SNMP
SNMP (Simple Network Management Protocol, slobodni prijevod: jednostavni mrežni protokol za nadzor i upravljanje) jednostavni je protokol koji se danas najčešće koristi za nadzor i upravljanje mrežnim uređajima u TCP/IP mrežama. SNMP omogućava mrežnim administratorima da upravljaju mrežnim performansama, nalaze i rješavaju mrežne probleme te planiraju potrebe za rastom mreže.
| Sloj | Protokol |
|---|---|
| Aplikacijski | DNS, DHCP, TLS/SSL, TFTP, FTP, HTTP, IMAP, IRC, NNTP, POP3, SIP, SMTP, SNMP, SSH, Telnet, BitTorrent, RTP, rlogin, … |
| Transportni | TCP, UDP, DCCP, SCTP, IL, RUDP, |
| Mrežni | IP (IPv4, IPv6), ICMP, IGMP, ARP, RARP, … |
| Podatkovni | Ethernet, Wi-Fi, Token ring, PPP, SLIP, FDDI, ATM, DTM, Frame Relay, SMDS, … |
Povijest razvoja uredi
- SNMPv1 - u upotrebi od 1988. godine -> RFC 1157
- SNMPv2c - (Community-Based Simple Network Management Protocol version 2), u upotrebi od 1995. godine -> RFC 1901 – RFC 1908
- SNMPv3 - u upotrebi od 1998. godine -> RFC 2271 – RFC 2275
SNMPv1 uredi
SNMPv1 protokol je prihvaćen kao standard u TCP/IP mrežama 1988. godine. Još i danas se dosta koristi unatoč poznatim sigurnosnim nedostacima. Sigurnost se kod SNMPv1 temelji na korištenju takozvanih zajednica (communities). Zajednica je u stvari niz tekstualnih ASCII znakova (string) i podsjeća na tradicionalne lozinke koje se koriste u operacijskim sustavima a koristi se za autentikaciju SNMP poruka između upravljačke jedinice i upravljanog uređaja. Najveći problem je u tome što neovlašteni korisnici mogu snimanjem IP paketa koji se prenose mrežom pročitati sadržaj SNMP poruka i saznati naziv zajednica jer se one prenose u čitljivom obliku. Znajući naziv zajednice, mogu pristupiti upravljačkim informacijama nekog mrežnog uređaja i promijeniti njegovu konfiguraciju.
Postoje tri vrste zajednica:
- Read-only zajednica omogućava isključivo čitanje vrijednosti podataka iz MIB-ova
- Read-write zajednica omogućava čitanje i upisivanje vrijednosti u MIB-ove
- Trap zajednica omogućava upravljačima prijem trap poruka
SNMPv2 uredi
SNMPv2 protokol je uveden u TCP/IP mrežama 1993. godine. SNMPv2 je nudio neka proširenja kao što su dodatne operacije i korištenje party-based sigurnosti koja se pokazala veoma složenom u svakodnevnoj upotrebi. Zbog toga SNMPv2 nije nikada zaživio u upravljanim mrežama. Umjesto njega je 1995. godine prihvaćen kao standard u TCP/IP mrežama Community-Based Simple Network Management Protocol version 2 - SNMPv2c. Kao što mu i samo ime kaže, SNMPv2c protokol svoju sigurnost zasniva isto na zajednicama (communities) tako da su sigurnosni problemi ostali isti kao kod SNMPv1 protokola.
SNMPv3 uredi
SNMPv3 protokol je uveden u TCP/IP mrežama 1998. godine. Tek u trećoj verziji, SNMPv3, definirani su bitno poboljšani sigurnosni mehanizmi. SNMPv3 posjeduje mehanizme za sigurnu kontrolu pristupa, autentikaciju (authentication), odnosno provjeru vjerodostojnosti korisnika i enkripciju (encryption), odnosno zaštitno kodiranje SNMP poruka. SNMPv3 može koristiti takozvanu korisničku (user-based) autentikaciju ili se provjera vjerodostojnosti korisnika može obaviti bez slanja lozinki u čitljivom obliku a temelji se na upotrebi algoritama HMAC-MD5 ili HMAC-SHA. Zaštitna enkripcija koristi 56-bitni CBC-DES algoritam za kodiranje i dekodiranje SNMP poruka.
Sigurnost SNMPv3 protokola uredi
SNMPv3 protokol osigurava, osim sigurnosnih razina, i sigurnosne modele. Sigurnosni model je autentikacijski proces koji postoji kako za korisnika (user) tako i za grupu (group) u kojoj se korisnik nalazi. Sigurnosna razina je dozvoljena razina sigurnosti unutar sigurnosnog modela, odnosno tip sigurnosnog algoritma koji je dozvoljen u SNMP paketu. Kombinacija sigurnosnog modela i sigurnosne razine određuje koji se sigurnosni proces koristi kod manipulacije sa SNMP paketom.
Sigurnost SNMPv3 ostvarena je preko sljedećih tehnologija:
- Integritet poruka - osigurava da prijenos SNMP poruka bude neometan, odnosno da SNMP paket na odredište stigne nepromijenjen
- Autentikacija - osigurava da SNMP poruka dolazi iz valjanog izvora
- Enkripcija - kodira sadržaj SNMP paketa da bi se spriječila zloupotreba od neovlaštenog izvora