Inhaltsverzeichnis
Werbung
Spezifikationen
angeboten. Zusätzlich sind die "HMAC-SHA-2" Varianten (RFC7630) "SHA-256",
"SHA-384" und "SHA-512" implementiert.
"SHA-384" und "SHA-512" werden rein in Software berechnet. Werden auf der
Konfigurationsseite "SHA-384" oder "SHA-512" eingestellt, können einmalig bis zu ca.
45 Sekunden für die Schlüsselerzeugung vergehen.
Verschlüsselung
Die Verfahren "DES", "3DES", "AES-128", "AES-192" und "AES-256" werden in Kombi-
nation mit "HMAC-MD5-96" und "HMAC-SHA-96" unterstützt. Für die "HMAC-SHA-2"
Protokolle gibt es zur Zeit weder ein RFC noch ein Draft, das eine Zusammenarbeit mit
einer Verschlüsselung ermöglicht.
Während bei der Einstellung "AES-192" und "AES-256" die Schlüssel nach "draft-
blumenthal-aes-usm-04" berechnet werden, benutzen die Verfahren "AES-192-
3DESKey" und "AES-256-3DESKey" eine Art der Schlüsselerzeugung, die auch beim
"3DES" ("draft-reeder-snmpv3-usm-3desede-00") eingesetzt wird. Ist man kein SNMP
Experte, empfiehlt es sich, jeweils die Einstellungen mit und ohne "...-3DESKey" aus-
zuprobieren.
Passwörter
Die Passwörter für Authentifizierung und Verschlüsselung sind aus Sicherheitsgründen
nur als berechnete Hashes abgespeichert. So kann, wenn überhaupt, nur sehr schwer
auf das Ausgangspasswort geschlossen werden. Die Berechnung des Hashes ändert
sich aber mit den eingestellten Algorithmen. Werden die Authentication oder Privacy
Algorithmen geändert, müssen im Konfigurationsdialog die Passwörter wieder neu ein-
gegeben werden.
Sicherheit
Folgende Aspekte gibt es zu beachten:
· Sollen Verschlüsselung oder Authentifizierung zum Einsatz kommen, dann SNMP v1
und v2c ausschalten, da sonst darüber auf das Gerät zugegriffen werden kann.
· Wird nur authentifiziert, dann sind die neuen "HMAC-SHA-2" Verfahren den MD5
oder SHA-1 Hashing Algorithmen überlegen. Da nur SHA-256 in Hardware be-
schleunigt wird, und SHA-384 sowie SHA-512 rein in Software berechnet werden,
sollte man im Normalfall SHA-256 auswählen. Vom kryptographischen Standpunkt
reicht die Sicherheit eines SHA-256 zur Zeit vollkommen aus.
· Für SHA-1 gibt es derzeit etwas weniger Angriffsszenarien als für MD5. Im Zweifels-
fall ist SHA-1 vorzuziehen.
· Die Verschlüsselung "DES" gilt als sehr unsicher, nur im Notfall aus Kompatibilitäts-
gründen einsetzen!
· Es gilt bei Kryptologen als umstritten, ob "HMAC-MD5-96" und "HMAC-SHA-96" ge-
nügend Entropie für die Schlüssellängen von "AES-192" oder "AES-256" aufbringen
können.
· Ausgehend von den vorhergehenden Betrachtungen empfehlen wir zur Zeit "HMAC-
SHA-96" mit "AES-128" als Authentifizierung und Verschlüsselung.
Änderung im Trap-Design
In älteren MIB-Tabellen wurde für jede Kombination aus einem Event und einer
Portnummer ein eigener Trap definiert. Dies führt bei den Geräten zu längeren Listen
von Trap-Definitionen. Z.B. von epc8221SwitchEvtPort1 bis epc8221SwitchEv-
tPort12. Da neue Firmwareversionen viel mehr verschiedene Events generieren kön-
Expert Sensor Box 7213/7214
90
© 2023 GUDE Systems GmbH
Werbung
Inhaltsverzeichnis
