10. Sicherheitsüberlegungen

Der Dispatcher koordiniert die Verarbeitung von Nachrichten, um ein Sicherheitsniveau für Verwaltungsnachrichten bereitzustellen und die SNMP-PDUs an die entsprechenden SNMP-Anwendungen zu leiten.

Ein Nachrichtenverarbeitungsmodell, und insbesondere das in diesem Dokument definierte v3MP, interagiert als Teil der Nachrichtenverarbeitung mit Sicherheitsmodellen im Sicherheits-Subsystem über die in [RFC3411] definierten und oben ausgearbeiteten abstrakten Service-Interface-Primitiven.

Das tatsächlich bereitgestellte Sicherheitsniveau wird hauptsächlich durch die spezifischen Sicherheitsmodell-Implementierungen und die spezifischen SNMP-Anwendungsimplementierungen bestimmt, die in dieses Framework integriert sind. Anwendungen haben Zugriff auf Daten, die nicht gesichert sind. Anwendungen sollten angemessene Schritte unternehmen, um die Daten vor Offenlegung zu schützen, und wenn sie Daten über das Netzwerk senden, sollten sie den securityLevel einhalten und die Dienste eines Zugriffskontrollmodells in Anspruch nehmen, wenn sie Zugriffskontrolle anwenden.

Die Werte für das msgID-Element, die in der Kommunikation zwischen SNMP-Entitäten verwendet werden, MÜSSEN so gewählt werden, dass Replay-Angriffe vermieden werden. Die Werte müssen nicht unvorhersehbar sein; es genügt, dass sie sich nicht wiederholen.

Wenn Austausche über ein unsicheres Netzwerk durchgeführt werden, besteht eine offene Gelegenheit für einen Dritten, Nachrichten zu fälschen oder wiederzugeben, wenn eine Nachricht eines Austauschs auf dem Sicherheitsniveau noAuthNoPriv gegeben wird. Bei den meisten Austauschen existieren alle Nachrichten auf demselben Sicherheitsniveau. In dem Fall, in dem die letzte Nachricht eine PDU der internen Klasse ist, kann diese Nachricht auf einem Niveau von noAuthNoPriv oder authNoPriv geliefert werden, unabhängig vom Sicherheitsniveau der vorhergehenden Nachrichten. PDUs der internen Klasse, die auf dem Niveau authNoPriv geliefert werden, werden nicht als Sicherheitsgefahr angesehen. PDUs der internen Klasse, die auf dem Sicherheitsniveau noAuthNoPriv geliefert werden, öffnen ein Zeitfenster für Fälschungs- oder Replay-Angriffe. Wenn der Empfänger solcher Nachrichten sich dieser Risiken bewusst ist, ist die Verwendung solcher nicht authentifizierter Nachrichten akzeptabel und kann eine nützliche Funktion zur Erkennung von Engine-IDs oder zur Erkennung von Fehlkonfigurationen auf entfernten Knoten bieten.

Dieses Dokument enthält auch ein MIB-Definitionsmodul. Keines der definierten Objekte ist beschreibbar, und die Informationen, die sie darstellen, werden nicht als besonders sensibel angesehen. Wenn sie jedoch in einer bestimmten Umgebung als sensibel angesehen werden, sollte der Zugriff auf sie durch die Verwendung angemessen konfigurierter Sicherheits- und Zugriffskontrollmodelle eingeschränkt werden.