Руководство по технологиям объединенных сетей Cisco (953103), страница 181
Текст из файла (страница 181)
Операции протокола ЗИМРч1 БММР является простым протоколом типа "запрос-ответ". Система управления сетью выдает запросы, а управляемые устройства отвечают на них, Это происходит при помощи одной из четырех протокольных операций: оее, оаеиехе. век и теар. Операция аее используется )ЯМБ для получения от агента значений одного или нескольких объскгов. Если агент, отвечающий на операцию аее, не может предоставить значения всех объектов в списке, то он не выдает ни одного. Операция аееиеие используется ЯМБ для получения от агента значения следующего объекта в таблице или списке, а операция яее — для присвоения значения обьекту агента.
Операция ткар используется агентом для асинхронного оповещения ЯМБ о важном событии. Протокол ЗММРч2 П)хллокол БММР версии 2 (БЛгМРг2) является усовершенствованным вариантом версии ЮАгмРгй Первоначально, в 1993 г., Б)9МРч2 был опубликован как набор предлагаемых стандартов !пгегпег; в настоящее время это проект стандарта. Как и для Б)х)МРч1, функции БХМРч2 соответствуют спецификациям структуры управляющей информации (Бгщс(цге о( Мапаяещепг 1п(оппаг!оп — БМ1).
Теоретически БХМРт2 содержит ряд улучшений по сравнению с БХМРч1, включая дополнительныс протокольные операции и функции защиты сети. Поскольку относительно спецификации по мерам безопасности в версии БММРч2 не было единого мнения, в 1996 году была предложена новая версия — протокол Б)КМР версии 2, основанный на сообщсствах (БХМР чегз)оп 2 сощщвп(гу-Ьазег) — БММРч2с). В версии БХМРг2с были исключены функции обеспечения безопасности версии БХМРч2 и использовалась та же концепция сообществ, которая имеется в версии БММРт1. Концепция сообществ рассматривается далее в настоящей главе.
Соответственно, при обсужлении версии БХМРт2 имеется в виду обновленная версия (БХМРг2с). ЗММР 2 и структура управляющей информации Структура БМ! определяет правила описания управляющей информации с использованием синтаксических правил АБМ.1. 897 Глава 58. Протокол Зо)МР Набор правил БМ1 БХМРг2 описан в КГС 1902.
В этот документ вошли дополнения и улучшения типов ланных структуры БМ1 лля БХМРг1, такие как битовые строки, сетевые адреса и счетчики. Битовые строки опрелелены только в БХМРх2 и состоят из нуля или более именованных битов, задающих некоторое значение. Сетевые адреса представляют собой адреса определенного семейства протоколов. В версии БХМРу! поддерживаются только 32-разрядные 1Р-адреса, а в БХМРг2 — и другие типы адресов. Счетчики предсшвляет собой неотрицательные целочисленные переменные, значения которых увеличиваются до определенного предела, после чего обнуляются.
В версии БХМРч2 определен 32-разрядный счетчик, а в БХМР 2 также и 64-раз!вщный. Информационные модули ЗМ! Набор правил БМ1 для версии БХМРг2 также определяет информационные модули, описывающие группы связанных между собой определений. Существуют три типа информационных модулей БМ1: ° М1В-модули, которые содержат описания взаимосвязанных управляемых объектов.
° Операторы соответствия систематически описывают группы управляемых объектов, которые должны быть реализованы в соответствии со стандартом. ° Операторы возможностей точно показывают уровень поддержки, которую агент требует для М1В-группы. Система управления сетью регулирует свое поведение относительно агентов в соответствии с операторами возможностей, связанными с каждым из них.
Операции протокола ЗММРч2 Операции аее, евхиехе и лес, используемые в протоколе БХМРг1, полностью сохранились и в версии БХМРг2. Однако в БХМРч2 появились некоторые новые операции, а другие были улучшены. Например, операция тхар в БХМРч2 выполняет ту же функцию, что и в БХМРч!, однако использует другой формат сообщений, и предназначена для замены операции тхар версии БХМРг1. В версии БХМРч2 также определены две новые операции: евеви1к и хптохеь Операция сееви1!е используется системой сетевого управления ХМБ для эффективного извлечения больших блоков данных, например нескольких строк таблицы. евевц1к помешает в ответное сообщение максимально возможное лля его размера количество требуемых данных. Операция затопа заключается в том, что одна система сетевого управления посылает Ггар-информацию другой системс сетевого управления ХМБ с целью получения ответа. В версии БХМРх2 в случае, если агент, отвечающий на операцию ееевц1к, не может присвоить значения всем переменным в списке, то он предоставляет частичные результаты.
Важно отмечать направление каждой операции, как показано на рис. 58.4. Операции сев, еесвехс и вес генерируют пакеты (()РР порт 161), которые посылаются станцией ХМБ (менеджером) управляемому устройству (агенту). После этого агент отправляет пакеты назад станции ХМБ. Операция тсар также генерирует пакеты (()!)Р порт !62), посылаемые управляемым устройством станции ХМБ, однако для операции тсар ответа или подтверждения не предполагается. Часть Ч111. Управление сетями Вопросы безопасности Поскольку протоколы Б!н!МРо2 и Б1ЧМРе! не выполняют аутентификацию, многие производители не реализуют в своих продуктах операцию вес, сводя тем самым функции Б!ЧМР к мониторингу сети.
Для уменьшения риска и повышения уровня безопасности при работе с Б1ЧМРе!/ Б!ЧМРтг2 рекомендуется ограничить диапазон адресов, имеющих поступ к агенту Б!ЧМР несколькими управляющими станциями. В случае использования маршрутизаторов это может быть сделано, например, путем применения списков доступа.
Также рекомендуется использовать обзоры Б1ЧМР, что ограничивает количество доступных объектов и баз М1В. Зто, однако, не может полностью исключить возможность несанкционированного доступа, если для этого агента используется протокол Б1ЧМРо! или Б1ЧМРн2, Агент Агент Агент Агент Агент Агент Рис. 58.4. Сообщения протокола 5/УМР Протокол ЗММР версии 3 Протокол БХМР версии 3 (Б!т!МРиЗ) был предложен в качестве стандарта 1пгегпе! в январе 1998 гола для укрепления защиты сети протоколов Б!ЧМРу! и Б!ЧМРт2. Эти первоначальные версии протокола Б!т!МР не обеспечивали шифрования и аутентификации сообщений БХМР. Второй и третий наборы документов были предложены в качестве стандартов 1шегпе! лля версии Б!ЧМРуЗ в апреле !999 года и декабре 2002 года Последний набор в настоящее время является стандартом для Б!ЧМ РоЗ Угрозы безопасности Полное отсутствие аутентификации в протоколах БХМРо1/БХМРо2 делает сеть уязвимой в плане самых разнообразных угроз безопасности.
Что касается обеспечения безопасности архитектуры протокола Б1т!МРоЗ, то к наиболее известным угрозам от- 899 Глава 58. Протокол ЗАСМР носятся нелегальное проникновение в сеть„изменение информации. перехват и модификапия потока сообщений. ° Нелегальное проникновение имеет место в том случае, когда неавторизованный пользователь пытается выполнить операции по управлению сетью, предоставляя идентификационные данные авторизованного субъекта управления; ° Молификация информации включает в себя попытку неавторизованного субьекта изменить транзитные сообщения, созданные авторизованным субъектом управления, таким образом, чтобы выполнить несанкционированные операции управления сетью, в частности, фальсификацию значений объектов; ° Под перехватом понимается ситуация, в которой неавторизованный субъектизвлекает значения, сохраняемые в управляемых объектах или узнает о значительных собьпиях в сети пугем наблюления за обменом информацией, происходящим междуменеджерами и агентами; ° Модификация потока сообщений имеет место в том случае, когла неавторизованный субъект переупорялочивает, задерживает илн копирует и позднее повторно воспроизводит сообщение, сгенерированное авторизованным субъектом.
Два лругих типа угроз: отказ в обслуживании и анализ проходящих потоков данных рассматриваются как менее важные и архитектура протокола 81ЧМРуЗ не гарантирует зашиты от них. В настоящей главе зти два типа атак не обсуждаются. Модульная архитектура Архитектура протокола БХМРнЗ по природе своего проектирования является модульной, как показано на рис. 58.5.
Модульность архитектуры позволяет с течением времени изменять ее в соответствии с зволюциеи стандартов ЯЧМР. Любое устройство протокола БИМР содержит БХМР-модуль, который включает в себя диспетчер, подсистему обработки сообщений, подсистему зашиты сети и подсистему управления лосгупом. Оно может также включать в себя различные приложения протокола БХМР, выполняющие специфическую функциональную обработку данных управления.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
