Bezpieczne i elastyczne zdalne zarządzanie infrastrukturą przemysłową oraz krytyczną z protokołem SNMPv3

Organizacje i przedsiębiorstwa napotykają krytyczne luki w zabezpieczeniach podczas korzystania ze starszych wersji protokołu SNMP, a są to m.in.:

• Wrażliwe dane konfiguracyjne mogą zostać przechwycone lub zmodyfikowane podczas transmisji, powodując awarie lub przerwy w działaniu urządzeń.
• Protokoły SNMPv1 i v2c przesyłają wszystkie informacje dotyczące zarządzania w postaci zwykłego tekstu, co czyni je podatnymi na ataki typu sniffing i spoofing.
• Ograniczona kontrola dostępu prowadzi do słabego rozróżniania użytkowników i niewystarczającej segmentacji zabezpieczeń.

Wraz ze wzrostem liczby połączonych systemów w infrastrukturze przemysłowej i krytycznej, bezpieczne i elastyczne zdalne zarządzanie stało się niezbędne. Protokół SNMPv3 został opracowany specjalnie w celu sprostania tym wyzwaniom.

Podstawowe mechanizmy bezpieczeństwa w protokole SNMPv3

Protokół SNMPv3 stanowi istotną ewolucję w zakresie bezpieczeństwa zarządzania siecią, wprowadzając wiele warstw ochrony, które wspólnie zapewniają poufność, integralność i uwierzytelnianie w całym ruchu zarządzającym. W przeciwieństwie do protokołów SNMPv1/v2c, które przesyłały zwykły tekst i nie oferowały kontroli dostępu, SNMPv3 integruje nowoczesne zasady kryptografii, aby zapobiec manipulacjom lub nieautoryzowanemu dostępowi.

1. Integralność wiadomości

Aby zagwarantować, że dane zarządzania siecią pozostaną niezmienione podczas transmisji, protokół SNMPv3 wykorzystuje kryptograficzne sumy kontrolne (HMAC) do weryfikacji integralności pakietów.

• Urządzenie odbierające przelicza i porównuje skróty wiadomości w celu wykrycia uszkodzenia lub manipulacji.
• Ta kontrola integralności zapewnia, że ​​złośliwe pośrednicy nie mogą wstrzykiwać ani modyfikować poleceń SNMP bez wykrycia.

2. Uwierzytelnianie

Protokół SNMPv3 wykorzystuje uwierzytelnianie na poziomie użytkownika w oparciu o algorytmy HMAC-MD5-96 lub HMAC-SHA-96, co gwarantuje, że wiadomość rzeczywiście pochodzi od uprawnionego administratora.

• Każdemu podmiotowi SNMPv3 przypisywane są klucze uwierzytelniające, co zapobiega podszywaniu się pod inną osobę.
• Urządzenia muszą synchronizować protokoły uwierzytelniania, aby uniknąć niezgodności w walidacji wiadomości.

3. Prywatność (szyfrowanie)

Szyfrowanie chroni przed podsłuchiwaniem pakietów.

• Początkowo używano algorytmu DES-CBC, ale AES stał się nowoczesnym standardem zapewniającym wyższy poziom bezpieczeństwa.
• Szyfrowana jest tylko część komunikatu, czyli jednostka danych protokołu (PDU), co pozwala systemom pośredniczącym na przetwarzanie nagłówków routingu i wersji w razie potrzeby.
• Taka struktura równoważy wydajność i poufność w systemach dużej skali.

4. Ochrona przed powtórzeniem

Protokół SNMPv3 zawiera oparty na czasie mechanizm synchronizacji, który blokuje ataki typu powtórzenie - polegające na przechwyceniu prawidłowego żądania i ponownym jego wysłaniu.

• Każda wiadomość zawiera znacznik czasu i liczbę uruchomień silnika.
• Urządzenia utrzymują okno akceptacji, odrzucając nieaktualne lub zduplikowane wiadomości.
• Jest to szczególnie ważne w systemach rozproszonych lub redundantnych, w których może wystąpić przesunięcie zegara.

5. Zarządzanie użytkownikami i rolami

Protokół SNMPv3 obsługuje elastyczne zarządzanie użytkownikami w dużych sieciach.

• Administratorzy mogą dodawać, usuwać lub modyfikować profile użytkowników i przypisywać unikalne poziomy bezpieczeństwa (noAuthNoPriv, authNoPriv, authPriv).
• USM (User-based Security Model) obsługuje te konta, a VACM (View-based Access Control Model) uzupełnia go o szczegółowe ograniczenia dostępu.
• Taka konstrukcja umożliwia zarządzanie oparte na rolach, w którym inżynierom można przypisywać uprawnienia w oparciu o granice działowe, funkcjonalne lub geograficzne.

6. Rozszerzalność i niezależność transportu

Mechanizmy SNMPv3 są niezależne od protokołu i działają niezależnie od podstawowego transportu (TCP, UDP itp.).

• Można je zintegrować z modelem bezpieczeństwa transportu (TSM) za pomocą TLS/DTLS, wzmacniając bezpieczeństwo zarówno sieci zorientowanych na połączenie, jak i bezpołączeniowych.
• USM obsługuje również przyszłe aktualizacje kryptograficzne, zapewniając stałą zgodność z nowymi standardami, takimi jak rodziny AES-256 lub SHA-2.

Modele bezpieczeństwa SNMPv3

SNMPv3 opiera się na trzech uzupełniających się modelach bezpieczeństwa:

1. Model bezpieczeństwa oparty na użytkowniku (USM - RFC 3414)
   Zapewnia uwierzytelnianie i prywatność na poziomie użytkownika. Administratorzy mogą wybierać spośród wielu poziomów bezpieczeństwa (noAuthNoPriv, authNoPriv, authPriv) zgodnie z wymaganiami polityki.
2. Model kontroli dostępu oparty na widokach (VACM - RFC 3415)
   Definiuje szczegółowe prawa dostępu poprzez grupowanie użytkowników i definiowanie „widoków” MIB. Obsługuje kontrolę opartą na rolach, zapewniając, że tylko autoryzowani użytkownicy mogą przeglądać lub modyfikować określone obiekty danych.
3. Model bezpieczeństwa transportu (TSM - RFC 5591)
   Integruje protokoły TLS i DTLS w celu zapewnienia bezpiecznego szyfrowania warstwy transportowej, umożliwiając uwierzytelnianie za pomocą certyfikatów X.509 i poprawiając wydajność dzięki możliwości wznawiania sesji. Razem modele te zapewniają kompleksową ochronę operacji zarządzania siecią, spełniając najsurowsze wymagania środowisk finansowych, transportowych i przemysłowych.

Lantech OS5: Pełna obsługa SNMPv3 we wszystkich modelach

Platforma Lantech OS5 zapewnia pełną, natywną implementację SNMPv3:

• Wszystkie modele z systemem OS5 standardowo zawierają kompletne zestawy funkcji SNMPv3 - USM, VACM i TSM.
• Brak licencji: Funkcje SNMPv3 są wbudowane w standardowe oprogramowanie układowe.
• Łatwa konfiguracja: Interfejsy CLI i Web UI umożliwiają użytkownikom efektywne włączanie uwierzytelniania, szyfrowania i kontroli dostępu.

Niezależnie od tego, czy zarządzasz dużymi systemami transportowymi, inteligentną infrastrukturą, czy wytrzymałymi sieciami przemysłowymi, Lantech OS5 zapewnia bezpieczną, zgodną ze standardami widoczność i kontrolę sieci dzięki płynnej funkcjonalności SNMPv3.

Dowiedz się więcej o przełącznikach Lantech OS5

Źródło: Lantech Communications Global Inc. Tłumaczenie: Gamma Sp. z o.o.

Gamma Sp. z o.o. jest autoryzowanym dystrybutorem firmy Lantech Communications w Polsce. Zapraszamy do kontaktu z naszym działem handlowym.