ПРОТОКОЛЫ Козырная карта защищенного SNMP
На выставке NetWorld+Interop, состоявшейся в апреле, поборники модели защиты на уровне пользователя (User-based Security Model), предлагаемой в качестве механизма защиты для протокола SNMP, во всеуслышание объявили о поддержке новоиспеченной спецификации.
Роуз: "Широкое распространение"
В группу USEC входят Маршалл Роуз и Кейт Макклофри - двое из четырех соавторов первоначальной спецификации SNMP. На выставке в Лас-Вегасе Роуз провел семинар по вопросам внедрения USEC в рабочих сетях.
USEC - одна из двух основных независимых групп, образовавшихся после того, как подразделение проблемной инженерной группы Internet (Internet Engineering Task Force, IETF), занимавшееся разработкой второй версии SNMP, не смогло выполнить свою задачу по созданию стандартного механизма защиты данных для протокола SNMP. Другую группу, ратующую за альтернативный стандарт SNMP V2*, возглавляет Джеффри Кейс - еще один соавтор первоначального протокола SNMP. SNMP V2* строится по более развитой схеме, чем сравнительно простой вариант группы USEC.
По словам Роуза, директора фирмы Dover Beach Consulting (Маунтин-Вью, шт. Калифорния), группа надеется, что модель USEC получит достаточную поддержку индустрии и станет стандартом IETF в качестве расширения принятых в конце прошлого года черновых спецификаций SNMP V2c. В модели реализован “минималистский” подход к аутентификации пользователя в целях защиты управления сетью.
“Схема USEC состоит из двух частей: административной среды и модели защиты, работающей в рамках этой среды, - сказал Роуз. - В административной среде выполняется назначение имен управляемым объектам, идентификация наборов управляемых объектов и т. д. Административная среда в модели USEC минималистская, т. е. оказывает минимальное воздействие на агент, благодаря чему она, как мы считаем, может получить широкое распространение”.
Схема защиты включает защиту от повторных операций для предотвращения повторного использования взломщиком перехваченного SNMP-пакета, защиту целостности сообщений для выявления любых изменений содержимого пакетов и систему идентификации источника, которая следит за тем, чтобы операции SMNP производились теми лицами, которыми они себя называют.
Чтобы заручиться поддержкой индустрии для спецификации USEC, группа уже заключила соглашение с IBM на включение схемы защиты в продукт SystemView for AIX Version 1 Release 2, выпущенный в феврале. Эта реализация тестировалась вместе с другими версиями, созданными независимо Роузом и Макклофри, корпорацией Epilogue Technology (Альбукерке, шт. Нью-Мексико) и Гленном Уотерсом из фирмы Bell Northern Research, который первым предложил подход USEC.
Этой весной будут выпущены еще три реализации. Корпорация Digital Equipment включит схему USEC в следующую существенно переработанную версию пакета PolyCenter NetView для Digital Unix. Корпорация American Computer and Electronics внедряет USEC в очередную версию комплекта разработчика NetPlus WinSNMP, которая появится в конце апреля. И наконец, голландская группа производителей также в апреле выпустит спецификацию общих доменов (public domain) для Unix, Windows NT и Windows 95.
Кроме того, в апреле Epilogue предложит версию 7.0 своего ПО для работы с SNMP, в которую встроена поддержка USEC.
“Эта схема будет принята более чем 250 производителями оборудования по всему миру, включая корпорацию 3Com, фирму Cisco Systems и несколько крупных сетевых компаний, - сказал Дэвид Престон, президент корпорации Epilogue. - В следующем квартале у нас будет гораздо больше оснований говорить о ней”.
Тем временем группа USEC надеется вовлечь других игроков на компьютерном рынке в создание стандарта на удаленное конфигурирование; Роуз намеревается включить такие функции в окончательную версию спецификации USEC, которая будет опубликована в конце июня.
С работой группы USEC можно ознакомиться через World-Wide Web по адресу: http://www.simple-times.org/pub/simple-times. Телефон корпорации Epilogue: (505) 271-9933, фирмы Dover Beach Consulting: (415) 968-1052.
Паула Мусич
