Normalizace Internetu -- předběžné varování o SNMP

Technicky orientované čtenáře jistě zajímá, co se děje na poli vývoje nových protokolů a technologií, na nichž je Internet postaven. Vzhledem k tomu, že technologický vývoj a výzkum Internetové komunity je věcí veřejnou, jsou výsledky práce expertů a připomínkování z řad technické veřejnosti snadno na Internetu dostupné. Ale denně vzniká řada nových námětů (Internet drafts), na nichž se pracuje v rámci IETF (Internet Engineering Task Force), hlavním správci de facto internetové normalizace. A téměř ob týden je schváleno nové RFC (Request for Comment), které může znamenat podstatnou změnu Internetu do budoucna, zejména pokud se jedná o normu (standard) nebo o první významný krok k ní (v první fázi draft standard, následuje proposed standard). Proto málokdo stihne opravdu důkladně sledovat vše, co se ho může v této oblasti bezprostředně týkat. Právě z tohoto důvodu jsme se rozhodli stručně přinášet zajímavé informace o novinkách ze zákulisí vývoje normalizace Internetu.

Protokol SNMP (Simple Network Management Protocol) vyhrál na celé čáře v oblasti síťového managementu právě pro svoji jednoduchou implementaci a současně dostatečnou výkonnost:

• vystačí s několika málo operacemi iniciovanými manažerem (stanicí managementu), jako get („čti“ hodnotu objektu v MIB, Management Information Base), set („zapiš“ novou hodnotu proměnné do MIB), případně get-next (prohlížej tabulkový objekt v MIB);
• má malý dopad a požadavky na agenty (zařízení v síti, nad nimiž má dohled stanice managementu), jejich paměťovou a procesní kapacitu. Jedinou operaci, kterou agenti iniciují sami, na rozdíl od odezvy na požadavek ze strany manažera, je trap (oznámení o tom, že se s agentem něco děje, jinými slovy žádost o podrobnější zjištění a nápravu);
• pracuje na základě nespolehlivého transportního protokolu UDP (User Datagram Protocol), takže nepotřebuje pro výměnu svých řídicích hlášení navazovat a udržovat spojení po TCP (Transmission Control Protocol).

Protokol SNMP ve svých počátcích (na začátku 90. let) nebyl považován za komplexní řešení managementu sítí, spíše se předpokládalo, že jej v krátké době nahradí normalizovaný přístup k managementu v rámci OSI (Open Systems Interconnection), nepoměrně náročnější a schopnější protokol CMIP (Common Management Information Protocol). I jeho název, který napovídal něco o možném společném nebo běžném managementu všech typů sítí, stál v prudkém protikladu k jednoduchosti v názvu i struktuře SNMP.

Verze 1 – maximální uplatnění

SNMP verze 1 byl přijat v roce jako základní sada dokumentů specifikujících nejen protokol (RFC 1157), ale samozřejmě strukturu informace pro management (RFC 1155) a MIB I (RFC 1156), původní MIB byla záhy v r. 1991 nahrazena MIB II (RFC 1213). Jako norma Internetu pro management byly později přijaty RFC 1155, 1157, 1213 a 1212 (definice MIB) platné dodnes. Jenomže protokol SNMP tak, jak byl navržen a schválen v roce 1990, tedy verze 1, možná již déle jako norma Internetu neobstojí.

Verze 2 – nedostatek konsensu

SNMP verze 2 byla rozpracována jako návrh normy v letech 1991–1993 v dokumentech RFC 1441–1452 (duben 1993), částečně přepracována do roku 1995 v dokumentech 1901–1910 (přijato jako návrh v lednu 1996). Poměrně brzká práce na změnách verze 1 protokolu se týkala především děr v bezpečnosti, které v sobě SNMPv1 má, tj. nedostatečně jištění kdo s kým a jak smí oprávněně komunikovat (a měnit tak stav a funkčnost síťových zařízení). Pracovní skupina SNMPv2 však měla velké rozbroje a nebyla schopna se dohodnout na jednotném postupu (připomínám, že principem práce v rámci IETF je – termín u nás tolik obehraný – konsensus), takže nepřekvapí, že SNMPv2 je dnes posunut do oblasti experimentální a pokračování v normalizačním procesu tímto směrem bylo prostě zastaveno a skupina rozpuštěna. Kdo čekal na výsledky práce na SNMPv2 a na zavedení vylepšeného protokolu SNMP, se tedy v devadesátých letech nedočkal.

Verze 3 – budoucí norma?

Nicméně práce se v této oblasti samozřejmě nezastavila: vznikla pracovní skupina nová a, jak jinak, začala pracovat na verzi 3, která maximálně využívá principů dvou směrů práce předchozí skupiny: V2u a V2*. SNMPv3 stojí na stejných principech jako SNMP verze 1, ale přidává také některé z principů navržených pro verzi 2, a přitom vylepšuje bezpečnostní mechanismus i celé pojetí architektury. U SNMPv2 se hlavní překážkou zavádění stal velmi složitý a obtížně konfigurovatelný zabezpečovací mechanismus.

SNMP verze 3 doplňuje rámec managementu sítě podle SNMP verze 1 a 2 novým formátem zpráv SNMP, bezpečnostním mechanismem zpráv a řízením přístupu k síťovým zařízením. Bezpečnostní mechanismus se především zaměřuje na ochranu zpráv SNMP při cestě sítí (před zničením, změnou dat nebo jejich odposlechem) a verifikaci zdroje zpráv SNMP. Proto se uplatňují služby zachování integrace a důvěrnosti dat, verifikace zdroje informace a dodržení časových režimů (zamezení zpoždění nebo opakování zpráv).

Základní specifikace protokolu jsou popsány v RFC 2571–2275, která jsou dosud označena nálepkou návrh normy (draft standard) IETF. Nicméně IESG (Internet Engineering Steering Group), řídicí skupina pod vedením IETF zodpovědná za vývoj norem, právě požádala o přijetí výše uvedených RFC jako plnohodnotných norem (pouze s mírnými změnami textu, nepodstatnými z hlediska obsahu).

To by znamenalo prohlášení stávajícího protokolu SNMPv1 historickým, jinými slovy tento krok by si vyžádal přechod od zavedeného protokolu SNMPv1 k SNMPv3. Pokud k tomuto vývoji máte nějakou připomínku, do konce ledna je přijímá IESG a IETF na adresách iesg@ietf.org nebo ietf@ietf.org, poté se učiní konečné rozhodnutí.

Zdroje

Kdo se chce alespoň v základech seznámit s protokolem SNMPv3, pak doporučuji následující dokument:

• RFC 2570 Introduction to Version 3 of the Internet-standard Network Management Framework (INFORMATIONAL)

Platné podrobnosti SNMPv3 jsou zatím v následujících RFC, která mohou být záhy vyměněna za novější, tj. s čísly někde kolem RFC 32×x (jak aktualizovaná, tak nová RFC dostávají vždy přiřazeno nové číslo v posloupnosti jejich přijetí).

• RFC 2571 An Architecture for Describing SNMP Management Frameworks (DRAFT STANDARD) (návrh na změnu)
• RFC 2572 Message Processing and Dispatching for the Simple Network Management Protocol (SNMP) (DRAFT STANDARD) (návrh na změnu)
• RFC 2573 SNMP Applications (DRAFT STANDARD) (návrh na změnu)
• RFC 2574 User-based Security Model (USM) for version 3 of the Simple Network Management Protocol (SNMPv3) (DRAFT STANDARD) (návrh na změnu)
• RFC 2575 View-based Access Control Model (VACM) for the Simple Network Management Protocol (SNMP) (DRAFT STANDARD) (návrh na změnu)
• RFC 2576 Coexistence between Version 1, Version 2, and Version 3 of the Internet-standard Network Management Framework (PROPOSED STANDARD)

Následující RFC jsou platnými normami – STD0058 (viz přehled přijatých norem IETF v RFC 3000) – pro strukturu informace pro management:

• RFC 2578 Structure of Management Information Version 2 (SMIv2) (STANDARD)
• RFC 2579 Textual Conventions for SMIv2 (STANDARD)
• RFC 2580 Conformance Statements for SMIv2 (STANDARD)

Kdo si chce být jistý platností a aktuálností RFC, musí nahlédnout do indexu RFC, který je aktualizován pravidelně s jakoukoli změnou RFC, jejich přijetím, odvoláním, změnou statusu. Pokud má nějaké RFC svého nástupce, v indexu je u něho poznámka zastaralé (obsolete) s informací, které RFC jej nahrazuje. Historickým se tak RFC-norma stává pouze tehdy, pokud nemá přímého nástupce (např. právě u nových verzí daného protokolu) a dále se v Internetu nepoužívá. Vyhledávat RFC lze zde nebo zde.