1.4. Module Organization (Modulorganisation)
1.4. Module Organization (Modulorganisation)
Dieser Abschnitt beschreibt, wie das benutzerbasierte Sicherheitsmodell organisiert und dokumentiert ist.
Document Structure (Dokumentstruktur)
Das benutzerbasierte Sicherheitsmodell (USM) ist in diesem Dokument gemäß der folgenden Organisation spezifiziert:
-
Abschnitt 1 bietet eine Einführung in das Sicherheitsmodell, einschließlich Bedrohungen, Zielen, Einschränkungen und Sicherheitsdiensten.
-
Abschnitt 2 definiert die Elemente des Modells, einschließlich Benutzern, Replay-Schutz, Zeitsynchronisation, Nachrichtenformaten und Diensten.
-
Abschnitt 3 beschreibt die Verfahren zur Verarbeitung von Nachrichten, sowohl für das Generieren ausgehender Nachrichten als auch für die Verarbeitung eingehender Nachrichten.
-
Abschnitt 4 beschreibt den Entdeckungsmechanismus zum Erlernen der snmpEngineID der autoritativen SNMP-Engine.
-
Abschnitt 5 enthält die vollständige MIB-Moduldefinition (SNMP-USER-BASED-SM-MIB) unter Verwendung der SMIv2-Syntax. Dieses MIB-Modul definiert:
- Objekte für die Benutzerkonfiguration (
usmUserTable) - Statistikobjekte (
usmStats) - Konformitätserklärungen
- Objekte für die Benutzerkonfiguration (
-
Abschnitt 6 spezifiziert das HMAC-MD5-96-Authentifizierungsprotokoll.
-
Abschnitt 7 spezifiziert das HMAC-SHA-96-Authentifizierungsprotokoll.
-
Abschnitt 8 spezifiziert das CBC-DES-Datenschutzprotokoll.
-
Abschnitt 9 diskutiert Überlegungen zum geistigen Eigentum.
-
Abschnitt 10 bietet Danksagungen.
-
Abschnitt 11 enthält Sicherheitsüberlegungen, einschließlich empfohlener Praktiken, Benutzerdefinitionsanleitungen, Konformitätsanforderungen, Berichtsverwendung und MIB-Zugriffskontrollen.
-
Abschnitt 12 listet normative und informative Referenzen auf.
-
Anhang A bietet detaillierte Implementierungsanleitungen, einschließlich Algorithmen und Beispielen.
-
Anhang B dokumentiert die Änderungen gegenüber RFC 2574.
Relationship to Other SNMPv3 Documents (Beziehung zu anderen SNMPv3-Dokumenten)
Das benutzerbasierte Sicherheitsmodell ist Teil der SNMPv3-Architektur. Es bezieht sich wie folgt auf andere SNMPv3-Dokumente:
-
RFC 3411 - "Eine Architektur zur Beschreibung von Simple Network Management Protocol (SNMP) Management Frameworks": Definiert die Gesamtarchitektur und die Sicherheitsmodellschnittstelle.
-
RFC 3412 - "Nachrichtenverarbeitung und -verteilung für das Simple Network Management Protocol (SNMP)": Definiert, wie das USM vom Nachrichtenverarbeitungssubsystem aufgerufen wird.
-
RFC 3413 - "Simple Network Management Protocol (SNMP) Anwendungen": Definiert die Anwendungen, die USM für die Sicherheit verwenden.
-
RFC 3415 - "View-based Access Control Model (VACM) für das Simple Network Management Protocol (SNMP)": Arbeitet in Verbindung mit USM, um vollständige Sicherheit zu bieten (USM bietet Authentifizierung und Datenschutz, VACM bietet Autorisierung).
-
RFC 3416 - "Version 2 der Protokolloperationen für das Simple Network Management Protocol (SNMP)": Definiert die PDU-Formate, einschließlich Report-PDU, die von USM verwendet werden.
-
RFC 3417 - "Transportzuordnungen für das Simple Network Management Protocol (SNMP)": Definiert, wie SNMP-Nachrichten, die von USM gesichert sind, transportiert werden.
-
RFC 3418 - "Management Information Base (MIB) für das Simple Network Management Protocol (SNMP)": Definiert das SNMP-FRAMEWORK-MIB und SNMP-MPD-MIB, von denen USM abhängt.
Layered Architecture (Geschichtete Architektur)
Das USM fügt sich wie folgt in die SNMPv3-Architektur ein:
+------------------------------------------------------------+
| SNMP-Anwendungen |
| (Befehlsgenerator, Befehlsresponder, |
| Benachrichtigungsinitiator, Benachrichtigungsempfänger, |
| Proxy-Weiterleiter) |
+------------------------------------------------------------+
| Dispatcher |
| (Nachrichtenverarbeitung, PDU-Verteilung, |
| Transportzuordnung) |
+------------------------------------------------------------+
| Sicherheitssubsystem |
| +------------------------------------------------------+ |
| | Benutzerbasiertes Sicherheitsmodell (USM) | |
| | - Authentifizierung (HMAC-MD5-96, HMAC-SHA-96) | |
| | - Datenschutz (CBC-DES) | |
| | - Zeitsynchronisation | |
| | - Entdeckung | |
| +------------------------------------------------------+ |
+------------------------------------------------------------+
| Zugriffskontrollsubsystem |
| +------------------------------------------------------+ |
| | View-based Access Control Model (VACM) | |
| +------------------------------------------------------+ |
+------------------------------------------------------------+
Das USM wird vom Nachrichtenverarbeitungssubsystem aufgerufen, um:
- Sicherheitsdienste für ausgehende Nachrichten bereitzustellen
- Sicherheitsdienste für eingehende Nachrichten zu überprüfen
- Sicherheitsbezogene Fehler zu melden
MIB Module Organization (MIB-Modulorganisation)
Das SNMP-USER-BASED-SM-MIB-Modul ist in mehrere funktionale Gruppen organisiert:
-
usmStats-Gruppe: Statistische Zähler zur Überwachung von USM-Operationen und zur Erkennung von Sicherheitsproblemen.
-
usmUser-Gruppe: Konfiguration und Verwaltung von Benutzern, einschließlich:
- Benutzeridentifikation
- Authentifizierungs- und Datenschutzprotokolle
- Schlüsselverwaltung
-
Konformitätsgruppe (Conformance Group): Definiert Compliance-Anforderungen für USM-Implementierungen.
Protocol Organization (Protokollorganisation)
Die Authentifizierungs- und Datenschutzprotokolle sind als separate Abschnitte (6, 7 und 8) spezifiziert, um Folgendes zu ermöglichen:
- Klare Spezifikation jedes Protokolls
- Einfaches Hinzufügen neuer Protokolle in der Zukunft
- Implementierung von Protokollen als modulare Komponenten
- Unabhängige Überprüfung und Analyse jedes Protokolls
Jeder Protokollabschnitt umfasst:
- Protokollbeschreibung
- Algorithmusspezifikation
- Protokollspezifische Sicherheitsüberlegungen