Gerência Internet = SNMPv3

Transcrição

1 Vários grupos independentes começaram a trabalhar em melhorias de segurança para o SNMPv2. Duas abordagens sobressaíram-se: SNMPv2u e SNMPv2*. Elas serviram como entrada para o Grupo de Trabalho SNMPv3 da IETF, em Março de Em Janeiro de 1998, esse grupo produziu uma série de documentos com ostatus deproposedstandard. O SNMPv3 incorpora as funcionalidades definidas nas versões anteriores e adiciona mecanismos de segurança à arquitetura.. p.2/69

2 Sumário da evolução verificada na arquitetura SNMP: SGMP SNMPv1 SMP S SNMP Grupo de Trabalho Grupo de Trabalho SNMPv2 SNMPv2 segurança SNMPv2 (versão original, com segurança) SNMPv2 (versão revisada, sem segurança) SNMPv2u SNMPv3 SNMPv2 *. p.3/69

3 Gerência Internet = SNMPv2 Especificações SNMPv3: Número Título Data 2271 An Architecture for Describing SNMP Management Frameworks Jan Message Processing and Dispatching for SNMP Jan SNMPv3 Applications Jan User-Based Security Model for SNMPv3 Jan View-Based Access Control Model (VACM) for SNMP Jan draft Introduction to Version 3 of the Internet Network Management Framework Ago p.4/69

4 Arquitetura SNMP atual: Processamento da PDU (SNMPv1 ou SNMPv2) Processamento da Mensagem (USM SNMPv3) PDU SNMP V3 MH PDU SNMP UDP UDP H V3 MH PDU SNMP IP IP H UDP H V3 MH PDU SNMP IP H = cabeçalho IP UDP H = cabeçalho UDP V3 MH = cabeçalho da mensagem SNMPv3. p.5/69

5 ENTIDADE SNMP APLICAÇÕES SNMP Aplicações Aplicações Geradoras Originadoras de Comandos de Comandos Aplicações Receptoras de Notificações Dispatcher dispatcher de PDUs dispatcher de Mensagens Mapeamento de transporte Subsistema de Processamento de Mensagens v1mp v2cmp v3mp outro Subsistema de Segurança USM outro NÚCLEO SNMP Gerente SNMPv3. p.6/69...

6 O Dispatcher pode ser compreendido como um simples gerente de tráfego. ENTIDADE SNMP APLICAÇÕES SNMP Aplicações Aplicações Geradoras Originadoras de Comandos de Comandos Aplicações Receptoras de Notificações Dispatcher dispatcher de PDUs dispatcher de Mensagens Mapeamento de transporte Subsistema de Processamento de Mensagens v1mp v2cmp v3mp outro Subsistema de Segurança USM outro NÚCLEO SNMP. p.7/69...

7 O Subsistema de Processamento de Mensagens prepara mensagens para transmissão e processa mensagens recebidas. ENTIDADE SNMP APLICAÇÕES SNMP Aplicações Aplicações Geradoras Originadoras de Comandos de Comandos Aplicações Receptoras de Notificações Dispatcher dispatcher de PDUs dispatcher de Mensagens Mapeamento de transporte Subsistema de Processamento de Mensagens v1mp v2cmp v3mp outro Subsistema de Segurança USM outro NÚCLEO SNMP. p.8/69...

8 O Subsistema de Segurança realiza funções de autenticação e privacidade. ENTIDADE SNMP APLICAÇÕES SNMP Aplicações Aplicações Geradoras Originadoras de Comandos de Comandos Aplicações Receptoras de Notificações Dispatcher dispatcher de PDUs dispatcher de Mensagens Mapeamento de transporte Subsistema de Processamento de Mensagens v1mp v2cmp v3mp outro Subsistema de Segurança USM outro NÚCLEO SNMP. p.9/69...

9 ENTIDADE SNMP APLICAÇÕES SNMP instrumentação da MIB Aplicações proxy Aplicações Respondedoras de Comandos Aplicações originadoras de Notificações Dispatcher dispatcher de PDUs dispatcher de Mensagens Mapeamento de transporte Subsistema de Processamento de Mensagens v1mp v2cmp v3mp outro Subsistema de Segurança USM outro Subsistema de Controle de Acesso VACM outro NÚCLEO SNMP Agente SNMPv3. p.10/69...

10 O Subsistema de Controle de Acesso provê serviços de autorização para controlar o acesso às MIBs para a leitura e escrita de valores de objetos gerenciados. ENTIDADE SNMP APLICAÇÕES SNMP instrumentação da MIB Aplicações proxy Aplicações Respondedoras de Comandos Aplicações originadoras de Notificações Dispatcher dispatcher de PDUs dispatcher de Mensagens Mapeamento de transporte Subsistema de Processamento de Mensagens v1mp v2cmp v3mp outro Subsistema de Segurança USM outro Subsistema de Controle de Acesso VACM outro NÚCLEO SNMP. p.11/69...

11 Fluxo originado por um Gerador de Comandos ou um Gerador de Notificações: Subsistema de Subsistema de Processamento de Mensagens Dispatcher Segurança Gerador de Comandos sendpdu prepareoutgoingmsg generaterequestmsg. p.12/69 send SNMP Request Msg to Network... Receive SNMP Response Msg from Network preparedataelements processincomingmsg processresponsepdu

12 Fluxo originado por um Respondedor de Comandos: Respondedor de Dispatcher Comandos Subsistema de Processamento de Mensagens Subsistema de Segurança registercontextengineid Receive SNMP Response Msg from Network preparedataelements processincomingmsg processpdu returnresponsepdu prepareresponsemsg generateresponsemsg send SNMP Request Msg to Network. p.13/69

13 Formato da Mensagem SNMPv3: autenticação msgversion msgid msgmaxsize msgflags msgsecuritymodel msgauthoritativeengineid msgauthoritativeengineboots msgauthoritativeenginetime msgusername msgauthenticationparameters msgprivacyparameters contextengineid contextname encriptação PDU LEGENDA Processamento de Mensagens Segurança. p.14/69

14 msgversion: setado pra snmpv3(3). autenticação msgversion msgid msgmaxsize msgflags msgsecuritymodel msgauthoritativeengineid msgauthoritativeengineboots msgauthoritativeenginetime msgusername msgauthenticationparameters msgprivacyparameters contextengineid contextname encriptação PDU LEGENDA Processamento de Mensagens Segurança. p.15/69

15 msgid: identificador único usado por duas entidades SNMP para coordenação de mensagens de solicitação e resposta. Vai de 0 até autenticação msgversion msgid msgmaxsize msgflags msgsecuritymodel msgauthoritativeengineid msgauthoritativeengineboots msgauthoritativeenginetime msgusername msgauthenticationparameters msgprivacyparameters contextengineid contextname encriptação PDU LEGENDA Processamento de Mensagens Segurança. p.16/69

16 msgmaxsize: tamanho máximo da mensagem enviada ou recebida por uma entidade SNMP. Vai de 484 até octetos. autenticação msgversion msgid msgmaxsize msgflags msgsecuritymodel msgauthoritativeengineid msgauthoritativeengineboots msgauthoritativeenginetime msgusername msgauthenticationparameters msgprivacyparameters contextengineid contextname encriptação PDU LEGENDA Processamento de Mensagens Segurança. p.17/69

17 msgmaxsize: um octeto contendo trêsflags nos seus três dígitos menos significativos: reportableflag, privflag, authflag. autenticação msgversion msgid msgmaxsize msgflags msgsecuritymodel msgauthoritativeengineid msgauthoritativeengineboots msgauthoritativeenginetime msgusername msgauthenticationparameters msgprivacyparameters contextengineid contextname encriptação PDU LEGENDA Processamento de Mensagens Segurança. p.18/69

18 Comentários sobre omsgflags: msgflags privflag authflag reportableflag SereportFlag for setado em 1, uma PDU Report deve ser enviada (caso das PDUs Get/SetRequest e Inform). O contrário ocorre quando ela é setada em 0 (caso para PDUs Response, Trap e Report). para os bitsprivflag eauthflag, o comportamento é o seguinte: privflag authflag resultado 0 0 noauthnopriv 0 1 authnopriv 1 0 não-permitido 1 1 authpriv. p.19/69

19 msgsecuritymodel: indica qual modelo de segurança foi utilizado para o preparo da mensagem. Vai de 0 até Valores reservados são 1 (SNMPv1), 2 (SNMPv2) e 3 (SNMPv3). autenticação msgversion msgid msgmaxsize msgflags msgsecuritymodel msgauthoritativeengineid msgauthoritativeengineboots msgauthoritativeenginetime msgusername msgauthenticationparameters msgprivacyparameters contextengineid contextname encriptação PDU LEGENDA Processamento de Mensagens Segurança. p.20/69

20 msgglobaldata: contém parâmetros necessários pelo Subsistema de Processamento de Mensagens para coordenação das mensagens. autenticação msgversion msgid msgmaxsize msgflags msgsecuritymodel msgauthoritativeengineid msgauthoritativeengineboots msgauthoritativeenginetime msgusername msgauthenticationparameters msgprivacyparameters contextengineid contextname msgglobaldata encriptação PDU LEGENDA Processamento de Mensagens Segurança. p.21/69

21 msgsecurityparameters: contém parâmetros relacionados ao Subsistema de Segurança, não sendo portanto interpretados pelos Subsistema de Processamento de Mensagens ou o Dispatcher. autenticação msgversion msgid msgmaxsize msgflags msgsecuritymodel msgauthoritativeengineid msgauthoritativeengineboots msgauthoritativeenginetime msgusername msgauthenticationparameters msgprivacyparameters contextengineid contextname msgsecurityparameters encriptação PDU LEGENDA Processamento de Mensagens Segurança. p.22/69

22 contextengineid: identifica inequivocamente uma entidade SNMP. autenticação msgversion msgid msgmaxsize msgflags msgsecuritymodel msgauthoritativeengineid msgauthoritativeengineboots msgauthoritativeenginetime msgusername msgauthenticationparameters msgprivacyparameters contextengineid contextname encriptação PDU LEGENDA Processamento de Mensagens Segurança. p.23/69

23 contextname: identifica inequivocamente um contexto particular dentro do escopo de umcontextengineid associado. autenticação msgversion msgid msgmaxsize msgflags msgsecuritymodel msgauthoritativeengineid msgauthoritativeengineboots msgauthoritativeenginetime msgusername msgauthenticationparameters msgprivacyparameters contextengineid contextname encriptação PDU LEGENDA Processamento de Mensagens Segurança. p.24/69

24 scopedpdu: informação necessária pelas aplicações de processamento das PDUs. Contém uma PDU num contexto que é inequivocamente identificado pelos campos contextname econtextengineid. autenticação msgversion msgid msgmaxsize msgflags msgsecuritymodel msgauthoritativeengineid msgauthoritativeengineboots msgauthoritativeenginetime msgusername msgauthenticationparameters msgprivacyparameters contextengineid contextname scopedpdu encriptação PDU LEGENDA Processamento de Mensagens Segurança. p.25/69

25 O USM (User-based Security Model) do SNMPv3 oferece proteção contra os seguintes ataques: Modificação da informação. Mascaramento. Modificação do fluxo de mensagens. Observação do conteúdo de mensagens. Porém, o USM não protege contra os seguintes ataques: Negação de serviço. Análise de tráfego.. p.26/69

26 Conceito de Núcleo Autorizado: Se uma mensagem contém uma PDU que requer uma resposta (Get,GetNext,GetBulk,Set ouinform), então seu receptor possui núcleo autorizado. Se uma mensagem contém uma PDU que não requer uma resposta (Trap,Response oureport), então seu emissor possui núcleo autorizado. Conclusão: Considerando um modelo simples gerente-agente, é o agente quem possui o núcleo autorizado.. p.27/69

27 ObjetossnmpEngineBoots esnmpenginetime: São mantidos por núcleos autorizados, sendo inicialmente setados em 0. snmpenginetime é incrementado a cada segundo, até chegar a Nesse valor,snmpengineboots é incrementado e snmpenginetime é setado em 0 e recomeça a ser incrementado. se o sistema é reinicializado,snmpengineboots é incrementado esnmpenginetime é setado em 0 e recomeça a ser incrementado.. p.28/69

28 Interpretação dada para esses objetos: snmpengineboots representa a quantidade de vezes em que o núcleo autorizado foi (re)inicializado desde a sua configuração original. snmpenginetime representa a quantidade de segundos decorridos desde a última (re)inicialização do núcleo autorizado. Propósito desses objetos: permitir a sincronização entre núcleos SNMP.. p.29/69

29 msgauthoritativeengineid: identificador do núcleo autorizado envolvido na troca dessa mensagem. autenticação msgversion msgid msgmaxsize msgflags msgsecuritymodel msgauthoritativeengineid msgauthoritativeengineboots msgauthoritativeenginetime msgusername msgauthenticationparameters msgprivacyparameters contextengineid contextname encriptação PDU LEGENDA Processamento de Mensagens Segurança. p.30/69

30 msgauthoritativeengineboots: valor dosnmpengineboots no núcleo autorizado envolvido na troca dessa mensagem. autenticação msgversion msgid msgmaxsize msgflags msgsecuritymodel msgauthoritativeengineid msgauthoritativeengineboots msgauthoritativeenginetime msgusername msgauthenticationparameters msgprivacyparameters contextengineid contextname encriptação PDU LEGENDA Processamento de Mensagens Segurança. p.31/69

31 msgauthoritativeenginetime: valor dosnmpenginetime no núcleo autorizado envolvido na troca dessa mensagem. autenticação msgversion msgid msgmaxsize msgflags msgsecuritymodel msgauthoritativeengineid msgauthoritativeengineboots msgauthoritativeenginetime msgusername msgauthenticationparameters msgprivacyparameters contextengineid contextname encriptação PDU LEGENDA Processamento de Mensagens Segurança. p.32/69

32 msgusername: o usuário (principal) em cujo interesse a mensagem está sendo trocada. autenticação msgversion msgid msgmaxsize msgflags msgsecuritymodel msgauthoritativeengineid msgauthoritativeengineboots msgauthoritativeenginetime msgusername msgauthenticationparameters msgprivacyparameters contextengineid contextname encriptação PDU LEGENDA Processamento de Mensagens Segurança. p.33/69

33 msgauthenticationparameters: Null se autenticação não estiver sendo utilizada nessa troca. Caso contrário, esse é um parâmetro de autenticação (para o USM, um código de autenticação de mensagem HMAC). autenticação msgversion msgid msgmaxsize msgflags msgsecuritymodel msgauthoritativeengineid msgauthoritativeengineboots msgauthoritativeenginetime msgusername msgauthenticationparameters msgprivacyparameters contextengineid contextname encriptação PDU LEGENDA Processamento de Mensagens Segurança. p.34/69

34 msgprivacyparameters: Null se privacidade não estiver sendo utilizada nessa troca. Caso contrário, esse é um parâmetro de privacidade (para o USM, um valor usado para formar o IV (Initial Vector) do modo CBC do algoritmo DES. autenticação msgversion msgid msgmaxsize msgflags msgsecuritymodel msgauthoritativeengineid msgauthoritativeengineboots msgauthoritativeenginetime msgusername msgauthenticationparameters msgprivacyparameters contextengineid contextname encriptação PDU LEGENDA Processamento de Mensagens Segurança. p.35/69

35 Sincronização Núcleo SNMP Núcleo SNMP Não autorizado Autorizado SEB SET LRET SEB SET SEB : estimativa local do SEB SET : estimativa local do SET LRET: último SET recebido SEB: snmpengineboots SET: snmpenginetime. p.36/69

36 Sincronização Núcleo SNMP PDU Response/Report/Trap Núcleo SNMP Não autorizado Autorizado SEB SET LRET MAEB = SEB MAET = SET MAEB = msgauthoritativeengineboots MAET = msgauthoritativeenginetime se { (MAEB > SEB ) ou [(MAEB = SEB ) e (MAET > LRET)] } então SEB = MAEB SET = MAET LRET = MAET SEB SET. p.37/69

37 Estabelecimento de janelas de tempo Fatores determinantes para o projeto: precisão dos relógios envolvidos. atrasos fim-a-fim. frequência de sincronização. Implicação dos erros cometidos no projeto: janelas muito pequenas rejeitarão mensagens autênticas. janelas muito grandes aumentarão a vulnerabilidade aos ataques por réplica ou atraso.. p.38/69

38 Estabelecimento de janelas de tempo Núcleo SNMP PDU Núcleo SNMP Não autorizado Autorizado MAEB = SEB MAET = SET SEB SET LRET MAEB = msgauthoritativeengineboots MAET = msgauthoritativeenginetime se SEB = 2ˆ31-1 ou MAEB!= SEB ou ( SET sec. > MAET > SET sec. ) então Mensagem considerada fora da janela de tempo SEB SET. p.39/69

39 Estabelecimento de janelas de tempo Núcleo SNMP PDU Núcleo SNMP Não autorizado Autorizado MAEB = SEB MAET = SET SEB SET LRET MAEB = msgauthoritativeengineboots MAET = msgauthoritativeenginetime se SEB = 2ˆ31-1 ou MAEB < SEB ou [(MAEB = SEB ) e (MAET < SET sec.)] então Mensagem considerada fora da janela de tempo SEB SET. p.40/69

40 Observação: Os mecanismos de sincronização e janelas de tempo só podem ser aplicados se: 1. Autenticação for empregada. 2. A mensagem for considerada autêntica via HMAC. Essa restrição é essencial porque o autenticação inclui os campos msgauthoritativeengineid, msgauthoritativeengineboots e msgauthoritativeenginetime.. p.41/69

41 Descoberta O USM requer o uso de um processo de descoberta para obter informação suficiente sobre núcleos autorizados antes de qualquer comunicação. Através da descoberta, um núcleo SNMP não-autorizado aprende o valor do ID do núcleo autorizado e entra em sincronismo com esse núcleo. O processo de descoberta é composto por dois passos, sendo o primeiro deles obrigatório. O segundo é dado apenas quando autenticação é necessária.. p.42/69

42 Descoberta passo 1: núcleo não autorizado aprende o ID do núcleo autorizado securitylevel = noauthnopriv, msgusername = "initial", msgauthoritativeengineid = null PDU Request Núcleo SNMP Núcleo SNMP Não autorizado msgauthoritativeengineid = x Autorizado PDU Report SEB SET LRET SEB SET. p.43/69

43 Descoberta passo 2: núcleo não autorizado estabelece sincronismo com núcleo autorizado msgauthoritativeengineid = x MAEB = 0, MAET = 0 PDU Request Núcleo SNMP Núcleo SNMP Não autorizado Autorizado PDU Report msgauthoritativeengineid = x SEB MAEB = SEB, MAET = SET SET LRET SEB SET. p.44/69

44 No USM, são utilizadas duas funções criptográficas: autenticação e privacidade. Para suportá-las, cada núcleo SNMP mantém um par de chavesauthkey eprivkey para cada um dos núcleos com os quais se comunica. Os valores deauthkey eprivkey servem de subsídio para a geração e verificação dos campos msgauthenticationparameters e msgprivacyparameters. Porém, eles não são acessíveis através do SNMPv3.. p.45/69

45 mensagem geração de msgauthenticationparameters algoritmo HMAC 128 (MD5) 160 (SHA) truncamento 96 authkey 128 (MD5) 160 (SHA) msgauthenticationparameters privkey 16 oct. geração de msgprivacyparameters 8 oct oct. 64 ignore os bits menos significantes de cada octeto pre IV 8 64 IV salt (msgprivacyparameters) 4 snmpengineboots chave DES 4 valor local. p.46/69

46 usmuser MIB usmuser usmusersplinlock (1) usmusertable (2) usmuserentry (1) usmuserengineid (1) usmusername (2) usmusersecurityname (3) usmuserclonefrom (4) usmuserauthprotocol (5) usmuserauthkeychange (6) usmuserownauthkeychange (7) usmuserprivprotocol (8) usmuserprivprotocol (9) usmuserprivkeychange (10) usmuserpublic (11) usmuserstoragetype (12) usmuserstatus (13). p.47/69

47 Colete informações do usuário criação da mensagem junto ao USM Privacidade necessária? NÃO SIM Cifre scopedpdu sete msgprivacyparameters msgprivacyparameters < Null Autenticação necessária? NÃO SIM sete compute MAC msgauthenticationparameters msgauthenticationparameters < Null. p.48/69

48 Colete parâmetros da mensagem recepçâo da mensagem junto ao USM Autenticação necessária? SIM compute MAC; compare com msgauthenticationparameters NÃO determine se a mensagem está dentro da janela de tempo Privacidade SIM Decifre scopedpdu necessária? NÃO. p.49/69

49 Gerência de chaves Os paresauthkey eprivkey usados na comunicação entre um núcleo SNMP e vários outros núcleos são, na verdade, derivados de um único par de chaves. As chavesauthkey eprivkey são chamadas de chaves locais. A gerência de chaves lida com a criação do par de chaves originais e com a geração e atualização das chaves locais.. p.50/69

50 Gerência de chaves - geração do par de chaves original As chaves de autenticação e privacidade originais (string de bits) são geradas a partir de senhas. O processo de geração dessas chaves não utiliza nenhum repositório externo especializado no armazenamento de chaves. Além disso, ele aumenta a lentidão na execução de ataques do estiloforçabruta. É composto por dois passos.. p.51/69

51 senha passo 1 20 digest0 =2 octetos = octetos... senha senha senha se senh passo 2 MD5 ou SHA 16 oct. (MD5) 20 oct. (SHA) digest1 (chave original). p.52/69

52 Gerência de chaves - geração de chaves locais Consiste no processo, composto por dois passos, para a geração de sub-chaves (chaves locais). Objetiva evitar as seguintes medidas: Um usuário ter que relembrar pares de chaves cuja quantidade aumenta com a adição de novos sistemas gerenciados. Um adversário aprender uma chave para um agente e estar apto a personificar qualquer outro agente para qualquer usuário, ou vice-versa.. p.53/69

53 Chaves locais Chaves locais Chaves locais Geração de chaves originais e chaves locais. p.55/69 Geração das chaves locais Senhas do usuário Geração das chaves locais... Geração das chaves originais Geração das chaves locais Chaves originais

54 VACM (View-based Access Control Model) Determina se o acesso a objetos gerenciados numa MIB local por entidades remotas deve ser permitida. Utiliza uma MIB que define a política de controle de acesso para este agente, tornando possível configurações remotas. Define cinco elementos:grupo,níveldesegurança, Contexto, Visão de MIB e Política de Acesso.. p.58/69

55 Grupo: é definido como um conjunto de tuplas <securityname,securitymodel>, ao qual associa-se umgroupname. securityname esecuritymodel são equivalentes aos camposmsgusername emsgsecuritymodel da mensagem SNMPv3. NíveldeSegurança: obtido a partir do campomsgflags da mensagem SNMPv3. Apenas relembrando... noauthnopriv authnopriv authpriv. p.59/69

56 Contexto: trata-se de um subconjunto de objetos gerenciados numa MIB local. Uma determinada entidade SNMP é identificada por um contextengineid. Esta entidade pode manter vários contextos diferentes. Cada um destes contextos é identificado por um contextname diferente.. p.60/69

57 VisãodeMIB: é definida em termos de uma coleção, ou família, de sub-árvores de MIBs. Uma tabela que faz uso de sub-árvores para definir subconjuntos de objetos gerenciados possui os seguintes parâmetros: Subtree: OID que identifica a sub-árvore. Mask: permite refinar a identificação da sub-árvore no nível de objetos gerenciados individuais. Type: informa se a sub-árvore está incluída ou excluída da Visão.. p.62/69

58 PolíticadeAcesso: baseia-se nos seguintes parâmetros: A entidade solicitando o acesso (principal). Oníveldesegurança empregado na solicitação. Omodelodesegurança utilizado para processamento da mensagem de solicitação. OcontextodaMIB para a solicitação. O objeto gerenciado solicitado. Otipodeacesso solicitado (leitura, escrita ou notificação).. p.65/69

59 vacmmibobjects MIB VACM vacmcontexttable (1) vacmcontextentry (1) vacmcontextname (1) vacmsecuritytogrouptable (2) vacmsecuritytogroupentryentry (1) vacmaccesstable (4) vacmsecuritymodel (1) vacmsecurityname (2) vacmgroupname (3) vacmsecuritytogroupstoragetype (4) vacmsecuritytogroupstatus (5) vacmaccessentry(1) vacmmibviews (5) vacmaccesscontextprefix (1) vacmviewspinlock (1) vacmaccesssecuritymodel (2) vacmviewtreefamilytable (2) vacmviewtreefamilyentry (1) vacmviewtreefamilyviewname (1) vacmviewtreefamilysubtree (2) vacmviewtreefamilymask (3) vacmviewtreefamilytype (4) vacmviewtreefamilystatus (5) vacmaccesssecuritylevel (3) vacmaccesscontextmatch (4) vacmaccessreadviewname (5) vacmaccesswritename (6) vacmaccessnotifyviewname (7) vacmaccessstoragetype (8) vacmaccessstatus (9) snmpnotifyfilterrowstatus (6). p.66/69

60 Quem? Onde? Como? Para quê? Qual? Qual deles? contextname object type object instance securitymodel securityname securitymodel securitylevel vacmcontexttable viewtype (read/write/notify) vacmsecuritytogrouptable groupname variablename (OID) vacmaccesstable viewname Lógica do VACM vacmviewtreefamilytable Decisão (SIM/NÃO). p.67/69

61 Parâmetros da MIB VACM para configuração inicial "Semi Security" (a) vacmcontexttable vacmcontextname "" (b) vacmsecuritytogrouptable vacmsecuritymodel vacmsecurityname 3 (USM) "initial" vacmgroupname "initial" (c) vacmaccesstable vacmgroupname (external index) "initial" "initial" "initial" vacmaccess ContextPrefix "" "" "" vacmaccess SecurityModel 3 (USM) 3 (USM) 3 (USM) vacmaccess SecurityLevel noauthnopriv authnopriv authpriv vacmaccess ReadViewName "restricted" "internet" "internet" vacmaccess WriteViewName "" "internet" "internet" vacmaccess NotifyViewName "restricted" "internet" "internet" (d) vacmviewtreefamilytable vacmviewtreefamilyviewname vacmviewtreefamilysubtree vacmviewtreefamilymask vacmviewtreefamilytype "internet" "restricted" "restricted" "restricted" "restricted" "restricted" "" "" "" "" "" "" 1 (included) 1 (included) 1 (included) 1 (included) 1 (included) 1 (included). p.69/69