実践記事

【ネットワーク初心者向け】初めて読むSNMPv3について

この記事は投稿日から1年以上経過しています。

当記事では、ネットワーク初心者向けにSNMPv3の概要、SNMPv1、SNMPv2cとの違いについて記載致します。

若手エンジニア志望者を募集!支度金あり

SNMPとは

Simple Network Management Protocolの略でネットワーク機器をネットワーク経由で監視する為のプロトコルです。
下記リンクに簡単ですが説明させていただいておりますので参照いただけたらと存じます。
SNMPとは?新入社員が生まれてはじめて触ってみた! | セキュリティ専門企業発、ネットワーク・ログ監視の技術情報 - KnowledgeStare(ナレッジステア) (secuavail.com)

SNMPv3とは

SNMPには主要なバージョンとしてSNMPv1、SNMPv2c、SNMPv3があります。

※SNMPv2のバージョンもありますがセキュリティレベルが複雑であまり利用されておらず、v2cがデファクトスタンダードとなっています。

SNMPv1からSNMPv2cではSNMPトラップの再送やSNMPメッセージの追加など主に機能面での強化となりますが、SNMPv2cからSNMPv3では認証やメッセージの暗号化、アクセス制御等おもにセキュリティ面での強化が主となります。

どのように変わったのか次でご説明致します。

※より詳細に知りたい方はRFC3410~RFC3418に技術仕様が定義されておりますので、そちらをご確認いただけたらと存じます。

■SNMPエンティティ

SNMPv1、SNMPv2cでは役割によってSNMPエージェント・SNMPマネージャという名称がありますが、SNMPv3ではSNMPエンティティという名称で統一されました。

SNMPエンティティはSNMPエンジンとSNMPアプリケーションで構成されています。

◇SNMPエンジンとSNMPアプリケーション

サービス 概要
SNMPエンジン 認証・暗号化したメッセージの送受信・アクセス制御の機能を持ちます。
また一意のエンジンIDを持ち、SNMPエンティティ間の通信時の認証や暗号化・復号化を行う時の鍵として利用されます。
SNMPアプリケーション SNMPメッセージの送受信やSNMPTrapの送受信といったSNMPv1、SNMPv2cのSNMPマネージャやSNMPエージェントの機能を持ちます。

 

◇SNMPマネージャとSNMPエージェント

◇SNMPエンティティ

■セキュリティレベルの変更

SNMPv1、SNMPv2cでは暗号化されておらず、パケットをキャプチャされると中身が丸見えの状態となります。パケットには認証で利用したコミュニティ名も含まれている為、情報窃取、情報を書き換えられる可能性がありました。

SNMPv3ではユーザによるパスワード認証・メッセージの暗号化を行えるようにセキュリティ観点で大きく機能が向上しています。

◇バージョンによるセキュリティの違い

バージョン 概要
SNMPv1、SNMPv2c コミュニティによる認証・メッセージの暗号化なし
SNMPv3 認証プロトコルを利用したユーザ認証・メッセージの暗号化あり

SNMPv3では以下のセキュリティレベルを設定する事が可能です。

◇セキュリティレベル

セキュリティレベル 認証プロトコル メッセージ暗号化
noAuthNoPriv なし(ユーザ名) なし
authNoPriv MD5 or SHA なし
authPriv MD5 or SHA DES or AES

◇SNMPv1、SNMPv2cでのデータ取得イメージ

 

◇SNMPv3でのデータ取得イメージ

■VACMによるアクセス制御

SNMPv1、SNMPv2cではコミュニティに対してアクセス可能なMIBオブジェクトを設定していましたが、SNMPv3ではVACM(view-based Access Control Model)を利用して、ユーザ毎にMIBオブジェクトに対するアクセス制御を行います。アクセス制御には以下の機能を利用して行います。

MIBビュー MIB全体からアクセス可能なMIBオブジェクトを設定したビュー
SNMPグループ SNMPユーザとMIBビューのマッピングを設定

MIBビューに対してのアクセスポリシー(読取・書取・通知)を定義

SNMPユーザ ユーザ名、パスワードなどのログイン情報や利用するグループを設定

◇コミュニティ名によるアクセス制限イメージ

◇VACMによるアクセス制限イメージ

 

まとめ

以上が主な違いとなります。

概要でのご説明となりますが、SNMPv3についての理解、SNMPv1、SNMPv2cとの違いへの理解のお助けになれば幸いです。

弊社製品のLogStare CollectorではSNMPマネージャとして利用出来るセキュリティ運用ソフトウェアとなります。SNMPv3を利用したSNMP監視にも対応しておりますのでご検討いただけると幸いです。

設定方法は以下のリンクにございますので参照いただけたらと存じます。

監視対象デバイスの設定 | セキュリティ専門企業発、ネットワーク・ログ監視の技術情報 - KnowledgeStare(ナレッジステア) (secuavail.com)

Linux Server環境(CentOS)にSNMPv3の監視設定を行う

若手エンジニア志望者を募集!支度金あり

LogStare Collector 無償版

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

METRICS(メトリクス)収集の使用方法前のページ

まずは、FortiGateを監視したい!次のページ

ピックアップ記事

  1. ログフォワーダー「okurun.jar」について
  2. IoT機器「Raspberry pi」とLogStare Collectorで温…
  3. 自社製品をAMIにしてAWSマーケットプレイスへ出品
  4. Zabbixヒストリデータのレポート生成について

関連記事

  1. 実践記事

    LogStare Collectorをsystemctlコマンドから起動する方法

    本記事では、Linux上にインストールしたLogStare Colle…

  2. FortiGate

    FortiGateのGARP(Gratuitous ARP)の送信タイミングについて検証してみた!

    こんにちは、takiです。直近の案件で別チームがUTMのリプレ…

  3. PaloAlto

    ChatGPTを利用し、PaloAltoで多数のアドレスオブジェクトを作成するコマンドを、一括作成し…

    本記事はPaloAltoにおいて多数のアドレスオブジェクトを作成する際…

  4. LSCセキュリティアラート
  5. システム障害を光と音のアラートですぐ察知!【警子ちゃんの活用例】
  6. AWS/Azure

    自社WebサーバにAWS WAFを適用しました(5)~運用後の経過~

    こんにちは。タイトルの通り、自社WebサーバにAWS WAFを適用…

若手エンジニア志望者を募集!
LogStare Collector 無償版
クラウド活用の「困った」「焦った」事例
月額200円でM356の監査ログの運用レベルUP LogStare M365
AWSのログ分析・モニタリングに 次世代のマネージド・セキュリティ・プラットフォーム LogStare

  1. デフォルト画像イメージ

    FortiGate

    FortiGateのSD-WAN設定について
  2. AWS/Azure

    AWSマーケットプレイス上から無償版のLogStare Collectorを試す…
  3. NW機器

    Nutanix Prism ElementにおけるSNMP監視/REST API…
  4. NW機器

    PaloAltoのIPsec IKEv1 Phase1におけるトラブルシューティ…
  5. ログ分析・監視テクニック

    nProbeであらゆる通信をログに記録し可視化する
PAGE TOP