MANAJEMEN JARINGAN KOMPUTER

“SNMPv3 Network Management”

OLEH:
ARIF PAMUJI 5302418023

FAKULTAS TEKNIK
UNIVERSITAS NEGERI SEMARANG
2020
 SNMPv3
SNMPv2 dirilis, setelah banyak kontroversi, sebagai kerangka kerja SNMP berbasis
komunitas, SNMPv2C, tanpa ada peningkatan keamanan. SNMPv3 kemudian dikembangkan.
untuk memenuhi kebutuhan itu dalam manajemen SNMP.

Untungnya, SNMPv3 akhirnya menangani lebih dari sekedar keamanan. Ini adalah kerangka
kerja untuk ketiga versi SNMP. Ini dirancang untuk mengakomodasi pengembangan
manajemen SNMP di masa depan dengan dampak minimal bagi entitas manajemen yang ada.
Arsitektur dan dokumentasi modular telah diusulkan untuk mencapai tujuan ini.

Kumpulan dokumentasi tambahan terbesar [RFC 3410-3418; 3584) yang merinci spesifikasi
SNMPv3 diuraikan dalam RFC yang tercantum di bawah ini. Terdiri dari, standar yang
diadopsi IETF STD 62.

SNMPv3 RFCs

- RFC 3410 Pendahuluan dan Pernyataan Penerapan (bukan STD)

- RFC 3411 Arsitektur untuk Menjelaskan Kerangka Kerja Manajemen SNMP
- RFC 3412 Pemrosesan dan Pengiriman Pesan untuk SNMP
- RFC 3410 Pengantar dan Penerapan Pernyataan (bukan STD)
- RFC 3413 Aplikasi SNMPv3
- RFC 3414 Model Keamanan Berbasis Pengguna (USM) untuk SNMPv3
- RFC 3415 Model Kontrol Akses Berbasis View untuk SNMP
- RFC 3416 Versi 2 dari Operasi Protokol untuk SNMP
- RFC 3417 Pemetaan Transportasi untuk SNMP
- RFC 3418 MIB untuk SNMP
- RFC 3584 SNMPv3 Koeksistensi dan Transisi (BCP (Best Current Practices) 74)

RFC 3410 memberikan gambaran umum tentang SNMPv3 Framework.

RFC 3411 menyajikan gambaran umum tentang SNMPv3. Ini mendefinisikan kosakata untuk
menggambarkan Kerangka Kerja Manajemen SNMP dan arsitektur untuk menggambarkan
bagian utama Kerangka Kerja Manajemen SNMP.

RFC 3412 menjelaskan pemrosesan dan pengiriman pesan untuk pesan SNMP. Prosedur
ditentukan untuk memproses beberapa versi pesan SNMP ke SNMP Message Processing
Model (MPM) yang tepat dan untuk mengirimkan unit data paket (PDU) ke aplikasi SNMP.
MPM baru untuk versi 3 diusulkan dalam dokumen ini.

RFC 3413 mendefinisikan lima jenis aplikasi SNMP: generator perintah, penerima perintah,
pengirim pemberitahuan, penerima pemberitahuan, dan penerusan proxy. Ini juga
mendefinisikan modul Basis Informasi Manajemen (MIB) untuk menentukan target operasi
manajemen, untuk penyaringan pemberitahuan dan untuk penerusan proxy.
RFC 3414 membahas Model keamanan berbasis pengguna (USM) untuk SNMPv3 dan
menetapkan prosedur untuk menyediakan keamanan tingkat pesan SNMP. MIB untuk
pemantauan jarak jauh dan parameter konfigurasi pengelolaan juga ditentukan.

RFC 3415 terkait dengan Model Kontrol Akses yang berkaitan dengan prosedur untuk
mengontrol akses informasi manajemen. MIB ditentukan untuk mengelola parameter
konfigurasi dari jarak jauh untuk model kontrol akses berbasis tampilan (VACM).

RFG 3416 mendefinisikan sintaksis versi 2 dan prosedur untuk mengirim, menerima, dan
memproses SNMP PDUs.

RFC 3417 mendefinisikan pengangkutan pesan SNMP melalui berbagai protokol.

RFC 3418 menggambarkan perilaku entitas SNMP usang RFC 1907 MIB untuk SNMPv2.

RFC 3584 menjelaskan koeksistensi SNMPv3, SNMPv2, dan SNMPv1. Ini juga menjelaskan
haluan untuk mengkonversi modul MIB dari format SMIv1 ke format SMlv2.

Fitur Utama SNMPv3

Salah satu fitur utama SNMPv3 adalah modularisasi arsitektur dan dokumentasi. Desain
arsitektur mengintegrasikan ion spesifik SNMPvI dan SNMPv2 dengan SNMPv3 yang baru
diusulkan. Ini memungkinkan kelanjutan penggunaan entitas SNMP lama bersama dengan
agen dan manajer SNMPv3. Itu adalah kabar baik karena ada puluhan ribu agen SNMPvl dan
SNMPv2 di lapangan.

Mesin SNMP didefinisikan dengan subsistem eksplisit yang mencakup fungsi pengiriman
dan pemrosesan pesan. Ia mengelola semua versi SNMP untuk hidup berdampingan dalam
entitas manajemen. Layanan aplikasi dan primitif telah secara eksplisit didefinisikan dalam
SNMPv3. Ini memformalkan berbagai pesan yang ada di versi sebelumnya.

Fitur utama lainnya adalah fitur keamanan yang ditingkatkan. Konfigurasi dapat diatur dari
jarak jauh dengan komunikasi aman yang melindungi modifikasi informasi dan penyamaran
dengan menggunakan skema enkripsi. Itu juga mencoba untuk memastikan terhadap
modifikasi pesan yang jahat dengan menata ulang dan menunda waktu aliran pesan, serta
melindungi terhadap menguping pesan.

Kebijakan akses yang digunakan dalam SNMPv1 dan SNMPv2 dilanjutkan dan diformalkan
dalam kontrol akses di SNMPv3, yang ditunjuk VACM. Mesin SNMP yang didefinisikan
dalam arsitektur memeriksa apakah jenis akses tertentu (read, write, create, notify) ke objek
tertentu (instence) diperbolehkan.

Arsitektur Dokumentasi SNMPv3

Sejumlah dokumen SNMP telah diselenggarakan oleh IETF untuk mengikuti arsitektur
dokumen. arsitektur dokumen SNMP membahas bagaimana dokumen yang ada dan dokumen
baru dapat dirancang untuk menjadi otonom dan. 8t bersamaan. diintegrasikan untuk
menggambarkan kerangka kerja SNMP yang berbeda. Representasi yang ditunjukkan pada
Gambar dibawah mencerminkan isi spesifikasi, tetapi ini adalah perspektif lain dari apa yang
diberikan dalam RFC (3410).

SNMP Documentation [Recommended in SNMPv3)

SNMP Architecture

 Terdistribusi, berinteraksi koleksi entitas SNMP

 Entitas SNMP mengimplementasikan sebagian dari kemampuan SNMP:
o Bertindak baik sebagai agen atau manajer atau keduanya
 Kumpulan modul yang saling berinteraksi untuk memberikan layanan
Keuntungan:

 Peran entitas SNMP ditentukan oleh modul yang diterapkan dalam entitas itu
o Set modul tertentu diperlukan untuk agen, sementara set berbeda diperlukan
untuk manajer
 Subsistem keamanan menyediakan layanan seperti otentikasi dan privasi pesan
o Beberapa model keamanan dapat hidup berdampingan
 Serangkaian layanan otorisasi yang dapat digunakan aplikasi untuk memeriksa hak
akses
o Kontrol akses

SNMP Engine ID

 Setiap mesin SNMP memiliki ID unik: snmpEngineID

 Acme Networks {enterprise 696}
 SNMPv1 snmpEngineID ‘000002b8’H
 SNMPv3 snmpEngineID ‘800002b8’H (oktet pertama adalah 1000 0000)

Abstract Service Interface

 Antarmuka layanan abstrak adalah antarmuka konseptual antara modul, independen

dari implementasi
 Mendefinisikan seperangkat primitif
  Primitif yang terkait dengan entitas penerima kecuali Dispatcher
 Primitif operator terkait
o pesan ke dan dari aplikasi
o mendaftar dan berhenti mendaftar modul aplikasi
o mengirim dan menerima pesan dari jaringan
 Parameter IN dan OUT
 Informasi status / hasil

SendPDU Primitive

 permintaan sendPdu yang dikirim oleh modul aplikasi, generator perintah, dikaitkan
dengan modul penerima, dispatcher
 Setelah pesan dikirim melalui jaringan, operator mengirimkan gagang ke generator
perintah untuk melacak respons
 sendPdu adalah parameter IN
 sendPduHandle adalah parameter OUT, ditampilkan sebagai digabungkan ke
parameter IN

Command Generator

Command Generator:

1. Periksa parameter dari PDU yang diterima dan cocokkan / bandingkan dengan salinan
yang di-cache (model / level / nama keamanan, contextName, dll.). Jika bukan
matematika, pesan akan dibuang
2. Periksa PDU yang diterima (periksa id-permintaan, dll.)
3. jika semua baik-baik saja, lalu ambil tindakan
Command Responder

Responder Perintah:
1. memeriksa konten permintaan PDU. Periksa apakah objek sudah terdaftar
dengan responden
2. apakah Akses Diizinkan dipanggil (untuk menentukan apakah objek dapat
diakses oleh kepala sekolah yang mengajukan permintaan)
 periksa tingkat keamanan
3. jika akses diizinkan, siapkan respons.
SNMPv3 MIB

 snmp Framework MIB menjelaskan arsitektur manajemen SNMP

 snmp MPD MIB mengidentifikasi objek dalam subsistem pemrosesan pesan dan
pengiriman
 snmp Target MIB dan snmpNotificationMIB digunakan untuk pembuatan notifikasi
 snmp Proxy MIB mendefinisikan tabel terjemahan untuk penerusan proxy
 snmp Us MIB mendefinisikan objek model keamanan berbasis pengguna
 snmp Vacm MIB mendefinisikan objek untuk kontrol akses berbasis tampilan

SNMPv3 Target MIB

 Target MIB berisi dua tabel

 Tabel alamat target berisi alamat target untuk notifikasi (lihat grup notifikasi)
 Tabel alamat target juga berisi informasi untuk menetapkan parameter transportasi
 Tabel alamat target berisi referensi ke tabel kedua, tabel parameter target
 Tabel parameter target berisi parameter keamanan untuk otentikasi dan privasi
SNMPv3 Notification MIB

 Grup pemberitahuan berisi tiga tabel

 Tabel notify berisi grup target manajemen untuk menerima notifikasi dan jenis
notifikasi
 Alamat target untuk menerima pemberitahuan yang tercantum dalam tabel alamat
target (lihat grup target) ditandai di sini
 Tabel profil pemberitahuan menetapkan profil filter yang terkait dengan parameter
target
 Tabel filter pemberitahuan berisi profil tabel target

Security Threats

 Modifikasi informasi: Konten yang dimodifikasi oleh pengguna yang tidak sah, tidak
termasuk perubahan alamat
 Masquerade: perubahan alamat asal oleh pengguna yang tidak sah
 Fragmen pesan diubah oleh pengguna yang tidak sah untuk mengubah arti pesan
 Pengungkapan menguping
  Pengungkapan tidak membutuhkan intersepsi pesan
 Penolakan layanan dan analisis lalu lintas tidak dianggap sebagai ancaman

Security Services

 Autentikasi
o Integritas data:
 HMAC-MD5-96 / HMAC-SHA-96
o Otentikasi asal data
 Tambahkan pesan Pengidentifikasi unik yang terkait dengan mesin
SNMP otoritatif
 Privasi / kerahasiaan:
o Enkripsi
 Ketepatan waktu:
o ID Engine Resmi, Jumlah mesin menyala dan waktu dalam detik.

SNMPv3 Message Format

User-Based Security Model

 Berdasarkan konsep nama pengguna tradisional

 Primitif USM di seluruh antarmuka layanan abstrak
o Primitif layanan otentikasi
 authenticateOutgoingMsg
 authenticateIncomingMsg
o Layanan Privasi
 mengenkripsi data
 decryptData

Secure Outgoing Message

Secure Incoming Message

Privacy Module

 Enkripsi dan dekripsi PDU scoped (ID mesin konteks, nama konteks, dan PDU)
 Protokol simetris CBC - DES (Cipher Block Chaining - Standard Encryption Data)
 Kunci enkripsi (dan vektor inisialisasi) terdiri dari kunci rahasia (kata sandi
pengguna), dan nilai ketepatan waktu
 Parameter privasi adalah nilai garam (unik untuk setiap paket) di CBC-DES

Authentication Key

 Kunci rahasia untuk otentikasi

 Berasal dari kata sandi pengguna (NMS)
 Algoritma MD5 atau SHA-1 digunakan
 Kunci otentikasi adalah digest2

Encryption Protocol
Access Control

Model Kontrol Akses Berbasis Tampilan

 Grup: Nama grup yang terdiri dari model keamanan dan nama keamanan: Dalam
SNMPv1, adalah nama komunitas
 Tingkat keamanan
o tanpa otentikasi - tanpa privasi
o otentikasi - tidak ada privasi
o otentikasi - privasi
 Konteks: Nama konteksnya
 Tampilan MIB dan Lihat Keluarga
o Tampilan MIB adalah kombinasi dari sub tampilan tampilan
 Kebijakan Akses
o baca-lihat
o tulis-lihat
o beri tahu-lihat
o tidak dapat diakses