Firewalle i SNMP. Krzysztof Ciebiera. 10 czerwca Krzysztof Ciebiera () Firewalle i SNMP 10 czerwca / 28

Podobne dokumenty
Firewalle, maskarady, proxy

Firewalle, maskarady, proxy

Firewalle, maskarady, proxy

Podstawy modelowania w j zyku UML

Firewalle, maskarady, proxy

Wpªyw wdro»enia IPv6 na bezpiecze«stwo sieci

Regulamin Usªugi VPS

Programowanie wspóªbie»ne

Lab. 02: Algorytm Schrage

Lekcja 8 - ANIMACJA. 1 Polecenia. 2 Typy animacji. 3 Pierwsza animacja - Mrugaj ca twarz

Wzorce projektowe kreacyjne

8. Konfiguracji translacji adresów (NAT)

Bezpieczeństwo w zarzadzaniu siecia SNMP

Aplikacje Internetowe termin dodatkowy

Bezpieczeństwo w zarzadzaniu siecia SNMP

Listy i operacje pytania

Android. Podstawy tworzenia aplikacji. Piotr Fulma«ski. March 4, 2015

Programowanie wspóªbie»ne

MiASI. Modelowanie systemów informatycznych. Piotr Fulma«ski. 18 stycznia Wydziaª Matematyki i Informatyki, Uniwersytet Šódzki, Polska

Programowanie współbieżne i rozproszone

Subversion - jak dziaªa

API transakcyjne BitMarket.pl

Aplikacje bazodanowe. Laboratorium 1. Dawid Poªap Aplikacje bazodanowe - laboratorium 1 Luty, 22, / 37

Podstawy modelowania w j zyku UML

ZAŠ CZNIK DANYCH TECHNICZNYCH

PLD Linux Day. Maciej Kalkowski. 11 marca Wydziaª Matematyki i Informatyki UAM

Zaawansowana adresacja IPv4

Sieci komputerowe cel

Laboratorium Sieci Komputerowych - 1

Mateusz Rzeszutek. 19 kwiecie«2012. Sie VLAN nie zmienia nic w kwestii domen kolizyjnych. przynale»no± w oparciu o numer portu

Podstawy Informatyki i Technologii Informacyjnej

SNMP, wersje 1, 2c i 3

Zapory sieciowe i techniki filtrowania.

MODEL WARSTWOWY PROTOKOŁY TCP/IP

i, lub, nie Cegieªki buduj ce wspóªczesne procesory. Piotr Fulma«ski 5 kwietnia 2017

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych

Pracownia internetowa w ka dej szkole (edycja 2004/2005)

Klonowanie MAC adresu oraz TTL

Oprogramowanie FonTel służy do prezentacji nagranych rozmów oraz zarządzania rejestratorami ( zapoznaj się z rodziną rejestratorów FonTel ).

Programowanie wspóªbie»ne

Stos TCP/IP. Warstwa aplikacji cz.2

Sieci komputerowe. Definicja. Elementy

SVN - wprowadzenie. 1 Wprowadzenie do SVN. 2 U»ywanie SVN. Adam Krechowicz. 16 lutego Podstawowe funkcje. 2.1 Windows

Relacj binarn okre±lon w zbiorze X nazywamy podzbiór ϱ X X.

przewidywania zapotrzebowania na moc elektryczn

Klient-Serwer Komunikacja przy pomocy gniazd

YapS Plan testów. Šukasz Bieniasz-Krzywiec Dariusz Leniowski Jakub Š cki 29 maja 2007

Przypomnienie najważniejszych pojęć z baz danych. Co to jest baza danych?

W dobie postępującej digitalizacji zasobów oraz zwiększającej się liczby dostawców i wydawców

Rozwi zania klasycznych problemów w Rendezvous

epuap Ogólna instrukcja organizacyjna kroków dla realizacji integracji

MiASI. Modelowanie analityczne. Piotr Fulma«ski. 18 stycznia Wydziaª Matematyki i Informatyki, Uniwersytet Šódzki, Polska

Zarządzanie Zasobami by CTI. Instrukcja

INFORMATOR TECHNICZNY WONDERWARE

System Informatyczny CELAB. Przygotowanie programu do pracy - Ewidencja Czasu Pracy

Celem ćwiczenia jest zapoznanie się z zarządzaniem urządzeniami sieciowymi za pomocą protokołu SNMP.

KLASYCZNE ZDANIA KATEGORYCZNE. ogólne - orzekaj co± o wszystkich desygnatach podmiotu szczegóªowe - orzekaj co± o niektórych desygnatach podmiotu

Sieci Komputerowe. Wykład 1: TCP/IP i adresowanie w sieci Internet

Pracownia internetowa w ka dej szkole (edycja 2004)

Lekcja 5 Programowanie - Nowicjusz

Podziaª pracy. Cz ± II. 1 Tablica sortuj ca. Rozwi zanie

Sieci VPN SSL czy IPSec?

Projektowanie sieci komputerowych.

Metody dowodzenia twierdze«

Bazy danych. Andrzej Łachwa, UJ, /15

SpedCust 5 instrukcja instalacji

Wykªad 4. Funkcje wielu zmiennych.

Rudniki, dnia r. Zamawiający: PPHU Drewnostyl Zenon Błaszak Rudniki Opalenica NIP ZAPYTANIE OFERTOWE

Propozycja integracji elementów ±wiata gry przy u»yciu drzew zachowa«

Lekcja 3 Banki i nowe przedmioty

Instrukcja Obsługi STRONA PODMIOTOWA BIP

Wykład 3 / Wykład 4. Na podstawie CCNA Exploration Moduł 3 streszczenie Dr inż. Robert Banasiak

1 Stos: Stack i Stack<T>

OmniTouch 8400 Instant Communications Suite 4980 Softphone

Regulamin Usługi Certyfikat SSL. 1 Postanowienia ogólne

Lekcja 3 - BANKI I NOWE PRZEDMIOTY

Akademickie Centrum Informatyki PS. Wydział Informatyki PS

Edycja geometrii w Solid Edge ST

Studium przypadku Case Study CCNA2-ROUTING. Warianty projektów

POLITYKA PRYWATNOŚCI SKLEPU INTERNETOWEGO

Java a dost p do Internetu.

raceboard-s Szybki start

pasja-informatyki.pl

Elementy i funkcjonalno

Projekt konceptualny z Baz Danych "Centralny system zarz dzania salami na AGH"

Chmurowe ±rodowisko laboratoryjne

Księgarnia PWN: Greg Bastien, Christian Abera Degu Ściany ogniowe Cisco PIX

Tworzenie wielopoziomowych konfiguracji sieci stanowisk asix z separacją segmentów sieci - funkcja POMOST. Pomoc techniczna

Zdalne logowanie do serwerów

Instrukcja do wiczenia Administracja usªugami domenowymi Konguracja NFS z Kerberosem

Rzut oka na zagadnienia zwi zane z projektowaniem list rozkazów

Opis portów. Opis portów, bardzo przydatne. Tabelka poniżej. Numer portu. Usługa. Opis FTP SSH 1 / 16

PRESTASHOP INTEGRATOR XL BY CTI INSTRUKCJA

Sieć komputerowa grupa komputerów lub innych urządzeo połączonych ze sobą w celu wymiany danych lub współdzielenia różnych zasobów, na przykład:

System kontroli wersji SVN

Zarz dzanie rm. Zasada 7: interaktywna komunikacja. Piotr Fulma«ski. April 22, 2015

Transkrypt:

Firewalle i SNMP Krzysztof Ciebiera 10 czerwca 2006 Krzysztof Ciebiera () Firewalle i SNMP 10 czerwca 2006 1 / 28

Kontrola dost pu Kontrola dost pu Polityka kontroli dost pu okre±la sposób dost pu do poszczególnych zasobów (przepustowo±ci sieci, pami ci dyskowej, zasobów obliczeniowych itp.) organizacji. Polityka kontroli dost pu mo»e by zale»na od: Kierunku - czy» danie (dane) pochodzi z sieci wewn trznej czy zewn trznej Usªugi - rodzaju usªugi sieciowej (np. WWW - HTTP, poczta - SMTP, przesyªanie danych - FTP) W zªa sieci - mo»na okre±li grup adresów sieciowych z których dost p jest dozwolony/zabroniony U»ytkownika - czasem granularno± zapewniana przez adresy w zªów nie jest wystarczaj ca Czasu - w pewnych godzinach dost p mo»e by dozwolony Jako±ci usªugi - mo»na naªo»y ograniczenia na ilo± zasobów (np. przepustowo± sieci) dost pnych dla» daj cego Krzysztof Ciebiera () Firewalle i SNMP 10 czerwca 2006 2 / 28

ciana ogniowa ciana ogniowa to system (lub grupa systemów) wymuszaj ca polityk kontroli dost pu. Zazwyczaj kontrola dost pu odbywa si pomi dzy sieci wewn trzn, a Internetem. Mo»liwe s jednak tak»e inne zastosowania. ciany ogniowe mog sªu»y do ochrony przed wi kszo±ci ataków aktywnych - pod warunkiem,»e zostaªy wªa±ciwie skongurowane. Podstawowa reguªa przy ustalaniu polityki dost pu brzmi: Je±li usªuga nie musi by dost pna to nale»y j zablokowa. Krzysztof Ciebiera () Firewalle i SNMP 10 czerwca 2006 3 / 28

Sk d wiemy kto ma dost p do usªugi? Podstawow metod ró»nicowania» da«dost pu do systemu jest wykorzystanie informacji zawartej w nagªówkach pakietów zawieraj cych» danie. Port docelowy - wskazuje na typ usªugi do której odnosi si» danie np. 23 - Telnet 25 - SMTP 53 - DNS 110 - POP-3 Istnieje 20000 zarezerwowanych i powszechnie znanych portów. Krzysztof Ciebiera () Firewalle i SNMP 10 czerwca 2006 4 / 28

Statyczne ltrowanie pakietów Statyczne ltrowanie pakietów na podstawie informacji zawartej w nagªówku pakietu dopuszcza lub blokuje poª czenia pomi dzy okre±lonymi parami portów. Jest to najsªabszy sposób kontroli dost pu jako,»e nie bierze pod uwag dynamiki i historii ruchu sieciowego. Wiele ruterów ma wbudowan mo»liwo± statycznego ltrowania pakietów. Krzysztof Ciebiera () Firewalle i SNMP 10 czerwca 2006 5 / 28

Dynamiczne ltrowanie pakietów Dynamiczne ltrowanie korzysta z tablicy poª cze«w celu monitorowania stanu komunikacji. Ta cecha pozwala na dokªadniejsze "przykrawanie»uchu sieciowego. Je±li kto± zaatakuje system wysyªaj c pakiet podszywa si pod dozwolony w zeª sieci ale z zawarto±ci mog c spowodowa zapa± systemu (np. przez przepeªnienie stosu) to ±ciana ogniowa ze statycznym ltrowaniem przepu±ci taki pakiet. Je±li jednak skorzystamy z ltrowania dynamicznego to ±ciana ogniowa na podstawie tablicy poª cze«uzna,»e pakiet przychodz cy nie nale»y do»adnego aktywnego poª czenia i odrzuci go. Krzysztof Ciebiera () Firewalle i SNMP 10 czerwca 2006 6 / 28

Serwery po±rednicz ce (Proxy) Serwery po±rednicz ce to aplikacje sªu» cej jako po±rednik w ruchu pomi dzy sieci wewn trzn, a Internetem. Dzi ki temu w zªy sieci wewn trznej nie s nigdy bezpo±rednio podª czone do komputerów w Internecie. Serwery takie mog uzupeªnia ltrowanie pakietów przez ±ciany ogniowe. Serwery po±rednicz ce dziaªa j na poziomie aplikacji (np. HTTP lub FTP), a wi c ma j dost p nie tylko do nagªówków pakietu ale tak»e do danych w nich zawartych. Dlatego mo»emy za ich pomoc wymusi kontrol dost pu na wy»szym poziomie szczegóªowo±ci ni» w przypadku ±cian ogniowych. Na przykªad Proxy dla FTP mo»e blokowa wszystkie» dania PUT oraz MPUT. Krzysztof Ciebiera () Firewalle i SNMP 10 czerwca 2006 7 / 28

Serwery po±rednicz ce (Proxy) cd. Oprócz ltrowania serwery Proxy mog speªnia dodatkowe funkcje: uwierzytelnia u»ytkowników nawi zuj cych poª czenia zapami tywa informacje o poª czeniach do pó¹niejszej analizy sªu»y jako cache (np. serwer Proxy dla HTTP) Do wad serwerów po±rednicz cych nale» : niezb dna jest osobna implementacja dla ka»dego nowego protokoªu/usªugi. nie s prze¹roczyste - klient musi skongurowa aplikacj tak aby korzystaªa ona z serwera po±rednicz cego bardziej skomplikowana ni» w przypadku ±cian ogniowych konguracja Krzysztof Ciebiera () Firewalle i SNMP 10 czerwca 2006 8 / 28

Socks Innym typem serwerów po±rednicz cych jest Socks. Mo»na go porówna do centrali telefonicznej która zajmuje si ª czeniem poª cze«przychodz cych z wychodz cymi. Serwery SOCKS dziaªa j z TCP oraz UDP (od wersji 5tej) oraz zapewnia j zarówno logowanie jak i silne uwierzytelniania (tak»e od wersji 5.0) poª cze«. SOCKS mo»e ª czy w zªy z adresami IP v.4, IP v.6 jak i pomi dzy nimi. Aby skongurowa poª czenie przez SOCKS po stronie klienta niezb dna jest biblioteka SOCKS która jest warstw po±rednicz ca pomi dzy warstw aplikacji i warstw gniazd. Aplikacja jest w ten sposób ószukiwana- wywoªania funkcji z API gniazd i DNS s zast powane przez wywoªania funkcji z SOCKS Lib o tej samej nazwie. Rozwi zanie takie jest prze¹roczyste dla aplikacji klienckich. Krzysztof Ciebiera () Firewalle i SNMP 10 czerwca 2006 9 / 28

Tªumaczenie adresów (Network Address Translation) Jedn z metod chronienia informacji o wªasnej sieci jest ukrywanie adresów komputerów do niej nale» cych. Zadaniem tym zajmuje si specjalny serwer sªu» cy jako tªumacz na styku sieci wewn trznej i Internetu. Tªumacz taki ma pul zarejestrowanych adresów Internetowych z której mog korzysta w zªy sieci wewn trznej je±li chc dokona poª czenia z Internetem. Zadaniem tªumacza jest utrzymywanie tablicy powi za«pomi dzy komputerami w sieci wewn trznej, a adresami z puli oraz tªumaczenie odpowiednio adresu ¹ródªa (w pakietach wychodz cych) oraz przeznaczenia w pakietach wchodz cych do sieci wewn trznej. Krzysztof Ciebiera () Firewalle i SNMP 10 czerwca 2006 10 / 28

Tªumaczenie adresów (Network Address Translation) cd. Zalety korzystania z NAT (Network Address Translation): serwery NAT s dost pne dla wi kszo±ci systemów operacyjnych NAT nie wymaga specjalnego oprogramowania na poziomie aplikacji NAT jest w wysokim stopniu kongurowalne Gªówn wada systemów NAT jest konieczno± zapewnienia du»ej puli adresowej dla odpowiednio du»ej sieci - co mo»e by do± kosztowne. Krzysztof Ciebiera () Firewalle i SNMP 10 czerwca 2006 11 / 28

Maskarada Nazywana tak»e AT 1 do wielu". Serwer Maskarady zamiast tªumaczy adresy w zªów w sieci wewn trznej na adresy z puli u»ycza im swojego wªasnego adresu IP. Jak to dziaªa? serwer w sieci wewn trznej wysyªa pakiet do Internetu przez serwer Maskarady serwer zmienia w pakiecie adres ¹ródªowy na wªasny oraz port ¹ródªowy na wolny zapisuj c jednocze±nie pary adresów i portów w specjalnej tablicy gdy nadejdzie odpowied¹ z Internetu serwer Maskarady sprawdza czy ma odpowiedni par adresów i portów w tablicy i je±li tak to tªumaczy adres i port na ich odpowiedniki wzi te z tablicy i wysyªa tak zmieniony pakiet do sieci wewn trznej Krzysztof Ciebiera () Firewalle i SNMP 10 czerwca 2006 12 / 28

Maskarada cd. Zalety Maskarady: Wady: potrzebny jest tylko jeden adres IP nie wymaga specjalnego wsparcia ze strony aplikacji dobrze zintegrowane z oprogramowaniem ±cian ogniowych - zapewnia wi ksze bezpiecze«stwo pewne typy protokoªów wymaga j specjalnego wsparcia ze strony ±ciany ogniowej aby dziaªa poprawnie (dost pne na Linuksie) serwery w sieci wewn trznej nie b d widoczne dla klientów z zewn trz - ka»dy ruch wchodz cy musi by wcze±niej zainicjowany przez w zeª w sieci wewn trznej Krzysztof Ciebiera () Firewalle i SNMP 10 czerwca 2006 13 / 28

IDS - Intrusion Detection Systems Systemy IDS s dopeªnieniem ±cian ogniowych. Ich zadaniem jest monitorowanie sieci i wykrywanie wszelkich podejrzanych zachowa«. Je±li zaªo»ymy,»e wªamywacz prze±lizn ª si przez ±cian ogniow to czeka na niego system IDS, który b dzie logowaª wszelk aktywno± sieciow i ewentualnie podniesie alarm (np. przez wysªanie listu do administratora systemu). Systemy IDS korzysta j z bazy danych zawieraj cej histori dotychczasowego ruchu w sieci i dokonuj na jej podstawie analizy statystycznej która pozwala im odró»nia zachowania typowe od nietypowych. Potra te» rozpoznawa typowe ataki na podstawie wbudowanych w nie algorytmów. Zalet systemów typu IDS jest te» to,»e utrudnia j ataki nadchodz ce z wn trza systemu (sieci wewn trznej). Krzysztof Ciebiera () Firewalle i SNMP 10 czerwca 2006 14 / 28

Odmowa ±wiadczenia usªug (Denial of Services) Jest to atak aktywny którego celem nie jest wªamanie si do systemu ale uniemo»liwienie mu normalnej pracy. Zazwyczaj polega na zapchaniu serwerów lawin pakietów. Je±li b dzie to atak rozproszony to przy obecnej infrastrukturze Internetu jest on wªa±ciwie nie do unikni cia. Mo»emy jedynie stara si odci zycznie ruch przychodz cy od podejrzanych w zªów kontaktuj c si z administratorami ruterów le» cych na jego trasie. Krzysztof Ciebiera () Firewalle i SNMP 10 czerwca 2006 15 / 28

Elementy architektury zarz dzanie sieci w SNMP stacja zarz dzaj ca agent zarz dzaj cy baza informacji protokóª zarz dzania sieci Stacja zarz dzaj ca powinna by wyposa»ona w nast puj ce elementy: zestaw aplikacji sªu» cych do analizy informacji, naprawiania bª dów itp. interfejs sªu» cy administratorowi do obserwacji i kontroli sieci mo»liwo± przekªadania wymaga«administratora sieci na faktyczn mo»liwo± obserwacji i kontroli elementów sieci baz danych zawieraj c informacje z baz informacji administracyjnych (MIB) wszystkich jednostek w administrowanej sieci Krzysztof Ciebiera () Firewalle i SNMP 10 czerwca 2006 16 / 28

Polecenia SNMP GetRequest - dla ka»dego obiektu wymienionego w poleceniu zwró wartós tego obiektu GetNextRequest - dla ka»dego obiektu wymienionego w poleceniu zwró wartós nast pnego obiektu (w porz dku leksykogracznym danego MIBa) GetBulk (SNMPv2) - dla ka»dego obiektu wymienionego w poleceniu zwró warto± nast pnych N obiektów SetRequest - dla ka»dego obiektu wymienionego w poleceniu ustaw warto± na wymienion w poleceniu Trap - prze±lij informacj o zaistniaªym zdarzeniu (agent do mened»era) Inform (SNMPv2) - prze±lij informacj o zaistniaªym zdarzeniu (mened»er do mened»era) GetResponse - odpowiedz na» danie mened»era Krzysztof Ciebiera () Firewalle i SNMP 10 czerwca 2006 17 / 28

Elementy bezpiecze«stwa w SNMP Uwierzytelnianie (SNMPv2) - procedura umo»liwiaj ca stronie odbieraj cej sprawdzenie,»e komunikat pochodzi z danego ¹ródªa i ma wªa±ciwy czas. Realizuje si j przez doª czenie do komunikatu dodatkowej informacji. Prywatno± (SNMPv2) - ochrona danych przed odczytaniem przez nieupowa»nionych odbiorców. Realizuje si j przez szyfrowanie danych. Kontrola dost pu - ograniczenie dost pu mened»era do konkretnego fragmentu MIBa oraz okre±lonego zbioru polece«. Krzysztof Ciebiera () Firewalle i SNMP 10 czerwca 2006 18 / 28

Spoªeczno±ci w SNMPv1 Ka»dy agent w systemie dysponuje swoj wªasn MIB i ma mo»liwo± kontrolowania dost pu do niej przez wielu mened»erów. Kontrola ta ma nast puj ce aspekty: usªuga uwierzytelniania - agent mo»e zastrzec prawo dost pu do MIB tylko dla pewnych mened»erów ograniczenia dost pu - agent mo»e przydziela ró»nych przywilejów ró»nym mened»erom usªuga peªnomocnictwa - agent mo»e dziaªa jako po±rednik innych agentów. Wymaga to implementacji poprzednich dwóch usªug dla agentów wzgl dem których peªniona jest funkcja po±rednika W celu realizacji wszystkich tych aspektów deniuje si spoªeczno± SNMP. Krzysztof Ciebiera () Firewalle i SNMP 10 czerwca 2006 19 / 28

Spoªeczno±ci w SNMPv1 cd. Spoªeczno± to relacje ª cz ce agenta i zbiór mened»erów SNMP w ramach których procedury kontrolne maj okre±lone cechy. Spoªeczno± ma charakter lokalny zdeniowany u agenta. Agent tworzy spoªeczno± dla» danej kombinacji cech: uwierzytelniania kontroli dost pu peªnomocnictwa Ka»dej spoªeczno±ci nadaje si unikaln (w ramach agenta) nazw któr nale» cy do niej agenci musz podawa przy wszystkich operacjach zwi zanych z danym agentem. Agent mo»e ustanowi wiele spoªeczno±ci. Mened»erowie mog nale»e do wielu spoªeczno±ci. Krzysztof Ciebiera () Firewalle i SNMP 10 czerwca 2006 20 / 28

Polityka ogranicze«dost pu w SNMPv1 Ka»dej spoªeczno±ci SNMP odpowiada prol spoªeczno±ci okre±laj cy polityk,e dost pu do obiektów MIB. Prol taki ma dwa aspekty: widok MIB - to zbiór obiektów MIB do których dost p ma dana spoªeczno± tryb dost pu - okre±la polecenia które mo»liwe s do wykonania na danym obiekcie. Tryb dost pu w SNMPv1 to nast puj cy zbiór: {READ ONLY, READ WRITE} Krzysztof Ciebiera () Firewalle i SNMP 10 czerwca 2006 21 / 28

Bezpiecze«stwo w SNMPv2 rodki zapewniania bezpiecze«stwa w SNMPv2 sªu» do ochrony przed nast puj cymi zagro»eniami: ujawnianie - przeciwnik mo»e ±ledzi informacje wymieniane przez mened»era i agenta i w ten sposób pozna warto± zarz dzanych obiektów oraz uzyska informacje o wydarzeniach maskarada - przeciwnik mo»e stara si podszy pod czªonka spoªeczno±ci w celu wykonania niedozwolonej dla siebie operacji modykacja tre±ci komunikatu - przeciwnik mo»e zmieni wygenerowany przez czªonka spoªeczno±ci komunikat w trakcie przesyªania w taki sposób aby doprowadzi do wykonania niedozwolonej operacji zarz dzania. modykacja kolejno±ci i czasu komunikatów w celu doprowadzenia do wykonania niedozwolonych operacji przeciwnik mo»e zmienia kolejno±, opó¹nia lub powtarza komunikaty SNMP Krzysztof Ciebiera () Firewalle i SNMP 10 czerwca 2006 22 / 28

Bezpiecze«stwo w SNMPv2 cd. SNMPv2 nie chroni natomiast przed nast puj cymi zagro»eniami: uniemo»liwienie dziaªania - przeciwnik mo»e zablokowa wymian informacji mi dzy agentem a mened»erem analiza ruchu - przeciwnik mo»e ±ledzi schemat ruchu pomi dzy mened»erem i agentami Krzysztof Ciebiera () Firewalle i SNMP 10 czerwca 2006 23 / 28

Strony w SNMPv2 Komunikaty SNMPv2 zawieraj informacje o to»samo±ci ¹ródªa i miejsca przeznaczenia. Ka»da jednostka mo»e jednak zachowywa si inaczej pod wzgl dem bezpiecze«stwa w zale»no±ci nie tylko od to»samo±ci drugiej strony ale tak»e od wªa±nie obsªugiwanego programu. Rola jednostki w SNMPv2 zale»y wi c od kontekstu jej dziaªania. Ide roli wyra»a poj cie strony. Jednostki mog obejmowa wiele stron. Ka»da jednostka SNMPv2 dysponuje baz danych o zawieraj c informacje o wszystkich znanych jej stronach, s to: Strony lokalne - zbiór stron na których dziaªania wykonuje lokalna jednostka SNMPv2 czyli zbiór ról tej jednostki Strony reprezentowane - zbiór stron jednostek reprezentowanych przez dan jednostk SNMPv2 Strony odlegªe - zbiór stron, których dziaªania realizuj inne jednostki SNMPv2 z którymi dana jednostka mo»e wchodzi w interakcje Krzysztof Ciebiera () Firewalle i SNMP 10 czerwca 2006 24 / 28

Prywatno± Dla ka»dej znanej jednostki SNMPv2 baza danych stron zawiera trzy zmienne których znaczenie zale»y od stosowanego protokoªu prywatno±ci partyprivprotocol - okre±la protokóª prywatno±ci i mechanizm ochrony komunikatów otrzymywanych przez dan stron. Warto± nopriv oznacza,»e komunikaty otrzymywane przez stron nie s chronione przez ujawnieniem. partyprivprivate - tajna warto± której wymaga protokóª prywatno±ci. Mo»e to by klucz szyfru symetrycznego lub prywatny klucz szyfru asymetrycznego. partyprivpublic - dowolna warto± jawna potrzebna w protokole prywatno±ci. Mo»e to by klucz publiczny w systemie asymetrycznym. Mechanizm zapewniania prywatno±ci w aktualnej wersji SNMPv2 polega na szyfrowaniu z u»yciem algorytmu DES i wymaga aby obie strony dzieliªy wspólny klucz szyfruj cy. Struktura bazy danych umo»liwia jednak zastosowanie innych algorytmów szyfruj cych (symetrycznych b d¹ asymetrycznych). Krzysztof Ciebiera () Firewalle i SNMP 10 czerwca 2006 25 / 28

Uwierzytelnianie Dla ka»dej strony znanej danej jednostce SNMPv2 baza danych stron zawiera pi zmiennych: partyauthprotocol - okre±la protokóª uwierzytelniania stosowany do potwierdzania pochodzenia i nienaruszalno±ci wysyªanych komunikatów. Warto± noauth wskazuj,»e komunikaty wysyªane przez stron nie podlegaj uwierzytelnianiu. partyauthclock - okre±la aktualny czas lokalny danej strony partyauthprivate - tajna warto± wymagana przez protokóª uwierzytelniania. Mo»e to by tajna warto± hasha z komunikatu, klucz szyfru symetrycznego lub prywatny klucz szyfru asymetrycznego. partyauthpublic - dowolna warto± jawna potrzebna w protokole uwierzytelniania. Mo»e to by klucz publiczny w systemie asymetrycznym. partyauthlifetime - narzucona administracyjnie górna granica akceptowanego opó¹nienia dostarczania komunikatów generowanych przez dan stron Krzysztof Ciebiera () Firewalle i SNMP 10 czerwca 2006 26 / 28

Kontrola dost pu Na polityk kontroli dost pu skªadaj si cztery elementy: strona przeznaczenia - strona SNMP wykonuj ca operacj zarz dzania na» danie strony ¹ródªowej strona ¹ródªowa - strona SNMP» daj ca wykonania operacji na» danie stron przeznaczenia zasoby - informacje zarz dzania na których mo»na przeprowadza» dane operacje zarz dzania w postaci lokalnego widoku MIB lub relacji peªnomocnictwa, nazywane tak»e kontekstem przywileje - operacje dozwolone, zdeniowane jako dozwolone PDU przynale» ce do danego kontekstu i do których wykonania w imieniu podmiotu jest uprawniony odbiorca Krzysztof Ciebiera () Firewalle i SNMP 10 czerwca 2006 27 / 28

Kontrola dost pu cd. Kontrol dost pu okre±laj informacje zawarte w MIB stron. Baza ta skªada si z czterech tablic: tablicy stron - zawiera po jednej pozycji na ka»d stron znan lokalnemu agentowi. Ka»da pozycja zawiera parametry uwierzytelniania i prywatno±ci. Raz na sekund lokalny mened»er musi zwi kszy warto± zegara dla ka»dej pozycji tablicy tablica kontekstów - mo»e zawiera pozycje zwi zane z informacjami lokalnymi oraz relacjami peªnomocnictwa tablica kontroli dost pu - jest indeksowana stron ¹ródªow, stron przeznaczenia i kontekstem. Ka»da pozycja zawiera zbiór PDU akceptowanych przez odbiorc tablica widoków MIB - skªada si ze zbioru widoków Krzysztof Ciebiera () Firewalle i SNMP 10 czerwca 2006 28 / 28

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres