Rechnernetze
Home Nach oben Stichworte

Sicherheitsmechanismen in SNMP

Der SNMP-Ansatz beinhaltet einen administrativen Rahmen, der Authentisations- und Authorisationsstrategien implementiert. Hiermit kann für jeden Agenten gesondert festgelegt werden, welche Information er mit welchen Rechten an welche Manager weitergibt, so dass nur autorisierte Anwendungsprozesse das Management ausführen können.

Um eine Authentifikation (Identifizierung) und Autorisation (Befugnis) zwischen SNMP-Managern und -Agenten einzuführen, wird die Community als eine Beziehung zwischen einem SNMP-Agenten und einem oder mehreren SNMP-Managern definiert. Jeder Agent kann mit verschiedenen Managern eine eigene Community bilden; der Ausschnitt von Objekten aus der MIB, den ein Agent einer Community zuordnet, wird als View dargestellt. Eine SNMP-Community wird als Kette uninterpretierter Oktette geschrieben. Die Kette von Oktetten wird als Community-Name bezeichnet. Jedes Oktett kann einen Wert zwischen 0 und 255 annehmen, obgleich in den meisten Community-Namen nur druckbare ASCII-Zeichen verwendet werden.

COMMUNITY.WMF (2912 Byte)

Da der Community-Name in Klarschrift in eine SNMP-Nachricht verpackt wird, ist der vorgesehene Authentikations-Mechanismus trivial. Das Community-Profil wird definiert als der Durchschnitt aus der View, den die Community von der MIB besitzt, und einem Zugriffsmodus. Für jedes Objekt wird durch das Community-Profil beschrieben, welche Operationen auf dem Objekt erlaubt sind

 

Zugriffsmodus

Objekt-Zugriff nach MIB
read-only read-write write-only nicht zugreifbar
read-only

3

3

1

1
read-write

3

2

4

1

wobei

Klasse erlaubte Operation

1
2
3
4

 nichts
get, get-next, set, trap
get, get-next, trap
set

Das folgende Bild soll dieses veranschaulichen.

VIEW.WMF (3784 Byte)

Ein Stellvertreter-Agent (Proxy Agent) hat eine View der verwalteten Objekte entsprechend seines Fremdgeräts. Da nicht alle Objekte, die ein Agent bereitstellt, in einer Community sichtbar zu sein brauchen, hat eine Stellvertreter-Community eine View, die exakt jene Objekte umfasst, die einem bestimmten Fremdgerät entsprechen. Mit diesem Community-Zugriffs-Modus sind dann die zulässigen Stellvertreter-Operationen definiert.