Простой протокол управления сетью - Simple Network Management Protocol

SNMPv3 STD0062
Протокол связи
Слой OSIзаявка
Порт (ы)161, 162 (Ловушка)
RFC (ы)3411–3418
Безопасный SNMP
Протокол связи
Слой OSIзаявка
Порт (ы)10161, 10162 (ловушка)
RFC (ы)6353

Простой протокол управления сетью (SNMP) является Интернет Стандарт протокол для сбора и систематизации информации об управляемых устройствах на IP сетей и для изменения этой информации, чтобы изменить поведение устройства. Устройства, которые обычно поддерживают SNMP, включают кабельные модемы, маршрутизаторы, коммутаторы, серверы, рабочие станции, принтеры и многое другое.[1]

SNMP широко используется в управление сетью для сетевой мониторинг. SNMP предоставляет данные управления в форме переменных в управляемых системах, организованных в виде база управленческой информации (MIB), которые описывают состояние и конфигурацию системы. Затем эти переменные могут быть запрошены удаленно (и, в некоторых случаях, ими можно управлять), управляя приложениями.

Были разработаны и развернуты три важные версии SNMP. SNMPv1 - это исходная версия протокола. Более свежие версии, SNMPv2c и SNMPv3, улучшают производительность, гибкость и безопасность.

SNMP - это компонент Пакет Интернет-протокола как определено Инженерная группа Интернета (IETF). Он состоит из набора стандарты для управления сетью, включая прикладной уровень протокол, база данных схема, и набор объекты данных.[2]

Обзор и основные понятия

Принцип связи SNMP

При типичном использовании SNMP один или несколько административных компьютеров вызывают менеджеры есть задача мониторинга или управления группой хостов или устройств на компьютерная сеть. Каждая управляемая система выполняет программный компонент, называемый агент который сообщает информацию через SNMP менеджеру.

Сеть под управлением SNMP состоит из трех основных компонентов:

  • Управляемые устройства
  • Агент - программное обеспечение, работающее на управляемых устройствах
  • Станция управления сетью (NMS) - программа, которая запускается на менеджере

А управляемое устройство представляет собой сетевой узел, который реализует интерфейс SNMP, который обеспечивает однонаправленный (только для чтения) или двунаправленный (чтение и запись) доступ к информации, относящейся к узлу. Управляемые устройства обмениваются информацией об узлах с NMS. Управляемые устройства, которые иногда называются сетевыми элементами, могут быть любого типа, включая, помимо прочего, маршрутизаторы, доступ к серверам, переключатели, кабельные модемы, мосты, узлы, IP телефоны, IP видеокамеры, компьютер хозяева, и принтеры.

An агент это программный модуль для управления сетью, который находится на управляемом устройстве. Агент владеет местной информацией об управлении и переводит эту информацию в или из специальной формы SNMP.

А станция управления сетью выполняет приложения, которые отслеживают и контролируют управляемые устройства. NMS предоставляют большую часть ресурсов обработки и памяти, необходимых для управления сетью. Одна или несколько NMS могут существовать в любой управляемой сети.

База управленческой информации

Агенты SNMP предоставляют данные управления управляемыми системами как переменные. Протокол также позволяет выполнять активные задачи управления, такие как изменение конфигурации, посредством удаленного изменения этих переменных. Переменные, доступные через SNMP, организованы в иерархии. Сам SNMP не определяет, какие переменные должна предлагать управляемая система. Скорее, SNMP использует расширяемую структуру, которая позволяет приложениям определять свои собственные иерархии. Эти иерархии описываются как база управленческой информации (MIB). MIB описывают структуру данных управления подсистемы устройства; они используют иерархическое пространство имен содержащий идентификаторы объекта (OID). Каждый OID идентифицирует переменную, которую можно прочитать или установить через SNMP. MIB используют обозначения, определенные Структура управленческой информации Версия 2.0 (SMIv2, RFC  2578 ), подмножество ASN.1.

Детали протокола

SNMP работает в прикладной уровень из Набор интернет-протоколов. Все сообщения SNMP передаются через Протокол пользовательских датаграмм (UDP). Агент SNMP получает запросы на UDP порт 161. Менеджер может отправлять запросы с любого доступного исходного порта на порт 161 в агенте. Ответ агента отправляется обратно на исходный порт диспетчера. Менеджер получает уведомления (Ловушки и InformRequests ) на порт 162. Агент может генерировать уведомления с любого доступного порта. При использовании с Безопасность транспортного уровня или Безопасность на транспортном уровне дейтаграмм запросы принимаются на порт 10161, а уведомления отправляются на порт 10162.[3]

SNMPv1 определяет пять основных блоки данных протокола (PDU). Два других PDU, GetBulkRequest и InformRequest были добавлены в SNMPv2 и Отчет PDU был добавлен в SNMPv3. Все PDU SNMP построены следующим образом:

Заголовок IPЗаголовок UDPверсиясообществоТип PDUидентификатор запросастатус ошибкииндекс ошибкипривязки переменных

Семь типов PDU SNMP, обозначенных Тип PDU поля следующие:

GetRequest
Запрос от менеджера к агенту для получения значения переменной или списка переменных. Желаемые переменные указываются в привязках переменных (поле значения не используется). Получение значений указанных переменных должно выполняться как атомная операция агентом. А отклик с текущими значениями возвращается.
SetRequest
Запрос от менеджера к агенту на изменение значения переменной или списка переменных. Привязки переменных указываются в теле запроса. Изменения всех указанных переменных должны выполняться агентом как атомарная операция. А отклик с (текущими) новыми значениями для переменных возвращается.
GetNextRequest
Запрос от менеджера к агенту для обнаружения доступных переменных и их значений. Возвращает отклик с переменной привязкой для лексикографически следующий переменная в MIB. Всю MIB агента можно пройти с помощью итеративного применения GetNextRequest начиная с OID 0. Строки таблицы можно прочитать, указав OID столбцов в привязках переменных запроса.
GetBulkRequest
Запрос от менеджера к агенту для нескольких итераций GetNextRequest. Оптимизированная версия GetNextRequest. Возвращает отклик с несколькими привязками переменных, перешедших от привязки переменных или привязок в запросе. Специфичный для PDU не повторители и макс-повторы поля используются для управления поведением ответа. GetBulkRequest был представлен в SNMPv2.
отклик
Возвращает привязки переменных и подтверждение от агента к менеджеру для GetRequest, SetRequest, GetNextRequest, GetBulkRequest и InformRequest. Отчет об ошибках предоставляется статус ошибки и индекс ошибки поля. Хотя он использовался как ответ как на получение, так и на установку, этот PDU назывался GetResponse в SNMPv1.
Ловушка
Асинхронное уведомление от агента к менеджеру. В то время как при другом обмене данными по протоколу SNMP менеджер активно запрашивает информацию у агента, это PDU, которые отправляются от агента к менеджеру без явного запроса. SNMP ловушки позволяют агенту уведомлять станцию ​​управления о важных событиях посредством незапрашиваемого сообщения SNMP. PDU ловушки включают текущие sysUpTime value, OID, определяющий тип ловушки и необязательные привязки переменных. Адресация места назначения для прерываний определяется в зависимости от приложения, как правило, через переменные конфигурации прерываний в MIB. Формат сообщения прерывания был изменен в SNMPv2, а PDU был переименован. SNMPv2-ловушка.
InformRequest
Подтвержденное асинхронное уведомление. Этот PDU был представлен в SNMPv2 и изначально определялся как менеджер к менеджеру общение.[4] Более поздние реализации ослабили исходное определение, чтобы позволить агент менеджеру коммуникации.[5][6][7] Уведомления между менеджерами уже были возможны в SNMPv1 с использованием Ловушка, но поскольку SNMP обычно работает через UDP, где доставка не гарантируется и об отброшенных пакетах не сообщается, доставка Ловушка не было гарантировано. InformRequest исправляет это, поскольку подтверждение возвращается при получении.[6]

RFC  1157 указывает, что реализация SNMP должна принимать сообщение длиной не менее 484 байтов. На практике реализации SNMP принимают более длинные сообщения.[8]:1870 При правильной реализации сообщение SNMP отбрасывается, если декодирование сообщения терпит неудачу, и, таким образом, искаженные запросы SNMP игнорируются. Затем успешно декодированный запрос SNMP аутентифицируется с использованием строки сообщества. В случае сбоя аутентификации создается ловушка, указывающая на сбой аутентификации, и сообщение отбрасывается.[8]:1871

SNMPv1 и SNMPv2 используют сообщества установить доверительные отношения между менеджерами и агентами. Большинство агентов поддерживают три имени сообщества, по одному для чтения, чтения-записи и прерывания. Эти три группы сообщества управляют различными видами деятельности. Сообщество только для чтения относится к получить Запросы. Строка сообщества для чтения и записи применяется к набор Запросы. Строка сообщества ловушки применяется к получению ловушки. SNMPv3 также использует строки сообщества, но обеспечивает безопасную аутентификацию и связь между диспетчером SNMP и агентом.[9]

Версии протокола

На практике реализации SNMP часто поддерживают несколько версий: обычно SNMPv1, SNMPv2c и SNMPv3.[10][11]

Версия 1

SNMP версии 1 (SNMPv1) - это начальная реализация протокола SNMP. Дизайн SNMPv1 был разработан в 1980-х годах группой сотрудников, которые рассматривали официально спонсируемые OSI / IETF / NSF (Национальный научный фонд) проект (HEMS / CMIS / CMIP) как неприменимые для вычислительных платформ того времени, а также потенциально неработоспособный. SNMP был утвержден на основании убеждения, что это промежуточный протокол, необходимый для принятия мер по крупномасштабному развертыванию Интернета и его коммерциализации.

Первый Запрос комментариев (RFC) для SNMP, теперь известного как SNMPv1, появились в 1988 году:

  • RFC  1065 - Структура и идентификация управляющей информации для сетей на базе TCP / IP
  • RFC  1066 - База управляющей информации для сетевого управления сетями на базе TCP / IP
  • RFC  1067 - Простой протокол управления сетью

В 1990 году эти документы были заменены:

  • RFC  1155 - Структура и идентификация управляющей информации для сетей на базе TCP / IP
  • RFC  1156 - База управляющей информации для сетевого управления сетями на базе TCP / IP
  • RFC  1157 - Простой протокол управления сетью

В 1991 г. RFC  1156 (MIB-1) был заменен на более часто используемые:

  • RFC  1213 - Версия 2 базы управляющей информации (MIB-2) для сетевого управления сетями на базе TCP / IP

SNMPv1 широко используется и является де-факто протокол сетевого управления в Интернет-сообществе.[12]

SNMPv1 может передаваться транспортный уровень протоколы, такие как протокол дейтаграмм пользователя (UDP), интернет-протокол (IP), OSI Сетевая служба в режиме без установления соединения (CLNS), AppleTalk Протокол доставки дейтаграмм (DDP) и Novell Межсетевой обмен пакетами (IPX).

Версия 1 подверглась критике за ее плохую безопасность.[13] Фактически, спецификация оставляет место для использования пользовательской аутентификации, но широко используемые реализации «поддерживают только тривиальную службу аутентификации, которая идентифицирует все сообщения SNMP как подлинные сообщения SNMP».[14] Таким образом, безопасность сообщений зависит от безопасности каналов, по которым отправляются сообщения. Например, организация может считать свою внутреннюю сеть достаточно безопасной, так что для ее сообщений SNMP не требуется шифрование. В таких случаях "название сообщества", которое передается в открытый текст, как правило, рассматривается как фактический пароль, несмотря на исходную спецификацию.

Версия 2

SNMPv2, определяемый RFC  1441 и RFC  1452, обновляет версию 1 и включает улучшения в области производительности, безопасности и взаимодействия между менеджерами. Он представил GetBulkRequest, альтернатива итеративным GetNextRequests для получения больших объемов управляющих данных за один запрос. Новая партийная система безопасности, представленная в SNMPv2, которую многие считают чрезмерно сложной, не получила широкого распространения.[13] Эта версия SNMP достигла уровня зрелости предлагаемого стандарта, но более поздние версии сочли ее устаревшей.[15]

Протокол простого управления сетью на основе сообщества версии 2, или SNMPv2c, определяется в RFC  1901RFC  1908. SNMPv2c включает SNMPv2 без спорная новая модель безопасности SNMP v2, использующая вместо этого простую схему безопасности SNMPv1, основанную на сообществе. Эта версия является одним из относительно немногих стандартов, соответствующих уровню зрелости проекта стандарта IETF, и широко считалась де-факто Стандарт SNMPv2.[15] Позже он был переформулирован как часть SNMPv3.[16]

Пользовательский простой протокол управления сетью версии 2, или SNMPv2u, определяется в RFC  1909RFC  1910. Это компромисс, который пытается предложить большую безопасность, чем SNMPv1, но без высокой сложности SNMPv2. Вариант этого был коммерциализирован как SNMP v2 *, и этот механизм в конечном итоге был принят как одна из двух структур безопасности в SNMP v3.[17]

64-битные счетчики

В SNMP версии 2 появилась возможность использовать 64-битные счетчики данных. Версия 1 была разработана только с 32-битными счетчиками, которые могут хранить целые числа от нуля до 4,29 миллиарда (точно 4 294 967 295). 32-битный счетчик версии 1 не может хранить максимальную скорость интерфейса 10 гигабит или больше, выраженную в битах в секунду. Точно так же статистика отслеживания 32-битного счетчика для интерфейса 10 гигабит или больше может снова вернуться к нулю менее чем за одну минуту, что может быть более коротким интервалом времени, чем опрашивается счетчик для чтения своего текущего состояния. Это может привести к потере или недействительности данных из-за необнаруженного переноса значений и повреждению данных отслеживания тенденций.

64-битный счетчик версии 2 может хранить значения от нуля до 18,4 квинтиллионов (точно 18 446 744 073 709 551 615), и поэтому в настоящее время маловероятно, что произойдет переключение счетчика между событиями опроса. Например, 1.6 терабитный Ethernet ожидается, что он станет доступным к 2025 году. 64-битный счетчик, увеличивающийся со скоростью 1,6 триллиона бит в секунду, сможет сохранять информацию для такого интерфейса без переноса данных в течение 133 дней.

Совместимость SNMPv1 и SNMPv2c

SNMPv2c несовместим с SNMPv1 в двух ключевых областях: форматы сообщений и операции протокола. Сообщения SNMPv2c используют разные форматы заголовков и протокольных единиц данных (PDU), чем сообщения SNMPv1. SNMPv2c также использует две операции протокола, которые не указаны в SNMPv1. Чтобы преодолеть несовместимость, RFC  3584 определяет две стратегии сосуществования SNMPv1 / v2c: прокси-агенты и двуязычные системы управления сетью.

Прокси-агенты

Агент SNMPv2 может действовать как прокси-агент от имени управляемых устройств SNMPv1. Когда SNMPv2 NMS выдает команду, предназначенную для агента SNMPv1, она вместо этого отправляет ее прокси-агенту SNMPv2. Прокси-агент пересылает Получить, GetNext, и Набор сообщения агенту SNMPv1 без изменений. Сообщения GetBulk преобразуются прокси-агентом в GetNext сообщения, а затем пересылаются агенту SNMPv1. Кроме того, прокси-агент получает и сопоставляет сообщения прерывания SNMPv1 с сообщениями прерывания SNMPv2, а затем пересылает их в NMS.

Двуязычная система управления сетью

Двуязычные системы управления сетью SNMPv2 поддерживают как SNMPv1, так и SNMPv2. Для поддержки этой среды двойного управления приложение управления исследует информацию, хранящуюся в локальной базе данных, чтобы определить, поддерживает ли агент SNMPv1 или SNMPv2. Основываясь на информации в базе данных, NMS связывается с агентом, используя соответствующую версию SNMP.

Версия 3

Хотя SNMPv3 не вносит никаких изменений в протокол, кроме добавления криптографической безопасности, он выглядит совсем иначе из-за новых текстовых соглашений, концепций и терминологии.[1] Наиболее заметным изменением было определение безопасной версии SNMP путем добавления в SNMP усовершенствований безопасности и удаленной настройки.[18] Аспект безопасности решается за счет предложения строгой аутентификации и шифрования данных для обеспечения конфиденциальности. Что касается административного аспекта, SNMPv3 фокусируется на двух частях, а именно на отправителях уведомлений и прокси-серверах. Изменения также облегчают удаленную настройку и администрирование объектов SNMP, а также решение проблем, связанных с крупномасштабным развертыванием, учетом и устранением неисправностей.

Включенные функции и улучшения:

  • Идентификация объектов SNMP для облегчения связи только между известными объектами SNMP - Каждый объект SNMP имеет идентификатор, называемый SNMPEngineID, и обмен данными по протоколу SNMP возможен только в том случае, если объекту SNMP известен идентификатор своего однорангового узла. Ловушки и уведомления - исключения из этого правила.
  • Поддержка моделей безопасности. Модель безопасности может определять политику безопасности в административном домене или интрасети. SNMPv3 содержит спецификации для модели безопасности на основе пользователей (USM).
  • Определение целей безопасности, в которых цели службы аутентификации сообщений включают защиту от следующего:
    • Модификация информации - защита от несанкционированного изменения объекта SNMP сообщения в пути генерируется авторизованным принципалом.
    • Маскарад - защита от попыток выполнения операций управления, не разрешенных для какого-либо принципала, путем присвоения идентичности другому принципалу, имеющему соответствующие полномочия.
    • Модификация потока сообщений - защита от злонамеренного переупорядочивания, задержки или повторного воспроизведения сообщений, чтобы повлиять на несанкционированные операции управления.
    • Раскрытие информации - Защита от перехвата при обмене данными между механизмами SNMP.
  • Спецификация USM - USM состоит из общего определения следующих доступных механизмов связи:
    • Общение без аутентификации и конфиденциальности (NoAuthNoPriv).
    • Связь с аутентификацией и без конфиденциальности (AuthNoPriv).
    • Связь с аутентификацией и конфиденциальностью (AuthPriv).
  • Определение различных протоколов аутентификации и конфиденциальности - MD5, SHA и HMAC-SHA-2[19] протоколы аутентификации и протоколы конфиденциальности CBC_DES и CFB_AES_128 поддерживаются в USM.
  • Определение процедуры обнаружения - найти SNMPEngineID объекта SNMP для данного транспортного адреса и адреса транспортной конечной точки.
  • Определение процедуры синхронизации времени - для облегчения аутентифицированной связи между объектами SNMP.
  • Определение MIB структуры SNMP - для облегчения удаленной настройки и администрирования объекта SNMP.
  • Определение MIB USM - для облегчения удаленной настройки и администрирования модуля безопасности.
  • Определение MIB модели управления доступом на основе представлений (VACM) - для облегчения удаленной настройки и администрирования модуля управления доступом.

Безопасность была одной из самых слабых сторон SNMP до v3. Аутентификация в версиях 1 и 2 SNMP представляет собой не что иное, как пароль (строка сообщества), отправляемый открытым текстом между менеджером и агентом.[1] Каждое сообщение SNMPv3 содержит параметры безопасности, которые закодированы в виде строки октетов. Значение этих параметров безопасности зависит от используемой модели безопасности.[20] Подход к безопасности в v3 нацелен на:[21]

  • Конфиденциальность - Шифрование пакетов для предотвращения отслеживания неавторизованным источником.
  • Честность - Целостность сообщения чтобы гарантировать, что пакет не был подделан во время передачи, включая дополнительный механизм защиты от повторного воспроизведения пакетов.
  • Аутентификация - чтобы убедиться, что сообщение получено из действительного источника.

v3 также определяет USM и VACM, за которыми позже последовала модель безопасности транспорта (TSM), которая обеспечивала поддержку SNMPv3 через SSH и SNMPv3 через TLS и DTLS.

  • USM (User-based Security Model) обеспечивает функции аутентификации и конфиденциальности (шифрования) и работает на уровне сообщений.
  • VACM (модель управления доступом на основе представлений) определяет, разрешен ли данному принципалу доступ к конкретному объекту MIB для выполнения определенных функций, и работает на уровне PDU.
  • TSM (модель безопасности транспорта) предоставляет метод аутентификации и шифрования сообщений по внешним каналам безопасности. Были определены два транспорта, SSH и TLS / DTLS, которые используют спецификацию TSM.

По состоянию на 2004 год то IETF признает Простой протокол управления сетью версии 3 как определено RFC  3411RFC  3418[22] (также известный как STD0062) как текущая стандартная версия SNMP. В IETF назначил SNMPv3 полным Интернет-стандарт,[23] самый высокий уровень зрелости для RFC. Он считает более ранние версии устаревшими (обозначая их по-разному "Историческими" или "Устаревшими").[15]

Проблемы реализации

Мощные возможности записи SNMP, которые позволяют настраивать сетевые устройства, не используются в полной мере многими поставщиками, отчасти из-за отсутствия безопасности в версиях SNMP до SNMPv3, а отчасти потому, что многие устройства просто не могут быть настроены с помощью индивидуальных Изменения объекта MIB.

Некоторые значения SNMP (особенно табличные) требуют определенных знаний схем индексирования таблиц, и эти значения индексов не обязательно согласованы на разных платформах. Это может вызвать проблемы корреляции при выборке информации с нескольких устройств, которые могут не использовать одну и ту же схему индексации таблиц (например, выборка показателей использования диска, когда конкретный идентификатор диска различается на разных платформах).[24]

Некоторые крупные поставщики оборудования склонны чрезмерно расширять свои патентованные Интерфейс командной строки (CLI) ориентированные системы настройки и управления.[25][неудачная проверка ]

В феврале 2002 г. Институт программной инженерии Карнеги-Меллона (CM-SEI) Координационный центр группы реагирования на компьютерные чрезвычайные ситуации (CERT-CC) выпустил рекомендации по SNMPv1,[26] после Группа безопасного программирования Университета Оулу провели тщательный анализ обработки сообщений SNMP. Большинство реализаций SNMP, независимо от того, какую версию протокола они поддерживают, используют один и тот же программный код для декодирования. блоки данных протокола (PDU) и проблемы были выявлены в этом коде. Были обнаружены другие проблемы с декодированием сообщений ловушек SNMP, полученных станцией управления SNMP, или запросов, полученных агентом SNMP на сетевом устройстве. Многим производителям пришлось выпустить исправления для своих реализаций SNMP.[8]:1875

Последствия для безопасности SNMP

Использование SNMP для атаки на сеть

Поскольку протокол SNMP позволяет администраторам удаленно контролировать и настраивать сетевые устройства, его также можно использовать для проникновения в сеть. Значительное количество программных средств может сканировать всю сеть с помощью SNMP, поэтому ошибки в настройке режима чтения-записи могут сделать сеть уязвимой для атак.[27]:52

В 2001 Cisco опубликовала информацию, указывающую, что даже в режиме только для чтения реализация SNMP Cisco IOS уязвим для определенных отказ в обслуживании атаки. Эти проблемы безопасности можно устранить путем обновления IOS.[28]

Если SNMP не используется в сети, его следует отключить в сетевых устройствах. При настройке режима SNMP только для чтения особое внимание следует уделять настройке контроль доступа и с каких IP-адресов принимаются сообщения SNMP. Если серверы SNMP идентифицируются своим IP-адресом, SNMP может отвечать только на эти IP-адреса, а сообщения SNMP с других IP-адресов будут отклонены. Однако, Подмена IP-адреса остается проблемой безопасности.[27]:54

SNMP аутентификация

SNMP доступен в разных версиях 1, 2 и 3, у каждой есть свои проблемы с безопасностью. SNMP v1 отправляет пароли в виде открытого текста по сети. Следовательно, пароли можно прочитать с помощью анализ пакетов. SNMP v2 позволяет хеширование паролей с участием MD5, но это необходимо настроить. Практически все программное обеспечение для управления сетью поддерживают SNMP v1, но не обязательно SNMP v2 или v3. SNMP v2 был специально разработан для обеспечения безопасность данных, это аутентификация, Конфиденциальность и разрешение, но только SNMP версии 2c получил одобрение Инженерная группа Интернета (IETF), а версии 2u и 2 * не получили одобрения IETF из-за проблем с безопасностью. SNMP v3 использует MD5, Алгоритм безопасного хеширования (SHA) и алгоритмы с ключами для защиты от несанкционированного изменения данных и маскарадных атак. Если требуется более высокий уровень безопасности, Стандарт шифрования данных (DES) можно дополнительно использовать в цепочка блоков шифра Режим. SNMP v3 реализован в Cisco IOS начиная с версии 12.0 (3) T.[27]:52

SNMPv3 может подлежать грубая сила и словарные атаки для угадывания ключей аутентификации или ключей шифрования, если эти ключи генерируются из коротких (ненадежных) паролей или паролей, которые можно найти в словаре. SNMPv3 позволяет как предоставлять случайные, равномерно распределенные криптографические ключи, так и генерировать криптографические ключи на основе пароля, предоставленного пользователем. Риск угадывания строк аутентификации из хеш-значений, передаваемых по сети, зависит от Хеш-функция и длина хеш-значения.[нужна цитата ] SNMPv3 использует HMAC -SHA-2 Протокол аутентификации для модели безопасности на основе пользователей (USM).[29] А рукопожатие запрос-ответ не использовался для повышения безопасности.SNMPv3 (как и другие версии протокола SNMP) является протокол без состояния, и он был разработан с минимальным количеством взаимодействий между агентом и менеджером. Таким образом, введение квитирования «запрос-ответ» для каждой команды наложило бы нагрузку на агента (и, возможно, на саму сеть), которую разработчики протокола сочли чрезмерной и неприемлемой.[нужна цитата ]

Недостатки безопасности всех версий SNMP могут быть устранены IPsec механизмы аутентификации и конфиденциальности.[нужна цитата ] Реализация SNMP поверх Безопасность на транспортном уровне дейтаграмм (DTLS) также доступен.[10]

Автообнаружение SNMP

Программное обеспечение для управления сетью на основе SNMP многократно отправляет пароли во время обычных операций по сети. Следовательно, пароли в открытом виде представляют собой значительную угрозу безопасности. Если используется SNMP v2, сетевой администратор должен включить шифрование паролей на сетевых устройствах, то есть на запущенных на них серверах SNMP.

Многие реализации SNMP включают тип автоматического обнаружения, при котором новый сетевой компонент, такой как коммутатор или маршрутизатор, обнаруживается и автоматически объединяется в пул. В SNMPv1 и v2c это делается через строка сообщества который транслируется в виде открытого текста на другие устройства.[10] Из-за своей конфигурации по умолчанию в строках сообщества они являются общедоступными для доступа только для чтения и частными для чтения и записи.[8]:1874 SNMP возглавил список Институт SANS "Общие проблемы с конфигурацией по умолчанию" и занял десятое место в рейтинге SANS Top 10 наиболее серьезных угроз безопасности в Интернете за 2000 год.[30] Системные и сетевые администраторы часто не меняют эти конфигурации.[8]:1874 Строка сообщества, отправляемая SNMP по сети, не зашифрована. Как только строка сообщества станет известна за пределами организации, она может стать целью атаки. Чтобы предотвратить легкое обнаружение сообщества, протокол SNMP должен быть настроен для передачи ловушек сбоя аутентификации имени сообщества, а устройство управления SNMP должно быть настроено для реагирования на ловушку сбоя аутентификации.[27]:54

SNMPv1 и v2 уязвимы для Подмена IP атаки, независимо от того, выполняются ли они через TCP или UDP, и являются предметом обхода списков доступа устройств, которые могли быть реализованы для ограничения доступа SNMP. Механизмы безопасности SNMPv3, такие как USM или TSM, предотвращают успешную атаку. Было бы бессмысленно использовать SNMPv3 VACM (View-based Access Control) без защиты сообщений с помощью USM или TSM.[нужна цитата ]

Ссылки на RFC

  • RFC  1155 (СТД 16) - Структура и идентификация управляющей информации для сетей на базе TCP / IP
  • RFC  1156 (Исторический) - База управляющей информации для сетевого управления сетями на базе TCP / IP
  • RFC  1157 (Исторический) - Простой протокол управления сетью (SNMP)
  • RFC  1213 (СТД 17) - База управляющей информации для сетевого управления сетями на базе TCP / IP: MIB-II
  • RFC  1452 (Информационный) - Сосуществование между версией 1 и версией 2 стандартной Интернет-структуры управления сетью (Устарело RFC  1908 )
  • RFC  1901 (Экспериментальный) - Введение в SNMPv2 на базе сообщества
  • RFC  1902 (Проект стандарта) - Структура управляющей информации для SNMPv2 (Устарело RFC  2578 )
  • RFC  1908 (Дорожка стандартов) - Сосуществование между версией 1 и версией 2 стандартной инфраструктуры сетевого управления Интернетом
  • RFC  2570 (Информационный) - Введение в версию 3 стандартной структуры сетевого управления Интернетом (Устарело RFC  3410 )
  • RFC  2578 (СТД 58) - Структура управленческой информации Версия 2 (SMIv2)
  • RFC  3410 (Информационный) - Введение и заявления о применимости стандартной структуры управления Интернетом
  • STD 62
    • RFC  3411  — Архитектура для описания структур управления простым протоколом сетевого управления (SNMP)
    • RFC  3412  — Обработка и отправка сообщений для простого протокола управления сетью (SNMP)
    • RFC  3413  — Приложения простого протокола сетевого управления (SNMP)
    • RFC  3414  — Модель безопасности на основе пользователей (USM) для версии 3 протокола простого управления сетью (SNMPv3)
    • RFC  3415  — Модель управления доступом на основе представлений (VACM) для простого протокола сетевого управления (SNMP)
    • RFC  3416  — Версия 2 протокола операций для простого протокола управления сетью (SNMP)
    • RFC  3417  — Транспортные сопоставления для простого протокола управления сетью (SNMP)
    • RFC  3418  — База управляющей информации (MIB) для простого протокола управления сетью (SNMP)
  • RFC  3430 (Экспериментальный) - Простой протокол управления сетью (SNMP) поверх протокола управления передачей (TCP).
  • RFC  3584 (BCP 74) - Сосуществование версий 1, 2 и 3 стандартной Интернет-структуры управления сетью
  • RFC  3826 (Предложенный) - Алгоритм шифрования Advanced Encryption Standard (AES) в модели безопасности SNMP на основе пользователей
  • RFC  4789 (Предложенный) - Простой протокол управления сетью (SNMP) в сетях IEEE 802
  • RFC  5343 (СТД 78) - Обнаружение идентификатора механизма контекста простого протокола сетевого управления (SNMP)
  • RFC  5590 (СТД 78) - Транспортная подсистема для простого протокола управления сетью (SNMP)
  • RFC  5591 (СТД 78) - Модель транспортной безопасности для простого протокола управления сетью (SNMP)
  • RFC  5592 (Предложенный) - Модель транспорта Secure Shell для простого протокола управления сетью (SNMP)
  • RFC  5608 (Предложенный) - Использование службы удаленной аутентификации пользователей с телефонным подключением (RADIUS) для транспортных моделей простого протокола управления сетью (SNMP).
  • RFC  6353 (СТД 78) - Транспортная модель безопасности транспортного уровня (TLS) для простого протокола управления сетью (SNMP)
  • RFC  7630 (Дорожка стандартов) - Протоколы аутентификации HMAC-SHA-2 в модели безопасности на основе пользователей (USM) для SNMPv3

Смотрите также

использованная литература

  1. ^ а б c Дуглас Р. Мауро и Кевин Дж. Шмидт. (2001). Необходимый SNMP (1-е изд.). Севастополь, Калифорния: O’Reilly & Associates.
  2. ^ Архитектура для описания структур управления простым протоколом сетевого управления (SNMP). Дои:10.17487 / RFC3411. RFC 3411.
  3. ^ RFC  6353 Раздел 10
  4. ^ J. Case; К. МакКлохри; М. Роуз; С. Вальдбюссер (апрель 1993 г.). «RFC 1448 - Операции протокола для версии 2 простого протокола управления сетью (SNMPv2)». Инженерная группа Интернета. InformRequest-PDU генерируется и передается по запросу приложению в объекте SNMPv2, действующем в роли менеджера, которое желает уведомить другое приложение (в объекте SNMPv2, также действующем в роли менеджера) об информации в представлении MIB стороны. local в отправляющем приложении. Цитировать журнал требует | журнал = (Помогите)
  5. ^ Д. Леви; П. Мейер; Б. Стюарт (апрель 1999 г.). «RFC 2573 - приложения SNMP». Инженерная группа Интернета. Цитировать журнал требует | журнал = (Помогите)
  6. ^ а б «Информационные запросы SNMP». Cisco. Получено 2011-12-09. Цитировать журнал требует | журнал = (Помогите)
  7. ^ «Понимание реализации SNMP в программном обеспечении JUNOS». Juniper Networks. Получено 2013-02-11. Цитировать журнал требует | журнал = (Помогите)
  8. ^ а б c d е Гарольд Ф. Типтон и Мики Краузе (2007). Справочник по управлению информационной безопасностью, шестое издание. CRC Press. ISBN  9780849374951.CS1 maint: использует параметр авторов (ссылка на сайт)
  9. ^ Дуглас Мауро и Кевин Шмидт (2005). Руководство по управлению информационной безопасностью, шестое издание EditioEssential SNMP: Справка для системных и сетевых администраторов. O'Reilly Media, Inc., стр. 21–22. ISBN  9780596552770.CS1 maint: использует параметр авторов (ссылка на сайт)
  10. ^ а б c Стюарт Джейкобс (2015). Инженерная информационная безопасность: применение концепций системной инженерии для обеспечения информационного обеспечения. Джон Вили и сыновья. п. 367. ISBN  9781119104797.
  11. ^ RFC  3584 «Сосуществование между версией 1, версией 2 и версией 3 стандартной структуры сетевого управления Интернетом»
  12. ^ Вили, Джон (01.12.2015). Инженерная информационная безопасность: применение концепций системной инженерии для обеспечения информационного обеспечения. п. 366. ISBN  9781119104711. Получено 2017-09-14.
  13. ^ а б «Безопасность в SNMPv3 по сравнению с SNMPv1 или v2c» (PDF). Архивировано из оригинал (PDF) 29 апреля 2013 г.
  14. ^ RFC  1157
  15. ^ а б c "Сведения о поиске RFC: стандарты отслеживания snmpv2 RFC". Редактор RFC. Получено 2014-02-24.
  16. ^ RFC  3416
  17. ^ SNMPv3 - Модель безопасности пользователя, Доктор Доббс, получено 2019-03-09
  18. ^ В этом выпуске: SNMP версии 3 Простые времена ISSN  1060-6084
  19. ^ RFC 7860
  20. ^ Давид Зельцерман (1999). Практическое руководство по SNMPv3 и управлению сетью. Река Аппер Сэдл, Нью-Джерси: Prentice Hall PTR.
  21. ^ «SNMPv3». Cisco Systems. Архивировано из оригинал 19 июля 2011 г.
  22. ^ «SNMP версии 3». Институт операционных систем и компьютерных сетей. Получено 2010-05-07.
  23. ^ Редактор RFC В архиве 2007-10-29 на Wayback Machine Список действующих интернет-стандартов (STD)
  24. ^ «Понимание значений индекса таблицы в SNMP».
  25. ^ «Презентации исследования SNMP в пользу стандартного управления собственными интерфейсами командной строки». SNMP исследования. Получено 2010-10-12.
  26. ^ CERT Advisory CA-2002-03 Множественные уязвимости во многих реализациях
  27. ^ а б c d Эндрю Г. Мейсон и Марк Дж. Ньюкомб (2001). Решения Cisco Secure Internet Security. Cisco Press. ISBN  9781587050169.CS1 maint: использует параметр авторов (ссылка на сайт)
  28. ^ Эндрю Г. Мейсон и Марк Дж. Ньюкомб (2001). Решения Cisco Secure Internet Security. Cisco Press. стр.52. ISBN  9781587050169.CS1 maint: использует параметр авторов (ссылка на сайт)
  29. ^ RFC  7630 - Протоколы аутентификации HMAC-SHA-2 в модели безопасности на основе пользователей (USM) для SNMPv3
  30. ^ «Институт SANS - Критические меры безопасности в странах СНГ».

дальнейшее чтение

внешние ссылки