1.4. Module Organization (Organisation du module)
1.4. Module Organization (Organisation du module)
Cette section décrit comment le modèle de sécurité basé sur l'utilisateur est organisé et documenté.
Document Structure (Structure du document)
Le modèle de sécurité basé sur l'utilisateur (USM) est spécifié dans ce document selon l'organisation suivante:
-
La section 1 fournit une introduction au modèle de sécurité, y compris les menaces, les objectifs, les contraintes et les services de sécurité.
-
La section 2 définit les éléments du modèle, y compris les utilisateurs, la protection contre la relecture, la synchronisation temporelle, les formats de messages et les services.
-
La section 3 décrit les procédures de traitement des messages, à la fois pour la génération des messages sortants et le traitement des messages entrants.
-
La section 4 décrit le mécanisme de découverte pour apprendre le snmpEngineID du moteur SNMP autorisé.
-
La section 5 contient la définition complète du module MIB (SNMP-USER-BASED-SM-MIB) en utilisant la syntaxe SMIv2. Ce module MIB définit:
- Objets pour la configuration utilisateur (
usmUserTable) - Objets statistiques (
usmStats) - Déclarations de conformité
- Objets pour la configuration utilisateur (
-
La section 6 spécifie le protocole d'authentification HMAC-MD5-96.
-
La section 7 spécifie le protocole d'authentification HMAC-SHA-96.
-
La section 8 spécifie le protocole de confidentialité CBC-DES.
-
La section 9 discute des considérations de propriété intellectuelle.
-
La section 10 fournit des remerciements.
-
La section 11 contient des considérations de sécurité, y compris les pratiques recommandées, les conseils de définition d'utilisateur, les exigences de conformité, l'utilisation des rapports et les contrôles d'accès MIB.
-
La section 12 liste les références normatives et informatives.
-
L'annexe A fournit des conseils d'implémentation détaillés, y compris des algorithmes et des exemples.
-
L'annexe B documente les changements par rapport à la RFC 2574.
Relationship to Other SNMPv3 Documents (Relations avec d'autres documents SNMPv3)
Le modèle de sécurité basé sur l'utilisateur fait partie de l'architecture SNMPv3. Il se rapporte aux autres documents SNMPv3 comme suit:
-
RFC 3411 - "Une architecture pour décrire les cadres de gestion du protocole de gestion de réseau simple (SNMP)": Définit l'architecture globale et l'interface du modèle de sécurité.
-
RFC 3412 - "Traitement et distribution des messages pour le protocole de gestion de réseau simple (SNMP)": Définit comment l'USM est invoqué par le sous-système de traitement des messages.
-
RFC 3413 - "Applications du protocole de gestion de réseau simple (SNMP)": Définit les applications qui utilisent l'USM pour la sécurité.
-
RFC 3415 - "Modèle de contrôle d'accès basé sur les vues (VACM) pour le protocole de gestion de réseau simple (SNMP)": Fonctionne conjointement avec l'USM pour fournir une sécurité complète (l'USM fournit l'authentification et la confidentialité, le VACM fournit l'autorisation).
-
RFC 3416 - "Version 2 des opérations de protocole pour le protocole de gestion de réseau simple (SNMP)": Définit les formats PDU, y compris le Report-PDU utilisé par l'USM.
-
RFC 3417 - "Mappages de transport pour le protocole de gestion de réseau simple (SNMP)": Définit comment les messages SNMP sécurisés par l'USM sont transportés.
-
RFC 3418 - "Base d'informations de gestion (MIB) pour le protocole de gestion de réseau simple (SNMP)": Définit le SNMP-FRAMEWORK-MIB et le SNMP-MPD-MIB, dont dépend l'USM.
Layered Architecture (Architecture en couches)
L'USM s'intègre dans l'architecture SNMPv3 comme suit:
+------------------------------------------------------------+
| Applications SNMP |
| (Générateur de commandes, Répondeur de commandes, |
| Initiateur de notification, Récepteur de notification, |
| Redirecteur proxy) |
+------------------------------------------------------------+
| Répartiteur |
| (Traitement des messages, Répartition PDU, |
| Mappage de transport) |
+------------------------------------------------------------+
| Sous-système de sécurité |
| +------------------------------------------------------+ |
| | Modèle de sécurité basé sur l'utilisateur | |
| | (USM) | |
| | - Authentification (HMAC-MD5-96, HMAC-SHA-96) | |
| | - Confidentialité (CBC-DES) | |
| | - Synchronisation temporelle | |
| | - Découverte | |
| +------------------------------------------------------+ |
+------------------------------------------------------------+
| Sous-système de contrôle d'accès |
| +------------------------------------------------------+ |
| | Modèle de contrôle d'accès basé sur les vues | |
| | (VACM) | |
| +------------------------------------------------------+ |
+------------------------------------------------------------+
L'USM est invoqué par le sous-système de traitement des messages pour:
- Fournir des services de sécurité pour les messages sortants
- Vérifier les services de sécurité pour les messages entrants
- Signaler les erreurs liées à la sécurité
MIB Module Organization (Organisation du module MIB)
Le module SNMP-USER-BASED-SM-MIB est organisé en plusieurs groupes fonctionnels:
-
Groupe usmStats: Compteurs statistiques pour surveiller les opérations USM et détecter les problèmes de sécurité.
-
Groupe usmUser: Configuration et gestion des utilisateurs, y compris:
- Identification de l'utilisateur
- Protocoles d'authentification et de confidentialité
- Gestion des clés
-
Groupe de conformité (Conformance Group): Définit les exigences de conformité pour les implémentations USM.
Protocol Organization (Organisation des protocoles)
Les protocoles d'authentification et de confidentialité sont spécifiés en sections séparées (6, 7 et 8) pour permettre:
- Spécification claire de chaque protocole
- Ajout facile de nouveaux protocoles à l'avenir
- Implémentation des protocoles en tant que composants modulaires
- Examen et analyse indépendants de chaque protocole
Chaque section de protocole comprend:
- Description du protocole
- Spécification de l'algorithme
- Considérations de sécurité spécifiques à ce protocole