1

Chap 10. Chap 10. 네크워크 관리 정보보호네크워크 관리 정보보호

2

목 차목 차1. SNMP 1. SNMP 기본 개념기본 개념2. SNMPv1 2. SNMPv1 공유 집단 설비공유 집단 설비3. SNMPv2 3. SNMPv2 정보보호 설비정보보호 설비

3

네트워크 규모의 확대네트워크 규모의 확대 경향경향

• 네트워크와 네트워크에 관련된 자원과 분산 응용들은 조직에 있어 반드시 필요한 것으로 인식

• 보다 많은 일들이 네트워크나 네트워크의 일부분을 잘못 또는 무력하게 하거나 아니면 그 성능을 심각한 수준으로 떨어뜨릴 수 있다 .

특징특징• 대규모 네트워크는 하나로 통합되기 힘듦

• 한 사람의 노력으로 운용되기 힘듦

요구 사항요구 사항• 시스템의 복잡성으로 인해 자동화된 네트워크 관리 도구를 요구하게 됨

• 관리의 편리성과 효율성을 높이기 위해 네트워크 관리에 대한 표준안 개발

4

1. SNMP(1. SNMP(Simple Network Simple Network

Management protocolManagement protocol)) 의 기본개념의 기본개념 개요개요

점점 복잡한 환경에서 네트워크를 관리하기 위해 만들어진 표준안점점 복잡한 환경에서 네트워크를 관리하기 위해 만들어진 표준안

현제 가장 널리 사용되고 있는 표준현제 가장 널리 사용되고 있는 표준

19881988 년에 최초 발표년에 최초 발표

서비스서비스 , , 프로토콜프로토콜 , , 관리에 관한 정보 베이스 담당관리에 관한 정보 베이스 담당

5

구성 요소구성 요소• 관리 스테이션

– 네트워크 대행자와 네트워크 관리 시스템간의 인터페이스 역할

• 관리 대행자– 주요 기반 시설 ( 호스트 , 브리지 , 라우터 , 허브 ) 을 관리 스테이션이 관리 할 수 있도록 SNMP

와 묶는 역할

• 관리 정보 베이스 (MIB: management Information Base)– 모든 자원은 객체로 표현되며 , 이러한 객체들을 집합을 MIB 라 한다 .

• 네트워크 관리 프로토콜– 관리 스테이션과 대행자를 연결시켜 주는 기능

– TCP/IP 네트춰크 관리에 사용되는 프로토콜은 SNMP 이다 .

» 관리 스테이션이 대행자에 있는 객체를 검색 및 설정하도록 도와 줌 : Get, Set

» 대행자가 특정 EVENT 에 대해 관리 스테이션에게 통보할 수 있게 해줌 : Trap

6

개요개요• 응용 레벨 프로토콜이 TCP/IP 프로토콜 수행자의 일부분이 되도록 설계

– UDP 상에서 운영

• 관리자 프로세스 => SNMP 를 사용– 중앙 MIB 에 대한 엑세스 제어 및 네트워크 관리자에 대한 인터페이스 제공

• 대행자 프로세스– SNMP 의 메시지를 해석하고 대행자의 MIB 를 제어

그림 그림 10.1 - SNMP 10.1 - SNMP 프로토콜 환경프로토콜 환경• 관리 응용 동작의 세 가지 유형

– GetRequest, GetNextRequest, SetRequest : GET 과 SET 의 변형

• 대행자– 관리자 -> 관리 응용까지의 GetRespones 전달– MIB 와 현재 관리된 자원에 영향을 준 사건에 대한 trap 메시지 전달

7

그림 그림 10.1 SNMP 10.1 SNMP 역할역할 (455)(455)

SNMP SNMP 관리 스테이션 관리 스테이션 SNMP SNMP 대행자대행자

관리 응용관리 응용

GerR

equest

SNMP 관리자UDP

Tra

pGetR

esponse

SetR

equestG

etNextR

equest

IP

관리된 자원

네트워크 - 종속프로토콜

GerR

equest

SNMP 대행자UDP

Tra

pGetR

esponse

SetR

equestG

etNextR

equest

IP

네트워크 - 종속프로토콜

SNMP 관리된 객체

네트워크 또는 인터넷

응용 메시지 객체

SNMP 메시지

8

SNMP SNMP 기본 개념 기본 개념 - Proxies- Proxies

SNMPv1SNMPv1• 관리스테이션은 물론 모든 대행자는 UDP 와 IP 를 지원해야 함 .

• SNMPv1 를 구현하지 못하는 장치들을 수용하기 위하여 대리인 개념 개발

• SNMP 대행자가 하나 또는 그 이상의 장치에 대해 대리인 처럼 동작

그림 그림 10.2 10.2 설명설명• 관리 스테이션 -> 해당 대리 대행자에게 장치에 관한 질의를 보냄

• 대리 대행자 -> 각 질의를 장치에 의해 사용되는 관리 프로토콜로 변환

• 대행자 -> 대리 대행자에게 응답를 보냄

• 대리 대행자 -> 관리 스테이션으로 응답을 보냄– 장치 -> 대리인에게 어떤 종류의 사건 통지

– 대리인 -> 트랩 메시지 형태로 관리 스테이션에 통보

9

그림 그림 10.2 10.2 대리인 구성대리인 구성 (456)(456)

관리자 처리

SNMP

UDP

IP

네트워크 - 종속 프로토콜

관리 스테이션 대리인 대행자대리된 장치

SNMP

UDP

IP

네트워크 - 종속 프로토콜

매핑 기능

네트워크 - 종속 프로토콜

대리된 장치에의해 사용된 프로토콜 구조

대행자 프로세스 관리자 프로세스

대리된 장치에 의해 사용된 프로토콜 구조

네트워크 - 종속 프로토콜

10

SNMPv2SNMPv2• TCP/IP 프로토콜 뿐만 아니라 다른 여러 가지 프로토콜 사용도 가능하게 함

– SNMPv2 는 OSI 프로토콜에서 실행되게 설계– 다양한 네트워크 구성을 관리할 수 있도록 사용되어짐

• SNMPv2 를 실행할 수 없는 모든 장치들은 오직 대리인 방법을 통해 관리– SNMPv1 역시 여기에 해당

» 장치에서 SNMPv1 용 소프트웨어 실행» SNMPv2 관리자로부터 SNMPv2 대행자와 SNMPv1 대행자

소프트웨어를 실행할 수 있는 대리인 장치에 의해 실행• SNMPv2 는 대리인 장치들이 SNMPv2 를 지원하는 고유의 대리인 관계를 지원

– SNMPv2 대행자는 대행자로서 활동하고 있는 SNMPv2 노드와 통신– 대행자로서 활동하던 노드들은 대리인 장치로 움직이기 위해 대행자처럼 행동

• 사용자 계층을 형성하고 네트워크 관리 시스템을 분산시키는 것을 가능하게 함

11

SNMP SNMP 기본 개념 기본 개념 -SNMPv2-SNMPv2

기존의 기존의 SNMPSNMP 의 단점의 단점 분산 네트워크 관리의 지원 부족분산 네트워크 관리의 지원 부족 기능적인 결함기능적인 결함 정보보호 결함정보보호 결함

장점 장점 - - 간단성간단성 기본적인 네트워크 관리 도구의 세트가 쉽다기본적인 네트워크 관리 도구의 세트가 쉽다 ..

구성이 간편한 패키지 제공구성이 간편한 패키지 제공 기존의 기존의 SNMPSNMP 의 문제점 개선의 문제점 개선

12

분산 네트워크 관리분산 네트워크 관리• 중앙 집중형 네트워크 관리 방법과 분산 네트워크 관리 방법 지원• 각 관리자간의 확인된 사실 통보가 가능• M2M MIB 를 통해 상위 및 하위 관리자간의 통신 지원

– 경보 그룹 : MIB 내에서 객체를 감시 , 기준값을 초과하는 객체에 대한 경고– 사건 그룹 : 사건의 설명과 구성을 위한 객체들의 모음

» 공고 발생 : 경보 그룹과 기준값이 교차되는 경우 및 망의 이상 발생시 생성

사건과 경보를 통한 네트워크 관리 예사건과 경보를 통한 네트워크 관리 예• 망에 대한 에러를 갖는 패킷율이 기준값을 넘게되면 망의 결함 표시

– 만약 LAN 에 많은 트래픽이 발생되어 기준값을 초과하게되면 , 응답시간의 로드가 불안전하게 됨

– 관리 스테이션이 경보를 울리게 됨

13

기능적인 향상기능적인 향상• 간단한 명령어를 통한 네트워크 관리가 가능

GET 명령어에 나타난 각 객체에 대하여 해당 객체의 값을 돌려줌 관리자 -> 대리인 0 0

GETNEXT 명령어에 나타난 각 객체에 대하여 MIB 에 있는 다음 객체 값 RETURN 관리자 -> 대리인 0 0

GETBULK 명령어에 나타난 각 객체에 대하여MIB 에 있는 다음 N 객체 값 RETURN 관리자 -> 대리인

0

SET 객체에 대해 대응되는 값 할당 관리자 -> 대리인 0

0

TRAP 의뢰받지 않은 정보 전송 대리인 -> 관리자 0 0

INFORM 의뢰받지 않은 정보 전송 관리자 -> 대리인 0

Response 관리자의 요구에 응답 대리인 -> 관리자 0 0

명령어 설명 방향 명령어 설명 방향 SNMPv1 SNMPv1 SNMPv2 SNMPv2

14

정보보호 향상정보보호 향상 SNMPv1SNMPv1 은 정보보호에 있어 취약점을 가지고 있었음은 정보보호에 있어 취약점을 가지고 있었음

• 권한이 없는 제 3자가 관리자인것처럼 위장할 수 있음

• 대리인이 GET 과 SET 을 운영하는 것을 막을 방법이 없다 . – 네트워크 감시를 위한 기준값 설정 및 구성을 방해

• 오직 엑세스 제어만이 가능

SNMPv2SNMPv2 에서 추가된 정보보호 특징에서 추가된 정보보호 특징• 인증 : 메시지 및 사용자 인증 가능

• 프라이버시 : 도청으로부터 전송된 데이터의 보호 , 프라이버시는 SNMP 메시지를 암호화함으로서 획득된다 .

15

2. SNMPv2 2. SNMPv2 공유 집단 설비공유 집단 설비 - - 공유 공유 집단과 공유 집단 명집단과 공유 집단 명

대행자 대행자 로컬 로컬 MIBMIB 관리관리 , , 관리자의 관리자의 MIBMIB 사용 범위 및 방법 제어사용 범위 및 방법 제어

• 인증 서비스 : 오직 권한을 부여한 관리자만이 액세스를 제어한다 .

• 액세스 방법 : 관리자에 따라 서로 다른 액세스 권한 부여

• 대리인 서비스 : 대행자는 다른 대행자에게 대리인으로 행동할 수 있다 .

공유 집단공유 집단• SNMP 대행자와 SNMP 관리자 집합간의 관계를 의미

• 대행자는 공유 집단에 대해 인증 , 액세스 제어 , 대리인 특성에 대한 조합 확립

공유 집단 명공유 집단 명• 각 공유 집단은 단일의 집단 이름을 써야 한다 .

16

SNMPv2 SNMPv2 공유 집단 설비공유 집단 설비 - - 인증 서비스인증 서비스

SNMPv1SNMPv1 메시지의 출처와 수령인을 확인하는 기능을 가지고 있음메시지의 출처와 수령인을 확인하는 기능을 가지고 있음 인증을 이해 약한 구조를 제공인증을 이해 약한 구조를 제공

• 관리자 -> 대행자로 가는 모든 메시지는 집단의 이름을 보유 : 패스워드 역할• 발송인이 패스워드를 알면 메시지는 인증된 것으로 가정

인증의 제한된 형식인증의 제한된 형식 네트워크를 감시하는 네트워크를 감시하는 GETGET 과 과 TRAP TRAP 동작만 허용동작만 허용 SET SET 동작을 통한 네트워크 제어동작을 통한 네트워크 제어

• 아주 세밀한 영역• 패스워드를 검사하는 단순 기능에서 암호 / 복호를 사용하는 안전한 인증

기능을 제공할 수 있다 .

17

SNMPv2 SNMPv2 공유 집단 설비공유 집단 설비 - - 엑세스 방법엑세스 방법

대행자의 액세스 제어 대행자의 액세스 제어 관리자 집합에 대한 액세스를 자신의 관리자 집합에 대한 액세스를 자신의 MIBMIB 에 제한에 제한

서로 다른 관리자에게 서로 다른 서로 다른 관리자에게 서로 다른 MIBMIB 의 종류 제공의 종류 제공

SNMP MIB SNMP MIB 뷰 뷰 : MIB: MIB 에 있는 객체의 서브 셋으로 각 공유 집단 별로 에 있는 객체의 서브 셋으로 각 공유 집단 별로

제공할 수 있다제공할 수 있다 . .

SNMP SNMP 액세스 모드를 통해 규정된 액세스 모드를 통해 규정된 MIB MIB 서브 셋의 접근을 통제한다서브 셋의 접근을 통제한다 . .

• 동일한 VIEW 상에서는 동일한 액세스 모드를 갖는다 .

• 종류 : READ-ONLY, READ-WRITE

18

그림 그림 10.5 10.5 관리적인 개념관리적인 개념 (464)(464)

SNMP대행자

Set of SNMP SNMP SNMP관리자 MIB 관점 액세스 모드

SNMP 공동체( 공동체 이름 )

SNMP공동체 프로필

SNMP 액세스 정책

19

3. SNMPv2 3. SNMPv2 정보보호 설비 정보보호 설비 -- 위협 요소위협 요소

노출노출• 패스워드를 바꾸는 SET 명령의 관찰을 통해 새로운 패스워드를 알 수 있다 .

정당한 사용자로의 가장정당한 사용자로의 가장• 엔티티에 대한 관리 운영자인 것처럼 위장

메시지 내용의 변경메시지 내용의 변경 메시지 순서와 시간 조정메시지 순서와 시간 조정

• 재정열 , 지연 , 비 권한 운영을 통해 가능

서비스 부인서비스 부인• 관리자와 대행자간의 정보 교환을 막을 수 있다 .

트래픽 분석트래픽 분석• 관리자와 대행자간의 일반적인 트래픽 흐름을 파악할 수 있다 .

상기 상기 44가지는 확인된 사실이며가지는 확인된 사실이며 , , 나머지는 확인 중에 있다나머지는 확인 중에 있다 . .

20

SNMPv2 SNMPv2 정보보호 설비 정보보호 설비 -- 서비스서비스

프라이버시프라이버시• 엿듣기나 도청으로부터 전송 데이터 보호

• 오직 지정된 수신자만이 원 메시지를 복구하는 것이 가능해야 함

인증인증• 데이터의 무결성과 송수신자의 무결성이 보장되어야 한다 .

액세스 제어액세스 제어• 인증된 사용자만이 특정 관리 정보 베이스를 액세스 할 수 있도록 보장하는 것

• 특정 부분의 수정과 액세스를 권한을 가진 개인들과 프로그램에 제한

21

SNMPv2 SNMPv2 정보보호 설비 정보보호 설비 -- 메시지 형식메시지 형식

헤더헤더

다섯 개의 필드로 구성다섯 개의 필드로 구성

• srcParty : 메시지를 송신하는 당사자 확인용

• dstParty : 메시지를 수신하는 당사자 확인용

• context : MIB 로컬 액세스 구문

• authInfo : 인증 프로토콜에 관한 정보

• privDst : 수신 당사자의 식별자 표현

PUD PUD : : 관리 명령어 수록관리 명령어 수록

그림 그림 10. 6 10. 6 참조참조

22

그림 그림 10.6 SNMPv2 10.6 SNMPv2 메시지 형식메시지 형식(467)(467)

authInfoprivDst PDUcontextsrcPartydesParty

(a) 일반 형식

O-lengthOCTET STRINGprivDst PDUcontextsrcPartydesParty

privDst PDUcontextsrcPartydesParty

O-lengthOCTET STRINGprivDst PDUcontextsrcPartydesParty

privDst PDUcontextsrcPartydesParty

(b) 인증을 제공하지 않은 메시지

(c) 인증은 제공되지만 기밀성은 제공안됨

(d) 기밀성은 제공되지만 인증은 제공안됨

(e) 기밀성과 인증을 제공

암호화됨

암호화됨

digest dstTimestamp srcTimestamp

digest dstTimestamp srcTimestamp

23

SNMPv2 SNMPv2 정보보호 설비 정보보호 설비 -- 프라이버시프라이버시

프라이버시 프로토콜 관련 변수프라이버시 프로토콜 관련 변수

partyPrivProtocolpartyPrivProtocol

• 노출로 부터 프라이버시 프로토콜 및 메커니즘에 의해 보호

• noPriv : 노출에 대해 보호되지 않음을 의미

partyPrivPrivatepartyPrivPrivate

• 프라이버시 프로토콜을 지원하기 위해 필요한 비밀 값 (ex. 비밀키 )

partyprivPublicpartyprivPublic

• 프라이버시 프로토콜을 지원하는데 필요한 모든 공개 값을 나타냄 (ex. 공개키 )

24

그림 그림 10.7 SNMPv2 10.7 SNMPv2 메시지 전송과 수신메시지 전송과 수신(469)(469)

dstPartyscrParty

PDU 준비

인증이요구되는가 ?

authInfo o-length OCTET STRING

프라이버시가요구되는가 ?

SnmpPrivMsg 를 구성하기 위해 privDst 를

준비한다

인증 수행

autoInfodstPartyscrParty

PDU 암호화한다

Yes

Yes

25

Yes

No

No

No

No

Yes

Yes

인증된 결과

그림 그림 10.7 SNMPv2 10.7 SNMPv2 메시지 전송과 수신메시지 전송과 수신(469)(469)

privDst타당한가 ?

이 목적지당사자에 대해

인증이요구되는가 ?

액세스가허용되는가 ?

관리운용을 수행한다

메시지를 무시한다

autoInfodstPartyscrParty

PDU 복호화한다

인증 수행

메시지를 무시한다

이 목적지당사자에 대해프라이버스가요구되는가 ?

26

SNMPv2 SNMPv2 정보보호 설비 정보보호 설비 -- 인증인증

인증 관련 변수인증 관련 변수 partyAuthProtocolpartyAuthProtocol

• 발신처 인증 및 메시지 인증을 위한 프로토콜과 메커니즘• noAuth : 메시지가 인증되지 않았음을 나타냄

partyAuthClockpartyAuthClock• 현재의 시간을 나타냄

partyAuthPrivatepartyAuthPrivate• 인증 프로토콜 수행에 필요한 비밀값 : 메시지 다이제스트 , 비밀키 ,

개인키 partyAuthPublicpartyAuthPublic

• 인증 프로토콜 수행에 필요한 공개값 : 공개키 partyAuthLifetimepartyAuthLifetime

• 메시지 전달 상에서 전달 지연에 대한 관리적인 상한값

27

SNMPv2 SNMPv2 메시지 헤더 상의 인증메시지 헤더 상의 인증 -- 정보 필드정보 필드

authDigestauthDigest

• 비밀값과 함께 메시지의 해당 부분에 대해 계산된 다이제스트

authSrcTimestampauthSrcTimestamp

• 출처자의 parthauthClock에 따른 메시지 생성 시간

authDstTimestampauthDstTimestamp

• 수신자의 parthauthClock에 따른 메시지 생성 시간

28

메시지 전송메시지 전송• dsParty, srcParty, PUD 의 값 할당

• authInfor 필드 값 할당

– srcTimestamp : 출처자의 현재 시간

– dstTimestamp : 수신자의 현재 시간

– 다이제스트 필드 : 출처자의 비밀 인증 값

• MD5 수행

– 필요 요소 : autoInfo, dstParty, srcParty, 문맥 , PUD

• 전체 블록 (autoInfo, dstParty, srcParty, 문맥 , PUD)암호화

– DES 와 비밀 암호화 키 이용

• privDst 필드를 암호화된 블록에 연접

29

그림 그림 10.8 SNMPv210.8 SNMPv2 메시지 전송메시지 전송(( 당사자 당사자 aa 로 부터 당사자 로 부터 당사자 bb까지까지 ) - 471) - 471

메시지 필드를 준비한다dstPartysrcPartycontextPDU

이 출처 당사자에 대한인증 프로토콜인가 ?

이 목적지 당사자에 대한프라이버시 프로토콜인가 ?

SnmpPrivMsg 를 구성하기 위해PrivDst 를 준바한다

authSrcTimestamppartyAuthClock.aauthDstTimestamppartyAuthClock.b

authDigestpartyAuthPrivate.a

DES 로 이용하여메시지를 암호화한다

partyPrivPrivate.b

모든 필드에 따라MD5 다이제스트를 계산한다

authDigestMD5 digest

Yes

No

Yes

No

30

메시지 수신메시지 수신• privDst 확인 : 로컬 당사자인지를 결정하기 위해

• 비밀키를 이용해 복호화

• 에러 검사 수행– 복호화된 dstParty = privDst

• authSrcTimestamp 확인을 통해 수신 유효 기간을 확인한다 . (적시성 )– 그림 10.10 참조

• authDigest 값과 메시지 다이제스트 비밀값과 전체 메시지로 계산된 값을 비교

• 메시지 헤더에 참조한 문맥을 확인

• 액세스 권한을 확인한 다음 PDU 의 명령을 실행

31

그림 그림 10.9 SNMPv 10.9 SNMPv 메시지 전송메시지 전송(( 당사자 당사자 aa 에서 당사자 에서 당사자 bb로로 ) - 473) - 473

privDst 는 타당한가 ? 메시지를 무시한다

DES 를 이용하여메시지를 복호화한다

이 목적지 당사자에 대한프라이버시 프로토콜인가 ?

메시지 타당성AND

dstParty = privDstAND

srcParty 타당한가 ?

이 출처 당사자에 대한인증 프로토콜인가 ?

PartyAuthClock.a-authSrcTimestamp partyAuthLifetime.a?

메시지를 무시한다

No

Yes

Yes

Yes

Yes

No

No

No

No

Yes

32

No

맞음

No

Yes

No

Yes

메시지를 무시한다

알려진 내용인가 ?

액세스를 허용하는가 ?

선택적인 시간가속을 수행한다

관리운영을 수행한다

authDigest 저장한다 authDiest … partyAuthPrivate.a

MD5 요약을 계산한다 수신된 authDigest 과 비교한다

맞지 않음

메시지를 무시한다 에러 응답을 생성한다

Yes

No

33

(a) 인증된 메시지

authTimestamp +partyAuthLifetime

partyAuthClock( 메시지를 수신할 때수신 당사자 시간 )

authTimeStamp( 메시지 생성시 보내는

당사자의 시간 )

그림 그림 10.10 10.10 인증 적시성 요구 사항인증 적시성 요구 사항(475)(475)

authTimestamp + partyAuthLifetime >parthAuthClock

보내는 당사자에 대해특정한 시간

parthAuthLifetime

authTimestamp + partyAuthLifetime <parthAuthClock

authTimeStamp authTimestamp +partyAuthLifetime

parthAuthClock

parthAuthLifetime

(b) 인증되지 않은 메시지

34

authTimeStamp parthAuthClock

authTimestamp + partyAuthLifetime > parthAuthClock

parthAuthClock authTimeStamp authTimestamp +partyAuthLifetime

parthAuthLifetime

(b) 인증된 메시지 , 동기화 요구

35

시간 동기화시간 동기화 시간 정보시간 정보

• 메시지 전송시 : 발송 및 수신 당사자의 시간 값을 포함

• 메시지 수신시 : 출처자의 타임 스탬프 값을 참조하여 인증 수행

시간 정보 저장시간 정보 저장

• 관리 스테이션에 당사자 정보와 함께 저장

• 대행자 측에 당사자 정보와 함께 저장

시간 오차가 발생될 경우 인증에 악영향시간 오차가 발생될 경우 인증에 악영향

시간 동기화의 필요성시간 동기화의 필요성• 발생 가능한 시간의 오차를 줄임으로서 , 인증 수행시 정확한 참조 값을 제공

36

시간 오차 및 정정 유형시간 오차 및 정정 유형• 대행자 시계 - 관리자 버전 > 대행자 시계 - 대행자 버전

– 대행자가 관리자로부터 메시지를 수신할 경우

» authDstTimestamp > partyAuthclock되면 정정해야 한다 . • 관리자 시계 - 관리자 버전 > 대행자 시계 - 관리자 버전

– 대행자가 관리자로부터 메시지를 수신할 경우

» authSrcTimestamp > partyAuthClock되면 정정해야 한다 . • 대행자 시계 - 대행자 버전 > 대행자 시계 - 관리자 버전

– 관리자가 대행자로 부터 메시지 수신

» authSrcTimestamp > partyAuthClock되면 정정해야 한다 . • 관리자 시계 - 대행자 버전 > 관리자 시계 - 관리자 버전

– 관리자가 대행자로 부터 메시지 수신

» authdstTimestamp > partyAuthClock되면 정정해야 한다 .

37

SNMPv2 SNMPv2 정보보호 설비 정보보호 설비 -- 액세스 제어액세스 제어 액세스 제어의 구성 요소액세스 제어의 구성 요소

• 목적지 당사자 – SNMP 당사자는 출처자에 의해 요구된 관리 실행을 운영

• 출처자 당사자– 관리 운영이 목적지 당사자에 의해 행하여지도록 요구하는 SNMP 당사자

• 자원– 요구된 관리 운영에 대한 관리 정보는 로컬 MIB 뷰나 대리인에 의해 표현

및 수행된다 .

• 권한 – 허용된 PDU 를 이용하여 , 규정된 특성 및 주체로서의 수행에 정당성 제공

액세스 제어는 당사자 액세스 제어는 당사자 MIBMIB 안에 있는 정보에 의해 결정된다안에 있는 정보에 의해 결정된다 . .

38

SNMPv2 SNMPv2 정보보호 설비 정보보호 설비 -- 당사자 당사자 MIBMIB 당사자 표당사자 표

로컬 관리자나 대행자에게 알려진 각 당사자에 대한 엔트리 보유로컬 관리자나 대행자에게 알려진 각 당사자에 대한 엔트리 보유 각 엔트리의 구성각 엔트리의 구성

• 비밀성 계수 : authProtocol, authClock, authPrivate, authPublic, authLifetime

• 비밀성 매개계수 : privProtocol, privPrivate, privPublic

표 표 10.310.3• partyIdentity

– 당사자의 단일 식별자• partyIndex

– 당사자와 연관된 단일 정수 값• partyDomain

– SNMPv 를 지원하기 위해 사용된 전송 서비스

39

• PartyTAddr– 당사자의 전송 주소

• partyMaxMessageSize– 당사자가 받아들이는 옥텟 단위의 최대 메시지 길이

• partyLocal– 이 당사자가 대리인이나 관리자에 대하여 로컬한지를 가리키는 부울 값

• partyAuthProtocol– 발송 메시지 및 발신자 무결성 인증을 위한 프로토콜

• partyAuthClodk– 이 당사자에 대한 현재 시간의 로컬 개념

• partyAuthPrivate– 인증 프로토콜을 지원하기 위한 비밀 값

• partyAuthPublic– 필요하면 , 인증 프로토콜을 지원하는데 사용되는 공개 값

40

• partyAuthLifetime

– 메시지 수신 유효기간

• partyPrivProtocol

– 노출에 대해서 수신메시지의 보호를 위한 메커니즘

• partyPrivPrivate

– 비밀 프로토콜을 지원하는데 사용되는 비밀 값

• partyPrivPublic

– 비밀 프로토콜을 지원하는데 사용되는 공개 값

• partyCloneFrom

– 엔트리를 생성할때 인증과 비밀 매개변수가 복사되었는가의 당사자 구분

41

문맥 표문맥 표• 두 종류의 엔트리 제어 - viewIndex 에 의해 엔트리 종류 결정

– 로컬 정보

– 대리인 관계

viewIndexviewIndex

• 만약 0 이면 행은 로컬 정보 참조하고 , 값은 관련된 MIB뷰를 지정

contextViewIndexcontextViewIndex

• 0 일 경우 행은 대리인 관계 참조

– srcpartyIndex, dstPartyIndex : 대리인 관계에 대한 출처와 목적지 당사자에

대한 당사자 표로 구분

– proxyContext : 문맥의 식별자

42

• contextIdentity– 문맥 고유 식별자

• contextIndex– 문맥과 연관된 단일 전수 값

• contextLocal– 관리자나 대리인에 의하여 이 문맥이 인식될 수 있나를 나타내는 부울 값

• contextViewIndex– 0= 리인 관계를 구분하는 문맥 참조 , 0엔티티의 MIB 값을 구분하는 문맥 참조

• contextLocalEntity– ContextViewIndex>0 이면 관리정보가 문맥의 MIB 뷰에 있는 로컬 엔티티 구분– 빈 문자열은 MIB뷰에 엔티티의 로컬 관리 정보가 든 것을 가리킨다 .

• contextProxyDstParty– ContextViewIndex=0 이면 대리인 관계의 대리인 목적지인 당사자를 확인

• contextProxySrcParty– ContextViewIndex=0 이면 대리인 관계의 대리인 출처 당사자를 구분한다

• contextProxyContex : ContextViewIndex=0 ContextViewIndex=0 이면 대리인 관계의 문맥을 구분이면 대리인 관계의 문맥을 구분

43

액세스 제어 표액세스 제어 표 출처자출처자 , , 수신자수신자 , , 문맥들로 색인문맥들로 색인

• 액세스 제어 권한 규정

• aclTarget– 관리 운영의 성능이 액세스 권한 셋에 의해 강요된 타겟 SNMP 당사자

• aclSubject– 수행되는 관리 운영이 액세스 권한 셋에 의해 요구되는 주체 SNMP 당사자

• aclResources– 액세스 제어 정책에 속한 속문

• aclPrivilege– 삼중 (타켓 , 주체 , 문맥 ) 액세스 권한을 나타내는 0 에서 255까지 범위의

정수

44

MIB MIB 뷰 표뷰 표

• MIB : 관리 대상이 되는 자원의 객체 집합

• 트리 구조로 구성

MIB MIB 뷰 표 뷰 표 : MIB : MIB 뷰들의 집합으로 구성뷰들의 집합으로 구성

용어 설명용어 설명

• 서스트리 : MIB 에 있는 지정 노드의 식별자

• 마스크 : 서브트리의 정의를 보다 세밀하게 하기 위해 사용되는 1 비트

• 유형 : 서브트리의 관련 부분이 MIB 뷰에 포함되거나 제외됨을 의미

45

• viewIndex

– 각 MIB 뷰에 대한 유일 값

• viewSubtree

– MIB 뷰 서브트리

• viewMask

– 뷰 서브트리의 구성원 정의시 뷰 서브트리에 대응하는 사례와 결합된 비트

마스크

• viewType

– 포함된 (1), 배제된 (2) 의 값을 취함 . 뷰 서브트리와 뷰 마스크에 의해 정의된

대응하는 뷰 서브트리의 구성원이 MIB뷰에 포함여부를 구분한다 .