8. Security Considerations (安全考虑)

本 MIB 模块中定义了许多具有 MAX-ACCESS 子句为 read-write 和/或 read-create 的管理对象。在某些网络环境中, 此类对象可能被视为敏感或易受攻击。在没有适当保护的非安全环境中支持 SET 操作可能会对网络操作产生负面影响。

敏感的可写对象包括：

• ipForwarding 和 ipv6IpForwarding - 允许启用或禁用路由功能
• ipDefaultTTL 和 ipv6IpDefaultHopLimit - 控制数据包的有效传输范围
• ipv4InterfaceEnableStatus 和 ipv6InterfaceEnableStatus - 控制特定接口上的协议启用状态
• ipAddressTable - 指定节点使用的地址
• ipv6RouterAdvertTable - 指定路由器通告信息
• ipNetToPhysicalPhysAddress 和 ipNetToPhysicalType - 地址转换信息

敏感的可读对象：

实际上, 本 MIB 中的所有对象都可以被视为敏感的, 因为它们报告系统内 IP 模块的状态。特别是以下表值得关注：

• ipSystemStatsTable 和 ipIfStatsTable - 流量统计信息
• ipAddressTable - 提供节点使用的所有地址列表

SNMP 版本建议：

建议使用 SNMPv3 框架以提供适当的安全性。特别是：

• 使用基于用户的安全模型 (USM) RFC 3414 进行身份验证和隐私保护
• 使用基于视图的访问控制模型 (VACM) RFC 3415 进行访问控制

详细的安全考虑请参见 RFC 4293 原文第 8 章。