جلسه چهاردهم امنیت شبکه


ساعت ۱:۱۸ ‎ب.ظ روز ٤ مهر ۱۳۸۸  

با نام خدا

 

بخش‌های امنیتی پروتکلSNMP

 

در ادامه معرفی پروتکل مدیریتی SNMP به مکانیزم‌های امنیتی آن می‌رسیم.


بخش‌های امنیتی همانند احراز هویت، محرمانگی و یکپارچگی در نسخه سومSNMP مورد توجه قرار گرفته است. در زمان انتقال پیام توسط SNMP می‌توان حالتهای دسترسیread-write, no-acces read-only, را برای پیام‌‌ها‌ تنظیم نمود. در نسخه‌ 1 و 2 این پروتکل شنود بسته‌های ارسال شده قابل انجام بود زیرا رمزنگاری داده  در ترافبک شبکه انجام نمی‌شد.


این پروتکل می‌تواند بر روی TCP پیاده‌سازی شود اما در اغلب موارد بر روی‌UDP پیاده‌سازی می‌شود که IP spoofing را در این بخش میسر می‌نماید و شنود بسته‌های داده ارسال شده در شبکه را در لایه IP قابل انجام می‌نماید.


حملات brute force (شکستن رمز با امتحان تعدادی کلید با توجه به طول کلید الگوریتم رمزنگاری) و  dictionary attack از جمله مواردی هستند که تمام نسخه‌های این پروتکل نسبت به آن ضعف دارند. این ضعف به خاطر عدم پشتیبانی  پروتکل‌ از پروتکل دستداد چالش و پاسخ(challenge- response handshake) می‌باشد.


علاوه بر حملات بالا، این پروتکل می‌بایست در مقابل حمله dos (وقفه) نیز مقابله نماید. به این منظور، مقایسه پاسخ‌های دریافت شده به ازای درخواست‌های ارسال شده به شبکه در SNMP انجام می‌پذیرد. هر پاسخی که دریافت می‌شود می‌بایست به ازای درخواستی، ارسال شده به شبکه باشد؛ در غیر این صورت احتمال وجود حمله DOS وجود دارد.


در نسخه سوم این پروتکل مدل امنیتی مبتنی بر کاربر با نام (User-based Security Model(USM)) تعریف شده است. مدلUSM  در معماریSNMP کاربرد دارد و پروسیجرهایی تولید می‌کند تا در ایجاد سطوح امنیتی برای پیام‌های SNMP استفاده شوند. یکسری MIB مدیریتی برای مونیتورینگ و نظارت بر این مدل امنیتی(USM) تعریف شده است. نحوه انجام این تنظیمات در RFC 3414 تشریح شده است.


در بخش احراز هویت از الگوریتم‌های رمزنگاری HMAC-MD5-96 و HMAC-SHA-96 استفاده می‌شود و CBC-DES برای محرمانگی در پروتکلSNMP کاربرد دارد. به منظور حفظ محرمانگی، احراز هویت پیام بایستی الزامی باشد. مدلUSM پروتکلSNMP امکان استفاده از این الگوربتم‌ها را در کنارSNMP  مهیا نموده است.


هر کدام از الگوریتم‌ها به روشی پیاده‌سازی می‌شوند و توضیح نحوه پیاده سازی روش‌ها و الگوریتم‌های ذکرشده در بالا  جزو معرفی SNMP نمی‌باشد. برای آشنایی با هر کدام از این الگوریتم‌ها می‌توانید از شبکه اینترنت استفاده نموده و شرح پیاده‌سازی آن‌ها را مطالعه نمایید. روش و مدلUSM این الگوریتم‌ها را به منظور افزایش کارایی و امنیت پروتکل SNMP در کنار هم وبه کمک واحدهایMIB پیاده سازی نموده است. نحوه پیاده‌سازی آن‌ها در جلسه آینده مورد بحث قرار می‌گیرد.

 

موفق باشین..........