実践記事

【ネットワーク初心者向け】初めて読むSNMPv3について

当記事では、ネットワーク初心者向けにSNMPv3の概要、SNMPv1、SNMPv2cとの違いについて記載致します。

SNMPとは

Simple Network Management Protocolの略でネットワーク機器をネットワーク経由で監視する為のプロトコルです。
下記リンクに簡単ですが説明させていただいておりますので参照いただけたらと存じます。
SNMPとは?新入社員が生まれてはじめて触ってみた! | セキュリティ専門企業発、ネットワーク・ログ監視の技術情報 - KnowledgeStare(ナレッジステア) (secuavail.com)

SNMPv3とは

SNMPには主要なバージョンとしてSNMPv1、SNMPv2c、SNMPv3があります。

※SNMPv2のバージョンもありますがセキュリティレベルが複雑であまり利用されておらず、v2cがデファクトスタンダードとなっています。

SNMPv1からSNMPv2cではSNMPトラップの再送やSNMPメッセージの追加など主に機能面での強化となりますが、SNMPv2cからSNMPv3では認証やメッセージの暗号化、アクセス制御等おもにセキュリティ面での強化が主となります。

どのように変わったのか次でご説明致します。

※より詳細に知りたい方はRFC3410~RFC3418に技術仕様が定義されておりますので、そちらをご確認いただけたらと存じます。

■SNMPエンティティ

SNMPv1、SNMPv2cでは役割によってSNMPエージェント・SNMPマネージャという名称がありますが、SNMPv3ではSNMPエンティティという名称で統一されました。

SNMPエンティティはSNMPエンジンとSNMPアプリケーションで構成されています。

◇SNMPエンジンとSNMPアプリケーション

サービス 概要
SNMPエンジン 認証・暗号化したメッセージの送受信・アクセス制御の機能を持ちます。
また一意のエンジンIDを持ち、SNMPエンティティ間の通信時の認証や暗号化・復号化を行う時の鍵として利用されます。
SNMPアプリケーション SNMPメッセージの送受信やSNMPTrapの送受信といったSNMPv1、SNMPv2cのSNMPマネージャやSNMPエージェントの機能を持ちます。

 

◇SNMPマネージャとSNMPエージェント

◇SNMPエンティティ

■セキュリティレベルの変更

SNMPv1、SNMPv2cでは暗号化されておらず、パケットをキャプチャされると中身が丸見えの状態となります。パケットには認証で利用したコミュニティ名も含まれている為、情報窃取、情報を書き換えられる可能性がありました。

SNMPv3ではユーザによるパスワード認証・メッセージの暗号化を行えるようにセキュリティ観点で大きく機能が向上しています。

◇バージョンによるセキュリティの違い

バージョン 概要
SNMPv1、SNMPv2c コミュニティによる認証・メッセージの暗号化なし
SNMPv3 認証プロトコルを利用したユーザ認証・メッセージの暗号化あり

SNMPv3では以下のセキュリティレベルを設定する事が可能です。

◇セキュリティレベル

セキュリティレベル 認証プロトコル メッセージ暗号化
noAuthNoPriv なし(ユーザ名) なし
authNoPriv MD5 or SHA なし
authPriv MD5 or SHA DES or AES

◇SNMPv1、SNMPv2cでのデータ取得イメージ

 

◇SNMPv3でのデータ取得イメージ

■VACMによるアクセス制御

SNMPv1、SNMPv2cではコミュニティに対してアクセス可能なMIBオブジェクトを設定していましたが、SNMPv3ではVACM(view-based Access Control Model)を利用して、ユーザ毎にMIBオブジェクトに対するアクセス制御を行います。アクセス制御には以下の機能を利用して行います。

MIBビュー MIB全体からアクセス可能なMIBオブジェクトを設定したビュー
SNMPグループ SNMPユーザとMIBビューのマッピングを設定

MIBビューに対してのアクセスポリシー(読取・書取・通知)を定義

SNMPユーザ ユーザ名、パスワードなどのログイン情報や利用するグループを設定

◇コミュニティ名によるアクセス制限イメージ

◇VACMによるアクセス制限イメージ

 

まとめ

以上が主な違いとなります。

概要でのご説明となりますが、SNMPv3についての理解、SNMPv1、SNMPv2cとの違いへの理解のお助けになれば幸いです。

弊社製品のLogStare CollectorではSNMPマネージャとして利用出来るセキュリティ運用ソフトウェアとなります。SNMPv3を利用したSNMP監視にも対応しておりますのでご検討いただけると幸いです。

設定方法は以下のリンクにございますので参照いただけたらと存じます。

監視対象デバイスの設定 | セキュリティ専門企業発、ネットワーク・ログ監視の技術情報 - KnowledgeStare(ナレッジステア) (secuavail.com)

Linux Server環境(CentOS)にSNMPv3の監視設定を行う

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

FortiGateのコンサーブモードについて前のページ

まずは、FortiGateを監視したい!次のページ

ピックアップ記事

  1. IoT機器「Raspberry pi」とLogStare Collectorで温…
  2. Zabbixヒストリデータのレポート生成について
  3. ログフォワーダー「okurun.jar」について
  4. 自社製品をAMIにしてAWSマーケットプレイスへ出品

関連記事

  1. Azureマーケットプレイスへの出品

    AWS/Azure

    Azureマーケットプレイスに自社製品を出品する手順と注意点

    弊社では「LogStareCollector」をAWSマーケットプレイ…

  2. AWS/Azure

    自社製品をAMIにしてAWSマーケットプレイスへ出品

    はじめにかねてより弊社製品のAWSマーケットプレイス出品を目論んで…

  3. LSCセキュリティアラート
  4. FortiGate

    【禁断の異機種間HA】FortiGate-60F/60EでHAを組んでみた!

    こんにちは。takiです。タイトルの通り今回もやってみた系の記…

  5. 実践記事

    DNSキャッシュポイズニングやってみた

    令和4年秋季情報処理安全確保支援士試験にてDNSキャッシュポイズニング…

ナレッジステアはセキュアヴェイルグループが運営しています

ネットワーク管理者向けセキュリティセミナー

無料で使えるシステム監視・ログ管理ソフト

  1. SNMPを触ってみた

    ログ分析・監視テクニック

    SNMPとは?新入社員が生まれてはじめて触ってみた!
  2. AWS/Azure

    AWSマーケットプレイス上から無償版のLogStare Collectorを試す…
  3. 実践記事

    DNSキャッシュポイズニングやってみた
  4. NW機器

    PaloAltoのIPsec IKEv1 Phase1におけるトラブルシューティ…
  5. ログ分析・監視テクニック

    nProbeであらゆる通信をログに記録し可視化する
PAGE TOP