الفصل الثامن

المقرر: الفصل الثامن Chapter 8 سرية إدارة الشبكات Network Management Security 8.1 Basic concepts of SNMP 1.8 المفاهيم الا ساسية لبروتوآول إدارة الشبكات البسيط معمارية إدارة الشبكات Network Management Architecture معمارية بروتوآول إدارة الشبكات Network Management Protocol Architecture البروآسيز Proxies الا صدار الثاني من بروتوآول إدارة الشبكات البسيط SNMPv2 2.8 تسهيل مجتمع الا صدار الا ول من بروتوآول إدارة الشبكات البسيط 8.2 SNMPv1 Community Facility المجتمعات و أسماء المجتمع Communities and Community Names خدمات التوثق Authentication Services خدمات البروآسي Proxy Services 8.1 Basic concepts of SNMP 1.8 المفاهيم الا ساسية لبروتوآول إدارة الشبكات البسيط Network Management Architecture معمارية إدارة الشبكات إن نظام إدارة الشبكة( System (Network Management هو عبارة عن مجموعة م ن الا دوات تق وم بعملي ات المراقب ة و التحكم بالشبكة و هي متكاملة من النواحي التالية: للقي ام بمعظ م أو آ ل مه ام إدارة ال شبكة يوج د هن اك واجه ة ت شغيل واح دة interface) (Single operator حي ث تحتوي على مجموعة من الا وامر القوية و السهلة الاستخدام. يوجد آمية قليلة من المعدات المنف صلة equipment) (Minimal amount of separate بمعن ى أن اله اردوير و السوفت وير التي تتطلبها إدارة الشبكة تكون مشترآة في جهاز مستخدم موجود. elements) (SNMP key العناصر الري يسية في بروتوآول إدارة الشبكات البسيط محطة الا دارة station).(management وآيل الا دارة agent).(management قاعدة المعلومات الا دارية base).(management information بروتوآول إدارة الشبكة protocol).(network Management العنصر الا ول : محطة الا دارة station) :(Management و هي عبارة عن جهاز قاي م بذاته و لكنه قد يكون عبارة عن مق درة منف ذة ف ي نظ ام م شترك. و في آلا الحالتين ف ا ن ال Station) (Management تعم ل آواجه ة لم دير ال شبكة (ال شخص البشري الذي يديرها). و في الحدود الدنيا يجب على ال Station) (Management أن تتضمن الا تي: Prepared by: Abdulfattah Almashreqi 1

مجموعة من التطبيق ات الا داري ة الت ي ته تم بتحلي ل البيان ات analysis) (Data و الاس ترجاع م ن الا خطاء recovery) (Fault و ما إلى ذلك.. واجهة (Interface) يمكن لمدير الشبكة من خلالها أن يراقب و يتحكم بالشبكة. المقدرة على ترجمة متطلبات مدير الشبكة إلى مراقبة و تحكم حقيقي بالعناصر البعيدة في الشبكة. قاعدة بيانات للمعلومات التي يتم استخلاصها من قواعد المعلوم ات الا داري ة لك ل الكينون ات الت ي ي تم إدارته ا بواس طة هذه الشبكة. العنصر الثاني: وآيل الا دارة agent) :(Managament و ه و عب ارة ع ن مجموع ة م ن ال (Platforms) الا ساس ية. مث ل الم ضيفات (hosts) و الج سور (bridges) و المسيرات (routers) و ال (hubs). و هذه آلها يمكن أن تعد مع برتوآول ال (SNMP) بحيث يمكن إدارتها من ال.(Management Station) يستجيب ال agent) (Management لطلبات المعلومات requests) (information و طلبات الا حداث ) action.(management Station) القادمة من ال (requests العنصر الثالث : قاعدة إدارة المعلومات Base) (Management Information : لا دارة موارد الشبكة يتم تمثيل آل مورد من ه ذه الم وارد آ.(object) وه ذا ال (object) ف ي الا س اس ه و عب ارة عن متغير بياني يمثل أحد مجالات ال agent).(managed مجموع ة ال (objects) الت ي تمث ل م وارد ال شبكة آك ل نطل ق عليه ا: قاع دة إدارة المعلوم ات ) Management.(MIB) و اختصارا نقول (Information Base تعمل ال (MIB) آمجموعة من نقاط الوصول إلى ال Station) (Management عند ال.(agent) تقوم ال Station) (Management بعمليات المراقبة عن طريق استرجاع قيمة ال objects).(mib و با مك ان ال (agent) ال إع دادات أو تغي ر (agent) ال عن د مع ين (action) أن تسبب في ح دوث (Management Station) عن طريق تعديل قيم (objects) مخصصة. العنصر الرابع : بروتوآول إدارة الشبكة protocol) :(Network Management و هو البروتوآول الذي يتم من خلاله ربط ال Station) (Management مع ال.(agent) و البروتوآول المستخدم لا دارة شبكات ال (TCP/IP) يعرف ببروتوآول إدارة الشبكة البسيط.(SNMP) القدرات الا ساسية لبروتوآول ال :(SNMP) خاصية ال (Get) : و هي تمكن ال Station) (Management م ن اس ترجاع ق يم ال (objects) الموج ودة عن د ال.(agent) خاص ية ال (Set) : و ه ي تمك ن ال Station) (Management م ن ض بط ق يم ال (objects) الموج ودة عن د ال.(agent) خاص ية ال (Notify) : و ه ي تمك ن ال (agent) م ن تنبي ه ال ) Management (Station بالا حداث المهمة. Network Management Protocol ) معماري ة بروتوآ ول إدارة ال شبكات :( Architecture آم ا ه و واض ح م ن الاس م ف ا ن بروتوآ ول ال (SNMP) ه و عب ارة ع ن أداة ب سيطة لا دارة الشبكة. و هو يعرف (MIB) محدودة و سهلة التنفي ذ للمتغي رات المعياري ة و آ ذلك ج داول ذات بعد ثناي ي. و أيضا يعرف بروتوآولا لتمكين ال (manger) من عمل (get) أو (set) لمتغيرات unsolicited ال (MIB) و تمك ين ال (agent) م ن إص دار تنبيه ات غي ر م ستحثة ).(traps) و يطلق عليها (notifications Prepared by: Abdulfattah Almashreqi 2

قوة بروتوآول ال :(SNMP) يعد هذا البروتوآول من البروتوآولات سهلة التنفيذ. يستهلك موارد شبكية و معالجة متواضعة. بنية هذا البروتوآول و آذلك بنية ال (MIB) سهلة بما فيه الكفاية لدعم ميزة المعالج ة الداخلي ة (interoperability) بين أقسام الا دارة sections) (management وبرمجيات ال.(agents) ميزات تصميم بروتوآول ال :(SNMP) صمم ليكون بروتوآولا في المستوى التطبيقي protocol).(application-level يعد جزءا من بروتوآول ال.(TCP/IP) معد للعمل فوق ال Protocol) (User Datagram أو ما نطلق عليه اختصارا.(UDP) سياق بروتوآول ال :(SNMP) يشرح الشكل التالي سياق بروتوآول ال.(SNMP) م ن ال Station) (Management تق وم ال applications) (management با ص دار ثلاث ة أن واع م ن ال messages) (SNMP هي :.GetRequest o.getnextrequest o.setrequest o الرسالتان الا وليتان هما عبارة عن نوعين من أنواع ال function).(get يقوم ال (agent) بالا خطار بهذه الثلاث الرساي ل في شكل رسالة (GetResponse) و ي تم تمري ر ه ذه الرس الة إل ى أعلى حيث ال application).(management ق د يق وم ال (agent) با ص دار message) (trap للاس تجابة لح دث م ا ي و ثر ف ي ال (MIB) و الم وارد الا ساس ية المدارة. بم ا إن ال (SNMP) يعتم د عل ى ال (UDP) و ال ذي ه و protocol) (connectionless ف ا ن ال (SNMP) س يكون أي ضا :(connectionless) بمعن ى أن ه لا توج د (connections) م ستمرة ب ين ال ) Management (Station و ال (agents) الت ابعين له ا. ب دلا ع ن ذل ك تك ون آ ل التب ادلات (exchanges) منف صلة ب ين ال.(agents) و ال (Management Station) Prepared by: Abdulfattah Almashreqi 3

البروآسيز :(Proxies) ف ي (SNMPv1) يج ب عل ى آ ل ال (agents) و آ ذلك ال Stations) (Management أن تدعم ال (UDP) و ال.(IP) و هذا يحد من الا دارة المباشرة لمثل هذه الا جهزة و يمنع أجهزة أخرى مثل بعض ال (Bridges) و ال (Modems) و التي لا تدعم أي جزء من مجموعة بروتوآول ال.(TCP/IP) للتغلب على مشكلة الا جهزة التي لا تنفذ بروتوآول ال (SNMP) تم تطوير مفهوم ال.(Proxy) و حسب هذا المفهوم يعمل ال agent) (SNMP آ (proxy) لواحد أو أآثر من ألا جهزة الا خرى. تهيي ة البروآسي Configuration) :(Proxy تقوم ال Station) (Management با رسال استعلامات إلى ال agent) (proxy الخاص بجهاز معين. يقوم ال agent) (proxy بتحويل أي استعلام إلى ال protocol) (management الذي يستخدمه هذا الجهاز. عندما تصل استجابة الاستعلام إلى ال (agent) فا نه يقوم بتمريرها إلى ال Station).(Management و بشكل مشابه إذا قام جهاز ما با رسال تنبيه بحدث معين :فا ن ال (proxy) يقوم با رسال هذا التنبيه ف ي ش كل ) trap.(message علاقات البروآسي الخارجية في :(SNMPv2) ي سمح (SNMPv2) باس تخدام مجموع ة بروتوآ ولات ال (TCP/IP) بالا ض افة عل ى بروتوآولات أخرى مث ل مجموع ة بروتوآ ولات ال.(OSI) و بالت الي يمك ن اس تخدام (SNMPv2) لا دارة مجموعة واسعة من التهيي ات الشبكية. فيم ا يتعل ق بال (proxies) ف ا ن أي جه از لا يق وم بتنفي ذ (SNMPv2) يمك ن فق ط إدارته بواسطة ال.(proxy) إذا آ ان هن اك جه از ينف ذ برمجي ة ال (agent) الخاص ة ب (SNMPv1) ف يمكن الوصول إليه من مدير ال (SNMPv2) فقط عن طريق جه از ال (proxy) ال ذي ينف ذ ال agent) (SNMPv2 و برمجية مدير ال.(SNMPv1) Prepared by: Abdulfattah Almashreqi 4

علاقات البروآسي الا صلية في :(SNMPv2) في هذه الحالة فا ن ال device) (proxied يدعم.(SNMPv2) يقوم مدير ال (SNMPv2) بالاتصال مع عقدة (node) من عقد ال (SNMPv2) و التي تعمل آ.(agent) بعد ذلك تعمل هذه العقدة آمدير للوصول إلى ال device) (proxied و الذي يمثل الا ن ال agent).(snmpv2 : SNMPv2 الا صدار الثاني من بروتوآول إدارة الشبكات البسيط نعلم أن قوة بروتوآول ال (SNMP) تكمن في بساطته. فهو يزود بمجموعة أساسية من أدوات إدارة الشبكة. و هذه الا دوات موضوعة في (package) سهلة الاستخدام و التهيي ة. لكن مع ذلك فهناك عيوب و نقاي ص في هذا البروتوآول. عيوب بروتوآول ال :(SNMP) نقص الدعم لا دارة الشبكات الموزعة Management).(Distributed Network نقاي ص وظيفية deficiencies).(functional نقاي ص في السرية deficiencies).(security النوعان الا ولان من العيوب تم تلافيهما في.(SNMPv2) أما النوع الثالث (النقاي ص في السرية) فقد تم تلافيها في.(SNMPv3) لذا سنتطرق هنا للنوعين الا ولين فقط. أولا :إدارة الشبكات الموزعة Management) :(Distributed Network سنتحدث أولا عن إدارة الشبكة المرآزية Management) (Centralized Network وفيها يتم ما يلي: يقوم أحد ال (host) بلعب دور ال Station) (Management لهذه الشبكة. مع ملاحظة أنه قد يكون هن اك أآث ر م ن.(Backup) يقوم بهذا الدور و ذلك فقط لعمل (host) بقية الا جهزة في هذه ال شبكة تحت وي عل ى برمجي ة (agent) و آ ذلك (MIB) و ذل ك حت ى يمك ن مراقبته ا و ال تحكم فيها من قبل ال Station).(Management مع نمو الشبكات و زيادة ال (traffic) أصبحت هذه الا نظمة غير ذات جدوى. و آان الحل لهذه الا ش كالية ه و تط وير إدارة لل شبكات الغي ر مرآزي ة Management) (Decentralized Network أو ما نسميها بالشبكات الموزعة Networks) (Distributed وفيها يتم ما يلي: ق د يك ون هن اك العدي د م ن ال Stations) (Management العالي ة الم ستوى والت ي ن شير إليه ا عل ى أنه ا.(Management Servers) آل (Server) منها يقوم با دارة جزء مخصص من ال.(agents) مع ذلك فا نه في العديد من ال (agents) يقوم ال Server) (Management بتف ويض المسي ولية لمدير وسيط Manager).(Intermediate يلع ب ال Manager) (Intermediate دور المراق ب و الم تحكم بك ل ال (agents) الذين هم تحت مسي وليته. ويلعب ال Manager) (Intermediate أيضا دور ال (agent) للتزويد بالمعلومات و استقبال التحكم من Server) (Management في المستوى الا على. Prepared by: Abdulfattah Almashreqi 5

و نلاح ظ أن (SNMPv2) ي دعم الا دارة لك ل م ن ال Networks) (Centralized و آ ذلك ال.(Distributed Networks) Prepared by: Abdulfattah Almashreqi 6

ثانيا : التعزيزات الوظيفية Enhancement) :(Functional يقدم الجدول التالي تطويرات وظيفية تم عملها في.(SNMPv2) تم تعريف آلا البروتوآولين SNMPv1) و (SNMPv2 عن طريق مجموع ة م ن الا وام ر و الت ي ن سيمها بوح دات بيانات البروتوآول Units) (Protocol Data أو اختصارا.(PDUs) أولا : الا صدار الا ول :(SNMPv1) يوجد خمسة أوامر هي : -1 الا مر :Get ويتم إصداره من ال manager إلى ال agent و ذلك بغرض استعادة قيم ال objects من ال.(MIB) -2 الا مر :GetNext و هو يستفيد من الحقيقة القاي لة با ن ال objects في ال (MIB) تكون مرتبة في بنية شجرية structure).(tree إذا ما ت م ت سمية object ف ي الا م ر GetNext ف ا ن ال agent يق وم با يج اد ال object الت الي ف ي ال شجرة و يرج ع قيمته. -3 الا مر :Set يمكن ال manager من تحديث القيم عند ال.agent ويستخدم أيضا لخلق و حذف الصفوف من الجدول. -4 الا مر :GetResponse يستخدمه ال agent بغرض الاستجابة لا مر ال.manager -5 الا مر :Trap يمكن ال agent من إرسال معلومة إلى ال manager بدون الانتظار لطلب ال.manager على سبيل المثال ق د يك ون ال agent مع دا لا رس ال Trap عن د ح صول ف شل ف ي ارتب اط أو عن دما يتج اوز الم رور (traffic) حده. ثانيا : الا صدار الثاني( SNMPv2 ): يحتوي على آل الا وامر الموجودة في (SNMPv1) بالا ضافة إلى أمرين جديدين: -1 الا مر :Inform و هو الا آثر أهمية. ي تم إرس اله م ن قب ل Station) (Management إل ى أخ رى وه و ش بيه ب الا مر Trap م ن حي ث احتواي ه عل ى معلومات لها علاقة بشروط و أحداث في جهة المرسل. و من ميزاته أنه يستخدم في جعل العديد من ال managers يتشارآون في تحمل مسي ولية إدارة الشبكات الكبيرة. -2 الا مر :GetBulk هو يسمح لل manager باسترجاع بلوك بيانات آبيرة في آل مرة. هذا الا مر صمم خصيصا لا رسال آل الجداول باستخدام أمر واحد. فرق أخير: الا م ر Get ف ي ال (SNMPv1) غي ر قاب ل للتجزي ة (atomic) بعك س ال.(SNMPv2) و نعن ي ب ذلك أن ه إذا آ ان الا م ر Get ف ي ال (SNMPv1) يحت وي عل ى قاي م ة م ن ال agent ال عن د objects ال أح د لا يوج د الا ق ل تكون قيمها مطلوبة وعل ى objects فا نه سيتم رفض الا مر تماما. أما في ال (SNMPv2) فا نه يمكن إرجاع نتاي ج جزي ية. Prepared by: Abdulfattah Almashreqi 7

مقارنة بين وحدات بيانات البروتوآول (PDUs) في آل من (SNMPv1) و :(SNMPv2) SNMPv1 PDU وحدات بيانات البروتوآول SNMPv2 PDU وحدات بيانات البروتوآول Direction (الاتجاه) GetRequest GetRequest Manager to agent من المدير إلى الوآيل GetRequest GetRequest Manager to agent من المدير إلى الوآيل ------ GetBulkRequest Manager to agent من المدير إلى الوآيل SetRequest SetRequest Manager to agent من المدير إلى الوآيل ------ InformRequest Manager to manager من المدير إلى المدير GetResponse Response Agent to manager or Manage to manager(snmpv2) من الوآيل إلى المدير أو من المدير إلى المدير Trap SNMPv2-Trap Agent to manager من الوآيل إلى المدير Description (الوصف ( Request value for each listed object يتم طلب قيمة لكل آاي ن في القاي مة Request next value for each listed object يتم طلب القيمة التالية لكل آاي ن في القاي مة Request multiple values يتم طلب قيم متعددة Set value for each listed object يتم وضع قيمة لكل آاي ن في القاي مة Transmit unsolicited information يتم إرسال معلومة تطوعية Respond to manager request تتم الاستجابة لطلب المدير Transmit unsolicited information يتم إرسال معلومة تطوعية Prepared by: Abdulfattah Almashreqi 8

2.8 تسهيل مجتمع الا صدار الا ول من بروتوآول إدارة الشبكات البسيط 8.2 SNMPv1 Community Facility المجتمعات و أسماء المجتمع :Communities and Community Names تت شابه إدارة ال شبكة Management) (Network م ع التطبيق ات الموزع ة Applications) (Distributed ف ي أنها تتضمن عددا من آينونات التطبيق المدعومة من قبل ال Protocol).(Application فم ثلا ف ي حال ة إدارة ال شبكة بواس طة (SNMP) ف ا ن التطبيق ات الم ستخدمة ه ي: تطبيق ات الم دير ) Manager.(Agent applications) و تطبيقات الوآيل (applications تتضمن إدارة الشبكة بواسطة (SNMP) على خصاي ص ليست موجودة في آل التطبيقات الموزعة: يت ضمن التطبي ق عل ى علاق ة (one-to-many) ب ين ال manager و مجموع ة م ن ال :agents و ه ذا يعن ي أن ال.agents من ال traps و آذلك استقبال agents لكل ال objects لل get و set قادر على عمل manager يت ضمن التطبي ق عل ى علاق ة (one-to-many) ب ين ال agent و مجموع ة م ن ال :managers حي ث ي تحكم آ ل agent بال (MIB) الخاصة به و يجب أن يكون قادرا على التحكم في استخدام هذه ال (MIB) من قبل مجموع ة م ن ال.managers أوجه تحكم ال agent بال (MIB) المحلية الخاصة به: هناك ثلاثة أوجه لهذا التحكم و هي: خدمة التوثق :Authentication Service قد يريد ال agent أن يجعل الوصول إلى ال (MIB) مقصورا على ال managers الذين لديهم صلاحية. الغ رض م ن ه ذه الخدم ة ف ي (SNMPv1) ه و التا آي د للم ستقبل أن رس الة ال (SNMPv1) قادم ة م ن الم صدر الصحيح. و ا لية عمل التوثق في (SNMPv1) هو أن آل رسالة من ال manager إلى ال agent يج ب أن تت ضمن عل ى "اس م مجتمع" Name) (Community هذا الاسم يعمل آكلمة مرور و سيكون ال manager ذو موثوقية فق ط إذا آ ان يعرف هذه الكلمة. سياسة الوصول :Access Policy قد يريد ال agent أن يعطي امتيازات وصول مختلفة لل managers المختلفين. بع د تعري ف ال (Community) يق وم ال agent بق صر الوص ول لل (MIB) الخاص ة ب ه عل ى مجموع ة م ن ال.managers باستخدام أآثر من (Community) يمكن لل agent أن يزود بتصنيفات مختلفة للوصول لل (MIB) ح سب ت صنيف ال.managers هناك مجالين للتحكم بالوصول و اثنين إضافيين: الا ول : view) :(SNMP MIB مجموعة من ال objects داخل ال.(MIB) يمكن تعريف views) (MIB مختلفة لكل.(Community) ل يس بال ضرورة أن مجموع ة ال objects ف ي ال (view) تنتم ي إل ى ش جرة فرعي ة واحدة في ال.(MIB) الثاني : mode) :(SNMP access عنصر من المجموعة WRITE).(READ ONLY, READ يتم تعريفه لكل.(Community) Prepared by: Abdulfattah Almashreqi 9

الثالث : profile) :(SNMP community و هو عبارة عن ترآيب من ال view) (MIB و ال mode).(access يتكون من مجموعة جزي ية معرفة من ال (MIB) عند ال + agent ال access mode لهو لاء ال.objects الرابع : policy) :(SNMP access و هو عبارة عن ترآيب من ال Community) (SNMP و ال profile).(snmp community الشكل التالي يوضح آل هذه المفاهيم. خدمة البروآسي Service) :(Proxy يعد مفهوم ال (Community) مهما في دعم خدمة البروآسي. نعلم أن البروآسي هو عبارة عن agent) (SNMP يعمل من قبل أجهزة أخرى خارجية. في بعض الحالات قد يدعم النظام الخاضع لعمليات البروآ سي بروتوآ ول ال (SNMP) و لك ن البروآ سي ي ستخدم لتقليل التفاعل بين ال Device) (Proxied وأنظمة إدارة الشبكات. تم بحمد االله Prepared by: Abdulfattah Almashreqi 10