Zum Hauptinhalt springen

11.2. Defining Users (Definition von Benutzern)

11.2. Defining Users (Definition von Benutzern)

Dieser Abschnitt bietet Anleitungen zur Definition von Benutzern im benutzerbasierten Sicherheitsmodell.

Clone-From Template Users (Klonen von Vorlagenbenutzern)

Der empfohlene Ansatz zur Definition von Benutzern besteht darin, Vorlagenbenutzer zum Klonen zu verwenden. Ein Vorlagenbenutzer ist ein Benutzer, der auf der autoritativen SNMP-Engine definiert ist und als Quelle zum Klonen dient, um neue Benutzer zu erstellen.

Prozess:

  1. Definieren Sie einen Vorlagenbenutzer auf der autoritativen Engine mit:

    • Authentifizierungsprotokoll
    • Datenschutzprotokoll
    • Lokalisiertem Authentifizierungsschlüssel
    • Lokalisiertem Datenschutzschlüssel

  2. Verwenden Sie das usmUserCloneFrom-Objekt, um den Vorlagenbenutzer zu klonen und einen neuen Benutzer entweder auf:

    • Derselben autoritativen Engine, oder
    • Einer nicht-autoritativen Engine zu erstellen

  3. Nach dem Klonen verwenden Sie usmUserAuthKeyChange und usmUserPrivKeyChange, um eindeutige Schlüssel für den neuen Benutzer festzulegen.

Password-Based Key Derivation (Passwortbasierte Schlüsselableitung)

Beim Erstellen von Benutzern können Passwörter mithilfe des in Anhang A.2 definierten Passwort-zu-Schlüssel-Algorithmus in Schlüssel konvertiert werden. Dieser Algorithmus:

  1. Nimmt ein Passwort (OCTET STRING beliebiger Länge)
  2. Wendet wiederholt eine Hash-Funktion (MD5 oder SHA) an
  3. Erzeugt einen Schlüssel der geeigneten Länge

Wichtig: Unterschiedliche Passwörter können denselben Schlüssel erzeugen, wenn sie aus sich wiederholenden Mustern bestehen. Zum Beispiel können die Passwörter "maplesyrupmaples" und "maplesyrup" ähnliche Zwischenhash-Werte erzeugen. Daher:

  • Vermeiden Sie sich wiederholende Passwortmuster
  • Verwenden Sie Passwörter mit mindestens 8 Zeichen Länge
  • Stellen Sie Passwortkomplexität sicher

User Table Management (Benutzertabellenverwaltung)

Benutzer werden in der usmUserTable gespeichert. Jeder Eintrag enthält:

  • usmUserEngineID: Die snmpEngineID der SNMP-Engine
  • usmUserName: Der Benutzername
  • usmUserSecurityName: Der Sicherheitsname
  • usmUserCloneFrom: Der Vorlagenbenutzer, von dem geklont werden soll
  • usmUserAuthProtocol: Das Authentifizierungsprotokoll
  • usmUserAuthKeyChange: Objekt zum Ändern des Authentifizierungsschlüssels
  • usmUserOwnAuthKeyChange: Objekt zum Ändern des eigenen Authentifizierungsschlüssels
  • usmUserPrivProtocol: Das Datenschutzprotokoll
  • usmUserPrivKeyChange: Objekt zum Ändern des Datenschutzschlüssels
  • usmUserOwnPrivKeyChange: Objekt zum Ändern des eigenen Datenschutzschlüssels
  • usmUserPublic: Ein öffentlich lesbares und beschreibbares Objekt
  • usmUserStorageType: Der Speichertyp
  • usmUserStatus: Der Zeilenstatus

Security Considerations for User Definition (Sicherheitsüberlegungen für Benutzerdefinition)

  1. Initial User (Anfangsbenutzer): Mindestens ein Benutzer MUSS mit geeigneten Sicherheitsanmeldeinformationen definiert werden, bevor die SNMP-Engine für authentifizierte Kommunikation verwendet werden kann.

  2. Key Strength (Schlüsselstärke): Stellen Sie sicher, dass die Schlüssel (ob von Passwörtern abgeleitet oder zufällig generiert) über ausreichende Entropie verfügen, um Brute-Force-Angriffen zu widerstehen.

  3. User Rights (Benutzerrechte): Definieren Sie Benutzer mit den minimal notwendigen Berechtigungen. Verwenden Sie das View-based Access Control Model (VACM), um einzuschränken, worauf jeder Benutzer zugreifen kann.

  4. User Lifecycle (Benutzerlebenszyklus): Etablieren Sie Verfahren für:

    • Sicheres Erstellen von Benutzern
    • Regelmäßiges Aktualisieren von Benutzeranmeldeinformationen
    • Deaktivieren oder Löschen von Benutzern, wenn sie nicht mehr benötigt werden
    • Prüfung von Benutzeraktivitäten
Letztes Update am