Zum Hauptinhalt springen

2. Das MUD-Modell und die semantische Bedeutung (The MUD Model and Semantic Meaning)

Eine MUD-Datei besteht aus einer YANG-Modellinstanz, die in JSON serialisiert wurde [RFC7951]. Für MUD-Zwecke sind die Knoten, die geändert werden können, Zugriffskontrolllisten, die durch dieses Modell erweitert wurden. Die MUD-Datei ist auf die Serialisierung nur der folgenden YANG-Schemas beschränkt:

  • ietf-access-control-list [RFC8519]
  • ietf-mud (RFC 8520)
  • ietf-acldns (RFC 8520)

Erweiterungen können verwendet werden, um zusätzliche Schemas hinzuzufügen. Dies wird später weiter beschrieben.

Um die weitestmögliche Bereitstellung zu ermöglichen, SOLLTEN Herausgeber von MUD-Dateien die Abstraktionen in diesem Memo verwenden und die Verwendung von IP-Adressen vermeiden. Ein MUD-Manager SOLLTE NICHT automatisch eine MUD-Datei implementieren, die IP-Adressen enthält, insbesondere solche, die möglicherweise lokale Bedeutung haben. Die Adressierung einer Seite einer Zugriffskontrollliste ist implizit, basierend darauf, ob sie als to-device-policy oder from-device-policy angewendet wird.

Mit Ausnahme des "name" der ACL, "type", "name" des Access Control Entry (ACE) und TCP- und UDP-Quell- und Zielportinformationen SOLLTEN Herausgeber von MUD-Dateien die Verwendung von ACL-Modell-Blattknoten auf diejenigen beschränken, die in dieser Spezifikation zu finden sind. Ohne Erweiterungen wird angenommen, dass MUD-Dateien nur die folgenden ACL-Modellfunktionen implementieren:

  • match-on-ipv4, match-on-ipv6, match-on-tcp, match-on-udp, match-on-icmp

Darüber hinaus SOLLTEN nur "accept"- oder "drop"-Aktionen enthalten sein. Ein MUD-Manager KANN wählen, "reject" als "drop" zu interpretieren. Ein MUD-Manager SOLLTE alle anderen Aktionen ignorieren. Dies liegt daran, dass Hersteller in einer lokalen Bereitstellung nicht über ausreichenden Kontext verfügen, um zu wissen, ob reject angemessen ist. Dies ist eine Entscheidung, die einem Netzwerkadministrator überlassen werden sollte.

Da MUD sich nicht mit Schnittstellen befasst, ist die Unterstützung des "ietf-interfaces"-Moduls [RFC8343] nicht erforderlich. Insbesondere ist die Unterstützung von schnittstellenbezogenen Funktionen und Zweigen (z. B. interface-attachment und interface-stats) des ACL-YANG-Moduls nicht erforderlich.

Tatsächlich KÖNNEN MUD-Manager jede bestimmte Komponente einer Beschreibung ignorieren oder die Beschreibung vollständig ignorieren, und sie SOLLTEN alle MUD-Beschreibungen sorgfältig prüfen. Herausgeber von MUD-Dateien DÜRFEN keine anderen Knoten einbeziehen, außer wie in Abschnitt 3.9 beschrieben. Weitere Informationen finden Sie in diesem Abschnitt.

Letztes Update am