SNMP发展及概要分析_第1页
SNMP发展及概要分析_第2页
SNMP发展及概要分析_第3页
SNMP发展及概要分析_第4页
SNMP发展及概要分析_第5页
已阅读5页,还剩5页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

SNMP发展及概要分析摘要:为了进一步理解简单网络管理侨议,通过对网络管理与简单网络管理协议(SNMP)的分析,指出了SNMP所面临的安全威胁、网络管理与SNMP的发展方向。描述SNMP的通信模式,组成部分、通信协议与管理信息库(MIB),指出了SNMP面临伪装、信息更改、信息泄漏、拒绝服务等安全威胁。提出了由于SNMP的SMI使用ASN」信令描述,SNMP的核心安全具有安全隐患。最后描述并分析了基于web的方式、桌面管理任务组织,分布式对象管理和下一代SNMP等网络管理发展方向。SNMP概述1.1什么是SNMPSNMP的全称为简单网络管理协议(SimpleNetworkManagementProtocol),顾名思义,SNMP是用于网络管理的协议。1.2SNMP产生背景网络的迅速发展和普及使得以下几个问题日益突出:•网络规模逐渐增大,网络设备数量成级数增加,网络管理员很难及时监控所有设备、发现并修复故障;•网络设备很可能种类不同、生产厂家不同、型号不同,如果为每种网络设备都提供一套独立的管理接口和协议,将使网络管理越来越困难。为解决以上两个问题,一套覆盖服务、协议和管理信息库的标准一NMP孕育而生。1.3SNMP发展历程年 SNMPv1年RMON(RemoteNetworkMonitoring远程网络监视),它扩充了SNMP的功能,包括对LAN的管理及对依附于这些网络的设备的管理。RMON没有修改和增加SNMPV1,只是增加了SNMP监视【子网】的能力。1993年——SNMPv2(SNMPv1的升级版)1995年——SNMPV2正式版,其中规定了如何在基于OSI的网络中使用SNMP1995年 RMON扩展为RMON21998年——SNMPV3,一系列文档定义了SNMP的【安全性】,并定义了将来改进的总体结构,SNMPV3可以和SNMPv2、SNMPv1一起使用。PerformanceSecuritySNMPv3SNMPvl1990SNMPv21993SNMPv2cjYear1996PerformanceSecuritySNMPv3SNMPvl1990SNMPv21993SNMPv2cjYear19961998图1SNMP发展历程□逐步完善的堅MPV3版本安全性强:具有雪种安全处理模块适应性奶:适出L蚩种撫柞环境-扩充性好:可以根摇需巫地丿川模块JSNMPvlc的改进-提供了卫名(內操作娄型GelbulkReqiitist和InfbmRequEst操件-立持电寥的敌据类世(刃迦谥)提供更丰富的错课优码-支持更广泛f內协说立合-RMON的出现□SNMPvl的局限性•缺少衣虽诵取數抑;的陡力泄有圧碍的空全机制-不主持TCP/IP2H的其■{也协址平台无奈的樂中丈營理-没&对网络监控的F段图2SNMP版本改进1.4SNMP的原理SNMP采用了C/S模型,对网络的管理与维护是通过管理基站与SNMP代理间的交互完成的。该交互工作可采用2种方式:一是由管理基站对每个代理进行查询,每个SNMP从代理负责回答SNMP管理工作站关于管理信息库(MIB)定义信息的各种查询;二是由代理产生自陷信息,向管理基站通报SNMP代理和管理站通过标准消息通信,这些消息中的每一个都是一个单个的包。SNMP使用用户数据报协议(UDP)作为第4层即传输层协议,无需连接。1.5SNMP的技术优点基于TCP/IP互联网的标准协议,传输层协议一般采用UDP;自动化网络管理。通过SNMP功能,网络管理员可以查询/修改设备信息、监控设备状态、自动发现网络故障、生成报告等。屏蔽不同设备的物理差异,实现对不同厂商、不同种类、不同型号设备的统一管理。SNMP只提供最基本的功能集,使得管理任务与被管设备的物理特性和实际网络类型相对独立。简单的协议,实现了简单的网络管理操作:•请求-应答方式和主动通告方式相结合,并有超时和重传机制。•报文种类少、格式简单,方便解析、易于实现。SNMPv3版本还提供了认证和加密安全机制,以及基于用户和视图的访问控制功能,大大增强了安全性。2SNMP主要组成部分SNMP主要由3部分组成:管理信息结构、管理信息库与协议。SNMP:SimpleNetworkManagementProtocol(简单网络管理协议)。是一个标准的用于管理基于【IP】网络上设备的协议。MIB:ManagementInformationBase(管理信息库)。定义代理进程中所有可被查询和修改的参数。SMI:StructureofManagementInformation(管理信息结构)。SMI定义了SNMP中使用到的ASN.1类型、语法,并定义了SNMP中使用到的类型、宏、符号等。SMI用于后续协议的描述和MIB的定义。每个版本的SNMP都可能定义自己的SMI。2.1SNMP_典型应用戈權机時承门’:•MI戈權机時承门’:•MIkgutl]WIF管理站打口:机图3典型的SNMP典型应用图SNMP基于TCP/IP协议工作,对网络中支持SNMP协议的设备进行管理,所有支持SNMP协议的设备都提供SNMP这个统一界面,使得管理员可以使用统一的操作进行管理,而不必理会设备是什么类型、是哪个厂家生产的。如上图是一个典型的SNMP典型应用图。2.2SNMP管理模型骨理(读f写)揀作SNMP管理系统被管理系统响应骨理(读f写)揀作SNMP管理系统被管理系统响应f通告raSNMPAgent<——•图4SNMP管理模型如上图,SNMP管理模型包含四个组成部分:)SNMPNMS(NetworkManagementStation,网络管理站))SNMPAgent(代理))SNMP协议)MIB(ManagementInformationBase,SNMPNMS,即SNMP管理站(又称为SNMP管理者),是一个利用SNMP协议对网络设备进行管理和监控的系统。NMS既可以指某个网络设备中执行管理功能的一个应用程序,也可以指一台专门用来进行网络管理的服务器。SNMPAgent,即SNMP代理,是一个运行在被管设备上的软件模块,用于维护被管理设备的信息数据(即MIB),还负责接收、处理、响应来自NMS的请求报文,也可以主动发送一些通知报文给NMS。MIB,即管理信息库,每个Agent都拥有自己的MIB。MIB是一种对象数据库,由设备所维护的被管理对象组成,并定义了管理对象的一系列属性:名称、访问权限和数据类型等。在MIB中,被管理对象按照层次式树形结构组织。SNMP协议是用来规定NMS和Agent之间是如何交换管理信息的应用层协议,它定义了SNMP数据包的格式、封装及传输细节。SNMP协议以Get-Set方式替代了复杂的命令集,利用基本操作演绎出全部网管操作,实现网络管理员的网管需求。Get(读)操作:由NMS向Agent发出请求,读取被管设备的配置和状态信息。Set(写)操作:由NMS向Agent发出请求,远程修改被管设备的配置参数。Trap操作:由Agent主动向NMS发送Trap报文。当被管设备发生比较重要的事件时(如接口状态改变、呼叫成功等),Agent就会主动通知NMS。

2.3SNMP服务端口管理站SNMPAy^niiiip2.3SNMP服务端口管理站SNMPAy^niiiipLINK被管设备II图5SNMP服务端口如上图,SNMP使用UDP传输协议来操作,并使用了两个服务端口:在UDP161端口监听NMS的访问请求;在UDP162端口监听Agent发送的Trap报文。由于Agent和NMS采用不同的服务端口,所以一台设备可以同时作为Agent和NMS使用。2.4SNMP支持的网管操作对于网络管理,我们面对的数据是设备的配置、参数、状态等信息,面对的操作是读取和设置;同时,因为网络设备众多,为了能及时得到设备的重要状态,还要求设备能主动地汇报重要状态,这就是报警功能。图6图6SNMP支持的网管操作Get:读取网络设备的状态信息。Set:远程配置设备参数。Trap:管理站及时获取设备的重要信息。2.4SNMP的实现结构在具体实现上,SNMP为管理员提供了一个网管平台(NMS),又称为【管理站】,负责网管命令的发出、数据存储、及数据分析。【被】监管的设备上运行一个SNMP代理(Agent)),代理实现设备与管理站的SNMP通信。

用户」管理站与代理的通信MIB 苣理站丿用户」管理站与代理的通信MIB 苣理站丿UDPIIPJ貝体的协议心代理*MIBrHOP!IF>'具体的协议存图8SNMP协议的逻辑结构管理站与代理端通过MIB进行接口统一,MIB定义了设备中的被管理对象。管理站和代理都实现了相应的MIB对象,使得双方可以识别对方的数据,实现通信。管理站向代理申请MIB中定义的数据,代理识别后,将管理设备提供的相关状态或参数等数据转换为MIB定义的格式,应答给管理站,完成一次管理操作。已有的设备,只要新加一个SNMP模块就可以实现网络支持。旧的带扩展槽的设备,只要插入SNMP模块插卡即可支持网络管理。网络上的许多设备,入路由器、交换机等,都可以通过添加一个SNMP网管模块而增加网管功能。服务器可以通过运行一个【网管进程】实现。其他服务级的产品也可以通过网管模块实现网络管理,如Oracle、WebLogic都有SNMP进程,运行后就可以通过管理站对这些系统级服务进行管理。根据管理者和被管理的设备在网络管理操作中的不同职责,SNMP定义了3种角色。ft理Agent苛理站UMS也厘服务器1ft理Agent苛理站UMS也厘服务器1Prw代理服务器的典塑应用不雯捋刑MP的进洛非IP网第设备管理站P\\、SNMP/IPM4&图9代理服务器的典型应用网络管理系统:又称管理站、NMS。是系统的控制台,向管理员提供界面以获取与改变设备的配置、信息、状态、操作等信息。管理站与Agent进行通信,执行相应的Set和Get操作,并接收代理发过来的警报(Trap)。代理:Agent是网络管理的代理人,负责管理站和设备SNMP操作的传递。介于管理站和设备之间,与管理站通信并相应管理站的请求,从设备获取相应的数据,或对设备进行相应的设置,来响应管理站的请求。代理也需要具有根据设备的相应状态使用MIB中定义的Trap向管理站发送报告的能力。代理服务器:Proxy是一种特殊的代理,在【不能】直接使用SNMP协议的地方,如:异种网络、不同版本的SNMP代理等情况,Proxy代替相关设备向管理站提供一种外观,为设备代理SNMP协议的实现。Proxy做了【异种网络】或【不同版本代理】和相应SNMP数据请求的转换工作。(附:管理信息库MIB:定义了设备上可以使用的管理信息。代理和管理站使用MIB作为统一的【数据接口通信】。SNMP与安全在网络管理中使用SNMP时,可能产生的网络安全威胁包括:1) 伪装。一些未被授权的实体可以通过假装具有授权实体的身份,去执行只有授权实体才可以执行的某些管理操作。2) 信息更改。一个实体可以更改由另一授权实体产生的正在传送的消息,以至于导致越权的管理操作,包括对象值的设定。这种威胁的实质在于未经授权的实体可以更改任一管理参数,包括那些与配置,操作和计费有关的参数。3) 消息序列的更改。SNMP被设计成在无连接传输协议上运行。有一种威胁可以使SNMP消息被重排、延迟或重放(复制),从而导致越权的管理操作。例如,一个重新启动设备的消息可被拷贝,并于将来某一时刻重放。4)泄漏。实体可以观测管理者与代理之间的信息交换,从而获取管理对象的值,并获知所报告的事件。例如,观测更改口令的set命令,可以使得攻击者获知新口令的内容。5) 服务拒绝,攻击者可阻止管理者与代理之间的信息交换。6) 流量分析。攻击者可以分析管理者与代理之间信息交换的一般模式。SNMP的SMI是基于ASN.1信令描述的,ASN.1信令是抽象数据类型形式的标准,是电信业、电力业和核电业计算机网络基础信令,也是互联网赖以运行的基础通信规则之一。但目前全球级计算机安全专家正在调查ASN.1信令的安全脆弱性。由于多个Intcmet通信协议都是基于ASN.l计算机网络语言,ASN.1的脆弱性将广泛威胁通信行业。最为显著的例子就是造成SNMP多个安全漏洞,这些缺陷可能允许非法越权访问,拒绝服务攻击、导致不稳定的运行状况。4网络管理与SNMP的发展4.1基于web的网络管理基于web的网络管理通常有2个含义:一种是指网络管理平台的web化;另一种是指通过内置于设备中的web服务器直接管理该设备。在第1种情况下,网管客户端与网管平台之间将不使用SNMP,网管平台与被管对象之间采用SNMP。在第2种情况下,网管客户端与被管对象之间都不使用SNMP,但被管对象内部可以使用SNMP通信。使用web进行网络管理的最大问题是其标准化的进行。基于web的企业管理WBEM联盟是由5个公司组成的一个组织,在1996年7月提出了利用web实现网络管理的一个工业标准。发起WBEM联盟最初的5家公司他们的工作包括3种接口的定义,这些接口提供了一种标准化的网络管理方法。WBEM的设计目标是使其与SNMP以及其他网络管理方案协同工作。这3个WBEM接口是:超媒体管理模式用来定义数据模型;超媒体管理协议用来定义在HTTP上运行HMMS的通信协议;超媒体对象管理器是一个开发工具,使WBEM应用程序能够把网络元素当作对象进行操纵。4.2桌面管理任务组织(DMT

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论