GESTIN DE REDES CON SNMP

Prof. Vincenzo Mendillo Febrero 2009 Objetivo

Familiarizarse con el uso de las funciones de SNMP (Simple Network Management Protocol) para el monitoreo y la configuracin de equipos, sistemas y servicios en redes TCP/IP, utilizando los comandos Get, Set y Trap para el acceso a variables MIB pblicas y privadas.

Requisitos
Disponer de 2 o ms PCs, por ejemplo mediante mquinas virtuales (VMware). Realizar previamente las prcticas Supervisin y diagnstico de redes, Captura y anlisis de trfico y eventualmente Mquinas y redes virtuales. Estudiar la clase Sistema de gestin mediante SNMP.

Seccin A: Qu es el monitoreo?
Las organazaciones modernas requieren de computadoras y de una buena infraestructura de red. As pues, la confiabilidad de la red y su desempeo son cruciales en sus actividades, as como el uso eficiente de los recursos disponibles. Para el administrador de la red esto significa que tiene que preocuparse de que la red est operativa y trabajando con un buen desempeo, lo cual se hace mediante el monitoreo de los servicios (ej, FTP, Web, POP, SMTP, etc.) y los recursos (CPU, memoria, disco, puertos, etc.). Para el monitoreo se usan distintos protocolos: Ping, SNMP, NetBIOS, TCP, UDP, etc. Con estos dos ltimos se interrogan los puertos donde corren los servicios.

La primera decisin en una estrategia de supervisin eficaz, es definir que elementos se van a monitorear, por ejemplo: Parmetros de hardware y software en los servidores Uso de los recursos en los servidores Operacin de servicios vitales en los servidores Espacio de disco en los servidores y las PCs Uso del CPU y de la memoria Uso del ancho de banda (trfico) en la LAN y en la WAN Tiempo de respuesta de las aplicaciones Para ver demostraciones de monitoreo de redes y servicios, visite los siguientes sitios: SNMPc OpenNMS username: demo, password: demo Big Brother JFFNMS PRTG

-2SNMP es un sencillo protocolo del conjunto TCP/IP utilizado bsicamente para el monitoreo de equipos de red, tales como servidores, estaciones de trabajo, enrutadores y switches. La arquitectura de SNMP incluye 3 componentes bsicos: 1. 2. MIB (Management Information Base): contiene los objetos, es decir las variables, que pueden ser monitoreadas o modificadas. Las variables MIB se identifican unvocamente mediante un cdigo OID (object identifier), por ejemplo, 1.3.6.1.2.1.4.3. Agente: software residente en el equipo a ser gestionado. Cada agente almacena datos de gestin y responde a las peticiones por parte del manager. Los agentes ejecutan dos funciones bsicas: monitoreo y modificacin de variables MIB. El monitoreo significa examinar los valores de contadores, umbrales, estados y otros parmetros, mientras que modificar significa cambiar los valores de las variables. Los agentes se configuran para pertenecer a ciertos grupos o comunidades y as mismo los managers estn configurados para monitorear y recibir mensajes SNMP de determinadas comunidades. El nombre de la comunidad es parte de un mensaje SNMP. Manager (gestor): software residente en la estacin de gestin la red. El gestor hace solicitudes al agente utilizando mensajes SNMP. Los managers corren en una estacin de administracin y usualmente proveen una interfaz grfica con el usuario, mostrando por ejemplo el mapa de la red y grficos de la variacin en el tempo de las variables MIB.

3.

SNMP es un protocolo orientado a datagrama que utiliza UDP como mecanismo de transporte y as se elimina la necesidad de establecer una conexin antes de la operacin del protocolo. Adems (por ser orientado a datagrama) no tiene conexin que pueda fallar bajo condiciones adversas. Utiliza dos puertos UDP: el puerto 161 lo abren los agentes para escuchar las peticiones del manager (mensajes Get, GetNext y Set) y el puerto 162 lo abre el manager para recibir los traps de los agentes. Un trap (captura) es un mensaje especial generado por un agente para notificar al manager la ocurrencia de algn evento significativo. El mensaje incluye la identificacin del agente que gener el trap, cundo se gener y qu tipo de evento se trata. La tabla siguientes muestra los cdigos de trap. Tipo de trap
ColdStart WarmStart LinkDown LinkUp AuthenticationFailure EgpNeighborLoss EnterpriseSpecific

Valor
0 1 2 3 4 5 6

Descripcin
Arranque en frio Arranque en caliente Enlace cado Enlace levantado Nombre de la comunidad incorrecto Falla de enlace hacia un router vecino Evento especfico del equipo o sistema del fabricante

El archivo SNMP.cap que se encuentra en la carpeta Captura\Muestras del DVD contiene una serie de mensajes SNMP que los puede decodificar con un sniffer como CommView o Wireshark/Ethereal.

-3Para aprender ms sobre SNMP, se recomienda leer el anexo al final de esta gua y realizar el tutorial de HP, cuyos archivos de instalacin se encuentran en la carpeta Monitoreo\SNMP Ttutor del DVD. En la carpeta Libros de DVD hay varios libros que explican a fondo SNMP.

Seccin B: Instalacin del agente SNMP para Windows y Linux

1. Para realizar esta prctica, es necesario que en su PC y en otras, est instalado el agente SNMP. En el caso de Windows XP, verifique si ya se encuentra instalado el agente SNMP mediante Panel de control | Agregar o quitar programas | Agregar o quitar componentes de Windows | Herramientas de administracin y supervisin. En caso negativo, proceda a instalarlo y cuando se le pida, ponga como ruta los archivos que se encuentran en la carpeta Monitoreo\Agente WinXP del DVD # 1. Si no logra instalarlo desde all, deber utilizar el CD-ROM de instalacin de Windows. Otra posible causa de impedimento es el antivirus, por lo cual deber desactivarlo temporalmente.

En el caso de Windows Vista, deber previamente activarlo mediante Panel de Control | Programas y caractersticas | Activar caractersticas de Windows | Caractersticas SNMP. Esto puede tardar varios minutos. 2. Seguidamente pase a configurar el agente SNMP, mediante Panel de control | Herramientas administrativas | Servicios. Busque al final de la lista Servicio SNMP y mediante el botn derecho seleccione Propiedades y ponga el tipo de inicio en Manual (a menos que desee el agente que corra cada vez que se enciende la PC).

3. Bajo la pestaa Agente rellene las casilla Contacto y Ubicacin, por ejemplo con su nombre, e-mail, telfono y la ubicacin fsica de la mquina. (Nota: es preferible no usar palabras con acentos u otros smbolos no-ASCII). Estos valores son parte de las variables del grupo System de la MIB.

-44. Bajo la pestaa Seguridad especifique uno o ms grupos de mquinas (comunidades) a los cuales esa mquina pertenece. El agente SNMP slo responde a las peticiones de un manager de la misma comunidad. Adems se puede especificar slo aceptar paquetes de mquinas especficas (usualmente el manager). Agregue un nombre secreto de comunidad (ej. private) para lectura y escritura.

5. Bajo la pestaa Capturas especifique una o ms direcciones IP a las cuales se van a enviar los traps y el nombre de la comunidad a la cual pertenece esa mq uina que enva el trap (usualmente public). Por ahora ponga su propia mquina (127.0.0.1). 6. El agente SNMP no podr ser consultado desde la red si hay un firewall que bloquea el puerto entrante 161. En el caso que en su PC est activado el firewall de Windows, vaya al Panel de control, abra el Firewall y agregue la excepcin para el puerto UDP 161.

7. En el caso de Linux, el agente SNMP usualmente el agente SNMP est ya instalado y activado. En caso contrario, puede utilizar Net-SNMP (http://net-snmp.sourceforge.net). Hay un buen tutorial sobre su instalacin en http://www.debianhelp.co.uk/snmp.htm.

Seccin C: Generacin y captura de traps

Para empezar a familiarizarse con SNMP, se van a utilizar dos utilidades sencillas para enviar y recibir traps. 1. En la carpeta Monitoreo\TrapWatcher del DVD se encuentra la utilidad TrapWatcher, la cual despliega la lista de los traps que llegan al puerto 162 de la PC. Corra el programa, el cual no requiere de instalacin.

2. En caso de que aparezca un mensaje de error, lo ms probable es que el puerto 162 est ocupado por el servicio de captura de SNMP de Windows. Entonces vaya a Panel de control | Herramientas administrativas | Servicios. Busque Servicio de captura SNMP y si est, mediante el botn derecho seleccione Detener. Finalmente vuelva a iniciar TrapWatcher.

3. Para que vea cmo se genera un trap, vaya a mediante Panel de control | Herramientas administrativas | Servicios. Busque al final de la lista Servicio SNMP y mediante el botn derecho seleccione Reiniciar.

-5-

4. Observe el resultado en la ventana de Trap Watcher 5. Para generar distintos tipos de traps, se va a utilizar la utilidad TrapGen, que se encuentra en la carpeta Monitoreo\TrapGen del DVD. Consulte adems all el documento TrapGen.txt. Para correr este programa, primero copie la carpeta TrapGen al disco duro y haga doble clic sobre TrapGen.bat que se encuentra en esa carpeta. De esta forma se ejecuta automticamente el comando:
trapgen -g 0 -d 127.0.0.1

6. Vea el resultado en la ventana de Trap Watcher. Mediante la opcin Setting | Show decoding, se decodifica el trap. Esta opcin es til para depurar equipos y sistemas durante la fase de desarrollo.

7. Pruebe con otros valores de g editando TrapGen.bat. El parmetro g especifica el tipo de trap (0, 1, 2, 3, 4 ,5). El parmetro d especifica la direccin de destino. 8. Active un sniffer como CommView o Wireshark/Ethereal, aplicando eventualmente un filtro SNMP, para capturar y analizar los traps. Con CommView puede enviar los traps a su propia mquina y capturarlos en la interfaz local (127.0.0.1), pero no lo puede hacer con Wireshark/Ethereal (por qu?).

9. Pruebe a enviar traps de una PC a otra PC cercana, pero deber estar deber estar abierto el puerto 162 entrante en el firewall de la otra PC. En el caso del Firewall de Windows, vaya al Panel de control, abra el Firewall y agregue la excepcin para el puerto UDP 162.

Seccin D: MIB Browser

Con el fin de explorar la base de datos MIB donde estn las variables gestionadas, existen herramientas llamadas MIB Browser que permiten navegar por el rbol jerquico donde estn esas variables.

-61. Copie la carpeta Monitoreo\MIB Browser del DVD al disco duro y ejecute MibBrowser.exe. Le aparecer una pantalla con el rbol MIB. Nota: No lo puede correr directamente desde el DVD.

2. Navegue al grupo System y con el botn derecho haga clic sobre sysDescr y seleccione Get value. Le aparecer informacin sobre su mquina (localhost), por ejemplo, Windows XP Version 5.1. 3. Pulse GetNext y siga navegando por el rbol, analizando la informacin.

4. El grupo System proporciona informacin tal como: contacto (persona que administra el dispositivo), ubicacin fsica, tiempo encendido, etc.
OID & nombre 1.3.6.1.2.1.1 System 1.3.6.1.2.1.1.1 sysDescr 1.3.6.1.2.1.1.2 sysObjectID 1.3.6.1.2.1.1.3 sysUpTime 1.3.6.1.2.1.1.4 sysContact 1.3.6.1.2.1.1.5 sysName 1.3.6.1.2.1.1.6 sysLocation 1.3.6.1.2.1.1.7 sysServices Descripcin Informacin acerca del agente SNMP del sistema Descripcin del hardware, sistema operativo y software del equipo OID del equipo en la rama privada del rbol MIB Cantidad de centsimas de segundos desde que el agente fue reinicializado Informacin de la persona que administra el equipo Nombre del equipo Ubicacin fsica del equipo Tipos de servicios soportados por el equipo

-75. El siguiente grupo Interfaces proporciona informacin acerca de la configuracin de las interfaces, estado y estadsticas del trfico.
OID & nombre 1.3.6.1.2.1.2 Interfaces 1.3.6.1.2.1.2.1 ifNumber 1.3.6.1.2.1.2.2 ifTable 1.3.6.1.2.1.2.2.1 ifEntry 1.3.6.1.2.1.2.2.1.1 ifIndex 1.3.6.1.2.1.2.2.1.2 ifDescr 1.3.6.1.2.1.2.2.1.3 ifType 1.3.6.1.2.1.2.2.1.4 ifMtu 1.3.6.1.2.1.2.2.1.10 ifInOctets 1.3.6.1.2.1.2.2.1.11 ifInUcastPkts 1.3.6.1.2.1.2.2.1.12 ifInNUcastPkts 1.3.6.1.2.1.2.2.1.13 ifInDiscards 1.3.6.1.2.1.2.2.1.14 ifInErrors 1.3.6.1.2.1.2.2.1.15 ifInUnknowProtos Descripcin Informacin acerca de los puertos lgicos I/O Nmero de interfaces de red presentes en el sistema Listado de interfaces, cada uno para el valor de IfNumber Objetos en y sobre la capa de red, para una interfaz particular Valor nico para cada interfaz Informacin textual acerca de la interfaz Tipo de interfaz Tamao del octeto del datagrama mas grande que puede ser enviado o recibido por la interfaz Nmero total de octetos recibidos por la interfaz Nmero de paquetes unicast de sudred enviados a un protocolo de capa superior Nmero de paquetes no-unicast enviados a un protocolo de capa superior Nmero de paquetes de entrada descartados, aunque no se haya detectado ningn error Nmero de errores de entrada que hace que los paquetes no sean entregados a un protocolo superior Nmero de paquetes descartados, debido al desconocimiento o por un protocolo no soportado

6. Navegue por los algunos de los otros grupos de la MIB II pblica (AT, IP, ICMP, TCP) tratando de entender su significado. Consulte la documentacin anexa a final de esta gua en su versin electrnica, la cual se encuentra en la carpeta Practicas del DVD.

7. Vea el formato y el contenido de los distintos mensajes SNMP dentro de una trama Ethernet, capturndolos mediante un sniffer como CommView o Wireshark/Ethereal, aplicando eventualmente un filtro SNMP. Guese por la siguiente figura.

-8-

-98. Para familiarizarse ms con la estructura de los mensajes SNMP, mediante CommView o Wireshark/Ethereal abra el archivo SNMP.cap que se encuentra en la carpeta Captura\Muestras del DVD. Analice algunas de las tramas.

Seccin E: Monitoreo mediante PRTG

PRTG (Paessler Router Traffic Grapher) es una fcil y poderosa herramienta desarrollada en Alemania para supervisar equipos tales como servidores, routers, firewalls, mostrando estadsticas del trfico, uso del ancho de banda, del CPU, de la memoria y otros elementos de la red y los servicios.

PRTG est disponible en la versin freeware (limitada a supervisar hasta tres dispositivos y conveniente para los usuarios domsticos y SOHO) y varias ediciones comerciales para supervisin para mltiples equipos de red. La ltima versin se puede obtener de http://www.paessler.com. Los grficos y las estadsticas se pueden ver desde el propio PRTG o mediante un Web browser. Para esto ltimo PRTG dispone de Web server liviano que se puede instalar en las mquinas a supervisar (bajo Windows). Para el monitoreo remoto se dispone de 3 mtodos: a) SNMP que permite el acceso a contadores del trfico y a otras variables; b) captura de los paquetes (sniffing) entrantes y salientes a travs de la tarjeta de red de la mquina; c) anlisis de los paquetes Cisco NetFlow que envan los equipos Cisco. PRTG incluye Passler SNMP Helper que facilita el monitoreo de muchas variables del sistema en Windows va SNMP, lo cual resulta generalmente muy complicado hacerlo de otra forma. La versin PRO permite adems monitorear Exchange Server, SQL, ISA y Biztalk Server. Antes de utilizar PRTG, se aconseja ver las siguientes muestras en Internet de monitoreo en vivo: Sample 1: Fully loaded monitoring of a LAN network with servers and leased lines (using Packet Sniffing, Netflow and SNMP). http://prtgdemo1.paessler.com:8080/ Sample 2: Monitoring of bandwidth, CPU, and system health for a web server. http://prtgdemo2.paessler.com:8080/ Sample 3: Bandwidth and system health monitoring for a web server. http://prtgdemo3.paessler.com:8080/ Nota: De no estar funcionando esos enlaces, busque la informacin actualizada en http://www.paessler.com/ 1. Instale el programa ejecutando PRTG Setup desde la carpeta Monitoreo\PRTG del DVD. Por ahora no instale el servicio Watchdog.

-10-

2. Despus de que el proceso de la instalacin termine, desde Windows corra PRTG Traffic Grapher y consulte rpidamente la ayuda en lnea (Help) para conocer sus principales caractersticas. 3. Desde el men principal de PRTG seleccione Extras | Options y vea las diferentes opciones de configuracin. En particular, se aconseja desactivar Run as Service bajo System, para que no se corra cada vez que se inicia la PC. 4. Prosiga creando su primer sensor mediante Add Sensor desde Edit en el men principal. Por ahora seleccione SNMP y luego Standard Traffic Sensor.

5. Introduzca los datos mostrados en la figura, para as trabajar con el agente SNMP local instalado en su PC.

6. En caso de que no logre conectarse, es posible que el agente SNMP no est instalado o activado y deber solucionar el problema yendo a los Servicios de Windows.

-117. Finalmente seleccione la interfaz Ethernet y al fondo de la ventana seleccione la variable a monitorear (ancho de banda, el nmero de paquetes o el nmero de errores).

El ancho de banda (bandwidth) es lo ms usual y es el trfico entrante y saliente por la interfaz. Corresponde a las variables MIB ifInOctets e ifOutOctets. Qu otras variables MIB se podran utilizar para monitorear el trfico y el desempeo?

8. En el siguiente paso seleccione el intervalo de barrido (es decir la frecuencia del polling). Tome en cuenta que intervalos pequeos permiten capturar cambios bruscos, pero se genera un alto trfico que puede sobrecargar la red y el sistema. Para las siguientes pruebas pruebas ponga 3 segundos.

9. Una vez empezado el proceso de monitoreo, si hay trfico en la interfaz seleccionada, inmediatamente empezar a aparecer en los grficos. Si no aparece, visite una pgina Web o enve una serie de ping. Analice el grfico: La lnea roja representa los datos de entrada mientras que la lnea verde representa los datos de salida.

10. Tambin puede ver los datos en forma tabular (1 da, 1 mes, 1 ao)

11. PRTG registra un evento cada vez que un sensor genera un error o se dispara una notificacin programada. Revise la lista en View | Events.

12. La interfaz Web se abre pulsando View | Browser y es la misma vista que aparece en Internet mediante un Web browser apuntando al puerto 8080 de su PC (ej. http:// 201.243.32.207:8080). Comprubelo.

-12-

13. Pulse Data para regresar a la vista convencional y proceda a crear un segundo sensor que monitoree la cantidad de mensajes ICMP recibidos (es decir de pings) mediante Add Sensor Wizard, pero ahora seleccione Custom SNMP Sensor. El OID es 1.3.6.1.2.1.5.1. 14. En la configuracin del sensor, ponga los siguientes valores y pulse Test this OID para verificar que efectivamente funciona.

15. Observe el grfico correspondiente de esa variable MIB, el cual posiblemente se mantenga en cero. Ejecute un ping continuo mediante ping 127.0.0.0 -t y note el incremento del trfico. Depus de un rato interrumpa el ping mediante Control C.

16. Pulse Edit | Settings y revise la configuracin del sensor. En Notifications & Limits pulse Threshold Notification para fijar un umbral de alerta y ponga los siguientes valores para que avise cuando haya ms de 1 ping por segundo durante un intervalo de 30 segundos.

17. Ese intervalo claramente debe ser mayor que el intervalo de polling de 3 segundos. 18. Como notificacin, escoja el color rojo para el fondo.

19. Ejecute ping 127.0.0.0 -t y note si se dispara la alarma y se notifica con el color rojo. Debe esperar al menos 30 seguntos y luego interrumpir manualmente el ping mediante Control C.

-1320. Cambie el umbral a ms de 2 ping por segundo. Ejecute ping 127.0.0.0 -t y note si se dispara la alarma. Debe interrumpir manualmente el ping mediante Control C. 21. Aada sensores de trfico para otros equipos que usted conozca dentro de su red o en Internet. Si est diponible por parte del instructor, aada sensores para los puertos eth0, eth1 y VLAN1 del router inalmbrico Linksys WRT54G y analice los datos.

22. Si quiere monitorear un servidor Linux con el agente SNMP instalado y configurado, simplemente aada un nuevo sensor y seleccione From OID/MIB Library y Basic Linux Library en la lista. Luego introduzca el OID a monitorear.

Seccin F: Dude Network Monitor

Dude es una aplicacin gratuita desarrollada por una exitosa empresa de Lituania llamada Mikrotik (http://www.mikrotik.com). Permite obtener el mapa de la red mediante varios mecanismos (incluyendo SNMP, ICMP, DNS, NetBIOS) y llevar a cabo el monitoreo remoto y el registro de eventos. 1. Instale Dude ver. 3.0 desde la carpeta Monitoreo\Dude del DVD o descargue la versin ms reciente de Mikrotik. 2. Corra el programa. La primera vez que lo inicia, aparece una ventana para empezar a descubrir la subred local. Observe la casilla Scan Network, donde se utiliza el formato CIDR (Classless Inter-Domain Routing) para representar la gama de direcciones IP. Este formato fue propuesto hace varios aos para eliminar el uso de las clases A, B, C, D y as tener ms direcciones IP disponibles. Con CIDR, en vez de usar por ejemplo 192.168.1.0 con mscara 255.255.255.0, la direccin de red sera simplemente 192.168.1.0/24, donde el sufijo 24 indica el nmero de bits en la parte de red de la direccin. En binario sera 11111111.11111111.11111111.00000000. El sufijo /24, significa que de los 32 bits de las direcciones IP, los primeros 24 indican la red y 8 restantes indican las estaciones (es decir un mximo de 256 estaciones).

-14-

3. Si su PC est conectada directamente a ABA de CANTV, la mscara es usualmente 255.255.248.0 y el sufijo ser /21, lo cual corresponde a 2048 estaciones y entonces tarda mucho ms el descubrimientos. Se aconseja en tal caso colocar /24. 4. Abra las otras pestaas (Services, Device Types, Advanced) y vea la informacin. En particular, bajo Services puede editar los servicios a descubrir. Por ejemplo, elimine nntp (Network News Transport Protocol) y algn otro que no le interese.

5. A medida que avanza el descubrimiento, el mapa se va llenando de los dispositivos que responden. Los conos que muestran la direccin IP, slo responden a Ping; los que muestran el nombre, responden a DNS y NetBIOS; los que muestran ms detalles, responden a SNMP y a escaneo de puertos (para as averiguar lo servicios activos).

-15-

6. Se pueden desplazar los conos para que no se solapen y adems se puede redibujar la red y crear subredes. Prctique durante un tiempo, invocando la ayuda (botn Help) para entender los detalles. 7. Para eliminar un dispositivo o un enlace, haga clic con el botn derecho sobre el mismo y pulse Remove. Para conectar dos dispositivos con un enlace, haga clic con el botn derecho sobre una parte vaca del mapa y pulse Add Link. Luego manteniendo pulsando el mouse, una los dos dispositivos.

8. El color verde indica que el dispositivo y todos sus servicios estn levantados; el color naranja indica parcialmente cado y el color rojo indica completamente cado (o inaccesible). Adems los nombres indican qu servicios estn cados (ej. smtp, pop3) o no se pueden monitorear con SNMP (ej. memory, disk).

9. Para modificar el intervalo de polling de los dispositivos, pulse Setting en el men principal.

-1610. Bajo la pestaa Polling puede entonces incrementar el intervalo (ej. 60 segundos). De esta manera se reduce el trfico de gestin en la red y disminuye la carga del CPU en el mquina donde corre Dude. Pero se corre el riesgo de perder eventos importantes.

11. Bajo la pestaa Misc puede incrementar el intervalo de refrescamiento del mapa (ej. 30 minutos).

12. Prese con el ratn sobre uno de los dispositivos y podr ver muchos detalles del mismo, as como los grficos de las variables monitoreadas en funcin del tiempo.

13. En la ventana izquierda de Dude se encuentran las opciones para desplegar la informacin de la red. Haga doble clic sobre cada una de ellas y analice los datos respectivos.

-1714. La ventana principal se puede fcilmente subdividir utilizando los conos ubicados en la parte superior derecha.

15. La ventana secundaria que se as se abre, est inicialmente vaca. Para llenarla, pulse la flecha al lado de (unknown) y seleccione una de las opciones.

16. En el mapa de la red haga doble clic sobre el cono que corresponde a su PC y analice la informacin desplegada bajo las distintas pestaas.

17. Bajo Polling puede cambiar el intervalo de poleo, para que sea distinto al valor predeterminado (30 segundos).

18. Estos son intervalos tpicos recomendados:

19. Bajo Snmp se muestran algunas de las variables MIB del dispositivo.

-1820. Para hacer las prximas experiencias ms interesantes, instale LiteServe, el cual es un servidor liviano para HTTP, FTP, SMTP, POP3 y Telnet. Se encuentra en la carpeta Varios del DVD. Para registrar el programa, corra KeyGen.exe. Nota: Esta forma de registro es slo para fines didcticos y no para uso personal o comercial. 21. Corra el programa desde Perception | LiteServe | LiteServe. Bajo la opcin File del men, desactive Run on startup. 22. Bajo la pestaa Services, active Enable Telnet Server y Allow Command Prompt for SuperUsers.

23. Bajo la pestaa Status | Connections, verifique que los servicios estn corriendo. Si aparece Telnet (Unable to listen) significa que el puerto lo est usando Telnet deWindow (no importa). Si aparece HTTP (Unable to listen) es que el puerto 80 lo est utilizando otra aplicacin (ej. Skype) y deber cerrarlo para luego volver a activarlo.

24. Bajo la pestaa Accounts, cree un nueva cuenta (ej. Username: usuario, Password: abc123). Active la opcin SuperUser.

25. Luego de creado el usuario vaya a la pestaa Services, y despus, bajo la pestaa FTP, proceda a crear una nueva ruta para usuarios annimos mediante Anonymous Paths | New. Por ejemplo, una carpeta ya existente, como C:\Publico o C:\Temp. 26. Proceda a crear una carpeta C:\www y copiar all el archivo index.html que es encuentra en la carpeta Varios/LiteServe del DVD 27. Regrese ahora a Dude y haga doble clic sobre el cono que corresponde a su PC. Mediante el botn + aada los servicios http, ftp, smtp telnet. Mediante el botn - elimine el servicio imap4.

-19-

28. Pulse el botn Reprobe a la derecha de la ventana, para as volver a escanear el dispositivo.

29. Ahora el cono debera ponerse en verde, indicando que todos los servicios monitoreados estn levantados.

30. Pulse el botn Tools a la derecha de la ventana y podr seleccionar una serie de herramientas para pruebas adicionales sobre el dispositivo.

-2031. Pruebe Ping, Telnet, Web, FTP y analice los resultados. 32. Luego seleccione Snmpwalk y se le abrir una ventana como la siguiente, donde se hace un paseo por todas las variables MIB, mostrando sus valores:

33. Analice las informacin bajo las pestaas List, Tree y Table. 34. Para explorar slo una parte del rbol MIB, en la casilla Oid seleccione el grupo MIB que le interesa (ej. system).

35. Pulse el botn Start y ahora ver slo esas variables.

-21-

Seccin G: MIBs privadas (opcional)

Hoy da una gran parte de los productos de hardware y software para red, dispone de variables adicionales a las que estn disponibles en la MIB pblica. Como ejemplo se muestra la estructura de la MIB de un tipo de equipo vendido por Transition Networks (http://www.transition.com). Una variable tpica se accesa como 1.3.6.1.4.868.2.4.1.2.1.1.1.3.3562.3 o en forma ms clara: Iso(1).org(3).dod(6).internet(1).private(4).transition(868).products(2).chassis(4).card(1).slotCps(2)-.-cpsSlotSummary(1).cpsModuleT able(1).cpsModuleEntry(1).cpsModuleModel(3).3562.3

1. Para ver algunas variables privadas de Windows y otras aplicaciones Microsoft, navegue con MIB Browser a LANmanager (1.3.6.1.4.1.77) y a Microsoft (1.3.6.1.4.1.311).

FTP.MIB - Microsoft Internet Information Server FTP server MIB (1.3.6.1.4.1.77.1.7.2.1) HTTP.MIB - Microsoft Internet Information Server http server MIB (1.3.6.1.4.1.77.1.7.3.1) INETSRV.MIB - Microsoft Internet Information Server MIB (1.3.6.1.4.1.77.1.7.1.1) LMMIB2.MIB - LAN Manager MIB (1.3.6.1.4.1.77.1.3) WINS.MIB - Extension agent implementing the WINS server MIB (1.3.6.1.4.1.311.1.2) DHCP.MIB - Extension agent implementing the DHCP server MIB (1.3.6.1.4.1.311.1.3)

-224. Si en su red hay una mquina con Linux que tenga el agente SNMP activado, posiblemente utilice la MIB privada UCD-SNMPMIB (1.3.6.1.4.1.2021) y podra monitorear indicadores claves del desempeo del sistema (CPU, disco, memoria, red). 5. En el caso de Windows, el agente SNMP de Windows es extensible y algunas empresas de software han creado extensiones para as supervisar numerosas variables adicionales del sistema operativo y de las aplicaciones. La empresa WTCS (Williams Technology Consulting Services) dispone de un agente gratuito en http://www.snmp-informant.com que monitorea remotamente mediante SNMP, 4 indicadores claves del desempeo del sistema (CPU, disco, memoria, red). Instale el software Informant-STD.exe, que se encuentra en la carpeta Monitoreo\SNMP Iinformant del DVD. 6. Mediante MIB Browser navegue al grupo Private.Enterprises y con el botn derecho haga clic sobre GetNext. Ponga en la casilla OID = 1.3.6.1.4.1.9600.1.1, que corresponde a la MIB SNMP-Informant Standard de la empresa WTCS, cuyo OID es 1.3.6.1.4.1.9600.

7. Pulse repetidamente GetNext y siga navegando por el rbol, analizando la informacin, la cual es muy poco comprensible para la mayora! Para saber que significan las distintas variables de esta MIB, puede consultar los documentos SNMP Informant STD OID Tree.txt y SNMP Informant STD MIB.txt en la carpeta Monitoreo/SNMP Informant del DVD. 8. Para practicar, vaya a 1.3.6.1.4.1.9600.1.1.4.1 y tome nota del total de procesos que estn corriendo en el sistema. Luego vaya a 1.3.6.1.4.1.9600.1.1.4.2 y tome nota del nmero de threads (hilos) abiertos en el sistema.

9. La empresa WTCS (Williams Technology Consulting Services) tambin dispone de un agente gratuito en http://www.snmpinformant.com que monitorea remotamente y mediante SNMP, la tarjeta madre (motherboard) en lo relativo a tres indicadores claves del hardware del sistema (temperatura, voltaje y velocidad del ventilador). Instale primero el programa freeware Motherboard Monitor de Alexander van Kaam (http://mbm.livewiredev.com). Se trata de MBM5.exe y se encuentra en la carpeta Monitoreo\SNMP-Informant del DVD. 10. Durante la instalacin, seleccione la marca y el modelo de su motherboard. Averiguelo por ejemplo mediante CPU-Z que se encuentra en la carpeta Varios del DVD o djelo para ms tarde. Por lo general no hace falta reiniciar el PC luego de la instalacin.

11. Corra el programa MBM5 desde Windows y debera aparecerle en la barra de tareas un cono, indicando la temperatura del motherboard/caja (case) y del CPU, que es por lo general ms alta. Puede ser que se muestren invertidos, en cuyo caso podra arreglarlo luego mediante la configuracin. 12. Haga clic con el botn derecho sobre ese cono y seleccione Dashboard and Settings, para as abrir la ventana de configuracin.

-23-

13. Los distintos sensores se muestran en una ventana tipo dashboard como en los carros. Se pueden cambiar de posicin.

14. Analice los datos. Son valores normales? Mediante CPU-Z que se encuentra en la carpeta Varios del DVD, averigue el tipo de CPU de su mquina y busque en Internet la temperatura crtica (para AMD Athlon XP est por encima de los 85C). Qu podra hacer en caso de que la temperatura interna o del CPU fuese excesiva? 15. El programa Motherboard Monitor muestras las variables de la mquina local, pero si se usa conjuntamente con Informant-MBM, esas variables se pueden monitorear remotamente va SNMP. Para probarlo, instale ese programa mediante Informant-MBM.exe que se encuentra en la carpeta Monitoreo\SNMP-Iinformant del DVD. Nota: Se requiere que adems est instalado el agente SNMP de Windows. 16. Mediante MIB Browser navegue al grupo Private.Enterprises y con el botn derecho haga clic sobre GetNext. Ponga en la casilla OID = 1.3.6.1.4.1.9600.1.10, que corresponde precisamente a la MIB SNMP-Informant MBM. 17. Pulse repetidamente GetNext y siga navegando por el rbol, analizando la informacin, la cual es muy poco comprensible para la mayora! Para saber que significan las distintas variables de esa MIB, puede consultar los documentos SNMP Informant MBM OID Tree.txt y SNMP Informant MBM MIB.txt en la carpeta Monitoreo\SNMP-Informant del DVD.

-2418. Para practicar, vaya a 1.3.6.1.4.1.9600.1.10.6.1.5 y (mbmSensorCurrentS) y tome nota de los valores. Corresponden con los que muestra el dashboard de Motherboard Monitor?

Seccin H: IP-Tools (opcional)

El verstil programa IP-Tools que ya se utiliz en una prctica anterior sobre Supervisin y Diagnstico de Redes, dispone de la utilidad SNMP Scanner, que permite escanear un rango o lista de hosts realizando solicitudes Ping, DNS y SNMP. 1. Pruebe a utilizar esta utilidad con su PC y con otras mquinas locales y remotas. Si todava no est instalada en su PC, la puede instalar desde la carpeta Varios\IP-Tools del DVD. 2. En el men seleccione Tools | SNMP Scanner y luego Options. Aada mediante Add Item el OID 1.3.6.1.4.1.9600.1.10.6.1.5.2 que debera corresponder a la temperatura del CPU.

3. Ponga la direccin IP de la mquina y pulse Start. Por cada agente SNMP que responde, el escner despliega la siguiente informacin: Host, Status, System ID, System description, UpTime, Router, TCP Curr/Max, Community y los OID adicionales que se hayan aadido (ej. temperatura).

Seccin I: Otros productos y utilidades

En la carpeta Monitoreo del DVD se encuentran ms programas para supervisin de redes mediante SNMP. Pruebe a usarlos, luego de leer la documentacin correspondiente. Tambin se aconseja profundizar sobre SNMP efectuando la prctica sobre monitoreo seguro de redes con SNMPv3. All tambin se aprende a utilizar SNMPc, que es una plataforma avanzada para la gestin de redes pequeas o medianas.

Seccin J: Informe
Elabore un informe de no menos de 8 pginas donde se reportan las experiencias ms relevantes, se analizan los resultados obtenidos, finalizando con conclusiones y eventuales recomendaciones. El informe debe ser individual y redactado con palabras propias; no se permite repetir el texto del material que se encuentra en esta gua, en el DVD o en otras fuentes. Debe contener un resumen de las actividades realizadas, con ejemplo de resultados. Deben

-25analizarse y discutirse esos resultados, en particular si se presentaron problemas o aspectos inesperados. Tambin deben incluirse las conclusiones y eventuales recomendaciones. Los informes deben enviarse regularmente al profesor a lo largo del curso, mediante el correo electrnico. Sern penalizadas las entregas retrasadas y no se aceptarn entregas muy retrasadas. Adems NO se aceptarn informes entregados todos juntos los ltimos das de finalizacin del curso.

-26-

Protocolo Simple para la Gestin de Redes SNMP

Escuela Latinoamericana de Redes Universidad de los Andes, 2001
SNMP es un protocolo de la capa de aplicacin diseado para facilitar la gestin de los dispositivos de red, tales como servidores, estaciones de trabajo, enrutadores, switches y otros dispositivos administrables. Todos los dispositivos de red contienen informacin sobre s mismos. Por ejemplo, cada dispositivo ha sido configurado con alguna seleccin especfica de parmetros; cada elemento de red posee tambin indicadores que sealan su estado actual, y estadsticas internas sobre el trfico entrante y saliente. Toda esta informacin es el corazn del SNMP. As, cada elemento de red a ser controlado, tiene instalado un software denominado agente, que recibe mensajes de un administrador (manager). Estos mensajes tienen la potestad de escribir o leer los datos de los dispositivos de red. SNMP est formado por dos elementos esenciales: Agentes y Managers. Agentes. Son procesos que se estn ejecutando en cada nodo administrable y recogen informacin acerca del mismo. Managers. Son procesos que se ejecutan en una estacin de trabajo y que solicitan informacin a los agentes acerca de los dispositivos administrados. Existen varias versiones del SNMP con las cuales se va mejorando su operatividad mediante definiciones ms rigurosas de las especificaciones. El protocolo preferido para llevar a cabo la comunicacin entre el Manager y el Agente es UDP, pero es aceptado cualquier protocolo de transporte. El transporte de los mensajes con UDP se hace a travs de dos puertos bien conocidos: El puerto UDP 161 para los mensajes SNMP El puerto UDP 162 para los mensajes trap. SNMP est basado en tres estructuras principales: El protocolo SNMP, quedefine el formato de los mensajes a intercambiarse entre los Managers y los Agentes. Especifica las operaciones Get, GetNext, Set y Trap. SMI (Structure of Management Information Estructura de la Informacin para la Gestin). Es un conjunto de reglas que especifican el formato usado para definir los objetos administrados en la red por el protocolo SNMP. MIB (Management Information Base Base de Informacin de la Gestin). Es un mapa jerrquico de todos los objetos administrados y del modo que ellos son accedidos. Los elementos de una red SNMP son denominados nodos. Existen diversos tipos de nodos como sigue: Nodos administrables. Ejecutan un proceso agente el cual suministra la informacin requerida por un nodo manager. Nodos Managers. Es una estacin de trabajo la cual ejecuta un programa de gestin y monitoreo de redes. Nodos no-administrables por SNMP. Un nodo puede no manejar el protocolo SNMP, pero puede ser administrado por SNMP a travs de un agente proxy el cual se ejecuta en una mquina diferente. Un nodo puede ser a la vez administrado y manager. Este es el caso cuando la mquina en la que se est ejecutando el programa de gestin se monitorea a s misma. Nombre de la Comunidad (Community Name) Asigna un mismo entorno para un grupo de Estaciones de Gestin de Red (NMS, Network Manager Station). Las NMS dentro de la comunidad estn bajo el mismo dominio administrativo. Debido a que dispositivos que no conocen el nombre de la comunidad son excluidos de las operaciones del SNMP, los managers tambin usan el nombre de la comunidad como una forma sencilla de autenticacin. Los agentes son programados para pertenecer a ciertas comunidades y as mismo las aplicaciones de gestin estn programadas para monitorear y recibir mensajes trap de determinadas comunidades. Agentes Proxy Este tipo de agente extiende la capacidad del protocolo SNMP ya que permite a ste realizar ciertas funciones adicionales tales como: Gestin de un dispositivo que no tiene soporte para un agente SNMP. Gestin de un dispositivo que soporta un agente no-SNMP. Que un Sistema Manager diferente al SNMP pueda acceder a un agente SNMP. Proporciona un cortafuego de seguridad (firewall) a otros agentes SNMP. Traduccin de mensajes SNMP de diferentes formatos (versin 1 y versin 2 del SNMP). Agrupa mltiples nodos administrados en una sola direccin de red.

-27Operacin Bsica Un agente SNMP opera en cada equipo administrado como se muestra en la Fig. 1. Su funcin es obtener constantemente informacin del nodo administrado que el NMS le pueda solicitar. Los cinco tipos de PDU (Protocol Data Unit) que el NMS utiliza para recabar o enviar informacin estn definidos en el RFC 1157 y son los siguientes: GetRequest: se utiliza para solicitar los valores de una o ms variables MIB (Manager Information Base) GetNextRequest: es empleado para leer valores en forma secuencial. Se utiliza generalmente para leer una tabla de valores. Por ejemplo, despus de obtener la primera fila con el mensaje Get-Request, los mensajes Get-Next-Request se utilizan para obtener los datos de las filas restantes. Set-Request: sirve para actualizar, o bien configurar, uno o ms valores del MIB. Get-Response: este mensaje es la respuesta a alguno de los mensajes anteriormente descritos. Trap: son mensajes no solicitados que son enviados al NMS por un agente SNMP. Se utilizan para reportar eventos inesperados, como por ejemplo un reinicio por software o hardware, un enlace cado, fallas en un disco duro, fuente de poder, etc.

Estacin Administradora de la Red

Interfaz

NMS
Aplicacin Administradora

SNMP

SNMP

SNMP

Agente

Agente

Agente

MIB

MIB

MIB

Dispositivo Administrado

Dispositivo Administrado

Dispositivo Administrado

Fig.1 Modelo de Gestin

No es difcil de entender porque el SNMP fue llamado un protocolo sencillo: Se puede leer u obtener una variable o una lista de variables de un MIB con un mensaje get. Es posible acceder a una tabla entera de variables MIB, con el mensaje get-next. Se puede configurar un parmetro con la instruccin set. Un nodo puede reportar automticamente un evento que represente un problema con la instruccin trap. Lenguajes del SNMP

-28SMI (Structure of Management Information): especifica el formato y las reglas utilizadas para definir los diferentes objetos administrados, (enrutadores, conmutadores, etc) y la manera en que los protocolos deben acceder a estos objetos. ASN.1 (Abstract Syntax Notation One): define el formato de los mensajes SNMP y la descripcin de los objetos administrados (mdulos MIB) BER (Basic Encoding Rules): codifica los mensajes en una forma adecuada para su transmisin a travs de la red.

La MIB Una estacin manager depende de un agente instalado en un dispositivo para obtener o actualizar la informacin disponible en ese elemento de red. Esta informacin es vista como una base de datos lgica, llamada MIB. Los mdulos del MIB describen las variables para una creciente variedad de tipos de dispositivos y componentes de hardware y software. La primera MIB desarrollada para la gestin de redes TCP/IP, fue definido en el RFC 1066 en agosto de 1988. Luego fue actualizada en el RFC 1156 en mayo del ao 1990. La versin 2 de la MIB ( MIB-II ) fue publicada en el RFC 1213 en Mayo de 1991 y tena algunas mejoras que han probado su efectividad en la gestin de redes TCP/IP. Las variables MIB estn definidas en grupos. ste es un arreglo adecuado, ya que cada grupo posee generalmente un identificador que aparece en el rbol de nombres, permitiendo que la identificacin de los objetos pertenecientes a l sea ms sencilla, considerando que utilizaran el mismo prefijo. Existen once grupos mencionados en el documento original del MIB-II. Sin embargo, uno de ellos, el cmot, estaba destinado a controlar objetos que necesitaban operar con el protocolo de Gestin CMOT de la ISO/CCITT, pero cuando esta corriente fue abandonada, el grupo cmot fue relegado a condicin de histrico y desechado por completo en la prctica. Los diez grupos restantes, junto con uno ms agregado luego, describen la informacin bsica y necesaria para poder administrar redes TCP/IP. La Fig. 2 muestra los grupos definidos para la MIB-II, junto con sus identificadores de objetos correspondientes.

Fig.2 Estructura de la MIB-II

Estructura bsica de la MIB Una MIB puede ser considerada como un rbol con una raz sin nombre. Las hojas del rbol estn formadas por los datos individuales. Los objetos administrables estn identificados por un OID (Object Identifier Identificador de Objeto). Los OID representan a cada objeto administrable con una secuencia nica de nmeros y nombres. Son como los nmeros telefnicos; organizados jerrquicamente con dgitos especficos asignados por diferentes organizaciones. SNMP usa el nmero como una forma abreviada del nombre, para hacer solicitudes de valores de datos y para identificar cada respuesta que transporte valores. La estructura del OID de un SNMP MIB define las ramas principales del rbol: IUT-T (International Telecommunication Union ) ISO (International Organization for Standardization) Unin ISO/ITU-T La mayora de la actividad de la MIB ocurre en la parte de la rama ISO definida por el Identificador de Objeto 1.3.6.1, la cual est dedicada a la comunidad Internet, como se observa en la Fig. 3.

-29El OID para la empresa Cisco, segn se desprende de la Fig. 3 ser: OID=1.3.6.1.4.1.9

Raz

ITU-T
0 1

ISO

Joint ISO/ITU-T
2

ORG

Internet Directorio
1 2 1

DOD

Privada
3 4

MGMT

Experimental
1

Empresas
1

MIB

Cisco
9

Fig. 3 rbol MIB

Formato de los mensajes SNMP v1

Mensaje SNMP v1

Version

Comunidad

SNMP PDU

Tipo PDU

Peticin ID

Error Status

Error Indice

Objeto 1 Valor 1

Objeto 2 Valor 2

..........

..........

Variables

-30Fig. 4. Formato del mensaje SNMP v1

El campo versin asegura que todos los elementos de la red estn ejecutando el software basado en la misma versin del SNMP. El nombre comunitario asigna un acceso a l grupo de NMS que tienen dicho nombre. Se puede decir que pertenecen al mismo dominio. El PDU contiene los siguientes subcampos: o Tipo de PDU. Especifica el tipo de PDU transmitido o Peticin-ID. Asocia peticiones con respuestas o Error-Status. Indica un error y el tipo de error o Error-ndice. Asocia el error con un objeto particular o Variables-Enlaces. Contiene los datos del PDU SNMP. Asocia los objetos particulares con sus valores actuales.

Grupos MIB-II a los cuales el agente SNMP puede solicitar informacin

Grupo Sistema Este grupo de OIDs proporciona informacin del sistema, tal como, contacto a la persona que administra la estacin administrable, localizacin de la estacin administrable, tiempo desde la ultima inicializacin de la estacin, etc.

OID & nombre

Sintaxis

Acceso

Descripcin Informacin acerca del agente SNMP del sistema Descripcin textual de la entidad soportado por este agente OID de la fuente que proporciona este agente Cantidad en segundos desde que el agente fue reinicializado Informacin de la persona que administra esta estacin Nombre asignado a la estacin administrada Ubicacin fsica de la estacin Valor que indica los tipos de servicios que ofrece la estacin

1.3.6.1.2.1.1 System 1.3.6.1.2.1.1.1 sysDescr 1.3.6.1.2.1.1.2 sysObjectID 1.3.6.1.2.1.1.3 sysUpTime 1.3.6.1.2.1.1.4 sysContact

Grupo Cadena de hasta 255 caracteres ID de objeto TimeTicks

Ninguno Lectura Lectura Lectura Lectura / Escritura Lectura / Escritura Lectura / Escritura Lectura

Cadena de hasta 255 caracteres Cadena de hasta 1.3.6.1.2.1.1.5 sysName 255 caracteres 1.3.6.1.2.1.1.6 Cadena de hasta sysLocation 255 caracteres 1.3.6.1.2.1.1.7 Nmero entero sysServices hasta 127

Grupo Interfaces Este grupo de OIDs provee informacin acerca de las interfaces y de sus estados que la estacin administrable posee.

OID & nombre

Sintaxis

Acceso

Descripcin Informacin acerca de los puertos lgicos I/O Nmero de interfaces de red presentes en el sistema Listado de Interfaces, cada uno para el valor de IfNumber Objetos en y sobre la capa de red, para una interfaz particular

1.3.6.1.2.1.2 Interfaces

Grupo

Ninguno Lectura Ninguno Ninguno

1.3.6.1.2.1.2.1 ifNumber Entero 1.3.6.1.2.1.2.2 IfTable 1.3.6.1.2.1.2.2.1 IfEntry Secuencias de InEntry IfEntry

-311.3.6.1.2.1.2.2.1.1 IfIndex 1.3.6.1.2.1.2.2.1.2 ifDescr 1.3.6.1.2.1.2.2.1.3 ifType 1.3.6.1.2.1.2.2.1.4 ifMtu Entero Cadena de hasta 255 caracteres Entero Entero Lectura Lectura Lectura Lectura Valor nico para cada interfaz Informacin textual acerca de la interfaz Tipo de interfaz Tamao del octeto del datagrama mas grande que puede ser enviado o recibido por la interfaz

Contadores de Entrada existentes en el grupo Interfaces:

1.3.6.1.2.1.2.2.1.10 ifInOctets 1.3.6.1.2.1.2.2.1.11 ifInUcastPkts 1.3.6.1.2.1.2.2.1.12 ifInNUcastPkts 1.3.6.1.2.1.2.2.1.13 ifInDiscards 1.3.6.1.2.1.2.2.1.14 ifInErrors 1.3.6.1.2.1.2.2.1.15 ifInUnknowProtos Contador Contador Lectura Lectura Nmero total de octetos recibidos por la interfaz Nmero de paquetes unicast de sudred enviados a un protocolo de capa superior Nmero de paquetes no-unicast enviados a un protocolo de capa superior Nmero de paquetes de entrada descartados, aunque no se haya detectado ningn error Nmero de errores de entrada que hace que los paquetes no sean entregados a un protocolo superior Nmero de paquetes descartados, debido al desconocimiento o por un protocolo no soportado

Contador

Lectura

Contador

Lectura

Contador

Lectura

Contador

Lectura

Grupo Address Translation Este grupo de OIDs proporciona informacin contenida en el cache ARP del sistema de la estacin administrable.

OID & nombre 1.3.6.1.2.1.3 Address Translation 1.3.6.1.2.1.3.1 atTable

Sintaxis

Acceso

Descripcin

Grupo Secuencias de AtEntry

Ninguno Ninguno Ninguno Lectura / Escritura Lectura / Escritura Lectura / Escritura

Informacin del cache ARP Direccin de Red Cada entrada contiene una direccin de red para equivalenete de direccin fsica La interfaz donde la entrada equivalente es efectiva Direccin fsica de la interfaz Direccin de red correspondiente a la direccin fsica

1.3.6.1.2.1.3.1.1 AtEntry AtEntry 1.3.6.1.2.1.3.1.1.1 atIfIndex 1.3.6.1.2.1.3.1.1.2 atPhysAddress 1.3.6.1.2.1.3.1.1.3 atNetAddress Entero PhysAddress NetworkAddress

Grupo IP Este grupo de OIDs proporciona informacin del funcionamiento del protocolo de Internet (IP) del sistema.

OID & nombre 1.3.6.1.2.1.4 IP 1.3.6.1.2.1.4.1 ipForwarding

Sintaxis Grupo Entero

Acceso Ninguno Lectura / Escritura

Descripcin Informacin del cache ARP Indica que esta estacin puede retransmitir datagramas recibidos.

-321.3.6.1.2.1.4.2 ipDefaultTTL 1.3.6.1.2.1.4.3 ipInReceives 1.3.6.1.2.1.4.4 ipInHdrErrors 1.3.6.1.2.1.4.5 ipInAddrErros 1.3.6.1.2.1.4.6 ipForwDatagrams 1.3.6.1.2.1.4.7 ipInUnknowProtos 1.3.6.1.2.1.4.8 ipInDiscards 1.3.6.1.2.1.4.9 ipInDelivers 1.3.6.1.2.1.4.10 ipOutRequests 1.3.6.1.2.1.4.11 ipOutDiscards 1.3.6.1.2.1.4.12 ipOutNoRoutes Entero Contador Contador Contador Contador Contador Contador Contador Lectura / Escritura Lectura Lectura Lectura Lectura Lectura Lectura Lectura Valor por defecto en el campo TimeTo-Live del encabezado IP Nmero de datagramas de entrada recibidos de las interfaces Nmero de datagramas descartados debido a errores en la cabecera IP Nmero de datagramas descartados cuando la direccin IP de destino no es sta estacin Nmero de datagramas que esta estacin pretende retransmitir Nmero de datagramas de entrada descartados, debido al desconocimiento del protocolo Nmero de datagramas de entrada descartados sin ningn problema Nmero de datagramas de entrada entregados a protocolos conocidos por sta estacin Nmero de datagramas IP que los protocolos locales solicitaron transmitir Nmero de datagramas de salida que fueron descartados sin errores Nmero de datagramas descartados debido a no existir ruta para su destino

Contador Contador Contador

Lectura Lectura Lectura

Grupo ICMP Este grupo de OIDs ofrece informacin de los contadores de mensajes enviados o recibidos por el protocolo de Mensajes de Control de Internet (ICMP).

OID & nombre 1.3.6.1.2.1.5 ICMP 1.3.6.1.2.1.5.1 icmpInMsgs 1.3.6.1.2.1.5.2 icmpInErrors 1.3.6.1.2.1.5.3 icmpInDestUnreachs 1.3.6.1.2.1.5.4 icmpInTimeExcds 1.3.6.1.2.1.5.5 icmpInParmProbs 1.3.6.1.2.1.5.6 icmpInSrcQuenchs 1.3.6.1.2.1.5.7 icmpInRedirects 1.3.6.1.2.1.5.8 icmpInEchos

Sintaxis Grupo Contador Contador Contador Contador Contador Contador Contador Contador

Acceso Ninguno Lectura Lectura Lectura Lectura Lectura Lectura Lectura Lectura

Descripcin Informacin del protocolo ICMP Nmero total de mensajes ICMP que la estacin ha recibido Nmero de mensajes ICMP recibidos que tienen algunos errores ICMP especificos Nmero de mensajes ICMP recibidos con destino inalcanzable Nmero de mensajes ICMP recibidos con tiempo excedido Nmero de mensajes ICMP recibidos con problemas en parmetros Nmero de mensajes ICMP recibidos tipo Source Quench Nmero de mensajes ICMP recibidos redirecionados Nmero de mensajes ICMP Echo (request) recibidos

Grupo TCP Este grupo de OIDs se enfoca en proveer informacin de funciones TCP del servidor.

-33OID & nombre 1.3.6.1.2.1.6 TCP 1.3.6.1.2.1.6.1 tcpRtoAlgorithm 1.3.6.1.2.1.6.2 tcpRtoMin 1.3.6.1.2.1.6.3 tcpRtoMax 1.3.6.1.2.1.6.4 tcpMaxConn 1.3.6.1.2.1.6.5 tcpActiveOpens 1.3.6.1.2.1.6.6 tcpPassiveOpens Sintaxis Acceso Descripcin Informacin del protocolo TCP Valor de algoritmo de tiempo de espera para retransmitir octetos desconocidos Tiempo mnimo en espera para retransmitir Tiempo mximo en espera para retransmitir Lmite total de conexiones TCP que soporta la estacin Las veces que TCP transita al estado SYN-SENT del estado CLOSED Las veces que TCP transita al estado SYN-RCVD del estado

Grupo Entero Entero Entero Entero Contador Contador

Ninguno Lectura Lectura Lectura Lectura Lectura Lectura

Grupo UDP Este grupo de OIDs proporciona informacin del funcionamiento del Protocolo de Datagramas de Usuario (UDP).

OID & nombre 1.3.6.1.2.1.7 UDP 1.3.6.1.2.1.7.1 udpInDatagrams 1.3.6.1.2.1.7.2 udpNoPorts 1.3.6.1.2.1.7.3 udpInErrors 1.3.6.1.2.1.7.4 udpOutDatagrams 1.3.6.1.2.1.7.5 udpTable

Sintaxis

Acceso

Descripcin

Grupo Contador Contador Contador Contador Secuencia de Entry

Ninguno Lectura Lectura Lectura Lectura Ninguno

Informacin del protocolo UDP Nmero total de datagramas entregados a servicios UDP Nmero de datagramas UDP recibidos sin puerto para la aplicacin destino Nmero de datagramas UDP recibidos con errores Nmero total de datagramas UDP enviados por esta estacin Tabla que contiene informacin que escucha el UDP

-34-

Network management platforms

by Andy Dornan Network Magazine, July 2001

The lights flicker in Silicon Valley, hackers run rampant, and each week brings the death of another once-hot technology company. Now is the time when network management really counts: You need a system that's ready for the worst, anticipates problems before they occur, and copes when your network is down or your company is the victim (or the predator) in a takeover. Unfortunately, the network management industry has problems of its own. The well-known frameworks are widely criticized as too complex and difficult to deploy without weeks of expensive consulting. Hewlett-Packard (HP), whose OpenView product is the market leader, even conceded that it's failed to keep pace with the latest developments in networking. The good news is that it's catching up, and so are its competitors. Whether you need to manage VLANs, Fibre Channel, Dense Wavelength Division Multiplexing (DWDM), or wireless piconets, established framework vendors or one of the newer players should have the appropriate solution. Each has its own new (often patented) technology. Standards are even beginning to emerge, though they're incomplete at best. Further into the future, expect to see intelligent solutions that draw information from all kinds of devices that affect the network. Right now, firewalls won't save you if your server is actually on fire. Intrusion-detection doesn't tell you when a burglar is about to walk off with your core router. Most companies already take steps to prevent these occurrences, of course, but they don't integrate physical and network security. Management software will eventually take real-world conditions such as temperature, humidity, and seismic activity into account: If the air conditioning fails in the primary data center, for example, such software could engage backup servers elsewhere, instead of letting the main one overheat. Frames of Reference Network management frameworks bring together management information from different devices across a LAN, often relying on remote agents to supply that information. They tend to focus on layer 3, dealing mainly with logical IP structures. Until very recently, few could cope with switches, a major problem as networks migrate from routing to switching. They've also had problems dealing with WAN links and outsourced services, two increasingly important aspects of the new public network. The main framework vendors are trying to address these in different ways (see Table 1).

HP says that, rather than a framework, its OpenView is now a modular system-and one supported by more than 400 hardware vendors. Just as these vendors write a driver for Windows or Unix, they'll also write a management agent for OpenView. Its largest rival, Computer Associates (CA), says that the latest version of its Unicenter TNG can manage almost any device. Frameworks are expensive-including consultancy fees, your final bill could reach more than a million dollars-but they're worth it if they work. According to analyst firm Infonetics Research, U.S. corporations lose an average of 2 percent of their annual revenue due

-35to network blackouts. This might not sound like much, but in today's economy that 2 percent can be the difference between riches and insolvency. Harder to quantify is the cost of brownouts, partial failures that cause sluggish network performance, reducing employee productivity or persuading customers to go elsewhere. Kurt Nielsen, data manager at clothing manufacturer Scandinavian Garment Services, is certainly impressed by these threats. He uses Unicenter TNG to manage an international network that ranges from an IBM AS/400 mainframe to hundreds of Wireless Application Protocol (WAP) phones, which connect to the rest of the network via a Nokia gateway. It makes it very cheap and easy for us to bring in new systems, he says. In the 18 months since the network went live, it has never once fallen down. HP also has a long list of satisfied customers. One of them is Dean Gardiner, network services manager at CSR Building Materials, Australia's largest building materials manufacturer. He says that thanks to OpenView, We're often able to solve network problems before users even realize they were there. But not everyone is happy. People have a lot of shelfware out there, says Jeremy Tracey, a former network consultant and vice president at investment bank Goldman Sachs. A lot of companies feel as if they've been exploited by the framework vendors. He was so angry with traditional management software that he started his own company, Entuity, which targets layer 2 and other newer devices. Several other start-ups have embraced the same idea (see Table 2). They try to go beyond routers, looking down the stack to switches or up to specific applications.

Switching Strategies For a vendor, HP is refreshingly honest. The product we've shipped in the past has not been able to handle everything, says Pete Zwetkof, OpenView solution architect at HP. The latest version, 6.2, shipped in May 2001, and introduces switch management for the first time. But the first release is rather limited, he says. It only works with hardware from Cisco Systems or HP itself. A better version should be available by the end of 2001, thanks to a deal between HP and Riversoft, one of the new layer-2 vendors. This will eventually incorporate part of Riversoft's Network Management Operating System (NMOS) into a future version of OpenView. They [HP] understood that their technology was lagging, says Lance Ray, Riversoft's managing director. He hopes that NMOS will become a de facto standard for layer-2 management. Riversoft has certainly carved an impressive course. The deal with HP was followed by similar agreements with Cisco and Intel, putting its software into next-generation wireless networks and future management appliances, respectively. Analysts gush with praise: Gartner Group says that most of Riversoft's enterprise customers will see substantial ROI within a year, International Data Corp. estimates that NMOS reduces network downtime by an average of 65 percent, and Aberdeen Group describes OpenView's incorporation of NMOS as a quiet revolution. It isn't all smooth sailing for Riversoft, though. Even the analysts say that its plan to become a de facto standard is too ambitious: Gartner says that HP will probably just offer NMOS in costly add-ons, not in the core OpenView framework, and predicts that the management market will still be fragmented between incompatible solutions by 2005. More established vendors are also building in layer-2 monitoring, though in different ways. Entuity's Eye of the Storm combines layer-2 awareness with performance analysis, bringing together all the different variables that affect a network's operation into a single metric. For each port, device, or network segment, it calculates a percentage value called a Generalized Index of Degradation (GID), which warns the network manager when a brownout is imminent or taking place. The GID differs from regular metrics, such as bandwidth utilization and ping time, in that it can gauge a port's importance to different applications, and thus consider the actual effect of a network problem on users.

-36Such analysis is set to become more important if some of the predictions surrounding ASPs are right. The theory is that people will rent applications instead of buying them, and companies will outsource an increasing number of their networks' functions to service providers. While renting an Office application often amounts to no more than buying a time-limited version and upgrading it regularly, farming out the corporate e-mail system or your supply-chain administration is a more complicated proposition. Ex-Standards Even if you don't want to outsource your network, there's still a trend toward increasing device interconnection. If you have an extranet or give your staff laptops, you're already extending the network into other companies' offices and staff's homes. According to Forrester Research, this shift will bring a demand for a new style of management software, one that can tightly integrate different networks that operate in different companies. Forrester predicts that today's vendors, mired in paradigms of the past, will fail to meet this demand. If you do buy (or rent) into the ASP philosophy, you'll need sophisticated monitoring tools to ensure that you get what you pay for. Micromuse is already targeting this market, pitching its Netcool product as a Service Level Agreement (SLA) monitoring tool. Micromuse sells Netcool mainly to carriers and service providers, under the theory that these groups will then give them to their own customers. After all, if your ASP is any good, it will want to prove that it's actually holding true to its promises. This holds true for any outsourced application, even network management itself. This is where a lack of standards could cause serious problems: If an ASP's management system doesn't integrate well with its customers, nobody can be sure whether the application is actually being delivered. Most vendors already structure data around a standard called the Conceptual Information Model (CIM) and plan to share it using Extensible Markup Language (XML). However, XML's very extensibility means that it isn't really a set standard; every vendor is free to add its own proprietary tags, just as Netscape and Microsoft did with HTML. Though it won't achieve instant interoperability, XML will make it easier for vendors who want to decode each others' information. This is particularly important for layer-2 vendors and other start-ups, most of which are aiming to augment rather than replace the frameworks. Few admit that they require other software to function, but all want the ability to integrate with whatever is already installed. One exception is Ipswitch, which claims that its What'sUp Gold software is all that's needed for a complete network management solution. It runs on just one PC, and thus can't measure the loads on individual ports or processors. It doesn't claim the ability to manage the business beyond the network or make intelligent decisions, but what it lacks in detail, it makes up for in simplicity and cost. While most platforms have a six-figure price tag, the entire What'sUp Gold solution costs only $795. Instead of the servers or mainframes required to drive frameworks, it will run happily on a 486 under Windows 95. A fully functional trial version is even available for free download from the company's Web site, leading Ipswitch to proclaim a setup time of mere minutes. In an industry of products that can often take weeks to configure, that's ambitious. The idea that a program sold in the same way as a text editor can be comparable to the vast and complex management platforms may seem absurd, but Ipswitch's customers disagree. Among them is Deutsche Flugsicherung, the German air traffic control authority. It's using What'sUp Gold to keep track of all its computers, which in turn keep track of everything that flies through some of the world's most crowded airspace. The management software constantly polls every device, activating backup links or redundant machines whenever anything appears wrong. The network and the jets stay up, and crashes are confined to the server room. The Remotest Management While most networks don't have hundreds of lives depending on their continued operation, blackouts can still have catastrophic consequences. At the very least, they can ruin a network manager's day-or worse, his or her night. If your beeper has ever woken you with an urgent after-hours problem, you might wish that communications networks were a little bit less advanced. Software company AppForge aims to change that. It's working on software for Palm OS devices that will enable them to do more than just deliver a rude alert at an unwelcome time. You might be able to fix whatever is wrong directly from your Palm or cell phone, without having to get up and drive a hundred miles or more. Unicenter TNG already allows something like this, thanks to two companies that have partnered with CA. MobileSys can deliver alerts to most two-way paging systems, allowing responses to be selected from a menu. The Thinkers Group reproduces the full Unicenter command prompt on any Wireless Application Protocol (WAP) phone, allowing real-time access to all of the framework's features. Unfortunately, limitations in the present version of WAP mean that it can't yet initiate a connection; network admins need to connect manually, after being informed of a problem some other way. From a network management perspective, PDAs are both good and evil: Those connected by users can be a menace (see How Much Network Can You Manage? June 2001), but your own can be a valuable tool. Combined with third-generation (3G) wireless, they may soon allow constant control of your network from almost anywhere. Whether at home, in the bar, or on the beach, you'll have a management console in your pocket. Unfortunately, such a capability depends on enough of your network surviving to enable you to connect (see Networking by Candlelight,). While some problems will always require technicians to get their hands dirty, it would be nice if networks could preempt and solve problems themselves, without disturbing the network manager's sleep. To achieve this, management software is beginning to incorporate Artificial Intelligence (AI), which aims to make computers think more like people. The most famous example of AI-based management is the neural network, thought to be the type of computing employed within the human brain. Unicenter TNG has incorporated Neugents (neural agents) for about two years, aiming to produce a system that can

-37learn and adapt to different network conditions. The technology is still evolving, but should eventually result in software that can intuitively solve problems. System Management Arts (Smarts) has also built some AI into its product InCharge. InCharge is based around a patented technology called the Codebook, which is a variant on an expert system, an older type of AI that uses rules-based algorithms to solve problems. In this case, it's designed to recognize, diagnose, and, if possible, repair network faults. What makes the Codebook different from a standard expert system is that it can update itself based on the characteristics of individual networks, so that, like Unicenter TNG, performance should actually improve with time. But despite the efforts of vendors such as CA and Smarts, network management has proven surprisingly resistant to AI. Computers can play chess, fly airplanes, and convince chatroom users that they're human, but they can't yet manage a network. This will surprise some people, but probably not network managers. Network management is simply more difficult than any of these tasks. If management frameworks are complicated, it's because network management itself is complicated. There isn't yet any magic software that enables untrained PC users to manage hundreds of different devices, and there may never be. Frameworks, more targeted programs, and AI can make your life a little easier, but they can't do everything. There will still be plenty of work for you. Networking By Candlelight No matter how good your management system, it's useless if you can't actually access the network. With power outages strangling California and looming elsewhere, now's a good time to assess how your network will perform when the electrons run dry. The first line of defense against any power failure is usually a UPS, which can also be useful where power supplies are inconsistent. They provide varying levels of protection, depending on their size, load, and age. (A UPS is essentially just a very large battery, and all batteries lose their capacity over time.) If you're protecting a data center that's backed up elsewhere, a few seconds are often enough to reroute traffic. Some vendors are introducing UPS management systems, which let you route power to individual devices. This is useful in a prolonged outage, when you might need to save power for the e-commerce server by shutting down printers or monitors. The same can be achieved by walking around and switching off unneeded equipment, which saves energy and money even without an outage. A UPS can't protect remote workers, but laptops contain their own batteries that usually last for an hour or two, enough for the duration of the rolling blackouts affecting California. For longer periods, several companies sell emergency packs that use chemical reactions to generate additional hours of power. PDAs can go for days between charges and even be solar-powered, but not when they're connected to energy-draining modems or wireless data cards. For the ultimate in energy independence, British inventor Trevor Baylis plans to follow his clockwork cell phone with a clockwork computer. The public telephone network incorporates its own power supply, but many PBX systems don't use it. This means that in the event of an outage, teleworkers are often better able to stay in touch than their office-bound counterparts. Sometimes even they aren't protected, however, because a cut will also knock out the telephone exchange's power. And if a natural disaster has knocked out the power cables, phone lines might be down too. Peer-To-Peer Revival Wireless networks seem more resilient, but they too can be affected. A cell phone can be no more than 35 kilometers (or about 20 miles) from its base station, which might also be knocked out during an outage. Besides, the first thing that happens after an earthquake or a hurricane is that everyone tries to use their cell phones, which jams the networks. Satellites are more resilient, but as Iridium users found out when the company went bankrupt, they're not immune to events here on Earth. The Iridium network itself could survive Armageddon, but it relies on ground stations to connect to the Internet and PSTN. During the bankruptcy, users could call each other but no one else. The only communications system truly guaranteed to work without external power is a fully meshed radio network, where every node can transmit to every other node. Wireless LANs are one such system: Access points need power supplies, but laptops equipped with IEEE 802.11 cards can still communicate in peer-to-peer mode. Their drawback is a range limit of about 100 meters. To cover wider areas, your only option is private radio, a very resilient technology often overlooked in the mobile data hype. Several operators offer services based on the European Terrestrial Trunked Radio (TETRA) standard or Motorola's proprietary Integrated Digital Enhanced Network (iDEN). Both can act as regular cell phones but can also communicate over several miles without going through a basestation. Another advantage is that they offer slightly higher data rates than regular cell phones (28.8Kbits/sec to 64Kbits/sec, or about the same as a landline modem), though many users say that voice quality is inferior. Resources Network Magazine discussed problems with management frameworks and explained how neural networks can help with management in Networking for Managers (January 2000). Carleton University researches network management and has a good archive of papers at www.sce.carleton.ca/netmanage/. It explores mainstream topics such as intelligent agents and service management, as well as more futuristic ideas such as bionics, which aims to evolve new management strategies. The first analyst firm to specialize in network management was Enterprise Management Associates. Like other analysts, it only posts a small portion of its research on the public Web, but there's still some interesting information.

-38For more on the Extensible Markup Language (XML), the Conceptual Information Model (CIM), and other ways to share data between management applications, read our special report entitled Network and Systems Management with XML (October 1999). It's also worthwhile to visit the Distributed Management Task Force's (DMTF) Web site.

-39-

Don't allow SNMP to compromise network security

By John McCormick

TechRepublic, April 2001

SNMP provides an easy way for administrators to get topology information about their networks and even provides some management of remote devices and servers. However, you have to be very careful that you correctly block SNMP traffic at your firewall; otherwise, hackers can also use it to gather that valuable network information and exploit vulnerabilities. This article will explain the SNMP threat, show you how to block it at your firewall, and give you some background on the SNMP protocol. The SNMP threat As mentioned above, the main threat from SNMP is that it provides an easy way to collect basic system configuration information. For example, the SNMP systemInfo get string could be used to report what network adapters are available on the client during the logon sequence. This is exactly the sort of information a hacker tries to obtain before beginning penetration attempts. SNMP is inherently insecure because SNMP messages are not encrypted. SNMP isnt vulnerable because of a bug in the code; its dangerous because of how it was originally designed, before the proliferation of networks connected to the Internet. In addition to information gathering, SNMP can be used to manage devicesfor example, to shut down a network interface. This, of course, makes it even more dangerous as a tool for malicious hackers. There are even reports in discussion groups and forums about poor firewall configurations that have let the SNMP service report the firewall version thats installed and its settings, as well as information about the underlying system. Even the best firewall can be compromised if the system is publishing its exact version and settings. The easiest way to deal with SNMP threats is to set your firewall to block UDP ports 161 and 162 (and any other port you may have custom-configured for SNMP traffic) to the outside world. At a minimum, you need to monitor activity on all ports utilizing SNMP. How SNMP is exploited The SNMP agent for Windows NT can disclose lots of useful data to a hacker, especially if the server is also running WINS and/or DHCP. If these services are running on the NT Server, SNMP can disclose the same data you get from NBTSTAT or remote procedure calls, including a network map and an IP address to MAC address mappings. SNMP management software can even change WINS and DHCP databases remotely if the read-write password is known. However, SNMP is a cross-platform protocol, so its vulnerabilities are definitely not limited to Windows networks. Since management information databases (MIBs), an SNMP component, often include a TCP connection table listing all passive open ports and active TCP connections, this information can be accessed remotely. Some vendors, such as Cisco, automatically hide some of the SNMP information, but even Cisco software doesnt hide all of the TCP table dataand many vendors implementations of SNMP dont conceal any of it. SNMP requests are accepted using one of two standard community names. Most SNMP agents use the terms public and private as the default settings for these names, making it very easy to set up for remote management. You can easily imagine that if you fail to change these default community settings, you are leaving yourself open to hackers who will automatically try the default names when making their attack. Most SNMP security consists of two subsystems: The Security Module addresses the question of whether a message is authentic and timely (Internet delays can lead to the arrival of old messages) and identifies the originator. The Access Control Module identifies which objects are being managed and indicates whether the originator of the control message has permission to access these objects. SNMP background To understand just how vulnerable SNMP can be, its useful to understand where it came from. SNMP is an Internet protocol developed in the 1980s when TCP/IP networks were blossoming and it was recognized that network management was becoming a major problem. In other words, SNMP was developed when access to the Internet was rare and very restricted. SNMP quickly became popular when RFC 1157 was published in 1990. Neither of the first two versions of SNMP included any real security features. SNMP consists of three components: Structure of management information (SMI) Management information base (MIB) Protocol data units (PDUs) SMI is a toolkit that identifies data types and develops rules to create the MIB. PDUs define authorized network management messages. UDP ports 161 (agents) and 162 (managers) are the usual way of implementing SNMP using IP, but IPX, AppleTalk datagrams, or even HTTP can also support SNMP.

-40Vendors write SMI-compliant object definitions for their systems and compile them using a standardized MIB compiler to build executable code thats used to manage hubs, routers, network cards, and so forth, which have agents that recognize MIB objects. Access control and data packet authentication are password-protected but since theyre usually included in each SNMP packet, often in unencrypted format, they can be discovered using any packet sniffer. This means that network managers need to block the use of any of the control features of SNMP, such as Set, or any tool that allows packets to write data at any entity. There may be some hope for the future. The IETF is currently working on a new version of SNMP called SNMPv3, which does include some security enhancements. After years of work, SNMPv3 should soon be published as an RFC. Bottom line SNMP can be exploited by hackers who are trying to attack a network, making it a major potential security risk. As weve discussed, you need to set up your firewall to block UDP ports 161 and 162 to the outside world, or at the very least, closely monitor all traffic on these ports. Its also a good idea to change the default SNMP community names so that they are not an easy target for hackers. Are you blocking SNMP traffic at your firewall and/or monitoring SNMP traffic? We look forward to getting your input and hearing your experiences regarding this topic.