snmp trapsess

Universidad Técnica Federico Santa Marı́a Departamento de Electrónica ——————————————————————— “Diseño e Implementación de un Sistema de Monitoreo basado en SNMP para una Red de Telefonı́a IP Asterisk” Memoria presentada por: Patricio E. Valle Vidal como requisito parcial para optar al tı́tulo de Ingeniero Civil Electrónico Mención Computadores. Profesor Guı́a: Tomás Arredondo Vidal Valparaı́so, Agosto 2007 ——————————————————————— Universidad Técnica Federico Santa Marı́a Departamento de Electrónica ——————————————————————— “Diseño e Implementación de un Sistema de Monitoreo basado en SNMP para una Red de Telefonı́a IP Asterisk” Memoria presentada por: Patricio E. Valle Vidal como requisito parcial para optar al tı́tulo de Ingeniero Civil Electrónico Mención Computadores. Profesor Guı́a: Tomás Arredondo Vidal Profesor Coreferente: Agustı́n González Valenzuela Valparaı́so, Agosto 2007 ——————————————————————— Diseño e Implementación de un Sistema de Monitoreo basado en SNMP para una Red de Telefonı́a IP Asterisk Patricio Enrique Valle Vidal Memoria para la obtención del Tı́tulo de Ingeniero Civil Electrónico Profesor Guı́a: Tomás Arredondo Vidal Agosto 2007 Resumen Simple Network Management Protocol, o SNMP, es una aplicación que permite a usuarios remotos revisar o manipular variables de administración. SNMP es usado tı́picamente para administrar redes de redes, o internets, que usan el conjunto de protocolos TCP/IP. En una red de telefonı́a IP, la cual tiene una amplia tendencia al crecimiento resulta difı́cil proporcionar alta calidad de servicios y una administración de red eficiente. En esta tesis, se realiza un estudio sobre un sistema integral a modo de prueba que administre una red local de manera sencilla y segura. En este caso la red cumple como función principal, entregar a sus usuarios servicios de telefonı́a IP, mediante la instalación de una central PBX llamada Asterisk. Este sistema está construı́do empleando los recursos de administración definidos en el estándar SNMPv3 que se encuentran disponibles en la plataforma Linux, y que se serán instalados en dos máquinas PC (Personal Computer) ubicadas en el laboratorio ATM del departamento de Electrónica. Se utilizan agentes y subagentes ubicados en la central administrada y almacenan información especificada en el estándar SNMP, que es recibida por el centro administrador (remoto) para organizarla y presentarla en un portal Web creado para este fin. Esta información se obtiene para dos fines: análisis de estadı́sticas y reconocimiento de fallas de los diferentes servicios disponibles por la central administrada. Se espera que este ambiente sea de gran utilidad para la administración y seguridad de la red de telefonı́a IP creada recientemente en el departamento de Electrónica Palabras claves – Simple Network Management Protocol (SNMP), agente, estación, Linux, telefonı́a IP, Linux, Net-SNMP, implementación. Índice 1. Introducción 1 1.1. Objetivos del Proyecto . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Protocolo SNMP 3 7 2.1. Estaciones y Agentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 2.2. Comunicación y Clases de Mensajes . . . . . . . . . . . . . . . . . . . . 8 2.2.1. Métodos de Comunicación SNMP . . . . . . . . . . . . . . . . . . 8 2.2.2. Mensajes SNMP y Protocol Data Units (PDUs) . . . . . . . . . 9 2.2.3. Clases de PDUs . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 2.3. Arquitectura SMI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 2.3.1. Objetos versus Nombres . . . . . . . . . . . . . . . . . . . . . . . 11 2.3.2. Definición de un Objeto . . . . . . . . . . . . . . . . . . . . . . . 13 2.3.3. Extensión de SMI . . . . . . . . . . . . . . . . . . . . . . . . . . 14 2.4. SNMP y UDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 2.5. Comunidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 2.6. RMON: Monitoreo Remoto . . . . . . . . . . . . . . . . . . . . . . . . . 18 2.7. Arquitecturas NMS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 2.8. Extensión de un Agente SNMP . . . . . . . . . . . . . . . . . . . . . . . 22 3. Seguridad en SNMP 24 3.1. Primeros Pasos en SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . 26 3.2. Cambios en SNMPv3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 iii 3.2.1. Motor SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 3.2.2. Aplicaciones SNMP . . . . . . . . . . . . . . . . . . . . . . . . . 27 3.2.3. Convenciones definidas en SNMPv3 . . . . . . . . . . . . . . . . 29 3.3. Modelo USM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 3.3.1. Aspectos Básicos . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 3.3.2. Descubrir a su Motor Autoritario . . . . . . . . . . . . . . . . . . 32 3.3.3. Puntualidad USM . . . . . . . . . . . . . . . . . . . . . . . . . . 32 3.3.4. Autentificación . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 3.3.5. Privacidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 3.3.6. Tabla de Usuario USM . . . . . . . . . . . . . . . . . . . . . . . . 32 3.3.7. Llaves Localizadas . . . . . . . . . . . . . . . . . . . . . . . . . . 33 3.4. Control de Acceso basado en Vistas (VACM) . . . . . . . . . . . . . . . 33 3.4.1. Aspectos Básicos . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 3.4.2. Tabla Context . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 3.4.3. Tabla Security to Group . . . . . . . . . . . . . . . . . . . . . . . 34 3.4.4. Tabla Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 3.4.5. Tabla View Tree Family . . . . . . . . . . . . . . . . . . . . . . . 35 3.5. Administración Distribuida (DisMan) . . . . . . . . . . . . . . . . . . . 36 4. Traps e Informs 38 4.1. La Necesidad de Traps en SNMP . . . . . . . . . . . . . . . . . . . . . . 38 4.2. Conceptos Básicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 4.2.1. Traps SNMPv2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 4.2.2. Informs SNMPv2 . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 5. Net-SNMP Open Source SNMP System 42 5.1. Instalación de Net-SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . 43 5.2. Configuración para Agente SNMP . . . . . . . . . . . . . . . . . . . . . 45 5.2.1. Aspectos Fundamentales para la Implementación . . . . . . . . . 45 iv 5.2.2. Creación de Usuarios SNMPv3 . . . . . . . . . . . . . . . . . . . 58 5.2.3. Inicio del Agente SNMP . . . . . . . . . . . . . . . . . . . . . . . 59 5.3. Configuración para Receptor de Notificaciones SNMP . . . . . . . . . . 59 5.3.1. Funcionamiento del Mecanismo de Notificaciones . . . . . . . . . 59 5.3.2. Demonio snmptrapd . . . . . . . . . . . . . . . . . . . . . . . . . 60 5.3.3. Creación de Usuarios SNMPv3 . . . . . . . . . . . . . . . . . . . 64 6. Asterisk Open Source IP-PBX System 65 6.1. Instalación de Asterisk . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 6.2. Configuración del Subagente SNMP . . . . . . . . . . . . . . . . . . . . 68 6.2.1. Usuarios SIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 6.2.2. Creación del Dialplan . . . . . . . . . . . . . . . . . . . . . . . . 69 6.2.3. Asterisk CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 6.2.4. Softphone X-lite . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 6.2.5. Iniciación de Servicios . . . . . . . . . . . . . . . . . . . . . . . . 74 7. Resultados y Conclusión 76 7.1. Resultados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 7.1.1. Resumen sobre configuraciones . . . . . . . . . . . . . . . . . . . 77 7.1.2. Estadı́sticas en IP-PBX 3 a través de SNMP . . . . . . . . . . . 79 7.1.3. Reconocimiento de Fallas en Central IP-PBX 3 . . . . . . . . . . 84 7.2. Conclusiones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 7.2.1. Sistema de Monitoreo . . . . . . . . . . . . . . . . . . . . . . . . 88 7.2.2. Sistema de Reconocimiento de Fallas . . . . . . . . . . . . . . . . 88 7.2.3. Desarrollo Futuro . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 A. Servicios para Linux: asterisk, snmpd y snmptrapd A.1. Scripts de Inicio 90 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . v 90 A.2. Instalación de Servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 A.3. Pruebas de Funcionamiento . . . . . . . . . . . . . . . . . . . . . . . . . 95 vi Índice de Figuras 1.1. Mapa de Red de Telefonı́a IP del departamento de Electrónica . . . . . 2 1.2. Esquema Lógico de Administración de la Red de Telefonı́a IP . . . . . . 3 1.3. Sistema de Monitoreo para una Red de Telefonı́a a través de SNMP . . 4 1.4. Generación y procesamiento de alarmas con SNMP . . . . . . . . . . . . 6 2.1. Relación entre NMS y agente . . . . . . . . . . . . . . . . . . . . . . . . 8 2.2. Árbol de objetos SMI . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 2.3. Árbol extendido en SMIv2 . . . . . . . . . . . . . . . . . . . . . . . . . . 14 2.4. Modelo de comunicación TCP/IP y SNMP [3] . . . . . . . . . . . . . . . 17 2.5. Arquitectura simple de NMS [4] . . . . . . . . . . . . . . . . . . . . . . . 20 2.6. Arquitectura de Tipo Distribuida de NMS [4] . . . . . . . . . . . . . . . 21 2.7. Usando enlaces privados para administrar la red [4] . . . . . . . . . . . . 22 2.8. Arquitectura para agentes extensibles . . . . . . . . . . . . . . . . . . . 23 3.1. Entidad SNMPv3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 3.2. Flujo Lógico de VACM . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 6.1. X-lite, configuración de parámetros SIP . . . . . . . . . . . . . . . . . . 73 6.2. X-lite, Ventana principal . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 7.1. Esquema Final de un Sistema de Administración para una Red de Telefonı́a IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 7.2. Análisis de Tráfico Ethernet para IP-PBX 3 . . . . . . . . . . . . . . . . 80 7.3. Análisis de Uso de Canales Asterisk para IP-PBX 3 81 vii . . . . . . . . . . . 7.4. Análisis de Carga Promedio en CPU para IP-PBX 3 . . . . . . . . . . . 82 7.5. Análisis de Temperatura para IP-PBX 3 . . . . . . . . . . . . . . . . . . 82 7.6. Análisis de Memoria en Uso para IP-PBX 3 . . . . . . . . . . . . . . . . 83 7.7. Zona de notificaciones en el sitio Web de administración . . . . . . . . . 87 viii Índice de Tablas 2.1. Clases de PDU SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 2.2. Tipos de datos definidos en SMIv1 . . . . . . . . . . . . . . . . . . . . . 13 2.3. Nuevos tipos de datos para SMIv2 . . . . . . . . . . . . . . . . . . . . . 14 2.4. Nuevos campos en definición de SNMPv2 . . . . . . . . . . . . . . . . . 15 2.5. Nuevos tipos de datos para SMIv2 . . . . . . . . . . . . . . . . . . . . . 19 3.1. Modelos y niveles de seguridad . . . . . . . . . . . . . . . . . . . . . . . 24 3.2. Conjunto de aplicaciones para SNMPv3 . . . . . . . . . . . . . . . . . . 28 3.3. Convenciones para SNMPv3 . . . . . . . . . . . . . . . . . . . . . . . . . 29 3.4. Conceptos definidos en el modelo USM . . . . . . . . . . . . . . . . . . . 30 3.5. Formato de un mensaje SNMPv3 . . . . . . . . . . . . . . . . . . . . . . 31 3.6. Parámetros de snmpSecurityParemeter . . . . . . . . . . . . . . . . . . . 31 3.7. Tabla de usuarios USM . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 4.1. Traps genéricos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 5.1. Objetos monitoreados en la central IP-PBX 3 . . . . . . . . . . . . . . . 54 5.2. Tipos de procesamientos para modelo VACM . . . . . . . . . . . . . . . 61 5.3. Formato de notificaciones para Net-SNMP . . . . . . . . . . . . . . . . . 63 7.1. Resumen de Configuraciones para IP-PBX 2 . . . . . . . . . . . . . . . . 77 7.2. Resumen de Configuraciones para IP-PBX 3 . . . . . . . . . . . . . . . . 78 7.3. Resumen de Configuraciones para NMS-ELO01 . . . . . . . . . . . . . . 78 7.4. Descripción del Plan de Monitoreo . . . . . . . . . . . . . . . . . . . . . 79 ix 7.5. Tipos de canales disponibles en Asterisk . . . . . . . . . . . . . . . . . . 81 7.6. Objetos MIB para análisis de memoria en uso . . . . . . . . . . . . . . . 83 A.1. Script para servicio Asterisk . . . . . . . . . . . . . . . . . . . . . . . . . 92 A.2. Script para servicio snmpd . . . . . . . . . . . . . . . . . . . . . . . . . . 93 A.3. Script para servicio snmptrapd . . . . . . . . . . . . . . . . . . . . . . . 94 x Capı́tulo 1 Introducción El protocolo Simple Network Management Protocol (SNMP) [1] permite consultar y alterar variables dentro del contexto de una red. SNMP es usado tı́picamente para transportar información de la red entre sistemas de administración y agentes en un recurso de red ası́ como hosts, servidores, switches, routers, y gateways. Internets o redes de redes, contienen importantes retos en el concepto de la administración. SNMP fue diseñado para el manejo de redes TCP/IP y es donde a menudo se aplica, aún cuando se está usando para administrar otras suites de protocolos de red. SNMP se construyó gracias a la ayuda conjunta de investigadores, usuarios y administradores de red, y empresas de Telecomunicaciones. Los primeros diseñadores estaban involucrados activamente en la administración e investigación de internets. Gracias a la mucha experiencia que tenı́an es que SNMP se logró diseñar, implementar y poner en marcha en el corto tiempo. Finalmente, todas las propuestas de diseño fueron convertidas en prototipo y probadas mediante múltiples implementaciones independientes. En la actualidad el departamento de Electrónica está finalizando la implementando una red de telefonı́a IP la cual permite la comunicación entre terminales IP, además de interconectar los mundos IP y PSTN. La Figura 1.1 describe la arquitectura de esta red conformada por dos centrales IP-PBX instaladas con la aplicación Asterisk que contiene un conjunto de herramientas para llevar a cabo todos los servicios requeridos para la comunicación. 1 1. Introducción Figura 1.1: Mapa de Red de Telefonı́a IP del departamento de Electrónica El proyecto que es descrito a continuación, implementa un sistema de administración remota para una red de telefonı́a IP1 , incluyendo todos los conceptos de seguridad definidos en la última versión de SNMP (SNMPv3). Este sistema es solo módulo de prueba construı́do para analizar la posibilidad de administrar a través del estándar SNMPv3 la red de computadores aplicada a servicios de telefonı́a IP que tiene implementado el departamento de Electrónica. Debido a que la red no ha sido completada y se requiere de su manipulación para configurar el sistema de administración fue necesario acoplar el módulo de prueba, el cual consiste en una estación de administración y una central IP-PBX además del conjunto de aplicaciones y configuraciones que fueron realizadas para este fin tal como se representa en la Figura 1.2. 1 IP: Internet Protocol 2 1. Introducción Figura 1.2: Esquema Lógico de Administración de la Red de Telefonı́a IP 1.1. Objetivos del Proyecto Este documento describe en detalle la implementación realizada en base a los siguientes objetivos: Instalación y configuración del Módulo de Prueba El primer paso consiste en instalar y configurar las entidades SNMP (agentes y estación) que permitirán el traspaso de información relevante sobre la central IP-PBX de prueba. En este caso se utilizará la aplicación Net-SNMP que es código abierto y contiene un conjunto de aplicaciones que permiten administrar remótamente una red basada en la especificación SNMPv3. Además se debe integrar este módulo de prueba a la red de Electrónica ya existente para analizar la compatibilidad entre versiones de la aplicación Asterisk utilizada. Las dos centrales existentes están configuradas con la aplicación Asterisk en su versión de kernel 1.2, pero el módulo SNMP está disponible sólo para el kernel 1.4 por lo que será necesaria la instalación de la central en esta versión y configurada para acoplarse al mapa de red existente. 3 1. Introducción Diseño de un Sistema de Monitoreo Este objetivo se sustenta en el análisis temporal sobre servicios realizados en una central IP-PBX, construyendo una serie de gráficos en tiempo real tales como: uso de canales de comunicación, memoria en uso, temperatura y porcentaje de carga de la CPU, y tráfico. Figura 1.3: Sistema de Monitoreo para una Red de Telefonı́a con SNMP La estación de administración genera consultas SNMP a la central integrada, las cuales son almacenadas en una base de datos circular, permitiendo la generación de gráficos sobre estadı́sticas en tiempo real como por ejemplo sobre el uso de los canales Asterisk. RRDTool (Roud Robin Database Tool), es un proyecto GNU que permite almacenar y representar datos en intervalos temporales (ancho de banda, temperatura, ...) [2]. La información recibida por el centro de administración será almacenada en una base de datos que no crece en el tiempo, acomulando datos diarios, semanales, mensuales y anuales para crear gráficos de calidad, los cuales serán desplegados en el portal Web de administración creado para este proyecto tal como se describe en la Figura 1.3. Diseño de un Sistema de Reconocimiento de Fallas Este objetivo consiste en generar alarmas desde un equipo administrado para ser enviadas a la estación SNMP para su posterior procesamiento, permitiendo tomar acciones que den solución al problema de fondo. Consiste en configurar la central IP-PBX de prueba para que genere mensajes de alarmas al momento de detectar una falla en su sistema sobre ciertos servicios. Esta comunicación tiene la particularidad de no ser de libre acceso, es decir, debe cumplir con el proceso de autentificación, además de ser transmitido en forma encriptada para evitar daños en su integridad, es decir, se usará el máximo de seguridad posible para el protocolo SNMP. Una vez que la estación reciba estos mensajes, la acción tomada será informar a través de la generación de registros para luego ser mostrados en una consola Linux (tty) y en el sitio Web de administración desarrollado para este proyecto. 4 1. Introducción De esta manera el administrador siempre estará informado de los sucesos en la red pudiendo tomar acciones inmediatas en caso de fallas. Figura 1.4: Generación y procesamiento de alarmas con SNMP 5 Capı́tulo 2 Protocolo SNMP SNMP es un protocolo de la capa de aplicación en el modelo OSI, que facilita el intercambio de información de tipo administrativa entre dispositivos de la red. De esta manera permite a los administradores manejar el desempeño de la red para encontrar y resolver problemas, y planificar su crecimiento. 2.1. Estaciones y Agentes En el ambiente SNMP hay dos tipos de entidades: administrador y agente. El administrador es un servidor con algún tipo de software que puede manejar tareas administrativas para una red. En el lenguaje SNMP son referidos como Network Management Stations (NMS), es decir, estaciones de administración de redes. Una estación es responsable de generar consultas y de recibir notificaciones de agentes en la red. A través de una consulta se obtiene información que más tarde puede ser usada para determinar si ha ocurrido algún evento crı́tico. Por otro lado una notificación permite al agente dar aviso que algo ha ocurrido. La estación tiene la capacidad de realizar una acción basado en la información que recibió del agente. Por ejemplo, cuando un circuito T1 de Internet está caı́do el router puede enviar un mensaje a la estación y una vez recibido, se pueden cambiar parámetros que permitan volver a su normal funcionamiento. Este tipo de mensaje es enviado de forma asincrónica, no como respuesta a una consulta realizada por una estación. El agente, por su parte es una aplicación que corre en equipos de red (router, switch, servidores, etc). Puede ser independiente ası́ como un demonio en el lenguaje UNIX, o puede estar incorporado en el sistema operativo (por ejemplo, el sistema operativo de Cisco, o de bajo nivel que controla una UPS). El agente provee información de administración a la estación no perdiendo de vista los aspectos operacionales del equipo. Por ejemplo, el agente en un router es capaz de estar informado de los estados de cada una de sus interfaces: cuales están activas y cuales no, etc. La estación puede consultar por el estado de cada una de sus interfaces, y tomar acciones apropiadas si alguna 6 2. Protocolo SNMP está desactiva. Cuando el agente percibe que algo malo sucedió, él puede enviar un mensaje a la estación para volver a su estado normal [3]. Figura 2.1: Relación entre NMS y agente [3] Cabe destacar que tanto las consultas como notificaciones pueden ocurrir al mismo tiempo, no habiendo restricción sobre el momento en que se transmiten estos tipos de mensajes tal como se describe en la Figura 2.1. 2.2. Comunicación y Clases de Mensajes El principal objetivo de SNMP es que permite el intercambio de información administrativa en forma de objetos MIB1 para ser comunicada entre equipos de una red. El protocolo de operaciones de SNMP describe cómo se realiza esta comunicación, indicando los métodos disponibles para el intercambio de información. 2.2.1. Métodos de Comunicación SNMP Se dispone de dos técnicas de comunicación, usadas en situaciones en que una entidad necesita estar informada sobre el estado de otra entidad: Interrogación: Este término se refiere cuando una entidad quiere información sobre otra. En SNMP, una estación es la que deberı́a pedir información necesaria a sus agentes. Un ejemplo cotidiano para este modelo de comunicación serı́a el servicio regular de e-mails; una persona cada dı́a revisa su correo por si ha recibido mensajes nuevos. Interrupción: Este término se refiere cuando un equipo necesita que otro obtenga parte de su información, entonces decide enviársela. En SNMP, el agente le envı́a información a una estación sin ser previamente consultado. Un ejemplo real serı́a el modelo usado por la comunicación vı́a teléfono. 1 MIB: Management Information Base. 7 2. Protocolo SNMP En caso de preguntarse cuál método es mejor, no se podrı́a llegar a ninguna conclusión, esto porque ambos modelos tienen sus pro y sus contras. Por esta razón que SNMP se diseñó para usar ambos métodos. La interrogación es usada para almacenar información periódica ası́ como por ejemplo para fines estadı́sticos o consultar sobre estado de un equipo. En cambio las interrupciones son usadas en forma de alarmas denominadas notificaciones, las cuales pueden ser configuradas por un administrador para corregir fallas en los equipos de la red. 2.2.2. Mensajes SNMP y Protocol Data Units (PDUs) En SNMP el intercambio de información es realizada de manera similar a muchos protocolos de red, es decir, a través del envı́o y recepción de mensajes. Este tipo de mensajes recibe el nombre pdus, definido como una unidad de dato usada por el protocolo. Todos los mensajes SNMP tienen el sufijo -pdu para ser identificados. En SNMP pdu y mensaje no tienen exactamente el mismo significado. pdu se define como el dato de la capa más alta que es encapsulado por SNMP, descrito por el modelo OSI. En cambio el formato de un mensaje SNMP es la envoltura que encapsula un pdu junto con el encabezado. Sin embargo un mensaje se construye para enviar un pdu, por lo que son términos bastante parecidos y que muchas veces pueden ser usados como sinónimos. 2.2.3. Clases de PDUs Para la versión 1 de SNMP se definen 6 pdus, los cuales fueron extendidos y cambiados tanto en nombre como uso en las versiones 2c y 3. El marco SNMP usado en la actualidad categoriza los pdus en diferentes clases, las cuales describen las dos funciones de un mensaje: tipo y forma de comunicación, que se utilizan para realizar tareas de interrogación versus interrupción. La Tabla 2.1 describe las principales clases de pdus disponibles en SNMPv2c/SNMPv3 indicando aquellos pdus que están dentro de esa categorı́a. Estas clases no son usadas en SNMPv1 pero son descritas de igual forma para establecer una asociación y ası́ entender mejor sus funciones. 8 2. Protocolo SNMP Tabla 2.1: Clases de PDU SNMP Clase de PDU Read Write Response Notification Descripción Permiten leer información desde un equipo administrado usando mecanismos de interrogación. v1: GetRequest-PDU, GetNextRequest-PDU v2c/v3: GetRequest-PDU, GetNextRequest-PDU, GetBulkRequest-PDU. Permite modificar la información en un equipo administrado y ası́ pueda efectuar una operación. v1: SetRequest-PDU v2c/v3: SetRequest-PDU. Es enviado como respuesta a un previo requerimiento. v1: GetResponse-PDU v2c/v3: Response-PDU. Es usado por un equipo para enviar una interrupción, ası́ como una notificación a una estación. v1: Trap-PDU v2c/v3: Trapv2-PDU, InformRequest-PDU. GetBulkRequest-pdu y InformRequest-pdu son pdus definidos en SNMPv2/v3. En cambio GetResponse-pdu sólo fue renombrado a Response-pdu y tiene la propiedad de ser un mensaje respuesta y no de petición. Existen otras tres clases especiales, que son definidas en la actual versión de SNMP pero que son de menor interés dado que no son de uso activo. La clase Internal contiene un mensaje denominado Report-pdu definido por la comunicación interna de SNMP. A demás SNMP provee dos clases más llamadas Confirmed y Unconfirmed, usadas para definir categorı́as de mensajes basado en que sean o no reconocidos por el sistema. Los mensajes Report-pdu, Trapv2-pdu, y Response-pdu forman parte de la clase Confirmed, y el resto están en la clase Unconfirmed. 2.3. Arquitectura SMI “Información Administrativa” muchas veces es referida a los parámetros operacionales que forman parte de un equipo de red con soporte SNMP. Sin embargo no logra describir lo que realmente contiene y representa. El primer paso hacia entender que clase de información puede proporcionar un equipo de red, es comprender cómo estos datos se representan dentro del contexto SNMP. SMI (Structure of Management Information) es la estructura que permite asociar objetos administrados con tipos de datos [5]. Un objeto se puede representar a través de tres atributos, tal como se describe a continuación. 9 2. Protocolo SNMP Nombre El identificador (object identifier o OID), permite distinguir un objeto de otro, pudiendo ser representados a través de números o palabras. Tipo y Sintaxis El tipo de dato de un objeto es definido a través del lenguaje “Abstract Syntax Notation One” (ASN.1). Es un camino para especificar cómo los datos son representados y transmitidos entre estación y agente dentro del contexto SNMP. La gran ventaja de ASN.1 es que la notación es independiente de la máquina, por ejemplo un PC cuyo sistema operativo es Windows 2000 puede comunicarse con otra que tenga Sun SPARC y sin tener que preocuparse de la clasificación de bytes. Codificación La instancia de un objeto es codificada en una cadena de bytes usando la regla de BER (Basic Encoding Rules), especificando la forma en que los objetos son codificados para ser transmitidos por un medio ası́ como Ethernet y luego recibidos y decodificados para ser procesados por una determinada entidad [6]. 2.3.1. Objetos versus Nombres Los objetos administrados son organizados en una jerarquı́a de árbol, que es la base del esquema de nombres de SNMP [4]. Un identificador de objetos (oid) se construye de una serie de enteros que representan un nodo del árbol, separado por un punto (.). El nodo más alto de un árbol es su raı́z y todo lo que esté por debajo ya sean sus hijos y niveles inferiores se denomina subárbol. Por otro lado una hoja es un nodo que no tiene hijos. Por ejemplo en la Figura 2.2 la raı́z del árbol es Root-Node, sus subárboles son ccitt(0), iso(1) y joint(2). El nodo iso(1) es el único que contiene un subnivel, los otros dos nodos son solo hojas del árbol. Descendiendo por el subárbol iso(1), el nodo directory no es usado actualmente, en cambio mgmt define un conjunto estándar de objetos para Internet, y experimental está reservada para propósitos de investigación y pruebas. El subárbol private permite definir objetos unilateralmente, es decir, tanto individuos como organizaciones son responsables de definir sus propios objetos. A continuación se indica la definición de los 4 subárboles que forman parte del objeto internet. internet directory mgmt experimental private OBJECT OBJECT OBJECT OBJECT OBJECT IDENTIFIER IDENTIFIER IDENTIFIER IDENTIFIER IDENTIFIER 10 ::= ::= ::= ::= ::= { { { { { iso org(3) internet 1 internet 2 internet 3 internet 4 dod(6) 1 } } } } } 2. Protocolo SNMP La primera lı́nea declara a internet con oid 1.3.6.1, que es definido (::=, es el operador de definición) como un subárbol de iso.org.dod. El resto de las lı́neas de definición declaran los identificadores correspondientes para los subárboles restantes. En la versión actual de SNMP el subárbol private contiene el nodo enterprises usado exclusivamente para que vendedores de hardware y software puedan definir aquellos objetos que permitan administrar sus dispositivos propios. La definición SMI para este nodo es la que se indica a continuación: enterprises OBJECT IDENTIFIER ::= { private 1 } Internet Assigned Numbers Authority (IANA), es la entidad que actualmente asigna el número privado de empresa para individuos, instituciones, organizaciones y compañı́as en Internet. Por ejemplo, Cisco System tiene como número privado el 9, ası́ la base del subárbol está definida como iso.org.dod.internet.private.enterprises.cisco o 1.3.6.1.4.1.9. El término empresa privada puede ser usada para referirse al subárbol enterprise. Las compañı́as no son las únicas que pueden registrar un identificador privado, cualquiera puede hacerlo, esto porque el procedimiento es gratuito [7]. Con un identificador de empresa propio se puede crear un MIB para monitorear determinadas variables según las necesidades que se tengan en la red. Figura 2.2: Árbol de objetos SMI [4] 11 2. Protocolo SNMP 2.3.2. Definición de un Objeto El atributo syntax permite definir un objeto administrado a través del lenguaje ASN.1, entre varios tipos de datos estándares para la administración de dispositivos de redes. Se debe tener en cuenta que estos tipos de datos son simplemente un camino para definir qué tipo de información puede llevar a cabo un objeto [5]. Tabla 2.2: Tipos de datos definidos en SMIv1 Tipo de dato Integer Octet String Counter Object Identifier null Sequence Sequence Of IpAddress NetworkAddress Gauge TimeTicks Opaque Descripción Número de 32-bit usado para especificar tipos numéricos dentro del contexto de un simple objeto. Cadena de 0 o más bytes usada generalmente para representar un texto, pero a veces es usada también para representar direcciones fı́sicas. Número de 32-bit con mı́nimo igual a 0 y máximo 232 - 1 (4,294,967,295). Cuando el valor máximo es alcanzado, se reinicia la cuenta volviendo a 0. Este tipo se usa principalmente para describir información ası́ como la cantidad de bytes enviadas o recibidas por una interfaz de red. Su comportamiento natural es que siempre vaya aumentando, nunca decrecer. Una cadena de tipo decimal que representa un objeto administrado dentro del árbol. Por ejemplo 1.3.6.1.4.19 representa el OID de Cisco System. Actualmente no es usado en SNMP. Define listas que contienen cero o mas tipos de datos ASN.1. Define un objeto administrado que se compone por una secuencia (Sequence) de tipos ASN.1. Representa una dirección IPv4 de 32-bit. Ninguna de las dos versiones de SMI especifican sobre las direcciones IPv6 de 128-bit. Puede representar diferentes tipos de dirección de red. Su formato es similar al tipo IpAddress. Número de 32-bit con mı́nimo igual a 0 y máximo 232 - 1 (4,294,967,295). A diferencia de Counter, estos objetos pueden aumentar y disminuir su valor, pero nunca excederse del máximo. La velocidad de una interfaz en un router se representa con este tipo de dato. Número de 32-bit con mı́nimo igual a 0 y máximo 232 - 1 (4,294,967,295) representado en centésimos de segundo. El tiempo activo en un dispositivo se representa con este tipo de dato. Permite que cualquier otro ASN.1 sea codificado como una secuencia de bytes (Octet String). 12 2. Protocolo SNMP 2.3.3. Extensión de SMI SMIv2 extiende el árbol de objetos agregando el subárbol SNMPv2 al nodo internet(1). Este cambio significa tener nuevos tipos de datos y que algunos identificadores de objetos también cambien. La Figura 2.3 muestra como este nuevo subárbol se ajusta a la arquitectura SMI; su OID es 1.3.6.1.6.3.1.1. Figura 2.3: Árbol extendido en SMIv2 [4] SMIv2 también define algunos tipos nuevos de datos, los cuales se pueden observar en la Tabla 2.3. Tabla 2.3: Nuevos tipos de datos para SMIv2 Tipo de dato Integer32 Counter Gauge32 Unsigned32 Counter64 BITS Descripción Idéntico a Integer. Idéntico a Counter. Idéntico a Gauge. Representa valores decimales entre 0 y 232 − 1. Similar a Counter32, pero representa valores entre 0 y 264 − 1. Enumeración de no negativos denominada bits. 13 2. Protocolo SNMP La definición de un objeto SNMPv2 cambia levemente con respecto a SMIv1 debido a que se agregaron campos opcionales, dándole un mayor control sobre cómo un objeto es accedido, permitiendo agregar más columnas, y generar mejores descripciones. A continuación se define la sintaxis para definir un objeto SNMPv2, en donde la lı́nea destacada corresponde a la extensión realizada descrita en detalle en la Tabla 2.4. <name> OBJECT-TYPE SYNTAX <datatype> UnitsParts <Optional, see below> MAX-ACCESS <See below> STATUS <See below> DESCRIPTION ‘‘Textual description describing this particular managed object.’’ AUGMENTS { <name of table> } ::= { <Unique OID that defines this object> } Tabla 2.4: Nuevos campos en definición de SNMPv2 Definición UnitsParts Max-Access Status Augments Descripción Describe una de las unidades (ej. seconds, miliseconds, etc.) usada para representar al objeto. El acceso para un tipo de objeto puede ser Max-Access en SNMPv2. Las opciones válidas son: read-only, read-write, read-create, notaccesible, y accesible-for-notify. Esta cláusula ha sido extendida para permitir las palabras: current, obsolete y deprecated. En SNMPv2 current es idéntico a mandatory en un MIB SNMPv1. En algunos casos, es útil para agregar una columna a una tabla existente. La cláusula augments permite extender una tabla agregando una o más columnas, representada por algún otro objeto. Se requiere el nombre de la tabla del objeto que será modificada. SMIv2 define un nuevo tipo de notificación denominada Notification-Type, que será discutido más adelante en este capı́tulo, a demás se incluyen nuevas convenciones que permiten crear objetos de maneras más abstractas [8]. 14 2. Protocolo SNMP 2.4. SNMP y UDP SNMP usa el protocolo de transporte User Datagram Protocol (UDP) para intercambiar datos entre la estación y el agente. UDP fue escogido en vez de Transmission Control Protocol (TCP) debido a que no está orientado a la conexión, es decir, no hay una conexión punto a punto entre el agente y la estación cuando los paquetes se envı́an de ida y vuelta. Este aspecto lo hace poco confiable, ya que no hay aviso en caso de pérdidas de los datagramas. Para determinar si un paquete fue perdido se define un timeout la estación envı́a una petición al agente y espera por la respuesta (el tiempo de espera es configurable). Si el timeout es cumplido y la estación no ha recibido ninguna respuesta del agente entonces asume que el paquete se perdió y lo retransmite. El número de veces que lo retransmite también es configurable [4]. En el caso de las notificaciones, la situación es diferente. Si un agente envı́a un mensaje y este nunca llega, la estación no tiene manera de saber que fue enviado. El agente no sabe que necesita reenviarlo, porque la estación no tiene la obligación de responder a una notificación (puede que no se tome una acción sobre el agente sino que solo se lean las notificaciones para llevar una estadı́stica). Debido a la naturaleza no confiable de UDP es que no tiene un alto costo (overhead), ası́ el impacto en el funcionamiento de la red se reduce. SNMP usa el puerto 161 UDP para enviar y recibir consultas, y el puerto 162 para recibir notificaciones desde un agente. Cada equipo que implementa SNMP deberı́a usar estos puertos por defecto, pero esto no ocurre y es importante configurar tanto la estación como el agente para que se comuniquen mediante los mismos puertos. La Figura 2.4 muestra la suite de protocolos TCP/IP usada en SNMP. Hoy, cualquier recurso que desee comunicar en Internet (ej. sistemas Windows NT, servidores Unix, routers Cisco, etc.) deberı́a usar esta suite. Este modelo se describe como un stack de protocolos, en donde cada capa usa la información de su capa inferior y provee un servicio a su capa superior. 15 2. Protocolo SNMP Figura 2.4: Modelo de comunicación TCP/IP y SNMP [3] 2.5. Comunidades SNMPv1 y SNMPv2 utilizan la noción de comunidad para establecer la conexión segura entre NMS y agente. Un agente se configura a través de tres tipos de comunidad: solo-lectura, lectura/escritura, y notificación. Los nombres de comunidad son contraseñas no habiendo diferencia alguna con aquella que se utiliza por ejemplo para tener acceso al PC. Los tres tipos de comunidad controlan diferentes tipos de actividad, de esta manera el tipo solo-lectura permite sólo leer los datos, en cambio lectura/escritura permite leer y modificar valores de los objetos, ası́ como por ejemplo cambiar la configuración de un router. Finalmente, las comunidades de tipo notificación permiten recibir mensajes de alerta desde el agente. El problema con este tipo de autentificación es que los nombres de las comunidades se envı́an en texto plano, lo que hace que sea fácil para otras personas interceptarlos y usar dichos nombres para fines equivocados. Debido a esto que SNMPv3 da la posibilidad de dar integridad a los datos mediante niveles de autentificación en la comunicación entre equipos SNMP. Además tal como se mencionó, si una estación tiene un nombre de comunidad para lectura/escritura sobre un agente, tiene la facultad de realizar modificaciones a determinados objetos (por ejemplo, configurar las interfaces de un router, desactivar puertos, o modificar las tablas). 16 2. Protocolo SNMP Uno de los caminos para proteger la comunidad es usando Redes Privadas Virtuales (VPN) y ası́ asegurar que los mensajes se transmitan en un medio encriptado. Otra opción es cambiar el nombre de la comunidad constantemente. Esta última opción es común para redes pequeñas, pero para una red que tiene verdaderas ciudades de spans o maneja más de cientos o miles de equipos, cambiar el nombre de comunidad puede ser un problema [4]. 2.6. RMON: Monitoreo Remoto RMON está fuera del alcance de este proyecto pero explicaremos su relación con SNMP, y ası́ tener una idea clara de su funcionamiento ya que muchos switches y routers lo implementan. RMON se utiliza para crear puntos de pruebas que tı́picamente son equipos independientes que miran el tráfico en segmentos de la red en donde se produce acumulación. Algunas empresas implementan al menos un tipo de RMON en sus routers, hubs, o switches [3]. La versión 1 RMON (RMONv1) se define en el RFC 2819; una mejora a este estándar es RMONv2 definido en RFC 2021. RMONv1 provee a la estación con paquetes de nivel estadı́stico para una LAN o WAN. Una alternativa serı́a colocar un punto de prueba RMON en cada segmento de la red que se quiere monitorear. Muchos routers tienen capacidades limitadas de RMON, ası́ que sólo se pueden usar sus funcionalidades para tareas de menor importancia (e.g. routers Cisco). Pero por ejemplo algunos switches 3Com implementan la especificación completa de RMON. El objeto MIB (Management Information Base) RMON fue diseñado para tener un punto de prueba corriendo en modo offline que permita almacenar estadı́sticas de la red, pero sin la necesidad de consultar a una estación constantemente. Puede darse el caso que la estación quiera consultar a su punto de prueba por estadı́sticas que ha almacenado. Otra función y que muchos puntos de pruebas implementan es la habilidad de fijar los umbrales para varias condiciones de error y cuando cruza este umbral, alerta a la estación generando una notificación. El MIB RMON define 10 grupos de objetos descritos en la Tabla 2.5. 17 2. Protocolo SNMP Tabla 2.5: Nuevos tipos de datos para SMIv2 Objeto statistics OID 1.3.6.1.2.1.16.1 history 1.3.6.1.2.1.16.2 alarm 1.3.6.1.2.1.16.3 hosts 1.3.6.1.2.1.16.4 hostTopN 1.3.6.1.2.1.16.5 matrix 1.3.6.1.2.1.16.6 filter 1.3.6.1.2.1.16.7 capture 1.3.6.1.2.1.16.8 event 1.3.6.1.2.1.16.9 Descripción Contiene estadı́sticas sobre todas las interfaces Ethernet monitoreadas por el punto de prueba. Almacena periódicamente muestras simples desde el grupo de estadı́stica. Permite a un usuario configurar un intervalo cualquiera de muestras y un umbral para cualquier objeto que el punto de prueba registre. Almacena estadı́sticas sobre tráfico de cada host en la red. Contiene estadı́sticas de hosts usadas para generar reportes sobre hosts que están dentro de una lista pedida para un parámetro dado. Almacena errores e información de utilización para conjuntos de dos direcciones. Recibe paquetes mediante una ecuación de filtraje; cuando un paquete cumple con el filtro, el podrı́a ser capturado o un evento podrı́a ser generado. Permite capturar paquetes si ellos cumplen con un filtro dentro de un conjunto. Controla la definición de eventos de RMON. En el caso del agente Net-SNMP [13] no hay un soporte real de RMON-MIB. Aunque este está incluido como módulo, pero solo está definido como una especie de template para los grupos estadı́sticos RMON-MIB, más que un paquete completo. Se que la parte más difı́cil de implementar un MIB es sostener los datos para generar reportes. En RMON-MIB ocurre exactamente esto, ya que es posible almacenar (y analizar) grandes cantidades de paquetes sobre tráfico en la red. Algunas de las funcionalidades de RMON-MIB, ası́ como alarmas y grupos de eventos, han sido utilizadas por el grupo DisMan de IETF [16]. Este agente implementa estos módulos MIB, pero en el aspecto de almacenamiento de estadı́sticas de RMON-MIB no está totalmente disponible. 18 2. Protocolo SNMP 2.7. Arquitecturas NMS Antes de construir un sistema de administración remota, es importante planificar que tipo de arquitectura es mejor para manejar una determinada red. El prototipo de arquitectura más simple consiste en una sola estación de administración, responsable de toda la red [4]. Figura 2.5: Arquitectura simple de NMS [4] En el ejemplo de la Figura 2.5 se pueden apreciar la existencia de tres zonas: New York, Atlanta, y San José. Las notificaciones enviadas desde Atlanta o San José deben viajar por Internet, para llegar a su estación en New York. Para pequeñas redes, una arquitectura ası́ puede trabajar bien. Sin embargo, la red puede crecer a un punto en que una sola estación no es capaz manejar grandes cantidades de información, ası́ que este modelo se convierte en un problema. La estación en New York quizás no sea capaz de almacenar datos de los sitios remotos, porque en ese instante debe procesar mucha información. Entonces cuando los problemas aumenten, los agentes podrı́an no ser considerados durante algún momento. Otro factor importante es que muchas veces se producen fallas que deben ser intervenidas por personal interno más la coordinación necesaria. A veces no se tiene el tiempo completo para administrarlo, y se necesita de alguien con conocimiento que sepa que hacer en caso de que un equipo falle. Para solucionar esto se dispone de un modelo distribuido de estaciones. La idea es simple: usar dos o más estaciones de administración y ubicarlas en los nodos que son manejados. En nuestro ejemplo serı́a en las tres zonas: New York, San José y Atlanta. 19 2. Protocolo SNMP Figura 2.6: Arquitectura de Tipo Distribuida de NMS [4] En la Figura 2.6 se modifica el modelo anterior agregando dos nuevas estaciones. Una de las ventajas de hacer esto, es que las dos nuevas estaciones pueden actuar como entidades independientes, cada una con un staff suficiente para cumplir con las necesidades de su zona, o simplemente reenviar los eventos a la estación de New York. En la segunda alternativa, las dos nuevas estaciones proveen de algún tipo de interfaz de cliente para ver los eventos actuales en la estación (traps recibidos, respuestas a consultas, etc.). La estación que adelanta los eventos a New York ya ha descubierto el problema, entonces este último solo tiene que tomar las medidas correctas para solucionar el problema, y no tener que además recibir notificaciones para saber de que se trata. La otra ventaja es que si se presentan necesidades puedes poner un staff de operaciones para manejar cada una de las locaciones remotas. Si New York pierde conectividad a Internet, no serı́a un gran problema porque las estaciones tienen la capacidad de actuar independientemente. Existe un tercer modelo denominado “hı́brido” [4] en donde el staff de operaciones central en New York trabaja las 24 horas al dı́a, los 7 dı́as de las semana, pero tu staff en Atlanta y San José solo durante las horas de trabajo. De esta manera en horarios que no sean de trabajo, se confı́a en la estación de New York para notificar y manejar problemas que se presenten, en el caso contrario, Atlanta y San José se encargan de sus zonas. La seguridad de la red es una consideración importante, ya que en ambos modelos se usa la Internet para comunicar notificaciones y recibir paquetes de configuración. Esta se ve afectada como también la confianza que se tiene del sistema. Una solución es usar enlaces encriptados para ejecutar las funciones de administración. La Figura 2.7 muestra la arquitectura de NMS distribuido extendida para esta solución. 20 2. Protocolo SNMP Figura 2.7: Usando enlaces privados para administrar la red [4] En este caso el router en New York es la base para toda la red. y establece enlaces privados (enmarcados con negro en la Figura) entre San José y New York, y New York y Atlanta. San José no sólo podrá acceder a New York sino que también a Atlanta vı́a ese enlace, para tráfico de administración, aplicándose lo mismo para Atlanta. La ventaja que existe es que los nombres de comunidad (para SNMPv1/SNMPv2c) nunca serán enviados por Internet. En caso de la existencia de una sola estación la solución también es aplicable. El problema que se puede presentar es que si la red corporativa consiste sólo de enlaces privados y las conexiones a Internet son sólo dedicadas a tráfico de salida, entonces los enlaces privados pierden el sentido de comunicar información administrativa. 2.8. Extensión de un Agente SNMP Extender las capacidades del agente usualmente tiene relación a agregar o cambiar su soporte MIB. La mayorı́a de los agentes cubren sólo un mı́nimo de objetos MIB, siendo frustrante si se tiene pensado automatizar la administración de la red. Actualizar la versión de SNMP no ayuda a obtener más información de un equipo si se usa SNMPv1. La información disponible por un equipo es definido en el MIB del agente siendo independiente del protocolo usado. La actual versión agrega nuevas funciones al protocolo principalmente en el aspecto de seguridad y opciones más sofisticadas para obtener y configurar valores [4]. 21 2. Protocolo SNMP Esta extensión se puede definir como un programa o una ampliación del conjunto de aplicaciones SNMP usada para aumentar la capacidad del MIB de un agente, entregando información desde una fuente externa (un script, programa o archivo). En la mayorı́a de los casos el proceso es transparente para la estación que está consultando o configurando a dicho agente, es decir, no diferencia entre el MIB nativo del agente y su extensión. Muchas de las extensiones dan la capacidad de leer archivos, correr programas y devolver sus resultados, ası́ como por ejemplo tablas de información. En algunos casos se tienen opciones configurables que permiten correr programas externos, y funciones preestablecidas, ası́ como analizadores de discos [4]. En la Figura 2.8 se describe el funcionamiento de un agenteX. Su estructura consiste en una entidad de procesamiento denominada agente maestro y cero o más entidades denominadas subagentes. Ambas entidades pueden residir en el mismo equipo o comunicarse mediante un proxy. El agente maestro se comunica con una estación como si fuera un simple agente. Los subagentes tienen acceso directo a ciertos objetos MIB, no ası́ el maestro, realizando funciones de administración en las variables, para luego comunicárselas a su agente maestro a través del protocolo AgentX, independiente a SNMP [9]. El conjunto de aplicaciones de Net-SNMP utilizada en el desarrollo práctico de este proyecto permite la configuración de la extensión del agente SNMP. En este caso no hace la distinción entre un agente maestro y la extensión denominada esclavo; hay sólo un agente de que preocuparse. Figura 2.8: Arquitectura para agentes extensibles [4] 22 Capı́tulo 3 Seguridad en SNMP Simple Network Management Protocol versión 3 (SNMPv3) es un protocolo basado en estándares de interoperabilidad. Provee de accesos de seguridad para dispositivos de red (ej. routers, servidores) mediante una combinación de paquetes de autentificación y encriptación sobre la red. Las principales caracterı́sticas de seguridad en SNMPv3 son: Mensajes de integridad - Asegura que un paquete no haya sido manipulado en el camino. Autentificación - Verifica si el mensaje viene de una fuente válida. Encriptación - Oculta el contenido de un paquete y ası́ evita que sea visto por una fuente no autorizada. SNMPv3 especifica modelos y niveles de seguridad. Un modelo de seguridad es una estrategia de autentificación determinada para un usuario y grupo en que éste reside. El segundo término define el umbral permitido dentro del modelo de seguridad. La combinación de un modelo y un nivel de seguridad determinará qué mecanismo será empleado para intercambiar paquetes SNMP. Tres son los modelos de seguridad disponibles: SNMPv1, SNMPv2 y SNMPv3, y tres son los niveles de seguridad: noAuthNoPriv, AuthNoPriv, AuthPriv. La Tabla 3.1 describe las combinaciones posibles entre estos dos conceptos. Tabla 3.1: Modelos y niveles de seguridad Modelo v1 v2c v3 v3 v3 Nivel noAuthNoPriv noAuthNoPriv noAuthNoPriv authNoPriv authPriv Autentificación Comunidad Comunidad Usuario md5 o sha md5 o sha 23 Encriptación No No No No No 3. Seguridad en SNMP Los Fundamentos de la seguridad en SNMPv3 se pueden describir a través de los siguientes puntos: Cada usuario pertenece a un grupo. Un grupo define sus polı́ticas de acceso para un conjunto de usuarios. Una polı́tica de acceso determina que objetos SNMP pueden ser accedidos para leer, escribir y crear. Un grupo determina que lista de notificaciones pueden escribir sus usuarios. Un grupo también define el modelo y el nivel de seguridad para sus usuarios. Beneficios: Los datos pueden ser coleccionados en forma segura por equipos SNMP sin el miedo de que hayan sido forzados o corrompidos. Manejo de la información confidencial. Por ejemplo un conjunto de comandos SNMP que cambian la configuración de un router pueden ser configurados para prevenir la exposición de su contenido en la red. En SNMP existe la necesidad de tener seguridad, esto porque los objetos MIB que son comunicados contienen información crı́tica de los equipos de la red. No se desea que cualquier persona entre en la red para obtener direcciones IP, o información sobre el tiempo que los equipos han estado funcionando, o si los enlaces están caı́dos, en fin toda la información que hace referencia a la red. Esto es aún más importante cuando se configuran los equipos a través de SNMP con operaciones SetRequest Obviamente no se quiere que nadie más pueda configurar o interferir con los equipos enviando comandos para cambiar objetos MIB que controlan la operación de estos [4]. Una de las grandes debilidades en SNMP v1/v2c es la seguridad. En estas versiones la autentificación no era más que una contraseña basada en un nombre de comunidad enviada de forma de texto a una estación. Su actual versión (SNMPv3) se caracteriza principalmente por hacerle frente a este problema. No hay nuevas operaciones; SNMPv3 soporta todas las operaciones definidas por la versión 1 y 2c. Existen varias convenciones nuevas, pero solo son caminos diferentes para interpretar los tipos de datos, definidos en las versiones anteriores [3]. 24 3. Seguridad en SNMP 3.1. Primeros Pasos en SNMP En SNMP v1, la seguridad incorporada era demasiado limitada; consistı́a en una sola polı́tica y una simple tecnologı́a, descritas a continuación. Objetos débiles: SNMP fue creado pensando en que los objetos deben ser diseñados de tal forma que provoquen el menor daño posible en caso de presentarse una falla en su funcionamiento. Los diseñadores de SNMP usaron la polı́tica de que los objetos MIB que son normalmente leı́dos no contengan información crı́tica, en cambio aquellos que son modificados no tengan el control sobre funciones crı́ticas. De esta manera, un objeto que es solo lectura y contiene descripción del equipo es aceptado, no ası́ un objeto que mantiene información administrativa, ası́ como su contraseña. De la misma forma, un objeto que puede ser leı́do y modificado puede controlar por ejemplo cuando un computador será reiniciado, pero en ningún caso tener el control sobre el reformateo de su disco duro. Nombres de Comunidad: Una comunidad está formada de todos aquellos equipos en la red que son administrados por un conjunto determinado de estaciones SNMP. Cada mensaje SNMPv1 enviado entre miembros de la comunidad es identificado por un nombre que forma parte de su encabezado. Este nombre representa una simple contraseña evitando que un mensaje recibido con un nombre erróneo sea aceptado. Los nombres de comunidad protegen en situaciones en que se quiere forzar el sistema mediante el envı́o de mensajes desautorizados. Sin embargo, esta simple contraseña se envı́a en texto plano y puede ser descubierta fácilmente para luego ser usada para fines equivocados. En otras palabras con este modelo de seguridad se está protegiendo la red de un agresor ocasional pero no del profesional. 3.2. Cambios en SNMPv3 Lo más significativo de esta versión es que abandona la noción de estaciones y agentes. Ambos son llamadas entidades SNMP. Cada entidad consiste de un motor (engine) y una o más aplicaciones, y permiten definir una arquitectura más que un simple conjunto de mensajes; la arquitectura genera una autonomı́a de las piezas de un sistema SNMP, lo cual hace posible implementar aspectos de seguridad. 25 3. Seguridad en SNMP 3.2.1. Motor SNMP Un motor SNMP se compone a través de 4 módulos: despachador, subsistema de procesamiento de mensajes, subsistema de seguridad, y el subsistema de control de acceso [4]. El despachador tiene la función de enviar y recibir mensajes. Determinar la versión de cada uno de los mensajes (v1, v2c o v3) y, si la versión es soportada, entonces los envı́a al subsistema para el procesamiento de mensajes. A demás tiene la facultad de enviar los mensajes recibidos a otras entidades. El subsistema de procesamiento prepara los mensajes para ser enviados (en caso de consultas a otras entidades) o extrae los datos de aquellos mensajes que son recibidos desde alguna entidad en particular. Esta etapa contiene múltiples módulos de procesamiento de mensajes. Por ejemplo, un subsistema puede tener módulos para procesar consultas SNMPv1, SNMPv2c y SNMPv3. También puede tener un módulo para procesar otros modelos que puedan ser definidos a futuro. El subsistema de seguridad provee servicios de autentificación y privacidad. La autentificación puede ser basada en comunidades (v1 y v2c) o en usuarios (v3). La autentificación basada en usuarios usa los algoritmos MD5 o SHA [17] y ası́ evita enviar una contraseña en texto plano. Para encriptar y desencriptar mensajes SNMP (concepto de privacidad) se usa el algoritmo DES. Actualmente DES ya no es el único algoritmo soportado, en el caso del motor Net-SNMP tiene soporte DES y AES [18]. El subsistema de control de acceso es responsable de controlar el acceso hacia objetos MIB. Es posible definir qué objetos puede acceder un determinado usuario, y además qué operación tiene permitido hacer sobre esos objetos. Por ejemplo, se podrı́a limitar a un usuario con accesos de lectura-escritura para el subárbol mib-2 y para el resto del árbol sólo puede realizar operaciones de lectura. 3.2.2. Aplicaciones SNMP La Tabla 3.2 describe las aplicaciones disponibles en la versión 3 de SNMP y que representan las acciones que pueden ser realizadas entre las entidades [4]. 26 3. Seguridad en SNMP Tabla 3.2: Conjunto de aplicaciones para SNMPv3 Aplicación Generador de consultas Generador de respuestas Generador de notificaciones Receptor de notificaciones Proxy Descripción Genera las consultas Get, Getnext, Getbulk y Set, y además procesa las respuestas. Esta aplicación la implementa una estación, y de esta manera puede monitorear y configurar equipos de red (router, switch, hosts, etc). Responde a las consultas Get, Getnext, Getbulk, y Set. Esta aplicación es implementada en el agente (router, switch, host, etc). Genera traps y notificaciones. Esta aplicación es implementada en el agente (router, switch, host, etc). Recibe los traps y notificaciones. Esta aplicación es implementada por la estación. Permite facilitar el paso entre entidades. En otras palabras adelanta los mensajes de una entidad a otra. Puede ser implementada por ambos NMS o agente. La Figura 3.1 describe la distribución de componentes dentro de cada una de las entidades SNMP ya definidas [4]. Figura 3.1: Entidad SNMPv3 [4] 27 3. Seguridad en SNMP 3.2.3. Convenciones definidas en SNMPv3 La Tabla 3.3 describe las convenciones que fueron agregadas en la versión 3 de SNMP. Tabla 3.3: Convenciones para SNMPv3 Convención snmpEngineID snmpSecurityModel snmpMessageProcessingModel snmpSecurityLevel snmpAdminString snmpTagValue snmpTagList KeyChange Descripción Identificador único para un motor SNMP. Los objetos de este tipo se construyen para identificación, y no para direccionamiento, aunque una dirección se puede usar para generar un valor especı́fico (engineIDType y engineIDNic en Net-SNMP). Un nivel de seguridad SNMP (SNMPv1, SNMPv2c o USM). USM se define como Modelo de seguridad basado en usuarios. que es implementado por SNMPv3. Modelo de procesamiento de mensajes usado por el Subsistema para el Procesamiento de Mensajes. Nivel de seguridad en que los mensajes son enviados, o en que las operaciones serán procesadas. Los valores posibles son noAuthNoPriv (sin autentificación, sin privacidad), authNoPriv (con autentificación, sin privacidad), authPriv (con autenticación y privacidad). Es un string que contiene información administrativa, preferentemente una palabra. Su largo puede ser mayor a 255 bytes. Es un string con un valor representativo. Este valor según el RFC 3413 puede ser entre otros: acme, router, y host. Es un string que contiene una lista de valores representativos (snmpTagValue). Objeto usado para cambiar las llaves de autentificación y privacidad. 28 3. Seguridad en SNMP 3.3. Modelo USM El Modelo de Seguridad basado en Usuarios (User-based Security Model o USM) y el Modelo de Vistas para el Control de Acceso (View-based Access Control Model o VACM) detallan la seguridad que implementa la versión 3 de SNMP [4]. 3.3.1. Aspectos Básicos La Tabla 3.4 describe algunos de los términos que forman parte del modelo USM en la versión 3 de SNMP. Tabla 3.4: Conceptos definidos en el modelo USM Concepto snmpEngineID snmpEngineBoots snmpEngineTime snmpSecurityLevel Motor SNMP autoritario Descripción Identificador para un motor SNMP. La sintaxis para este identificador es OctetString y no puede tener un valor nulo. Muchas aplicaciones SNMPv3 utilizan un valor de entrada para generar este identificador. Si no es especificado entonces se usa una combinación entre la enterprise ID y la IP o MAC. Contador del número de veces que un motor SNMP es reiniciado. El número de segundos desde que el contador snmpEngineBoots cambió su valor por última vez. Existen 3 niveles de seguridad, ya descritos en la sección anterior: noAuthNoPriv, authNoPriv, y authPriv. Nota que puedes tener autentificación sin privacidad pero no privacidad sin autentificación. Un motor no autoritario podrı́a descubrir el snmpEngineID del motor autoritario con el que se está comunicando. Si el motor SNMP requiere una respuesta (Get, Getnext, Bulk, Set o Inform) el receptor es el motor autoritario, en caso de requerir una respuesta (Trap o Report), el motor autoritario es quien envı́a dicho mensaje. Generalmente la estación es el motor autoritario y el agente el motor no autoritario. Debido a la integración de nuevos conceptos y polı́ticas, el formato SNMP ha sufrido ciertos cambios, agregando nuevos campos que son descritos en la Tabla 3.5. 29 3. Seguridad en SNMP Tabla 3.5: Formato de un mensaje SNMPv3 Campo msgVersion msgID msgMaxSize msgFlags msgSecurityModel msgSecurityParameters contextEngineID scopedPDU Descripción Versión del mensaje. Identificador usado entre NMS y agente para coordinar mensajes de consulta y respuestas. Tamaño máximo del mensaje soportado. Valor de 8-bits que especifica si un reporte debe ser generado, si se usa privacidad, y si se usa autentificación. Especifica el modelo de seguridad usado. Contiene información especı́fica de seguridad. Identifica únicamente una entidad SNMP. Una entidad es una combinación entre el motor y aplicaciones SNMP. En detalle se discute en la sección siguiente. Bloque de datos construido entre el campo contextEngineID, contextName, y el pdu. La información de seguridad contenida en el campo snmpSecurityParameter se subdivide en una serie de parámetros que se describen en la Tabla 3.6, y permiten al receptor entender dicho mensaje para ser procesado y luego llevar a cabo una acción según corresponda. Tabla 3.6: Parámetros de snmpSecurityParameter Campo msgAuthoritativeEngineID msgAuthoritativeEngineBoots msgAuthoritativeEngineTime msgUserName msgAuthenticationParameters msgPrivacyParameters Descripción snmpEngineID de un motor autoritario. snmpEngineBoots de un motor autoritario. snmpEngineTime de un motor autoritario. Usuario que puede ser autentificar y encriptar el mensaje. Es nulo si no hay autentificación. En otro caso el campo contiene el valor de la llave secreta (HMAC) para el mensaje. Actualmente se especifican los algoritmos MD5 y SHA como alternativas de autentificación. Es nulo si no hay encriptación. En otro caso su valor es usado para formar el valor inicial del modo Cipher Block Chaining del algoritmo Data Encryption Standard (DES). 30 3. Seguridad en SNMP 3.3.2. Descubrir a su Motor Autoritario Antes de realizar cualquier consulta Get, Getnext o Set, el motor no autoritario debe realizar el proceso de descubrir la información de seguridad del motor autoritario. Para ello se requiere que el campo msgSecurityParameter esté definido con los valores de los parámetros snmpEngineID, snmpEngineBoots, y snmpEngineTime del motor autoritario. 3.3.3. Puntualidad USM Una vez que el motor no autoritario conoce el valor de snmpEngineBoots y snmpEngineTime, debe tener la noción que este valor puede cambiar, por lo que cada segundo que pase aumenta el valor que tiene contenido en snmpEngineTime y ası́ mantenerse actualizado con el motor autoritario. Este módulo está preparado para actuar en caso de que el valor de snmpEngineTime sufra un cambio abrupto (roll over). 3.3.4. Autentificación Los algoritmos MD5 y SHA1 pueden ser usados para autentificar mensajes SNMPv3. MD5 crea una palabra de 128-bits y SHA1 una de 160-bits. Ambas palabras no pueden ser usadas solas, sino que en conjunción con el algoritmo para generar llaves de autentificación (HMAC). La llave de autentificación es compartida entre ambos motores antes que el mensaje sea procesado. 3.3.5. Privacidad La encriptación de datos SNMP es realizada usando el algoritmo CBC-DES. Ası́ como en la autentificación una llave debe ser conocida en ambos motores (autoritario y no autoritario), para realizar el proceso de encriptación. Una tabla de usuario USM es usada para determinar la llave y descripción que es transmitida con el paquete en el campo msgSecurityParameter. 3.3.6. Tabla de Usuario USM Cada entidad mantiene una tabla que almacena todos los usuarios que tienen acceso al sistema vı́a SNMP. Esta tabla incluye los siguientes elementos: 31 3. Seguridad en SNMP Tabla 3.7: Tabla de usuarios USM Campo Username Authentication protocol Authentication key Privacy protocol Privacy key usmUserSpinLock 3.3.7. Descripción Nombre de usuario, a veces referido al nombre de seguridad. Especifica el protocolo de autentificación si es que alguno es usado. Los valores válidos son: usmNoAuthProtocol, usmHMACMD5AuthProtocol, y usmHMACSHAAuthProtocol. y La frase clave usada para la autentificación. Deberı́a ser al menos de 8-bits. Especifica el protocolo de privacidad usado. Los valores válidos son: usmNoPrivProtocol y usmDESPrivProtocol. La frase clave usada para la encriptación. Deberı́a ser al menos de 8-bits. Es un intento de bloqueo que permite coordinar múltiples intentos para modificar la tabla de usuario. Llaves Localizadas Una llave localizada permite a un usuario usar la misma llave de autentificación y/o encriptación en distintos motores SNMP. Es posible crear un administrador de llaves y ası́ no tener que recordar la llave para cada motor que interactúa con la entidad. Los campos de tipo KeyChange permiten a los usuarios cambiar su llaves de seguridad. 3.4. Control de Acceso basado en Vistas (VACM) Este modelo es usado para controlar el acceso a los objetos administrados. Esta tarea se efectúa en el subsistema de control de acceso que forma parte del motor SNMP. 3.4.1. Aspectos Básicos Los campos del mensaje SNMPv3: msgFlags, msgSecurityModel, y scopedPDU son usados por VACM para determinar los permisos sobre el objeto administrado. Si el usuario no tiene permitido acceder a un objeto particular entonces se genera un mensaje de error que es retornado al motor dueño de la petición. VACM usa 4 tablas de control de acceso para diferentes aspectos. A continuación se hace una breve descripción de cada tabla para entender su funcionamiento básico aplicado en la etapa de implementación de este proyecto. 32 3. Seguridad en SNMP 3.4.2. Tabla Context La tabla vacmContextTable es un conjunto de objetos administrados que contienen derechos de acceso. Esta tabla almacena todos los contextos disponibles y es indexada por el campo contextName. vacmContextName 3.4.3. Un nombre (caracterı́stico) para el contexto. Tabla Security to Group La tabla vacmSecurityToGroupTable es usado para almacenar la información del grupo. Un grupo es hecho desde cero o mediante la combinación entre el modelo de seguridad (securityModel) y el nombre de seguridad (securityName). Esta combinación define que objetos manejados pueden ser accedidos. Esta tabla es indexada mediante los campos securityModel y securityName. vacmSecurityModel vacmSecurityName vacmGroupName 3.4.4. Modelo de seguridad usado (ej. USM). Si se usa USM como modelo de seguridad, entonces securityName and userName son idénticos. Nombre del grupo a que esta entrada de la tabla pertenece. Tabla Access La tabla vacmAccessTable es usado para almacenar los derechos de accesos definidos para los grupos. Esta tabla es indexada por groupName, contextPrefix, securityModel, y securityLevel. 33 3. Seguridad en SNMP vacmGroupName vacmAccessContextMatch vacmAccessContextPrefix vacmAccessSecurityModel vacmAccessSecurityLevel vacmAccessWriteViewName vacmAccessNotifyViewName 3.4.5. Nombre de un grupo con derechos de acceso. Es una forma simple de especificar si el contextName debe ser considerado como exacto o como un prefijo. Si su valor es “exact” indica que el contextName deberı́a ser exactamente igual al valor en vacmAccessContextPrefix. Si en cambio es “prefix”, contextName puede ser igual a los primeros caracteres de vacmAccessContextPrefix. ContextName deberı́a ser igual a vacmAccessContextPrefix ya sea en forma parcial o exacta dependiendo lo que indique vacmAccessContextMatch. Modelo de seguridad (securityModel) que deberı́a ser usado para tener acceso. Define el nivel de seguridad (securityLevel) mı́nimo para tener acceso. Nombre de la vista (viewName) MIB autorizada con permiso de escritura para un grupo determinado. Nombre de la vista (viewName) MIB autorizada con permiso de notificación para un grupo determinado. Tabla View Tree Family La tabla vacmViewTreeFamilyTable es usada para almacenar vistas MIB. Una vista MIB es definida como una familia de vistas que representan un subárbol de objetos MIB con un valor de máscara. La máscara indica que subidentificadores del subárbol asociado por su OID es considerado en la definición (se puede asociar a la máscara de una subred, ej. 192.168.28.0/24). Todas las vistas MIB son almacenadas en vacmViewTreeFamilyTable. Esta tabla es indexada por viewName y el identificador (OID) que representa al subárbol MIB. El MIB VACM define un candado denominado vacmViewSpinLock, que es usado para permitir que varios motores SNMP pueden coordinar modificaciones a esta tabla. vacmViewTreeFamilySubtree vacmViewTreeFamilyMask vacmViewTreeFamilyType OID del subárbol que al combinarse con la máscara, define uno o más vistas del subárbol MIB. Su valor en conjunto con el correspondiente OID del subárbol, define una o mas vistas del subárbol MIB. Indica si las correspondientes vistas del subárbol MIB definidas por la OID del subárbol y la máscara son incluidas o excluidas desde la vista MIB. La Figura 3.2 permite comprender el flujo lógico sobre el control de acceso a objetos MIB, describiendo aquellos campos que son fundamentales en cada etapa de procesamiento de un mensaje SNMPv3. 34 3. Seguridad en SNMP Figura 3.2: Flujo Lógico de VACM [4] 3.5. Administración Distribuida (DisMan) Un administrador de red distribuido es una aplicación que actúa en dos roles opuestos; un rol de administrador realizando funciones de control, y un rol de agente que puede ser configurado y observado remotamente. Hoy en dı́a con el crecimiento de las redes una administración distribuida es vital, más allá de si son manejadas por personas en forma directa o remotamente. Un aspecto importante de cómo administrar es la capacidad que tiene un sistema de automonitoreo o que otro lo haga desde el exterior [12]. Este concepto se basa en el denominado MIB de eventos que provee la capacidad de supervisar objetos MIB en un sistema local o remoto y toma una acción cuando una determinada condición es encontrada. Este MIB fue pensado para evitar que una estación periódicamente consulte objetos para darse cuenta si surgió algún tipo de falla. De esta manera el equipo puede internamente supervisar objetos MIB y si por ejemplo el valor de un objeto es modificado se puede generar una alarma que será recibida por su estación. 35 3. Seguridad en SNMP MIB de eventos se desarrolló a través de la experiencia con RMON, y provee una serie de capacidades sobre alarmas y grupos de eventos. El gran aporte realizado sobre lo ya existente fue permitir que las alarmas sean generadas por objetos MIB que están en otro elemento dentro de la red. Las alarmas definidas en RMON son definidas como triggers en el MIB de eventos, pero el concepto es el mismo, ya que mantienen el manejo de umbrales de RMON solo que le agregan el concepto de boleanos y en cuanto al envı́o de notificaciones en respuesta a las alarmas se agrega la capacidad de cambiar el valor de un objeto MIB. 36 Capı́tulo 4 Traps e Informs Traps e informs proveen un camino para que el agente de aviso a través del envı́o de notificaciones a una estación cuando su estado no es el normal, o cuando sea necesario tener conocimiento de ello. Las notificaciones que sean generadas por un agente van a depender del soporte de MIBs que tenga. Para conocer cuáles son los traps e informs definidos en el agente basta con buscar dentro de los archivos MIBs el término traptype (SMIv1) o notification-type (SMIv2). La estación puede ser configurada para responder a distintas notificaciones cuya respuesta puede ser desde descartar el mensaje a correr una aplicación que envı́a un correo al administrador de la red dando aviso de lo ocurrido (o tomar una acción más drástica, ası́ como apagar la fuente de alimentación) [4]. 4.1. La Necesidad de Traps en SNMP En el caso de obtener información para fines de monitoreo, la interrogación es un tipo de comunicación ideal. Por ejemplo, las consultas de tipo Get pueden ser usadas para verificar la configuración de un equipo, conocer la cantidad de errores generados durante un periodo de tiempo, o generar estadı́sticas. Además este tipo de comunicación es el único método para modificar el valor de los objetos en un equipo a través de Set. El problema de la interrogación es que no está adaptada para entregar la información en forma rápida. La razón es que este tipo de comunicación es siempre iniciada por la estación. Si algo importante ocurre en el agente, la estación jamás se enterarı́a a menos que se le consulte especı́ficamente por los datos que han sido modificados. Esto significarı́a que las variables necesitan ser comprobadas en cada momento por la estación provocando una sobrepoblación de paquete SNMP en el caso de tener gran cantidad de equipos administrados. Para solucionar este problema, SNMP introdujo un nuevo tipo de mensaje como es la interrupción, cuya principal caracterı́stica es que la comunicación se inicia desde el agente [10]. 37 4. Traps e Informs 4.2. Conceptos Básicos Un trap es básicamente una notificación asincrónica enviado desde un agente a una estación, a través del protocolo de transporte UDP (puerto 162). Debido a que la transmisión no es confiable el agente no puede saber si el trap ha llegado a destino, y la estación tampoco puede asumir que ha recibido todas las notificaciones. Por supuesto, en una red poco congestionada, la mayorı́a de los mensajes deberı́an llegar a destino, pero si fuera el caso, entonces no hay razón para que sea administrada. En detalle, los traps se pueden localizar en dos categorı́as: genéricos y especı́ficos para una empresa. Existen 7 tipos de traps enumerados de 0 a 6, tal como se indica en la Tabla 4.1, permitiendo representar diferentes estados del sistema; desde reinicio del sistema (coldStart) y cambios de estado de una interfaz (linkUp y linkDown) hasta trap especı́ficos dependiendo de la empresa (enterpriseSpecific). La razón de que las notificaciones sean un mecanismo de administración poderoso, se debe a los traps especı́ficos. Cualquier empresa con un número de identificador MIB puede crear traps para condiciones en que se considere vital supervisar. La noción de un trap especı́fico es extremadamente flexible porque las organizaciones permiten subdividir el subárbol MIB como ellas quieran. Por ejemplo, si el identificador de una empresa es 2789, su OID completo es .13.6.1.4.1.2789, pudiendo definir traps como nodos cuyo identificador sean .1.3.6.1.4.1.2789.5000, .1.3.6.1.4.1.2789.5001, y ası́ sucesivamente. 4.2.1. Traps SNMPv2 En la versión de SNMP los traps se definen como notification-type, eliminando la noción de traps genéricos, definiéndolos como traps especı́ficos en MIBs públicos. Un trap SNMPv2 es generado y transmitido por un agente en respuesta a una alarma activada por una aplicación. Luego será usado para dar aviso a una estación que un evento ha ocurrido o a una condición presentada. Este mecanismo de envı́o no tiene asociada una confirmación por lo que el agente no espera una respuesta [11]. Es importante mencionar que en la versión 3 de SNMP sólo se agregaron aspectos de seguridad a su definición en SNMPv2, ya sea en temas de autentificación y privacidad. 38 4. Traps e Informs Tabla 4.1: Traps genéricos. Nombre y número coldStart(0) warmStart(1) linkDown(2) linkUp(3) authenticationFailure(4) egpNeighborLoss(5) enterpriseSpecific(6) 4.2.2. Definición Indica que el agente se ha reiniciado. Todas las variables administradas serán reiniciadas; variables de tipo Counter y Gauge tendrán valor 0. Este tipo de traps es útil para agregar un nuevo hardware a la red. Cuando un equipo es encendido, enviará un trap a su estación la cual una vez recibido podrá configurar sus parámetros. Indica que el agente llevó a cabo su reinicio. Es este caso la estación no reiniciará sus variables. Se envı́a cuando la interfaz de red de un equipo está caı́da. La primera variable enviada es el ı́ndice de la interfaz (ifIndex). Se envı́a cuando la interfaz vuelve a activarse. La primera variable enviada es el ı́ndice de la interfaz (ifIndex). Indica que alguien ha tratado de consultar al agente pero con un identificación incorrecta (comunidad o nombre de seguridad). Indica que un vecino EGP1 esté caı́do. Indica que el trap es especı́fico de una empresa. Vendedores SNMP y usuarios pueden definir sus propios traps bajo la rama private-enterprise del árbol MIB. Para procesar este trap la estación tiene que decodificar el número especı́fico del trap que es parte del mensaje SNMP. Informs SNMPv2 SNMPv2 incorpora un segundo tipo de notificación: InformRequest. Comparado con un trap no son lo mismo pero tienen dos aspectos que los relacionan: ambos mensajes comunican información mediante interrupción y no interrogación, y segundo, los dos mensajes pueden ser usados en conjunción. El propósito de un inform es facilitar la comunicación entre estaciones generando mensajes de confirmación ante la llegada de notificaciones. Si se desea que una estación informe a otra estación entonces le envı́a un mensaje de tipo InformRequest. Una vez recibido el mensaje responderá enviándole un mensaje de tipo Response, y ası́ avisa que el mensaje fue recibido. 1 Exterior Gateway Protocol, diseñado para el uso entre redes, bajo el control de dos organizaciones diferentes. 39 4. Traps e Informs Un camino común en que se usan ambos tipos de mensaje, es para diferenciar avisos cuando un trap ocurre. Por ejemplo un equipo administrado experimenta una falla eléctrica, generando un Trapv2 que es enviado a la estación #1. El administrador desea que los traps recibidos por la estación #1 sean adelantados a la estación #2, y de esta manera un mensaje InformRequest es usado para el enviar la información entre ambas estaciones [10]. 40 Capı́tulo 5 Net-SNMP Open Source SNMP System Simple Network Management Protocol (SNMP) es un protocolo que permite supervisar los equipos que forman parte de una red. Net-SNMP es un conjunto de aplicaciones usadas para implementar los protocolos SNMPv1, SNMPv2c, SNMPv3 usando IPv4 e IPv6 [13]. Este conjunto incluye: Aplicaciones de lı́nea de comandos para: • Obtener información desde equipos capaces de manejar el protocolo SNMP, ya sea usando consultas simples (snmpwalk, snmpgetnext), o múltiples requerimientos (snmpwalk, snmptable, snmpdelta). • Manipular información sobre la configuración de equipos SNMP (snmpset). • Obtener un conjunto de información desde un equipo SNMP (snmppdf, snmpnetstat, snmpstatus). • Traducir objetos MIB entre OIDs numéricos y textuales, y mostrar el contenido y estructura de la MIB (snmptranslate). Un explorador gráfico de MIBs (tkmib), usando Tk/perl. Un demonio para recibir notificaciones (snmptrapd). Las notificaciones pueden ser guardadas en un log (como syslog o un archivo de texto plano), ser reenviadas a otro sistema de gestión de SNMP, o a una aplicación externa. Un agente configurable para responder a peticiones SNMP sobre información de gestión (snmpd). Incluye el soporte para una amplia cantidad de módulos de información MIB, y puede ser aumentado usando carga dinámica de módulos, comandos y scripts externos, y los protocolos: SNMP multiplexing (SMUX) y Agent Extensibility (AgentX). Una biblioteca para desarrollar nuevas aplicaciones SNMP, tanto en C como Perl. 41 5. Net-SNMP Open Source SNMP System Net-SNMP está disponible para muchos sistemas operativos Unix y también en Microsoft Windows, siendo diferente su funcionamiento en cada uno de estos. El proyecto Net-SNMP nace en 1992, en Carnegie-Mellon University. El grupo de Redes en CMU (dirigido por Steve Waldbusser) desarrolló la implementación del protocolo SNMP. Esta aplicación contenı́a una librerı́a, un simple conjunto de comandos, y un agente (que entregaba más del estándar de información administrativa definida en RFC 1213). El código fue disponible públicamente, y usado por un gran número de personas (incluyendo varias compañı́as comerciales). En la actualidad muchos de los códigos han sido contribución de algunas fuentes abiertas de todo el mundo y mediante algunos bug-patches de la comunidad, que ha provisto una ayuda importante para el desarrollo de esta aplicación. 5.1. Instalación de Net-SNMP En el sitio oficial de Net-SNMP se pueden encontrar los archivos ejecutables para los diferentes sistemas operativos o si se desea, también está disponible el código fuente para su compilación [13]. Debido a que esta implementación requiere de funciones avanzadas tanto para el agente como para la estación es necesario hacer uso del código fuente de esta aplicación. Para ello, se recomienda leer los archivos de ayuda incluı́dos en el paquete descargado, y ası́ entender mejor los pasos que se describen a continuación: Descargar la aplicación y luego descomprimirla en un directorio cualquiera. En este caso, se utilizó la versión no estable 5.4.1 pre-releases dado que contiene una completa implementación del protocolo SNMPv3 para el receptor de notificaciones y además soluciona algunos bugs1 que se encontraron durante el periodo de adaptación usando la versión estable 5.4. Entrar en el directorio creado, y ejecutar el script de configuración configure. Dicho script chequeará nuestro sistema en busca de bibliotecas y paquetes que necesita el sistema para compilar el código. Además, permite incluir una serie de opciones de compilación que servirá para activar los módulos necesarios para la implementación. La lı́nea comandos para el script de configuración considerando las opciones requeridas en la siguiente: ./configure --enable-embedded-perl --enable-shared --with-mib-modules=ucd-snmp/lmSensors --prefix=/usr/local/net-snmp 1 bug: Error en un software o hardware que causa su mal funcionamiento. 42 5. Net-SNMP Open Source SNMP System Las opciones usadas permiten activar el soporte para Perl, cargar todas las funcionalidades disponibles para el receptor de notificaciones (en estación), agregar el módulo MIB llamado LM-Sensors para integrar información sobre el hardware de la central (en agente), y especificar la ruta en donde será instalada la aplicación. Definir la ruta de instalación permite mantener un orden de la ubicación de los directorios y ası́ facilitar a futuro el proceso de desinstalación. La siguiente lı́nea de comandos permite obtener la lista completa de las opciones disponibles en el script de configuración: ./configure --help El siguiente paso es compilar la aplicación que permitirá obtener en el directorio actual todos los archivos ejecutables. make El comando make través de la opción test permite realizar una prueba de comprobación para verificar si todos los módulos y librerı́as serán cargados correctamente una vez finalizado el proceso de instalación. La lı́nea de comandos completa para este caso es la siguiente: make test EL paso final es instalar los archivos ejecutables obtenidos en el proceso de compilación, para lo cual se debe escribir como superusuario (root) la siguiente lı́nea de comandos: make install Al final de proceso se obtiene un conjunto de directorios que representan el conjunto de aplicaciones de Net-SNMP. Su ubicación va a depender de la ruta especificada como opción en el script configure con la opción --prefix. Desde este momento la variable $netsnmpdir define la ruta de residencia del conjunto de aplicaciones de Net-SNMP (/usr/local/net-snmp). Cabe destacar que durante el proceso de instalación de Net-SNMP no se crean los scripts snmpd y snmptrapd en el directorio /etc/init.d, los cuales son necesarios para iniciar y finalizar los servicios SNMP (agente y receptor de notificaciones) mediante las órdenes /etc/init.d/snmpd{start|stop|} y /etc/init.d/snmptrapd{start|stop}. Una opción serı́a ejecutar manualmente el agente y receptor de notificaciones mediante las lı́neas $netsnmpdir/sbin/snmpd y $netsnmpdir/sbin/snmptrapd respectivamente. 43 5. Net-SNMP Open Source SNMP System 5.2. Configuración para Agente SNMP snmpd es un agente SNMP que escucha por el puerto UDP 161 (por defecto), esperando la llegada de peticiones desde algún programa de gestión SNMP (estación). Cuando recibe una petición, recopila la información y lleva a cabo la operación solicitada. EL agente se ejecuta como un demonio, es decir, permanece en segundo plano durante toda la ejecución. En su arranque, buscará su archivo de configuración snmpd.conf) en los directorios $netsnmpdir/etc/snmp, /usr/lib/snmp, $home/.snmp y /var/lib/snmp siguiendo este mismo orden. Dicho archivo describe el comportamiento del agente durante la ejecución, aunque no es imprescindible para que éste funcione y responda peticiones, ya que tiene por defecto una configuración preestablecida. En la secciones siguientes se describen algunas de las directivas que forman parte de la configuración del agente SNMP, las cuales forman parte primordial de esta implementación. Con el fin de usar al máximos las funciones del protocolo SNMPv3, es que el nivel de seguridad configurado será authPriv, es decir, toda consulta será autentificada a través de un nombre de seguridad y contraseña, y encriptada para evitar ataques sobre la configuración de equipos. 5.2.1. Aspectos Fundamentales para la Implementación Información Básica del Sistema Algunas de las siguientes directivas modifican el valor de varios objetos MIB, y otras sólo sirven para la propia configuración del agente. En caso de configurar una de estas directivas, se convertirá en un objeto de sólo lectura y, por tanto no se podrá cambiar su valor a través del comando snmpset. ∴ syslocation string Cambia el valor del objeto system.sysLocation, usado para especificar la localización fı́sica del host en donde se ejecuta el agente. syslocation ‘‘Laboratorio ATMLab’’ ∴ syscontact string Permite definir la dirección de contacto de la persona responsable del equipo, a través del objeto system.sysContact. syscontact ‘‘[email protected]’’ 44 5. Net-SNMP Open Source SNMP System ∴ sysname string Especifica el nombre del equipo a través del objeto system.sysName. Generalmente se refiere al nombre completo del dominio. sysname ‘‘BIONICO-Server.atmlab.utfsm.cl’’ ∴ sysservices number El objeto system.sysServices indica el conjunto de niveles de la arquitectura OSI que el host puede soportar. El valor del objeto es una suma que inicialmente vale cero. Para cada capa L de la arquitectura OSI soportada por el equipo, sumamos a sysServices el valor de 2 elevado a L-1. En caso de que el equipo no soporte OSI (el caso más general), sólo se debe tener en cuenta los niveles 1 (fı́sico), 2 (enlace), 3 (red), 4 (transporte) y 7 (aplicación). De esta manera el valor recomendado para un servidor (o central IP-PBX) es 72 (capa de transporte y aplicación). sysservices 72 ∴ sysdescr string Crea un breve descripción del equipo editando el objeto system.sysDescr. Por convención contiene un nombre completo, una descripción del hardware, del sistema operativo y del software de red. sysdescr ‘‘BIONICO-Server.atmlab.utfsm.cl Linux 2.6.18-4-686’’ ∴ agentgroup idgroup Esta directiva causa que el agente cambie su identificador de grupo después de abrir el puerto en el que escucha. IDgroup puede ser el nombre de un grupo o su identificador numérico y corresponde en el caso de esta implementación a un grupo registrado en el sistema Linux. agentgroup root ∴ agentuser idusuario Funciona en forma análoga a la directiva agentgroup, sólo que en este caso refiere al identificador de usuario del sistema Linux. agentuser root 45 5. Net-SNMP Open Source SNMP System Las directivas agentuser y agentgroup hacen referencia a un usuario y grupo del sistema respectivamente, es decir, ambos deben existir para el sistema operativo. Es importante que el usuario tenga privilegios suficientes para ejecutar aplicaciones del sistema, las cuales son fundamentales para implementar el sistema de administración distribuida (DisMan) descrito en detalle en la sección 3.5 y que más adelante se dan los pasos para su configuración. Con el simplificar el proceso, se utilizó al superusuario root ya que tiene todos los permisos para ejecutar los comandos que serán invocados por el agente para realizar tareas de comparación sobre aquellos objetos MIB definidos en las reglas que contengan la directiva monitor. Configuración SNMPv3 Para responder a mensajes SNMPv3 se requiere definir un identificador único para el agente SNMP denominado engineID. Este ID normalmente se determina automáticamente, usando dos valores que no son fáciles de predecir: un valor aleatorio y los segundos que el agente está activo desde su última ejecución. El método anterior se considera el recomendado, sin embargo existe la posibilidad de generar su ID a través de un palabra cualquiera. Por motivos de seguridad se recomienda que la palabra sea escogida pensando como si fuera una contraseña, no siguiendo el ejemplo siguiente como referencia. ∴ engineID string El engineID es construido desde la palabra definida como String. engineID 01020304050120 46 5. Net-SNMP Open Source SNMP System Control de Acceso snmpd soporta View-Based Access Control Model (VACM) definido en el RFC 2575, descrito en detalle en la sección 3.4 de este documento. Para este fin hay varias directivas relacionadas con el control de acceso, las cuales se pueden representar en 4 grupos básicos. ∴ rouser user [noauth|auth|priv [oid | -V view [context]]] ∴ rwuser user [noauth|auth|priv [oid | -V view [context]]] Especifica un usuario SNMPv3 que tiene permisos de solo lectura (get y getnext) o lectura-escritura (get, getnext y set) respectivamente. Por defecto, permite el acceso a todo el árbol oid para requerimientos autentificados SNMPv3 (auth), usando el contexto “ ” por defecto. Una alternativa pero que entrega el mı́nimo nivel de seguridad es usar “noauth” (permite requerimientos no autentificados), o el máximo de seguridad a través de “priv” (para forzar el uso de encriptación). EL campo oid restringe el acceso para ese usuario al subárbol cuya raı́z es oid, o la vista descrita por view. Opcionalmente se puede definir un contexto o un contexto.* para denotar un prefijo del contexto. Si no se especifica el campo context (o la opción * es usada), esta directiva no discriminará entre los contextos existente. rouser root priv .1 rwuser pc120encrypter priv .1 En este caso se definió el acceso de dos usuarios, en donde root corresponde al usuario del sistema para efectuar la tareas de la directiva monitor, y pc120encrypter es el medio de autentificación para realizar consultas desde la estación de administración. El proceso de creación se realiza en la directiva createUser descrita en detalle en la sección 3.2.3. ∴ rocommunity community [source [oid]] ∴ rwcommunity community [source [oid]] Especifica una comunidad SNMPv1 o SNMPv2c cuyos permisos serán de solo lectura (get y getnext) o lectura-escritura (get, getnext y set) respectivamente. Por defecto, se puede acceder al árbol completo, sin importar el origen de las peticiones. source puede ser usada para restringir el acceso a peticiones desde uno o más sistemas especificados. El campo oid restringe el acceso para esta comunidad al subárbol cuya raı́z es el oid. Los contextos son tı́picamente menos relevantes a las versiones SNMP basadas en comunidades, pero su comportamiento se aplica de igual forma. rwcommunity voipcommunity localhost 47 5. Net-SNMP Open Source SNMP System En cada caso, solo una directiva puede ser especificada para un usuario SNMPv3 o comunidad dada. No es recomendable especificar ambas directivas : rwuser y rouser refiriéndose al mismo usuario SNMPv3 (u opciones de comunidad equivalentes). La directiva rwuser provee todo el acceso de rouser (además del soporte set). Lo mismo se aplica para las directivas basadas en comunidad (rocommunity y rwcommunity). ∴ com2sec [-Cn context] secname source community Relaciona una comunidad SNMPv1 o SNMPv2c a un nombre de seguridad - que puede ser desde un rango determinado de fuentes (source), o en forma general (“default”). Una fuente restringida puede ser entre un determinado equipo (o dirección), o una subred - representada como ip/mask (ej. 10.10.10.0/255.255.255.0) o ip/bits (ej. 10.10.10.0/24). Una comunidad puede aparecer en varias directivas separadas (presumiblemente con diferentes fuentes (source), pero es la primera combinación fuente/comunidad que se aplique a la petición de entrada la que será elegida. Varias combinaciones fuente/comunidad pueden ser relacionadas al mismo nombre de seguridad. Si se especifica context (usando -Cn), la comunidad será relacionada a un nombre de seguridad en el contexto SNMPv3 escogido. En otro caso se usará el contexto por defecto es (“ ”). com2sec local localhost voipcommunity ∴ group group {v1|v2c|usm} secname Relaciona un nombre de seguridad a un grupo especı́fico. Un grupo puede estar relacionado a varios nombres de seguridad apareciendo más de una vez esta directiva con el mismo nombre de grupo, permitiendo ası́ una sola configuración de acceso aplicable a varios usuarios y/o comunidades. Los grupos pueden ser configurados en forma separada para dos modelos basados en comunidad (ej. v1 y usm) - una sola directiva com2sec (o equivalente) será tı́picamente acompañada por 2 directivas group. group localgroup v1 local group localgroup v2c local group localgroup usm local 48 5. Net-SNMP Open Source SNMP System ∴ view vname type oid [mask] Se define una vista como un conjunto de objetos del árbol oid. Varias de estas directivas pueden especificar un mismo nombre vname, para construir una colección más compleja de oids. El campo type puede ser include o excluded, que permiten definir una vista más compleja (ej. excluir ciertos objetos más sensibles desde otro subárbol accesible). mask es una lista de octetos hexagesimales (opcionalmente separados por . o :) en donde los bits cuyo valor es 1 indican qué subidentificadores oid se aplican a la vista. Si esto no se especifica, por defecto todos los bits tienen valor 1. view all included .1 80 view system included system fe view mib2 included .iso.org.dod.internet.mgmt.mib-2 fc ∴ access group context {any|v1|v2c|usm} level prefx read write notify Relaciona un grupo de usuarios/comunidades (con un particular nombre de seguridad y mı́nimo nivel de seguridad, y en un contexto especı́fico) a una o más vistas, dependiendo de la petición que es procesada. El campo level puede ser “noauth”, “auth” o “priv”. prefx especifica como debe ser aplicado context, el contexto de la petición de entrada, ya sea como .exact.o ”prefx”. read, write y notify especifica la vista que será usada para peticiones get*, set y trap/inform. Para accesos v1 o v2c, level necesariamente debe ser “noauth”. access localgroup access localgroup access localgroup v1 noauth exact system none none v2c noauth exact mib2 none none usm auth exact all all all Monitoreo Activo El agente SNMP normalmente espera por una petición desde una estación para procesarla y luego responder. Si no ha recibido ninguna petición, el agente no inicia ninguna acción. En esta sección se describen aquellas directivas que permiten hacer su rol mucho más activo y usar el más alto nivel de seguridad en SNMPv3. Estas directivas fueron configuradas para que el usuario pc120encrypter sea quien envı́e las notificaciones a su estación de administración. Además se activó la función de generar mensajes de alarmas en caso de recibir consultas con fallas de autentificación, es decir, nombre de seguridad, engineID y/o contraseña errónea. 49 5. Net-SNMP Open Source SNMP System ∴ trapsess [snmpcmd args] host Permite definir un método genérico para definir el destino de las notificaciones. snmpcmd args son aquellas opciones usadas en los comandos: snmptrap o snmpinform utilizados para enviar cualquier notificación. La opción -Ci puede ser usada (con -v2c o -v3) para generar un informe. Esta directiva es muy útil para definir receptores de traps SNMPv3. trapsess -e 0x80001f88043031303230333034303530313230 -v 3 \ -u pc120encrypter -l authPriv 192.168.28.101:162 nota: Para la generación de traps v3 a través de esta directiva es necesario especificar su propio engineID, pero no ası́ aquellas opciones de autentificación y privacidad ya que son leı́das desde su archivo de creación de usuarios (/var/net-snmp/snmpd.conf). ∴ authtrapenable {1 | 2} Si su valor es 1, activa la generació de notificaciones por fallas de autentificación (por defecto su valor es 2). Esta directiva al ser declarada, convierte el objeto MIB snmpEnableAuthenTraps.0 en sólo lectura (originalmente es lectura-escritura). authtrapenable 1 DisMan Event MIB Las directivas anteriores permiten definir donde serán enviadas las notificaciones generadas, pero no el instante en que serán enviadas, o quiénes deben ser generados. Esto le corresponde al subárbol Event MIB desarrollado por Distributed Management (DisMan), grupo de trabajo de IETF. ∴ agentSecName name ∴ iquerySecName name Define al usuario SNMPv3 por defecto para realizar consultas internas sobre información necesaria, ya sea evaluar una expresión monitoreada o construir una notificación. Este usuario debe ser creado explı́citamente mediante la directiva createUser y con accesos apropiados. Además debe ser un usuario registrado del sistema descrito a través de las directivas agentuser y agentgroup. nota: Si se usa cualquiera de las directivas de DisMan, especificar la directiva agentSecName de lo contrario el demonio generará errores sobre usuario requerido. iquerySecName root 50 5. Net-SNMP Open Source SNMP System ∴ monitor [options] name expression Define un objeto MIB de monitoreo. Si la condición expression se cumple, entonces se acciona un determinado evento, luego puede enviar una notificación o escribir un objeto previamente asignado (o ambos). El evento solo se activará una vez que la expresión se cumpla por primera vez, y no se volverá a activar hasta que dicha condición sea falsa y luego se vuelva a cumplir. name es un nombre administrativo para esta expresión, y se usa para indexar la tabla mteTriggerTable (y derivados). expression Existen 3 tipos de expresión soportadas por el Event MIB: test de existencia, booleano, y umbral. oid — !oid — !=oid define un test de existencia(0). El oid especifica un test, que será activado cuando (una instancia de) el oid es creado. La expresión !oid especifica un test .ausente”, que se activará cuando el oid es eliminado. La forma !=oid especifica un test ”modificado”que se activará cuando el valor de oid cambie. oid op value define un test booleano(1). op puede ser uno de los operadores (! =, ==, < , <=, >, >=) y value debe ser un valor entero para la comparación. oid min max [dmin dmax] define un test de umbral(3). min y max son valores enteros, que especifican los niveles mı́nimo y máximo respectivamente. Si el valor de oid no cumple con ambos niveles entonces el monitor activará un determinado evento. Al aumentar el umbral el test será actualizado cuando el valor monitoreado esta por debajo de min. En el caso que el umbral disminuya el test se actualiza cuando el valor pasa a max. Los parametros opcionales dmin y dmax crean pruebas similares, pero trabajando con diferenciales entre muestras sucesivas. 51 5. Net-SNMP Open Source SNMP System options Existen varias opciones para controlar el comportamiento de la expresión monitoreada. Estas son: -d La expresión debe ser evaluada usando el diferencial entre muestras. -d oid -di oid Especifica un marcador de discontinuidad para validar diferenciales. Si tiene la instancia -di será usado exactamente como está dado. Pero si tiene -d se considera como un subárbol. Si se especifica el flag -I , entonces no hay diferencia entre esas dos opciones. -e event Evento que será invocado cuando el monitor es activado. Si esta opción no se declara, entonces se generará una de las notificaciones definidas en el DISMANEVENT-MIB. -I Indica que la expresión monitoreada debe ser aplicada a un oid especı́fico (no como un subárbol). Por defecto, el oid debe ser tratado como un subárbol y ası́ el monitor cubre todas las instancias posibles. -i oid -o oid define nombres de objetos adicionales que serán incluı́dos en la notificación, además de los objetos referidos para esta directiva. Puede ser útil cuando se quiere enviar una fila completa de la tabla. Si no esta la opción -I contenida en options, entonces cualquier objeto del subárbol puede ser agregado usando la opción -o y el oid padre, en cambio si utilizamos -i entonces sólo se considera la oid explicitamente. Si el flag -I está declarado entonces no hay diferencia entre ambas opciones. -r frecuency evalúa la expresión cada frecuency segundos. Por defecto la expresión será evaluada cada 600s (10min). -S Indica que la expresión no deberı́a ser evaluada cuando el agente se inicie sino cuando el periodo expire por primera vez. 52 5. Net-SNMP Open Source SNMP System -s Indica que la expresión debe ser evaluada al inicio del agente y está definido por defecto. -u secname Especifica al usuario que se usará para escanear el sistema, en el caso de que sea diferente al definido en la directiva iquerySecName. Este usuario debe ser creado explı́citamente y con permisos de accesos adecuados. A continuación se describen las reglas usadas para la construcción del Sistema de Reconocimiento de Fallas, las cuales tienen como objetivo analizar aquellos servicios de mayor interés sobre un servidor que en este caso actuará como central IP-PBX, tal como se detallan en la Tabla 5.1. monitor -r 60 -e linkUpTrap -u root -s "Generate linkUp"\ ifOperStatus.2 ==1 monitor -r 60 -e linkDownTrap -u root -s "Generate linkDown"\ ifOperStatus.2 ==2 monitor -r 60 -u root -o memErrorName -o memSwapErrorMsg \ -s "memory"memSwapError != 0 monitor -r 60 -u root -o laNames -o laErrMessage \ -s "laTable"laErrorFlag != 0 monitor -r 60 -u root -o lmTempSensorsDevice.1 -I \ -s "lmtempmotherboard"lmTempSensorsValue.1 20000 40000 monitor -r 60 -u root -o lmTempSensorsDevice.2 -I \ -s "lmtempcpu"lmTempSensorsValue.2 40000 60000 Sobre el análisis de carga de la CPU y uso de memoria Swap, son necesarias las directivas load y swap para describir los niveles máximos y mı́nimos permitidos y que en caso de no cumplirse se activará el flag de error según corresponda. A continuación se describen los valores definidos para esta implementación. Tabla 5.1: Objetos monitoreados en la central IP-PBX 3 item laTable objeto laLoadInt.1-3 lmtempcpu lmTempSensorsValue.2 lmtempmotherboard lmTempSensorsValue.1 memory memAvailSwap, memTotalSwap 53 descripción El porcentaje de carga promedio del procesador para 1, 5 y 15 min no debe sobrepasar de 80, 40 y 30 % respectivamente. La temperatura de la CPU no debe sobrepasar los 50 o C. La temperatura de la placa madre no debe sobrepasar los 40 o C. El uso en memoria Swap no debe sobrepasar los 256 KBytes. 5. Net-SNMP Open Source SNMP System ∴ load max1 [max5 [max15]] Analiza la carga promedio del sistema, especificando los valores máximos para un promedio de 1, 5 y 15 min. Si alguno de estos valores excede el máximo descrito entonces el correspondiente flag laErrorFlag tendrá valor 1, describiéndose dicho error en el objeto laErrMessage. Cabe destacar que los valores descritos en esta directiva son tratados como porcentajes. load 80 40 30 ∴ swap min Analiza la cantidad de memoria Swap disponible en el sistema. En el caso de que esté debajo de min kb, entonces el objeto memErrorSwap tendrá valor 1, describiéndose dicho error en el objeto memSwapErrorMsg. swap 256 ∴ notificationEvent ename notification [-n] [-i oid | -o oid ]* Define un evento para una notificación cuyo nombre es ENAME. Este puede ser activado desde la directiva monitor especificando la opción -e ename. notification debe ser un oid definido como notification-type para ser generada. Si se da la opción -n, la notificación incluirá los objetos como está especificado en la cláusula object de la definición de mib de notificación. Esta opción debe venir después de notification (y el archivo del mib debe estar disponible y cargado por el agente). En otro caso estos objetos deberán ser listados explı́citamente (acá o en la correspondiente directiva monitor). Las opciones -i oid y -o oid especifican adicionales objetos para ser agregados al payload de la notificación, después de la lista estándar. Si la entrada que activó este evento involucra una expresión * (se considera un subárbol de oids), el sufijo de la instancia involucrada será agregada a cualquier oid especificado usando -o, mientras que aquellos especificados con -i serán tratados como instancias exactas. Si la opción -I fue especificada en la directiva monitor, entonces no existe diferencias entre ambas opciones. 54 5. Net-SNMP Open Source SNMP System Configuración de subagentes AgentX AgentX es un protocolo que permite al agente estar dividido en varios procesos separados, ya sea un solo host o entre varios hosts de una red. Para el desarrollo de esta implementación se configuró este agente como maestro para ser el medio de intercambio de consultas entre la estación de administración y la aplicación Asterisk. Las operaciones internas de AgentX son totalmente transparentes para la estación SNMP, es decir, cuando consulta al agente, siempre tendrá la impresión de estar tratando con un agente SNMP convencional. ∴ master agentx Se usa esta directiva para definir al agente como maestro dentro del protocolo AgentX. ∴ agentXSocket [<transport-specifier>:] <transport-address> [, ...] Esta directiva define la dirección en la que escucha el agente master. Por defecto se define el archivo “/var/agentx/master”, que es un socket Unix accesible sólo desde subagentes que tengan el mismo identificador de usuario que el maestro. En este caso se define la ruta que viene en la configuración por defecto. agentXSocket /var/agentx/master ∴ agentXperms sockperms [dirperms [user|iud [group|gid]]] Define al propietario y sus permisos de acceso para el socket AgentX Unix Domain, a demás de su directorio raı́z. sockperms y dirperms deben ser dı́gitos de 8 bits. Por defecto este socket sólo será accesible por subagentes que tengan el mismo userid que el agente. agentXperms 0660 0550 root root ∴ agentXTimeout num Define el periodo de timeout (num segundos) para una consulta AgentX. Por defecto es 1 segundo. agentXTimeout 5 ∴ agentXRetries num Define el número de intentos para una consulta AgentX. Por defecto num es 5. agentXRetries 10 55 5. Net-SNMP Open Source SNMP System Carga Dinámica de Módulos La carga dinámica de módulos es una forma de incluir un nuevo módulo MIB en el agente (o subagente) sin tener que recompilarlo. En la versión de Net-SNMP utilizada tiene activada esta función por defecto, pero para hacerla en forma explı́cita es necesario agregar la opción --with-mib-modules=ucd-snmp/dlmod al momento de ejecutar el script configure. Los pasos a seguir para la compilación rápida de módulos en un agente SNMP son: Guardar los archivos referentes al módulo en un directorio común. cp Makefile /home/grupovoip/snmp/dlmod/ cp nstAgentPluginObject.c /home/grupovoip/snmp/dlmod/ cp nstAgentPluginObject.h /home/grupovoip/snmp/dlmod/ Ejecutar el comando make para compilar dicho módulo. Como resultado se obtiene un archivo con extensión .so que será cargado mediante la directiva dlmod descrita más adelante. make nstAgentPluginObject.so Copiar la especificación del objeto MIB en el directorio /usr/share/snmp/mibs y ası́ acceder a él a través de su OID textual. cp NET-SNMP-TUTORIAL.txt $NETSNMPDIR/share/snmp/mibs/ Este punto se debe realizar principalmente en la entidad SNMP que realizará las consultas al objeto descrito por dicho módulo, es decir, en la estación de administración encargada de este agente. Para que pueda ser reconocido por el sistema es necesario exportar el nuevo valor de la variable de entorno MIBS. Para sistemas Linux la lı́nea de comandos requerida es la siguiente: export MIBS=all ∴ dlmod nombre ruta Esta directiva permite cargar el módulo MIB especificado mediante ruta (debe incluir la ruta y el nombre completo) bajo el nombre especificado por NOMBRE. dlmod nstAgentPluginObject ∼/snmp/dlmod/nstAgentPluginObject.so 56 5. Net-SNMP Open Source SNMP System 5.2.2. Creación de Usuarios SNMPv3 Para activar un usuario descrito en el archivo de configuración snmpd.conf (directivas: rouser, rwuser y com2sec) se debe incluir una directiva createUser aunque no tenga asignado ninguna contraseña. La sinopsis para esta directiva es la siguiente: ∴ createUser [-e engineid] username [md5|sha] authpassphrase [des|aes] [privpassphrase] Para la autentificación se pueden usar los protocolos md5 o sha. En caso de privacidad las alternativas son: des y aes. Si no se especifica la clave de privacidad, se asume que es la misma que para la autentificación. Los usuarios creados sólo serán usados siempre y cuando sean agregados a las tablas de control de acceso vacm descritas mas adelante. Si se desea usar los protocolos sha para autentificación y/o des/aes para privacidad se necesita la previa instalación de las librerı́as de OpenSSL. El tamaño mı́nimo de caracteres aceptados es de 8 tanto para la clave de autentificación como para privacidad. Por seguridad esta directiva debe ir en el archivo de configuración persistente ubicado en /var/net-snmp/snmpd.conf. La información que es leı́da desde este archivo es eliminada (eliminando el repositorio del administrador de contraseñas para ese usuario) y reemplazada por una llave derivada de ella, la cual recibe el nombre de llave localizada, de esta manera si es robada no puede ser usada para acceder a otros agentes. En cambio si la contraseña es robada si se puede tener acceso. Para localizar un usuario a través de un determinado ID (engineID) (es comúnmente usada en snmptrapd.conf), se usa la opción -e especificando su valor en hexagesimal (ej: ”0x01020304”). createUser pc120encrypter MD5 snmpencrypted DES snmpencrypted Para las llaves localizadas privadas (des/aes) se espera que tengan el largo necesario por el algoritmo (128 bits para todos los algoritmos soportados). En cambio las claves maestras localizadas necesitan tener el largo requerido por el algoritmo de autentificación y no el largo requerido por los algoritmos de encriptación (md5: 16 bytes, sha: 20 bytes). 57 5. Net-SNMP Open Source SNMP System 5.2.3. Inicio del Agente SNMP Una vez que configurado todo correctamente, es tiempo de iniciar la aplicación. Es importante recordar que el objetivo de esta implementación es administrar remotamente los servicios de telefonı́a IP en una central IP-PBX a través de su agente SNMP, por lo que antes de iniciar sus servicios, es necesario configurar el subagente SNMP disponible dentro de la aplicación Asterisk y tiene como función responder a consultas sobre los servicios entregados por la aplicación. Una vez finalizado ese proceso, se puede dar inicio a los servicios de ambas aplicaciones para establecer la conexión entre agente y subagente SNMP a través del protocolo AgentX. 5.3. Configuración para Receptor de Notificaciones SNMP Si en la sección 5.2 se describieron las distintas posibilidades que ofrece el agente NetSNMP para el envı́o de notificación, esta sección aborda los aspectos de configuración para la recepción de éstas notificaciones que forma parte de las principales funciones de una estación de administración. 5.3.1. Funcionamiento del Mecanismo de Notificaciones El uso de notificaciones mediante los protocolos SNMPv1 y SNMPv2c es sencillo, puesto que el mensaje es mostrado tal cual al receptor. Sin embargo, en SNMPv3 es diferente, se hace uso de autentificación mediante nombre de seguridad y contraseña para iniciar la comunicación con el proceso receptor de notificaciones. Entonces se requiere incluir previamente en la base de datos de usuarios aquellos de los cuales está permitido recibir notificaciones. Generalmente, un usuario queda identificado mediante su nombre de seguridad y el engineID del receptor de notificaciones. Para usar el resto de las aplicaciones incluı́das en el paquete Net-SNMP (snmpget, snmpwalk...), éstas descubren el engineID remoto e introducen en la base de datos de usuarios asociada a este engineID el nombre de usuario, el engineID y la contraseña. El mecanismo de informes para SNMPv3 opera con este principio. Cuando se envı́a un informe mediante snmptrap se usa el engineID remoto, y la combinación de este valor más el nombre de seguridad deben existir en la tabla de usuarios remota. El programa snmptrap detectará el engineID remoto y creará un mensaje SNMPv3 adecuado para el informe que se envı́a. 58 5. Net-SNMP Open Source SNMP System Para el envı́o de traps SNMPv3 es diferente, ya que este tipo de notificación utiliza el engineID del agente (quien envı́a el mensaje), en vez de la estación (aquel que recibe el trap). Esto quiere decir que al crear usuarios en la estación receptora, se debe especificar su engineID, teniendo ası́ un usuario por cada agente que se quiere recibir traps. El proceso de creación será descrito en detalle en la sección 5.3.3. 5.3.2. Demonio snmptrapd La aplicación que permite la recepción de notificaciones es el demonio snmptrapd. Se ejecuta como un servicio más del sistema requiriendo privilegios de superusuario para manipularlo, y por defecto escucha en el puerto UDP 162. Una de las caracterı́sticas que tiene este demonio, es que al momento de su inicio se pueden agregar opciones para su configuración (ejecutar snmptrapd --help para una descripción más precisa). Sin embargo esta configuración no se grabará para futuras ejecuciones por lo que se recomienda hacerlo a través de su archivo de configuración snmptrapd.conf. Para esta implementación se editó el archivo snmptrapd.conf ubicado en el directorio $netsnmpdir/etc/snmp/. El archivo snmptrapd.conf es especı́fico para el receptor, y contiene una serie de directivas que describen su comportamiento en diferente aspectos. Para esta implementación el receptor de notificaciones sólo tiene la función de registrar aquellas notificaciones que recibe desde la central IP-PBX 3 usando el máximo nivel de seguridad permitido en SNMPv3. A continuación se describen sólo aquellas directivas usadas y el resto de ellas pueden ser revisadas en la documentación de Net-SNMP disponible en su sitio oficial. Comportamiento del Demonio ∴ snmpTrapdAddr [<transport-specifier>:] <transport-address> [, ...] Define una lista de direcciones, por las cuales puede recibir notificaciones SNMP. Por defecto se considera el puerto 162 para escuchar todas las interfaces IPv4. Pero cabe destacar que en la versión usada y en las anteriores se debe especificar el número de puerto al momento de usar el comando snmptrap o snmpniform por el agente para enviar una notificación. ∴ doNotRetainNotificationLogs yes Deshabilita el soporte para notification-log-mib. Normalmente el demonio mantiene un registro de las notificaciones recibidas, que puede ser obtenido consultando las tablas nlmLogTable y nlmLogvariableTable. doNotRetainNotificationLogs yes 59 5. Net-SNMP Open Source SNMP System Control de Acceso Desde la versión 5.3 es necesario definir reglas de seguridad para el envı́o de traps e informes (y qué tipo de procesamiento es permitido). Se usa una extensión del modelo VACM, descrita en la configuración del agente SNMP. Actualmente existen 3 tipos de procesamientos que son especificados en la Tabla 5.2. Tabla 5.2: Tipos de procesamientos para modelo VACM Tipo log execute net Descripción registra la notificación recibida en un archivo especificado, salida estándar (o estándar de error), o vı́a syslog. la notificación es enviada como argumento a una aplicación externa. adelanta el mensaje a otro receptor de notificaciones. En las siguientes directivas, types será una lista separada por una ’,’ de uno o más tipos definidos en la Tabla 5.2. Comúnmente, se usa log, execute, net para cubrir cualquier tipo de procesamiento, pero perfectamente se puede limitar a ciertos tipos de procesamiento. ∴ authUser types [-s model] user [level [oid | -v view]] Autoriza notificaciones SNMPv3 desde un usuario especificado para efectuar los tipos de procesamiento listados. Por defecto, la estación aceptará consultas autentificadas (nivel de seguridad authNoPriv o authPriv). level es usado para definir el nivel de seguridad usado(noauth, auth, priv). oid (o -v view) permite filtrar aquellos objetos MIB que serán procesados. nota: view está relacionada solo con el valor de snmpTrapOID de la notificación de entrada y no a los datos de los varbinds adjuntados dentro de la notificación. A continuación se define la regla de recepción que permite a la estación recibir traps v3 desde la central IP-PBX 3, con un nivel de seguridad authPriv. Los traps recibidos a través de este usuario pueden ser registrados o enviados a un programa externo, pero no adelantados por la red a otra estación de administración. authUser log,execute -s usm pc120encrypter priv 60 5. Net-SNMP Open Source SNMP System Formato y Registro de Notificaciones Mediante las siguientes directivas se puede modificar el formato a las notificaciones recibidas en la estación. Puede usarse para especificar los campos y el orden de las notificaciones que serán mostradas. ∴ format2 format Especifica el formato usado para registrar notificaciones SNMPv2c. Cabe destacar que SNMPv2c y SNMPv3 usan el mismo formato PDU SNMPv2. ∴ logOption string Especifica el destino de los registros para los traps recibidos hacia la salida estándar, estándar de error, un archivo especı́fico o vı́a syslog. logOption s 0 La opción “s 0” indica que las notificaciones serán enviadas al demonio syslogd a través del subsistema local0 [15]. Luego para que todos los registros de notificaciones sean redireccionados a la consola Linux tty1 es necesario editar el archivo de configuración de este demonio (syslog.conf) agregando las siguientes lı́neas: local0.* /dev/tty1 ∴ outputOption string Especifica varias caracterı́sticas de como deben ser mostrados los oids y otros valores. outputOption s Procesamiento de Notificaciones En la sección anterior se mencionó que existen 3 alternativas para procesar una notificación, de las cuales solo se considerará el caso de registrar dichos mensajes ya que para esta implementación se cuenta con una sola estación de administración. 61 5. Net-SNMP Open Source SNMP System ∴ traphandle oid|default program [ARGS ...] Invoca un programa especı́fico (con los argumentos dados) cuando se recibe una notificación cuyo identificador es oid. Para notificaciones SNMPv2c y SNMPv3, oid será comparado con el valor de snmpTrapOID tomado de la notificación. Para un trap SNMPv1, tanto su valor genérico como el oid serán convertidos a un oid equivalente (valor numérico) siguiendo el RFC 2576. Tı́picamente, el oid tomado será el nombre (o oid numérico) del objeto notificationtype, y el programa será invocado para notificaciones que cumplan exactamente con el valor de oid (no como subárbol). Sin embargo existe el soporte para comparar ramas del árbol mediante el sufijo ’*’. Por ejemplo un oid de .1.3.6.1.4.1* se podrı́a efectuar el llamado a la aplicación para cualquier notificación que esté dentro de ese subárbol, incluyendo el valor exacto. En cambio un oid de .1.3.6.1.4.1.* trabaja de la misma manera considerando sólo notificaciones que están bajo ese subárbol. Si oid tiene el valor default el programa será invocado para cualquier notificación. Los detalles de la notificación son entregados a la aplicación por medio de la entrada estándar. Siempre se usará el formato de notificación de SNMPv2c, si tenemos traps SNMPv1 su formato será convertido mediante el RFC 2576 antes de ser pasados al programa. El formato de entrada es como se indica en la Tabla 5.3. Tabla 5.3: Formato de notificaciones para Net-SNMP campos hostname ipaddress varbinds descripción El nombre del host que envió la notificación, determinado por gethostbyaddr. Dirección IP del host que envió la notificación. Una lista de varbinds describiendo el contenido de la notificación, uno por lı́nea. El primer token de cada lı́nea (hasta el primer espacio) es el oid del varbind, y el resto de la lı́nea corresponde a su valor. El formato del varbind se controla mediante la directiva outputOption. El primer oid siempre deberı́a ser SNMPv2-MIB::sysUpTime.0, y el segundo SNMPv2MIB::snmpTrapOID.0. El resto de las lı́neas contiene un lista de varbinds. Para traps SNMPv1, el oid final deberı́a ser SNMPv2MIB::snmpTrapEnterprise.0. Una alternativa para el registro de notificaciones en el sitio Web de administración es crear un script que registre las notificaciones de manera más sencilla, entendible por el administrador que no tiene gran conocimiento en el formato original. Además este script almacena los mensajes según la fecha de recepción en un archivo historial que luego será leı́do y visualizado por el sitio Web. 62 5. Net-SNMP Open Source SNMP System traphandle default /usr/local/rrdtool/trap.sh ∴ forward oid|default destination Adelanta las notificaciones que cumplen con el oid especificado a otro receptor de notificaciones ubicado en destination (dirección IP). La interpretación de oid (y default) es el mismo que para la directiva traphandle. 5.3.3. Creación de Usuarios SNMPv3 La creación de usuarios SNMPv3 en el demonio es idéntica a la configuración realizada en el agente. De igual forma, el uso recomendable de esta caracterı́stica es incluir las directivas de creación de usuarios en el archivo /var/net-snmp/snmptrapd.conf, con el fin de que no hayan archivos en el sistema que contengan los nombres de usuarios y contraseñas en texto plano. Los usuarios serán aquellos a los que recibirán notificaciones mediante el protocolo SNMPv3. ∴ createUser -e engineID username (md5|sha) authpassphrase [des|aes] El uso de esta directiva es idéntico a su homónimo para el fichero de configuración del agente, la única diferencia que para recibir traps SNMPv3 es necesario registrar el engineID de cada agente que tendrá permitido enviar notificaciones. Para obtener el engineID de un agente es necesario leer su archivo de configuración persistente (/var/net-snmp/snmpd.conf). La última lı́nea contiene la información en formato hexagesimal de su engineID, mostrando algo parecido a lo siguiente: oldEngineID 0x80001f88043031303230333034303530313230 Dicho valor debe ser agregado a la directiva createUser al momento de registrar al agente anteponiendo la opción -e tal como lo indica su formato. createUser -e 0x80001f88043031303230333034303530313230 \ pc120encrypter MD5 snmpencrypted DES snmpencrypted 63 Capı́tulo 6 Asterisk Open Source IP-PBX System Asterisk es un software de fuente abierta de un Voice Over IP PBX (IP-PBX) inicialmente creado por la empresa digium que proporciona los servicios, caracterı́sticas y funciones de una PBX tradicional, y funciona sobre el Sistema Operativo Linux. Asterisk implementa Voz sobre IP en varios protocolos y puede interactuar con equipos de telefonı́a PSTN estándar básicas usando un hardware de fácil instalación y configuración. Asterisk adicionalmente provee servicios de voicemail con directorios, conferencias, respuesta de voz interactivo IVR, llamadas en espera. Tiene el soporte de tres tipos de formas de llamadas: servicios de llamada con identificación, ADSI, SIP y H323. Asterisk apoya una amplia gama de protocolos TDM para el manejo y transmisión de interfaces de telefonı́a tradicional. Asterisk apoya el tipo de señalización estándar americano y europeo, permitiendo ser un nexo entre las redes integradas de datos de voz de siguiente generación y la infraestructura existente. Asterisk no sólo soporta a los equipos de telefonı́a tradicionales sino que también los habilita con capacidades adicionales. Asterisk provee una base central de conmutación, con 4 APIs para la carga modular de los usos de telefonı́a, interfaces del hardware, dirección del formato del archivo y CODECs, permite la conmutación transparente de todas las interfaces soportadas, permitiendo que enlacen una diversidad de combinaciones de sistemas de telefonı́a en una sola red. Asterisk fue originalmente escrito por Mark Spencer de DIGIUM, Inc. Los códigos fueron la contribución de algunas fuentes abiertas de todo el mundo y probando algunos bug-patches de la comunidad, ha provisto importante ayuda para el desarrollo de este software. 64 6. Asterisk Open Source VoIP PBX System Debido a que en la pagina oficial de Asterisk, http : //www.asterisk.org, se encuentran todos los manuales para la configuración e implementación del software como Central Telefónica IP, en este capı́tulo no se van detallar estos pasos, describiendo sólo las etapas necesarias para la instalación y configuración de la aplicación integrada con el módulo snmp necesario para esta implementación. 6.1. Instalación de Asterisk En el sitio oficial de Asterisk se pueden encontrar los paquetes con los archivos ejecutables para ciertos sistemas operativos o si se desea también está disponible el código fuente de esta aplicación. Debido a que este proyecto integra los servicios de telefonı́a IP y SNMP, es necesario utilizar una versión de asterisk que permita este desarrollo. El módulo SNMP de asterisk está disponible desde su versión 1.4, de la cual solo se puede acceder mediante su código fuente. Se recomienda leer los archivos de ayuda incluı́dos en el paquete descargado, y ası́ entender mejor los pasos que se describen a continuación: Descargar la aplicación y luego descomprimirla en un directorio cualquiera. En este caso, se utilizó su versión estable 1.4.4 dado que tiene integrada el módulo que permite actuar como subagente SNMP permitiendo ası́ una comunicación a través del protocolo AgentX con el agente configurado en la sección 5.2. Entrar en el directorio creado, y ejecutar el script de configuración configure, el cual chequeará nuestro sistema en busca de bibliotecas y paquetes que necesita el sistema para compilar el código. Además, permite incluir una serie de opciones de compilación que servirá para activar ciertas caracterı́sticas necesarias para la implementación. El script fue ejecutado con las siguentes opciones: ./configure --with-netsnmp=/usr/local/net-snmp \ --prefix=/usr/local/asterisk Las opciones usadas permiten activar el módulo SNMP que permite actuar como un subagente integrando el servicio de telefonı́a IP al sistema de administración remota, y especificar la ruta en donde será instalada la aplicación. Definir la ruta de instalación permite mantener un orden de la ubicación de los directorios y ası́ facilitar a futuro su proceso de desinstalación. La siguiente lı́nea de comandos permite obtener la lista completa de las opciones disponibles en el script: ./configure --help 65 6. Asterisk Open Source VoIP PBX System Compilar la aplicación para obtener los archivos ejecutables que serán usados en el proceso de instalación. make EL último paso es instalar los archivos ejecutables obtenidos en la ruta especificada, ejecutando como superusuario (root) la siguiente lı́nea de comandos: make install Finalmente se obtiene un conjunto de directorios que contienen las aplicaciones y archivos de configuración para Asterisk. Su ubicación va a depender de la ruta especificada al ejecutar el script configure mediante la opción --prefix. Desde este momento la variable $asteriskdir describe la ruta de instalación de Asterisk, y que para esta implementación fue definida en /usr/local/asterisk. Cabe destacar que durante el proceso de instalación de Asterisk sus archivos de configuración no son creados por defecto en el directorio /etc/asterisk, y permiten definir las distintas capacidades según a la realidad del servicio que se quiere prestar. La alternativa más simple y rápida es ejecutar dentro del directorio fuente de Asterisk el script make samples para copiar los archivos de configuración que vienen por defecto con la aplicación. El módulo de SNMP es cargado correctamente siempre y cuando obtenga del sistema las librerı́as de Net-SNMP, para esto es necesario describirle la dirección en donde residen. Por defecto Asterisk lee del directorio /usr/lib, pero dado que Net-SNMP fue instalado mediante código fuente su ubicación es otra. Entonces una solución simple es crear ligas hacia su actual ubicación ($netsnmpdir/lib). El comando Linux para realizar este tipo de operación es ln. A continuación se indican las lı́neas de comandos que deben ser ejecutadas como root y en el directorio /usr/lib para las cuatro librerı́as requeridas por Asterisk. ln ln ln ln -s -s -s -s $netsnmpdir/lib/libnetsnmpmibs.so.14 libnetsnmpmibs.so.14 $netsnmpdir/lib/libnetsnmpagent.so.14 libnetsnmpagent.so.14 $netsnmpdir/lib/libnetsnmphelpers.so.14 libnetsnmphelpers.so.14 $netsnmpdir/lib/libnetsnmp.so.14 libnetsnmp.so.14 66 6. Asterisk Open Source VoIP PBX System 6.2. Configuración del Subagente SNMP Las funciones de Asterisk sobre SNMP, pueden ser realizadas como agente o subagente, en donde este último permite comunicarse con un agente maestro a través del protocolo AgentX. Los objetos MIB que tiene disponible son especı́ficos para el servicio que entrega la central IP-PBX, no integrando otros servicio que pueden ser de interés ası́ como tráfico, estado del hardware, etc. Los objetivos de esta implementación hacen necesaria su configuración como subagente SNMP y ası́ cuando la estación consulte sobre el servicio de telefonı́a IP sea éste el que responda a través del agente. Para definir este comportamiento es necesario editar el archivo de configuración descomentando las lı́neas dentro de la sección general, como lo indica el siguiente ejemplo: [general] subagent yes enabled yes El siguiente paso es configurar el conjunto de reglas que permitirán la integración con las centrales IP-PBX 1 y 2 disponibles en el Departamento de Electrónica. Para ello las siguientes secciones describen en detalle los archivos de configuración que cumplen esta función. 6.2.1. Usuarios SIP La red existente tiene la propiedad de comunicar a los usuarios a través del protocolo de señalización sip. Entonces para agregar la central IP-PBX 3 es necesario que sus usuarios registrados cumplan con el mismo protocolo. Los usuarios sip deben ser creados en el archivo de configuración sip.conf, en donde es posible determinar un sin fin de caracterı́sticas que permitirán un mejor uso del servicio. En este archivo se debe especificar tanto los segmentos de red internos como las direcciones IPs que son permitidas para registrarse en el sistema. Además de puede especificar los codec soportados por el sistema y el contexto en el cual se procesan las llamadas SIP. Este contexto permite agrupar las llamadas en grupos, para aplicarles ciertas caracterı́sticas o servicios, ası́ también se puede especificar y ordenar las llamadas provenientes de distintos lugares. A continuación se describe la configuración usada para esta implementación: 67 6. Asterisk Open Source VoIP PBX System [general] port = 5060; puerto por el cual se~ naliza SIP bindaddr = 192.168.28.120; dirección del servidor de registro disallow = all; se deshabilitan todos los codecs allow = ulaw; se permite el codec ulaw allow = alaw; se permite el codec alaw context = atmlab; contexto por el cual se envı́an las llamadas SIP conocidas [802] type=friend; peer|user|friend: tipo de usuario SIP. secret=802; contrase~ na del usuario. username=802; medio de autentificación para cliente SIP. host=dynamic; dominio o nombre para el servidor SIP. context=from-internal; nombre del contexto para llamadas de entrada y salida. nat=no; canreinvite=no; [prueba] type=peer; host=192.168.28.125; context=from-internal; El usuario prueba permite establecer una conexión con la central IP-PBX 2 cuya dirección IP es 192.168.28.125, y ası́ intercambiar llamadas con sus usuarios registrados. De manera similar se creó un usuario sip en la central IP-PBX 2 también de tipo peer para atender llamados desde esta central [14]. Por otra parte, el usuario 802 representa un cliente que puede hacer o recibir llamadas de otros usuarios registrados. 6.2.2. Creación del Dialplan El archivo extensions.conf contiene el dialplan de Asterisk, conocido como el plan maestro de control para todas sus operaciones. Define como serán manejadas y enrutadas las llamadas de entrada y salida, es decir, se define el comportamiento de todas las conexiones a través de la central IP-PBX. El siguiente paso es crear las extensiones sip necesarias para permitir la comunicación entre las centrales IP-PBX 2 y 3, y además entre los usuarios internos registrados. 68 6. Asterisk Open Source VoIP PBX System [general] static=yes; writeprotect=yes; [from-internal] include ruta; include ext-local; [ruta] exten 9XX,1,Dial(SIP/prueba/$EXTEN,30,r); exten 9XX,2,Congestion; [ext-local] exten 8XX,1,Dial(SIP/$EXTEN,30,r); exten 8XX,2,Congestion; Después de la categorı́a [general], el resto del archivo contiene la definición del Dialplan. En este caso se definen 3 contextos de los cuales from-internal incluye el conjunto de extensiones de ruta y ext-local. El contexto ruta define que toda llamada de entrada dirigida a un anexo de 3 dı́gitos que empiece con 9, será redirigida a la central IP-PBX 2. En cambio el contexto ext-local define que toda llamada de entrada dirigida a un anexo de 3 dı́gitos que empiece con 8, será contestada por un usuario interno. En ambos contextos si la comunicación falla entonces el usuario será conectado a una operadora que le indicará que la llamada no se pudo establecer. 6.2.3. Asterisk CLI Asterisk en su instalación incluye una interfaz de comando llamada CLI (Command line Interface), la cual permite manejar la central en forma completa y hacer debugging del sistema por linea de comando. Para acceder a CLI se debe ejecutar la siguiente lı́nea de comandos: 69 6. Asterisk Open Source VoIP PBX System [root@BIONICO ∼]# asterisk -r Asterisk 1.4.4, Copyright (C) 1999 - 2006 Digium, Inc. and others. Created by Mark Spencer <marksterdigium.com> Asterisk comes with ABSOLUTELY NO WARRANTY; type ’core show warranty’ for details. This is free software, with components licensed under the GNU General Public License version 2 and other licenses; you are welcome to redistribute it under certain conditions. Type ’core show license’ for details. ========================================================================= == Parsing ’/etc/asterisk/asterisk.conf’: Found == Parsing ’/etc/asterisk/extconfig.conf’: Found Connected to Asterisk 1.4.4 currently running on BIONICO-Server (pid = 7076) Verbosity was 0 and is now 3 pbx-BIONICO*CLI Dos ejemplos de comando de CLI son: 1. sip show users: muestra desde la base de datos del sistema la información de los usuarios registrados, incluyendo anexo, clave de registro y contexto para sus llamadas. 2. sip show settings: especifica todas las configuraciones que están funcionando actualmente en el sistema. El resultado obtenido al ejecutar estos dos comandos es el siguiente: pbx-BIONICO*CLI sip show users Username 802 Secret 802 Accountcode Def.Context from-internal 70 ACL No NAT RFC3581 6. Asterisk Open Source VoIP PBX System pbx-BIONICO*CLI sip show settings Global Signalling Settings: --------------------------Codecs: Codec Order: T1 minimum: Relax DTMF: Compact SIP headers: RTP Keepalive: RTP Timeout: RTP Hold Timeout: MWI NOTIFY mime type: DNS SRV lookup: Pedantic SIP support: Reg. min duration Reg. max duration: Reg. default duration: Outbound reg. timeout: Outbound reg. attempts: Notify ringing state: Notify hold state: SIP Transfer mode: Max Call Bitrate: Auto-Framing: 0xc (ulaw|alaw) ulaw:20,alaw:20 100 No No 0 (Disabled) 0 (Disabled) 0 (Disabled) application/simple-message-summary No No 60 secs 3600 secs 120 secs 20 secs 0 Yes No open 384 kbps No Default Settings: ----------------Context: Nat: DTMF: Qualify: Use ClientCode: Progress inband: Language: MOH Interpret: MOH Suggest: Voice Mail Extension: from-internal RFC3581 rfc2833 0 No Never (Defaults to English) default asterisk 71 6. Asterisk Open Source VoIP PBX System 6.2.4. Softphone X-lite Para efectuar pruebas de comunicación entre clientes dentro de la red IP, se utiliza el softphone X-lite, la versión libre de la empresa CounterPath y que puede ser instalada en los sistemas operativos Windows, Mac OSX y Linux. En la opción Configuración Avanzada, se debe ingresar el sip proxy y los parámetros de usuario para su registro en el servidor, como se puede apreciar en la Figura 6.2.4, donde se ha configurado al usuario cuyo anexo es el 802 y pertenece al servidor de registro configurado previamente cuya dirección IP.es 192.168.28.120. Figura 6.1: X-lite, configuración de parámetros SIP La ventana mostrada en la Figura 6.2.4 se encuentra en Menú → System Setting → Sip Proxy, de las opciones del softphone. Una vez aceptado los cambios, en la ventana principal del softphone aparecerá un mensaje de registrado, tal como se puede apreciar en la Figura 6.2.4. Figura 6.2: X-lite, Ventana principal 72 6. Asterisk Open Source VoIP PBX System 6.2.5. Iniciación de Servicios Una vez finalizado el proceso de configuración tanto para la aplicación Asterisk como para el agente Net-SNMP, se puede dar comienzo a dichas aplicaciones. Cabe destacar que existe un cierto orden de ejecución entre los servicios de administración y de telefonı́a IP, para establecer la conexión vı́a protocolo AgentX entre maestro y subagente. Los pasos que se listan a continuación fueron efectuados en un sistema Linux como Debian Etch, y deben ser respetados en el mismo orden como se encuentran: Detener el servicio de Telefonı́a IP a través de su demonio asterisk, sólo si previamente fue iniciado. [root@BIONICO ∼]# /etc/init.d/asterisk stop Detener el agente Net-SNMP a través de su demonio snmpd, sólo si previamente fue iniciado. [root@BIONICO ∼]# /etc/init.d/snmpd stop Iniciar la aplicación de Asterisk, y luego al agente Net-SNMP. [root@BIONICO ∼]# /etc/init.d/asterisk start [root@BIONICO ∼]# /etc/init.d/snmpd start El siguiente paso serı́a comprobar que ambos servicios estén funcionando correctamente. Un camino simple serı́a comprobar que el proceso correspondiente para cada aplicación esté activo, para ello se hace uso del comando Linux ps, dando el siguiente resultado: [root@BIONICO ∼]# ps -C asterisk PID TTY TIME CMD 3024 ? 00:00:09 asterisk [root@BIONICO ∼]# ps -C snmpd PID TTY TIME CMD 2750 ? 00:01:20 snmpd nota: En caso que no se obtenga respuesta es porque se generaron fallas en su ejecución y fueron canceladas. Para revisar cuales son las causas del problema es recomendable leer el archivo de registros que tiene cada aplicación. Finalmente se recomienda comprobar que la conexión entre agente y subagente SNMP se haya establecido. En el archivo de registros de Net-SNMP se muestra el 73 6. Asterisk Open Source VoIP PBX System estado de la conexión AgentX cada vez que la aplicación es iniciada. [root@BIONICO ∼]# cat /var/log/snmpd.log Turning on AgentX master support. NET-SNMP versión 5.4.1.pre1 En secciones anteriores se hizo incapié que tanto Asterisk como Net-SNMP no tienen la posibilidad de ser iniciados como servicios del sistema. En el caso de Asterisk contiene un script que puede ser ejecutado sólo en distribuciones RedHat para Linux, pero para el resto no es aplicable. Para dar simpleza al control de estas aplicaciones fue necesario registrar los demonios snmpd, snmptrapd y asterisk como servicios del sistema1 . 1 Apéndice A: Servicios para Linux: asterisk, snmpd y snmptrapd 74 Capı́tulo 7 Resultados y Conclusión 7.1. Resultados La integración de un sistema de administración remota a través de Net-SNMP y una red de telefonı́a IP servida por 3 IP PBX Asterisk propuesta en los objetivos da como resultado el esquema de red que representa la Figura 7.1. Figura 7.1: Esquema Final de un Sistema de Administración para una Red de Telefonı́a IP 75 7. Resultados y Conclusión La red construida permite dar servicios de telefonı́a IP a todo el Departamento de Electrónica a través de las centrales IP-PBX 1 y 2. Como resultado de este proyecto se integró un tercer servidor de prueba para estudiar la posibilidad de implementar un sistema de administración remota SNMP. La central IP-PBX 3 es monitoreada por la estación de administración NMS-ELO01 sobre un conjunto de servicios como tráfico, uso de los canales asterisk, hardware, entre otros. 7.1.1. Resumen sobre configuraciones Las Tablas 7.1, 7.2 y 7.3 describen la configuración de las IP PBX y el servidor de administración SNMP. Además se definen las reglas de marcado usadas para acceder a los distintos tipos de anexos, dependiendo de la ubicación en que se encuentren. Tabla 7.1: Resumen de Configuraciones para IP-PBX 2 Nombre: Dirección IP: LAN interna: Rango de Anexos: Anexos de Prueba: Puerto FXO: Puerto FXS: Asterisk ip-pbx 2 ippbx-pstn 192.168.28.0/24 192.168.28.125 4900 a 4999 200, 900 Anexo UTFSM 4093 Anexo ZAP 4910 reglas de marcado ? Para acceder a clientes registrados en IP-PBX 1 marcar un anexo entre 4800 y 4899, por ejemplo 4804. ? Para acceder a clientes internos en IP-PBX 2 marcar un anexo entre 4900 y 4999, por ejemplo 4910. ? Para acceder a clientes registrados en IP-PBX 3 marcar un anexo entre 800 y 899, por ejemplo 802. ? Para acceder a clientes internos UTFSM marcar el anexo correspondiente, por ejemplo 4759. ? Para acceder a clientes internos a la PSTN anteponer “0” para acceder al troncal FXO y “9” para que la central permita la salida hacia la PSTN, luego se debe marcar el número al que se desea llamar, por ejemplo 0-9-833004. 76 7. Resultados y Conclusión Tabla 7.2: Resumen de Configuraciones para IP-PBX 3 Nombre: Dirección IP: LAN interna: Rango de Anexos: Usuario SNMPv3: Monitor DisMan: Asterisk ip-pbx 3 ippbx-snmp 192.168.28.0/24 192.168.28.120 800 a 802 pc120encrypter root reglas de marcado y SNMP ? Para acceder a anexos de prueba en ip-pbx 2 marcar anexo 900. ? Para acceder a clientes internos ip-pbx 3 marcar un anexo entre 800 y 899, por ejemplo 802. ? El subagente SNMP en Asterisk está conectado a su agente maestro a través del protocolo AgentX en el socket var/agentx/master con permisos para el usuario root del sistema. ? Todas las consultas sobre el servicio asterisk son respondidas por el subagente, el cual envı́a las respuesta a su agente maestro y luego éste las adelanta a la estación nms-elo01. ? El agente maestro monitorea cada 5 min. por posibles fallas en el servicio asterisk mediante el usuario root. Una vez encontrada una anormalidad se envı́a una notificación a la estación nms-elo01 para que tenga constancia del hecho. Tabla 7.3: Resumen de Configuraciones para NMS-ELO01 Nombre: Dirección IP: LAN interna: Consultas a: Notificaciones de: Estación nms-elo01 pcmag21 192.168.28.0/24 192.168.28.101 ip-pbx 3 ip-pbx 3 reglas de SNMP ? La estación solo recibe traps SNMPv3 desde usuarios registrados y que pertenecen a la red 192.168.28.0/24. En este caso el único usuario registrado es pc120encrypter perteneciente a IP-PBX 3. ? Todo trap enviado desde IP-PBX 3 es registrada en el archivo /var/log/snmptrapd.log y enviada a consola (tty1) mediante syslog. ? Con el fin de generar gráficos de estadı́sticas para ciertos servicios de ip-pbx 3 se hacen consultas SNMPv3 a través del usuario pc120encrypter registrado por el agente SNMP. 77 7. Resultados y Conclusión 7.1.2. Estadı́sticas en IP-PBX 3 a través de SNMP Los beneficios del protocolo SNMP, es que se pueden hacer consultas remotas con el fin de generar estadı́sticas sobre servicios de interés, todo dependiendo del tipo de equipo que se está administrando. En este caso se refiere a una central IP-PBX, por lo que los principales aspectos a analizar tienen relación con el estado de su hardware y a los servicios de comunicación entregados. Estos aspectos se relacionan directamente con cierto objetos MIB los cuales son descritos en detalle en la Tabla 7.4. Tabla 7.4: Descripción del Plan de Monitoreo Servicios análisis de Tráfico Ethernet Uso de Canales Asterisk tabla mib inEntry asteriskChannels objetos ifInOctets.2, ifOutOctets.2 astNumChannels.0, astChanTypeChannels.1-9 Hardware análisis de Temperatura Carga Promedio Memoria en Uso tabla mib lmTempSensors laTable memory objetos lmTempSensorsValue.1-3 laLoadInt.1-3 memTotalSwap, memTotalReal, memAvailSwap, memAvailReal, Buffer, Cached. En la actualidad existen muchas herramientas para la generación de gráficos en tiempo real, ası́ como MRTG, Cacti, entre otras. En este caso se hizo uso de RRDTool, un sistema que permite almacenar y representar datos en intervalos temporales (ancho de banda, temperatura, etc.). La forma en que almacena los datos es a través de una base de datos que no crece en el tiempo, aún cuando se pueden guardar valores históricos (mensuales, anuales, etc) para luego generar gráficos y conocer el comportamiento a largo plazo de un determinado servicio. A continuación se hace una descripción de los resultados obtenidos por servicio monitoreado en la central IP-PBX 3 para un periodo de 4 horas, almacenando muestras cada 5 min mediante consultas SNMPv3 desde NMS-ELO01. 78 7. Resultados y Conclusión Tráfico Ethernet La Figura 7.2 muestra el comportamiento del ancho de banda de entrada y salida medido en bytes/sec a la interfaz de red eth0 de la central IP-PBX 3, cuya dirección IP es 192.168.28.120. Esta información se obtiene midiendo el cambio temporal de la cantidad total de bytes de entrada y salida consultada de los objetos MIB ifInOctets.2 y ifOutOctets.2, respectivamente. Figura 7.2: Análisis de Tráfico Ethernet para IP-PBX 3 Cabe destacar que RRDTools, permite obtener datos de relevancia, ası́ como el valor actual, máximo y promedio de la medición realizada durante el periodo de tiempo que está considerando. A demás tiene muchas opciones que facilitan el análisis posterior de las estadı́sticas realizadas. Uso de Canales Asterisk El análisis propuesto para esta etapa consiste en medir el número total de canales activos que tiene Asterisk en un tiempo determinado. Para ello el MIB integrado a Asterisk contiene información esencial sobre el uso de los diferentes tipo de canal disponibles. Por una parte el objeto MIB astNumChannels.0 permite conocer el número total de canales en uso (vista general), en cambio del objeto astChanTypeChannels.1 al astChanTypeChannels.9 se entrega el detalle para cada tipo de canal. La Tabla 7.5 describe los 9 tipos de canal que Asterisk dispone, aunque cabe destacar que para esta implementación sólo se dispone del canal SIP. 79 7. Resultados y Conclusión Tabla 7.5: Tipos de canales disponibles en Asterisk canal Agent Skinny Console Phone IAX2 Feature Local SIP MGCP descripción Call Agent Proxy Channel Skinny Client Control Protocol (Skinny) OSS Console Channel Driver Standard Linux Telephony API Driver Inter Asterisk eXchange Driver (Ver 2) Feature Proxy Channel Driver Local Proxy Channel Driver Session Initiation Protocol (SIP) Media Gateway Control Protocol (MGCP) La Figura 7.3 representa el estudio realizado para el uso de canales sip y iax2, debido a que en los otros casos no se dispone del hardware necesario para realizar dichas mediciones. Estos dos protocolos de señalización son simples en cuanto a arquitectura fı́sica, pueden ser probados a través de softphones que para este caso se realizaron llamadas entre usuarios registrados en las centrales IP-PBX 2 y 3. Figura 7.3: Análisis de Uso de Canales Asterisk para IP-PBX 3 Unidad de Procesamiento Central (CPU) Para analizar esta componente se consideraron dos caracterı́sticas fundamentales, las cuales son: carga de procesamiento y temperatura. La carga de la CPU se mide en porcentaje y corresponde a valores promedios: 1, 5 y 10 min, de los cuales son obtenidos a través de los objetos MIB laLoadInt.1, laLoadInt.2 y laLoadInt.3 respectivamente, y se representan en la Figura 7.4. 80 7. Resultados y Conclusión Figura 7.4: Análisis de Carga Promedio en CPU para IP-PBX 3 Otra caracterı́stica medible desde la CPU es su temperatura, para ello fue necesario cargar dinámicamente el módulo MIB lm-sensors que contiene toda la información necesaria además de otras que fueron usadas pero que no serán detalladas en este documento. Además de la CPU también es posible medir la temperatura de la placa madre, la cual también fue agregada al análisis. De esta manera los objetos MIB lmTempSensorsValue.1 y lmTempSensorsValue.2 contienen los valores de temperatura de la placa madre y CPU respectivamente, tal como muestra en la Figura 7.5. Figura 7.5: Análisis de Temperatura para IP-PBX 3 81 7. Resultados y Conclusión Uso de Memoria La memoria en uso se refiere a la memoria fı́sica que puede estar siendo ocupada en diversas funciones. En este análisis se pretende considerar los usos más generales, entre los cuales están: uso real, buffers, caché, y memoria swap. la Tabla 7.6 describe aquellos objetos MIB necesarios para dicho análisis. Tabla 7.6: Objetos MIB para análisis de memoria en uso objeto memTotalReal memAvailReal memBuffer memCached memTotalSwap memAvailSwap descripción Total de memoria real/fı́sica en el equipo. Memoria real/fı́sica disponible actualmente. Memoria real o virtual usada actualmente para buffers. Memoria real o virtual usada actualmente como memoria caché. Total de memoria swap configurada en el equipo. Memoria swap disponible actualmente. La Figura 7.6 describe el uso de memoria fı́sica del servidor, considerando solo aquellos que tienen mayor importancia a la hora de generarse fallas. Figura 7.6: Análisis de Memoria en Uso para IP-PBX 3 82 7. Resultados y Conclusión 7.1.3. Reconocimiento de Fallas en Central IP-PBX 3 En el capı́tulo 5 se describió la configuración realizada al agente y la estación SNMP, en donde se determinaron las reglas de envı́o y recepción de notificación. En esta sección se entregarán los resultados obtenidos sobre las pruebas realizadas a dichas configuraciones, las cuales tienen como objetivo informar a la estación NMS-ELO01 en caso de una determinada falla y sólo procesarlas a través de registros. En el archivo de configuración del agente snmpd.conf se indicaron las reglas de monitoreo DisMan, las cuales consistı́an en analizar 4 aspectos fundamentales en base a sus respectivos objetos MIB, descritos en la Tabla 5.1. El agente SNMP en la central IP-PBX 3 periódicamente realiza el análisis de las reglas monitor de su archivo de configuración, el cual puede ser observado a través de su modo depuración (snmpd -Lo -f -Ddisman) cuando éste es iniciado. A continuación se muestra la salida estándar obtenida para un ciclo de tiempo en que realiza dicho análisis. disman:event:trigger:monitor: Running trigger disman:event:delta: Bool comparison: (0 != 0) disman:event:trigger:monitor: Running trigger disman:event:delta: Bool comparison: (0 != 0) disman:event:delta: Bool comparison: (0 != 0) disman:event:delta: Bool comparison: (0 != 0) disman:event:trigger:monitor: Running trigger disman:event:trigger:monitor: Running trigger (memory) 0 (laTable) 0 0 0 (lmtempmotherboard) (lmtempcpu) Con el fin de informar sobre los datos obtenidos por la estación debido a un incumplimiento de las reglas monitor en el agente SNMP, se describirá el caso en que se genera una notificación por una falla de autentificación en una consulta realizada a dicho agente. Fallas de Autentificación En el caso que la central IP-PBX 3 es consultada con un usuario SNMPv3 incorrecto, ya sea nombre de seguridad o contraseña, entonces el agente inmediatamente da aviso a la estación NMS-ELO01 que hubo una falla de autentificación a través de una notificación de tipo trapv3. A continuación se describe la consulta errónea que activa la regla authtrapenable 1 definida en el archivo de configuración del agente. snmpwalk -v 3 -u pc120encrypter -l authpriv -a MD5 -A snmpencrypte \ -x DES -X snmpencrypted 192.168.28.120 sysDescr.0 83 7. Resultados y Conclusión Luego el trap recibido por la estación adjunta el objeto MIB snmpTrapOID.0 cuyo valor es authenticationFailure de esta manera le indica que el agente recibió una consulta con identificación fallida adjuntándole información de tiempo para conocer el momento en que ocurrió (sysUpTimeInstance). Esto se puede apreciar a través del demonio snmptrapd ejecutándolo en modo depuración (snmptrapd -Lo -Ddumph recv, dumpv recv) como se muestra en el siguiente cuadro: dumph_recv: SNMPv3 Message dumph_recv: SNMP Versión Number Integer: 3 (0x03) dumph_recv: msgGlobalData dumph_recv: msgID Integer: 1566513010 (0x5D5F1772) dumph_recv: msgMaxSize Integer: 65507 (0xFFE3) dumph_recv: msgFlags String: . dumph_recv: msgSecurityModel Integer: 3 (0x03) dumph_recv: SM msgSecurityParameters dumph_recv: msgAuthoritativeEngineID String: .....01020304050120 dumph_recv: msgAuthoritativeEngineBoots Integer: 180 (0xB4) dumph_recv: msgAuthoritativeEngineTime Integer: 57859 (0xE203) dumph_recv: msgUserName String: pc120encrypter dumph_recv: msgAuthenticationParameters String: ..S4.Tc.M... dumph_recv: msgPrivacyParameters String: ....Iv&. dumph_recv: ScopedPDU dumph_recv: contextEngineID String: .....01020304050120 dumph_recv: contextName String: dumph_recv: TRAP2 dumpv_recv: Command TRAP2 dumph_recv: request_id Integer: 1050224183 (0x3E992637) dumph_recv: error status Integer: 0 (0x00) dumph_recv: error index Integer: 0 (0x00) dumph_recv: VarBindList dumph_recv: VarBind dumph_recv: Name ObjID: sysUpTimeInstance dumph_recv: Value UInteger: 5785301 (0x5846D5) dumph_recv: VarBind dumph_recv: Name ObjID: snmpTrapOID.0 dumph_recv: Value ObjID: authenticationFailure dumph_recv: VarBind dumph_recv: Name ObjID: snmpTrapEnterprise.0 dumph_recv: Value ObjID: netSnmpAgentOIDs.10 2007-07-03 11:49:59 192.168.28.120 [UDP: [192.168.28.120]:32846]: sysUpTimeInstance = Timeticks: (5785301) 16:04:13.01 \ snmpTrapOID.0 = OID: authenticationFailure \ snmpTrapEnterprise.0 = OID: netSnmpAgentOIDs.10 84 7. Resultados y Conclusión Según la configuración realizada para el agente, en su directiva trapsses las notificaciones enviadas corresponden a trap v3 cuyo nivel de seguridad es authPriv. Para comprobar que la información transmitida es encriptada tal como se configuró fue necesario el uso de una herramienta para captura de paquetes de red como ethereal, y basado en el ejemplo anterior el mensaje capturado contiene la siguiente información SNMP: No. Time Source Destination Protocol 4 3.777434 192.168.28.101 192.168.28.120 SNMP Simple Network Management Protocol msgVersion: snmpv3 (3) msgGlobalData msgID: 634424755 msgMaxSize: 65507 msgFlags: 07 .... .1.. = Reportable: Set .... ..1. = Encrypted: Set .... ...1 = Authenticated: Set msgSecurityModel: USM (3) msgAuthoritativeEngineID: 80001F88043031303230333034303530313230 1... .... = Engine ID Conformance: RFC3411 (SNMPv3) Engine Enterprise ID: net-snmp (8072) Engine ID Format: Text, administratively assigned (4) Engine ID Data: Text: 01020304050120 msgAuthoritativeEngineBoots: 12 msgAuthoritativeEngineTime: 31 msgUserName: pc120encrypter msgAuthenticationParameters: 16E6060274B74E7017678552 msgPrivacyParameters: 00000081938D271C msgData: encryptedPDU (1) encryptedPDU: A17CC66CBB00C9F363FF2B2D5E8447AFFA0AB92E5A0A6D25... 0030 0040 0050 0060 0070 0080 0090 00a0 00b0 00c0 30 02 30 01 65 04 bb 5a 56 8f 11 01 32 1f 72 08 00 0a 93 ec 02 03 30 04 04 00 c9 6d a2 dc 04 04 33 0e 0c 00 f3 25 fd 80 25 45 30 70 16 00 63 74 bf d0 30 34 63 e6 81 ff b4 17 8d 43 30 31 06 93 2b 20 99 b3 04 35 32 02 8d 2d ec 44 02 13 30 30 74 27 5e 5f bd 03 80 31 65 b7 1c 84 98 b9 00 00 32 6e 4e 04 47 d4 4a 85 ff 1f 30 63 70 38 af 5a bb e3 88 02 72 17 a1 fa b5 52 04 04 01 79 67 7c 0a e0 8c 01 30 0c 70 85 c6 b9 9d bb 07 31 02 74 52 6c 2e bd d2 0...%........... ....E0C.......01 020304050120.... ....pc120encrypt er......t.Np.g.R ........’..8.|.l ....c.+-^.G..... Z.m%t. ._..Z.... V......D..J.R... .... 7. Resultados y Conclusión Lo anterior indica que los datos son enviados en el nivel más alto de seguridad, manteniendo en secreto información vital acerca de fallas en el sistema, lo cual es importante en casos que se quieran adjuntar otros objetos MIB en la notificación ası́ como valores de configuración del servidor. Además los valores de autentificación que son enviados en texto plano sólo corresponden a datos básicos, es decir, su engineID y nombre de seguridad, en cambio el resto de la información como la contraseña es adjuntada en el paquete de datos encriptado. Finalmente el sistema de reconocimiento de fallas integrado en el sitio Web de administración permite visualizar las últimas 10 notificaciones recibidas por la estación NMS-ELO01 desde sus agentes según la configuración realizada. Además se tiene disponible un archivo historial (snmptrapd.historial.log) con todas las notificaciones recibidas en caso que el administrador lo requiera. La Figura 7.7 muestra un captura de pantalla de la zona de notificaciones del sitio Web de administración desarrollado. Figura 7.7: Zona de notificaciones en el sitio Web de administración 7.2. Conclusiones Una de los aspectos que motivó el desarrollo de esta implementación, fue integrar un sistema seguro de administración utilizando todas las caracterı́sticas desarrolladas en la versión 3 de SNMP, demostrando ası́ que es posible controlar un dispositivo que dispone de servicios especı́ficos como en este caso telefonı́a IP. En lo que respecta a estrategias de administración pensando en la utilización de la red se hizo uso del plan de administración distribuida, que es un concepto basado en la combinación de los métodos de obtención de información. En el caso de fallas en un equipo administrado es su agente SNMP el que se encarga de la detección y no la estación de administración dado que en este último caso existirı́a un gasto de la red por el intercambio sucesivo de paquetes para reconocer el estado del equipo (pensado para una red de computadores extensa). En cambio si lo que se desea es monitorear la red, entonces es necesaria la 86 7. Resultados y Conclusión consulta periódica de ciertos objetos MIB por parte de la estación. En este proyecto cuya finalidad era implementar un sistema sencillo de administrado basado en el monitoreo y reconocimiento de fallas en una central IP-PBX, se utilizó una arquitectura centralizada (una estación de administración) pero en casos en que se necesite administrar una gran cantidad de equipos de red es necesario usar una arquitectura distribuida teniendo varias estaciones que puedan ser controladas por un maestro y ası́ no provocar flujos excesivos de paquetes SNMP viajando por la red además de los requerimientos sobre procesamiento para la máquina que juega el rol de administrador. 7.2.1. Sistema de Monitoreo Uno de los aspectos más importantes en la administración es mantenerse informado de la situación actual de los servicios que entrega una red. En este caso el objetivo consistı́a en desarrollar estadı́sticas en tiempo real, sobre la situación de la IP-PBX de prueba integrada a la red de telefonı́a IP. Los ı́temes analizados para la IP-PBX forman parte de un conjunto de caracterı́sticas que a un administrador le interesarı́a conocer. Se pudo demostrar que a través de SNMP se puede monitorear un sin fin de caracterı́sticas, y a demás da seguridad por lo que se convierte en la actualidad en una herramienta de interés. A pesar que el esquema presentado es a baja escala permite considerar la capacidad de desarrollar un sistema distribuido de administración pensando que en la industria de las telecomunicaciones existen una gran diversidad de componentes de red ası́ como routers, UPS, etc. Respecto a la intención de desarrollar un sistema de monitoreo sobre una gran cantidad de componentes se recomienda desarrollar un esquema distribuido de estaciones de administración, debido a la excesiva cantidad de paquetes SNMP circulando por la red debido a las contantes consultas. De esta manera integrando más estaciones las cuales se encargan de sectores diferentes de la red provocarı́a una disminución considerable lo que para una red de voz es un aspecto fundamental. 7.2.2. Sistema de Reconocimiento de Fallas Diseñar un sistema en que es el propio agente el que se analiza y puede dar aviso a una estación sobre alguna falla ocurrida, es una de las grandes facultades que tiene el protocolo SNMPv3 aparte de la integración de niveles de seguridad para la protección de los datos. Esto porque si fuera la estación la encargada de verificar fallas un equipo generarı́a en grandes redes un mal uso del ancho de banda, debido al intercambio de una gran cantidad de paquetes SNMP. Con el método DisMan se logra darle un mejor uso al recurso, el cual es vital para servicios como telefonı́a IP en donde se requiere del máximo posible. 87 7. Resultados y Conclusión En cuando a la planificación de este sistema, se hubiese querido integrar la generación de traps referidos a fallas en los servicios entregados por Asterisk, pero se encontraron fallas en cuanto a la conexión entre maestro y subagente SNMP a la hora de iniciar los procesos de análisis a través de las directivas monitor. Por ello es que se hizo incapié en reconocer otro tipo de fallas y dejar como trabajo futuro la generación de notificaciones relacionadas a los servicios de Asterisk a través de las directivas Event MIBl en la configuración del agente. 7.2.3. Desarrollo Futuro El proyecto sobre administración remota de una red de telefonı́a IP desarrollado en este documento plantea la implementación de una central IP-PBX de prueba integrada a la red existente con la capacidad de comunicarse a través del protocolo SNMP y ası́ ser monitoreada y controlada por una estación de administración. Luego de cumplir con estos objetivos existen ciertos ı́temes en los cuales se puede seguir explorando e investigando, desarrollando proyectos sobre la base de que el control sobre servicios IP es factible y ya existe. A continuación se indican algunos aspectos en los que se puede seguir desarrollando sobre lo ya realizado. Integración de centrales IP-PBX a la red de administración remota. Este punto se basa en desarrollar un plan de administración para este tipo de servicio el cual está tomando gran envergadura en el Departamento de Electrónica en donde fue desarrollado. Además se requiere actualizar el portal Web de administración para tener acceso a la información de las nuevas centrales y equipos que se deseen administrar. Desarrollar implementaciones sobre otros tipos de dispositivos de red, ası́ como routers que soporten el protocolo SNMPv3, y ası́ facilitar su administración ya sea configuración y monitoreo. Estudio sobre la posibilidad de integrar estrategias de monitoreo eficientes, y ası́ evitar que la red se sature de paquetes SNMP provocando una disminución en la calidad de servicios sobre todo si es una red de voz y video que se requiere de su máxima capacidad. 88 Apéndice A Servicios para Linux: asterisk, snmpd y snmptrapd Un servicio se refiere generalmente a un demonio del sistema, es decir, es un programa que permanece en segundo plano ejecutándose continuamente para dar algún tipo de servicio. Ejemplos de demonio, son los servidores de correo, impresora, sistemas de conexion con redes, etc. Cada uno de ellos tiene un archivo asociado en /etc/init.d, el cual es un script bash que acepta un argumento (podrı́a ser, al menos, ”start.o ”stop”, aunque pueden ser otros complementarios para proveer al usuario de opciones adicionales, por ejemplo restart”, ”status”...). A.1. Scripts de Inicio Un script de inicio es creado para iniciar una aplicación en el caso del arranque ası́ como también en caso de apagado instantáneo del sistema, o debido a un cambio en el nivel de ejecución [19]. En todo sistema Linux, especı́ficamente en el directorio /etc/init.d se encuentra el script skeleton que tiene la única función de describir la estructura básica de un demonio. A la hora de crear scripts de inicio es aconsejable usar este archivo como base, y comenzar a modificar aquellas lı́neas que requieren especificar la aplicación que se quiere controlar. A continuación se describen las funciones que forman parte de la estructura de un script de inicio. Algunas de ellas son requeridas y otras sólo opcionales. 89 Apéndice A - Servicios para Linux Funciones Requeridas start(): Incluye lo que ocurrirá cuando el script arranque. Funciones Opcionales depend(): stop(): restart(): Se utiliza para determinar las dependencias del servicio, se deben cumplir para que arranque el demonio (más abajo hay un ejemplo) Esto es lo que ocurrirá cuando se ordene que el servicio se pare. Esto es lo que se tiene que hacer para parar y volver a iniciar el servicio. A continuación se entregan simples scripts que permiten definir los tres servicios para el sistema, correspondientes a las aplicaciones: asterisk, snmpd y snmptrapd. 90 Apéndice A - Servicios para Linux Tabla A.1: Script para servicio Asterisk #! /bin/sh DAEMON=/usr/local/asterisk/sbin/asterisk PIDFILE=/var/run/$NAME.pid SCRIPTNAME=/etc/init.d/$NAME test -x $DAEMON || exit 0 case "$1" in start) echo -n "Starting daemon: asterisk" start-stop-daemon --start --quiet --background --make-pidfile \ --pidfile $PIDFILE --exec $DAEMON -- -vvvvvvvvvv echo "." ;; stop) echo -n "Stopping daemon: asterisk" kill ‘cat $PIDFILE‘ echo "." ;; restart|force-reload) echo -n "Restarting daemon: asterisk" kill ‘cat $PIDFILE‘ sleep 1 start-stop-daemon --start --quiet --background --make-pidfile \ --pidfile $PIDFILE --exec $DAEMON -- -vvvvvvvvvv echo "." ;; *) echo "Usage: $SCRIPTNAME {start|stop|restart|force-reload}" >&2 exit 1 ;; esac exit 0 El script descrito en la Tabla A.1 permite iniciar el demonio asterisk con el nivel máximo de depuración, y de esta manera cuando el administrador entre a su consola podrá conocer los detalles de cada acción acontecida, a través del comando “asterisk -r”. 91 Apéndice A - Servicios para Linux Tabla A.2: Script para servicio snmpd #! /bin/sh NAME=snmpd DAEMON=/usr/local/net-snmp/sbin/$NAME PIDFILE=/var/run/$NAME.pid SCRIPTNAME=/etc/init.d/$NAME test -x $DAEMON || exit 0 case "$1" in start) echo -n "Starting daemon: $NAME" start-stop-daemon --start --quiet --background --make-pidfile \ --pidfile $PIDFILE --exec $DAEMON -- -f -Lf /var/log/snmpd.log echo "." ;; stop) echo -n "Stopping daemon: $NAME" kill ‘cat $PIDFILE‘ echo "." ;; restart|force-reload) echo -n "Restarting daemon: $NAME" kill ‘cat $PIDFILE‘ sleep 1 start-stop-daemon --start --quiet --background --make-pidfile \ --pidfile $PIDFILE --exec $DAEMON -- -f -Lf /var/log/snmpd.log echo "." ;; *) echo "Usage: $SCRIPTNAME {start|stop|restart|force-reload}" >&2 exit 1 ;; esac exit 0 La lı́nea de ejecución para el demonio snmpd definida en el script de la Tabla A.2 permite almacenar en un archivo de texto (/var/log/snmpd.log) todos los registros producidos por el agente Net-SNMP. 92 Apéndice A - Servicios para Linux Tabla A.3: Script para servicio snmptrapd #! /bin/sh NAME=snmptrapd DAEMON=/usr/local/net-snmp/sbin/$NAME PIDFILE=/var/run/$NAME.pid SCRIPTNAME=/etc/init.d/$NAME test -x $DAEMON || exit 0 case "$1" in start) echo -n "Starting daemon: $NAME" start-stop-daemon --start --quiet --background --make-pidfile \ --pidfile $PIDFILE --exec $DAEMON -- -p $PIDFILE echo "." ;; stop) echo -n "Stopping daemon: $NAME" kill ‘cat $PIDFILE echo "." ;; restart|force-reload) echo -n "Restarting daemon: $NAME" kill ‘cat $PIDFILE sleep 1 start-stop-daemon --start --quiet --background --make-pidfile \ --pidfile $PIDFILE --exec $DAEMON -- -p $PIDFILE echo "." ;; *) echo "Usage: $SCRIPTNAME {start|stop|restart|force-reload}" >&2 exit 1 ;; esac exit 0 Debido a que el sistema por defecto no crea archivos con permisos de ejecución es necesario configurar los scripts para que puedan ser iniciados cuando sea necesario. Para esto se debe usar el comando de Linux chmod, con los siguientes parámetros para cada nuevo servicio. [root@BIONICO ∼]# chmod 755 /etc/init.d/asterisk [root@BIONICO ∼]# chmod 755 /etc/init.d/snmpd [root@pcmag21 ∼]# chmod 755 /etc/init.d/snmptrapd 93 Apéndice A - Servicios para Linux A.2. Instalación de Servicios El comando update-rc.d crea enlaces simbólicos apropiados para los demonios para que cuando el sistema se inicie, estos sean ejecutados. En caso de que el sistema sea detenido, los demonios serán terminados. Para ejecutar este comando es necesario especificar el nivel de ejecución, y dado que son aplicaciones que dependen directamente de otras se deben escoger los niveles más altos, que en este caso se usa 99. [root@BIONICO ∼]# update-rc.d /etc/init.d/asterisk defaults 99 [root@BIONICO ∼]# update-rc.d /etc/init.d/snmpd defaults 99 [root@pcmag21 ∼]# update-rc.d /etc/init.d/snmptrapd defaults 99 Ahora se puede dar el caso que se quieran eliminar para que no sean iniciados en tiempo de booteo. Para ello se debe utilizar el comando update-rc.d de la siguiente manera: [root@BIONICO ∼]# update-rc.d -f /etc/init.d/asterisk remove [root@BIONICO ∼]# update-rc.d -f /etc/init.d/snmpd remove [root@pcmag21 ∼]# update-rc.d -f /etc/init.d/snmptrapd remove A.3. Pruebas de Funcionamiento Una vez agregados los servicios al sistema, se debe comprobar que están funcionando correctamente. Para ello pueden ser iniciados ejecutando el script de inicio que corresponda (ej. /etc/init.d/asterisk start) o se puede reiniciar el sistema para que se sean cargados junto con la configuración general (boot time). Para corroborar que se ejecutaron correctamente se hace uso del comando de Linux ps -C servicio donde servicio corresponde al nombre del demonio revisado. De esta manera a modo de ejemplo se comprobará la ejecución de los 3 demonios requeridos. [root@BIONICO ∼]# ps -C snmpd PID TTY TIME CMD 2750 ? 00:01:53 snmpd [root@BIONICO ∼]# ps -C asterisk PID TTY TIME CMD 6317 ? 00:00:00 asterisk [root@pcmag21 ∼]# ps -C snmptrapd PID TTY TIME CMD 2529 ? 00:00:00 snmptrapd 94 Bibliografı́a [1] Jeffrey D. Case, Mark S. Fedor, Martin L. Schoffstall, and James R. Davin. A Simple Network Management Protocol. Request For Commentes 1089, DDN Network Information Center, SRI International, April 1989. [2] RRDTool. Round Robin Database Tool <http://oss.oetiker.ch/rrdtool/index.en.html>. [3] Douglas R. Mauro and Kevin J. Schmidt, Essential SNMP, First Edition. O’Reillly & Associates, July 2001. [4] Douglas R. Mauro and Kevin J. Schmidt, Essential SNMP, 2nd Edition. O’Reillly & Associates, September 2005. [5] Marshall T. Rose and Keith McCloghrie. Structure and identification of Management Information for TCP/IP-based Internets. Request for Comments 1155, Network Working Group, May 1990. [6] BER implementation for SNMP. Basic Encoding Rules <http://www.vijaymukhi.com/vmis/ber.htm>. [7] PEN. Private Enterprise Number Request Template <http://pen.iana.org>. [8] Keith McCloghrie, David Perkins, and Juergen Schoenwaelder. Textual Conventions for SMIv2. Request for Comments 2579, Network Working Group, April 1999. [9] Developers’ Corner. Systinet Server for Java 6.5.3 Product Documentation. Systinet Server for Java, Systinet Corporation, May 2006. [10] Charles M. Kozierok. The TCP/IP Guide: A Comprehensive, Illustrated Internet Protocols Reference. Published by No Starch Press, September 2005. [11] Randy Presuhn. Version 2 of the Protocol Operations for the Simple Network Management Protocol (SNMP). Request for Comments 3416, Network Working Group, December 2002. [12] Ramanathan Kavasseri. Event MIB. Request for Comments 2981, Network Working Group, October 2000. [13] Net-SNMP. Suite of SNMP Aplications <http://net-snmp.sourceforge.net>. [14] Tamara J. Ramirez Andrade y Jaime A Diaz Rojas. Desarrollo de Aplicaciones en la Central Asterisk de Telefonı́a IP en el Departamento de Electrónica, UTFSM. Tesis (Ingenierı́a Civil Electrónica), Valparaı́so, Chile, Universidad Técnica Federico Santa Marı́a, Departamento de Electrónica, Julio 2007. [15] El demonio syslogd <http://es.tldp.org/Manuales-LuCAS/doc-unixsec/unixsec-html>. [16] IETF. The Internet Engineering Task Force <http://www.ietf.org>. [17] The Hash Algorithm Directory. The Secure Hash Algorithm Directory MD5, SHA-1 and HMAC Resources <http://www.secure-hash-algorithm-md5-sha-1.co.uk/>. [18] The Secure Hash Algorithm Directory MD5, SHA-1 and HMAC Resources. <http://csrc.nist.gov/cryptval/des.htm>. [19] Los scripts de inicio. SUSE LINUX – Manual de Administración <http://www.l3jane.net/doc/linux/suse/suselinux-adminguide es/>.

snmp trapsess

Documentos relacionados

Productos

Apoyo

snmp trapsess

Documentos relacionados

Añadir este documento a la recogida (s)

Añadir a este documento guardado

Sugiéranos cómo mejorar StudyLib