| |
Hauptseminar „Neue Konzepte für das Management komplexer vernetzter Systeme“ WS 00/01, Prof. Dr. Heinz-Gerd Hegering
Internet Management
Alexander Hersonski (hersonsk@in.tum.de)
19
PDU-Type kennzeichnet die Operation.
request-id dient zur eindeutigen Kennzeichnung eines Requests.
error-status wird verwendet, um dem Manager bei der Ausführung des Requests entstandene Fehler
mitzuteilen. Einige Fehlerzustände sind standardisiert: noError, tooBig, noSuchName, badValue, readOnly,
genErr.
error-index wird im Fehlerfall dazu benutzt, die hierfür verantwortliche Variable anzugeben.
variable-binding ist eine Folge von Paaren, bestehend aus Variablenname und -wert.
Die Trap-PDU hat folgenden Aufbau:
PDU-Type kennzeichnet die Operation.
enterprise enthält den Identifikator des auslösenden Objekts.
agent-addr beschreibt die Netzadresse des SNMP-Agenten.
generic-trap liefert eine grobe Einordnung (s.o.: coldstart, ...).
specific-trap erlaubt eine weitere (herstellerspezifische) Klassifizierung vom Typ enterpriseSpecific.
Die bereits in der ersten Version definierten Protokoll Operationen Get, GetNext, Set und Trap sind auch in der
zweiten
Version
Bestandteile
des
Kommunikationsmodells.
Der
Hauptkritikpunkt
aber
am
Kommunikationsmodell von SNMPv1 war die große Ineffizienz beim Transport größerer Datenmengen. Wollte
z.B. ein Manager den ganzen Inhalt einer Tabelle auslesen, dann müßte er für jedes Tabellenelement eine
GetNextRequest-PDU schicken und würde dieses Element in einer eigenenGetResponse-PDU erhalten. Dieses
Vorgehen führte zu einer starken Belastung des Netzes durch das Netzmanagement. Im SNMPv2 wurde dieser
Mangel durch die Einführung einer neuen Operation GetBulk beseitigt (4.3).
Weiterhin sollte es möglich sein, bestehende SNMPv1 Implementierungen zu integrieren. Um dies zu erreichen
wird das schon aus SNMPv1 bekannte Konzept des Proxy-Agenten verwendet. Ein Proxy-Agent übernimmt
hierbei die Rolle eines Vermittlers zwischen einer SNMPv1 und v2 Entity.
4.2.1 Sicherheit
Der Sicherheitsaspekt wird in SNMPv1 nur sehr spärlich behandelt. Eine SNMP Message enthält neben der PDU
noch eine Versionsnummer und einen Community String. Dieser ist eine Art Paßwort, der im Agenten
konfiguriert wird und beim Eintreffen einer Message auf Gleichheit überprüft wird. Nur bei Übereinstimmung
wird ein Request bearbeitet. Allerdings wird dieser Community String nicht verschlüsselt übermittelt.
Diese Form der Authentifizierung heißt Trivial Authentification Algorithm. Nicht-authorisierte Personen können
also durch Abhören des Netzverkehrs die Community Strings ermitteln, SNMP Messages wiederholen oder
verfälschen oder deren Inhalte bekanntgeben. Das hat zur Folge, daß SNMP heute weniger zur Steuerung denn
zur Überwachung eingesetzt wird.
4.2.2 Schwachen von SNMPv1
SNMPv1 ist, wie schon weiter oben gesagt, das im Datenkommunikationsumfeld dominant eingesetzte
Managementprotokoll. Es ist selbst in relativ einfachen Ressourcen implementierbar. Sehr viele Geräte
unterstützen SNMP, zumindest im Rahmen von MIB II ist Interoperabilität garantiert. Es existieren eine Reihe
von Managementanwendungen, und SNMP hat sich in vielen Einatzumgebungen bewährt.
Dennoch gibt es eine Reihe von Nachteilen bzw. Beschränkungen, die bereits relativ bald erkannt wurden:
SNMPv1 kennt nur ein schwaches Sicherheitskonzept. Community Strings sind unverschlüsselt
übertragene Paßwörter.
SNMPv1 unterstützt nicht die Übertragung größerer Management-Datenmengen
SNMPv1 unterstützt nur ein Polling-Schema, wobei das Polling immer vom Manager ausgeht. Der
Agent kann aber indirekt durch Traps das Polling auslösen (trap directed polling). Alle
Managementinformationen müssen explizit vom Manager angefordert werden.
SNMPv1 gestattet nur eine primitive Unterstützung asynchroner Ereignisse. Es gibt nur wenige, fest
und global definierte Traps. Der Trap-Mechanismus funktioniert nur für vorher festgelegte Ereignisse.
Zusatz-Managementinformationen für Traps sind nicht spezifiziert.
|  |
|
| |
|
|
