RFC 4669 - RADIUS Authentication Server MIB for IPv6(3)

时间:2006-11-02 来源: 作者: 点击:
radiusAuthClientInetAddress, radiusAuthClientExtID, radiusAuthServExtAccessRequests, radiusAuthServExtDupAccessRequests, radiusAuthServExtAccessAccepts, radiusAuthServExtAccessRejects, radiusAuthServ
  
                  radiusAuthClientInetAddress,
                  radiusAuthClientExtID,
                  radiusAuthServExtAccessRequests,
                  radiusAuthServExtDupAccessRequests,
                  radiusAuthServExtAccessAccepts,
                  radiusAuthServExtAccessRejects,
                  radiusAuthServExtAccessChallenges,
                  radiusAuthServExtMalformedAccessRequests,
                  radiusAuthServExtBadAuthenticators,
                  radiusAuthServExtPacketsDropped,
                  radiusAuthServExtUnknownTypes,
                  radiusAuthServCounterDiscontinuity
                 }
         STATUS  current
         DESCRIPTION
               "The collection of objects providing management of
                a RADIUS Authentication Server."
         ::= { radiusAuthServMIBGroups 2 }

   END

8.  Security Considerations

   There are a number of management objects defined in this MIB that
   have a MAX-ACCESS clause of read-write and/or read-create.  Such
   objects may be considered sensitive or vulnerable in some network
   environments.  The support for SET operations in a non-secure
   environment without proper protection can have a negative effect on
   network operations.  These are:

   radiusAuthServConfigReset
      This object can be used to reinitialize the persistent state of
      any server.  When set to reset(2), any persistent server state
      (such as a process) is reinitialized as if the server had just
      been started.  Depending on the server implementation details,
      this action may or may not interrupt the processing of pending
      request in the server.  Abuse of this object may lead to a Denial
      of Service attack on the server.

   There are a number of managed objects in this MIB that may contain
   sensitive information.  These are:

   radiusAuthClientIPAddress
      This can be used to determine the address of the RADIUS
      authentication client with which the server is communicating.
      This information could be useful in mounting an attack on the
      authentication client.

   radiusAuthClientInetAddress
      This can be used to determine the address of the RADIUS
      authentication client with which the server is communicating.
      This information could be useful in mounting an attack on the
      authentication client.

   It is thus important to control even GET access to these objects and
   possibly to even encrypt the values of these object when sending them
   over the network via SNMP.  Not all versions of SNMP provide features
   for such a secure environment.

   SNMP versions prior to SNMPv3 do not provide a secure environment.
   Even if the network itself is secure (for example by using IPsec),
   there is no control as to who on the secure network is allowed to
   access and GET/SET (read/change/create/delete) the objects in this
   MIB.

   It is RECOMMENDED that implementers consider the security features as
   provided by the SNMPv3 framework (see [RFC3410], section 8),
   including full support for the SNMPv3 cryptographic mechanisms (for
   authentication and privacy).

   Further, deployment of SNMP versions prior to SNMPv3 is NOT
   RECOMMENDED.  Instead, it is RECOMMENDED to deploy SNMPv3 and to
   enable cryptographic security.  It is then a customer/operator
   responsibility to ensure that the SNMP entity giving access to an
   instance of this MIB module is properly configured to give access to
   the objects only to those principals (users) that have legitimate
   rights to indeed GET or SET (change/create/delete) them.

9.  References

9.1.  Normative References

   [RFC2119]  Bradner, S., "Key words for use in RFCs to Indicate
              Requirement Levels", BCP 14, RFC 2119, March 1997.

   [RFC2578]  McCloghrie, K., Ed., Perkins, D., Ed., and J.
              Schoenwaelder, Ed., "Structure of Management Information
              Version 2 (SMIv2)", STD 58, RFC 2578, April 1999.

   [RFC2579]  McCloghrie, K., Ed., Perkins, D., Ed., and J.
              Schoenwaelder, Ed., "Textual Conventions for SMIv2",
              STD 58, RFC 2579, April 1999.

   [RFC2580]  McCloghrie, K., Perkins, D., and J. Schoenwaelder,
              "Conformance Statements for SMIv2", STD 58, RFC 2580,
              April 1999.

   [RFC2865]  Rigney, C., Willens, S., Rubens, A., and W. Simpson,
              "Remote Authentication Dial In User Service (RADIUS)",
              RFC 2865, June 2000.

   [RFC3411]  Harrington, D., Presuhn, R., and B. Wijnen, "An
              Architecture for Describing Simple Network Management
              Protocol (SNMP) Management Frameworks", STD 62, RFC 3411,
              December 2002.

   [RFC4001]  Daniele, M., Haberman, B., Routhier, S., and J.
              Schoenwaelder, "Textual Conventions for Internet Network
              Addresses", RFC 4001, February 2005.

9.2.  Informative References

   [RFC2619]  Zorn, G. and B. Aboba, "RADIUS Authentication Server MIB",
              RFC 2619, June 1999.

   [RFC3410]  Case, J., Mundy, R., Partain, D., and B. Stewart,
              "Introduction and Applicability Statements for Internet-
              Standard Management Framework", RFC 3410, December 2002.

   [RFC4668]  Nelson, D., "RADIUS Authentication Client MIB for IPv6",
              RFC 4668, August 2006.

Appendix A.  Acknowledgements

   The authors of the original MIB are Bernard Aboba and Glen Zorn.

   Many thanks to all reviewers, especially to David Harrington, Dan
   Romascanu, C.M. Heard, Bruno Pape, Greg Weber, and Bert Wijnen.

Author’s Address

   David B. Nelson
   Enterasys Networks
   50 Minuteman Road
   Andover, MA  01810
   USA

   EMail: dnelson@enterasys.com

Full Copyright Statement

   Copyright (C) The Internet Society (2006).

   This document is subject to the rights, licenses and restrictions
   contained in BCP 78, and except as set forth therein, the authors
   retain all their rights.

   This document and the information contained herein are provided on an
   "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS
   OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY AND THE INTERNET
   ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED,
   INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE
   INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED
   WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.

Intellectual Property

   The IETF takes no position regarding the validity or scope of any
   Intellectual Property Rights or other rights that might be claimed to
   pertain to the implementation or use of the technology described in
   this document or the extent to which any license under such rights
   might or might not be available; nor does it represent that it has
   made any independent effort to identify any such rights.  Information
   on the procedures with respect to rights in RFC documents can be
   found in BCP 78 and BCP 79.

   Copies of IPR disclosures made to the IETF Secretariat and any
   assurances of licenses to be made available, or the result of an
   attempt made to obtain a general license or permission for the use of
   such proprietary rights by implementers or users of this
   specification can be obtained from the IETF on-line IPR repository at
   http://www.ietf.org/ipr.

   The IETF invites any interested party to bring to its attention any
   copyrights, patents or patent applications, or other proprietary
   rights that may cover technology that may be required to implement
   this standard.  Please address the information to the IETF at
   ietf-ipr@ietf.org.

Acknowledgement

   Funding for the RFC Editor function is provided by the IETF
   Administrative Support Activity (IASA).
------分隔线----------------------------
顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
最新评论 查看所有评论
发表评论 查看所有评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
用户名: 密码: 验证码:
推荐内容