《SNMP发展及概要分析.docx》由会员分享,可在线阅读,更多相关《SNMP发展及概要分析.docx(11页珍藏版)》请在三一办公上搜索。
1、SNMP发展及概要分析摘要:为了进一步理解简单网络管理侨议,通过对网络管理与简单网络管理协议(SNMP)的分析,指出了 SNMP所面临的安全威胁、网络管理与SNMP 的发展方向。描述SNMP的通信模式,组成部分、通信协议与管理信息库(MIB), 指出了 SNMP面临伪装、信息更改、信息泄漏、拒绝服务等安全威胁。提出了由 于SNMP的SMI使用ASN .1信令描述,SNMP的核心安全具有安全隐患。最后描 述并分析了基于web的方式、桌面管理任务组织,分布式对象管理和下一代SNMP 等网络管理发展方向。1. SNMP概述1.1什么是SNMPSNMP 的全称为简单网络管理协议(Simple Netw
2、ork Management Protocol), 顾名思义,SNMP是用于网络管理的协议。1.2 SNMP产生背景网络的迅速发展和普及使得以下几个问题日益突出:网络规模逐渐增大,网络设备数量成级数增加,网络管理员很难及时监 控所有设备、发现并修复故障; 网络设备很可能种类不同、生产厂家不同、型号不同,如果为每种网络 设备都提供一套独立的管理接口和协议,将使网络管理越来越困难。为解决以上两个问题,一套覆盖服务、协议和管理信息库的标准一NMP孕育 而生。1.3 SNMP发展历程1990 年SNMPV11991 年RMON(Remote Network Monitoring 远程网络监视),它扩充
3、了SNMP的功能,包括对LAN的管理及对依附于这些网络的设备的管理。RMON没 有修改和增加SNMPV1,只是增加了 SNMP监视【子网】的能力。1993年SNMPv2(SNMPv1的升级版)1995年 SNMPV2正式版,其中规定了如何在基于OSI的网络中使用SNMP1995年 RMON扩展为RMON21998年SNMPV3, 一系列文档定义了 SNMP的【安全性】,并定义了将来 改进的总体结构,SNMPV3可以和SNMPv2、SNMPv1 一起使用。PerformanceSecuritySNMPv3SNMPvZcSNMPvlSNMPvl :;;, Year 1990199319961998
4、图1 SNMP发展历程逐步完善的SNMPV3版本-安全性强:具有多种安全姓理模块-适应性好:适用于多种操作环境-扩充性好*可以根据需要增加模块J SNMPvlc的改进-提供了 JI息的操作类型GelbulkReqiitist 和【nfbm 尺操作-支持更多的数据类型(SMIv2)提供更中富的错误代册-支排更l泛的协好台-RMQN的出现 SNMPvl的局限性兼少大地误雇数据的能向-没有足说的安全扒制-不支持TCMP之外的其他协议平台无奈的集中式管理-没有对网滔监控的手-段图2 SNMP版本改进1.4 SNMP的原理SNMP采用了 C/S模型,对网络的管理与维护是通过管理基站与SNMP代理 间的交
5、互完成的。该交互工作可采用2种方式:一是由管理基站对每个代理进行 查询,每个SNMP从代理负责回答SNMP管理工作站关于管理信息库(MIB)定义 信息的各种查询;二是由代理产生自陷信息,向管理基站通报SNMP代理和管理 站通过标准消息通信,这些消息中的每一个都是一个单个的包。SNMP使用用户 数据报协议(UDP)作为第4层即传输层协议,无需连接。1.5 SNMP的技术优点1)基于TCP/IP互联网的标准协议,传输层协议一般采用UDP;2)自动化网络管理。通过SNMP功能,网络管理员可以查询/修改设备信息、监控设备状态、自动发现网络故障、生成报告等。3)屏蔽不同设备的物理差异,实现对不同厂商、不
6、同种类、不同型号设备的统 一管理。4)SNMP只提供最基本的功能集,使得管理任务与被管设备的物理特性和实际 网络类型相对独立。5)简单的协议,实现了简单的网络管理操作:请求-应答方式和主动通告方式相结合,并有超时和重传机制。报文种类少、格式简单,方便解析、易于实现。6)SNMPv3版本还提供了认证和加密安全机制,以及基于用户和视图的访问控 制功能,大大增强了安全性。2. 2 SNMP主要组成部分SNMP主要由3部分组成:管理信息结构、管理信息库与协议。一 SNMP: Simple Network Management Protocol(简单网络管理协议)。是一个标 准的用于管理基于【IP】网络
7、上设备的协议。 MIB: Management Information Base(管理信息库)。定义代理进程中所有可被 查询和修改的参数。 SMI: Structure of Management Information(管理信息结构)。SMI 定义了 SNMP 中使用到的ASN.1类型、语法,并定义了 SNMP中使用到的类型、宏、符号 等。SMI用于后续协议的描述和MIB的定义。每个版本的SNMP都可能定义自己的 SMI。2.1 SNMP典型应用图3典型的SNMP典型应用图SNMP基于TCP/IP协议工作,对网络中支持SNMP协议的设备进行管理,所 有支持SNMP协议的设备都提供SNMP这个
8、统一界面,使得管理员可以使用统一 的操作进行管理,而不必理会设备是什么类型、是哪个厂家生产的。如上图是一 个典型的SNMP典型应用图。2.2 SNMP管理模型SNMP管理系统被管理系统响应潭告r aSNMP Agent 图4 SNMP管理模型如上图,SNMP管理模型包含四个组成部分:1)SNMP NMS(Network Management Station, 网络管理站)2)SNMP Agent(代理)3)SNMP协议4)MIB (Management Information Base,SNMP NMS,即SNMP管理站(又称为SNMP管理者),是一个利用SNMP协 议对网络设备进行管理和监控
9、的系统。NMS既可以指某个网络设备中执行管理功能的一个应用程序,也可以指一 台专门用来进行网络管理的服务器。SNMP Agent,即SNMP代理,是一个运行在被管设备上的软件模块,用于维 护被管理设备的信息数据(即MIB),还负责接收、处理、响应来自NMS的请求报 文,也可以主动发送一些通知报文给NMS。MIB,即管理信息库,每个Agent都拥有自己的MIB。MIB是一种对象数据 库,由设备所维护的被管理对象组成,并定义了管理对象的一系列属性:名称、 访问权限和数据类型等。在MIB中,被管理对象按照层次式树形结构组织。SNMP协议是用来规定NMS和Agent之间是如何交换管理信息的应用层协议,
10、 它定义了 SNMP数据包的格式、封装及传输细节。SNMP协议以Get-Set方式替 代了复杂的命令集,利用基本操作演绎出全部网管操作,实现网络管理员的网管 需求。Get (读)操作:由NMS向Agent发出请求,读取被管设备的配置和状态信息。 Set (写)操作:由NMS向Agent发出请求,远程修改被管设备的配置参数。Trap操作:由Agent主动向NMS发送Trap报文。当被管设备发生比较重要的 事件时(如接口状态改变、呼叫成功等),Agent就会主动通知NMS。2.3 SNMP服务端口UDP图5 SNMP服务端口管理站LINK被管设备LINKSNMPAyni UDP 如上图,SNMP使
11、用UDP传输协议来操作,并使用了两个服务端口:在UDP 161端口监听NMS的访问请求;园Agent在UDP 162端口监听Agent发送的Trap报文。园N由于 Agent和NMS采用不同的服务端口,所以一台设备可以同时作为Agent 和NMS使用。2.4 SNMP支持的网管操作对于网络管理,我们面对的数据是设备的配置、参数、状态等信息,面对的 操作是读取和设置;同时,因为网络设备众多,为了能及时得到设备的重要状态, 还要求设备能主动地汇报重要状态,这就是报警功能。图6 SNMP支持的网管操作Get :读取网络设备的状态信息。Set:远程配置设备参数。Trap :管理站及时获取设备的重要信息
12、。2.4 SNMP的实现结构在具体实现上,SNMP为管理员提供了一个网管平台(NMS),又称为【管理站】,负责网管命令的发出、数据存储、及数据分析。【被】监管的设备上运行一个SNMP代理(Agent),代理实现设备与管理站的SNMP通信。管理站与代理的通信图8 SNMP协议的逻辑结构管理站与代理端通过MIB进行接口统一,MIB定义了设备中的被管理对象。 管理站和代理都实现了相应的MIB对象,使得双方可以识别对方的数据,实现 通信。管理站向代理申请MIB中定义的数据,代理识别后,将管理设备提供的 相关状态或参数等数据转换为MIB定义的格式,应答给管理站,完成一次管理 操作。已有的设备,只要新加一
13、个SNMP模块就可以实现网络支持。旧的带扩展 槽的设备,只要插入SNMP模块插卡即可支持网络管理。网络上的许多设备,入 路由器、交换机等,都可以通过添加一个SNMP网管模块而增加网管功能。服务 器可以通过运行一个【网管进程】实现。其他服务级的产品也可以通过网管模块 实现网络管理,如Oracle、WebLogic都有SNMP进程,运行后就可以通过管理站 对这些系统级服务进行管理。根据管理者和被管理的设备在网络管理操作中的不同职责,SNMP定义了 3 种角色。图9代理服务器的典型应用网络管理系统:又称管理站、NMS。是系统的控制台,向管理员提供界面以 获取与改变设备的配置、信息、状态、操作等信息。
14、管理站与Agent进行通信, 执行相应的Set和Get操作,并接收代理发过来的警报(Trap)。代理:Agent是网络管理的代理人,负责管理站和设备SNMP操作的传递。 介于管理站和设备之间,与管理站通信并相应管理站的请求,从设备获取相应的 数据,或对设备进行相应的设置,来响应管理站的请求。代理也需要具有根据设 备的相应状态使用MIB中定义的Trap向管理站发送报告的能力。代理服务器:Proxy是一种特殊的代理,在【不能】直接使用SNMP协议的 地方,如:异种网络、不同版本的SNMP代理等情况,Proxy代替相关设备向管 理站提供一种外观,为设备代理SNMP协议的实现。Proxy做了【异种网络
15、】或【不同版本代理】和 相应SNMP数据请求的转换工作。(附:管理信息库MIB:定义了设备上可以使用的管理信息。代理和管理站 使用MIB作为统一的【数据接口通信】。3. SNMP与安全在网络管理中使用SNMP时,可能产生的网络安全威胁包括:1)伪装。一些未被授权的实体可以通过假装具有授权实体的身份,去执行只 有授权实体才可以执行的某些管理操作。2)信息更改。一个实体可以更改由另一授权实体产生的正在传送的消息,以 至于导致越权的管理操作,包括对象值的设定。这种威胁的实质在于未经授权的 实体可以更改任一管理参数,包括那些与配置,操作和计费有关的参数。3)消息序列的更改。SNMP被设计成在无连接传输
16、协议上运行。有一种威胁 可以使SNMP消息被重排、延迟或重放(复制),从而导致越权的管理操作。例如, 一个重新启动设备的消息可被拷贝,并于将来某一时刻重放。4)泄漏。实体可以观测管理者与代理之间的信息交换,从而获取管理对象的 值,并获知所报告的事件。例如,观测更改口令的set命令,可以使得攻击者获 知新口令的内容。5)服务拒绝,攻击者可阻止管理者与代理之间的信息交换。6)流量分析。攻击者可以分析管理者与代理之间信息交换的一般模式。SNMP 的SMI是基于ASN.1信令描述的,ASN.1信令是抽象数据类型形式的标准,是电 信业、电力业和核电业计算机网络基础信令,也是互联网赖以运行的基础通信规 则
17、之一。但目前全球级计算机安全专家正在调查ASN.1信令的安全脆弱性。由于 多个Intcmet通信协议都是基于ASN .1计算机网络语言,ASN.1的脆弱性将广泛 威胁通信行业。最为显著的例子就是造成SNMP多个安全漏洞,这些缺陷可能允 许非法越权访问,拒绝服务攻击、导致不稳定的运行状况。4. 4网络管理与SNMP的发展4.1基于web的网络管理基于web的网络管理通常有2个含义:一种是指网络管理平台的web化; 另一种是指通过内置于设备中的web服务器直接管理该设备。在第1种情况下, 网管客户端与网管平台之间将不使用 SNMP,网管平台与被管对象之间采用 SNMP。在第2种情况下,网管客户端与
18、被管对象之间都不使用SNMP,但被管 对象内部可以使用SNMP通信。使用web进行网络管理的最大问题是其标准化 的进行。基于web的企业管理WBEM联盟是由5个公司组成的一个组织,在1996 年7月提出了利用web实现网络管理的一个工业标准。发起WBEM联盟最初的 5家公司他们的工作包括3种接口的定义,这些接口提供了一种标准化的网络管 理方法。WBEM的设计目标是使其与SNMP以及其他网络管理方案协同工作。这 3个WBEM接口是:超媒体管理模式用来定义数据模型;超媒体管理协议用来定 义在HTTP上运行HMMS的通信协议;超媒体对象管理器是一个开发工具,使 WBEM应用程序能够把网络元素当作对象
19、进行操纵。4.2桌面管理任务组织(DMTF)桌面管理是整个企业管理集成中SNMP部署上的重要进展。桌面管理任务组 织是一个工业厂商联盟。它已经定义了一个管理主机工作站(如基于DOs和 windows的微机)的应用编程接口,该接口使这些工作站的管理能被集成到SNMP 管理框架中去。虽然接口规约中说明该接口是独立于系统、网络操作系统和网络 管理协议的,但访问微机上管理信息的优先选用方法之一还是通过网络上的 SNMP。这个应用编程接口定义了网络管理协议(如SNMP)和其他应用程序如何访 问工作站的信息。每个工作站的信息包括工作站硬件、插件板、应用软件和系统 软件等数据。4.3分布式对象的网络管理网络
20、管理开发工作的前沿之一是利用分布式对象建立网络元素及其关系的 模型。现在正在部署应用的对象模型之一是协作对象请求代理体系结构(09RBA)。 4. 4 下一代 SNMPSNMP的下一代是SNMP发展演进中的重要一步。SNMP第1版已在全世界 成功地应用于许多设备,但SNMP的安全特性形成了其向前发展必须克服的一个 巨大障碍。为了使这个框架沿着标准的道路发展,使其能够安全地配置SNMP所 控制的设备,并具备一般意义上的所有安全特性,首先必须在所需安全特性和实 现安全SNMP所需的高层管理框架上达成共识。新成立的一个工作组已经开始着 手SNMPng的工作。这个工作组的目标是产生一组文本,这些文本将规定包括安 全在内的SNMP的发展方向。参考文献:【1】雷震甲计算机网络管理【第2版.西安:电子科技大学出版社,2013.】【2】王焕然,徐明伟SNMP网络管理综述【清华大学 计算机系网络研究 所北京】【3】林恒,李华锋SNMP纵论【北京工业大学计算机学院,北京】
