2.6 SNMPv3
2.6.4 Hỗ trợ bảo mật và nhận thực trong SNMPv3
Một trong những mục tiờu chớnh – nếu khụng coi là một mục đớch chớnh chớnh – khi phỏt triển SNMPv3 đú là thờm đặc tớnh bảo mật cho quản lớ SNMP. Xỏc thực và bảo vệ thụng tin, cũng như xỏc thực và điều khiển truy cập, đó được nờu rừ ở trờn.
Cấu trỳc SNMPv3 cho phộp sử dụng linh hoạt bất cứ một giao thức nào cho xỏc thực và bảo vệ thụng tin. Dự sao, nhúm IETF SNMPv3 đó đưa ra mụ hỡnh bảo mật người dựng. Chỳng ta sẽ tỡm hiểu thờm về cỏc khớa cạnh chung về bảo mật kết hợp với
cỏc kiểu của cỏc mối đe doạ bảo mật, mụ hỡnh bảo mật, định dạng dữ liệu bản tin để điều tiết cỏc tham số bảo mật và sử dụng cũng như quản lớ của cỏc khoỏ trong phần này.
Cỏc mối đe doạ bảo mật.
Cú 4 mối đe doạ đến thụng tin quản lớ mạng khi một thực thể quản lớ được truyền
đến thực thể khỏc đú là:
Thụng tin cú thể bị thay đổi bởi một người dựng khụng được phộp nào đú
Người dựng khụng được phộp cố gắng giả trang như người dựng được phộp.
Thụng tin SNMP được chia làm nhiều gúi nhỏ để truyền đi theo nhiều hướng
và phớa nhận phải sắp xếp lại. Vỡ vậy nú cú thể bị người nào đú làm trễ 1 gúi tin, bị gửi lại do một người khụng được phộp tạo ra ... làm thay đổi thụng tin của bản tin
Bị ngăn chặn hoặc bị lộ bản tin.
Ít nhất cú 2 mối đe doạ trờn thường xảy ra với kết nối dữ liệu truyền thống, nhưng với mụ hỡnh bảo mật người dựng SNMP thỡ nú được coi là khụng cú mối đe
doạ. Thứ nhất là từ chối dịch vụ, một xỏc thực người dựng sẽ bị từ chối dịch vụ bởi thực thể quản lớ. Nú khụng bị coi như mối đe doạ, khi mạng lỗi cú thể là lý do của sự từ chối, và một giao thức sẽ thực thi mục đớch này. Thứ hai là thống kờ lưu lượng bởi một người dựng khụng xỏc thực. Nhúm IETF SNMv3 đó xỏc định rằng khụng cú thuận lợi quan trọng nào đạt được bằng cỏch chống lại sự tấn cụng này.
Mụ hỡnh bảo mật
Trong điều kiện hoạt động bỡnh thường, mụ hỡnh xử lý bản tin tỏc động với mụ hỡnh phõn hệ bảo mật. Ở vớ dụ hỡnh 2.9 về kiến trỳc thực thể của SNMPv3, chỳng ta
thấy rằng bản tin gửi đi sẽ được tạo bởi một ứng dụng và kiểm soỏt đầu tiờn bởi bộ
giao vận, sau đú bởi mụ hỡnh xử lý bản tin, cuối cựng là mụ hỡnh bảo mật. Nếu bản tin cần được xỏc thực, mụ hỡnh bảo mật sẽ xỏc thực nú và chuyển tiếp đến mụ hỡnh xử lý bản tin. Tương tự với bản tin đến, mụ hỡnh xử lý bản tin yờu cầu dịch vụ này của mụ hỡnh bảo mật để xỏc thực chỉ số người dựng. Hỡnh 2.14 chỉ ra cỏc dịch vụ được cung cấp bởi 3 module – module xỏc thực, module riờng và module định thời – trong mụ hỡnh bảo mật tới mụ hỡnh xử lý bản tin.
Phõn hệ bảo mật Mụ hỡnh xử lý bản tin Module xỏc thực Module riờng Module định thời Toàn vẹn dữ liệu Xỏc thực dữ liệu gốc Dữ liệu bớ mật Bản tin định thời và giới hạn bảo vệ gửi lại
Hỡnh 2.14 Mụ hỡnh bảo mật
Phõn hệ bảo mật Module riờng scopedPDU Khoỏ mó hoỏ Bảo mật người dựng scopedPDU đó được mó hoỏ Tham số riờng Module xỏc thực Tồn bộ bản tin Tồn bộ bản tin đó xỏc thực Xử lý bản tin Thụng tin MPM Dữ liệu mào đầu Dữ liệu bảo mật scopedPDU (Xỏc thực/mó hoỏ) tồn bộ bản tin Độ dài bản tin Tham số bảo mật Khoỏ xỏc thực
Hỡnh 2.15 Dịch vụ riờng và xỏc thực cho bản tin đi
Mụ hỡnh bảo mật trong SNMPv3 là mụ hỡnh bảo mật người dựng (User-base Security Model viết tắt là USM). Nú phản ỏnh khỏi niệm tờn người dựng truyền thống.
Như chỳng ta đó định nghĩa giao diện dịch vụ trừu tượng giữa cỏc phõn hệ khỏc nhau
trong thực thể SNMP, bõy giờ chỳng ta sẽ định nghĩa giao diện dịch vụ trừu tượng trong USM. Cỏc định nghĩa này bao trựm lờn khỏi niệm về giao diện giữa dịch vụ
giống USM và xỏc thực khụng phụ thuộc và dịch vụ riờng. Hai primitive được kết hợp với một dịch vụ xỏc thực, một tạo ra bản tin xỏc thực đi, và một để kiểm tra bản tin xỏc thực đến. Tương tự, 2 primitive được kết hợp với cỏc dịch vụ riờng: encryptData để
mó hoỏ bản tin đi và decryptData để giải mó bản tin đến.
Cỏc dịch vụ được cung cấp bởi module xỏc thực và module riờng trong phõn hệ bảo mật cho bản tin đi và bản tin đến. Mụ hỡnh xử lý bản tin dẫn chứng cho USM trong phõn hệ bảo mật. Dựa trờn mức bảo mật gắn trờn bản tin, USM lần lượt được dẫn qua module xỏc thực và module riờng. Kết quả được đưa trở lại mụ hỡnh xử lý bản tin bởi USM.
Hỡnh 2.15 chỉ ra sự xử lý một bản tin đi và hỡnh 2.16 cho thấy sự xử lý ngược lại của 1 bản tin đến đi qua xỏc nhận hợp lệ trước sau đú sẽ được giải mó hoỏ bởi module riờng.
Hỡnh 2.16 Dịch vụ riờng và xỏc thực cho bản tin đến Cỏc giao thức bảo mật.
Nền tảng cho bảo mật sử dụng xỏc thực và bảo vệ riờng là cỏc khoỏ bớ mật được dựng chung bởi người gửi và người dựng - một người xỏc thực và người kia mó hoỏ và giải mó. Ban đầu, cỏc khoỏ bớ mật của USM là mật khẩu. Hai thuật toỏn được khuyến nghị trong SNMPv3 đú là HMAC-MD5-96 và HMAC-SHA-96.
Khoỏ xỏc thực. Khoỏ bớ mật cho xỏc thực được xuất phỏt từ mật khẩu được người
dựng lựa chọn. Người dựng ở đõy là cỏc cụng cụ SNMP khụng xỏc thực, nú tạo ra hệ thống quản lớ mạng. Trong hai thuật toỏn MD5 và SHA-1, mật khẩu được lặp lại cho
đến khi cú dạng 220 octet (1048576 octet), xoỏ lần lặp cuối nếu thấy cần thiết.
Thủ tục mó hoỏ HMAC. Mó MAC dài 96 bit xuất phỏt từ việc sử dụng thủ tục
HMAC (RFC 2104, RFC 2274).
Quản lớ khoỏ. Người dựng (hệ thống quản lớ mạng) chỉ cú một mật khẩu và do đú
chỉ cú một khoỏ bớ mật, digest1 (đó đề cập trong phần khoỏ xỏc thực). Tuy nhiờn, nú
kết nối với tất cả cỏc cụng cụ SNMP xỏc thực (tất cả cỏc agent trờn mạng). Thụng tin chia sẻ thờm vào sự bớ mật giữa 2 cụng cụ kết nối. Khỏi niệm khoỏ cục bộ được đưa ra
để trỏnh sự lưu trữ khoỏ khỏc nhau trờn cỏc cụng cụ xỏc thực với liờn kết người dựng.
Thuật toỏn băm - giống như sử dụng để tạo ra khoỏ bớ mật - được sử dụng để tạo ra khoỏ cục bộ. Phân hệ bảo mật Module xác thực Toàn bộ bản tin (nhận từ mạng) Khóa mã hóa Bảo mật người dùng Xác thực tồn bộ bản tin Tham số xác thực Module riêng Mã hóa PDU Giải mã scopedPDU Xử lý bản tin Thông tin MPM
Dữ liệu mào đầu
Tham số bảo mật scopedPDU scopedPDU (đã giải mã) Khóa giải mã Tham số riêng
Phỏt hiện. Một trong những chức năng quan trọng của hệ thống quản lớ mạng là
phỏt hiện ra những agent trờn mạng. Phỏt hiện được hoàn thành bằng cỏch ra cỏc bản tin yờu cầu với mức bảo mật là khụng cần xỏc nhận và khụng cú khoỏ riờng, cú tờn là khởi tạo (initial), một SNMP engine ID xỏc thực cú độ dài bằng khụng và varBin là
rỗng. Cụng cụ xỏc thực sẽ hồi đỏp bằng bản tin hồi đỏp bao gồm engine ID và điền vào tham số bảo mật. Thụng tin thờm này cú được qua bản tin pair-wise.
Giao thức mó khoỏ.
Mó khoỏ tạo ra cỏc ký tự khụng đọc được (ciphertext) từ cỏc từ đọc được
(plaintext). SNMP khuyến nghị dữ liệu tin cậy nờn sử dụng giao thức mó hoỏ ma trận CBC-DES (Cipher Block Chaining - Data Encryption Standard). USM chỉ rừ yờu cầu scopedPDU chia rừ phần bản tin cần mó khoỏ. Giỏ trị bớ mật kết hợp với giỏ trị định
thời sẽ tạo ra khoỏ mó hoỏ/giải mó và vecto khởi tạo (IV). Mặt khỏc, giỏ trị bớ mật dựa
trờn người dựng, do đú sẽ kết hợp đặc thự với hệ thống quản lớ mạng.
Điều khiển truy cập
Trong hai phần trước, chỳng ta đó núi đến sự bảo mật trong quản lớ mạng với sự
quan tõm đến tớnh toàn vẹn dữ liệu, bản tin xỏc thực, dữ liệu tin cậy và định thời của
bản tin. Bõy giờ chỳng ta sẽ đề cập đến điều khiển truy cập, nú giải quyết vấn đề ai cú quyền truy cập vào cỏc phần tử mạng và họ cú thể truy cập những gỡ. Trong SNMP v1 và SNMPv2, vấn đề này đó được đề cập trong phần chớnh sỏch truy cập dựa trờn
truyền thụng. Trong SNMPv3, điều khiển truy cập đó bảo mật hơn và mềm dẻo hơn bởi mụ hỡnh điều khiển kết nối dựa trờn cỏc View (View-based Access Control Model viết tắt là VACM).
VACM định nghĩa cỏc giao diện mà ứng dụng trong một agent cú thể sử dụng để
hợp thức cỏc cõu lệnh yờu cầu và cỏc bộ nhận thụng bỏo. Nú hợp thức nguồn gửi và quyền truy cập đối với cỏc lệnh yờu cầu. Một trong những giả định được tạo ra là xỏc thực của nguồn đó được thực hiện bởi module xỏc thực. Để thực hiện cỏc dịch vụ này, dữ liệu cục bộ bao gồm cỏc quyền và chớnh sỏch truy cập, được gọi là lưu trữ dữ liệu cấu hỡnh cục bộ (LCD), đó được tạo ra trong thực thể SNMP. LCD này đặc trưng trong một agent hoặc trong một chức năng quản lớ trong vai trũ của một agent khi nú kết nối với một manager khỏc.
LCD cần thiết cho việc cấu hỡnh từ xa và cõn nhắc bảo mật cần được quan tõm, vỡ vậy module MIB cho VACM được đưa ra.
Cỏc phần tử của mụ hỡnh
VACM gồm 5 phần tử: (1) cỏc nhúm, (2) mức bảo mật, (3) ngữ cảnh, (4) cỏc view MIB và họ cỏc view, (5) chớnh sỏch truy cập.
Cỏc nhúm. Một nhúm, groupName, gồm 1 cặp vacmSecurityModel và vacmSecurityName (mụ hỡnh bảo mật và tờn bảo mật) đại diện cho cỏc đối tượng quản
lớ cú thể truy cập. Một tờn bảo mật là chủ độc lập với mụ hỡnh bảo mật được sử dụng. Tất cả cỏc phần tử thuộc một nhúm cú quyền truy cập giống nhau.
Mức bảo mật. Cú cỏc mức
Khụng xỏc thực – khụng bảo vệ
Cú xỏc thực – khụng bảo vệ
Cú xỏc thực – cú bảo vệ
Ngữ cảnh. Ngữ cảnh SNMP là sự thu thập cỏc thụng tin quản lớ cú thể truy cập của
cỏc thực thể SNMP (agent). Một thực thể SNMP truy cập đến tiềm năng hơn một ngữ cảnh. Mỗi cụng cụ SNMP cú một bảng ngữ cảnh liệt kờ cỏc ngữ cảnh cục bộ cú thể bằng cỏc contextName.
Cỏc view MIB và họ cỏc view. Trong SNMPv1 và SNMPv2, quyền truy cập tới ngữ cảnh được điều khiển bởi cỏc view MIB. Một view MIB được định nghĩa cho mỗi nhúm và chi tiết của kiểu đối tượng quản lớ (và tuỳ chọn, trường hợp rừ ràng của cỏc kiểu đối tượng). Một view MIB phức tạp xảy ra khi tất cả cỏc đối tượng của cột dựa trờn khỏi niệm hàng của bảng xuất hiện trờn cỏc cõy con khỏc nhau, mỗi cột một view với định dạng như nhau. Vỡ định dạng như nhau nờn yờu cầu của cõy con phải tập hợp vào một cấu trỳc, được gọi là họ cỏc cõy con view. Một họ cỏc cõy con view là một cặp của giỏ trị OBJECT IDENTIFER (được gọi là tờn của họ) cựng với một giỏ trị
chuỗi bit (được gọi là mặt nạ họ). Mặt nạ họ cho biết nhận dạng con của tờn họ kết hợp là dấu hiệu để định nghĩa họ. Một họ của cỏc cõy con view cú thể bao gồm hoặc loại trừ một view MIB.
Quyền truy cập. Xỏc định quyền truy cập cỏc đối tượng như quyền đọc, ghi và
thụng bỏo.
2.6.5 Ứng dụng thực tiễn của SNMPv3
Một số vấn đề thực tiễn quản lớ mạng
Cựng với sự phỏt triển đa dạng của cỏc cụng nghệ mạng, cỏc thỏch thức đối với hệ thống quản lớ mạng ngày càng lớn nhất là đối với cỏc mạng lớn, cỏc kiểu lưu lượng và sự tăng trưởng lưu lượng tiếp tục tăng khụng ngừng. Với cỏc yờu cầu đảm bảo chất
lượng dịch vụ trong mụi trường đa dịch vụ, hệ thống quản lớ mạng phải cú khả năng
quản lớ từ đầu cuối tới đầu cuối, giảm giỏ thành quản lớ qua cỏc thoả thuận chất lượng dịch vụ SLA (Service Level Agreement), cỏc hệ thống quản lớ mạng của cỏc nhà sản xuất thiết bị và sử dụng phần mềm quản lớ hiệu quả. Dưới đõy sẽ phõn tớch một số vấn
đề này sinh khi sử dụng giao thức quản lớ mạng đơn giản SNMP.
Dữ liệu liờn kết và mó là cỏc khỏi niệm tớnh toỏn cơ bản, nú tập trung vào vựng quản lớ mạng trờn cơ sở cỏc thực thể mạng NE (Network Element) chuyển dữ liệu quản lớ tới trạm quản lớ. Khi chuyển dữ liệu thành cỏc mó cú một số vấn đề sau:
Cỏc đối tượng bị quản lớ nằm trờn rất nhiều Agent
Bản sao của cỏc đối tượng quản lớ nằm tại hệ thống manager
Sự thay đổi dữ liệu trờn cỏc Agent sẽ làm thay đổi dữ liệu bản sao trờn
manager.
Cơ sở thụng tin quản lớ MIB cung cấp một hạ tầng quản lớ và phải dự phũng cỏc
khụng gian nhớ cho những thay đổi của đối tượng quản lớ. Mặt khỏc, sự phỏt triển và
độ phức tạp của thực thể mạng (NE) tăng lờn khụng ngừng trong khi quỏ trỡnh truyền
và nhận dữ liệu từ Agent là thủ tục bắt buộc của SNMP, vỡ vậy việc chuyển cỏc dữ liệu thành mó như thế nào là một vấn đề thỏch thức của hệ thống quản lớ mạng. Hơn nữa, hệ thống quản lớ cú nờn đũi hỏi tất cả dữ liệu agent hay khụng? Trong thực tế, điều này chỉ chấp nhận được trờn những mạng nhỏ nhưng khụng thể thực hiện được trờn cỏc
mạng lớn. Khi cỏc NE trở thành phức tạp hơn thỡ gỏnh nặng lại đặt lờn hệ thống quản lớ.
ii, Sự tăng trưởng của MIB
Cỏc bảng cơ sở thụng tin quản lớ lưu trữ cỏc tham số của đối tượng quản lớ, khi số
lượng NE lớn đồng nghĩa với việc mở rộng bảng MIB. Sự phức tạp gia tăng khi nhiều
nhà cung cấp cung cấp những module MIB cho cỏc NE của họ theo dạng file văn bản. Những file này cú thể hợp nhất vào trong một hệ thống mạng quản lớ NMS và dựng phối hợp với bộ duyệt MIB. MIB chứa định nghĩa đối tượng quản lớ và dựng để dẫn xuất mụ hỡnh cơ sở dữ liệu cho NMS. Mụ hỡnh cơ sở dữ liệu NMS chứa số lượng lớn cỏc bảng, vớ dụ một bảng để cất giữ những đường dẫn chi tiết, bảng khỏc cho cỏc mạch
ảo,v.v. Hệ thống quản lớ mạng NMS theo dừi và sửa đổi những giỏ trị của NE, quản lớ cỏc đối tượng và lưu giữ nú trong cơ sở dữ liệu của mỡnh.
Việc tớch hợp cỏc hệ thống thiết bị thành cỏc phần tử mạng lớn cũng mang lại một số khú khăn trong hệ thống quản lớ mạng, vỡ cỏc chức năng được tớch hợp rất khú quản lớ đồng thời cỏc hệ thống quản lớ phải hỗ trợ rất nhiều tương tỏc trong FCAPS.
iii, Độ phức tạp trong triển khai
Việc xõy dựng hệ thống quản lớ cho những thiết bị mạng hiện nay và trong tương lai ngày càng gặp nhiều khú khăn (điều này là đỳng với việc phỏt triển thiết bị của những cụng nghệ mới như MPLS hay Ethernet Gigabit là việc thờm vào hoặc kế thừa cỏc thực thể mạng-NE lớp 2). Một số nhà cung cấp cú những nhúm được tỏch riờng dành cho thực thể mạng và việc phỏt triển hệ thống quản lớ nờn cần cú sự truyền thụng giữa những nhúm này. Ngoài ra việc thiết lập cỏc kỹ năng yờu cầu của người phỏt triển
phần mềm NMS đang tăng và bao gồm:
Việc phỏt triển và làm mụ hỡnh hướng đối tượng sử dụng UML (Unified Modeling Language) cho việc giữ những yờu cầu, định nghĩa cỏc hoạt động và cỏc
trường hợp sử dụng để sắp xếp chỳng vào trong cỏc lớp phần mềm.
Phỏt triển cỏc phần mềm quản lớ trờn Java/C++. Phần mềm Server đa xử lý FCAPS.
Đặc biệt hỗ trợ cho việc phỏt triển cỏc đặc tớnh như ATM/MPLS.