11.5. Access to the SNMP-USER-BASED-SM-MIB (Accesso al SNMP-USER-BASED-SM-MIB)

Questa sezione fornisce raccomandazioni per controllare l'accesso agli oggetti nel modulo SNMP-USER-BASED-SM-MIB.

Overview (Panoramica)

Il SNMP-USER-BASED-SM-MIB contiene informazioni sensibili relative alla sicurezza, tra cui:

Nomi utente e parametri di sicurezza
Identificatori di protocollo di autenticazione e privacy
Meccanismi per modificare le chiavi
Contatori statistici

Un accesso inappropriato a questi oggetti potrebbe compromettere la sicurezza dell'intero sistema di gestione SNMP.

Access Control Requirements (Requisiti di controllo degli accessi)

L'accesso al SNMP-USER-BASED-SM-MIB DEVE (MUST) essere controllato utilizzando il modello di controllo degli accessi basato su viste (VACM) [RFC3415] o un altro meccanismo di controllo degli accessi di forza equivalente.

Recommended Access Controls (Controlli degli accessi raccomandati)

Si raccomandano le seguenti linee guida per il controllo degli accessi:

1. `usmUserTable` - Tabella di configurazione utente (User Configuration Table)

Accesso in lettura (Read Access):

Gli utenti DOVREBBERO (SHOULD) poter leggere la propria voce nella usmUserTable
Gli amministratori DOVREBBERO (SHOULD) poter leggere tutte le voci
Gli utenti generali NON DOVREBBERO (SHOULD NOT) poter leggere le voci di altri utenti

Accesso in scrittura (Write Access):

Gli utenti DOVREBBERO (SHOULD) poter modificare alcuni oggetti nella propria voce:
- usmUserOwnAuthKeyChange - per modificare la propria chiave di autenticazione
- usmUserOwnPrivKeyChange - per modificare la propria chiave di privacy
- usmUserPublic - un oggetto scrivibile per uso generico
Gli amministratori DOVREBBERO (SHOULD) poter:
- Creare nuovi utenti tramite usmUserCloneFrom e usmUserStatus
- Modificare usmUserAuthKeyChange e usmUserPrivKeyChange per tutti gli utenti
- Eliminare utenti impostando usmUserStatus a destroy(6)
Gli utenti generali NON DOVREBBERO (SHOULD NOT) poter modificare le voci di altri utenti

2. `usmUserSpinLock`

Accesso in lettura: Tutti gli utenti autenticati
Accesso in scrittura: Solo amministratori o utenti autorizzati a modificare usmUserTable

Il usmUserSpinLock viene utilizzato per coordinare l'accesso alla usmUserTable quando più gestori tentano modifiche simultanee.

3. Gruppo `usmStats` - Contatori statistici (Statistics Counters)

Accesso in lettura (Read Access):

DOVREBBE (SHOULD) essere leggibile da amministratori e applicazioni di monitoraggio
PUÒ (MAY) essere leggibile da utenti autenticati generali per scopi diagnostici

Accesso in scrittura (Write Access):

NON DOVREBBE (SHOULD NOT) essere scrivibile da nessun utente (questi sono contatori di sola lettura)

I contatori statistici forniscono informazioni preziose per:

Monitoraggio della sicurezza e rilevamento delle intrusioni
Risoluzione dei problemi di autenticazione e sincronizzazione temporale
Pianificazione della capacità

4. Key Management Objects (Oggetti di gestione delle chiavi)

I seguenti oggetti richiedono una protezione speciale:

usmUserAuthKeyChange e usmUserPrivKeyChange: Questi oggetti consentono agli amministratori di modificare le chiavi di qualsiasi utente. L'accesso dovrebbe essere strettamente limitato agli amministratori fidati.
usmUserOwnAuthKeyChange e usmUserOwnPrivKeyChange: Questi oggetti consentono agli utenti di modificare le proprie chiavi. Ogni utente dovrebbe avere accesso in scrittura a questi oggetti solo nella propria voce.

Importante: Questi oggetti utilizzano un protocollo speciale di modifica delle chiavi (descritto nella sezione 5 del modulo MIB) per garantire che le chiavi non possano essere intercettate o divulgate durante l'operazione di modifica.

View Configuration Example (Esempio di configurazione delle viste)

Una tipica configurazione VACM potrebbe includere:

Vista amministratore (Administrator View): Accesso completo in lettura-scrittura all'intera usmUserTable e accesso in lettura a usmStats
Vista auto-gestione utente (User Self-Management View): Accesso in lettura alla propria voce in usmUserTable, accesso in scrittura a usmUserOwnAuthKeyChange e usmUserOwnPrivKeyChange nella propria voce
Vista monitoraggio (Monitoring View): Accesso in sola lettura al gruppo usmStats per il monitoraggio della sicurezza
Vista ristretta (Restricted View): Nessun accesso a usmUserTable, accesso limitato o nullo a usmStats

Security Considerations for MIB Access (Considerazioni sulla sicurezza per l'accesso al MIB)

Prevenire l'enumerazione (Prevent Enumeration): Limitare l'accesso in lettura a usmUserTable impedisce agli aggressori di enumerare i nomi utente validi.
Proteggere le operazioni di modifica delle chiavi (Protect Key Change Operations): Anche se le chiavi stesse non sono mai direttamente leggibili, il meccanismo di modifica delle chiavi dovrebbe essere protetto per prevenire modifiche non autorizzate delle chiavi.
Monitorare le statistiche (Monitor Statistics): Il monitoraggio regolare dei contatori usmStats può aiutare a rilevare:
- Tentativi di autenticazione a forza bruta (usmStatsWrongDigests)
- Problemi di sincronizzazione temporale (usmStatsNotInTimeWindows)
- Tentativi di utilizzo di utenti sconosciuti (usmStatsUnknownUserNames)
Integrazione dei log di audit (Audit Log Integration): Considerare l'integrazione degli eventi di sicurezza SNMP (derivati dalle modifiche usmStats) nei sistemi di gestione delle informazioni e degli eventi di sicurezza (SIEM) aziendali.

Initial Configuration (Configurazione iniziale)

Durante la configurazione iniziale di un motore SNMP:

Almeno un utente iniziale con privilegi amministrativi completi DEVE (MUST) essere configurato.
Questo utente iniziale dovrebbe essere configurato tramite un meccanismo sicuro fuori banda (ad esempio, accesso console locale).
Una volta configurato l'utente iniziale, è possibile creare utenti aggiuntivi tramite SNMP utilizzando il meccanismo usmUserCloneFrom.
Le credenziali dell'utente iniziale dovrebbero essere modificate immediatamente dopo il primo utilizzo se sono state utilizzate credenziali predefinite durante l'avvio.