Passa al contenuto principale

11.2. Defining Users (Definizione degli utenti)

11.2. Defining Users (Definizione degli utenti)

Questa sezione fornisce indicazioni su come definire gli utenti nel modello di sicurezza basato sull'utente.

Clone-From Template Users (Clonazione da utenti modello)

L'approccio raccomandato per definire gli utenti è utilizzare utenti modello per la clonazione. Un utente modello è un utente definito sul motore SNMP autorevole che funge da sorgente per la clonazione per creare nuovi utenti.

Processo:

  1. Definire un utente modello sul motore autorevole con:

    • Protocollo di autenticazione
    • Protocollo di privacy
    • Chiave di autenticazione localizzata
    • Chiave di privacy localizzata

  2. Utilizzare l'oggetto usmUserCloneFrom per clonare l'utente modello per creare un nuovo utente su:

    • Lo stesso motore autorevole, o
    • Un motore non autorevole

  3. Dopo la clonazione, utilizzare usmUserAuthKeyChange e usmUserPrivKeyChange per impostare chiavi univoche per il nuovo utente.

Password-Based Key Derivation (Derivazione della chiave basata su password)

Quando si creano utenti, le password possono essere convertite in chiavi utilizzando l'algoritmo da password a chiave definito nell'Appendice A.2. Questo algoritmo:

  1. Accetta una password (OCTET STRING di lunghezza arbitraria)
  2. Applica ripetutamente una funzione hash (MD5 o SHA)
  3. Produce una chiave di lunghezza appropriata

Importante: Password diverse possono produrre la stessa chiave se consistono in pattern ripetitivi. Ad esempio, le password "maplesyrupmaples" e "maplesyrup" possono produrre valori hash intermedi simili. Pertanto:

  • Evitare pattern di password ripetitivi
  • Utilizzare password di almeno 8 caratteri
  • Assicurare la complessità della password

User Table Management (Gestione della tabella utenti)

Gli utenti sono memorizzati nella usmUserTable. Ogni voce contiene:

  • usmUserEngineID: Lo snmpEngineID del motore SNMP
  • usmUserName: Il nome utente
  • usmUserSecurityName: Il nome di sicurezza
  • usmUserCloneFrom: L'utente modello da cui clonare
  • usmUserAuthProtocol: Il protocollo di autenticazione
  • usmUserAuthKeyChange: Oggetto per modificare la chiave di autenticazione
  • usmUserOwnAuthKeyChange: Oggetto per modificare la propria chiave di autenticazione
  • usmUserPrivProtocol: Il protocollo di privacy
  • usmUserPrivKeyChange: Oggetto per modificare la chiave di privacy
  • usmUserOwnPrivKeyChange: Oggetto per modificare la propria chiave di privacy
  • usmUserPublic: Un oggetto pubblicamente leggibile e scrivibile
  • usmUserStorageType: Il tipo di archiviazione
  • usmUserStatus: Lo stato della riga

Security Considerations for User Definition (Considerazioni sulla sicurezza per la definizione degli utenti)

  1. Initial User (Utente iniziale): Almeno un utente DEVE essere definito con credenziali di sicurezza appropriate prima che il motore SNMP possa essere utilizzato per la comunicazione autenticata.

  2. Key Strength (Forza della chiave): Assicurarsi che le chiavi (sia derivate da password che generate casualmente) abbiano entropia sufficiente per resistere agli attacchi di forza bruta.

  3. User Rights (Diritti utente): Definire gli utenti con i privilegi minimi necessari. Utilizzare il modello di controllo degli accessi basato su viste (VACM) per limitare ciò a cui ogni utente può accedere.

  4. User Lifecycle (Ciclo di vita dell'utente): Stabilire procedure per:

    • Creare utenti in modo sicuro
    • Aggiornare periodicamente le credenziali utente
    • Disabilitare o eliminare utenti quando non sono più necessari
    • Controllare le attività degli utenti
Ultimo aggiornamento il