три версії протоколу SNMP .. Даною версією підтримуються всі вище перераховані операції. Політика безпеки базується на використанні імені співтовариства (Community Name), яке, перебуваючи в заголовку SNMP, несе в собі всі можливості захисту повідомлень. Даний засіб вимагає, щоб програма-агент і менеджер впізнали одне і те ж ім'я спільноти, перш ніж продовжити виконання операцій мережевого адміністрування. Такий рівень захисту є в багатьох випадках недостатнім, так ім'я спільноти пересилається в незашифрованому вигляді в кожному пакеті SNMP .. Одним з нововведень в SNMPv2 є те, що елемент адміністрування мережі може працювати в якості менеджера, агента або менеджера та агента одночасно. Дана концепція дає можливість користувачам застосовувати SNMP в ієрархічній структурі, в якій локальні менеджери звітують перед менеджерами середньої ланки, які, у свою чергу, контролюються менеджером вищого рівня.
Також в SNMPv2 з'явилася нова операція get_bulk_request, яка дозволяє запросити блок однотипних даних (наприклад, таблицю), при цьому скорочується кількість запитів, що зменшує трафік.
Крім цього, з'явився новий тип переривань, так званий inform, який вимагає підтвердження у менеджера, на відміну від переривань trap, які не гарантували доставку повідомлення менеджеру. При використанні inform повідомлення про переривання зберігається в пам'яті пристрою або в разі невдалої передачі знову передається керуючої станції. Даний тип переривань доцільно використовувати лише, коли пам'ять об'єкта управління дозволяє зберігати цю додаткову інформацію.
Малюнок 1.3
SNMPv3. У версії 3 протокол SNMP значно ускладнився. Але зберіг підтримку попередніх версій. Мовою версії 3 пристрої та компоненти управління називаються сутностями (entities). Одна сутність (раніше відома як агент) знаходиться на маршрутизаторі, а інша (у минулому менеджер) - займається опитуванням додатків. Кожна сутність має SNMP-ядро і додаток. Ядро SNMP складають чотири функції: контроль доступу, безпека, обробка повідомлень і диспетчер. У модулі процесора повідомлень і диспетчера включені також функції версій SNMPv1 і 2, у тому числі для обробки команд set і get, і для форматування блоків даних SNMP або PDU (protocol data unit). Диспетчер виконує роль воротаря, т. Е. Всі вхідні/виходять повідомлення проходять через нього. Обробляючи SNMP-повідомлення, диспетчер визначає, до якої версії протоколу воно належить, і відсилає його відповідному модулю-процесору для аналізу. Якщо диспетчер не може визначити версію, наприклад через некоректне формату пакету, він реєструє помилку. Процесор повідомлень пересилає повідомлення підсистемі безпеки або підсистемі контролю доступу, а потім відсилає назад диспетчеру, який і передає його SNMP-додатків.
Основним досягненням версії 3 став вдосконалений механізм безпеки. Для забезпечення аутентифікації і конфіденційності використовується модель безпеки, орієнтована на користувача (User-Based Security Model - USM). Модель USM складається з модулів аутентифікації, тимчасового контролю і конфіденційності. Модулі аутентифікації і конфіденційності забезпечують цілісність даних, їх достовірність і захист. Модуль тимчасового контролю покликаний стежити за синхронізацією часу між SNMP-сутностями з метою припинення зломів типу replay attack - він блокує пакети із застарілими мітками часу.
У USM-моделі застосований алгоритми MD5 і SHA, і інші алгоритми хешування. В якості запобіжного заходу пароль по мережі не пересилається. Замість цього PDU-блок двічі піддається хешування з використанням двох ключів, згенерованих із закритого ключа, потім перші 12 октетів виступають у ролі коду аутентифікації повідомлення (Message Authentication Code - MAC), яка додається до цього повідомлення. Такий же процес, але у зворотному порядку відбувається на іншому кінці.
У SNMPv3 визначено три рівні аутентифікації і конфіденційності. Перший - це просто відсутність конфіденційності, позначається noAuthNoPriv raquo ;. Він аналогічний строковим паролів доступу, переданим відкритим текстом, які застосовуються у версії 1 і 2, і використовується в період налагодження або коли SNMP-суті знаходяться в захищеному середовищі. Другий рівень - це аутентифікація без конфіденційності, або authNoPriv raquo ;. Третій рівень - authPriv - Це не тільки аутентифікація, але і шифрування SNMP-даних. Для шифрування даних застосовується алгоритм DES.
У SNMPv3 також входить модель поділу доступу на базі уявлень (VACM - View-based Access-Control Model), що дозволяє обмежити доступ до змінних MIB (бази керуючої інформації). У моделі VACM уявлення (view) визначає, яка частина бази MIB доступна, і встановлює зв'язок між користувачами і цим поданням. Механізми VACM вимагають, щоб подання і група створювалися на кожному мережевому пристро...
