1.3.4.1.3. L'estampillage du temps
L'estampillage du temps empêche la réutilisation
d'un paquet SNMPv3 valide déjà transmis par quelqu'un.
Par exemple, si l'administrateur effectue l'opération
de remise à jours d'un équipement, quelqu'un peut saisir ce
paquet et tenter de le retransmettre à l'équipement à
chaque fois que cette personne désire faire une mise à jour
illicite de l'équipement. Même si la personne n'a pas
l'autorisation nécessaire, elle envoie un paquet, authentifié et
encrypté correctement pour l'administration de l'équipement.
On appelle ce type d'attaques le « Replay Attack
». Pour éviter ceci, le temps est estampillé sur chaque
paquet. Quand on reçoit un paquet SNMPv3, on compare le temps actuel
avec le temps dans le paquet. Si la différence est plus que
supérieur à 150 secondes, le paquet est ignoré.
SNMPv3 n'utilise pas l'heure normale. On utilise plutôt
une horloge différente dans chaque agent. Ceux-ci gardent en
mémoire le nombre de secondes écoulées depuis que l'agent
a été mis en circuit.
Ils gardent également un compteur pour connaître
le nombre de fois où l'équipement a été mis en
fonctionnement. On appelle ces compteurs BOOTS (Nombre de fois ou
l'équipement a été allumé) et TIME (Nombre
de secondes depuis la dernière fois que l'équipement a
été mis en fonctionnement).
La combinaison du BOOTS et du TIME donne une valeur qui
augmente toujours, et qui peut être utilisée pour l'estampillage.
Comme chaque agent a sa propre valeur du BOOTS/TIME, la plate-forme de gestion
doit garder une horloge qui doit être synchronisée pour chaque
agent qu'elle contacte. Au moment du contact initial, la plateforme obtient la
valeur du BOOTS/TIME de l'agent et synchronise une horloge distincte.
|