Prijeđi na sadržaj

SNMP

Izvor: Wikipedija
IP Model
Sloj Protokol
Aplikacijski DNS, DHCP, TLS/SSL, TFTP, FTP, HTTP, IMAP, IRC, NNTP, POP3, SIP, SMTP, SNMP, SSH, Telnet, BitTorrent, RTP, rlogin, …
Transportni TCP, UDP, DCCP, SCTP, IL, RUDP,
Mrežni IP (IPv4, IPv6), ICMP, IGMP, ARP, RARP, …
Podatkovni Ethernet, Wi-Fi, Token ring, PPP, SLIP, FDDI, ATM, DTM, Frame Relay, SMDS, …

SNMP (Simple Network Management Protocol, slobodni prijevod: jednostavni mrežni protokol za nadzor i upravljanje) jednostavni je protokol koji se danas najčešće koristi za nadzor i upravljanje mrežnim uređajima u TCP/IP mrežama. SNMP omogućava mrežnim administratorima da upravljaju mrežnim performansama, nalaze i rješavaju mrežne probleme te planiraju potrebe za rastom mreže.

Povijest razvoja

[uredi | uredi kôd]
  • SNMPv1 - u upotrebi od 1988. godine -> RFC 1157
  • SNMPv2c - (Community-Based Simple Network Management Protocol version 2), u upotrebi od 1995. godine -> RFC 1901RFC 1908
  • SNMPv3 - u upotrebi od 1998. godine -> RFC 2271RFC 2275

SNMPv1

[uredi | uredi kôd]

SNMPv1 protokol je prihvaćen kao standard u TCP/IP mrežama 1988. godine. Još i danas se dosta koristi unatoč poznatim sigurnosnim nedostacima. Sigurnost se kod SNMPv1 temelji na korištenju takozvanih zajednica (communities). Zajednica je u stvari niz tekstualnih ASCII znakova (string) i podsjeća na tradicionalne lozinke koje se koriste u operacijskim sustavima a koristi se za autentikaciju SNMP poruka između upravljačke jedinice i upravljanog uređaja. Najveći problem je u tome što neovlašteni korisnici mogu snimanjem IP paketa koji se prenose mrežom pročitati sadržaj SNMP poruka i saznati naziv zajednica jer se one prenose u čitljivom obliku. Znajući naziv zajednice, mogu pristupiti upravljačkim informacijama nekog mrežnog uređaja i promijeniti njegovu konfiguraciju.

Postoje tri vrste zajednica:

  • Read-only zajednica omogućava isključivo čitanje vrijednosti podataka iz MIB-ova
  • Read-write zajednica omogućava čitanje i upisivanje vrijednosti u MIB-ove
  • Trap zajednica omogućava upravljačima prijem trap poruka

SNMPv2

[uredi | uredi kôd]

SNMPv2 protokol je uveden u TCP/IP mrežama 1993. godine. SNMPv2 je nudio neka proširenja kao što su dodatne operacije i korištenje party-based sigurnosti koja se pokazala veoma složenom u svakodnevnoj upotrebi. Zbog toga SNMPv2 nije nikada zaživio u upravljanim mrežama. Umjesto njega je 1995. godine prihvaćen kao standard u TCP/IP mrežama Community-Based Simple Network Management Protocol version 2 - SNMPv2c. Kao što mu i samo ime kaže, SNMPv2c protokol svoju sigurnost zasniva isto na zajednicama (communities) tako da su sigurnosni problemi ostali isti kao kod SNMPv1 protokola.

SNMPv3

[uredi | uredi kôd]

SNMPv3 protokol je uveden u TCP/IP mrežama 1998. godine. Tek u trećoj verziji, SNMPv3, definirani su bitno poboljšani sigurnosni mehanizmi. SNMPv3 posjeduje mehanizme za sigurnu kontrolu pristupa, autentikaciju (authentication), odnosno provjeru vjerodostojnosti korisnika i enkripciju (encryption), odnosno zaštitno kodiranje SNMP poruka. SNMPv3 može koristiti takozvanu korisničku (user-based) autentikaciju ili se provjera vjerodostojnosti korisnika može obaviti bez slanja lozinki u čitljivom obliku a temelji se na upotrebi algoritama HMAC-MD5 ili HMAC-SHA. Zaštitna enkripcija koristi 56-bitni CBC-DES algoritam za kodiranje i dekodiranje SNMP poruka.

Sigurnost SNMPv3 protokola

[uredi | uredi kôd]

SNMPv3 protokol osigurava, osim sigurnosnih razina, i sigurnosne modele. Sigurnosni model je autentikacijski proces koji postoji kako za korisnika (user) tako i za grupu (group) u kojoj se korisnik nalazi. Sigurnosna razina je dozvoljena razina sigurnosti unutar sigurnosnog modela, odnosno tip sigurnosnog algoritma koji je dozvoljen u SNMP paketu. Kombinacija sigurnosnog modela i sigurnosne razine određuje koji se sigurnosni proces koristi kod manipulacije sa SNMP paketom.

Sigurnost SNMPv3 ostvarena je preko sljedećih tehnologija:

  • Integritet poruka - osigurava da prijenos SNMP poruka bude neometan, odnosno da SNMP paket na odredište stigne nepromijenjen
  • Autentikacija - osigurava da SNMP poruka dolazi iz valjanog izvora
  • Enkripcija - kodira sadržaj SNMP paketa da bi se spriječila zloupotreba od neovlaštenog izvora