SNMPv3是Internet标准管理框架的IETF推荐的``完全标准''SNMPv3版本,可以进行安全管理。该技术提供了商业级的安全性,并且易于管理,包括身份验证,授权,访问控制和隐私。
SNMPv3的安全管理是一项重要的启用技术,用于安全的配置和控制操作。SNMPv3通过身份验证和隐私提供安全性,其管理提供逻辑上下文,基于视图的访问控制和远程配置。该技术可用于网络,系统,应用程序,管理器到管理器通信以及旧系统的代理管理。
SNMPv3源自原始Internet标准管理框架(SNMPv1)和第二个Internet标准管理框架(SNMPv2c),并在此基础上构建。Internet标准管理框架的所有版本(SNMPv1,SNMPv2c和SNMPv3)都具有相同的基本结构和组件。此外,Internet标准管理框架规范的所有版本都遵循相同的体系结构。
SNMPv3功能
许多SNMP产品在SNMPv3下基本上保持相同,但是通过以下新功能得到了增强:
安全
- 认证方式
- 隐私
行政
- 授权和访问控制
- 逻辑上下文
- 实体,身份和信息的命名
- 人与政策
- 用户名和密钥管理
- 通知目的地和代理关系
- 通过SNMP操作进行远程配置
SNMPv3的其他功能(来自v2)
以下功能通过引用从SNMPv2框架中合并。
特征 | 例 |
扩展的数据类型 | 64位计数器 |
提高效率和性能 | 批量运算符 |
确认的事件通知 | 通知操作员 |
更丰富的错误处理 | 错误与例外 |
改良套 | 行创建/删除 |
微调数据定义语言 | SMI,文本约定,一致性声明和代理功能 |
安全威胁和SNMPv3保护
SNMPv3的安全管理可抵御四种威胁:
威胁 | SNMPv3保护 |
假面舞会 | 通过检查数据的完整性来验证消息来源的标识。 |
信息修改 | 通过检查数据(包括时间戳)的完整性,阻止传输中消息的意外或有意更改。 |
消息流修改 | 通过检查消息流完整性(包括时间戳)来阻止重播攻击。 |
揭露 | 通过使用加密防止协议分析仪等进行窃听。 |
越权存取 | 通过使用访问控制表(基于策略的管理的一部分),验证操作员的授权并保护关键数据免受故意和/或意外损坏。 |
基于用户的身份验证机制基于以下内容:
- HMAC中的MD5消息摘要算法
- 直接提供数据完整性检查
- 间接提供数据来源身份验证
- 使用发送方和接收方已知的私钥
- 16字节密钥
- 128位摘要(截断为96位)
- SHA,可选算法
- 松散同步的单调递增时间指示符值可抵御某些消息流修改攻击
基于用户的隐私机制基于以下内容:
- 数据加密标准(DES)密码块链接(CBC)模式
- 提供数据机密性
- 使用加密
- 受到许多司法管辖区的出口和使用限制
- 使用发送方和接收方已知的16字节密钥(56位DES密钥,8字节DES初始化向量)
- 由于与国际使用相关的问题,对DES的多种合规性
- 三重数据加密标准(Triple DES)
- 高级加密标准(128、192和256位密钥)
SNMPv3提供以下配置可能性。(注意:可用性取决于出口限制。)
- 没有身份验证,没有隐私(noAuthNoPriv)-通常用于监视
- 身份验证和无隐私(authNoPriv)-通常用于控制
- 身份验证和隐私(authPriv)-通常用于下载机密
网络管理员有可能在逐个事务的基础上配置保护级别。选择配置选项时要考虑的标准是系统资源和保护级别。
SNMPv3架构
Internet标准管理框架的规范基于模块化体系结构。该框架不仅仅是移动数据的协议。该框架包括
- 数据定义语言
- 管理信息的定义(管理信息库或MIB),
- 协议定义,以及
- 安全和管理。
该框架由与协议无关的数据定义语言和管理信息库以及与MIB无关的协议构成。SNMPv3框架通过以下方式构建和扩展这些体系结构原理
- 建立在这四个基本架构组件的基础上,在某些情况下,它们通过引用并通过以下方式从SNMPv2框架中纳入它们
- 在架构的安全性和管理部分的新功能的定义中使用这些相同的分层原则。
那些熟悉SNMPv1管理框架和SNMPv2管理框架的架构的人会在SNMPv3管理框架的架构中发现许多熟悉的概念。但是,在某些情况下,术语可能有所不同。
SNMP实体包含一个安全子系统(可能还包括访问控制子系统),以防止未经授权的用户访问MIB或MIB的一部分。SNMP实体还拥有这些子系统,以确保授权用户仅从允许其查看的MIB部分中检索和更新信息。只有具有必要访问权限的用户才能从正确配置的SNMP实体获得所需的服务级别。
安全管理框架定义了控制SNMP实体提供的服务级别的机制。这些机制根据谁在发送消息,请求什么操作,在 MIB内进行的操作以及如何发送请求(使用安全协议)来区分每个消息。
WHO? 认证方式根据邮件的发件人来区分请求。身份验证标识符包括某种类型的共享密钥,用于验证发送方的身份。
什么? 授权书根据所请求的操作来区分请求。授权标识符定义了一组允许的操作(例如,Get,Set,Trap等)。
哪里? 访问控制基于将执行请求的操作的MIB对象区分请求。访问控制标识符或MIB视图定义了MIB中可以执行操作的一组对象。
怎么样? 安全级别根据用于请求的安全协议来区分请求。安全级别选项包括隐私协议和替代身份验证算法。
SNMPv3注释请求(RFC)提供了有关SNMPv3的更多详细信息。RFC的完整列表可以在http://www.snmp.com/snmpv3/上找到 。。
- RFC 3410。SNMPv3简介
- RFC 3410。Internet标准管理框架的简介和适用性声明
- RFC 3411。描述SNMP管理框架的体系结构
- RFC 3412。邮件处理和调度
- RFC 3413。SNMP应用
- RFC 3414。基于用户的安全模型
- RFC 3415。基于视图的访问控制模型
- RFC 3416。SNMP协议操作的版本2
- RFC 3417。运输映射
- RFC 3584。Internet标准网络管理框架的版本1,版本2和版本3之间共存
- RFC 3826。SNMP基于用户的安全模型中的高级加密标准(AES)密码算法
- SNMPv3规范
http://www.snmp.com/snmpv3/。 - Internet工程任务组(IETF)
在IETF RFC 3414中定义了基于用户的安全模型。 有关接收免费提供的IETF标准的信息,请参见http://www.ietf.org。 - AES和3DES规范
AES和3DES安全协议定义文档可在扩展安全联盟网站(http://www.snmp.com/)的以下页面上找到:http : //www.snmp.com/protocol/ eso.shtml。 - AES-256规范
http://www.snmp.com/snmpv3_aes256.shtml。