PA159-Správa sítě 6. 11. 2009 Správa sítě (Network Management) ■ Obecné principy ■ Sledování (monitoring) jednotlivých prvků a případně jejich kombinací Analýza získaných výsledků (průběžná, periodická, na vyžádání) ■ Reaktivní řízení (správa) ■ Proaktivní řízení (správa) PA159 2 Podzim 2009 Počátky ■ 27. 10. 1980: První skutečné zhroucení sítě ■ Popsáno v RFC 789 ■ Včetně popisu kroků pro nápravu ■ Další zkušenosti získávány na podobných případech Např. „červ" z roku 1988 ■ Závěr: jsou nezbytné procesy a nástroje sledování a správy sítě (anglicky Monitoring a Management) PA159 3 Podzim 2009 Co sledovat ■ Základní prvky infrastruktury ■ sítová rozhraní ■ aktivní i pasivní prvky (servery, směrovače, ...) ■ fyzické spoje (linky) ■ Provoz: detekce slabých (přetížených) míst ■ Směrovací informace ■ Dodržení SLA (Service Level Agreement) ■ Podezřelé chování (vzory, detekce útoku) PA159 4 Podzim 2009 ISO model správy sítě Správa výkonu (performance management) Správa chyb Správa konfigurací Správa účetnictví (bookkeeping) Správa bezpečnosti PA159 5 Podzim 2009 Správa výkonu ■ Výkon sítě v nejširším slova smyslu ■ Sleduje jak jednotlivé komponenty, tak i komplexní objekty (např. end to end cesta) ■ Základ v SNMP (Simple Network Monitoring Protocol, RFC 2570) PA159 6 Podzim 2009 Správa chyb ■ Záznam, detekce a náprava chybových stavů ■ Oproti správě výkonu spíše zaměřen na okamžité problémy ■ Rovněž postaven na SN M P PA159 7 Podzim 2009 Správa konfigurací ■ Co je na sítí, resp. z čeho se sít skládá (co mám sledovat) ■ Údržba konkrétních konfigurací ■ Snadná distribuce změn konfigurací (konfigurace z minulého pátku) PA159 8 Podzim 2009 Správa účetnictví (Accounting management) ■ Detekce, záznam a správa uživatelů (uživatelů monitoringu, nikoliv obecně sítě) ■ Přístup k zařízením ■ Správa jednotlivých uživatelských účtů (zřízení, modifikace, ...) ■ Přirozenou součástí jsou i procesy spojené se skutečným účtováním za služby PA159 9 Podzim 2009 Bezpečnostní správa ■ Zajištění nebo odmítnutí prístupu dle definovaných vlastností ■ Autorizace ■ Ochrana prvků ■ Distribuce klíčů ■ Firewally PA159 10 Podzim 2009 Ne-stručná definice Správa sítě zahrnuje zavádění, integraci a koordinaci technických, programových a lidských zdrojů, zajištujících sledování, testy, dotazování, konfiguraci, analýzu, vyhodnocování a řízení sítě a jejích prvků s cílem zajistit požadavky real-time, provozního výkonu a kvality služeb za uspokojivou cenu. PA159 11 Podzim 2009 Základní architektura ■ Správce (řídící entita) ■ Typicky aplikace + člověk ■ Centralizovaná (interface pro správce/člověka) ■ Spravované (řízené) zařízení ■ Protokol správy sítě PA159 12 Podzim 2009 Spravované zařízení ■ Příklad: směrovač, hub, přepínač, modem, tiskárna ■ Může být tvořeno více objekty ■ Směrovač: Sítové karty Konkrétní konfigurace směrovacího protokolu ■ MIB (Management Information Base) ■ Identifikace zařízení ■ Informace o stavu zařízení ■ Agent správy sítě (network management agent) ■ Lokální proces s lokální působností (čte data, modifikuje konfiguraci, ...) PA159 13 Podzim 2009 Protokol správy sítě ■ Zajištuje komunikaci mezi správcem a spravovanými zařízeními/objekty ■ Zajištuje oboustrannou komunikaci ■ Příkazy agentům ■ Předávání monitorovacích dat ■ Předávání událostí PA159 14 Standardy ■ OSI CMISE/CMIP (the Common Management Service Element/Common Management Information Protocol) ■ SNMP (Simple Network Management Protocol) ■ Oba navrženy jako nezávislé na zařízení/výrobci ■ SNMP dnes nejrozšířenější protokol správy sítě PA159 15 Podzim 2009 SNMP ■ Původně: Simple Gateway Monitoring Protocol, SGMP (RFC 1028) ■ SNMPvl v roce 1993 ■ aktuální SNMPv3 (1999) PA159 16 Podzim 2009 SNMP - základy ■ Definice objektů (MIB objektu) ■ Příklady * Čitač počtu datagramů * Verze použitého směrovacího protokolu * Stavová informace ■ Společné informace sdruženy do MIB modulů PA159 17 SNMP - Jazyk ■ Jazyk pro definici dat: Structure of Management Information, SMI ■ Datové typy ■ Objektový model ■ Pravidla pro práci s informacemi (nezbytnými pro správu sítě) ■ Specifikace MIB používá tento jazyk PA159 18 Podzim 2009 SNMP - protokol a bezpečnost ■ Vlastní monitorovací protokol (the SNMP) ■ Doprava informací ■ Administrace a zajištění (bezpečnost) ■ Hlavní rozdíl mezi verzí 2 a 3 PA159 19 Podzim 2009 SMI ■ Structure of management information ■ Definice v RFC 2578, 2579, 2580 ■ Vychází z ASN.1 (ISO 1987, ISO X.680, 1998) ■ 11 základních datových typů ■ Možno konstruovat „tabulky" užitím konstruktoru SEQUENCE OF PA159 20 Podzim 2009 SMI - základní typy Integer Counter32 Integer32 Counter64 Unsigned32 Gauge32 OCTET STRING TimeTicks (1/100s) OBJECT IDENTIFIEROpague IPaddress ■ Octet string je max 65KB dlouhý, ASN.1 řetězec ■ Opaque je neinterpretovaný objekt, pro zpětnou kompatibilitu PA159 21 Podzim 2009 SMI - identifikace objektu ■ U spravovaného objektu definuje -Typ ■ Status ■ Sémantiku ■ Cca 10 000 objektů popsáno v různých RFC PA159 22 Podzim 2009 Příklad objektu iplnDelivers OBJECT-TYPE SYNTAX Counter32 MAX-ACCESS read-only STATUS current DESCRIPTION „The total number of input datagrams successfully delivered to IP user-protocols (including ICMP)" ::= { ip 9 } PA159 23 Podzim 2009 MODULE-IDENTITY ■ Speciální objekt ■ Sdružuje konkrétní spravované objekty ■ Základní pole - DESCRIPTION - REVISION - NOTIFICATION-TYPE - MODULE-COMPLIANCE - AGENT-CAPABILITIES PA159 24 Podzim 2009 MIB ■ Management Information Base ■ Aktivita ISO (International Standards Organization) ■ Syntax: A.B.C.D.... ■ Hierarchická struktura popisu ■ 1. Nejvyšší úroveň, odpovídá ISO ■ 1.2.840 USE ■ 1.2.840.113556.4.2 Microsoft ■ 1.3 Sítě PA159 25 Podzim 2009 Ml B - struktura ■ Hierarchie sítí: ■ 1.3.1.6.1 Internet ■ 1.3.1.6.1.4 private: jména registrovaných organizací (přiděluje IANA) ■ 1.3.1.6.1.2 management ■ 1.3.1.6.1.2.1 MIB ve verzi 2 (MIB-2) * Prefix standardních modulů PA159 26 Podzim 2009 MIB - standardní moduly ■ RFC 2400 ■ Prefix vždy 1.3.1.6.1.2.1 ■ Příklady: ■ (1.3.1.6.1.2.1.)1 system 2 interface 4 ip 7 udp ■ 11 snmp PA159 27 Podzim 2009 Ml B - příklady objektů 1.3.1.6.1.2.1.1 sysDescr jména a verze OS, ... 1.3.1.6.1.2.1.2 sysObjetID ID objektu (určí výrobce) 1.3.1.6.1.2.1.3 syslIpTime doba (v 1/100 s) 1.3.1.6.1.2.1.5 sysName administrativní jméno 1.3.1.6.1.2.1.6 sysLocation Fyzické umístění 1.3.1.6.1.2.1.7 sysServices definuje služby (int32) PA159 28 Podzim 2009 MIB - UDP objekty ■ 1.3.1.6.1.2.1.7.1 udpInDatagrams ■ 1.3.1.6.1.2.1.7.2 udpNoPorts počet datagramů, kterým chyběla aplikace (nebyl aktivní port) ■ 1.3.1.6.1.2.1.7.3 udplnErrors ■ 1.3.1.6.1.2.1.7.4 udpOutDatagrams PA159 29 Podzim 2009 Role protokolu SNMPv2 ■ Přenos MIB informací mezi řídícími agenty a řízenými objekty ■ Módy ■ Požadavek - odpověď ■ Událost (trap) PA159 30 Podzim 2009 Požadavek a od poved ■ Řídící entita vydá požadavek ■ ten je přenesen k agentovi dotazované (řízené) entity ■ Řízená entita požadavek splní a pošle odpověď ■ Pošli hodnotu konkrétního objektu: odpovědí hodnota ■ Nastav hodnotu: odpovědí úspěch a/nebo cílový stav PA159 31 Podzim 2009 Směrování dat ■ Zpravidla komunikuje řízená a řídící entita přímo ■ agent2manager nebo manager2agent ■ SNMP podporuje i postupné předávání informací ■ Např. přes několik administrativních domén ■ V případě přímé nedostupnosti ■ Mezistupeň přes druhého managera (možné řetězení): manager2manager PA159 32 Podzim 2009 GetRequest GetNextRequest GetBulkRequest InformRequest SetRequest Response SNMPv2-Trap PA159 Typy událostí manager2agent manager2agent manager2agent manager2manager manager2agent manager2manager agent2manager 33 Formát PDU PDU = Protocol Data Unit ■ Protokolem přenášená „skutečná" data (payload) Typ 0-3: Type Request E rror Error Name Value Name Value ID status index Typ 4 (trap) Type Enterprise Aenl [Trap Spec. Time Name Value Add Type Code stamp PA159 34 Podzim 2009 SNMP architektura ■ SNMP aplikace (řídící entita) ■ Generátor příkazu (command generator) ■ Příjemce upozornění (notification receiver) ■ „Směrovač" (proxy forwarder) ■ Agent ■ Systém odpovídání na dotazy (command responder) ■ Generátor upozornění (notification responder) PA159 35 Podzim 2009 SNMPv3 a bezpečnost ■ Starší verze v podstatě bezpečnost ignorovaly ■ Heslo se volně šířilo sítí, nebylo jak tento fakt ovlivnit ■ SNMPv3 - user based security (RFC 2574) ■ Uživatelské jméno ■ s ním spojené heslo, hodnota klíče, přístupová práva Použitelné v „běžné" síti, s rizikem odposlechu PA159 36 Podzim 2009 SNMPv3 - základní rysy ■ Šifrování zpráv - DES CBC ■ Autentizace ■ HMAC (Hashed Message Authentication Codes) ■ RFC 2104 * Spočte Message Integrity Code MIC(m,k), kde m je zpráva a k je sdílený klíč * Pošle zprávu a MIC(m,k) * Používá MD5 pro MIC PA159 37 Podzim 2009 ASN.1 ■ Abstract Syntax Notation One ■ Data Description Language ■ Transfer dat mezi různými architekturami ■ Basic Encoding Rules (BER), v poslední době jako Packet Encoding Rules (PER) ■ Zasílání dat přes sít (jak přenášené informace kódovat) ■ TLV (Type, Lenght, Value) ■ Široce rozšířené (dostupné pro většinu OS a jazyků) ■ Další informace: http://asnl.elibel.tm.fr/, http://www.obj-sys.com/asnltutorial PA159 38 Podzim 2009 ASN.1 - přiřazení typu InventoryList 12 0 0 6 1 DEFINITIONS ::= BEGIN { Itemld ::= SEQUENCE { partnumber IAřString, quantity INTEGER, wholesaleprice REAL, saleprice REAL } StoreLocation ::= ENUMERATED { Baltimore (0), Philadelphia (1), Washington (2) } PA159 J E'NU 39 Podzim 2009 ASN.1 - prirazení hodnot gadget Itemld ::= { partnumber ,,7685B2r c , quantity 73, wholesaleprice 13.50, saleprice 24.95 } PA159 40 Podzim 2009