1.4. Module Organization (Organizzazione del modulo)
1.4. Module Organization (Organizzazione del modulo)
Questa sezione descrive come il modello di sicurezza basato sull'utente è organizzato e documentato.
Document Structure (Struttura del documento)
Il modello di sicurezza basato sull'utente (USM) è specificato in questo documento secondo la seguente organizzazione:
-
La sezione 1 fornisce un'introduzione al modello di sicurezza, incluse minacce, obiettivi, vincoli e servizi di sicurezza.
-
La sezione 2 definisce gli elementi del modello, inclusi utenti, protezione dal replay, sincronizzazione temporale, formati di messaggio e servizi.
-
La sezione 3 descrive le procedure per l'elaborazione dei messaggi, sia per la generazione di messaggi in uscita che per l'elaborazione di messaggi in entrata.
-
La sezione 4 descrive il meccanismo di scoperta per apprendere lo snmpEngineID del motore SNMP autorevole.
-
La sezione 5 contiene la definizione completa del modulo MIB (SNMP-USER-BASED-SM-MIB) utilizzando la sintassi SMIv2. Questo modulo MIB definisce:
- Oggetti per la configurazione utente (
usmUserTable) - Oggetti statistici (
usmStats) - Dichiarazioni di conformità
- Oggetti per la configurazione utente (
-
La sezione 6 specifica il protocollo di autenticazione HMAC-MD5-96.
-
La sezione 7 specifica il protocollo di autenticazione HMAC-SHA-96.
-
La sezione 8 specifica il protocollo di privacy CBC-DES.
-
La sezione 9 discute le considerazioni sulla proprietà intellettuale.
-
La sezione 10 fornisce riconoscimenti.
-
La sezione 11 contiene considerazioni sulla sicurezza, incluse pratiche raccomandate, guida alla definizione degli utenti, requisiti di conformità, utilizzo dei rapporti e controlli di accesso MIB.
-
La sezione 12 elenca i riferimenti normativi e informativi.
-
L'appendice A fornisce indicazioni dettagliate sull'implementazione, inclusi algoritmi ed esempi.
-
L'appendice B documenta le modifiche rispetto alla RFC 2574.
Relationship to Other SNMPv3 Documents (Relazione con altri documenti SNMPv3)
Il modello di sicurezza basato sull'utente fa parte dell'architettura SNMPv3. Si relaziona agli altri documenti SNMPv3 come segue:
-
RFC 3411 - "Un'architettura per descrivere i framework di gestione del protocollo di gestione di rete semplice (SNMP)": Definisce l'architettura complessiva e l'interfaccia del modello di sicurezza.
-
RFC 3412 - "Elaborazione e distribuzione dei messaggi per il protocollo di gestione di rete semplice (SNMP)": Definisce come l'USM viene invocato dal sottosistema di elaborazione dei messaggi.
-
RFC 3413 - "Applicazioni del protocollo di gestione di rete semplice (SNMP)": Definisce le applicazioni che utilizzano l'USM per la sicurezza.
-
RFC 3415 - "Modello di controllo degli accessi basato su viste (VACM) per il protocollo di gestione di rete semplice (SNMP)": Funziona insieme all'USM per fornire sicurezza completa (l'USM fornisce autenticazione e privacy, il VACM fornisce autorizzazione).
-
RFC 3416 - "Versione 2 delle operazioni di protocollo per il protocollo di gestione di rete semplice (SNMP)": Definisce i formati PDU, incluso il Report-PDU utilizzato dall'USM.
-
RFC 3417 - "Mappature di trasporto per il protocollo di gestione di rete semplice (SNMP)": Definisce come i messaggi SNMP protetti dall'USM vengono trasportati.
-
RFC 3418 - "Base di informazioni di gestione (MIB) per il protocollo di gestione di rete semplice (SNMP)": Definisce lo SNMP-FRAMEWORK-MIB e lo SNMP-MPD-MIB, da cui dipende l'USM.
Layered Architecture (Architettura a livelli)
L'USM si inserisce nell'architettura SNMPv3 come segue:
+------------------------------------------------------------+
| Applicazioni SNMP |
| (Generatore di comandi, Risponditore di comandi, |
| Iniziatore di notifiche, Ricevitore di notifiche, |
| Proxy forwarder) |
+------------------------------------------------------------+
| Dispatcher |
| (Elaborazione messaggi, Distribuzione PDU, |
| Mappatura trasporto) |
+------------------------------------------------------------+
| Sottosistema di sicurezza |
| +------------------------------------------------------+ |
| | Modello di sicurezza basato sull'utente | |
| | (USM) | |
| | - Autenticazione (HMAC-MD5-96, HMAC-SHA-96) | |
| | - Privacy (CBC-DES) | |
| | - Sincronizzazione temporale | |
| | - Scoperta | |
| +------------------------------------------------------+ |
+------------------------------------------------------------+
| Sottosistema di controllo degli accessi |
| +------------------------------------------------------+ |
| | Modello di controllo degli accessi basato su | |
| | viste (VACM) | |
| +------------------------------------------------------+ |
+------------------------------------------------------------+
L'USM viene invocato dal sottosistema di elaborazione dei messaggi per:
- Fornire servizi di sicurezza per i messaggi in uscita
- Verificare i servizi di sicurezza per i messaggi in entrata
- Segnalare errori relativi alla sicurezza
MIB Module Organization (Organizzazione del modulo MIB)
Il modulo SNMP-USER-BASED-SM-MIB è organizzato in diversi gruppi funzionali:
-
Gruppo usmStats: Contatori statistici per monitorare le operazioni USM e rilevare problemi di sicurezza.
-
Gruppo usmUser: Configurazione e gestione degli utenti, inclusi:
- Identificazione utente
- Protocolli di autenticazione e privacy
- Gestione delle chiavi
-
Gruppo di conformità (Conformance Group): Definisce i requisiti di conformità per le implementazioni USM.
Protocol Organization (Organizzazione dei protocolli)
I protocolli di autenticazione e privacy sono specificati come sezioni separate (6, 7 e 8) per consentire:
- Specifica chiara di ciascun protocollo
- Facile aggiunta di nuovi protocolli in futuro
- Implementazione dei protocolli come componenti modulari
- Revisione e analisi indipendente di ciascun protocollo
Ogni sezione del protocollo include:
- Descrizione del protocollo
- Specifica dell'algoritmo
- Considerazioni sulla sicurezza specifiche per quel protocollo