您所在的位置: 首页>建站知识>菏泽SNMPV3安全性探讨

菏泽SNMPV3安全性探讨

发表于:2021-11-08 阅读:0 关键词: SNMPV3安全性探讨

SNMP的发展主要是围绕其安全性的提高而不断开发新版本的,安全性要求在SNMPV2中就被迫切地提出来,这是因为SNP的消息在网络上传输面临着以下的安全性问题:

SNMP的发展主要是围绕其安全性的提高而不断开发新版本的,安全性要求在SNMPV2中就被迫切地提出来,这是因为SNP的消息在网络上传输面临着以下的安全性问题:

(1)修改信息:一个实体可以修改由另一个授权实体产生的传输中的消息,从而以这样的一种方式来影响非授权的管理操作,其中包括设置对象的取值。在本质上,这种威胁是指非授权的实体可以改变任意的操作参数,包括那些与配置、操作和计数有关的参数。



(2)伪装:通过伪装成一个授权实体,该授权实体试图进行某些没有授权的管理操作。

(3)修改信息流:SNMP被设计成在无连接的传输层协议上操作。这样便存在SNMP消息可能被重新排序、显示或重播(复制)来影响授权的管理操作的威胁。例如,一个要重启设备的消息可能被复制下来而随后进行重播。

(4)泄密:一个实体可能观测管理站和代理之间的交换,从而得知被管理对象的取值以及一些应用通告的事件。例如,观测交换密码的一系列指令就可能使攻击者知道新的密码相应的,对上面所列的SMP面临的安全性问题相应的解决方法,可以对数据进行加密和鉴别,借助于密码学相关的加密和摘要算法来实现。

鉴别:数据整体性和数据发送源鉴别,保证消息是由该发送源发送的,不是别人伪造的数据包、传输过程中没有被篡改过。使用HMAC、MD5散列函数或SHA-1这些算法对数据进行摘要,从而鉴别数据有没有被篡改。

加密:对数据进行加密,保证不能使用网络数据包截获技术将包监听而直接解读。使用DES的CBC(Cipher Block Chaining)模式来加密数据,即保证了加解密的效率,又保证了足够的强度。

正是因为这些原因,IETF刻不容缓地提提出了SNP的安全性要求,SNP第一个版本里没有考虑安全性的问题,第二版研究过程又因为计划时间的紧迫及没有就安全模型达成一致,所以没有句含安完全方面的规范。直到1998年SMP的第三版,才包含了全面的安全性技术。

1999年, SNMPV3的草案发布,在2002年3月, SNMPV3的标准正式出台, SNMPV3针对 SNMPV2的最大改进主要在安全性和管理能力两个方面

SNMPV3采用User-based安全模型和View- based访问控制模型提供SNMP网络管理的安全性,并利用加密的方式来避免信息的泄漏SNMPY3在安全性方面的改进主要有3点:

(1)SNMP的数据报文将被使用DES加密来避免信息的非法泄漏。
 
(2)SNMP管理端与 SNMP Agent通讯时必须要通过认证( authenticated)来保证身份的正确性、信息的完整性合信息的合时性(timeliness);

(3)SNMP Agent实现了User-base和View-base访问控制模型,访问控制可以精确到数据级别,并且更加灵活利于控制。

现在一些设备和操作系统已经开始支持 SAMPY3,与SNPv1/SNMPY2相相比,基础架构和设计思路没有本质的改变,随着一些新的网路管理协议和标准的提出,SNMP的发展可能已经走到了尽头,但是无论将来怎么发展,在5年之内,SNP绝对是业界事实上的网络管理协议标准。

6.SNMP的缺点

SNMP在计算机网络领域应用非常广泛,成为事实上的计算机网络管理的标准。但 SNMP有许多缺点,是它自身难以克服的:

(1)SNMP不适合真正大型网络管理,因为它是基于轮询机制的,这种方式有严重的性能问题;

(2)SNMP不适合查询大量的数据

(3)SNMP的trap是无确认的,这样有可能导致不能确保非常严重的告警是否发送到管理者;

(4)安全管理较差;的范生本

(5)SNMP的MIB模型不适合比较复杂的查询。

正是由于SNMP协议及其MIB的缺陷,导致 INIERNET/SNP网络管理体系结构有以下问题:

◆没有一个标准或建议定义 INTERNET/SNP网络管理体系结构。
 
◆定义了太多的管理对象类,管理者必须面对太多的管理对象类为了决定哪些管理对象类需要看,哪些需要修改,管理者必须明白许多的管理对象类的准确含义。
 
◆缺乏管理者特定的功能描述。 INTERNET管理标准仅仅定义了个独立管理操作。