SNMPv3
Főnév
SNMPv3 (tsz. SNMPv3s)
- (informatika) Bár az SNMPv3 a kriptográfiai biztonságon kívül nem változtat a protokollon, az új szövegkonvenciók, fogalmak és terminológia miatt nagyon eltérően néz ki. [ 1 ] A leglátványosabb változás az SNMP biztonságos verziójának meghatározása volt az SNMP biztonsági és távoli konfigurációs fejlesztéseivel. [ 18 ] A biztonsági szempontot az erős hitelesítés és a magánélet védelmét szolgáló adattitkosítás kínálja. Az adminisztrációs szempontból az SNMPv3 két részre összpontosít, nevezetesen az értesítések készítőire és a proxy továbbítókra. A változtatások megkönnyítik az SNMP entitások távoli konfigurálását és adminisztrációját, valamint a nagyszabású telepítéssel, elszámolással és hibakezeléssel kapcsolatos problémák megoldását.
Jellemzők és fejlesztések:
SNMP-entitások azonosítása, hogy megkönnyítse a kommunikációt csak az ismert SNMP-entitások között – Minden SNMP-entitás rendelkezik egy SNMPEngineID-nek nevezett azonosítóval, és az SNMP-kommunikáció csak akkor lehetséges, ha egy SNMP-entitás ismeri társának azonosságát. A csapdák és az értesítések kivételek e szabály alól. Biztonsági modellek támogatása – A biztonsági modell meghatározhatja a biztonsági szabályzatot egy adminisztrációs tartományon vagy intraneten belül. Az SNMPv3 tartalmazza a felhasználói alapú biztonsági modell (USM) specifikációit. Biztonsági célok meghatározása, ahol az üzenet-hitelesítési szolgáltatás céljai közé tartozik a következők elleni védelem: Információk módosítása – Védelem bizonyos jogosulatlan SNMP-entitások ellen, amelyek megváltoztatják a felhatalmazott megbízó által generált továbbítás közbeni üzeneteket . Álarcos – Védelem az egyes megbízók számára nem engedélyezett kezelési műveletek megkísérlésével szemben egy másik, a megfelelő jogosultságokkal rendelkező megbízó azonosságának felvételével. Üzenetfolyam módosítása – Védelem az üzenetek rosszindulatú újrarendezése, késleltetése vagy visszajátszása ellen, amelyek hatással lehetnek a jogosulatlan kezelési műveletekre. Közzététel – Védelem a lehallgatás ellen az SNMP-motorok közötti adatcsere során. Az USM specifikációja – az USM a következő elérhető kommunikációs mechanizmusok általános meghatározásából áll: Kommunikáció hitelesítés és adatvédelem nélkül (NoAuthNoPriv). Kommunikáció hitelesítéssel és adatvédelem nélkül (AuthNoPriv). Kommunikáció hitelesítéssel és adatvédelemmel (AuthPriv). Különböző hitelesítési és adatvédelmi protokollok meghatározása – az MD5, SHA és HMAC-SHA-2 [ 19 ] hitelesítési protokollok, valamint a CBC_DES és CFB_AES_128 adatvédelmi protokollok támogatottak az USM-ben. Felderítési eljárás meghatározása – Egy SNMP-entitás SNMPEngineID-jének megtalálása egy adott szállítási címhez és szállítási végpont címhez. Az időszinkronizálási eljárás meghatározása – Az SNMP entitások közötti hitelesített kommunikáció megkönnyítése. Az SNMP keretrendszer meghatározása MIB – Az SNMP entitás távoli konfigurációjának és adminisztrációjának megkönnyítése. Az USM MIB-ek meghatározása – A biztonsági modul távoli konfigurálásának és adminisztrációjának megkönnyítése. Nézetalapú hozzáférés-vezérlési modell (VACM) MIB-ek meghatározása – A hozzáférés-vezérlő modul távoli konfigurálásának és adminisztrációjának megkönnyítése. A biztonság volt az SNMP egyik legnagyobb gyengesége a v3-ig. Az SNMP 1. és 2. verziójában a hitelesítés nem jelent mást, mint egy jelszót (közösségi karakterláncot), amelyet tiszta szövegben küldenek el a menedzser és az ügynök között. [ 1 ] Minden SNMPv3 üzenet biztonsági paramétereket tartalmaz, amelyek oktett karakterláncként vannak kódolva. Ezeknek a biztonsági paramétereknek a jelentése a használt biztonsági modelltől függ. [ 20 ] A biztonsági megközelítés a v3-ban a következőket célozza: [ 21 ]
Titoktartás – Csomagok titkosítása a jogosulatlan források általi leskelődés megelőzése érdekében. Integritás – Üzenet integritása annak biztosítására, hogy a csomagot továbbítás közben ne manipulálják, beleértve az opcionális csomagvisszajátszás védelmi mechanizmust. Hitelesítés – annak ellenőrzése, hogy az üzenet érvényes forrásból származik-e. A v3 meghatározza az USM-et és a VACM-et is, amelyeket később egy szállítási biztonsági modell (TSM) követett, amely az SNMPv3-t SSH-n, valamint az SNMPv3-t TLS-en és DTLS-en keresztül nyújtotta.
Az USM (User-based Security Model) hitelesítési és adatvédelmi (titkosítási) funkciókat biztosít, és üzenetszinten működik. A VACM (View-based Access Control Model) meghatározza, hogy egy adott megbízó hozzáfér-e egy adott MIB objektumhoz meghatározott funkciók végrehajtásához, és a PDU szinten működik. A TSM (Transport Security Model) módszert biztosít az üzenetek hitelesítésére és titkosítására külső biztonsági csatornákon keresztül. Két szállítás, az SSH és a TLS/DTLS került meghatározásra, amelyek a TSM specifikációt használják. 2004-től az IETF az RFC 3411 – RFC 3418 [ 22 ] (más néven STD0062) által meghatározott Simple Network Management Protocol 3-as verzióját ismeri fel az SNMP jelenlegi szabványos verziójaként. Az IETF az SNMPv3-at teljes körű internetes szabványnak minősítette , [ 23 ] ez az RFC legmagasabb érettségi szintje . A korábbi verziókat elavultnak tekinti (különbözőképpen történelminek vagy elavultnak jelöli őket ). [ 15 ]