Trong phần này chủ yếu nhấn mạnh về vấn đề an ninh trong việc quản trị các thiết bị SNMP và các cơ chế kiểm soát an ninh trong hệ thống quản trị dựa trên web này.
Các thiết bị có hỗ trợ SNMP thì đƣợc hỗ trợ an ninh theo SNMP. SNMPv3 sẽ đƣợc hỗ trợ dựa trên xác thực và mã hóa. Các mục đƣợc xác thực và đƣợc mã hóa là: SNMP Username, SNMP Password, SNMP Auth Protocol, SNMP Privacy Passphrase, SNMP Privacy Protocol, SNMP Context. Việc mô tả chức năng xác thực hay mã hóa của các trƣờng trên sẽ đƣợc trình bày trong bảng 4.1.
Trƣờng Mô tả Security Options for SNMPv3
SNMP Username Tên sử dụng của thiết bị (hỗ trợ SNMPv3) để trao đổi thông báo SNMPv3
SNMP Password Các cụm từ mật khẩu xác thực của một thông báo SNMPv3 SNMP Auth
Protocol
Các giao thức chứng thực của một thông báo SNMPv3. Chọn MD5 hoặc SHA. Mục nhập này mặc định là MD5
SNMP Privacy
Passphrase Các cụm từ mật khẩu bí mật của một thông báo SNMPv3
SNMP Privacy Protocol
Các giao thức bảo mật của một thông báo SNMPv3. Chọn một trong hai DES hay AES. Mục nhập này mặc định là DES
SNMP Context
Khi sử dụng các View-Based Access Control Model (VACM), nó có thể xác định một bối cảnh SNMP khi lập bản đồ, có một tên cộng đồng, một tên an ninh với nhóm chỉ thị và chỉ thị tiếp cận
Bảng 4.1 – Các trường trong SNMPv3 được hỗ trợ bảo mật và xác thực trong cacti
SNMP hỗ trợ tính năng xác thực và mã hóa khi sử dụng giao thức SNMPv3 đƣợc gọi là View-Based Access Control Model (VACM). Điều này đòi hỏi, rằng thiết bị hỗ trợ mục tiêu trong câu hỏi và đƣợc cấu hình để sử dụng SNMPv3. Nhìn chung, cấu hình các tùy chọn V3 là phụ thuộc loại mục tiêu. Sau đây là trích dẫn snmp.conf liên quan đến định nghĩa của ngƣời sử dụng.
[ SNMPv3 Users
createUser [-e ENGINEID] username (MD5|SHA) authpassphrase [DES|AES] [privpassphrase]
+ MD5 và SHA là các loại chứng thực để sử dụng, DES và AES là bí mật để các giao thức sử dụng. Nếu cụm từ mật khẩu bảo mật không đƣợc chỉ định thì đó là giả định để đƣợc giống nhƣ cụm từ mật khẩu xác thực. Ngƣời dùng tạo ra cụm từ mật khẩu sẽ vô dụng trừ khi họ thêm vào bảng điều khiển truy cập VACM.
+ SHA xác thực và bảo mật DES/AES yêu cầu OpenSSL phải đƣợc cài đặt và Agent sẽ đƣợc xây dựng với hỗ trợ OpenSSL. MD5 xác thực có thể đƣợc sử dụng mà không cần OpenSSL.
Chú ý: Các cụm từ thông qua chiều dài tối thiểu là 8 ký tự. ] Chỉ thị VACM đƣợc giải thích từ snmpd.conf nhƣ sau:
[ VACM Configuration
Tính linh động của VACM có sẵn bằng cách sử dụng bốn chỉ thị cấu hình - com2sec, group, view và access. Cung cấp các cấu hình trực tiếp cơ bản của bảng VACM.
+ com2sec [-Cn CONTEXT] SECNAME SOURCE COMMUNITY + group GROUP {v1|v2c|usm} SECNAME
+ view VNAME TYPE OID [MASK]
+ access GROUP CONTEXT {any|v1|v2c|usm} LEVEL PREFX READ WRITE NOTIFY ]
Hình 4.4 – Các thông số xác thực và mã hóa trong SNMPv3 trong quan trị bằng cacti
Hình 4.5 – Mô phỏng quá trình bảo mật và xác thực trên cacti với SNMPv1
Trong hình 4.4 đã minh họa các mục trong SNMPv3 đƣợc cacti thực hiện xác thực và mã hóa dựa trên nguyên lý chung của việc xác thực mã hóa SNMPv3 mà chúng ta đã nghiên cứu ở chƣơng 2.
Cacti là chƣơng trình quản trị mạng mã nguồn mở dựa trên nền web nên chúng đƣợc xác thực theo nguyên lý đảm bảo an toàn trong quản trị mạng dựa trên nền web mà chúng ta đã nghiên cứu ở luận văn trong chƣơng 3.
Ở trong cacti cơ chế xác thực chung là dựa trên xác thực SSL, đƣợc mô phỏng trên hình 4.6.
Hình 4.6 – Cơ chế xác thực dựa trên SSL
Trong cacti là sự phối hợp rất nhiều giao thức, kết hợp của nhiều thiết bị mạng. Mỗi thiết bị mạng lại có các cơ chế bảo mật, xác thực khác nhau. Có sự kết hợp của nhiều loại an ninh nhƣ an ninh của các thiết bị SNMP, an ninh của các cơ sở dữ liệu, an ninh của web…Trong phần này chỉ mô phỏng 2 loại an ninh điển hình mà ta đã ngiên cứu ở chƣơng 2 và chƣơng 3, đó là an ninh của SNMPv3, và an ninh của quản trị dựa trên nền web với SSL.
