Gestão de Redes e Sistemas Distribuídos Teresa MariaVazão IST/INESC Contactos:IST/Tagus-Park...

Gestão de Redes e Sistemas Distribuídos

Teresa MariaVazão

IST/INESC

Contactos:IST/Tagus-Park

Email: [email protected]

Tel: 214233242

SNMPv3 e tendências de gestão na Internet

2004/2005

TMV - 2004Gestão de Redes e Sistemas Distribuídos

2

????

Sumário

Módulo II• Arquitectura de Gestão SNMP

• SNMPv1; MIB-II; SNMPv2• SNMPv3

• Arquitectura de Gestão OSI/TMN• CORBA como Arquitectura de Gestão• Gestão baseada na WEB• JAVA como Arquitectura de Gestão• Gestão DMTF• Integração de Arquitecturas de Gestão


3

Requisitos

Arquitectura de Gestão Internet-SNMPv3

Base de concepção: SNMPv2

Base de concepção: SNMPv2

Simplicidade Simplicidade

Segurança execução das acções de controlo Segurança execução

das acções de controlo

Arquitectura modularArquitectura modular

Diferentes ambientes operacionais

Diferentes ambientes operacionais

Normalização por partesNormalização por partes

Modelos de segurança alternativos

Modelos de segurança alternativos


4

Complexidade controladaSuporte de dispositivos simples

ArquitecturaModelos conceptuais baseados em subsistemas e interfaces

Aproximação de desenvolvimento


DocumentosDescrição de cada parte num só documento (MIB e funções)

Configuração remotaChaves secretas configuradas remotamente

SegurançaProtecção contra ataques de segurança

ES

TR

UT

UR

AD

A


5

Tipos de ataques de segurança contemplados


Modificação de informação•Alteração de uma mensagens em trânsito

•Alteração de informação de configuração ou de contabilização de recursos

Masquerade•Realização de operações não permitidas a uma entidade através da adopção de uma entidade falsa, que tenha privilégios para as executar

Alteração de sequência • Duplicação, atraso ou reordenação de mensagens

• Duplicação uma mensagem de reboot

Disclosure • Observação de trocas de informação Gestor - Agente

• Observação de um comando de alteração de password


6

Tipos de ataques de segurança não contemplados


Negação de serviço• Evitar a comunicação Gestor - Agente

• Situação análoga à que se verifica quando há falha de comunicação• Quando ocorre afecta todas as comunicações pelo que deverá ser resolvido no âmbito geral das comunicações, e não específico da gestão.

Análise de tráfego• Observação do padrão de tráfego gerado Gestor - Agente

• Padrão de tráfego previsível, pelo que não há vantagem em proteger a sua observação


7

Conceito de entidade• A arquitectura de Gestão SNMP é constituída por um

conjunto de entidades SNMP distribuídas, que cooperam entre si.

• Cada entidade implementa uma parte da arquitectura SNMP, podendo funcionar como Agente, Gestor ou ambos em simultâneo.

Conceito de módulo• Cada entidade é constituída por um conjunto de módulos que

interagem entre si para providenciar serviços.• As interacções são modeladas através dum conjunto de

primitivas abstractas e parâmetros.


Princípios fundamentais da arquitectura


8

Entidade SNMP


Gerador deComandos

Gerador deRespostas

Gerador deNotificações

Receptor deNotifcações

ProxyForwarder

Outros

Aplicações

DespachoSubsistema deProcessamentode Mensagens

Subsistema deSegurança

Subsistema deControlo de

Acessos

Máquina SNMP


9


Gerador de ComandosEnvia mensagens Get, GetNext, GetBulk e SetRequest

Processa mensagens Response recebidas como resposta a pedidos enviados

Gerador de NotificaçõesMonitoriza um sistema e gera Traps ou InformRequest com base em eventos ou condições

Selecciona o destino das Notificações, versão do SNMP e parâmetros de segurança

Receptor de NotificaçõesEspera e recebe Traps ou InformRequest

Gera uma resposta quando recebe InformRequest

Proxy Forwarder

Envia mensagens SNMP

Opcional !!!Gerador de RespostasGerador de Processa mensagens Get, GetNext, GetBulk e SetRequest recebidas

Utiliza o Controlo de Acessos e

executa a acção adequada

Envia mensagem Response como resposta a pedidos recebidos

Aplicações


10


DespachoCoordena a transferência de PDUs entre a rede e as aplicações Segurança

Serviços de segurança

Ex: autenticação e confidencialidade

Controlo de AcessoServiços de autorização que uma aplicação necessita para a verificação de privilégios

Processamento mensagensConversão PDUs <-> mensagens SNMP

Máquina SNMP


11


Gerador deComandos


Receptor deNotifcações

Despachode PDU

Despachode Msg.

Mapeamentode Transporte

Des

pac

ho

Outro

Segurança

Baseado em

Utilizador

v1MP

v2cMP

v3MP

Outro

Processamento

de

Mensagens

UDP IPX Outros

Rede Estrutura geral dum Gestor


12


Despachode PDU

Despachode Msg.

Mapeamentode Transporte

Des

pac

ho

Outro

Segurança

Baseado em

Utilizador

Gerador deRespostas


ProxyForwarder

v1MP

v2cMP

v3MP

Outro

Processamento

de

Mensagens

UDP IPX Outros

Rede

Outro

Controlo de Acessos

Baseadoem

Views

Manipulação da MIB

Estrutura geral dum Agente


16



17


RESUMO


18


??

MENSAGEM CIFRADA


19


TEMPO ACTUAL Janela de Tempo

t


20

Mecanismos de segurança

Confidencialidade Data Encripation Standard (DES)• Modo Cipher Block Chaining (CBC): o valor de uma parteda mensagem afecta o valor cifrado da parte restante

Autenticidade da origem e do conteúdo: ckecksum MD5• Valor obtido = f (mensagem, chave)• A mensagem é enviada, a chave é comum à origem e destino,mas não é enviada

Time Stamp: • Monitorização de sequências fora de ordem• Definição de intervalo máximo para a resposta

Complexidade



21

• Grupos• { (securityModel, securityName)} utilizados no acesso aos objectos

• Nível de segurança• O tipo de acesso de um grupo depende do nível de segurança

associado à mensagem• acesso RO para mensagens não autenticadas

• Contexto• Agregação de objectos em {} de acordo com critérios de acesso

• 2 bridges não SNMP geridas por um Proxy, que mantém a MIB de cada em contextos distintos.

• MIB views• MIB view restringe o acesso de um grupo a determinados objectos

da MIB • Política de acesso

• Definição de perfis de acesso.


Modelo de Controlo de Acessos baseado em VIEWS


22

Arquitectura de Gestão Internet-Evolução


23

Causas…

Arquitectura de Gestão Internet- Evolução

Expansão da Arquitectura de Gestão

Expansão da Arquitectura de Gestão

Expansão da InternetExpansão da Internet

Expansão das tecnologias

Expansão das tecnologias

Adaptação às novas tecnologiasAdaptação às novas tecnologias

EscalabilidadeEscalabilidade Adaptação a novos requisitosAdaptação a novos requisitos


24

• Normalização• IETF RFC 2471

• Escalabilidade• Permite a comunicação entre Agentes SNMP

• Conceitos fundamentais .• Master Agent

• Comunica com outros agentes (Sub-Agents) e executa as funções tradicionais do SNMP

• Sub Agent• Executam tarefas de gestão específicas, contendo as informações

associadas• AgentX

• Protocolo de comunicação entre Agentes

• O mesmo tipo de operações pedidas ao agente principal é multiplexado pelos Sub-Agentes, de acordo com a porção da MIB que cada um destes implementa

Arquitectura de Gestão Internet - Evolução

Extensão do conceito de Agentes -AgentX


25


Extensão do conceito de Agentes -AgentX

AGENT SYSTEM

MANAGERSYSTEM A B C C

AB

SUBAGENT

MIB

MASTERAGENT

SUBAGENT

MIB

SUBAGENT

MIB


26

• Normalização• Diferentes visões

• Adaptação a novas necessidades• Sugiu na área da Segurança• Posteriormente adaptada para a área de Desempenho e

Configuração• Muito adequada para o Suporte de Qualidade de Serviço

• Vantagem .• Configuração de um conjunto alargado de agentes através

duma configuração uniforme• Útil em redes complexas e/ou com elevado número de

agentes


Gestão baseada em políticas activas


27


Policy-based Management – Modelo distribuído

• Imperial College, Londres, M. Sloman •Componentes principais

• Conjunto comum de serviços• Serviços de gestão• Aplicações de gestão

• Conceitos relevantes• Políticas

• Entidade que pode alterar o comportamento do sistema

• Domínio• Conjunto de entidades que têm um política comumCommunication

Distributed objectDistributed object

Distributed processingDistributed processing

Common managementCommon management PoliciesPolicies

DomainsDomains

Management applicationsManagement applicationsUser interface

Distributed ManagementApplication Component


28


Policy-based Management – Modelo centralizado

• IETF

• Principais componentes• PDP – Policy Decision Point• PEP –Policy Enforcement Point

• Outros componentes• Policy Repository• Policy Management Tool

PDP

PEP

PolicyRepository

PolicyMngt.Tool

Policy ProtocolCOPSCOPS

Repository Access Protocol

LDAP, SNMPLDAP, SNMP

IETF Framework


29


Policy-based Management – Modelo híbrido

• Projecto IST (6º Programa Quadro) Tequilla

•Agent-Manager

• (N) Objectos geridos descrevem as propriedades de gestão dos da camada N para a camada N+1

• (N+1) Lógica de Gestão – acede à informação de gestão dos objectos geridos da camada N

• Policy Consumer

• (N) Policy Consumer opera sobre os objectos geridos da camada N-1

(N) PolicyConsumer

(N+1) PolicyConsumer

(N) Agent-Manager

Managed Object

Managed Logic

(N-1) Agent-Manager

Managed Object

Managed Logic

(N+1) PolicyConsumer

(N) PolicyConsumer


30

Resumo da aula

• SNMPv3• Conceitos gerais• Entidade SNMP• Segurança• Controlo de acessos

• Tendências de evolução• AgentX – Comunicação entre agentes• Gestão baseada em políticas activas

Gestão de Redes e Sistemas Distribuídos Teresa MariaVazão IST/INESC Contactos:IST/Tagus-Park...

Documents

Transcript of Gestão de Redes e Sistemas Distribuídos Teresa MariaVazão IST/INESC Contactos:IST/Tagus-Park...