SNMP
はじめに
SNMP (Simple Network Management Protocol)は、インターネット標準プロトコルです。SNMP は、管理情報を他のネットワークデバイスに送受信するために使用されます。SNMP は、プロトコルデータユニット(PDU)と呼ばれるメッセージを別のネットワークパーツに送信します。SNMP 準拠のデバイス(エージェント)は、自身に関するデータを管理情報ベース(MIB)に保持し、このデータをSNMP リクエスタに再送信します。
SNMPプロトコルを通じて、ネットワーク管理アプリケーションはサポートされているMIBを使用して管理エージェントに問い合わせることができます。Check Point SNMP の実装では、SNMP マネージャはシステムを監視し、選択したオブジェクトのみを変更できます。1 つの読み取り専用コミュニティ文字列と1 つの読み取り/書き込みコミュニティ文字列を定義および変更できます。トラップレシーバを設定、追加、および削除したり、さまざまなトラップを有効または無効にしたりできます。システムの場所と連絡先文字列を入力することもできます。
| 注:
|
| 警告 - SNMP を使用する場合は、セキュリティのためにコミュニティ文字列を変更することをお勧めします。SNMP を使用しない場合は、SNMP またはコミュニティ文字列を無効にします。 |
Check Point の実装がサポートする各MIB の詳細情報を表示するには、sk90470 を参照してください。
MIB | ロケーション |
|---|---|
標準MIB |
|
Check Point MIB |
|
Check Point Gaia トラップMIB |
|
Check Pointのプラットフォームで実装されているSNMP を使用すると、SNMP マネージャはGetRequest、GetNextRequest、GetBulkRequest、およびトラップの選択数を使用してデバイスを監視できます。
Check Pointの実装では、SetRequest を使用してこれらの属性を変更することもできます。sysContact、sysLocation、sysName です。set オペレーションが動作するには、読み取り / 書き込み権限を設定する必要があります。
Check Point Gaia はSNMP v1、v2、およびv3 をサポートします。
Gaiaを使用して次のタスクを実行します。
読み取り専用コミュニティ文字列を1 つ定義して変更します。
1 つの読み取り/書き込みコミュニティ文字列を定義および変更します。
SNMP デーモンを有効または無効にします。
SNMP ユーザを作成します。
SNMP ユーザアカウントを変更します。
トラップレシーバを追加または削除します。
各種トラップを有効または無効にします。
デバイスの場所と連絡先文字列を入力します。
SNMP v3 - ユーザベースセキュリティモデル(USM)
Gaiaは、メッセージレベルのセキュリティを提供するために、SNMPv3 のユーザベースのセキュリティモデル(USM) コンポーネントをサポートしています。USM(RFC 3414で説明)を使用すると、SNMP サービスへのアクセスはユーザID に基づいて制御されます。各ユーザには、名前、認証パスフレーズ(ユーザを識別するために使用される)、およびオプションのプライバシーパスフレーズ(SNMPメッセージペイロードの開示に対する保護のために使用される)があります。
システムは、認証および整合性保護を提供するためにMD5ハッシュ化アルゴリズムを使用し、暗号化(プライバシー)を提供するためにDESを使用します。
| ベストプラクティス - 認証と暗号化を使用します。SNMPマネージャ要求で一方または他方を指定することで、これらを個別に使用できます。それに応じてGaiaは応答します。 |
SNMP ユーザは、システムユーザとは別に管理されます。既存のユーザアカウントと同じ名前または異なる名前のSNMP ユーザアカウントを作成できます。対応するシステムアカウントを持たないSNMP ユーザアカウントを作成できます。システムユーザアカウントを削除する場合は、SNMP ユーザアカウントを個別に削除する必要があります。
SNMP の有効化
SNMP デーモンはデフォルトで無効になっています。
SNMP の使用を選択した場合は、セキュリティ要件に従ってSNMP を有効にして設定します。
少なくとも、デフォルトのコミュニティ文字列をpublic 以外に変更する必要があります。
システム上のすべてのバージョンのSNMP (v1、v2、およびv3) を使用するか、SNMPv3 アクセスのみを許可するかを選択できます。
| ベストプラクティス - SNMP 管理ステーションがSNMP v3 をサポートしている場合は、Gaia でSNMP v3 のみを選択します。SNMPv3 はコミュニティアクセスを制限します。SNMPv3 アクセスが有効になっているユーザからのリクエストのみが許可され、他のすべてのリクエストは拒否されます。 |
| 注 - SNMP を使用してネットワークを管理する予定がない場合は、無効にします。SNMPを有効にすると、監視活動のための潜在的な攻撃ベクターが開きます。これにより、攻撃者はデバイスとネットワークの設定について学習できます。 |
SNMP エージェントアドレス
SNMP エージェントアドレスは指定されたIP アドレスで、SNMP エージェントがリクエストをリッスンして対応します。
デフォルトの動作は、SNMP エージェントがすべてのインタフェースで要求をリッスンし、応答することです。1つ以上のエージェントアドレスを指定した場合、システムSNMP エージェントはこれらのインタフェースでのみリッスンし、応答します。
SNMP アクセスを制限する別の方法として、エージェントアドレスを使用できます。たとえば、SNMP アクセスを、指定されたインタフェースを使用する1つのセキュアな内部ネットワークに制限できます。そのインタフェースを唯一のエージェントアドレスとして設定します。
SNMPトラップ
管理対象デバイスはトラップメッセージを使用して、ネットワーク管理ステーション(NMS)にイベントを報告します。
一部のタイプのイベントが発生すると、プラットフォームは管理ステーションにトラップを送信します。
Gaia 独自のトラップは、/etc/snmp/GaiaTrapsMIB.mib ファイルで定義されます。
Gaia は次のタイプのSNMP トラップをサポートします。
トラップのタイプ | 説明 |
|---|---|
| SNMPv2 エージェントが再初期化されるタイミングを通知します。 |
| いずれかのリンクの状態が上または下に変化したときに通知します。 |
| SNMP オペレーションが適切に認証されていないことを通知します。 |
| システム構成の変更がいつ適用されるかを通知します。 |
| システム構成に恒久的な変更がいつ発生したかを通知します。 |
| システムディスクの容量が不足していることを通知します。
|
| システムの電源装置に障害が発生したときに通知します。 このトラップは、2 台の電源装置が取り付けられ、実行中のプラットフォームでのみサポートされます。 |
| CPU またはシャーシファンに障害が発生したときに通知します。 |
| 温度がしきい値を超えたときに通知します。 |
| 電圧センサーの1 つが最大値を超えたかどうかを通知します。 |
| 電圧センサーのいずれかが最小値を下回ったことを通知します。 |
| Raidのボリューム状態が最適でない場合に、通知します。 このトラップは、RAIDがGaia コンピュータでサポートされている場合にのみ機能します。 RAIDモニタリングがサポートされていることを確認するには、 |
| プライマリBIOS 障害が検出されると通知します。 イベントが発生すると送信されます。デュアルBIOS のコンピュータに適用されます。 |
| VRRP Cluster Member がVRRPv2(IPv4)およびVRRPv3(IPv6)でパケット認証に失敗したことを通知します。 各ポーリング間隔を送信します。 |
| VRRP Cluster Member がVRRPv2(IPv4)でVRRPマスタ状態に遷移したときに通知します。 各ポーリング間隔を送信します。 |
| VRRP Cluster Member がVRRPv3(IPv6)でVRRPマスタ状態に遷移したときに通知します。 各ポーリング間隔を送信します。 |
| VRRP Cluster Member のプロトコルエラーがVRRPv2(IPv4)およびVRRPv3(IPv6)の場合に通知します。 各ポーリング間隔を送信します。 |
| 重要 - スケーラブルプラットフォームについては、次を参照してください。
|
