Offene Probleme

Die DPI Spezifikation läßt leider einige Probleme ungelöst, die beim täglichen Arbeiten durchaus zu Problemen führen können:

• Tabellenhandling
  SNMP Pakete können eine große Anzahl von Variable Bindings enthalten. Der DPI Subagent nimmt immer nur ein Paar Variablenname/Variablenwert entgegen. Enthält nun eine SNMP PDU ein Set auf einen Tabellenwert und die zugehörige Statusspalte, so muß der Agent den SET auf den Tabellenwert unbedingt vor dem Set auf die Statusspalte behandeln. Dazu muß der Agent die Reihenfolge der Variable Bindings gegebenfalls ändern.
  Das Problem ist nun, daß der Hauptagent die MIB des Subagenten und damit die Semantik hinter den Daten (Tabelle) gar nicht kennt und die Variable Bindings in der angekommenen Reihenfolge an den Subagenten weitergibt. Der Subagent kennt wiederum die PDU als ganzes nicht und weiß nie, ob den gerade angelieferten Daten noch weitere folgen. Er kann also eine Änderung der Statusspalte nicht zurückhalten.
  Dies führt in der Praxis beim Set auf Tabellenspalten zu SNMP Fehlern, es sei denn, der Manager verschickt pro Paket nur ein Variablenname/Variablenwert Paar. Selbst dann könnte es noch zu Fehlern kommen, wenn die Pakete nicht in der Sendereihenfolge ankommen. Dies ist jedoch kein Problem von DPI, sondern der verbindungslosen UDP Kommunikation zwischen Manager und Agent.
• Trapkommunikation
  Ursprünglich war es für den Syslog Subagenten vorgesehen, dem Benutzer eine Konfiguration der Trapziele zu erlauben. Leider sieht die DPI Spezifikation keine Übermittlung dieser Daten an den Hauptagenten vor. Der Benutzer muß deshalb die Trapziele in einer Konfigurationsdatei auf dem Agentenhost eintragen. Das Senden unterschiedlicher Traps an unterschiedliche Ziele ist gar nicht möglich.
  Eine standardisierte Trap MIB zur Lösung dieser Probleme befindet sich derzeit erst im Draft Status.
• Sicherheitsproblem
  Leider sieht das DPI Protokoll keine Zugangsbeschränkung zum Hauptagenten und keinerlei Authentizifierungsmechanismen vor, d.h. es können jederzeit unbekannte Subagenten am Hauptagenten andocken. Damit besteht zumindest die Gefahr eines Denial-of-service Attacks, d.h. ein böswilliger Subagent könnte das Netz mit SNMP Traps überfluten und verstopfen oder zumindest Irritation bei den Netzbetreuern verursachen. Da DPI Kommunikation auf Ports größer 1024 stattfindet, könnte so ein Angriff eventuell sogar von außen kommen, ohne von einem Paketfilter abgefangen zu werden.