OLEH:
ARIF PAMUJI 5302418023
FAKULTAS TEKNIK
UNIVERSITAS NEGERI SEMARANG
2020
SNMPv3
SNMPv2 dirilis, setelah banyak kontroversi, sebagai kerangka kerja SNMP berbasis
komunitas, SNMPv2C, tanpa ada peningkatan keamanan. SNMPv3 kemudian dikembangkan.
untuk memenuhi kebutuhan itu dalam manajemen SNMP.
Untungnya, SNMPv3 akhirnya menangani lebih dari sekedar keamanan. Ini adalah kerangka
kerja untuk ketiga versi SNMP. Ini dirancang untuk mengakomodasi pengembangan
manajemen SNMP di masa depan dengan dampak minimal bagi entitas manajemen yang ada.
Arsitektur dan dokumentasi modular telah diusulkan untuk mencapai tujuan ini.
Kumpulan dokumentasi tambahan terbesar [RFC 3410-3418; 3584) yang merinci spesifikasi
SNMPv3 diuraikan dalam RFC yang tercantum di bawah ini. Terdiri dari, standar yang
diadopsi IETF STD 62.
SNMPv3 RFCs
RFC 3411 menyajikan gambaran umum tentang SNMPv3. Ini mendefinisikan kosakata untuk
menggambarkan Kerangka Kerja Manajemen SNMP dan arsitektur untuk menggambarkan
bagian utama Kerangka Kerja Manajemen SNMP.
RFC 3412 menjelaskan pemrosesan dan pengiriman pesan untuk pesan SNMP. Prosedur
ditentukan untuk memproses beberapa versi pesan SNMP ke SNMP Message Processing
Model (MPM) yang tepat dan untuk mengirimkan unit data paket (PDU) ke aplikasi SNMP.
MPM baru untuk versi 3 diusulkan dalam dokumen ini.
RFC 3413 mendefinisikan lima jenis aplikasi SNMP: generator perintah, penerima perintah,
pengirim pemberitahuan, penerima pemberitahuan, dan penerusan proxy. Ini juga
mendefinisikan modul Basis Informasi Manajemen (MIB) untuk menentukan target operasi
manajemen, untuk penyaringan pemberitahuan dan untuk penerusan proxy.
RFC 3414 membahas Model keamanan berbasis pengguna (USM) untuk SNMPv3 dan
menetapkan prosedur untuk menyediakan keamanan tingkat pesan SNMP. MIB untuk
pemantauan jarak jauh dan parameter konfigurasi pengelolaan juga ditentukan.
RFC 3415 terkait dengan Model Kontrol Akses yang berkaitan dengan prosedur untuk
mengontrol akses informasi manajemen. MIB ditentukan untuk mengelola parameter
konfigurasi dari jarak jauh untuk model kontrol akses berbasis tampilan (VACM).
RFG 3416 mendefinisikan sintaksis versi 2 dan prosedur untuk mengirim, menerima, dan
memproses SNMP PDUs.
RFC 3418 menggambarkan perilaku entitas SNMP usang RFC 1907 MIB untuk SNMPv2.
RFC 3584 menjelaskan koeksistensi SNMPv3, SNMPv2, dan SNMPv1. Ini juga menjelaskan
haluan untuk mengkonversi modul MIB dari format SMIv1 ke format SMlv2.
Salah satu fitur utama SNMPv3 adalah modularisasi arsitektur dan dokumentasi. Desain
arsitektur mengintegrasikan ion spesifik SNMPvI dan SNMPv2 dengan SNMPv3 yang baru
diusulkan. Ini memungkinkan kelanjutan penggunaan entitas SNMP lama bersama dengan
agen dan manajer SNMPv3. Itu adalah kabar baik karena ada puluhan ribu agen SNMPvl dan
SNMPv2 di lapangan.
Mesin SNMP didefinisikan dengan subsistem eksplisit yang mencakup fungsi pengiriman
dan pemrosesan pesan. Ia mengelola semua versi SNMP untuk hidup berdampingan dalam
entitas manajemen. Layanan aplikasi dan primitif telah secara eksplisit didefinisikan dalam
SNMPv3. Ini memformalkan berbagai pesan yang ada di versi sebelumnya.
Fitur utama lainnya adalah fitur keamanan yang ditingkatkan. Konfigurasi dapat diatur dari
jarak jauh dengan komunikasi aman yang melindungi modifikasi informasi dan penyamaran
dengan menggunakan skema enkripsi. Itu juga mencoba untuk memastikan terhadap
modifikasi pesan yang jahat dengan menata ulang dan menunda waktu aliran pesan, serta
melindungi terhadap menguping pesan.
Kebijakan akses yang digunakan dalam SNMPv1 dan SNMPv2 dilanjutkan dan diformalkan
dalam kontrol akses di SNMPv3, yang ditunjuk VACM. Mesin SNMP yang didefinisikan
dalam arsitektur memeriksa apakah jenis akses tertentu (read, write, create, notify) ke objek
tertentu (instence) diperbolehkan.
Sejumlah dokumen SNMP telah diselenggarakan oleh IETF untuk mengikuti arsitektur
dokumen. arsitektur dokumen SNMP membahas bagaimana dokumen yang ada dan dokumen
baru dapat dirancang untuk menjadi otonom dan. 8t bersamaan. diintegrasikan untuk
menggambarkan kerangka kerja SNMP yang berbeda. Representasi yang ditunjukkan pada
Gambar dibawah mencerminkan isi spesifikasi, tetapi ini adalah perspektif lain dari apa yang
diberikan dalam RFC (3410).
SNMP Architecture
Peran entitas SNMP ditentukan oleh modul yang diterapkan dalam entitas itu
o Set modul tertentu diperlukan untuk agen, sementara set berbeda diperlukan
untuk manajer
Subsistem keamanan menyediakan layanan seperti otentikasi dan privasi pesan
o Beberapa model keamanan dapat hidup berdampingan
Serangkaian layanan otorisasi yang dapat digunakan aplikasi untuk memeriksa hak
akses
o Kontrol akses
SNMP Engine ID
SendPDU Primitive
permintaan sendPdu yang dikirim oleh modul aplikasi, generator perintah, dikaitkan
dengan modul penerima, dispatcher
Setelah pesan dikirim melalui jaringan, operator mengirimkan gagang ke generator
perintah untuk melacak respons
sendPdu adalah parameter IN
sendPduHandle adalah parameter OUT, ditampilkan sebagai digabungkan ke
parameter IN
Command Generator
Command Generator:
1. Periksa parameter dari PDU yang diterima dan cocokkan / bandingkan dengan salinan
yang di-cache (model / level / nama keamanan, contextName, dll.). Jika bukan
matematika, pesan akan dibuang
2. Periksa PDU yang diterima (periksa id-permintaan, dll.)
3. jika semua baik-baik saja, lalu ambil tindakan
Command Responder
Responder Perintah:
1. memeriksa konten permintaan PDU. Periksa apakah objek sudah terdaftar
dengan responden
2. apakah Akses Diizinkan dipanggil (untuk menentukan apakah objek dapat
diakses oleh kepala sekolah yang mengajukan permintaan)
periksa tingkat keamanan
3. jika akses diizinkan, siapkan respons.
SNMPv3 MIB
Security Threats
Modifikasi informasi: Konten yang dimodifikasi oleh pengguna yang tidak sah, tidak
termasuk perubahan alamat
Masquerade: perubahan alamat asal oleh pengguna yang tidak sah
Fragmen pesan diubah oleh pengguna yang tidak sah untuk mengubah arti pesan
Pengungkapan menguping
Pengungkapan tidak membutuhkan intersepsi pesan
Penolakan layanan dan analisis lalu lintas tidak dianggap sebagai ancaman
Security Services
Autentikasi
o Integritas data:
HMAC-MD5-96 / HMAC-SHA-96
o Otentikasi asal data
Tambahkan pesan Pengidentifikasi unik yang terkait dengan mesin
SNMP otoritatif
Privasi / kerahasiaan:
o Enkripsi
Ketepatan waktu:
o ID Engine Resmi, Jumlah mesin menyala dan waktu dalam detik.
Privacy Module
Enkripsi dan dekripsi PDU scoped (ID mesin konteks, nama konteks, dan PDU)
Protokol simetris CBC - DES (Cipher Block Chaining - Standard Encryption Data)
Kunci enkripsi (dan vektor inisialisasi) terdiri dari kunci rahasia (kata sandi
pengguna), dan nilai ketepatan waktu
Parameter privasi adalah nilai garam (unik untuk setiap paket) di CBC-DES
Authentication Key
Encryption Protocol
Access Control
Grup: Nama grup yang terdiri dari model keamanan dan nama keamanan: Dalam
SNMPv1, adalah nama komunitas
Tingkat keamanan
o tanpa otentikasi - tanpa privasi
o otentikasi - tidak ada privasi
o otentikasi - privasi
Konteks: Nama konteksnya
Tampilan MIB dan Lihat Keluarga
o Tampilan MIB adalah kombinasi dari sub tampilan tampilan
Kebijakan Akses
o baca-lihat
o tulis-lihat
o beri tahu-lihat
o tidak dapat diakses