7. Security Considerations (Sicherheitsüberlegungen)
7. Security Considerations (Sicherheitsüberlegungen)
Dieses Dokument spezifiziert eine Nachrichtenformaterweiterung für SCHC. Daher gelten die gleichen Sicherheitsüberlegungen, die in [RFC8724] und [RFC9363] definiert sind.
Das in diesem Dokument spezifizierte YANG-Modul definiert ein Schema für Daten, das für den Zugriff über Netzwerkverwaltungsprotokolle wie NETCONF [RFC6241] oder RESTCONF [RFC8040] konzipiert ist. Die unterste NETCONF-Schicht ist die sichere Transportschicht, und der obligatorisch zu implementierende sichere Transport ist Secure Shell (SSH) [RFC6242]. Die unterste RESTCONF-Schicht ist HTTPS, und der obligatorisch zu implementierende sichere Transport ist TLS [RFC8446].
Das Network Configuration Access Control Model (NACM) (Netzwerkkonfigurations-Zugriffskontrollmodell) [RFC8341] bietet die Mittel, den Zugriff für bestimmte NETCONF- oder RESTCONF-Benutzer auf eine vorkonfigurierte Teilmenge aller verfügbaren NETCONF- oder RESTCONF-Protokolloperationen und -inhalte zu beschränken.
Es gibt eine Reihe von Datenknoten, die in diesem YANG-Modul definiert sind und schreibbar/erstellbar/löschbar sind (d.h. config true, was der Standard ist). Diese Datenknoten können in einigen Netzwerkumgebungen als sensibel oder verwundbar angesehen werden. Schreiboperationen (z.B. edit-config) auf diese Datenknoten ohne ordnungsgemäßen Schutz können negative Auswirkungen auf den Netzwerkbetrieb haben. Dies sind die Teilbäume und Datenknoten und ihre Sensibilität/Verwundbarkeit:
/schc:schc/schc:rule/schc:nature/schc:fragmentation/schc:mode/schc:ack-on-error:
Alle Datenknoten können geändert werden. Die Rule enthält sensible Informationen wie die SCHC F/R-Moduskonfiguration und -verwendung sowie die SCHC Compound ACK-Konfiguration. Ein Angreifer kann versuchen, die Rules anderer Geräte zu ändern, indem er den F/R-Modus oder die Verwendung des SCHC Compound ACK ändert, und kann die Kommunikation blockieren oder zusätzliche ACKs erstellen. Daher muss ein Gerät nur seine eigenen Rules auf der entfernten SCHC-Instanz ändern dürfen. Die Identität des Anforderers muss validiert werden. Dies kann über Zertifikate oder Zugriffslisten erfolgen.
Einige der lesbaren Datenknoten in diesem YANG-Modul können in einigen Netzwerkumgebungen als sensibel oder verwundbar angesehen werden. Es ist daher wichtig, den Lesezugriff (z.B. über get, get-config oder notification) auf diese Datenknoten zu kontrollieren. Dies sind die Teilbäume und Datenknoten und ihre Sensibilität/Verwundbarkeit:
/schc:schc/schc:rule/schc:nature/schc:fragmentation/schc:mode/schc:ack-on-error:
Durch das Lesen dieses Moduls kann ein Angreifer den vom Gerät verwendeten F/R-Modus, wie das Gerät die Bitmap-Erstellung verwaltet, die Puffergrößen und wann das Gerät einen ACK anfordern wird, erfahren.