SNMP セキュリティ レベルおよび権限
SNMPv2c および SNMPv3 はそれぞれ異なるセキュリティ モデルを表します。セキュリティ モデルと選択したセキュリティ レベルの組み合わせにより、SNMP メッセージの処理中に適用されるセキュリティ メカニズムが決まります。
セキュリティ レベルは、SNMP トラップに関連付けられているメッセージを表示するために必要な特権を決定します。権限のレベルによって、メッセージが情報開示の保護を必要とするか、またはメッセージが認証されるかが決定されます。サポートされるセキュリティ レベルは、実装されているセキュリティ モデルによって異なります。SNMP セキュリティ レベルは、次の権限の 1 つ以上をサポートします。
-
noAuthNoPriv:認証なし、暗号化なし
-
authNoPriv:認証あり、暗号化なし
-
authPriv:認証あり、暗号化あり
SNMPv3 では、セキュリティ モデルとセキュリティ レベルの両方が提供されています。セキュリティ モデルは、ユーザおよびユーザが属するロールを設定する認証方式です。セキュリティ レベルとは、セキュリティ モデル内で許可されるセキュリティのレベルです。セキュリティ モデルとセキュリティ レベルの組み合わせにより、SNMP パケット処理中に採用されるセキュリティ メカニズムが決まります。
SNMP セキュリティ モデルとレベルのサポートされている組み合わせ
次の表に、セキュリティ モデルとレベルの組み合わせを示します。
モデル | レベル | 認証 | 暗号化 | 結果 |
---|---|---|---|---|
v2c | noAuthNoPriv | コミュニティ ストリング | なし | コミュニティ ストリングの照合を使用して認証します。 |
v3 | noAuthNoPriv | ユーザ名 | 未対応 | ユーザ名の照合を使用して認証します。 |
v3 | authNoPriv | HMAC-SHA | なし | ハッシュに基づくメッセージ認証コード(HMAC)安全なハッシュ アルゴリズム(SHA)に基づく認証を提供します。 |
v3 | authPriv | HMAC-SHA | DES | HMAC-SHA アルゴリズムに基づいて認証します。データ暗号規格(DES)の 56 ビット暗号化、および暗号ブロック連鎖(CBC)DES(DES-56)標準に基づいた認証を提供します。 |
SNMPv3 セキュリティ機能
SNMPv3 は、ネットワーク経由のフレームの認証と暗号化を組み合わせることによって、デバイスへのセキュア アクセスを実現します。SNMPv3 は、管理操作および暗号化 SNMP メッセージを実行するために、設定されているユーザーのみを承認します。SNMPv3 ユーザーベース セキュリティ モデル(USM)は SNMP メッセージレベル セキュリティを参照し、次のサービスを提供します。
-
メッセージの完全性:メッセージが不正な方法で変更または破壊されていないこと、悪意なく起こり得る範囲を超えてデータ シーケンスが変更されていないことを保証します。
-
メッセージの発信元の認証:メッセージ送信者の ID を確認できることを保証します。
-
メッセージの機密性および暗号化:不正なユーザー、エンティティ、プロセスに対して情報を利用不可にしたり開示しないようにします。
SNMPv3 ユーザーの認証プロトコル
Cisco Intersight は、SNMPv3 ユーザーに次の認証プロトコルをサポートします。
-
HMAC-SHA-96(SHA)
SNMPv3 ユーザーの AES プライバシー プロトコル
Cisco Intersight は、SNMPv3 メッセージ暗号化用プライバシー プロトコルの 1 つとして、Advanced Encryption Standard(AES)を使用し、RFC 3826 に準拠します。
プライバシー パスワード(priv オプション)では、SNMP セキュリティ暗号化方式として DES または 128 ビット AES を選択できます。AES-128 の設定を有効にして、SNMPv3 ユーザー用のプライバシー パスワードを含めると、Cisco Intersight はそのプライバシー パスワードを使用して 128 ビット AES キーを生成します。AES priv パスワードは、8 文字以上にします。パスフレーズをクリア テキストで指定する場合、最大 64 文字を指定できます。このようなユーザーを展開するには、[AES-128] 暗号化を有効にします。