当記事では、ネットワーク初心者向けにSNMPv3の概要、SNMPv1、SNMPv2cとの違いについて記載致します。
目次
SNMPとは
Simple Network Management Protocolの略でネットワーク機器をネットワーク経由で監視する為のプロトコルです。
下記リンクに簡単ですが説明させていただいておりますので参照いただけたらと存じます。
SNMPとは?新入社員が生まれてはじめて触ってみた! | セキュリティ専門企業発、ネットワーク・ログ監視の技術情報 - KnowledgeStare(ナレッジステア) (secuavail.com)
SNMPv3とは
SNMPには主要なバージョンとしてSNMPv1、SNMPv2c、SNMPv3があります。
※SNMPv2のバージョンもありますがセキュリティレベルが複雑であまり利用されておらず、v2cがデファクトスタンダードとなっています。
SNMPv1からSNMPv2cではSNMPトラップの再送やSNMPメッセージの追加など主に機能面での強化となりますが、SNMPv2cからSNMPv3では認証やメッセージの暗号化、アクセス制御等おもにセキュリティ面での強化が主となります。
どのように変わったのか次でご説明致します。
※より詳細に知りたい方はRFC3410~RFC3418に技術仕様が定義されておりますので、そちらをご確認いただけたらと存じます。
■SNMPエンティティ
SNMPv1、SNMPv2cでは役割によってSNMPエージェント・SNMPマネージャという名称がありますが、SNMPv3ではSNMPエンティティという名称で統一されました。
SNMPエンティティはSNMPエンジンとSNMPアプリケーションで構成されています。
◇SNMPエンジンとSNMPアプリケーション
サービス | 概要 |
SNMPエンジン | 認証・暗号化したメッセージの送受信・アクセス制御の機能を持ちます。 また一意のエンジンIDを持ち、SNMPエンティティ間の通信時の認証や暗号化・復号化を行う時の鍵として利用されます。 |
SNMPアプリケーション | SNMPメッセージの送受信やSNMPTrapの送受信といったSNMPv1、SNMPv2cのSNMPマネージャやSNMPエージェントの機能を持ちます。 |
◇SNMPマネージャとSNMPエージェント
◇SNMPエンティティ
■セキュリティレベルの変更
SNMPv1、SNMPv2cでは暗号化されておらず、パケットをキャプチャされると中身が丸見えの状態となります。パケットには認証で利用したコミュニティ名も含まれている為、情報窃取、情報を書き換えられる可能性がありました。
SNMPv3ではユーザによるパスワード認証・メッセージの暗号化を行えるようにセキュリティ観点で大きく機能が向上しています。
◇バージョンによるセキュリティの違い
バージョン | 概要 |
SNMPv1、SNMPv2c | コミュニティによる認証・メッセージの暗号化なし |
SNMPv3 | 認証プロトコルを利用したユーザ認証・メッセージの暗号化あり |
SNMPv3では以下のセキュリティレベルを設定する事が可能です。
◇セキュリティレベル
セキュリティレベル | 認証プロトコル | メッセージ暗号化 |
noAuthNoPriv | なし(ユーザ名) | なし |
authNoPriv | MD5 or SHA | なし |
authPriv | MD5 or SHA | DES or AES |
◇SNMPv1、SNMPv2cでのデータ取得イメージ
◇SNMPv3でのデータ取得イメージ
■VACMによるアクセス制御
SNMPv1、SNMPv2cではコミュニティに対してアクセス可能なMIBオブジェクトを設定していましたが、SNMPv3ではVACM(view-based Access Control Model)を利用して、ユーザ毎にMIBオブジェクトに対するアクセス制御を行います。アクセス制御には以下の機能を利用して行います。
MIBビュー | MIB全体からアクセス可能なMIBオブジェクトを設定したビュー |
SNMPグループ | SNMPユーザとMIBビューのマッピングを設定
MIBビューに対してのアクセスポリシー(読取・書取・通知)を定義 |
SNMPユーザ | ユーザ名、パスワードなどのログイン情報や利用するグループを設定 |
◇コミュニティ名によるアクセス制限イメージ
◇VACMによるアクセス制限イメージ
まとめ
以上が主な違いとなります。
概要でのご説明となりますが、SNMPv3についての理解、SNMPv1、SNMPv2cとの違いへの理解のお助けになれば幸いです。
弊社製品のLogStare CollectorではSNMPマネージャとして利用出来るセキュリティ運用ソフトウェアとなります。SNMPv3を利用したSNMP監視にも対応しておりますのでご検討いただけると幸いです。
設定方法は以下のリンクにございますので参照いただけたらと存じます。
監視対象デバイスの設定 | セキュリティ専門企業発、ネットワーク・ログ監視の技術情報 - KnowledgeStare(ナレッジステア) (secuavail.com)
Linux Server環境(CentOS)にSNMPv3の監視設定を行う
記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。
当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。