Rechnernetze
Home Nach oben Stichworte

SNMPv3

In seiner endgültigen Form waren keine Sicherheitsmechanismen in SNMPv2c vorhanden. Dieses wird in SNMPv3 überwunden. Die Entwurfsziele für SNMPv3 bestanden nicht darin, ein eigenes Managementrahmenwerk zu entwickeln, sondern Zusatzfunktionen zu den beiden vorhergehenden Entwürfen zu entwickeln. Daher wurde SNMPv3 mit den folgenden Zielen entworfen.

Verwende bewährte Konzepte: SNMPv3-Sicherheitskonzepte basieren daher auf den beiden Varianten SNMPv2u und SNMPv2*.
Führe einen sicheren Mechanismus für die set request-Nachricht ein.
Entwurf einer modularen Architektur, um
  1. Netze unterschiedlicher Größe zu administrieren, 
  2. Teile des Entwurfs unabhängig zu standardisieren,
  3. alternative Sicherheitsmodelle zu unterstützen.
Halte SNMP so einfach wie möglich.

Die folgenden Sicherheitsanforderungen sollten erfüllt werden. 

Information sollte nicht unbefugt verändert werden können.
Verhinderung von Maskerade, d.h. vortäuschen einer falschen Manager-Identität.
Verhinderung des Wiedereinspielens (replay) von Nachrichten.
Kommunikation soll bei Bedarf verschlüsselt durchgeführt werden können.

Dagegen wurden einige Formen der Bedrohung ausdrücklich von der Behandlung ausgenommen.

Denial of Service: Vorsätzliche Unterbrechung der Kommunikation zwischen Manager und Agent.
Verkehrsanalyse: Beziehungen zwischen Manager und Agent brauchen nicht verborgen zu werden.

Jede SNMP-Einheit besitzt Funktionen zum Senden und Empfangen von Nachrichten, zum Authentisieren und Ver- bzw. Entschlüsseln von Nachrichten, sowie zur Zugriffskontrolle zu Managed Objects. 

Das folgende Bild zeigt einen SNMP-Manager mit entsprechenden Funktionalitäten.

Das folgende Bild zeigt einen SNMP-Agenten mit zugehörigen Funktionalitäten.

Da SNMP-Einheiten sowohl als Manager als auch als Agenten auftreten können, existieren auch Mischformen hierzu.