1.- Introducción

Un sistema de gestión de red basado en el protocolo SNMP (Simple Network Management Protocol) está compuesto por los siguientes elementos: varios agentes, o nodos gestionados, al menos una estación de gestión (manager), un cierto volumen de información relativa a los dispositivos gestionados y un protocolo para la transmisión de dicha información entre los agentes y las estaciones de gestión.

Los mecanismos utilizados para definir la información relativa a los dispositivos gestionados apenas han sufrido modificaciones desde su aparición a finales de los años 80. Uno de los objetivos principales de su diseño fue la flexibilidad, de modo que la información definida pudiese seguir siendo utilizada posteriormente por protocolos diferentes, o incluso por distintas versiones del mismo protocolo.

Por el contrario el requisito fundamental del diseño del protocolo fue la sencillez, lo que si bien facilitó su expansión en perjuicio de protocolos más complejos, como por ejemplo CMIP (Common Management Information Protocol), ha hecho necesarias varias revisiones para adaptar el protocolo a las necesidades actuales, entre las que cabe destacar las exigencias en cuanto a la seguridad del sistema.

2.- Amenazas a la seguridad

El protocolo SNMP proporciona mecanismos para el acceso a un almacén de información jerárquica compuesta por un conjunto de variables. Se distinguen dos tipos distintos de acceso a dicha información: un acceso para lectura que permite consultar los valores asociados a cada una de las variables y un acceso para escritura que permite modificar dichos valores.

Los mensajes de la primera versión del protocolo incluyen una cadena de caracteres denominada nombre de comunidad que se utiliza como un sencillo mecanismo de control de acceso a la información. Los agentes que implementan dicha versión del protocolo disponen generalmente de dos comunidades, o conjuntos de variables (no necesariamente disjuntos), identificadas por un nombre de comunidad configurable por el administrador del sistema. Una de dichas comunidades recibe el nombre de comunidad pública, y sus variables pueden ser accedidas sólo para lectura. Por el contrario los valores asociados a las variables que componen la otra comunidad, denominada comunidad privada, pueden ser modificados.

Toda la seguridad proporcionada por el sistema se basa en el hecho de que es necesario conocer el nombre asignado a una comunidad para conseguir el acceso a la información proporcionada por sus variables. El nivel de protección ofrecido por la versión original del protocolo es, por tanto, muy débil. Más aún si se tiene en cuenta que los nombres de comunidad incluidos en los mensajes del protocolo SNMP viajan por la red en texto plano y por consiguiente pueden ser obtenidos como resultado de ataques pasivos (escuchas malintencionadas).

Además, y sobre todo en el caso de la comunidad pública, está muy extendido el uso del nombre de comunidad configurado por defecto (public) por lo que un usuario ajeno al sistema puede obtener gran cantidad de información acerca del mismo utilizando el protocolo SNMP.

Con el fin de aumentar la seguridad del protocolo es necesario realizar cambios en su modelo administrativo para introducir los conceptos de autentificación, integridad y privacidad así como para mejorar el control de acceso a la información.

En primer lugar se identifican las posibles amenazas a las que dicho protocolo se encuentra sometido. Las más importantes son las siguientes: modificación de los mensajes en tránsito o de su orden, suplantación y ataques pasivos (escuchas). En el caso concreto del protocolo SNMP no se consideran relevantes las amenazas de los tipos negación de servicio y análisis de tráfico.

Una versión segura del protocolo debería impedir en la medida de lo posible ataques de los tipos mencionados. El apartado siguiente describe la evolución que ha sufrido el protocolo a través de sus distintas versiones así como las principales mejoras aportadas por cada una de dichas versiones en relación a la seguridad.

3.- Evolución de la seguridad proporcionada por el protocolo

Cronológicamente hablando, el primer intento serio de dotar al protocolo SNMP de un cierto grado de seguridad se corresponde con la versión denominada SNMPsec, cuyos fundamentos se definen en los RFC 1351 y 1352. Los elementos introducidos en dicha versión para mejorar la seguridad del protocolo forman la base de todas las versiones posteriores y se siguen utilizando en la actualidad.

Las principales innovaciones propuestas en la versión SNMPsec son la identificación unívoca de las entidades que participan en las comunicaciones SNMP, lo que permitirá grandes mejoras y mayor flexibilidad en cuanto al control de acceso, así como la utilización de mecanismos criptográficos para conseguir autentificación, integridad de los mensajes y privacidad.

Dicha versión introduce los siguientes conceptos:

• Party SNMP. Es un contexto virtual de ejecución cuyas operaciones se pueden encontrar restringidas a un subconjunto del conjunto total de operaciones permitidas por el protocolo. Un party involucra un identificador, una localización en la red utilizando un protocolo de transporte determinado, una vista MIB sobre la que opera, un protocolo de autentificación y un protocolo de privacidad.

• Vista sub-árbol y vista MIB. Una vista sub-árbol es un conjunto de variables de un MIB (Management Information Base) que tienen como prefijo un identificador de objeto común. Una vista MIB no es más que un conjunto de vistas sub-árbol.

• Política de control de acceso. Es el conjunto de clases de comunicación autorizadas entre dos parties SNMP o lo que es lo mismo el conjunto de mensajes del protocolo SNMP cuyo uso se permite entre dos elementos participantes en una comunicación de gestión.

• Protocolo de autentificación. Sirve al mismo tiempo para autentificar los mensajes y para poder comprobar su integridad. Se suele utilizar un mecanismo de firmas digitales, como por ejemplo el algoritmo MD5 que calcula un digest del mensaje. El valor obtenido se incluye entre los datos transmitidos a la hora de llevar a cabo una comunicación.

• Protocolo de privacidad. Sirve para proteger las comunicaciones contra escuchas malintencionadas. Se utiliza, por ejemplo, el algoritmo simétrico de encriptación DES (Data Encryption Standard).

La versión SNMPsec se adopta inicialmente con la introducción de la versión 2 del protocolo SNMP y pasa a denominarse SNMPv2p (Party-based SNMPv2).

Posteriormente el marco de trabajo SNMPv2, cuya definición no contiene ningún estándar en cuanto a seguridad, se asocia con otros modelos administrativos referentes a seguridad, y aparecen tres nuevas versiones del protocolo: SNMPv2c, SNMPv2u y SNMPv2*.

La versión SNMPv2c (Community-based SNMPv2) utiliza el mismo modelo administrativo que la primera versión del protocolo SNMP, y como tal no incluye mecanismos de seguridad. Las únicas mejoras introducidas en la nueva versión consisten en una mayor flexibilidad de los mecanismos de control de acceso, ya que se permite la definición de políticas de acceso consistentes en asociar un nombre de comunidad con un perfil de comunidad formado por una vista MIB y unos derechos de acceso a dicha vista (read-only o read-write).

La versión SNMPv2* proporciona niveles de seguridad adecuados, pero no alcanzó el necesario nivel de estandarización y aceptación por el IETF (Internet Engineering Task Force).

Por último, la versión denominada SNMPv2u (User-based SNMPv2) reutiliza los conceptos introducidos en la versión SNMPsec, introduciendo la noción de usuario. En este caso, las comunicaciones se llevan a cabo bajo la identidad de usuarios en lugar de utilizar el concepto de party existente en las versiones precedentes. Un mismo usuario puede estar definido en varias entidades SNMP diferentes.

4.- La seguridad en la versión 3 del protocolo

La principal novedad introducida en la versión 3 del protocolo SNMP es la modularidad. En dicha versión una entidad SNMP se considera compuesta por un motor y unas aplicaciones. A su vez el motor se divide en cuatro módulos: dispatcher, subsistema de proceso de mensajes, subsistema de seguridad y subsistema de control de acceso.

Se observa, por tanto, que en la versión SNMPv3 se independizan los mecanismos utilizados para la seguridad (autentificación y privacidad) y para el control de acceso. De este modo, una misma entidad puede utilizar diferentes modelos de seguridad y control de acceso simultáneamente, lo que incrementa notablemente la flexibilidad y la interoperabilidad.

Se define un modelo estándar para seguridad basada en usuarios, USM (User Security Model) y otro para control de acceso basado en vistas, VACM (View-based Access Control Model). Se aprovechan los conceptos definidos en las versiones previas y al mismo tiempo la modularidad del protocolo permite la introducción de futuros modelos independientes de los actuales.

5.- Conclusiones

El nivel de seguridad proporcionado por la versión original del protocolo SNMP no es adecuado para las necesidades actuales. En caso de utilizar una gestión basada en dicha versión es imprescindible estar informado de los riesgos involucrados, debido a la sensibilidad de la información accesible a través de dicho protocolo. Además, se debe intentar en la medida de lo posible disminuir la influencia de dichos riesgos utilizando, por ejemplo, nombres de comunidad complejos. Incluso se puede restringir el acceso utilizando mecanismos externos al protocolo, como por ejemplo listas de control de acceso implementadas sobre firewalls.

Versiones posteriores del protocolo han hecho uso de mecanismos criptográficos y de listas de control de acceso para proporcionar mayor seguridad en las comunicaciones. La utilización de dichas versiones trae consigo una mayor dificultad en la configuración del sistema pero el nivel de seguridad obtenido es mucho mayor.

Bibliografía

Para mayor información sobre el tema se refiere al lector a los documentos oficiales, es decir a los RFCs relacionados con las diferentes versiones del protocolo SNMP. A continuación se indica el número correspondiente a los documentos asociados a cada una de dichas versiones:

SNMP

SNMP = Simple Network Management Protocol (Protocolo sencillo de administración de redes).

El modelo SNMP de una red administrada consta de cuatro componentes:

Estas partes se ilustran y analizan a continuación:

Los nodos administrativos pueden ser hosts, enrutadores, puentes, impresoras u otros dispositivos capaces de comunicar información de estado al mundo exterior. Para ser administrado directamente por el SNMP, un nodo debe ser capaz de ejecutar un proceso de administración SNMP, llamado agente SNMP. Todas las computadoras cumplen este requisito, al igual que una cantidad creciente de puentes, enrutadores y dispositivos periféricos diseñados para uso en redes. Cada agente mantiene una base de datos local de variables que describen su estado e historia y que afectan su operación.

La administración de la red se hace desde estaciones administradoras, que son, de hecho, computadoras de propósito general que ejecutan un software de administración especial. La estación administradora contiene uno o más procesos que se comunican con los agentes a través de la red, emitiendo comandos y recibiendo respuestas. En este diseño, toda la inteligencia está en las estaciones administradoras, a fin de mantener a los agentes tan sencillos como sea posible y minimizar su impacto sobre los dispositivos en los que se ejecutan. Muchas estaciones administradoras tienen una interfaz gráfica de usuario para que el administrador de la red pueda inspeccionar el estado de la red y emprenda acciones cuando se requieran.

Muchas redes reales son de varios proveedores, con hosts de uno o más fabricantes, puentes y enrutadores de otras compañías e impresoras de otros fabricantes. A fin de permitir que una estación administradora hable con estos componentes diversos, la naturaleza de la información mantenida por todos los dispositivos debe especificarse rígidamente. Hacer que la estación administradora pregunte a un enrutador su tasa de pérdida de paquetes no es de utilidad si el enrutador no lleva el registro de su tasa de pérdidas. Por tanto, el SNMP describe (con riguroso detalle) la información exacta de cada tipo de agente que tiene que administrar y el formato con que éste tiene que proporcionarle los datos. La parte más grande del modelo SNMP es la definición de quién tiene que llevar el registro de qué y cómo se comunica esta información.

Muy brevemente cada dispositivo mantiene una o más variables que describen su estado. En la documentación del SNMP, estas variables se llaman objetos. El conjunto de todos los objetos posibles de una red se da en la estructura de datos llamada MIB (Management Information Base, Base de Información de Administración).

La estación administradora interactúa con los agentes usando el protocolo SNMP. Este protocolo permite a la estación administradora consultar el estado de los objetos locales de un agente, y cambiarlo de ser necesario. La mayor parte del SNMP consiste en este tipo de comunicación consulta-respuesta.

Sin embargo, a veces ocurren sucesos no planeados. Los nodos administrativos pueden caerse y volver a activarse, las líneas pueden desactivarse y levantarse de nuevo, pueden ocurrir congestiones, etc. Cada suceso significativo se define en un módulo MIB. Cuando un agente nota que ha ocurrido un suceso significativo, de inmediato lo informa a todas las estaciones administradoras de su lista de configuración. Este informe se llama interrupción SNMP. El informe en general sencillamente indica que ha ocurrido un suceso; es responsabilidad de la estación administradora emitir consultas para averiguar los detalles. Dado que la comunicación entre los nodos administrativos no es confiable, algunas estaciones administradoras de todas maneras sondean ocasionalmente cada nodo administrado, buscando sucesos inusuales.

Este modelo supone que cada nodo administrado es capaz de ejecutar un agente SNMP internamente. Los dispositivos más viejos y los dispositivos no contemplados para usarse en redes podrían no tener esa capacidad. Para manejarlos, el SNMP define un agente apoderado, es decir un agente que supervisa uno o más dispositivos no SNMP y se comunica con la estación administradora a nombre de ellos.

Por último, la seguridad y la validación de identificación desempeñan un papel preponderante en el SNMP. Una estación administradora también tiene la capacidad de aprender mucho sobre cada nodo que está bajo su control, y también puede apagarlos todos. Por tanto, es de gran importancia que los agentes están convencidos de que las consultas supuestamente originadas por la estación administradora realmente vienen de dicha estación.

ROUTERS DE APLICACIÓN

DEFINICIÓN

Pasarela o BRIDGE: es un dispositivo activo que enlaza dos redes diferentes, dejando pasar de una red a otra aquellos paquetes de información cuya dirección destino pertenezca a la otra red. Puede verse como un caso particular de un Switcher.

ENTORNO DE APLICACIÓN

Los gateways funcionan en los tres niveles más altos del modelo OSI (sesión, presentación y aplicación). Los gateways pueden conectar redes de arquitecturas (pila de protocolos) completamente diferentes. Para hacer esto, los gateways convierten una arquitectura de red en otra sin afectar a los datos transmitidos.

Los gateways proporcionan muchos servicios de gestión de red y al igual que bridges y routers conectan tanto redes locales o redes extensas.

Estos dispositivos incluyen los 7 niveles del modelo de referencia OSI, y aunque son más caros que un bridge o un router, se pueden utilizar como dispositivos universales en una red corporativa compuesta por un gran número de redes de diferentes tipos.

Los gateways tienen mayores capacidades que los routers y los bridges porque no sólo conectan redes de diferentes tipos, sino que también aseguran que los datos de una red que transportan son compatibles con los de la otra red. Conectan redes de diferentes arquitecturas procesando sus protocolos y permitiendo que los dispositivos de un tipo de red puedan comunicarse con otros dispositivos de otro tipo de red.

VENTAJAS

• Simplifican la gestión de red.

• Permiten la conversión de protocolos.

DESVENTAJAS

• Su gran capacidad se traduce en un alto precio de los equipos.

• La función de conversión de protocolos impone una sustancial sobrecarga en el gateway, la cual se traduce en un relativo bajo rendimiento. Debido a esto, un gateway puede ser un cuello de botella potencial si la red no está optimizada para mitigar esta posibilidad.

• Para disponer de servicio, debe contar con un módem de cable o DSL y una conexión por cable o DSL contratada con un proveedor de servicios de banda ancha. Las velocidades que pueda alcanzar en la práctica podrán variar en función de los servicios ofertados por su proveedor de banda ancha y de otros factores.

COSTES

3Com® OfficeConnect® Cable/DSL Gateway

Precio del producto

Compañia: 3Com

codigo: 3C855

Precio: $ 95.00 (89.3 €)

Especificaciones de producto

Puertos LAN: 4 'autosensing' 10BASE-T/100BASE-TX

Puertos WAN: 1 10BASE-T

Protocolos soportados: PPP sobre Ethernet, PPP sobre ATM, IP Routing, IP Multicast/NAT, PAP, CHAP, MS CHAP, DHCP Server

Seguridad: Firewall de detección de esquemas de actuación de hackers, capacidad de servidor virtual, DMZ virtual, tránsito VPN

Administración: Interfaz de gestión basada en Web

Requisitos del sistema

Se necesita un módem de cable o DSL (no incluido).

Contenidos del paquete

Pasarela

Adaptador de corriente

Cables

Pies de goma

CD ROM con guía de inicio rápido y manual de usuario

impresora

B

Protocolo SNMP

A

A

Puente

LAN

A

Enrutador

Host

Estación administrativa

Proceso de administración

Nodo Adminis-trativo

Agente