11.5. Access to the SNMP-USER-BASED-SM-MIB (Zugriff auf die SNMP-USER-BASED-SM-MIB)

Dieser Abschnitt bietet Empfehlungen zur Kontrolle des Zugriffs auf die Objekte im SNMP-USER-BASED-SM-MIB-Modul.

Overview (Überblick)

Die SNMP-USER-BASED-SM-MIB enthält sensible sicherheitsrelevante Informationen, einschließlich:

Benutzernamen und Sicherheitsparameter
Authentifizierungs- und Datenschutzprotokollidentifikatoren
Mechanismen zum Ändern von Schlüsseln
Statistische Zähler

Unangemessener Zugriff auf diese Objekte könnte die Sicherheit des gesamten SNMP-Verwaltungssystems gefährden.

Access Control Requirements (Zugriffskontrollanforderungen)

Der Zugriff auf die SNMP-USER-BASED-SM-MIB MUSS (MUST) mithilfe des View-based Access Control Model (VACM) [RFC3415] oder eines anderen Zugriffskontrollmechanismus von gleichwertiger Stärke kontrolliert werden.

Recommended Access Controls (Empfohlene Zugriffskontrollen)

Die folgenden Zugriffskontrollrichtlinien werden empfohlen:

1. `usmUserTable` - Benutzerkonfigurationstabelle (User Configuration Table)

Lesezugriff (Read Access):

Benutzer SOLLTEN (SHOULD) ihren eigenen Eintrag in der usmUserTable lesen können
Administratoren SOLLTEN (SHOULD) alle Einträge lesen können
Allgemeine Benutzer SOLLTEN NICHT (SHOULD NOT) Einträge anderer Benutzer lesen können

Schreibzugriff (Write Access):

Benutzer SOLLTEN (SHOULD) bestimmte Objekte in ihrem eigenen Eintrag ändern können:
- usmUserOwnAuthKeyChange - um ihren eigenen Authentifizierungsschlüssel zu ändern
- usmUserOwnPrivKeyChange - um ihren eigenen Datenschutzschlüssel zu ändern
- usmUserPublic - ein allgemein beschreibbares Objekt
Administratoren SOLLTEN (SHOULD) folgendes können:
- Neue Benutzer über usmUserCloneFrom und usmUserStatus erstellen
- usmUserAuthKeyChange und usmUserPrivKeyChange für alle Benutzer ändern
- Benutzer löschen, indem usmUserStatus auf destroy(6) gesetzt wird
Allgemeine Benutzer SOLLTEN NICHT (SHOULD NOT) Einträge anderer Benutzer ändern können

2. `usmUserSpinLock`

Lesezugriff: Alle authentifizierten Benutzer
Schreibzugriff: Nur Administratoren oder Benutzer, die zum Ändern der usmUserTable berechtigt sind

Der usmUserSpinLock wird verwendet, um den Zugriff auf die usmUserTable zu koordinieren, wenn mehrere Manager gleichzeitige Änderungen versuchen.

3. `usmStats`-Gruppe - Statistische Zähler (Statistics Counters)

Lesezugriff (Read Access):

SOLLTE (SHOULD) von Administratoren und Überwachungsanwendungen lesbar sein
KANN (MAY) von allgemeinen authentifizierten Benutzern zu Diagnosezwecken lesbar sein

Schreibzugriff (Write Access):

SOLLTE NICHT (SHOULD NOT) von irgendwelchen Benutzern beschreibbar sein (dies sind schreibgeschützte Zähler)

Die statistischen Zähler liefern wertvolle Informationen für:

Sicherheitsüberwachung und Eindringungserkennung
Fehlerbehebung bei Authentifizierungs- und Zeitsynchronisationsproblemen
Kapazitätsplanung

4. Key Management Objects (Schlüsselverwaltungsobjekte)

Die folgenden Objekte erfordern besonderen Schutz:

usmUserAuthKeyChange und usmUserPrivKeyChange: Diese Objekte ermöglichen es Administratoren, die Schlüssel jedes Benutzers zu ändern. Der Zugriff sollte streng auf vertrauenswürdige Administratoren beschränkt werden.
usmUserOwnAuthKeyChange und usmUserOwnPrivKeyChange: Diese Objekte ermöglichen es Benutzern, ihre eigenen Schlüssel zu ändern. Jeder Benutzer sollte nur Schreibzugriff auf diese Objekte in seinem eigenen Eintrag haben.

Wichtig: Diese Objekte verwenden ein spezielles Schlüsseländerungsprotokoll (beschrieben in Abschnitt 5 des MIB-Moduls), um sicherzustellen, dass Schlüssel während der Änderungsoperation nicht abgefangen oder offengelegt werden können.

View Configuration Example (Beispiel für Ansichtskonfiguration)

Eine typische VACM-Konfiguration könnte umfassen:

Administratoransicht (Administrator View): Vollständiger Lese-Schreib-Zugriff auf die gesamte usmUserTable und Lesezugriff auf usmStats
Benutzer-Selbstverwaltungsansicht (User Self-Management View): Lesezugriff auf eigenen Eintrag in usmUserTable, Schreibzugriff auf usmUserOwnAuthKeyChange und usmUserOwnPrivKeyChange im eigenen Eintrag
Überwachungsansicht (Monitoring View): Nur-Lese-Zugriff auf usmStats-Gruppe zur Sicherheitsüberwachung
Eingeschränkte Ansicht (Restricted View): Kein Zugriff auf usmUserTable, eingeschränkter oder kein Zugriff auf usmStats

Security Considerations for MIB Access (Sicherheitsüberlegungen für MIB-Zugriff)

Aufzählung verhindern (Prevent Enumeration): Das Einschränken des Lesezugriffs auf usmUserTable verhindert, dass Angreifer gültige Benutzernamen aufzählen.
Schlüsseländerungsoperationen schützen (Protect Key Change Operations): Auch wenn Schlüssel selbst nie direkt lesbar sind, sollte der Schlüsseländerungsmechanismus geschützt werden, um unbefugte Schlüsseländerungen zu verhindern.
Statistiken überwachen (Monitor Statistics): Regelmäßige Überwachung der usmStats-Zähler kann helfen, Folgendes zu erkennen:
- Brute-Force-Authentifizierungsversuche (usmStatsWrongDigests)
- Zeitsynchronisationsprobleme (usmStatsNotInTimeWindows)
- Versuchte Verwendung unbekannter Benutzer (usmStatsUnknownUserNames)
Audit-Log-Integration: Erwägen Sie die Integration von SNMP-Sicherheitsereignissen (abgeleitet von usmStats-Änderungen) in Unternehmenssicherheitsinformations- und Ereignismanagementsysteme (SIEM).

Initial Configuration (Erstkonfiguration)

Während der Erstkonfiguration einer SNMP-Engine:

Mindestens ein anfänglicher Benutzer mit vollen Administratorrechten MUSS (MUST) konfiguriert werden.
Dieser anfängliche Benutzer sollte über einen sicheren Out-of-Band-Mechanismus (z.B. lokaler Konsolenzugriff) konfiguriert werden.
Sobald der anfängliche Benutzer konfiguriert ist, können zusätzliche Benutzer über SNMP unter Verwendung des usmUserCloneFrom-Mechanismus erstellt werden.
Die Anmeldeinformationen des anfänglichen Benutzers sollten sofort nach der ersten Verwendung geändert werden, wenn während des Bootstrapping Standardanmeldeinformationen verwendet wurden.