Passa al contenuto principale

7. Considerazioni sulla sicurezza

Questo documento definisce le operazioni di protocollo per SNMP. Le operazioni di protocollo stesse non forniscono sicurezza. Piuttosto, la sicurezza è fornita dal framework SNMP attraverso l'uso dell'architettura definita nella RFC 3411 [RFC3411] e dei sottosistemi di sicurezza definiti nella RFC 3414 [RFC3414] e nella RFC 3415 [RFC3415].

È responsabilità dell'amministratore di rete definire politiche di sicurezza che tengano conto delle risorse gestite, della sensibilità delle informazioni di gestione e delle minacce a cui la rete è soggetta. È quindi responsabilità dell'architettura, del sottosistema di sicurezza e del sottosistema di controllo degli accessi applicare tali politiche.

In particolare, l'architettura SNMP fornisce meccanismi per:

  • Autenticazione dei messaggi (Message authentication): Garantire che i messaggi non siano stati alterati o falsificati.

  • Privacy dei messaggi (Message privacy): Garantire che il contenuto dei messaggi non possa essere letto da parti non autorizzate.

  • Autorizzazione dei messaggi (Message authorization): Garantire che solo gli utenti autorizzati possano eseguire operazioni di gestione.

Le operazioni di protocollo definite in questo documento presuppongono che:

  1. Il messaggio SNMP contenente l'operazione sia stato autenticato per stabilire l'identità del principale per conto del quale viene eseguita l'operazione.

  2. Siano stati eseguiti controlli di accesso dal motore SNMP per determinare se il principale identificato è autorizzato a eseguire l'operazione richiesta sugli oggetti gestiti specificati.

  3. Se è richiesta la privacy, il messaggio SNMP sia stato crittografato per impedire la divulgazione a parti non autorizzate.

Queste funzioni sono eseguite dai sottosistemi di elaborazione dei messaggi e di sicurezza dell'architettura SNMP, e non fanno parte delle operazioni di protocollo stesse.

Tuttavia, le applicazioni che utilizzano le operazioni di protocollo definite in questo documento dovrebbero essere consapevoli delle seguenti considerazioni sulla sicurezza:

Divulgazione di informazioni

Le operazioni GetRequest-PDU, GetNextRequest-PDU e GetBulkRequest-PDU recuperano informazioni di gestione dagli oggetti gestiti. Se queste informazioni sono sensibili, dovrebbero essere protette attraverso l'uso di meccanismi di privacy dei messaggi. Senza tale protezione, le informazioni potrebbero essere divulgate a parti non autorizzate attraverso il monitoraggio passivo del traffico di rete.

Modifica non autorizzata

L'operazione SetRequest-PDU modifica i valori degli oggetti gestiti. Se la modifica di un particolare oggetto potrebbe avere implicazioni di sicurezza (ad esempio, disabilitare una regola del firewall o modificare un elenco di controllo degli accessi), l'accesso a tale oggetto dovrebbe essere attentamente controllato. I meccanismi di controllo degli accessi definiti nella RFC 3415 [RFC3415] forniscono i mezzi per limitare quali principali sono autorizzati a modificare quali oggetti.

Negazione del servizio

Tutte le operazioni di protocollo consumano risorse (larghezza di banda di rete, tempo di elaborazione, memoria) sia sulle entità SNMP originarie che su quelle riceventi. Un attaccante potrebbe potenzialmente lanciare un attacco di negazione del servizio inviando un gran numero di richieste. La limitazione della velocità e la gestione delle risorse sono considerazioni importanti per le implementazioni.

Il GetBulkRequest-PDU è particolarmente suscettibile agli abusi, poiché è progettato specificamente per recuperare grandi quantità di dati. Un attaccante potrebbe richiedere un numero molto elevato di ripetizioni (max-repetitions) per far sì che l'entità rispondente consumi risorse eccessive o generi risposte estremamente grandi. Le implementazioni dovrebbero imporre limiti ragionevoli alle risorse consumate da qualsiasi singola richiesta.

Replay dei messaggi

Senza un'adeguata autenticazione dei messaggi e un controllo dell'attualità, un attaccante potrebbe catturare i messaggi SNMP e riprodurli in un secondo momento. Ciò potrebbe avere conseguenze gravi, in particolare per le operazioni SetRequest-PDU che modificano gli oggetti gestiti. I meccanismi di attualità definiti nella RFC 3414 [RFC3414] proteggono contro il replay dei messaggi includendo informazioni basate sul tempo nei messaggi autenticati.

Spoofing di trap/inform

I messaggi SNMPv2-Trap-PDU e InformRequest-PDU forniscono notifiche di eventi. Se queste notifiche non sono autenticate, un attaccante potrebbe inviare notifiche false per ingannare gli amministratori di rete o innescare risposte automatizzate inappropriate. I meccanismi di autenticazione dei messaggi dovrebbero essere utilizzati per verificare la fonte delle notifiche.

In sintesi, le operazioni di protocollo definite in questo documento devono essere utilizzate in combinazione con meccanismi di sicurezza appropriati per garantire:

  1. Autenticazione degli originatori dei messaggi
  2. Protezione contro la modifica dei messaggi
  3. Protezione contro il replay dei messaggi
  4. Privacy del contenuto dei messaggi (quando richiesto)
  5. Autorizzazione delle operazioni di gestione
  6. Protezione contro gli attacchi di negazione del servizio

L'architettura SNMP fornisce il framework per questi servizi di sicurezza, e le implementazioni dovrebbero fare pieno uso di queste capacità per proteggere le reti gestite dalle minacce alla sicurezza.