11.1. Recommended Practices (Pratiche raccomandate)

Questa sezione descrive le pratiche raccomandate per l'utilizzo del modello di sicurezza basato sull'utente per massimizzare la sicurezza.

Le password dovrebbero essere scelte per massimizzare la sicurezza:

Length (Lunghezza): Le password DOVREBBERO essere lunghe almeno 8 caratteri. Password più lunghe forniscono una migliore sicurezza.
Complexity (Complessità): Le password DOVREBBERO contenere un mix di:
- Lettere maiuscole
- Lettere minuscole
- Cifre
- Caratteri speciali
Avoid Patterns (Evitare pattern): Le password NON DOVREBBERO essere:
- Parole del dizionario
- Pattern semplici (ad esempio, "12345678", "password")
- Informazioni personali (nomi, compleanni, ecc.)
- Stringhe ripetitive (ad esempio, "aaaaaaaa")

Key Storage (Archiviazione delle chiavi): Le chiavi di autenticazione e privacy DEVONO essere archiviate in modo sicuro e protette da accessi non autorizzati.
Key Distribution (Distribuzione delle chiavi): La distribuzione iniziale delle chiavi DOVREBBE essere eseguita attraverso meccanismi sicuri fuori banda.
Key Updates (Aggiornamenti delle chiavi): Le chiavi DOVREBBERO essere modificate periodicamente. La frequenza dipende dai requisiti di sicurezza della distribuzione.
Key Localization (Localizzazione delle chiavi): Utilizzare sempre chiavi localizzate (chiavi specifiche per ogni motore SNMP) piuttosto che chiavi globali.

Initial Synchronization (Sincronizzazione iniziale): I motori SNMP non autorevoli DEVONO eseguire la sincronizzazione temporale con i motori autorevoli prima di inviare messaggi autenticati.
Clock Accuracy (Accuratezza dell'orologio): I motori SNMP DOVREBBERO mantenere orologi ragionevolmente accurati. Una grande deriva dell'orologio può causare il rifiuto di messaggi legittimi.
Boots Counter (Contatore di avvii): Il contatore msgAuthoritativeEngineBoots DEVE essere incrementato ogni volta che un motore SNMP si reinizializza. Questo contatore DEVE persistere attraverso i riavvii.

User Creation (Creazione utente): Quando si creano utenti, specificare sempre sia i protocolli di autenticazione che quelli di privacy, anche se la privacy non verrà utilizzata immediatamente.
User Deletion (Eliminazione utente): Quando si eliminano utenti, assicurarsi che tutte le chiavi e i dati di configurazione associati siano cancellati in modo sicuro.
Template Users (Utenti modello): Utilizzare utenti modello (utenti configurati sul motore autorevole) per la clonazione per creare nuovi utenti su motori non autorevoli.

Scegliere il livello di sicurezza appropriato per ogni messaggio:

noAuthNoPriv: Solo per messaggi di scoperta o informazioni non sensibili. Non raccomandato per uso operativo.
authNoPriv: Fornisce autenticazione ma non privacy. Adatto quando la riservatezza non è richiesta ma l'integrità del messaggio e l'autenticazione dell'origine sono necessarie.
authPriv: Fornisce sia autenticazione che privacy. Raccomandato per tutte le operazioni sensibili.

Random Number Generation (Generazione di numeri casuali): Le implementazioni DEVONO utilizzare generatori di numeri casuali crittograficamente forti per generare chiavi e vettori di inizializzazione.
Clock Synchronization (Sincronizzazione dell'orologio): Le implementazioni DOVREBBERO fornire meccanismi per sincronizzarsi con sorgenti temporali esterne (ad esempio, NTP) per mantenere un tempo accurato.
Audit Logging (Registrazione di audit): Le implementazioni DOVREBBERO registrare eventi rilevanti per la sicurezza, inclusi i fallimenti di autenticazione e i fallimenti di sincronizzazione temporale.
Error Handling (Gestione degli errori): Le implementazioni DEVONO gestire le condizioni di errore in modo sicuro, evitando perdite di informazioni che potrebbero aiutare gli attaccanti.

11.1. Recommended Practices (Pratiche raccomandate)​