протокол за управление SNMP
Интернет - гигантска мрежа. Това поставя въпроса, тъй като тя запазва своята цялост и функционалност без контрол? Ако вземем предвид хетерогенността на компютри, маршрутизатори и софтуер, използван в мрежата, за съществуването на интернет представени просто чудо. Е, как да се осмеляват да управлението на Интернет? Част от този въпрос вече е отговорено - мрежата продължава да функционира, поради регламента за твърда протокол. "Резервен сила", предвиден в самите протоколи. диагностични функции са определени, както е посочено по-горе, на протокола ICMP. Като се има предвид значението на контролни функции за тези цели, създадени две от SNMP (Simple Network Management Protocol, RFC-1157, -1215, -1187, -1089, STD-15 е разработен през 1988 г.) и CMOT (обща информация за управлението на услугите и протокол по TCP / IP, RFC-1095, през последните години използването на този протокол е ограничена). Обикновено, приложението за управление засяга веригата мрежа SNMP-UDP-IP-Ethernet. Най-важният обект на контрол е обикновено външна мрежа отвор (портал) или рутер мрежа. Всеки успя обект се задава уникален идентификатор.
Таблица 4.4.13.1 SNMP команди
Връща стойността на променливата или информация за състоянието на мрежовия елемент;
Връща стойността на една променлива, без да знае точното име на него (следващата логична идентификатор до дървото MIB);
Присвояване на променлива стойност. Използва се за описание действие, което трябва да се направи;
Отговорът на GET-заявка, GET_next_request и настройка искането. Той съдържа също така информация за състоянието (кодовете за грешки, както и други данни);
Информация за TRAP, съдържаща се в специален код.
За тип TRAP 0-4 специален код на полето трябва да бъде нула. Клеймо поле съдържа броя на centiseconds (брой кърлежи) от момента на инициализация на контрол обект. Тъй като за прекъсване се издава coldstart обект с помощта на 200 милисекунди след инициализация.
През последните години, широко разпространен идеология протокол интерфейс DPI (Distributed Protocol Interface). За транспортирането със SNMP заявки могат да бъдат използвани не само UDP, но TCP-протокол. Това дава възможност да се използва SNMP-протокола не само в локални мрежи. Формати SNMP-DPI-заявки (версия 2.0) са описани в RFC-1592. Пример глава SNMP заявка (поле изображение образуват единичен масив; Фиг 4.4.13.3 ..):
Голф знаме = 0x30 е знак ASN.1-хедър. Кодове LN - е поле за дължина, като се започне с байт, който следва код с дължина, до края на съобщението за заявка (п - брой на дължината на полето), освен ако не е посочено друго. Тъй като L1 дължина --query пакети, вариращи от Т1 до края на пакета, и L3 - област дължина на паролата. Подполе Tn - тип поле след подаване на искането им подполе. Тъй като Т1 = 2 означава, че областта се характеризира с цяло число, Т2 = 4 показва, че това, което следва е (областта общност в горния пример = публично) на парола. Данните по-долу данни показват типични стойности на подполета. 0xA кодекс - знак GET заявка, следван PDU област код (= 0-4, виж Таблица 4.4.13.1 ..) Блок подполета искане ID се използва за същите цели като другите идентификатори - да се определи двойките заявка-отговор , Всъщност идентификатор молба може да е един или два байта, които се определят от Лиз. СО - статус грешка (PS = 0 - няма грешка); TM - MIB-променлива тип (в примера = 0x2B); IO - код за грешка. Цифров код на MIB-променливи показва последователността на цифрови подполетата характеризиращи променлива, например: променлива 1.3.6.1.2.1.5 (в символни отношение iso.org.dod.internet.mgmt.mib.icmp) се характеризира с последователност на код 0x2B 0x06 0x01 0x02 0x01 0x05 0x00.
SNMP процесорни елементи, посочени в таблица 4.4.13.5 (виж RFC 2571 и -2573)
Таблица 4.4.13.5. SNMP компоненти процесор
Тя позволява едновременна поддръжка на няколко версии на SNMP-съобщение процесор SNMP. Този компонент е отговорен за получаване на протоколни информационни единици (PDU), за предаване на PDU подсистема за обработка на съобщение, за предаване и приемане на съобщения от мрежата SNMP-
Съобщението Работа подсистема
Отговаря за подготовката на съобщенията за изпращане и извличане на данни от входния съобщението
Тя предоставя услуги, които осигуряват сигурност: идентификация и съобщения за сигурност от прихващане и изкривяване. Това даде възможност на изпълнението на няколко модела за сигурност
Контрол подсистемата за достъп
Инициира поиска SNMP-Get, GetNext, GetBulk или Set, предназначен за местните системи, които могат да бъдат използвани от приложения, за да се провери права за достъп.
SNMP-заявка възприема Вземете, GetNext, GetBulk или Set, предназначена за местния система, се посочва, че получената заявка в contextEngeneID равна на съответната стойност на SNMP на процесор. заявление команда манипулатор извършва съответната операция протокол, генерира съобщение за отговор и го изпраща на подателя на искането.
Вслушва в уведомителното съобщение, и генерира съобщение за отговор, когато съобщението идва от PDU Информирайте
Фиг. 4.4.13.5 показва формата на съобщенията SNMPv3 който реализира модел за сигурност СБА на (потребителския модел на сигурност).
Първите пет полета се генерират от подателя в рамките на модела за обработка на съобщение и обработени от приемника. Следващите шест области носят параметрите за сигурност. Следващият PDU (област блок данни) и с contextEngeneID contextName.
- msgVersion (за SNMPv3) = 3
- msgID - уникален идентификатор, използван от SNMP-субекти за установяване на съответствие между искането и отговора. MsgID стойност е в диапазон 0 - (31 февруари -1)
- msgMaxSize - определя максималния размер на съобщението в октета, който се поддържа от подателя. Неговото значение е в диапазона 484 - (31 февруари -1) и равен на максималния размер на сегмента, които могат да бъдат възприети от подателя.
- msgFlags - 1-октет низ съдържащ три флагове в най-незначителните битове: reportableFlag, privFlag, authFlag. Ако reportableFlag = 1, трябва да се изпрати съобщение с PDU доклад; когато флага = 0, доклад не трябва да бъдат изпратени. Flag reportableFlag = 1 е разположен в всички съобщения, има искане на подателя (Get, Set) или Информирайте. Знамето е нула в отговорите, или уведомления Trap Съобщи за съобщения. Знамена privFlag и authFlag, определени от подателя, за да покаже нивото на сигурност за това съобщение. За privFlag се използва = 1 криптиране, както и за authFlag = 0 - удостоверяване. Валидните стойности под знамето на всяка комбинация в допълнение privFlag = 1 И authFlag = 0 (удостоверяване без шифроване).
- msgSecurityModel - идентификатор със стойност в диапазона от 0 - (31 февруари -1), който показва модела на сигурност, използвани в образуването на това съобщение. Включено SNMPv1,2 стойности 1 и 3 - до SNMPv3.
При изпращане изходящо съобщение, процесът на съобщенията в USM, USM попълва настройките за защита в заглавната част на съобщението. Когато съобщението вход се предава на водача на съобщението в USM, обработени настройките за сигурност, съдържащи се в заглавната част на съобщението. Параметрите на сигурност, включват:
SNMPv3 механизъм за удостоверяване предполага, че полученото съобщение е изпратен до главницата, чийто идентификатор се съдържа в заглавието на съобщението, и тя не е променяна по пътя. За изпълнение на удостоверяване, всеки един от принципите, които участват в обмена трябва да има таен общ за всички участници (определени от конфигурацията на фазата на система) удостоверяване ключ. В съобщение, изпратено от подателя трябва да включва код, който е функция от съдържанието на съобщението и таен ключ. Един от принципите е да се провери USM навременни съобщения (виж по-горе), което го прави малко вероятно атаката с помощта на копия от съобщението.
конфигурация агент система дава възможност за различни нива на достъп за различни MIB SNMP-мениджъри. Това се прави от някои средства за ограничаване на достъпа до определени части на MIB, както и чрез ограничаване на списъка с разрешени операциите за дадена част от MIB. Такава схема за контрол на достъпа, наречена VACM (въз основа на изгледа контрол Модел Access). По време на анализите за контрол на достъпа контекст (vacmContextTable), както и специализирана vacmSecurityToGroupTable масата, vacmTreeFamilyTable и vacmAccessTable.
SNMP протокол е пример на система за контрол, която да се постигне желаният резултат не на командата се издава и се обменя информация се взема същото решение "на място" в съответствие с получените данни. Embedded удостоверяване подсистема, информационната сигурност и контрол на достъпа.
Таблица 4.4.13.6. RFC-документи чрез SNMP