Based Access Control Model). Az elemzések keretében hozzáférés-vezérlés (vacmContextTable), valamint speciális vacmSecurityToGroupTable asztal, vacmTreeFamilyTable és vacmAccessTable.
SNMP-protokoll egy példája rendszer, amelyben a kívánt eredmény eléréséhez nem parancs kiadásakor, és információcsere, ugyanaz a döntés meghozatala „in situ” megfelelően a kapott adatokat. Beágyazott hitelesítési alrendszer informatikai biztonság és hozzáférés-vezérlés.
Táblázat 4.4.13.6. RFC-dokumentumok SNMP