Cisco IOS ネットワーク管理コンフィギュレーション ガイド
SNMP バージョン 3 のための AES および 3-DES 暗号化サポート
SNMP バージョン 3 のための AES および 3-DES 暗号化サポート
発行日;2012/02/01 | 英語版ドキュメント(2011/04/26 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 6MB) | フィードバック

目次

SNMP バージョン 3 のための AES および 3-DES 暗号化サポート

機能情報の入手

この章の構成

の前提条件

について

SNMP のアーキテクチャ

暗号化キーのサポート

管理情報ベースのサポート

の設定方法

SNMP グループへの新しいユーザの追加

SNMP ユーザの設定の確認

その他の参考資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

の機能情報

SNMP バージョン 3 のための AES および 3-DES 暗号化サポート

SNMP バージョン 3 のための AES および 3-DES 暗号化サポートの機能は、SNMP バージョン 3 の暗号化機能を強化します。Data Encryption Standard(DES; データ暗号規格)サポートは、Cisco IOS Release 12.0 で導入され、Cisco IOS Release 12.1 で拡張されました。この Simple Network Management Protocol(SNMP: 簡易ネットワーク管理プロトコル)バージョン 3 User-Based Security Model(USM; ユーザ ベース セキュリティ モデル)のサポートは、RFC 3414 に準拠しています。RFC 3414 は、DES を SNMP バージョン 3 authPriv モードのメッセージ暗号化に必要な唯一の方法として定義します。

SNMP バージョン 3 のための AES および 3-DES 暗号化サポート機能は、RFC 3826 に準拠した Advanced Encryption Standard(AES; 高度暗号化規格)の 128 ビット暗号化を追加します。RFC 3826 機能拡張が SNMP-USM-AES-MIB に含められました。さらに、Triple-Data Encryption Algorithm(3-DES; トリプル データ暗号化規格)、および AES 192 ビットおよび 256 ビット 暗号化をサポートするための Cisco 固有の機能拡張が、CISCO-SNMP-USM-MIB に追加されました。『 Extension to the User-Based Security Model (USM) to Support Triple-DES EDE in "Outside" CBC Mode 』というタイトルのインターネット ドラフト(http://www.snmp.com/eso/draft-reeder-snmpv3-usm-3desede-00.txt)に、追加情報があります。

機能情報の入手

ご使用のソフトウェア リリースによっては、この章に記載されている機能の中に、一部サポートされていないものがあります。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「SNMP バージョン 3 のための AES および 3-DES 暗号化サポートの機能情報」を参照してください。

Cisco Feature Navigator を使用すると、プラットフォーム、Cisco IOS ソフトウェア イメージ、および Cisco Catalyst OS ソフトウェア イメージの各サポート情報を検索できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。

SNMP バージョン 3 のための AES および 3-DES 暗号化サポートの前提条件

SNMP エージェントのこの機能を使用するには、Network Management Station(NMS; ネットワーク管理ステーション)が、SNMP バージョン 3 をサポートしていなければなりません。

この機能が使用可能なのは、暗号化アルゴリズムがサポートされている Cisco IOS ソフトウェア イメージでだけです。

SNMP バージョン 3 のための AES および 3-DES 暗号化サポートについて

SNMP バージョン 3 のための AES および 3-DES 暗号化サポート機能を設定するには、次の概念を理解しておく必要があります。

「SNMP のアーキテクチャ」

「暗号化キーのサポート」

「管理情報ベースのサポート」

SNMP のアーキテクチャ

RFC 3411 に記載されているインターネット管理フレームワークを記述するためのアーキテクチャは、SNMP エンジンを次のコンポーネントの構成要素として記述します。

ディスパッチャ

メッセージ処理サブシステム

セキュリティ サブシステム

アクセス コントロール サブシステム

アプリケーションは、これらのサブシステムのサービスを使用します。セキュリティ モデルがアーキテクチャのどこに収まり、アーキテクチャ内の他のサブシステムとどのように相互作用するかを理解するには、SNMP アーキテクチャとアーキテクチャ用語を理解しておくことが重要です。この情報は、RFC 3411 に記載されています。この RFC を参照して、SNMP アーキテクチャとサブシステムの相互作用について理解することをお勧めします。

暗号化キーのサポート

SNMP バージョン 3 のための AES および 3-DES 暗号化サポート機能では、Cipher Block Chaining/Data Encryption Standard(CBC-DES; 暗号ブロック連鎖/データ暗号規格)は、プライバシー プロトコルです。元々サポートされていたのは DES だけです(RFC 3414 により)。この機能は、AES-128(RFC 3826 による)および AES-192、AES-256、および 3-DES(CISCO-SNMP-USM-OIDS-MIB による)のサポートを追加します。

AES 暗号化は、暗号キー サイズ 128 ビット、192 ビット、または 256 ビットでの Cipher Feedback(CFB; 暗号フィードバック)モードを使用します。

3DES 暗号化は、暗号化に 168 ビットのキー サイズを使用します。

SNMP ユーザ ベース セキュリティ モデル ドラフトの AES 暗号アルゴリズムは、AES with 128 ビットのキー サイズを使用するように記載されています。ただし、この機能拡張で、USM を使用するためのその他のオプションも実装されます。現在のところ、AES の 192 ビットまたは 256 ビット サイズのキーまたは 3-DES の 168 ビット サイズのキーについて、ローカライズされたキーを生成する規格はありません。長いキーには、使用できる認証プロトコルはありません。

管理情報ベースのサポート

SNMP バージョン 3 のための AES および 3-DES 暗号化サポート機能は、CLI および Management Information Base(MIB; 管理情報ベース)を通じて、選択された一連のプライバシー プロトコルをサポートします。新しい標準 MIB である SNMP-USM-AES-MIB は、AES での 128 ビット キーのサポートを提供します。192 ビットまたは 256 ビット キーでの AES および 3-DES の拡張オプションは、SNMP-USM-MIB の機能拡張として、Cisco 固有の MIB である CISCO-SNMP-USM-EXT-MIB でサポートされます。

SNMP バージョン 3 のための AES および 3-DES 暗号化サポートの設定方法

ここでは、次の各手順について説明します。

「SNMP グループへの新しいユーザの追加」

「SNMP ユーザの設定の確認」

SNMP グループへの新しいユーザの追加

手順の概要

1. enable

2. configure terminal

3. snmp-server user username group-name [ remote host [ udp-port port] [ vrf vrf-name ]] { v1 | v2c | v3 [ encrypted ] [ auth { md5 | sha } auth-password]} [ access [ ipv6 nacl] [ priv { des | 3des | aes { 128 | 192 | 256 }} privpassword] {acl-number | acl-name}]

手順の詳細

コマンド
目的

ステップ 1

enable

 
Router> enable

特権 EXEC モードを開始します。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

snmp-server user username group-name [ remote host [ udp-port port ][ vrf vrf-name ]] { v1 | v2c | v3 [ encrypted ] [ auth { md5 | sha } auth-password ]} [ access [ ipv6 nacl ] [ priv { des | 3des | aes {128 | 192 |256} } privpassword ] { acl-number | acl-name }]

 
Router(config)# snmp-server user new-user new-group v3 auth md5 secureone priv aes 128 privatetwo 2

SNMP ユーザを追加し、そのユーザが属するグループを指定し、使用する権限付与アルゴリズム(MD5 または SHA)を指定し、使用するプライバシー アルゴリズム(DES、3-DES、AES、AES-192、または AES-256)を指定し、そのプライバシー プロトコルに関連付けるパスワードを指定します。

SNMP ユーザの設定の確認

簡易ネットワーク管理プロトコル(SNMP)ユーザの設定されている特性に関する情報を表示するには、特権 EXEC モードで show snmp user コマンドを使用します。

手順の概要

1. enable

2. show snmp user [ username ]


show snmp user コマンドは、ルータ上で設定されているすべてのユーザを表示します。ただし、SNMP 設定と違って、snmp-server user コマンドは「show running」出力には現れません。


手順の詳細


ステップ 1 enable

特権 EXEC モードを開始します。プロンプトが表示されたら、パスワードを入力します。

ステップ 2 show snmp user [ username ]

次の例では、ユーザ名に abcd、エンジン ID 文字列に 00000009020000000C025808、ストレージ タイプに nonvolatile が指定されています。

Router# show snmp user abcd
 
User name: abcd
Engine ID: 00000009020000000C025808
storage-type: nonvolatile active access-list: 10
Rowstatus: active
Authentication Protocol: MD5
Privacy protocol: 3DES
Group name: VacmGroupName
 
 
Group name: VacmGroupName
 


 

その他の参考資料

ここでは、SNMP バージョン 3 のための AES および 3-DES 暗号化サポート機能に関する関連資料について説明します。

関連資料

関連トピック
参照先

SNMP の設定作業

『Cisco IOS Network Management Configuration Guide』

SNMP コマンド:コマンド構文の詳細、コマンド モード、コマンド履歴、デフォルト設定、使用上の注意事項、および例

『Cisco IOS Network Management Command Reference』

規格

MIB

MIB
MIB リンク

SNMP-USM-AES-MIB

CISCO-SNMP-USM-OIDS-MIB

選択したプラットフォーム、Cisco IOS Release、およびフィーチャ セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

RFC 2574

『User-based Security Model (USM) for version 3 of the Simple Network Management Protocol (SNMPv3)』

RFC 3411

『Architecture for Describing Internet Management Frameworks』

RFC 3414

『User-based Security Model (USM) for version 3 of the Simple Network Management Protocol (SNMPv3)』

RFC 3826

『The Advanced Encryption Standard (AES) Cipher Algorithm in the SNMP User-based Security Model』

シスコのテクニカル サポート

説明
リンク

右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

http://www.cisco.com/techsupport

SNMP バージョン 3 のための AES および 3-DES 暗号化サポートの機能情報

表 1 に、この機能のリリース履歴を示します。

ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージの各サポート情報を検索できます。Cisco Feature Navigator により、どの Cisco IOS および Catalyst OS ソフトウェア イメージが特定のソフトウェア リリース、フィーチャ セット、またはプラットフォームをサポートするか調べることができます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。


表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。その機能は、特に断りがない限り、それ以降の一連の Cisco IOS ソフトウェア リリースでもサポートされます。


 

表 1 SNMP バージョン 3 のための AES および 3-DES 暗号化サポートの機能情報

機能名
リリース
機能情報

SNMP バージョン 3 のための AES および 3-DES 暗号化サポート

12.4(2)T
12.2(33)SRB
12.2(33)SB

SNMP バージョン 3 のための AES および 3-DES 暗号化サポートの機能は、SNMP バージョン 3 の暗号化機能を強化します。DES サポートは、Cisco IOS Release 12.0 で導入され、Cisco IOS Release 12.1 で拡張されました。SNMP バージョン 3 USM のこのサポートは、RFC 3414 に準拠しています。RFC 3414 は、DES を SNMP バージョン 3 authPriv モードのメッセージ暗号化に必要な唯一の方法として定義します。

SNMP バージョン 3 のための AES および 3-DES 暗号化サポート機能は、RFC 3826 に準拠した AES の 128 ビット暗号化を追加します。

SNMP バージョン 3 のための AES および 3-DES 暗号化サポートが、Cisco IOS Release 12.4(2)T で導入されました。

SNMP バージョン 3 のための AES および 3-DES 暗号化サポートが、Cisco IOS Release 12.2(33)SRB に統合されました。

SNMP バージョン 3 のための AES および 3-DES 暗号化サポートが、Cisco IOS Release 12.2(33)SB に統合されました。

Copyright © 2005-2010. シスコシステムズ合同会社.