Modul 7: SNMPv3 M. Leischner Netzmanagement Folie 1
SNMP-Versionen Party-Based SNMP Version 2 (SNMPv2p) User-Based SNMP Version 2 (SNMPv2u) SNMP Version 3 1988 1989 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 Start SNMP Working Group SNMPv1 Secure SNMP Community- Based SNMP Version 2 (SNMPv2c) M. Leischner Netzmanagement Folie 2
SNMPv1 1990 Wesentliche RFCs: RFC 1155 Structure and Identification of Management Information for TCP/IP-based internets RFC 1156 Management Information Base for Network Management of TCP/IP-based internets RFC 1157 A Simple Network Management Protocol 3 Kommandos: GET, GETNEXT, SET sowie die unaufgeforderte Nachricht TRAP Vorteile: einfache Konfiguration und Bedienung einfache Implementierung geringer Ressourcenanforderungen an den Client Nachteile: primitive Sicherheitsmechanismen (einfacher Passwortschutz, unverschlüselte Übertragung) nur 32-bit Counter (nicht ausreichend für Bandbreitenüberwachungen bei Gigabit- Verbindungen ) ineffiziente Abfrage von Tabellen nur Trap-Directed Polling M. Leischner Netzmanagement Folie 3
Secure SNMP 1992 Wesentliche RFCs: RFC 1351 SNMP Administrative Model RFC 1352 SNMP Security Protocols RFC 1353 Definitions of Managed Objects for Administration of SNMP Parties Behandlung der Sachziele Authentifizierung (Challenge-Response) Vertraulichkeit der Daten (Verschlüsselung mittels DES) Datenintegrität (MD5-Prüfsumme über SNMP-Nachricht) Zugriffskontrolle (Access Control) Secure SNMP wurde nicht eingeführt, sondern durch SNMPv2 abgelöst M. Leischner Netzmanagement Folie 4
Party-Based SNMP Version 2 (SNMPv2p) 1993 Wesentliche RFCs: RFC 1441 Introduction to version 2 of the Internet-standard Network Management Framework RFC 1445 Administrative Model for version 2 of the Simple Network Management Protocol (SNMPv2) RFC 1446 Security Protocols for version 2 of the Simple Network Management Protocol (SNMPv2) RFC 1447 Party MIB for version 2 of the Simple Network Management Protocol (SNMPv2) Party-Based Security Model: Sicherheit wird an eine logische Einheit (Party) gebunden basiert auf DES-Algorithmus sehr komplex (widerspricht der SNMP-Philosophie) Neue Protokolloperationen: Effizienteres Abfragen von Tabellen durch GetBulk-Befehl (Ersatz für Tabellendurchlauf mit getnext) Version wird nicht mehr verwendet M. Leischner Netzmanagement Folie 5
Community-Based SNMP Version 2 (SNMPv2c) 1996 Definiert in RFCs: RFC 1901 Introduction to Community-based SNMPv2 RFC 1905 Protocol Operations for version 2 of the Simple Network Management Protocol (SNMPv2) RFC 1906 Transport Mappings for version 2 of the Simple Network Management Protocol (SNMPv2) Community-Based Security Model: Sicherheitsmechanismen aus der Version 1 verwenden! Neue Protokolloperationen: Effizienteres Abfragen von Tabellen durch GetBulk-Befehl (Ersatz fur Tabellendurchlauf mit getnext) Unterstützung für 64-bit Counter (ermöglicht Monitoring von High-Speed Devices ) erweiterte Fehlersignalisierung Inform-Operation für die Kommunikation zwischen verschiedenen Managern M. Leischner Netzmanagement Folie 6
User-Based SNMP Version 2 (SNMPv2u) 1996 Wesentliche RFCs: RFC 1909 An Administrative Infrastructure for SNMPv2 RFC 1910 User-based Security Model for SNMPv2 User-Based Security Model: Sicherheit wird an einen Benutzernamen gebunden relativ leicht zu handhabendes Sicherheitsmodell Diese Version kann mit Community-Based SNMP Version 2 (SNMPv2c) kombiniert werden SNMPv2c + SNMPv2u = SNMPv2 Insgesamt Chaos im Sicherheitsmodell von SNMPv2 M. Leischner Netzmanagement Folie 7
SNMPv3 2002 Motivation: mangelnde Behandlung von Sicherheitsaspekten in SNMP v1 und v2 kein einheitliches Gesamtmodell Ziele: Weiterverwendung bewährte Konzepte aus in SNMP v1 und v2 ( Kompatibilität) Entwurf einer modularen Architektur ( Baukasten ) Trotz Zusatzfunktionen, möglichst große Einfachheit ( Keep SNMP as simple as possible. - RFC 3411) Folgende Sicherheitsanforderungen sollen erfüllt werden: Zugriffskontrolle (Access Control) Authentifizierung Datenintegrität Vertraulichkeit der Daten bei Bedarf Verhinderung von Replayattacken ( Pünktlichkeitsmodul ) Folgende Bedrohungen werden nicht behandelt: Denial of Service Verkehrsanalyse M. Leischner Netzmanagement Folie 8
SNMPv3 - RFCs 2002 RFC 3410, "Introduction and Applicability Statements for Internet Standard," gibt einen Überblick über SNMPv3 RFC 3411, "An Architecture for Describing SNMP Management Frameworks," beschreibt Gesamtarchitektur mit Schwerpunkt auf Sicherheit und Adminstration. RFC 3412, "Message Processing and Dispatching for the Simple Network Management Protocol (SNMP)" beschreibt mögliche Message Processing Modelle und den Dispatcher RFC 3413, "Simple Network Management Protocol (SNMP) Applications," beschreibt fünf Typen von SNMP-Applikationen RFC 3414, "User-based Security Model (USM) for version 3 of the Simple Network Management Protocol (SNMPv3)," beschreibt das Sicherheitsmodell RFC 3415, "View-based Access Control Model (VACM) for the Simple Network Management Protocol (SNMP), beschreibt das VACM M. Leischner Netzmanagement Folie 9
Architektur von SNMPv3 SNMP-Architektur: Menge von verteilten, interagierenden SNMP-Entities Eine SNMP-Entity kann ein Manager-System, ein Agent-System oder eine Kombination aus beiden sein. Beispiel: SNMP Mid-level Manager SNMP Proxy Forwarder Jede SNMP-Entity besteht aus eine Sammlung von Modulen, die interagieren, um den gewünschten Service zu erbringen. Die modulare Struktur von SNMPv3 bringt eine Reihe von Vorteilen: die Koexistenz von Standards und die Migration wird unterstützt Zeitersparnis bei der Umsetzung und Anpassung auf Zielgeräte Weniger Komplexität durch Entkopplung Das Security Subsystem behandelt Authentisierung, Datenintegrität und Vertraulichkeit, aber nicht die Autorisierung. Hierfür gibt es ein eigenes Subsystem (Access Control Subsystem) M. Leischner Netzmanagement Folie 10
Architektur SNMPv3-Manager (nach RFC3411) SNMP Entity COMMAND GENERATOR applications NOTIFICATION RECEIVER applications NOTIFICATION ORIGINATOR applications SNMP Applications Dispatcher Message Processing Subsystem Security Subsystem PDU Dispatcher v1mp Community-based Security Model Message Dispatcher Transport Mapping v2mp v3mp othermp User-based Security Model Other Security Model SNMP Engine UDP IPX other Network M. Leischner Netzmanagement Folie 11
Architektur SNMPv3-Agent (nach RFC3411) MIB instrumentation SNMP Entity SNMP Applications COMMAND RESPONDER applications Access Control Subsystem View-based ACCESS CONTROL NOTIFICATION ORIGINATOR applications PROXY FORWARDER applications other ACM Dispatcher Message Processing Subsystem Security Subsystem PDU Dispatcher v1mp Community-based Security Model Message Dispatcher Transport Mapping v2mp v3mp othermp User-based Security Model Other Security Model SNMP Engine UDP IPX other Network M. Leischner Netzmanagement Folie 12
Literatur und Quellen ALLES zu SNMP (Wiki, MIBs, RFCs, Tutorials, Software, Literaturhinweise) finden Sie auf: http://www.simpleweb.org/ M. Leischner Netzmanagement Folie 13
Multiple-Choice-Test zu SNMPv3 Frage 1: Aus welchen Komponenten besteht eine SNMP-Entity? a: SNMP-Engine und Applications. b: SNMP-Framework und Applications. c: Sicherheitsprotokoll und Administration. Frage 2: Welche Applikationen laufen auf einem Manager? a: Proxy forwarder & Notification Originator. b: Command Generator & Notification Receiver. c: Command Generator & Command Responder. Frage 3: Wofür ist der Dispatcher unter anderem zuständig? a: Er erstellt Kommandos. b: Er wendet das Sicherheitsmodell auf die Nachrichten an. c: Er leitet Anfragen der Applications an das Message Processing Subsystem weiter. M. Leischner Netzmanagement Folie 14