ES/1 Shelty Tips

#31 SNMPv3に対応しました

作成者: IIM 遠藤 (ES/1 Shelty担当)|Oct 31, 2024 7:52:31 AM

 

こんにちは。ES/1 Shelty担当の遠藤です。ブログのキービジュアルが犬ばかりなので、猫をつかってみました。

さて、今回はネットワークMIB-2データ取得処理のSNMPv3対応についてご紹介します。

 

V2.6.0からSNMPv2cによるネットワーク情報の収集が可能になりました

1つ前のV2.6.0からネットワーク機器の性能データ収集対応として、次のデータを蓄積できるようになりました。

 

  • Ping:対象機器の死活監視やレスポンス時間を可視化します。
  • MIB:ネットワーク機器およびインターフェースにおけるMIB情報(MIB-2)を可視化します。

 

MIBはネットワーク機器が持つ機器情報であり、ネットワーク機器が扱うデータに関する統計情報を含んでいます。

各種パケット流量(受信、送信、エラー、破棄)を長期間蓄積し、可視化することによって、ネットワークの業務量の変化や、機器更改時の傾向分析に利用することができます。

 

MIB情報はSNMPというプロトコルを使って取得します。

代表的なバージョンとしては次が挙げられ、機器の仕様と設定によって使用できるプロトコルバージョンが異なっています。

V2.6.0では対応しているプロトコルバージョンがSNMPv2cでした。

 

バージョン 内容
SNMPv1 SNMPコミュニティ名による平文認証。
SNMPv2c

SNMPコミュニティ名による平文認証。SNMPv1との互換性あり。

SNMPv3 ユーザ単位の暗号化されたパスワード認証。

 

SNMPv1とSNMPv2cで使われるコミュニティ名にはパスワードのような役割があり、同じコミュニティに属するホスト間でのみ通信できるようになっています。しかし、コミュニティ名を通知する際、平文でネットワーク上に情報が流れてしまうため、セキュリティ脆弱性が問題となることがあります。

 

SNMPv3に対応しました

V2.7.0よりSNMPv3を使ったMIB情報取得に対応しました。

リモートAgent導入画面の「mib2_v3」から設定画面に入れます。

 

 

SNMPv3は認証と暗号化があり、認証方式、暗号化方式、ユーザ名、パスワードなど関連する情報を下図のリモートAgent設定画面から設定する必要があります。

項目数が多く、認証方式や暗号化方式の名前は複雑であるため、MIB情報取得を設定する準備として、ネットワーク管理者からsnmpwalkコマンドを使って対象機器に接続確認した結果を連携してもらうことをお勧めします。コマンドの実行例は下の通りです。

このコマンドをリモートAgent導入ホストで実行して、SNMP通信の疎通確認を行うこともできます。

 

SNMPコマンド実行方法

snmpwalk -v3 -l <セキュリティレベル> -a <認証方式> -A <認証パスワード> -x <プライベートプロトコル> -X <プライベートプロトコルのパスワード> -u <ユーザ名> ホスト名 <OID>

 

実行例:

snmpwalk -v3 -l authPriv -a md5 -A Password1 -x des -X Password1 -u shelty 172.16.115.8 sysDescr

 

 

 

 

SNMPv3の認証と暗号化に関する各種情報は次の通りです。

連携されたsnmpwalkコマンド実行結果を読む際の参考にしていただければと思います。

 


  1. セキュリティレベル

MIB情報取得に使うユーザが所属するグループの設定によって定義されます。
認証・暗号化の組み合わせにより、次の種類があります。

セキュリティレベル 内容
noAuthNoPriv ユーザ名を使用し、認証・暗号化をどちらも行わない
AuthNoPriv  ユーザ名を使用し、認証のみ行う
AuthPriv ユーザ名を使用し、認証・暗号化をどちらも行う

 

  1. 認証プロトコル

  1. 暗号鍵方式を指定します。
    メッセージダイジェストアルゴリズム(MD5)、または、セキュアハッシュアルゴリズム(SHA、SHA224、SHA256、SHA384、SHA512のいずれか)を指定します。また、そのパスワードを登録します。

 

  1. プライベートプロトコル

  2. セキュリティレベルがauthPrivの場合、データ暗号化アルゴリズム(DES)、または、高度暗号化標準アルゴリズム(AES、AES192、AES192C、AES256、AES256Cのいずれか)を指定します。また、そのパスワードを登録します。

 

 

以上、SNMPv3対応の内容をご紹介させていただきました。

これを機会にネットワーク情報の取得開始についてご検討いただければ幸いです。
ご不明な点等ございましたら、担当SEへご連絡いただければと思います。