17
septiembre
2020

SNMP: Protocolo Simple de Administración de Red

El Protocolo Simple de Administración de Red (SNMP: Simple Network Management Protocol) opera en la Capa de Aplicación del Modelo de Referencia OSI, para administrar y controlar dispositivos de red.

SNMP es uno de los protocolos del conjunto TCP/IP ampliamente aceptados para gestionar y monitorizar elementos de red, por lo que la mayoría de los dispositivos de comunicación en la actualidad, incluyen un agente SNMP para intercambiar datos con el sistema de administración de red.

El Protocolo SNMP permite la gestión de dispositivos que estén conectados en cualquier red accesible desde Internet, y no únicamente aquellos localizados en la propia red local. Evidentemente, si alguno de los dispositivos de encaminamiento con el dispositivo remoto a controlar no funciona correctamente, no será posible su monitorización ni reconfiguración.

Una red con aplicaciones SNMP posee al menos una estación de administración, cuya función es supervisar y administrar un grupo de dispositivos de red por medio de un software denominado NMS (Network Management System), el cual se encarga de la gestión de la red.

El dispositivo administrado es un nodo de red que implementa la interfaz SNMP, y ejecuta permanentemente un componente de software denominado agente, el cual intercambia datos con la estación de administración, y permite el acceso del NMS a la información específica del nodo.

En esencia, los agentes SNMP de los dispositivos, exponen los datos de gestión a las estaciones de administración en forma de variables organizadas en jerarquías, las cuales se almacenan en una estructura denominada Base de Información de Administración (MIB: Managment Information Base).

MIB y OID

Una Base de Información de Administración (MIB) puede entenderse como una colección de datos organizados jerárquicamente en forma de árbol, con una raíz anónima y varios niveles, asignados estos últimos por diferentes organizaciones.

Los identificadores de los nodos (objetos) ubicados en la parte superior del árbol, pertenecen a diferentes organizaciones que definen estándares, mientras los identificadores de la parte inferior son colocados por las entidades asociadas.

Los fabricantes pueden establecer ramas privadas (caminos) que incluyen los objetos definidos para sus propios productos. Los objetos que no han sido estandarizados, típicamente están localizadas en una rama experimental.

Para identificar los objetos que se definen en una Base de Información de Administración (MIB), se emplea un identificador denominado OID (Object ID), que puede interpretarse como el recorrido por los nodos del árbol desde la raíz hasta el objeto, y que representa una variable a chequear en un tipo de dispositivo de red específico.

En otras palabras, las Bases de Información de Administración (MIB) contienen Identificadores de Objetos (OID) organizados de forma jerárquica, donde cada nodo está identificado indistintamente con un número y una cadena de texto.

Para referirse a un objeto específico, debe trazarse la ruta desde la raíz hasta él, agregando cada nodo a medida que se avanza. Cada unión está representada por un punto, y la dirección completa con todos los nodos del camino constituye el Identificador de Objeto (OID).

Cada información de administración que se puede obtener a través de SNMP se trata individualmente por su OID, y puede hacer alusión, por ejemplo, al uso de la memoria de un servidor, el tráfico de un switch o los archivos en cola de una impresora.

Para que se comuniquen con éxito la entidad administradora y un dispositivo administrado en la red, ambos necesitan conocer qué OID están disponibles. Esta es la razón por la cual existen las MIB, y por qué las necesitan los administradores del sistema.

Para supervisar las características (objetos) de un dispositivo dado, se deben conocer las MIB de dicho dispositivo, por lo cual los administradores deben asegurarse que todas las MIB necesarias estén almacenadas tanto en los dispositivos agentes SNMP como en el sistema de la entidad administradora.

Normalmente, cuando un fabricante de dispositivos ofrece productos compatibles con SNMP, también proporciona los archivos MIB necesarios, los cuales se pueden reconocer fácilmente a través de sus extensiones .my o .mib.

Al usar los archivos MIB, el software de administración de red puede mostrar un árbol de objetos OID de los dispositivos gestionados, lo que hace que la supervisión de una red sea simple y flexible con el empleo de SMNP.

Mensajes SMNP

Para realizar las operaciones básicas de administración, el protocolo SNMP es encapsulado dentro del protocolo UDP, para enviar los mensajes entre el dispositivo administrador y sus terminales monitoreados (agentes). La utilización de encapsulamiento UDP asegura que las tareas de administración no afecten el rendimiento de la red, ya que se evita la utilización de mecanismos de control y recuperación, como si ocurre con otros protocolos como el TCP.

De forma general, los agentes SNMP reciben y envían solicitudes UDP en el puerto 161 y 162. Un administrador SNMP puede enviar sus solicitudes desde cualquier puerto, aunque por lo general, también utiliza los mismos puertos que el agente.

Para que la supervisión tenga éxito, es muy importante que los paquetes UDP puedan pasar del agente al administrador. Generalmente, esto funciona así de forma predefinida en una red local, pero hay que configurar específicamente el enrutamiento para permitir que dichos paquetes atraviesen redes más amplias.

Existen diferentes tipos de mensajes SNMP que se pueden usar para configurar la supervisión de la red a través de SNMP:

  • GET: se trata del mensaje que envía un administrador SNMP para solicitar datos, y es el que se usa con mayor frecuencia. El dispositivo objetivo devuelve el valor solicitado con un mensaje de respuesta.
  • GET NEXT: el administrador de SNMP puede continuar enviando una solicitud de los siguientes datos disponibles hasta que no haya más; de esta manera, se pueden descubrir todos los datos disponibles en un determinado dispositivo, incluso aunque no hayan tenido ningún conocimiento previo del dispositivo de respuesta.
  • GET BULK: se trata de una ejecución iterada de GET NEXT. La respuesta solicitada contendrá tantos datos como permita la solicitud. Esencialmente, es una forma de efectuar varias GET NEXT a la vez, permitiendo a los usuarios generar una lista de todos los datos y parámetros disponibles en el dispositivo encuestado.
  • SET: es un comando iniciado por el administrador para establecer o modificar el valor de un parámetro a través de SNMP en el dispositivo o sistema del agente. Este tipo de mensaje se puede usar para administrar o actualizar la configuración u otros ajustes. Se debe prestar especial atención, pues un SET incorrecto podría afectar seriamente a los sistemas y las configuraciones de red.
  • RESPONSE: es el mensaje que un agente de dispositivo envía tras una solicitud del administrador. Cuando se envía la respuesta a un mensaje GET, el paquete contiene los datos o valores solicitados. En el caso de un SET, el paquete responde indicando el nuevo valor establecido a modo de confirmación de que se ha completado con éxito.
  • TRAP: el agente SNMP envía una trampa (mensaje) al administrador, sin que este lo haya solicitado. De hecho, las trampas se envían bajo determinadas condiciones, como en caso de un error o al sobrepasar un umbral preestablecido. Las trampas son una excelente idea en términos de supervisión proactiva, no obstante, si se desea beneficiarse de su uso, generalmente es necesario configurarlas con la ayuda del administrador de SNMP.
  • INFORM: este tipo de mensaje se agregó para dar al administrador la posibilidad de confirmar que ha recibido un mensaje TRAP de un agente. Algunos agentes están configurados de modo que sigan enviando una trampa hasta recibir la confirmación de un mensaje de informe por parte del administrador.
  • REPORT: estos mensajes permiten que un administrador determine qué tipo de problema detectó el agente SNMP remoto.

Versiones de SMNP

Las versiones más utilizadas del Protocolo SNMP son la SNMPv1 y SNMPv2. La última versión SNMPv3 presenta cambios importantes con relación a sus predecesores, sobre todo en temas de seguridad, sin embargo, no ha sido ampliamente empleada por la comunidad internacional. 

SNMPv1

Es la versión inicial del protocolo, y todavía es muy utilizada, principalmente debido a la simplicidad del esquema de autenticación que emplea, aun cuando no es particularmente segura.

El diseño de esta primera versión fue realizado cuando la prioridad era atender la supervisión del rápido crecimiento de los dispositivos de red, por lo que no fueron debidamente atendidos aspectos de seguridad. En este sentido, por ejemplo, la autenticación de los dispositivos, por ejemplo, se realiza sólo por una cadena de octetos que se transmite en texto plano.

SNMPv2

Incluye mejoras en rendimiento, seguridad, confidencialidad y comunicación entre estaciones de gestión. Introduce nuevos tipos de mensajes para la administración de dispositivos.

Con varias clases (tipos), la segunda versión de SNMP no fue aceptada inicialmente, debido a su complejidad y a la poca compatibilidad con la versión anterior del protocolo; sin embargo, su última actualización logró la compatibilización, simplificó su uso y mejoró la seguridad de la anterior, por lo que constituye la más empleada en la actualidad.

SNMPv3

Proporciona importantes características de seguridad y configuración remota, constituyendo la mejor variante en términos de las medidas de seguridad que incluye, así también, su desempeño. Incorporó además revisiones de integridad y cifrado en el momento de la autenticación.

Desafortunadamente, no ha sido implementada en gran medida en la mayoría de las organizaciones, aunque lo más recomendable es utilizar esta versión.

De forma general, SNMP ofrece su mayor valor al facilitar el monitoreo de todos los dispositivos de una red, permitiendo rastrear problemas, adoptar decisiones oportunas, y tomar el control cuando sea necesario; no obstante, la seguridad en el acceso a los dispositivos, constituye un aspecto que debe ser valorado para el empleo del protocolo en los casos necesarios.

En la tecnología ViPNet, el protocolo SNMP de forma protegida con la solución se utiliza en una de las aplicaciones denominada StateWatcher, para el monitoreo de los abonados de la red protegida. Entérate qué hace y por qué es necesaria.