Inhaltsverzeichnis
Werbung
Spezifikationen
ble" im Browser als Textdatei angezeigt werden.
SNMP v1 und v2c
SNMP v1 und v2c authentifiziert die Netzwerkanfragen anhand sogenannter "Communi-
ties". Der SNMP-Request muss bei Abfragen (Lesezugriff) die sogenannte "public Com-
munity", und bei Zustandsänderungen (Schreibzugriff) die "private Community" mitsen-
den. Die SNMP-Communities sind Lese- bzw. Schreibpasswörter. Bei den SNMP Ver-
sionen v1 und v2c werden die Communities unverschlüsselt im Netzwerk übertragen und
können innerhalb dieser Kollisionsdomäne also leicht mit IP-Sniffern abgehört werden.
Zur Begrenzung des Zugriffs empfehlen wir den Einsatz innerhalb einer DMZ bzw. die
Verwendung der IP-ACL.
SNMP v3
Da das Gerät keine Mehrbenutzerverwaltung kennt, wird auch in SNMP v3 nur ein Benut-
zer (default name "standard") erkannt. Aus den User-based Security Model (USM) MIB
Variablen gibt es eine Unterstützung der "usmStats..." Zähler. Die "usmUser..." Varia-
blen werden mit der Erweiterung für weitere Nutzer in späteren Firmwareversionen hinzu-
gefügt. Das System kennt nur einen Kontext. Das System akzeptiert den Kontext "nor-
mal" oder einen leeren Kontext.
Authentifizierung
Zur Authentifizierung werden die Algorithmen "HMAC-MD5-96" und "HMAC-SHA-96" an-
geboten. Zusätzlich sind die "HMAC-SHA-2" Varianten (RFC7630) "SHA-256", "SHA-
384" und "SHA-512" implementiert.
"SHA-384" und "SHA-512" werden rein in Software berechnet. Werden auf der Konfi-
gurationsseite "SHA-384" oder "SHA-512" eingestellt, können einmalig bis zu ca. 45
Sekunden für die Schlüsselerzeugung vergehen.
Verschlüsselung
Die Verfahren "DES", "3DES", "AES-128", "AES-192" und "AES-256" werden in Kombi-
nation mit "HMAC-MD5-96" und "HMAC-SHA-96" unterstützt. Für die "HMAC-SHA-2"
Protokolle gibt es zur Zeit weder ein RFC noch ein Draft, das eine Zusammenarbeit mit
einer Verschlüsselung ermöglicht.
Während bei der Einstellung "AES-192" und "AES-256" die Schlüssel nach "draft-
blumenthal-aes-usm-04" berechnet werden, benutzen die Verfahren "AES-192-
3DESKey" und "AES-256-3DESKey" eine Art der Schlüsselerzeugung, die auch beim
"3DES" ("draft-reeder-snmpv3-usm-3desede-00") eingesetzt wird. Ist man kein SNMP
Experte, empfiehlt es sich, jeweils die Einstellungen mit und ohne "...-3DESKey" auszu-
probieren.
Passwörter
Die Passwörter für Authentifizierung und Verschlüsselung sind aus Sicherheitsgründen
nur als berechnete Hashes abgespeichert. So kann, wenn überhaupt, nur sehr schwer
auf das Ausgangspasswort geschlossen werden. Die Berechnung des Hashes ändert
sich aber mit den eingestellten Algorithmen. Werden die Authentication oder Privacy Al-
gorithmen geändert, müssen im Konfigurationsdialog die Passwörter wieder neu einge-
geben werden.
Expert Power Control 1202/1292
© 2017 Gude Analog- und Digitalsysteme GmbH
64
Quicklinks ausblenden:
Werbung
Inhaltsverzeichnis
