4. Благодарности
Этот документ содержит обновленные фрагменты RFC 1213 и заменяет собой RFC 2013 и 2454. Благодарим авторов и редакторов этих документов за прекрасно выполненную работу.
5. Участники
Этот документ является результатом работы команды по пересмотру IPv6 MIB и авторов предыдущих версий документа:
- Bill Fenner, AT&T Labs — Research, Email: moc.ta.hcraeser@rennef
- Brian Haberman, Email: ten.balsnoitavonni@nairb
- Shawn A. Routhier, Wind River, Email: moc.eugolipe@ras
- Juergen Schoenwalder, TU Braunschweig, Email: ed.sb-ut.sc.rbi@wneohcs
- Dave Thaler, Microsoft, Email: moc.tfosorcim.swodniw@relahtd
В документ включено много текста из RFC1213/RFC2013, подготовленных Keith McCloghrie, и структура MIB следует указанным документам.
Mike Daniele написал исходный документ IPv6 UDP MIB (RFC2454).
Juergen Schoenwalder подготовил много текста для раздела 2.
6. Вопросы безопасности
В данной базе MIB не определено объектов, которые имеют в MAX-ACCESS значение read-write и/или read-create. Следовательно, при корректной реализации MIB не возникает риска создания или изменения злоумышленником объектов в данном модуле MIB с помощью прямых операций SNMP SET.
Некоторые из доступных для чтения объектов в MIB (т.е., объектов, для которых значение MAX-ACCESS отличается от notaccessible), которые могут рассматриваться как уязвимые или чувствительные к атакам в некоторых сетевых средах. Следовательно, важно контролировать доступ к таким объектам с помощью GET и/или NOTIFY и может быть даже шифровать значения этих объектов при передаче данных через сеть по протоколу SNMP. Ниже перечислены таблицы и объекты с указанием их «слабых» мест.
Индексы таблиц udpEndpointTable и udpTable содержат информацию о «слушателях». В частности, объекты udpEndpointLocalPort и udpLocalPort можно использовать для идентификации открытых портов и организации атаки на эти порты без использования сканера портов.
Версии SNMP до SNMPv3 не обеспечивают требуемого уровня безопасности. Даже если сеть обеспечивает безопасность (например, с помощью IPSec), не существует способа контроля доступа для операций GET/SET (чтение/изменение/создание/удаление) по отношению к объектам данного модуля MIB.
Разработчикам рекомендуется рассмотреть средства безопасности, обеспечиваемые протоколом SNMPv3 (см. [RFC3410], глава 8), включая полную поддержку криптографических механизмов SNMPv3 для аутентификации и приватности.
Более того, не рекомендуется развертывать системы SNMP с версиями до SNMPv3. Рекомендуется использовать SNMPv3 и включать криптографические механизмы. В этом случае ответственность за доступ к объектам данного модуля MIB ложится на пользователя/оператора, которому следует настроить конфигурацию таким образом, чтобы соответствующий доступ получали лишь уполномоченные пользователи с четким разделением прав доступа к операциям GET и SET (изменение/создание/удаление).
7. Согласование с IANA
Модуль MIB, описанный в данном документе, использует следующие значения идентификаторов объекта, выделенные IANA и внесенные в реестр SMI Numbers:
Дескриптор | Значение OBJECT IDENTIFIER |
---|---|
udp | { mib-2 7} |
udpMIB | { mib-2 50 } |
8. Литература
8.1. Нормативные документы
[RFC0768] | Postel, J., «Протокол UDP», STD 6, RFC 768, Август 1980. |
[RFC2578] | McCloghrie, K., Perkins, D., and J. Schoenwaelder, «Structure of Management Information Version 2 (SMIv2)», STD 58, RFC 2578, Апрель 1999. |
[RFC2579] | McCloghrie, K., Perkins, D., and J. Schoenwaelder, «Textual Conventions for SMIv2», STD 58, RFC 2579, Апрель 1999. |
[RFC2580] | McCloghrie, K., Perkins, D., and J. Schoenwaelder, «Conformance Statements for SMIv2», STD 58, RFC 2580, Апрель 1999. |
[RFC3418] | Presuhn, R., «Management Information Base (MIB) for the Simple Network Management Protocol (SNMP)», STD 62, RFC 3418, Декабрь 2002. |
[RFC4001] | Daniele, M., Haberman, B., Routhier, S., and J. Schoenwaelder, «Textual Conventions for Internet Network Addresses», RFC 4001, Февраль 2005. |
8.2. Дополнительная литература
[RFC1213] | McCloghrie, K. и M. Rose, «Management Information Base for Network Management of TCP/IP-based internets:MIB-II», STD 17, RFC 1213, Март 1991. |
[RFC2013] | McCloghrie, K., «SNMPv2 Management Information Base for the User Datagram Protocol using SMIv2», RFC 2013, Ноябрь 1996. |
[RFC2287] | Krupczak, C. и J. Saperia, «Definitions of System-Level Managed Objects for Applications», RFC 2287, Февраль 1998. |
[RFC2454] | Daniele, M., «IP Version 6 Management Information Base for the User Datagram Protocol», RFC 2454, Декабрь 1998. |
[RFC2790] | Waldbusser, S. и P. Grillo, «Host Resources MIB», RFC 2790, Март 2000. |
[RFC3410] | Case, J., Mundy, R., Partain, D., and B. Stewart, «Introduction and Applicability Statements for Internet-Standard Management Framework», RFC 3410, Декабрь 2002. |
Адреса авторов
Bill Fenner
AT&T Labs — Research
75 Willow Rd
Menlo Park, CA 94025 USA
EMail: moc.tta.hcraeser@rennef
John Flick
Hewlett-Packard Company
8000 Foothills Blvd. M/S 5557
Roseville, CA 95747-5557 USA
EMail: moc.ph@kcilf.nhoj