Passa al contenuto principale

2. Il modello MUD e il significato semantico (The MUD Model and Semantic Meaning)

Un file MUD consiste in un'istanza del modello YANG che è stata serializzata in JSON [RFC7951]. Ai fini di MUD, i nodi che possono essere modificati sono le liste di controllo accessi aumentate da questo modello. Il file MUD è limitato alla serializzazione solo dei seguenti schemi YANG:

  • ietf-access-control-list [RFC8519]
  • ietf-mud (RFC 8520)
  • ietf-acldns (RFC 8520)

Le estensioni possono essere utilizzate per aggiungere schemi aggiuntivi. Questo è descritto più avanti.

Per fornire la più ampia distribuzione possibile, gli editori di file MUD DOVREBBERO utilizzare le astrazioni in questo memo ed evitare l'uso di indirizzi IP. Un gestore MUD NON DOVREBBE implementare automaticamente alcun file MUD che contenga indirizzi IP, specialmente quelli che potrebbero avere significato locale. L'indirizzamento di un lato di una lista di controllo accessi è implicito, in base al fatto che sia applicato come to-device-policy o from-device-policy.

Con le eccezioni del "name" dell'ACL, "type", "name" dell'Access Control Entry (ACE) e delle informazioni sulla porta di origine e destinazione TCP e UDP, gli editori di file MUD DOVREBBERO limitare l'uso dei nodi foglia del modello ACL espressi a quelli trovati in questa specifica. In assenza di estensioni, si presume che i file MUD implementino solo le seguenti funzionalità del modello ACL:

  • match-on-ipv4, match-on-ipv6, match-on-tcp, match-on-udp, match-on-icmp

Inoltre, DOVREBBERO essere incluse solo azioni "accept" o "drop". Un gestore MUD PUÒ scegliere di interpretare "reject" come "drop". Un gestore MUD DOVREBBE ignorare tutte le altre azioni. Questo perché i produttori non hanno un contesto sufficiente all'interno di una distribuzione locale per sapere se reject è appropriato. Questa è una decisione che dovrebbe essere lasciata a un amministratore di rete.

Dato che MUD non si occupa di interfacce, il supporto del modulo "ietf-interfaces" [RFC8343] non è richiesto. In particolare, il supporto delle funzionalità e dei rami relativi alle interfacce (ad esempio, interface-attachment e interface-stats) del modulo YANG ACL non è richiesto.

In effetti, i gestori MUD POSSONO ignorare qualsiasi componente particolare di una descrizione o POSSONO ignorare completamente la descrizione, e DOVREBBERO ispezionare attentamente tutte le descrizioni MUD. Gli editori di file MUD NON DEVONO includere altri nodi eccetto come descritto nella Sezione 3.9. Consultare quella sezione per ulteriori informazioni.

Ultimo aggiornamento il