Bezpieczne i elastyczne zdalne zarządzanie infrastrukturą przemysłową oraz krytyczną z protokołem SNMPv3

Organizacje i przedsiębiorstwa napotykają krytyczne luki w zabezpieczeniach podczas korzystania ze starszych wersji protokołu SNMP, a są to m.in.:

• Wrażliwe dane konfiguracyjne mogą zostać przechwycone lub zmodyfikowane podczas transmisji, powodując awarie lub przerwy w działaniu urządzeń.
• Protokoły SNMPv1 i v2c przesyłają wszystkie informacje dotyczące zarządzania w postaci zwykłego tekstu, co czyni je podatnymi na ataki typu sniffing i spoofing.
• Ograniczona kontrola dostępu prowadzi do słabego rozróżniania użytkowników i niewystarczającej segmentacji zabezpieczeń.

Wraz ze wzrostem liczby połączonych systemów w infrastrukturze przemysłowej i krytycznej, bezpieczne i elastyczne zdalne zarządzanie stało się niezbędne.

Protokół SNMPv3 został opracowany specjalnie w celu sprostania tym wyzwaniom.

Podstawowe mechanizmy bezpieczeństwa w protokole SNMPv3

Protokół SNMPv3 stanowi istotną ewolucję w zakresie bezpieczeństwa zarządzania siecią, wprowadzając wiele warstw ochrony, które wspólnie zapewniają poufność, integralność i uwierzytelnianie w całym ruchu zarządzającym. W przeciwieństwie do protokołów SNMPv1/v2c, które przesyłały zwykły tekst i nie oferowały kontroli dostępu, SNMPv3 integruje nowoczesne zasady kryptografii, aby zapobiec manipulacjom lub nieautoryzowanemu dostępowi.

1. Integralność wiadomości

Aby zagwarantować, że dane zarządzania siecią pozostaną niezmienione podczas transmisji, protokół SNMPv3 wykorzystuje kryptograficzne sumy kontrolne (HMAC) do weryfikacji integralności pakietów.

• Urządzenie odbierające przelicza i porównuje skróty wiadomości w celu wykrycia uszkodzenia lub manipulacji.
• Ta kontrola integralności zapewnia, że ​​złośliwe pośrednicy nie mogą wstrzykiwać ani modyfikować poleceń SNMP bez wykrycia.

2. Uwierzytelnianie

Protokół SNMPv3 wykorzystuje uwierzytelnianie na poziomie użytkownika w oparciu o algorytmy HMAC-MD5-96 lub HMAC-SHA-96, co gwarantuje, że wiadomość rzeczywiście pochodzi od uprawnionego administratora.

• Każdemu podmiotowi SNMPv3 przypisywane są klucze uwierzytelniające, co zapobiega podszywaniu się pod inną osobę.
• Urządzenia muszą synchronizować protokoły uwierzytelniania, aby uniknąć niezgodności w walidacji wiadomości.

3. Prywatność (szyfrowanie)

Szyfrowanie chroni przed podsłuchiwaniem pakietów.

• Początkowo używano algorytmu DES-CBC, ale AES stał się nowoczesnym standardem zapewniającym wyższy poziom bezpieczeństwa.
• Szyfrowana jest tylko część komunikatu, czyli jednostka danych protokołu (PDU), co pozwala systemom pośredniczącym na przetwarzanie nagłówków routingu i wersji w razie potrzeby.
• Taka struktura równoważy wydajność i poufność w systemach dużej skali.

4. Ochrona przed powtórzeniem

Protokół SNMPv3 zawiera oparty na czasie mechanizm synchronizacji, który blokuje ataki typu powtórzenie - polegające na przechwyceniu prawidłowego żądania i ponownym jego wysłaniu.

• Każda wiadomość zawiera znacznik czasu i liczbę uruchomień silnika.
• Urządzenia utrzymują okno akceptacji, odrzucając nieaktualne lub zduplikowane wiadomości.
• Jest to szczególnie ważne w systemach rozproszonych lub redundantnych, w których może wystąpić przesunięcie zegara.

5. Zarządzanie użytkownikami i rolami

Protokół SNMPv3 obsługuje elastyczne zarządzanie użytkownikami w dużych sieciach.

• Administratorzy mogą dodawać, usuwać lub modyfikować profile użytkowników i przypisywać unikalne poziomy bezpieczeństwa (noAuthNoPriv, authNoPriv, authPriv).
• USM (User-based Security Model) obsługuje te konta, a VACM (View-based Access Control Model) uzupełnia go o szczegółowe ograniczenia dostępu.
• Taka konstrukcja umożliwia zarządzanie oparte na rolach, w którym inżynierom można przypisywać uprawnienia w oparciu o granice działowe, funkcjonalne lub geograficzne.

6. Rozszerzalność i niezależność transportu

Mechanizmy SNMPv3 są niezależne od protokołu i działają niezależnie od podstawowego transportu (TCP, UDP itp.).

• Można je zintegrować z modelem bezpieczeństwa transportu (TSM) za pomocą TLS/DTLS, wzmacniając bezpieczeństwo zarówno sieci zorientowanych na połączenie, jak i bezpołączeniowych.
• USM obsługuje również przyszłe aktualizacje kryptograficzne, zapewniając stałą zgodność z nowymi standardami, takimi jak rodziny AES-256 lub SHA-2.

Modele bezpieczeństwa SNMPv3

SNMPv3 opiera się na trzech uzupełniających się modelach bezpieczeństwa:

1. Model bezpieczeństwa oparty na użytkowniku (USM - RFC 3414)
   Zapewnia uwierzytelnianie i prywatność na poziomie użytkownika. Administratorzy mogą wybierać spośród wielu poziomów bezpieczeństwa (noAuthNoPriv, authNoPriv, authPriv) zgodnie z wymaganiami polityki.
2. Model kontroli dostępu oparty na widokach (VACM - RFC 3415)
   Definiuje szczegółowe prawa dostępu poprzez grupowanie użytkowników i definiowanie „widoków” MIB. Obsługuje kontrolę opartą na rolach, zapewniając, że tylko autoryzowani użytkownicy mogą przeglądać lub modyfikować określone obiekty danych.
3. Model bezpieczeństwa transportu (TSM - RFC 5591)
   Integruje protokoły TLS i DTLS w celu zapewnienia bezpiecznego szyfrowania warstwy transportowej, umożliwiając uwierzytelnianie za pomocą certyfikatów X.509 i poprawiając wydajność dzięki możliwości wznawiania sesji. Razem modele te zapewniają kompleksową ochronę operacji zarządzania siecią, spełniając najsurowsze wymagania środowisk finansowych, transportowych i przemysłowych.

Lantech OS5: Pełna obsługa SNMPv3 we wszystkich modelach

Platforma Lantech OS5 zapewnia pełną, natywną implementację SNMPv3:

• Wszystkie modele z systemem OS5 standardowo zawierają kompletne zestawy funkcji SNMPv3 - USM, VACM i TSM.
• Brak licencji: Funkcje SNMPv3 są wbudowane w standardowe oprogramowanie układowe.
• Łatwa konfiguracja: Interfejsy CLI i Web UI umożliwiają użytkownikom efektywne włączanie uwierzytelniania, szyfrowania i kontroli dostępu.

Niezależnie od tego, czy zarządzasz dużymi systemami transportowymi, inteligentną infrastrukturą, czy wytrzymałymi sieciami przemysłowymi, Lantech OS5 zapewnia bezpieczną, zgodną ze standardami widoczność i kontrolę sieci dzięki płynnej funkcjonalności SNMPv3.

Dowiedz się więcej o przełącznikach Lantech OS5

T(P)GS-H7624XT (IP54)

24x GE + 6x 10G Copper M12 Push-Pull X-coded (PoE) EN50155 Managed Ethernet Switch

T(P)GS-H7624XFT (IP54)

24x GE + 4x 10G Copper + 2 10G QODC M12 Push-Pull X-coded (PoE) EN50155 Managed Ethernet Switch

T(P)GS-H7608XT (IP54)

8x GE + 6x 10G Copper M12 Push-Pull X-coded (PoE) EN50155 Managed Ethernet Switch

T(P)GS-H7416XT (IP67/IP54)

16x GE + 4x 10G Copper M12 Push-Pull X-coded (PoE) EN50155 Managed Ethernet Switch

T(P)GS-H7808XT (IP54)

8x 2.5G + 8x 10G Copper M12 Push-Pull X-coded (PoE) EN50155 Managed Ethernet Switch

T(P)GS-H7524XTR (IP41)

24x GE + 5x 10G Copper M12 Push-Pull X-coded (PoE) EN50155 Managed Ethernet Switch PoE bt 90W

T(P)GS-H7508XTR (IP41)

8x GE + 5x 10G Copper M12 Push-Pull X-coded (PoE) EN50155 Managed Ethernet Switch PoE bt 90W

I(P)GS-H7848XF-TX

48x GE + 8x 10G SFP+ (w/48 PoE) Managed Ethernet Switch

I(P)GS-H7832XF-DFT

16x GE + 16x GE SFP + 8x 10GE SFP+ (PoE) Managed Ethernet Switch PoE bt 90W

IGS-H7832XF-SFP

32x GE SFP + 8x 10GE SFP+ Managed Ethernet Switch

I(P)GS-H7624XF-TX

24x GE + 6x 10G SFP+ (w/24 PoE) Managed Ethernet Switch PoE bt 90W

I(P)GS-H7488XF

8x GE (PoE) + 8x 100M/1G SFP + 4x 10G SFP+ Industrial Managed Ethernet Switch 24V booster

I(P)GS-H7416XF

16x GE (PoE) + 4x 10G SFP+ Industrial Managed Ethernet Switch 24V booster EN50155

I(P)GS-H7408XF

8x GE (PoE) + 4x 10G SFP+ Industrial Managed Ethernet Switch 24V booster PoE bt 60W

Lantech OS5

Platforma Lantech OS5 wyposażona jest w pełne protokoły zarządzania warstwą 2 i komunikacyjne warstwy 3, w tym routing dynamiczny, routing multicast, sprzętowy NAT i ETBN TTDP; opcjonalnie PTP i MacSec z możliwością aktualizacji.

Przełączniki pracujące na platformie Lantech OS5, która oferuje kompletne funkcje zarządzania warstwą 2 i główne protokoły warstwy 3, w tym RIP, OSPF, PIM, DVMRP, IEC61375-2-5 (ETBN) i sprzętowy NAT. Opcjonalne szyfrowanie sprzętowe jest zgodne ze standardem IEEE 802.3AE MACsec dla bezpiecznych łączy punkt-punkt. Opcjonalne PTP V2 i gPTP obsługują zegar transparentny, zegar graniczny i zegary zwykłe z dwuetapowym przetwarzaniem, które synchronizuje dokładność czasu sieciowego z dokładnością do submikrosekund.

Modele bezpieczeństwa SNMP v3

SNMP v3 zwiększa bezpieczeństwo dzięki trzem kluczowym modelom. Model bezpieczeństwa oparty na użytkowniku (USM) zapewnia uwierzytelnianie i szyfrowanie, weryfikując tożsamość nadawcy i chroniąc dane. Model kontroli dostępu oparty na widoku (VACM) zarządza dostępem użytkowników do określonych obiektów na podstawie ich poziomu bezpieczeństwa. Model bezpieczeństwa transportu (TSM) wykorzystuje bezpieczne protokoły, takie jak TLS lub DTLS, do szyfrowania komunikacji. Modele te zapewniają wysoki poziom bezpieczeństwa implementacji SNMPv3, spełniając nowoczesne standardy cyberbezpieczeństwa dla dużych projektów o wysokim poziomie bezpieczeństwa.

Źródło: Lantech Communications Global Inc. Tłumaczenie: Gamma Sp. z o.o.

Gamma Sp. z o.o. jest autoryzowanym dystrybutorem firmy Lantech Communications w Polsce. Zapraszamy do kontaktu z naszym działem handlowym.